En avril 2026, l’agence de presse Reuters révélait qu’un logiciel baptisé Model Capability Initiative (MCI) était déployé par Meta sur les ordinateurs de ses employés américains. Cet outil enregistre les frappes clavier, les mouvements de souris, les clics et effectue des captures d’écran ponctuelles lors de l’utilisation de certaines applications. L’objectif affiché est sans ambiguïté : alimenter en données réelles les modèles d’intelligence artificielle (IA) développés en interne, afin de former des agents capables de reproduire fidèlement les interactions humaines avec les machines. Cette évolution majeure interroge en profondeur les équilibres juridiques établis entre le pouvoir de direction de l’employeur et la protection des droits fondamentaux des travailleurs.
Un dispositif inédit à la frontière du contrôle et de l’extraction de données
Le programme MCI ne se limite pas à une surveillance classique de la productivité. Il constitue une captation systématique et exhaustive du comportement informatique du salarié : chaque frappe, chaque déplacement de curseur, chaque interaction avec une application devient une donnée d’entraînement destinée à des modèles commerciaux. Le directeur technique de Meta a confirmé l’absence de toute possibilité d’opt-out pour les salariés américains. La finalité revendiquée est explicite : combler les lacunes des agents IA dans des tâches encore imparfaitement maîtrisées, telles que la navigation dans des menus déroulants ou l’usage de raccourcis clavier.
En interne, la réception du dispositif est pour le moins hostile. Plusieurs employés, ont qualifié le programme de « dystopique ». Les inquiétudes soulevées sont concrètes : la journalisation des frappes clavier capture indistinctement les identifiants de connexion à des services tiers, des informations personnelles sensibles ainsi que des secrets industriels ou des éléments de stratégie interne. La frontière entre surveillance de l’exécution du travail et extraction commerciale de données comportementales apparaît ici particulièrement poreuse.
Ce contexte s’inscrit dans une dynamique plus large. Meta prévoit de consacrer environ 140 milliards de dollars à l’IA en 2026, soit près du double de l’investissement de l’année précédente. Le recours aux données générées par les salariés apparaît dès lors comme le prolongement d’une stratégie d’acquisition de données à grande échelle.
Le cadre juridique européen : un rempart face à la surveillance généralisée
L’Europe a fait le choix de ne pas reproduire la permissivité américaine en matière de surveillance salariale. Le programme MCI n’a pas été déployé auprès des employés établis au sein de l’Union européenne et ce pour des raisons juridiques déterminantes. Le RGPD impose en effet à tout employeur une base légale solide pour traiter les données personnelles de ses salariés, le plus souvent l’intérêt légitime ou, dans certains cas, le consentement libre et éclairé. Or, dans une relation de subordination, le caractère véritablement libre d’un consentement donné par un salarié à la surveillance de l’intégralité de son activité informatique est, par nature, sujet à caution.
En droit français, un employeur ne peut pas surveiller ses salariés à leur insu : la loi exige qu’ils soient informés au préalable de tout dispositif de collecte de données les concernant. La Cour de cassation le rappelle régulièrement : toute surveillance cachée, ou dont la vraie finalité est dissimulée, est illicite. De plus, lorsqu’un outil de surveillance présente des risques importants pour les droits des salariés, l’employeur doit réaliser une étude d’impact avant de le déployer. La CNIL n’hésite pas à sanctionner les entreprises qui s’en dispensent.
En décembre 2024, la CNIL a sanctionné une entreprise du secteur immobilier d’une amende de 40 000 euros pour avoir mis en place un logiciel effectuant des captures d’écran récurrentes des postes de travail de ses salariés en télétravail, assorties d’une comptabilisation des périodes d’inactivité susceptibles de donner lieu à des retenues sur salaire. La Commission a jugé ce dispositif disproportionné, contraire au principe de minimisation des données et dépourvu de base légale. Cette décision illustre la rigueur avec laquelle les autorités européennes appréhendent la surveillance numérique des travailleurs, même lorsqu’elle est présentée comme un outil de gestion de la performance.
Une finalité nouvelle qui complexifie l’analyse juridique
Ce qui distingue fondamentalement le programme MCI des dispositifs de surveillance traditionnels, c’est la finalité poursuivie. L’employeur ne cherche pas ici à évaluer la productivité de ses salariés, à détecter des fraudes ou à sécuriser ses systèmes d’information. L’objectif est d’extraire des données comportementales destinées à alimenter des produits commerciaux vendus à des tiers. Cette captation transforme le salarié en fournisseur involontaire de données d’entraînement, sans contrepartie ni possibilité de refus.
Cette finalité commerciale soulève une difficulté supplémentaire au regard du RGPD : le principe de limitation des finalités impose que les données collectées dans le cadre d’une relation de travail ne soient pas réutilisées à des fins incompatibles avec celles qui ont justifié leur collecte initiale. Or, l’utilisation des traces d’activité professionnelle d’un salarié pour entraîner des modèles d’IA destinés à une commercialisation externe paraît difficilement conciliable avec ce principe, sauf à recueillir un consentement explicite dont la validité, dans un contexte d’emploi, demeure fragile.
Conclusion
L’initiative MCI de Meta révèle une mutation profonde dans la relation entre l’entreprise et ses salariés : ces derniers ne sont plus seulement des exécutants de tâches, mais des producteurs de données dont la valeur économique est désormais explicitement reconnue et captée. Le droit européen, armé du RGPD, des principes de finalité, de proportionnalité et de loyauté, offre pour l’heure un rempart efficace contre l’importation de telles pratiques sur le sol de l’Union. Mais cette résistance juridique ne doit pas occulter la question de fond : à mesure que les modèles d’IA consomment toujours plus de données comportementales, la tentation de puiser dans le capital humain interne de l’entreprise ne fera que croître. L’enjeu pour les juristes spécialisés en droit du numérique et du travail sera alors de construire un cadre normatif capable d’encadrer ces nouvelles formes d’extraction, sans interdire toute innovation.
https://www.editions-tissot.fr
https://stateofsurveillance.org
https://www.legifrance.gouv.fr
