Dès le 17 août 2026 Atlassian va collecter vos données Jira et Confluence pour entraîner son IA, sauf si vous payez plus cher ou que la loi vous protège

Les données pourront être conservées au maximum 7 ans

Chez Atlassian, la vie privée est une fonctionnalité premium : dès le 17 août 2026 l'entreprise va collecter vos données Jira et Confluence pour entraîner son IA
sauf si vous payez plus cher ou que la loi vous protège

À partir du 17 août 2026, Atlassian collectera par défaut les métadonnées et le contenu de ses 300 000 clients cloud pour alimenter ses modèles d'intelligence artificielle. La nouveauté ? L'impossibilité de refuser pour les abonnements les moins chers, et une rétention pouvant aller jusqu'à sept ans. Une décision qui marque une rupture franche avec les engagements antérieurs de l'éditeur, et qui relance le débat sur la marchandisation des données professionnelles dans le monde du SaaS.

Fondée en 2002 à Sydney par Mike Cannon-Brookes et Scott Farquhar, deux anciens étudiants de l'Université de Nouvelle-Galles du Sud, Atlassian est aujourd'hui l'un des principaux éditeurs mondiaux d'outils collaboratifs pour les équipes techniques et de gestion de projet. Cotée au Nasdaq depuis 2015 sous le symbole TEAM, l'entreprise revendique plus de 300 000 clients dans le monde, dont une large part des entreprises du Fortune 500. Son portefeuille comprend Confluence (wiki d'entreprise), Jira Service Management (gestion des services IT), Bitbucket (hébergement de code), Trello et Loom, auxquels s'ajoute depuis 2023 Rovo, sa plateforme d'intelligence artificielle intégrée à l'ensemble de l'écosystème.

Jira en est le produit phare. Lancé la même année que l'entreprise, son nom est dérivé de Gojira (le terme japonais pour Godzilla), lui-même un clin d'œil à Bugzilla, l'outil de Mozilla que Jira entendait supplanter. Initialement conçu pour le suivi de bugs, il est devenu au fil des années la référence incontournable de la gestion de projets en méthodologie agile, qu'il s'agisse de Scrum ou de Kanban. Tickets, sprints, tableaux de bord, automatisations, workflows personnalisés : Jira structure le quotidien de dizaines de millions de développeurs, chefs de projet et équipes IT à travers le monde. C'est précisément cette position centrale dans les organisations (et la masse de données qu'elle génère) qui rend la nouvelle politique de collecte d'Atlassian aussi stratégique que controversée.

Un virage à 180 degrés dans la politique de données

Pendant des années, Atlassian s'est présenté comme un éditeur respectueux de la confidentialité des données de ses clients. La promesse était claire : vos projets, vos tickets Jira, vos pages Confluence ne serviraient pas à entraîner des modèles d'IA tiers ou maison. Cette politique est aujourd'hui explicitement renversée en partie puisqu'Atlassian précise : « Les métadonnées fournies et les données issues de l'application ne seront pas partagées avec des sous-traitants tiers spécialisés dans les grands modèles de langage (LLM) afin qu'ils les utilisent pour améliorer leurs services ».

À partir du mois d'août, l'entreprise cherchera à collecter deux types de données auprès de ses 300 000 clients dans le monde : des métadonnées et des données applicatives provenant de Jira, Confluence et ses autres produits cloud, qui seront ensuite injectées dans ses modèles d'IA. L'objectif affiché est d'améliorer les fonctionnalités de Rovo, l'assistant IA maison, ainsi que Rovo Dev, la déclinaison orientée développeurs.

Le calendrier est serré. Les paramètres apparaissent dans Atlassian Administration à partir du 16 avril 2026, laissant aux administrateurs jusqu'au 19 mai pour ajuster leurs préférences avant que les réglages par défaut ne s'appliquent. Pour ceux qui n'auront pas vu passer l'annonce, le changement s'appliquera automatiquement.

Voici les explications données par Atlassian pour expliquer ses motivations :

« Nous investissons constamment pour aider vos équipes à tirer le meilleur parti de notre plateforme, et cette évolution ne fait pas exception. L'IA décuple déjà les capacités des équipes, des agents qui simplifient les flux de travail complexes à la recherche et au chat d'entreprise qui font rapidement apparaître le contexte pertinent au moment opportun.

