Nous récupérons l'occupation des sièges + audit-log via l'API admin de GitHub, hachons les noms d'utilisateur à l'ingestion, et regroupons mensuellement en evidence pack signé Ed25519. Pour quand la conformité ou les RH demandent : « qui a Copilot, quand activé, dernière utilisation, quelles modifs de paramètres, par qui ? »
Si votre entreprise a Copilot Business ou Enterprise, GitHub est le 'provider' du système IA (ils ont fait le modèle), mais VOUS êtes le 'deployer' (vous le déployez à vos employés). L'art. 26 impose des obligations aux deployers :
Nous fournissons l'input logging. Vous restez responsable du jugement.
github.com → Settings → Developer settings → Fine-grained tokens. Scopes : manage_billing:copilot · read:audit_log · read:org. Durée 90 jours (nous prévenons 7 jours avant expiration).
Dashboard → Copilot Audit → '+ Connecter une org'. Nous vérifions immédiatement si le token fonctionne (probe HTTP sur /orgs/{org}). Le PAT est chiffré AES-256-GCM avant insertion en DB — illisible via l'API ensuite.
Notre worker tourne toutes les heures : pull de tous les sièges (snapshot), pull des nouveaux audit-events (pagination par curseur, seulement 'action:copilot.*'). Les noms sont SHA256-hachés ; seul un préfixe de 4 chars reste pour l'affichage.
Le 1er de chaque mois, téléchargez un evidence pack signé — tarball gzip avec seats.jsonl + events.jsonl + manifest.json + manifest.sig. Vérifiable hors-ligne par votre auditeur, même outil que pour l'observabilité IA.
Basé sur le nombre moyen de sièges sur le mois (snapshot quotidien, moyenne). Tenant sans org connectée ne paie rien. Pas besoin du tier 'Standard' d'observabilité IA — Copilot Audit est un add-on séparé.
Exemple : 30 sièges en janvier, 35 en février → facture jan €30, fév €35.
Facturé mensuellement sur la même facture Stripe que votre surveillance serveurs + observabilité IA. Ligne séparée 'monsys.ai Copilot Audit — N sièges × €1.00'.