À Code w/ Claude London, Anthropic a annoncé trois briques qui changent la donne pour les entreprises sous contrainte RGPD ou AI Act: MCP Tunnels, sandboxes self-hosted et la fonction Dreaming. Analyse de la fenêtre stratégique de 6 à 9 mois qui s'ouvre, et plan d'action concret pour une PME française.
En bref (TL;DR)
Anthropic a annoncé à Code w/ Claude London (19-21 mai 2026) trois fonctionnalités qui rendent Claude Code déployable intra-muros: MCP Tunnels (accès aux systèmes internes sans API publique), Self-hosted Sandboxes (exécution sur l'infrastructure du client) et Dreaming (consolidation des notes inter-tâches).
Pour une PME ou ETI française, c'est la première stack vibe coding frontier compatible avec une posture RGPD stricte et alignable sur l'AI Act qui entre en vigueur le 2 août 2026. La fenêtre stratégique est estimée à 6-9 mois avant que Google et OpenAI ne sortent leur équivalent.
1. Pourquoi le vibe coding "cloud" bloquait les ETI françaises
Pendant 18 mois, le vibe coding s'est imposé comme la révolution productive du moment: Lovable a atteint 100 millions de dollars d'ARR en 8 mois, Replit court vers le milliard, Cursor serait en discussion d'acquisition par SpaceX à 60 milliards selon TechCrunch. Le grand public s'y met, les développeurs aussi, et MIT Technology Review et Fortune titrent désormais sur les risques du sujet.
Mais une catégorie d'acteurs est restée bloquée à la porte: les PME et ETI françaises sous contrainte de souveraineté des données. Banques régionales, mutuelles, secteur santé, secteur public, industriels sous secret commercial — toutes ont la même question récurrente du DSI ou du RSSI face à un projet vibe coding:
2. Les trois annonces qui changent la donne
2.1 MCP Tunnels : accès aux systèmes internes sans API publique
Un MCP Tunnel est un canal sécurisé sortant — du SI client vers Anthropic — qui permet à un agent Claude d'utiliser des outils ou de lire des systèmes internes (CRM, ERP, base de tickets, API internes) sans qu'aucun port entrant ne soit ouvert. Concrètement, le DSI n'a pas à exposer la moindre URL publique pour activer des dizaines d'intégrations.
Pour comparaison: aujourd'hui, faire interagir un agent IA avec un système interne suppose soit de l'exposer derrière un reverse proxy public (charge sécurité énorme), soit de répliquer la donnée dans le cloud (cauchemar RGPD). MCP Tunnels supprime les deux contraintes.
2.2 Self-hosted Sandboxes : Claude Code tourne sur votre infra
Les sandboxes auto-hébergées permettent à un agent Claude Code de s'exécuter dans un environnement contrôlé par le client — cloud privé, datacenter, on-premises. Le modèle reste hébergé chez Anthropic et reçoit des requêtes, mais le contexte d'exécution (code source manipulé, fichiers temporaires, credentials de session, données en transit) ne sort jamais de l'infrastructure cliente.
C'est la première fois qu'un éditeur frontier de vibe coding propose ce niveau d'isolation. Cursor, Lovable, Bolt, Antigravity restent par défaut sur leurs propres infrastructures cloud.
2.3 Dreaming : l'agent consolide sa compréhension de votre codebase
La fonction Dreaming permet à un agent Claude Code, entre deux tâches, de relire ses notes et d'identifier des patterns ou problèmes récurrents sur une codebase. C'est l'équivalent d'un onboarding continu: plus l'agent travaille sur votre projet, mieux il comprend ses spécificités métier.
Couplé aux MCP Tunnels et aux sandboxes self-hosted, cela résout le problème historique de l'IA enterprise: "l'agent ne connaît pas notre architecture, donc il génère du code générique qui casse nos conventions". Avec Dreaming sur 4-6 semaines, l'agent apprend.
3. Le combo gagnant : Claude on-prem + AI Act
Le calendrier réglementaire crée un alignement rare. L'AI Act européen entre en application le 2 août 2026 pour les obligations de transparence (Article 50), ce qui laisse 71 jours au moment où ces lignes sont écrites. Pour les systèmes high-risk (santé, finance, RH, justice), l'AI Act Omnibus signé le 7 mai 2026 repousse les obligations au 2 décembre 2027, mais la consultation publique sur les guidelines high-risk est ouverte jusqu'au 23 juin 2026.
Concrètement, pour une PME ou ETI française qui veut industrialiser du vibe coding en 2026, deux questions vont devenir centrales:
4. Pourquoi la fenêtre stratégique est de 6 à 9 mois
Trois facteurs convergent pour limiter la durée de l'avantage d'Anthropic:
Gemini Enterprise on-prem est sur la roadmap publique de Google Cloud. Antigravity 2.0 dispose déjà de l'architecture Managed Agents nécessaire.