Meta assouplit sa surveillance des employés, mais les données européennes restent exposées

Meta a partiellement reculé sur son programme controversé de surveillance des employés, après une vague de protestations internes. Selon The Information, les salariés américains pourront désormais mettre le système en pause jusqu'à 30 minutes pour « vérifier quelque chose de personnel ». Pour une minorité d'entre eux — ceux travaillant avec des documents confidentiels ou ayant une connexion instable —, une exemption totale est prévue.

L'outil

Le programme s'appelle Model Capability Initiative (MCI). Lancé en avril 2026, il enregistre les frappes clavier, mouvements de souris, clics et captures d'écran sur plus de 200 applications. L'objectif affiché : entraîner des agents d'intelligence artificielle en observant comment des employés expérimentés travaillent. Mark Zuckerberg a lui-même défendu l'initiative, affirmant que « observer des gens très intelligents travailler est la meilleure façon d'améliorer rapidement l'IA ». Pour la grande majorité du personnel américain, la participation reste obligatoire.

Les plaintes internes ont notamment porté sur la consommation de données : l'outil épuisait le quota mensuel d'internet des employés en quelques jours. Meta a supprimé certaines publications internes critiques, ce que rapporte HR Grapevine, avant de concéder ces premières concessions.

Le problème RGPD

Les employés européens sont officiellement exemptés de MCI, en raison du Règlement général sur la protection des données. Mais l'exemption est incomplète. MCI capture le contenu de tous les e-mails et messages échangés avec des collègues américains, quel que soit l'endroit où se trouve l'expéditeur. En pratique, les communications d'employés français ou d'autres pays de l'UE alimentent quand même le pipeline d'entraînement.

Selon Tech Policy Press, cette pratique heurte directement le principe de limitation des finalités du RGPD : des données collectées dans le cadre d'un contrat de travail ne peuvent pas être réutilisées pour entraîner une IA sans base légale distincte. L'organisation de défense de la vie privée NOYB a demandé aux autorités de protection des données de onze États membres d'agir. En France, c'est la CNIL qui serait chargée d'évaluer si cette capture constitue une violation systématique.

Comme le précise The Next Web, les exceptions RGPD pour traitement « accessoire » ne s'appliquent pas à une collecte aussi routinière et systématique.

La suite

Le recul de Meta est réel mais limité. Tant que le traitement des communications transatlantiques reste en place, l'exposition des données européennes persiste, indépendamment de ce que font les employés concernés. La décision de l'autorité irlandaise de protection des données (DPC), en tant que régulateur chef de file de Meta dans l'UE, déterminera si cette pratique est légale — ou non.