Meta MCI : surveiller clics et frappes des salariés pour entraîner ses IA, sans option de retrait

26/4/26
👈 les autres actualités

Meta a discrètement ouvert un nouveau front dans la course à l'IA : surveiller les clics, frappes clavier et écrans de ses propres salariés américains pour entraîner ses modèles. Sans option de retrait. Une pratique que des juristes européens jugent d'emblée incompatible avec le RGPD — et qui rouvre brutalement la question de la frontière entre productivité et surveillance au travail.

Ce qui s'est passé

Le 21 avril 2026, Meta a annoncé en interne le déploiement de Model Capability Initiative (MCI), un dispositif qui enregistre les mouvements de souris, les clics et les frappes clavier de ses salariés américains, et prend des captures d'écran ponctuelles de leurs postes. Selon les communications internes obtenues par Reuters et Business Insider, le périmètre est précisément cadré : Gmail, GChat, Metamate (l'assistant IA interne), VSCode. Uniquement sur les machines fournies par l'entreprise, jamais sur les téléphones. Salariés à temps plein et contractors basés aux États-Unis sont concernés.

L'objectif assumé par Meta : « construire des agents pour aider les gens à accomplir des tâches informatiques quotidiennes », selon le porte-parole Andy Stone, ce qui suppose « des exemples réels de la façon dont les gens les utilisent ». Les données collectées ne seraient utilisées « à aucune autre fin » et des « garde-fous » protégeraient les contenus sensibles — sans précision sur leur nature.

La réception interne, telle que rapportée par la BBC, a été glaciale. Le commentaire le plus « liké » sous l'annonce officielle : « Ça me met super mal à l'aise. Comment on fait pour se désinscrire ? ». La réponse du directeur technique Andrew Bosworth a tranché : « Il n'existe pas d'option pour se désinscrire sur votre ordinateur professionnel. » Un salarié anonyme cité par la BBC parle de pratique « très dystopique », dans un contexte où Meta prépare pour le 20 mai un licenciement de 10 % de ses effectifs mondiaux.

Pourquoi c'est important

Le MCI s'inscrit dans une stratégie baptisée Agent Transformation Accelerator (ATA), portée par un mémo d'Andrew Bosworth dans lequel il décrit une vision où « nos agents font principalement le travail et notre rôle est de diriger, réviser et les aider à s'améliorer ». Dit autrement, Meta entraîne ses agents IA à remplacer ses salariés en captant leur travail réel — des frappes aux choix d'application. Mark Zuckerberg prévoit d'investir 140 milliards $ dans l'IA en 2026, soit près du double de l'année précédente.

Sur le plan juridique, deux mondes s'opposent. Aux États-Unis, comme le rappelle la professeure de droit Ifeoma Ajunwa (Yale), « il n'y a aucune limite fédérale à la surveillance des travailleurs ». En Europe, le terrain est radicalement différent. Valerio De Stefano, professeur de droit à l'université York de Toronto, juge qu'un tel dispositif constituerait « vraisemblablement une violation du RGPD ». L'Italie interdit déjà explicitement la surveillance électronique de productivité ; la jurisprudence allemande n'autorise l'enregistrement des frappes clavier qu'en cas de suspicion d'infraction pénale grave.

En France, la doctrine est claire de longue date. L'article 88 du RGPD ouvre la voie à des règles nationales spécifiques sur le traitement des données dans le cadre des relations de travail, et la CNIL applique de longue date un principe de proportionnalité strict : les keyloggers généralisés sont quasi-systématiquement requalifiés en surveillance disproportionnée. Le sujet rejoint d'ailleurs la jurisprudence récente de la Cour de cassation sur les emails professionnels, qui rappelle que les communications du salarié sont des données personnelles à part entière.

Ce que ça change pour les organisations

Pour les DPO européens, l'affaire Meta n'est pas un fait divers américain. Elle dessine un précédent industriel : capter le travail des salariés pour entraîner des agents censés ensuite les remplacer. Si l'extension du MCI à l'Europe n'est pas annoncée, plusieurs questions se posent dès maintenant pour toute organisation tentée par des dispositifs similaires.

D'abord, la base légale. L'intérêt légitime de l'employeur est l'angle le plus tentant, mais il suppose un test de mise en balance documenté qui résisterait difficilement à un dispositif aussi intrusif et systématique. Le consentement est largement écarté en droit du travail européen, en raison du déséquilibre intrinsèque entre employeur et salarié. Reste, à la marge, l'exécution du contrat ou une obligation légale — terrains très étroits pour ce type de captation.

Ensuite, la proportionnalité. Capturer en continu clics, frappes et écrans dépasse, dans la doctrine européenne, ce que la finalité « entraîner une IA » peut justifier. Les enjeux RGPD côté RH imposent ici de revisiter principes de minimisation, durée de conservation, et alternatives moins intrusives (jeux de données synthétiques, traces anonymisées, opt-in volontaires sur des panels restreints).

Enfin, l'articulation avec l'AI Act. Un système qui collecte du comportement de salariés pour entraîner un agent IA destiné à les évaluer ou à les remplacer touche au cœur des cas listés à l'annexe III (emploi, gestion des travailleurs). C'est précisément l'angle développé dans la récente veille sur les décisions automatisées en recrutement de l'ICO britannique : la frontière entre outil d'assistance et système d'évaluation se déplace, et le contrôle humain doit s'exercer sur la décision elle-même, pas seulement à la conception. Sans oublier l'information préalable du CSE et l'obligation d'AIPD avant tout déploiement, sujet que nous avions traité dans notre webinaire dédié à l'AI Act et aux métiers RH.

Ce que Leto pense de cette décision

Le MCI n'est pas un faux pas isolé : c'est l'aboutissement d'une logique qui consiste à voir dans chaque salarié un dataset annotable. Aux États-Unis, l'absence de garde-fou fédéral rend la pratique possible. En Europe, elle resterait à nos yeux indéfendable, quelle que soit la qualité de la « note d'information » communiquée. Une organisation tentée par ce type de dispositif s'expose à un triple risque : sanction CNIL pour traitement disproportionné, contentieux prud'homal pour atteinte à la vie privée du salarié, et requalification AI Act si l'agent entraîné est ensuite utilisé à des fins d'évaluation. La bonne pratique reste celle que la doctrine européenne énonce depuis vingt ans : ce qui peut être obtenu par des données moins intrusives doit l'être.

Sources : Silicon.fr — Meta surveille les clics de ses salariés pour entraîner ses IA · Reuters — Meta to start capturing employee mouse movements, keystrokes · Business Insider — Meta's new AI tool tracks staff activity · BBC — Meta employees express concern over AI surveillance

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026