cybersécuritéRGPDdonnées personnellesIA

Meta suspend un programme interne d’entraînement IA après une fuite de données

26 juin 2026Par RsynC
Meta suspend un programme interne d’entraînement IA après une fuite de données

Le programme interne Model Capability Initiative de Meta devait aider les modèles d’IA du groupe à apprendre à partir de l’activité réelle de ses meilleurs salariés. Il a finalement été suspendu après une faille de sécurité ayant exposé des données sensibles en interne.

Ce qui s’est passé

Meta a suspendu son programme Model Capability Initiative, ou MCI, déployé auprès de collaborateurs basés aux États-Unis. Selon les informations relayées par Génération NT et ZDNet, ce dispositif collectait des traces d’activité sur des ordinateurs professionnels : frappes au clavier, mouvements de souris et clics dans des applications approuvées.

L’objectif annoncé était d’alimenter l’entraînement de modèles capables d’accomplir des tâches de manière plus autonome. Mais l’incident a montré l’autre face du dispositif : des données collectées pour l’IA se sont retrouvées accessibles à des personnes qui n’étaient pas censées les consulter.

Des données internes particulièrement sensibles

Les éléments exposés ne se limitaient pas à de simples métriques techniques. Les articles évoquent des prompts et transcriptions complets, des conversations privées, des informations liées aux personnes et à leurs performances, ainsi que des contenus internes classifiés.

Génération NT indique que l’incident aurait été classé SEV 2 dans l’échelle interne de gravité de Meta, où le niveau 0 correspond aux situations les plus critiques. L’entreprise affirme ne pas avoir identifié, à ce stade, d’accès inapproprié aux données par des employés, mais le programme a été mis en pause le temps de finaliser l’enquête.

Pourquoi c’est important

Cette affaire illustre un risque de fond pour toutes les organisations qui veulent entraîner ou améliorer leurs IA avec des données de travail réelles. Plus la collecte est fine, plus elle devient précieuse pour le modèle, mais aussi plus elle devient dangereuse en cas d’erreur de sécurité, de gouvernance ou de cloisonnement.

Le sujet n’est donc pas seulement technique. Il touche à la minimisation des données, à l’information des salariés, à la séparation des accès, à la durée de conservation et à la capacité de prouver qu’un jeu de données d’entraînement respecte les règles internes comme les obligations de protection des données personnelles.

Ce que cela change concrètement

Pour les entreprises, l’incident rappelle qu’un projet d’IA interne doit être traité comme un projet de données sensibles dès sa conception. Un consentement ou une note d’information ne suffit pas si les flux collectés peuvent contenir des conversations privées, des informations RH ou des secrets d’affaires.

Les garde-fous attendus sont concrets : collecte limitée aux usages nécessaires, masquage ou anonymisation quand c’est possible, contrôle d’accès strict, journalisation des consultations, tests de fuite avant déploiement et procédure d’arrêt rapide si une exposition anormale est détectée.

Pour les salariés, cette histoire pose aussi la question du rapport de force autour de la télémétrie au travail. Quand l’activité quotidienne devient une matière première pour l’IA, la transparence sur ce qui est capté et sur ce qui ne l’est pas devient indispensable.

Ce qu’il faut surveiller

La suite dépendra de l’enquête interne de Meta et des mesures de correction réellement appliquées. Le point déterminant sera moins la reprise ou non du programme MCI que la capacité de l’entreprise à démontrer que les données collectées pour l’IA sont strictement cloisonnées.

Plus largement, cet épisode devrait pousser les directions techniques, juridiques et RH à réexaminer leurs propres projets d’IA générative. Un modèle interne peut devenir un actif stratégique, mais il ne doit pas être entraîné au prix d’une surveillance excessive ou d’une exposition incontrôlée des données de travail.

Sources