« En apprenant de données clients et de comportements d'utilisation plus riches et plus diversifiés, nous pouvons offrir des capacités d'IA améliorées qui génèrent une plus grande valeur ajoutée pour toute votre organisation. Si nous utilisons déjà ce type de données pour améliorer l'expérience de votre entreprise ou organisation, nous mettons également à jour la façon dont nous utilisons les métadonnées clients et les données intégrées à l'application afin d'améliorer nos applications et les expériences d'IA pour tous nos clients.

« Parallèlement, nous savons que vous confiez à Atlassian certaines de vos activités les plus critiques, et nous prenons cette responsabilité très au sérieux, notamment en ce qui concerne la sécurité de vos données. C'est pourquoi nous associons cette évolution à de nouveaux paramètres intégrés à l'application pour vous donner le contrôle, et nous renforçons nos mesures de protection existantes grâce à la dépersonnalisation et à l'agrégation de toutes les données fournies. Cette approche nous permet de proposer des expériences d'IA plus performantes à tous nos clients tout en garantissant la protection de vos données. »


Deux catégories de données, deux régimes d'opt-out

Atlassian distingue soigneusement deux types de données dans sa politique :

Les métadonnées d'abord. Elles comprennent les scores de lisibilité et de complexité des pages Confluence, les classifications de contenu assignées aux éléments de travail, les scores de similarité sémantique entre pages, les story points des tickets Jira, les dates de fin de sprint et les valeurs de SLA dans Jira Service Management. Ces données sont présentées comme des signaux statistiques, dépourvus d'identifiants directs.

Les données applicatives ensuite. Elles couvrent le contenu créé au sein des produits Atlassian : titres et corps des pages Confluence, titres, descriptions et commentaires des tickets Jira, noms d'emoji personnalisés, noms de statuts personnalisés et noms de workflows personnalisés. gHacks Tech News Il s'agit donc du cœur même du travail des équipes : leurs discussions, leurs décisions, leur organisation interne.

La vie privée comme privilège de l'Entreprise

C'est ici que la controverse éclate. Le régime d'opt-out n'est pas universel : il est conditionné au niveau d'abonnement souscrit.

Pour la collecte de métadonnées, les clients aux abonnements moins élevés n'ont tout simplement pas le choix. Si le plan le plus élevé d'un client Atlassian est Free, Standard ou Premium, la contribution de métadonnées est toujours activée et il n'est pas possible de la désactiver. Ce sont donc les startups, les petites équipes, les PME, ceux qui n'ont pas les moyens de payer le niveau Entreprise, qui se retrouvent captifs de cette collecte.

Pour les données applicatives, la logique varie selon le plan : les niveaux Free et Standard ont la collecte activée par défaut mais peuvent la désactiver ; le niveau Premium a la collecte désactivée par défaut ; le niveau Entreprise a les deux types de collecte désactivés par défaut.

Pour les équipes qui souhaitent protéger leurs données mais ne peuvent pas se permettre le niveau Entreprise, la seule alternative est d'activer les clés de chiffrement gérées par le client (BYOK), une fonctionnalité entreprise complexe que la plupart des petites équipes n'utilisent pas. The Register résume la situation sans détour : à moins qu'un client paie la licence entreprise la plus chère, ou que la loi l'interdise, Atlassian collectera ses données pour entraîner ses modèles d'IA. Et on ne peut pas pleinement refuser.

Sept ans de rétention : une durée qui interroge

L'un des points les plus critiqués de la politique d'Atlassian concerne la durée de conservation des données collectées. Une fois collectées, Atlassian indique conserver les informations pendant sept ans maximum. La justification officielle tient en quelques lignes : des observations plus longues permettraient de mieux comprendre les comportements des clients et d'améliorer continuellement l'expérience utilisateur.

Mais cette durée soulève des questions pratiques concrètes. Imaginez que vos données de projet de 2026 (workflows actuels, compositions d'équipes, priorités stratégiques) continuent d'entraîner des modèles IA jusqu'en 2033. Les projets pivotent, les entreprises changent de cap, les employés partent, les paysages concurrentiels évoluent. La pertinence de données aussi anciennes pour améliorer des outils contemporains reste une question ouverte.

En cas de désinscription ou de suppression des applications, Atlassian s'engage à supprimer les données applicatives de ses jeux de données dans un délai de 30 jours et à ré-entraîner les modèles concernés dans les 90 jours suivant la désinscription. Une garantie qui rassure partiellement, mais qui ne s'applique évidemment qu'aux données futures, pas aux sept années potentiellement déjà accumulées.

Les exceptions : qui échappe à la collecte ?

