Un ex-employé de WhatsApp accuse Meta d’avoir ignoré des failles critiques et d’avoir réprimé ses alertes. L’affaire implique Mark Zuckerberg et relance le débat sur la transparence des géants du numérique.

Attaullah Baig, ancien ingénieur de WhatsApp, affirme que des centaines de salariés pouvaient accéder sans restriction aux données sensibles des utilisateurs. Il accuse Meta d’avoir violé un accord conclu avec la FTC en 2020, de ne pas avoir signalé ces risques à la SEC et de l’avoir licencié après ses alertes. L’entreprise conteste, évoquant un collaborateur de faible niveau et mal noté. Mais le procès, qui met en cause directement Zuckerberg, soulève une question centrale : la gouvernance interne de Meta est-elle compatible avec la sécurité des données de milliards d’usagers ?

Des accusations directes contre la gouvernance de Meta

L’affaire débute par une série de découvertes que Baig dit avoir faites au sein de WhatsApp. Selon lui, des centaines d’ingénieurs disposaient d’un accès illimité aux informations personnelles des utilisateurs. Cet accès, décrit comme injustifié et incontrôlé, contreviendrait frontalement à l’engagement pris par Meta en 2020 devant la Federal Trade Commission (FTC). L’accord, conclu après plusieurs scandales liés à la vie privée, imposait un contrôle strict des accès internes et une responsabilisation accrue des dirigeants.

Baig soutient que non seulement ces obligations n’ont pas été respectées, mais que l’entreprise aurait sciemment fermé les yeux sur les vols de comptes. Les signalements de compromission d’identités numériques, fréquents sur WhatsApp, auraient été minimisés dans la communication interne et externe. L’ingénieur affirme aussi que Meta a manqué à ses devoirs de transparence envers la Securities and Exchange Commission (SEC) en omettant de déclarer ces risques dans les documents officiels remis aux investisseurs. Cette omission pourrait être assimilée à une fraude boursière.

Selon sa plainte, Baig a personnellement alerté Mark Zuckerberg, directeur général de Meta, et Will Cathcart, patron de WhatsApp. Plutôt que de traiter les failles, il décrit une réaction hostile : dénigrement de ses performances, microgestion intrusive et démantèlement des fonctionnalités de sécurité conçues par son équipe. Estimant avoir été victime de représailles, il a ensuite saisi la SEC. Peu après, il a été licencié.

Aujourd’hui, l’ancien ingénieur réclame sa réintégration, des compensations financières et un procès devant jury. Pour Meta, l’affaire ne repose sur rien : les représentants du groupe affirment que Baig n’était pas un responsable sécurité mais un simple manager de développement logiciel de niveau junior, dont les résultats jugés médiocres justifiaient le licenciement.

Entre obligations réglementaires et enjeux stratégiques

L’aspect juridique de l’affaire repose sur deux points clés : le respect de l’accord FTC de 2020 et la communication à la SEC. L’accord imposait à Meta un dispositif de contrôle interne renforcé, notamment sur la gestion des accès aux données personnelles. Tout manquement à ces obligations pourrait exposer l’entreprise à de lourdes sanctions.

La SEC, de son côté, sanctionne toute dissimulation d’informations pouvant influencer les investisseurs. Si les accusations de Baig sont confirmées, Meta pourrait être poursuivie pour avoir présenté une image trompeuse de sa maîtrise des risques liés à la sécurité et à la confidentialité.

Au-delà du droit, le dossier révèle la tension permanente entre impératifs économiques et exigences de cybersécurité. WhatsApp, propriété de Meta depuis 2014, compte plus de deux milliards d’utilisateurs. Toute faille ou compromission massive aurait un impact mondial. L’accusation d’accès incontrôlé à grande échelle questionne directement la capacité du groupe à protéger les données sensibles, alors même que son modèle repose sur la confiance des utilisateurs et des annonceurs.

La défense de Meta s’appuie sur des éléments factuels : le département du Travail américain a déjà rejeté une plainte antérieure de Baig, estimant que son licenciement ne relevait pas de représailles. Pour l’entreprise, il s’agit donc d’un contentieux personnel monté en épingle. Mais le fait que l’affaire cite explicitement Mark Zuckerberg met sous tension la communication du groupe.

Cybersécurité et renseignement : une faille stratégique

L’accusation centrale, celle d’un accès illimité aux données utilisateurs par un trop grand nombre d’ingénieurs, mérite une lecture stratégique. Dans toute organisation numérique, la gestion des accès est l’un des piliers de la cybersécurité. Multiplier les accès sans justification augmente mécaniquement les risques d’abus, d’espionnage industriel ou d’ingérences étatiques.

Pour une plateforme mondiale comme WhatsApp, utilisée aussi bien par des particuliers que par des entreprises, des ONG ou des responsables politiques, la question prend une dimension de renseignement. L’hypothèse qu’un nombre élevé d’employés ait pu explorer les données personnelles ouvre la possibilité d’une exploitation malveillante interne ou externe.

Les services de renseignement, qui suivent de près les pratiques des grandes plateformes, s’intéressent à ce type de faille. Une infrastructure comptant des milliards d’utilisateurs représente une cible idéale pour l’espionnage, qu’il soit mené par des acteurs étatiques ou criminels. Les accusations de Baig, si elles se vérifient, signifieraient que Meta aurait facilité malgré elle la tâche de tout acteur souhaitant infiltrer ses systèmes.

La portée de l’affaire dépasse donc largement le cas d’un licenciement contesté. Elle interroge sur la gouvernance de la donnée au sein d’une entreprise devenue un nœud stratégique de communication mondiale.

Une crise de confiance pour Meta ?

Le groupe de Menlo Park se trouve à nouveau confronté à une crise de confiance. Depuis Cambridge Analytica, Meta traîne une réputation fragile en matière de protection des données. Chaque révélation ou accusation relance les doutes sur sa capacité à garantir la confidentialité.

Pour les régulateurs, cette affaire pourrait devenir un test. Si le procès confirme les accusations, la FTC et la SEC seraient contraintes de durcir encore leur contrôle. Si, au contraire, les arguments de Meta l’emportent, le cas illustrerait la difficulté pour un lanceur d’alerte interne de se faire entendre dans un groupe tentaculaire.

Dans les deux scénarios, l’impact est réel : la question de la sécurité des données chez Meta reste ouverte. La mention directe de Zuckerberg dans le dossier montre que la responsabilité personnelle des dirigeants est désormais au cœur des débats.

La cybersécurité, longtemps traitée comme une fonction technique, devient ici un enjeu de gouvernance et de confiance publique. Dans un monde où la donnée est ressource stratégique, chaque faille non traitée peut se transformer en crise globale.

Au-delà du conflit personnel entre un ex-ingénieur et son employeur, l’affaire Baig révèle les tensions profondes qui traversent les géants du numérique : comment concilier croissance, gouvernance et sécurité dans un environnement où la donnée est devenue cible de convoitises multiples ? La justice américaine devra déterminer si Meta a failli à ses obligations. Mais la question qui reste est plus large : si même un acteur central comme WhatsApp ne parvient pas à maîtriser ses accès internes, quels garde-fous restent aux utilisateurs et aux États face aux risques d’ingérence ?

Sources

• The Verge : https://www.theverge.com/2025/09/16/meta-lawsuit-whatsapp-security

• Bloomberg : https://www.bloomberg.com/news/meta-lawsuit-whatsapp-baig