Retour au blog
Blog ATLAS

Comment utiliser Claude pour la code review : guide pratique pour développeurs

8 min de lecture

Claude est l'un des meilleurs modèles IA pour la code review — si vous savez comment le prompter. Ce guide couvre les prompts exacts et les workflows pour obtenir un feedback de niveau senior de la part de Claude.

Comment utiliser Claude pour la code review : guide pratique pour développeurs

Obtenir une code review d'un senior engineer est l'une des activités à plus fort levier dans le développement logiciel. Elle remonte des bugs avant qu'ils ne soient en prod, améliore les décisions de design avant qu'elles ne se calcifient, et accélère l'apprentissage plus vite que presque n'importe quoi d'autre.

Le problème : les seniors sont coûteux, occupés, et pas toujours disponibles à 23h quand vous êtes sur le point de pousser une PR.

Claude, si. Et avec les bons prompts, il délivre un feedback qui est vraiment comparable à celui d'un développeur senior réfléchi — pas juste "ça semble correct" ou des corrections de syntaxe, mais une critique architecturale, une identification des cas limites, et des observations de performance.

Voici exactement comment l'utiliser.

Pourquoi Claude est particulièrement bon pour la code review

La code review n'est pas juste de la correspondance de patterns. Une bonne review nécessite de comprendre ce que le code essaie de faire, d'évaluer si l'approche est solide, et de communiquer la critique de manière constructive.

L'entraînement de Claude sur le raisonnement long format le rend particulièrement bon pour la partie "évaluer l'approche". Il dira souvent des choses comme :

  • "Ça marche à votre échelle actuelle, mais si vous anticipez plus de ~1000 utilisateurs simultanés, la lecture de fichier synchrone ligne 34 deviendra un goulot d'étranglement."
  • "L'abstraction ici laisse fuiter des détails d'implémentation — l'appelant ne devrait pas avoir besoin de savoir si vous utilisez Redis ou du cache en mémoire."
  • "C'est correct, mais le pattern est non évident. Envisagez d'ajouter un commentaire expliquant pourquoi vous faites deux requêtes séparées plutôt qu'un JOIN."

C'est le genre de feedback qui améliore vraiment le code, pas seulement le rend plus propre.

Le prompt de base : ce qu'il ne faut pas faire

La plupart des développeurs commencent avec quelque chose comme ça :

"Review ce code."

C'est trop ouvert. Vous obtiendrez une réponse générique qui vérifie les évidences et rate ce qui compte pour votre contexte spécifique. Claude ne sait pas si c'est un hot path, un prototype, ou un endpoint sensible au niveau de la sécurité — et ce contexte change tout.

La structure de prompt efficace pour la code review

Voici le template qui produit systématiquement des reviews de haute qualité :

Review ce code [langage/framework] avec la même rigueur qu'un senior engineer appliquerait avant de merger une PR.

Contexte :
- Ce code fait : [description en une phrase]
- Il s'exécute [à quelle fréquence / dans quelles conditions]
- Ma principale préoccupation est : [optionnel — votre plus grande inquiétude]
- Contraintes : [ex: "ne peut pas changer le schéma BDD", "doit supporter Node 18"]

Focus sur :
1. Correction — va-t-il se comporter comme prévu dans les cas limites ?
2. Sécurité — y a-t-il des risques d'injection, d'auth, ou d'exposition de données ?
3. Performance — des goulots d'étranglement évidents pour [charge attendue] ?
4. Maintenabilité — le niveau d'abstraction est-il correct ? Est-ce clair ?

NE PAS réécrire le code sauf pour montrer un fix spécifique. Commentez chaque problème avec : sévérité (critique/majeur/mineur), le problème, et le fix suggéré.

[collez le code ici]

Les éléments clés :

  • Le Contexte donne à Claude les informations dont il a besoin pour calibrer son feedback
  • Les Focus canalisent l'attention vers ce qui compte pour ce code spécifique
  • L'instruction de format de sortie (labels de sévérité) rend le feedback actionnable
  • "NE PAS réécrire" empêche Claude de remplacer votre code par une version générique en appelant ça une review

Prompts spécialisés par type de review

Review de sécurité

Effectue une review axée sécurité de ce code. Je suis particulièrement préoccupé par :
- La validation des entrées et les risques d'injection
- Les gaps d'authentification et d'autorisation
- L'exposition de données sensibles (logs, messages d'erreur, réponses API)
- Les patterns OWASP Top 10

Contexte : ceci gère [décrivez l'endpoint/fonction — ex: "les uploads de fichiers utilisateurs dans un SaaS multi-tenant"].

Signalez les problèmes comme : Critique (doit être corrigé avant le déploiement), Majeur (corriger ce sprint), Mineur (traiter en suivi).

[collez le code]

Review de performance

Review ce code pour la performance. Charge attendue : [X req/sec ou X utilisateurs simultanés].

