Meta surveille ses salariés pour entraîner ses IA : ce que le RGPD interdit en Europe

23/4/26
👈 les autres actualités

Un ordinateur professionnel qui enregistre chaque clic, chaque frappe et prend des captures d'écran périodiques : c'est ce que Meta a commencé à déployer sur les postes de ses salariés américains. Le tout pour entraîner ses agents IA à reproduire les gestes humains au travail. En Europe, un tel dispositif se heurterait frontalement au RGPD et au droit du travail.

Ce qui s'est passé

Selon une note interne révélée par Reuters et Business Insider, Meta a annoncé le 21 avril 2026 le déploiement d'un outil baptisé Model Capability Initiative (MCI). Sur les ordinateurs fournis par l'entreprise, le logiciel enregistre les mouvements de souris, les clics, les frappes au clavier et prend des captures d'écran ponctuelles. Le périmètre couvre une liste précise d'applications professionnelles — Gmail, GChat, Metamate (l'assistant IA interne) et VSCode.

L'objectif ? Alimenter les modèles d'IA du groupe avec des données comportementales réelles pour construire des agents capables d'accomplir seuls des tâches informatiques du quotidien. Meta confirme l'absence totale d'option de désinscription sur les machines professionnelles : « il n'existe pas d'option pour se désinscrire », a déclaré son CTO Andrew Bosworth en interne. La collecte concerne uniquement les salariés et contractuels basés aux États-Unis. Côté européen, aucune extension n'est annoncée — et pour cause.

Pourquoi c'est important : le RGPD encadre strictement la surveillance au travail

En Europe, la surveillance des salariés à des fins d'entraînement d'IA soulève plusieurs difficultés frontales au regard du RGPD. L'article 88 du RGPD laisse aux États membres la faculté d'adopter des règles plus protectrices pour les données des salariés — ce que la France, l'Italie et l'Allemagne ont largement fait.

La France impose à l'employeur une information individuelle et collective préalable, une consultation du CSE et une finalité proportionnée. Comme le rappelle notre guide sur les données RH, chaque outil de contrôle de l'activité doit reposer sur une base légale claire, souvent l'intérêt légitime de l'employeur, avec une mise en balance rigoureuse des droits des salariés.

L'Italie interdit purement la surveillance électronique visant à mesurer la productivité individuelle. L'Allemagne réserve l'enregistrement des frappes clavier aux seuls cas d'infractions pénales graves suspectées, confirmant une jurisprudence exigeante. Un déploiement tel que MCI en l'état n'y passerait pas.

À ces barrières s'ajoute une question centrale : peut-on réutiliser les données d'activité collectées pour entraîner un modèle d'IA ? La réponse du CEPD et des DPA européennes est claire : c'est un changement de finalité au sens de l'article 6§4 du RGPD. Il requiert une base légale distincte et, dans le cas d'une surveillance salariale, rend le consentement quasiment inopérant en raison du déséquilibre employeur-salarié.

Ce que ça change pour les organisations européennes

Le cas Meta est révélateur d'une tendance : les grands groupes technologiques ont besoin de données comportementales pour bâtir des agents IA crédibles. Certains intégrateurs américains pourraient proposer à leurs filiales européennes des outils similaires. Les DPO et juristes d'entreprise doivent se préparer dès maintenant.

Trois actions à engager sans délai :

  • Cartographier les outils de monitoring existants sur les postes de travail (MDM, EDR, outils d'analytics comportemental) et vérifier qu'aucun d'eux ne transmet des données pour l'entraînement d'un modèle tiers. Cela rejoint les recommandations de l'ANSSI sur le déploiement des agents IA sur les postes de travail, publiées le 13 avril 2026.
  • Inscrire la gouvernance dès la conception de tout déploiement IA interne. Comme le soulignent les juristes de Norton Rose dans leur analyse publiée en avril 2026, superposer des contrôles a posteriori ne suffit plus — il faut coder la gouvernance dans le système, formaliser une AIPD et documenter la minimisation.
  • Anticiper les obligations de l'AI Act pour les systèmes de monitoring salarial, qualifiés de « haut risque » au sens de l'annexe III. Notre guide AI Act 2026 détaille les obligations applicables (documentation technique, supervision humaine, gestion des risques), et le webinaire Leto dédié aux métiers RH explore les cas d'usage concrets.

Les salariés concernés conservent, eux, leurs droits RGPD : accès, information, opposition pour motifs légitimes. Notre guide employeur sur les données personnelles des salariés recense les obligations à documenter dans le registre des traitements.

Ce que Leto pense de cette décision

Le déploiement de MCI par Meta illustre ce que l'on pressentait depuis des mois : la bataille pour la donnée d'entraînement passe désormais par la surveillance fine des humains au travail. Ce que les GAFAM peuvent se permettre aux États-Unis — où aucune loi fédérale n'encadre la surveillance salariale — ne constituera jamais un modèle en Europe. Le RGPD, le droit du travail et bientôt l'AI Act forment un cadre cohérent qui protège ce que les législateurs américains n'ont pas voulu protéger : la dignité du salarié face à l'œil algorithmique de son employeur. Les DPO européens n'ont donc pas à importer ce type de projet ; ils ont, au contraire, les arguments pour le refuser.

Sources : Silicon.fr — Meta surveille les clics de ses salariés, 22 avril 2026 · Reuters · BBC

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026