Un repository privato su GitHub/GitLab rimane privato. Il token è semplicemente una password che consente al server di clonarlo. Nessuno altro può vedere il codice. Rimane privato.
Consulta la sezione sui repository privati in Install plugins on a self-hosted site