Meta a suspendu un programme controversé de suivi des employés après qu'un audit de sécurité interne a révélé que les données très détaillées relatives aux frappes au clavier et aux captures d'écran provenant des ordinateurs portables du personnel étaient accessibles à un cercle beaucoup plus large au sein de l'entreprise que prévu.
Ce programme s'inscrivait dans le cadre de l'initiative « Model Capability Initiative » (MCI) de Meta, qui collectait les mouvements de souris, les emplacements des clics, les frappes au clavier et le contenu affiché à l'écran sur les ordinateurs portables professionnels des employés afin de contribuer à l'entraînement des systèmes d'IA internes.
Ce programme comportait également un risque évident. Collecter des données très sensibles sur l'activité des employés est une chose. Assurer leur sécurité est une autre.
D'après des informations issues de documents internes et de témoignages d'employés, ces données n'ont pas simplement été collectées. Elles sont restées accessibles dans des milliers de tableaux de données internes, notamment des requêtes d'IA, des transcriptions, des conversations privées et des informations liées aux performances.
À la suite de la couverture médiatique de cette affaire, Meta a revu ses ambitions à la baisse, puis a suspendu l'initiative, face à une levée de boucliers interne persistante et à des interrogations quant à savoir si les mesures de protection de la vie privée avaient jamais été autre chose qu'une simple assurance formulée dans une note de service.
Du point de vue de Meta, l’initiative « Model Capability » relevait d’une démarche d’optimisation. L’objectif était de fournir aux modèles d’IA des « exemples concrets de la manière dont les utilisateurs se servent réellement des ordinateurs », en enregistrant de manière passive la façon dont les employés utilisent des outils courants tels que Gmail, GChat, Metamate et VS Code. Les agents pourraient ainsi apprendre à partir de flux de travail réels plutôt que de tests de performance synthétiques.
On avait promis aux employés que la collecte de données se limiterait aux applications professionnelles et ne concernerait pas leurs téléphones personnels. Mais vous pouvez imaginer comment cela a été perçu :
- Un logiciel de suivi des frappes et des mouvements de souris a été installé sur les ordinateurs portables des employés américains, sans possibilité de le désactiver sur les appareils de l'entreprise, comme l'a confirmé en interne le directeur technique de Meta.
- Le logiciel a enregistré les saisies ainsi que le contenu associé affiché à l'écran, créant ainsi un ensemble de données comportementales : ce que vous tapez, où vous cliquez, ce qui s'affiche à l'écran pendant que vous effectuez ces actions.
Ce programme a suscité de vives critiques en interne. Un message publié en interne par un ingénieur, dénonçant la « surveillance des ordinateurs portables » et le contrôle des écrans, est devenu viral au sein de Meta, donnant lieu à une pétition visant à mettre définitivement fin à ce programme.
Du point de vue de la conformité, les programmes de surveillance des employés de cette envergure peuvent soulever des questions juridiques et réglementaires délicates, en particulier dans les juridictions qui exigent une certaine transparence en matière de surveillance sur le lieu de travail et de collecte de données.
L'impact sur la réputation est sans doute encore plus grave. Lorsqu'une entreprise est constamment sous le feu des projecteurs pour avoir suivi ses utilisateurs, le fait de trahir la confiance de ses employés envoie un signal fort quant à son attitude fondamentale vis-à-vis des données.
Tout cela en sachant que les données relatives aux frappes au clavier et aux captures d’écran présentent un risque élevé de par leur nature même. Ce type de données est riche en contenu, comporte des informations comportementales et contient souvent des informations confidentielles. Leur collecte à grande échelle engendre un fardeau en matière de sécurité. Chaque nouveau point de données s’accompagne d’obligations en matière de contrôle d’accès, de minimisation, de conservation et d’audit, que l’organisation doit gérer activement tant que ces données existent.
- Les contrôles d'accès doivent être précis et faire l'objet d'audits réguliers, car une simple erreur de configuration peut avoir de graves conséquences.
- La minimisation des données et les délais de conservation sont essentiels, car le stockage à long terme multiplie l'impact d'une éventuelle violation de données.
- Toute fuite de données future — interne ou externe — pourrait exposer non seulement des e-mails, mais aussi les séquences exactes saisies par les employés, y compris les procédures d'authentification et le contenu des brouillons. Si elles tombaient entre de mauvaises mains, ce type d'informations pourrait exposer l'entreprise à des risques.
Cet épisode nous rappelle que chaque nouvel ensemble de données engendre de nouvelles responsabilités. Plus les informations sont détaillées et sensibles, plus les conséquences sont graves en cas de défaillance des contrôles d'accès.
Les escrocs n'ont pas besoin de pirater votre ordinateur. Il leur suffit que vous cliquiez une seule fois.
Theft Identity Malwarebytes détecte les activités suspectes avant qu'elles ne posent problème.