Focus sur :
- Requêtes N+1 ou allers-retours BDD inutiles
- Allocations mémoire dans les hot paths
- Opérations synchrones qui pourraient être async
- Opportunités de cache

Ignorez les problèmes de style. Signalez uniquement ce qui comptera à [charge déclarée].

[collez le code]

Review d'architecture (avant d'écrire)

Je suis sur le point d'implémenter [description de la feature]. Voici mon approche prévue :

[décrivez votre approche en pseudocode ou en prose]

Contexte :
- Stack : [votre stack]
- Contraintes : [vos contraintes]

Avant que j'écrive le code : quels sont les modes d'échec probables de cette approche ? Qu'est-ce que j'ai probablement pas considéré ? Que feriez-vous différemment et pourquoi ?

Ce dernier est particulièrement puissant — obtenir un feedback architectural avant d'écrire le code, pas après.

Reviews multi-fichiers : donner le contexte complet à Claude

Pour des changements qui couvrent plusieurs fichiers, ne collez pas qu'un seul fichier. Donnez à Claude la vue complète :

Je review une PR qui modifie 3 fichiers. Voici le contexte :

**Ce que fait cette PR :** [description]

**Fichier 1 : src/lib/auth.ts** (modifié)
[collez le fichier]

**Fichier 2 : src/app/api/login/route.ts** (modifié)
[collez le fichier]

**Fichier 3 : src/middleware.ts** (non modifié — inclus pour contexte)
[collez le fichier]

Reviewez ça comme un changement cohérent. Les fichiers sont-ils cohérents entre eux ? La logique d'auth dans auth.ts correspond-elle à ce que la route API attend ? Y a-t-il des gaps entre ce que middleware.ts protège et ce que le nouveau code suppose ?

La formulation "non modifié — inclus pour contexte" est importante. Elle dit à Claude quels fichiers sont le sujet de la review et lesquels sont juste des documents de référence.

Le problème de contexte dans les longues sessions de review

Voici un défi que vous rencontrerez si vous faites beaucoup de code review assistée par IA : Claude ne connaît pas votre codebase.

Chaque session de review repart de zéro. Vous devez réexpliquer votre architecture, vos conventions, vos contraintes. Pour une review ponctuelle, ça va. Pour une équipe qui fait de la review assistée par IA quotidiennement, c'est un overhead coûteux.

La solution est un contexte de code review persistant que vous injectez au début de chaque session. Quelque chose comme :

## Contexte codebase pour la code review

Stack : Next.js 14 (App Router), TypeScript, Supabase, tRPC
Auth : Supabase Auth, toutes les routes API nécessitent une session authentifiée
Multi-tenant : toutes les requêtes BDD doivent inclure un filtre orgId (RLS activé mais défense en profondeur)
Conventions : pas de barrel files, tests collocalisés, Server Components par défaut

Patterns connus dans notre codebase :
- On utilise le type Result<T, E> pour la gestion d'erreurs, pas d'exceptions levées dans la logique métier
- Toute entrée utilisateur passe par zod.parse() avant d'atteindre la logique métier
- On ne logue jamais les données utilisateur (politique PII)

ATLAS vous permet de stocker ce contexte et de l'injecter automatiquement au début de chaque session Claude — pour que vos conventions de codebase soient toujours disponibles sans les réexpliquer.

Gérer les limitations de Claude en code review

Quand Claude hallucine des APIs

Claude mentionnera occasionnellement des méthodes ou patterns qui n'existent pas ou sont obsolètes. Le fix : demandez-lui d'être explicite sur sa confiance.

"Signalez toute suggestion dont vous n'êtes pas certain. Si vous n'êtes pas sûr qu'une API ou méthode spécifique existe dans [version de la lib], dites-le."

Quand Claude manque vos vraies contraintes

Si les suggestions de Claude ne correspondent pas systématiquement à votre codebase, votre bloc de contexte est probablement trop mince. Ajoutez plus de contraintes architecturales — Claude ne peut pas appliquer des contraintes qu'il ne connaît pas.

Quand Claude est trop conciliant

Si vous voulez une vraie critique, demandez-la explicitement :

"Soyez critique. Je veux savoir ce qui ne va pas dans ce code, pas ce qui est bien. Si l'approche est fondamentalement défaillante, dites-le."

Résumé

  • Claude délivre une code review de niveau senior réel avec les bons prompts
  • Fournissez toujours le contexte : ce que fait le code, comment il s'exécute, vos contraintes
  • Utilisez des prompts spécialisés pour les reviews de sécurité, de performance et d'architecture
  • Collez le contexte multi-fichiers pour les reviews au niveau PR
  • Persistez votre contexte de codebase avec ATLAS pour ne pas réexpliquer vos conventions à chaque session
  • Demandez explicitement de la critique quand vous voulez un vrai feedback, pas de la validation