Частный репозиторий GitHub/GitLab остаётся частным. Токен — это просто пароль, который позволяет серверу клонировать его. Никто другой не может увидеть код. Он остаётся частным.
Смотрите раздел о частных репозиториях на Install plugins on a self-hosted site