Depuis le 13 juin 2025, la publication d’une série d’articles spécialisés a mis en lumière un risque peu documenté mais réel : l’exposition automatique de conversations avec Meta AI dans des espaces publics accessibles à tous. Cette situation concerne potentiellement des millions d’utilisateurs, y compris dans les environnements professionnels, où l’assistant IA peut être utilisé à des fins de productivité ou d’assistance documentaire. Les implications pour la cybersécurité, la confidentialité des projets, et la conformité RGPD sont loin d’être négligeables.
Meta AI : une IA intégrée par défaut dans les outils courants
Meta AI est désormais activé par défaut dans plusieurs produits de Meta Platforms, notamment Facebook, Instagram et WhatsApp. Il se manifeste sous forme d’un assistant conversationnel textuel, que les utilisateurs peuvent interroger sur une variété de sujets. Toutefois, selon les investigations publiées par Phonandroid le 13 juin 2025, les échanges effectués avec Meta AI peuvent être automatiquement publiés dans un espace public nommé “Découverte”, sauf configuration contraire rarement accessible. « Tout ce que vous demandez à Meta AI dans Instagram, Facebook et WhatsApp se retrouve en clair sur un fil accessible de tout le monde sur internet », écrit le média.
Risques identifiés : divulgation non intentionnelle de données d’entreprise
Dans un contexte professionnel, les assistants IA sont souvent sollicités pour :
- Rédiger des e-mails ou des comptes rendus.
- Résumer des documents internes.
- Générer des idées de stratégie ou des tableaux de suivi.
Or, les requêtes adressées à Meta AI peuvent intégrer des informations sensibles, telles que :
- Des noms de projets confidentiels.
- Des données financières ou RH.
- Des éléments contractuels.
- Des commentaires stratégiques internes.
Ces contenus, une fois publiés dans l’onglet Découverte, deviennent visibles et indexables publiquement, y compris par des acteurs extérieurs. Les captures publiées par la BBC montrent que certains utilisateurs ont partagé des contenus incluant adresses, des informations de santé ou encore des données judiciaires. Aucun mécanisme d’alerte ou de filtre automatique n’empêche la publication d’informations critiques, ce qui pour les entreprises pourrait signifier la fuite de noms de clients, collaborateurs voire des informations qui relèvent du secret industriel.
Des paramètres de confidentialité limités et instables
L’analyse de La République des Pyrénées souligne qu’il n’existe aucune option de désactivation réelle de Meta AI dans certaines applications comme WhatsApp. Un rond bleu indique sa présence, mais cliquer dessus ne permet ni de le désactiver, ni de désactiver la collecte potentielle de données. « Il est impossible de désactiver Meta AI sur WhatsApp, même après avoir cliqué dessus. »
Même dans les pays soumis au RGPD, comme la France, le mode privé supposé actif par défaut n’est pas vérifiable. Cela empêche les DSI et RSSI d’auditer les risques ou de garantir que les conversations professionnelles n’ont pas été exposées.
Recommandations pour les directions d’entreprise
Dans ce contexte, plusieurs recommandations opérationnelles peuvent être formulées pour les entreprises engagées dans une démarche RSE et de cybersécurité :
- Interdire ou restreindre formellement l’usage de Meta AI sur les appareils professionnels, en attendant des garanties sur le traitement des données.
- Former les collaborateurs à la reconnaissance des assistants IA intégrés dans leurs outils quotidiens.
- Mettre en place des chartes numériques précisant les outils autorisés pour les échanges contenant des données confidentielles.
- Auditer régulièrement les pratiques digitales en entreprise, y compris sur les téléphones personnels utilisés dans le cadre professionnel.
Les outils d’intelligence artificielle doivent être considérés comme des environnements tiers potentiellement non conformes, au même titre qu’un service cloud externe non sécurisé.
L’intégration par défaut de Meta AI dans des outils de communication courants expose les entreprises à un risque concret de fuite de données, difficile à contrôler dans un cadre BYOD (Bring Your Own Device). L’absence d’options de désactivation simples et la logique de publication publique des échanges rendent ces environnements inadaptés à un usage professionnel non encadré. Dans le cadre d’une politique RSE responsable, la prudence reste aujourd’hui la seule posture cohérente.