Toutes les organisations ne sont pas logées à la même enseigne. Atlassian exclut de la contribution de données les clients disposant de clés gérées par le client (CMK/BYOK), ceux hébergés sur Atlassian Government Cloud ou Atlassian Isolated Cloud, ainsi que les organisations soumises aux exigences HIPAA ou certains clients des secteurs gouvernemental et financier.

Les clients Data Center, eux, ne sont pas concernés par cette politique. Les données des produits Data Center ne sont pas soumises aux paramètres de contribution de données et ne sont pas incluses dans ce changement. Ce détail n'est pas anodin : il constitue, pour certaines organisations très sensibles aux questions de souveraineté des données, un argument supplémentaire en faveur du maintien d'une infrastructure on-premise plutôt que d'une migration vers le cloud.

Un précédent dans le SaaS, un débat récurrent

Atlassian n'est pas un cas isolé. Cette décision s'inscrit dans une tendance plus large où les éditeurs SaaS exploitent les données d'utilisation des clients pour entraîner leurs IA, comme l'a illustré la mise à jour de la politique de données de GitHub Copilot en mars 2026. Microsoft, Salesforce, Google Workspace ont tous tâté de ce modèle, avec des degrés variables de transparence et de granularité dans les options de consentement.

Ce qui distingue la démarche d'Atlassian, c'est la brutalité de la segmentation par plan tarifaire. La protection de la vie privée n'y est pas un droit universel : c'est une fonctionnalité premium. Les organisations qui n'ont pas les moyens ou la volonté de passer à l'Entreprise se retrouvent dans une position inconfortable : accepter que leurs processus internes, leur organisation du travail, leurs indicateurs de performance alimentent les modèles d'Atlassian, ou quitter l'écosystème.

La période de préavis de quatre mois (du 16 avril au 17 août) peut sembler généreuse, mais de nombreux administrateurs Atlassian ne verront pas cette annonce ou ne sauront pas où trouver les « paramètres de contribution de données » dans le panneau d'administration. En conséquence, de nombreuses équipes se retrouveront, sans le savoir, à contribuer leurs données simplement parce qu'elles n'auront pas effectué de démarche active de désinscription.

Ce que les administrateurs doivent faire maintenant

Pour les équipes qui souhaitent agir avant le 17 août, la marche à suivre est précise. Les paramètres de contribution de données sont accessibles via Atlassian Administration > Sécurité > Contribution de données. Seuls les administrateurs d'organisation ont accès à ces réglages, et ceux-ci s'appliquent au niveau de l'organisation ; il n'existe pas de granularité par utilisateur ou par projet.

Les organisations gérant plusieurs entités Atlassian doivent traiter chaque organisation séparément : les paramètres ne se propagent pas d'une organisation à l'autre. Et si votre plan le plus élevé change (lors d'une montée ou d'une descente de version par exemple), les règles par défaut peuvent évoluer, avec parfois une fenêtre de 30 jours pour s'adapter avant que la nouvelle configuration ne s'applique.

Pour les équipes sur Free, Standard ou Premium qui considèrent que la collecte de métadonnées est inacceptable, la seule voie de sortie réelle reste, pour l'heure, le passage à l'Entreprise ou le déploiement en Data Center. Un choix qui porte autant une dimension budgétaire qu'une question de gouvernance des données.

Source : Atlassian

Et vous ?

La segmentation de la vie privée par niveau tarifaire où seuls les clients Entreprise peuvent refuser la collecte de métadonnées constitue-t-elle une pratique acceptable, ou s'agit-il d'une instrumentalisation délibérée de la dépendance des clients ?

Les métadonnées anonymisées (story points, scores de complexité, classifications de tâches) peuvent-elles réellement être considérées comme « non sensibles », alors qu'elles révèlent potentiellement la structure organisationnelle et les priorités stratégiques d'une entreprise ?

Une rétention de sept ans pour des données de travail collectif est-elle proportionnée à l'usage déclaré (améliorer des fonctionnalités IA) ou constitue-t-elle un risque de gouvernance sous-estimé par la plupart des DSI ?

Cette tendance généralisée chez les éditeurs SaaS (Atlassian, GitHub, Microsoft…) à monétiser les données d'usage pour entraîner leurs modèles d'IA devrait-elle appeler une réglementation spécifique au niveau européen, distincte du RGPD ?

Face à cette évolution, la migration vers des solutions on-premise ou des alternatives open source (Plane, Linear, Gitea…) devient-elle une stratégie de souveraineté des données crédible pour les équipes techniques ?