Fuite de données du programme de surveillance des employés de Meta, l’entreprise annonce une suspension de l’enquête

BlockTempo rapporte le 23 juin que Meta a lancé, sur les ordinateurs des employés aux États-Unis, l’« Initiative sur les capacités du modèle (Model Capability Initiative, MCI) ». Le déploiement enregistre les mouvements de la souris, les actions de clic et les entrées clavier des employés pour entraîner des modèles d’IA, mais il inclut des invites complètes et des retranscriptions mot à mot, des conversations privées, ainsi que des données sur le personnel et les performances—faisant l’objet d’une fuite. Meta a annoncé suspendre le projet MCI le temps de mener une enquête.

Meta a lancé MCI en avril, en enregistrant les mouvements de la souris et les entrées clavier sur les ordinateurs des employés aux États-Unis

D’après le rapport, la logique de conception du programme MCI serait la suivante : les comportements quotidiens des ingénieurs, des chefs de produit et des concepteurs de Meta sur leurs ordinateurs, reflétant des données de haute qualité sur les comportements humains, y compris la manière dont ils pensent, recherchent, résolvent des problèmes et communiquent avec leurs collègues. De telles données présenteraient une valeur d’entraînement considérable pour former des assistants IA capables d’aider de façon réaliste au travail.

Cependant, un article de Reuters publié en mai 2026 indique que les informations collectées par MCI dépassent le périmètre initialement divulgué aux employés, et que certaines données sont stockées sous forme non chiffrée. Ces deux points constituent la première couche de problèmes de cybersécurité.

Contenu des fuites révélé par le rapport SEV : invites complètes, conversations privées, données de performance du personnel et notes DSS

D’après les divulgations du rapport SEV, les données fuitées ne sont pas de simples journaux d’opérations, mais incluent les éléments suivants :

· Des invites complètes et des retranscriptions mot à mot

· Des conversations privées

· Des données sur le personnel et les performances

· Des évaluations internes de sensibilité des données DSS chez Meta (niveaux 1 à 4)

Le rapport indique que ces données sensibles ne disposent d’aucune restriction d’accès en interne chez Meta : tous les employés peuvent y accéder. Ce n’est pas seulement un problème de « périmètre de collecte trop large », mais un incident révélant que la gouvernance des données présente des défauts, de la conception à l’exécution.

Déclaration officielle de Meta : suspendre le plan, aucune preuve d’un accès inapproprié des employés à ce stade

Après la mise au jour de l’incident, Meta a publié une déclaration indiquant avoir soigneusement conçu le programme MCI et l’avoir assorti de mesures de protection de la vie privée. L’entreprise souligne « qu’à ce stade, aucune preuve ne montre qu’un employé ait obtenu des données de manière inappropriée », tout en annonçant suspendre le plan pour en vérifier les éléments. À la date de publication du rapport, les résultats de l’enquête et la question de la reprise ou non du fonctionnement du plan n’ont pas été communiqués.

Questions fréquentes

Pourquoi la fuite de données du programme MCI de Meta est-elle plus grave que la surveillance classique des employés ?

D’après le rapport, les problèmes du MCI se situent à deux niveaux : d’abord, le programme a déjà dépassé le périmètre de collecte divulgué initialement (article de Reuters de mai), et une partie des données est stockée sous forme non chiffrée ; ensuite, les données fuitées ne sont pas de simples journaux d’opérations, mais incluent des invites complètes et des retranscriptions mot à mot, des conversations privées, des évaluations des performances du personnel, ainsi que des évaluations internes de sensibilité des données chez Meta. De plus, il n’existe aucune restriction d’accès en interne au sein de l’entreprise : tous les employés peuvent y accéder.

À quoi correspond la note d’évaluation de sensibilité des données DSS ?

D’après le rapport, DSS est un système interne de classement de la sensibilité des données de Meta, avec des notes allant de 1 à 4, servant à indiquer le niveau de sensibilité des données. Le rapport SEV indique que des données impliquant ce type d’évaluations de sensibilité interne chez Meta ont été exfiltrées avec d’autres données privées, sans aucun mécanisme de contrôle d’accès en interne, ce qui constitue un grave défaut de gouvernance des données.

Les employés de Meta peuvent-ils vraiment « refuser » de participer au programme MCI ?

D’après le rapport, la relation d’emploi entre les employés et l’entreprise rend l’option « refus » difficilement envisageable dans les faits, et les employés pourraient se retrouver face à un consentement contraint de manière effective. Le rapport indique que lorsque les données collectées ne se limitent pas à celles liées à l’efficacité au travail, mais incluent aussi des conversations privées et des évaluations de performances, les limites éthiques deviennent encore plus difficiles à préserver. La déclaration officielle de Meta n’apporte pas de précisions sur la manière dont les employés peuvent se retirer.