Microsoft bloque Claude Fable 5 à ses employés : ce que ça dit sur la gouvernance de l’IA

Salle de réunion corporate vue derrière une cloison de verre avec un schéma holographique de réseau de neurones en lumières bleues et ambres, cadenas fermé symbolisant la rétention de données et la gouvernance de l IA en entreprise

Le 10 juin 2026, The Verge a révélé que Microsoft bloque l’accès à Claude Fable 5 d’Anthropic pour ses propres employés, tout en continuant de le vendre à ses clients via GitHub Copilot et Microsoft Foundry. La cause : la nouvelle politique de rétention de données imposée par Anthropic sur les modèles de classe Mythos, qui impose une conservation de 30 jours des prompts et des réponses, contre 0 jour pour les autres modèles Claude. Pour un éditeur qui manipule du code source propriétaire, des secrets industriels et des données clients, ce changement déplace la ligne jaune de la gouvernance. Et la question que tout DSI ou RSSI français doit se poser devient urgente : que faisons-nous vraiment de nos modèles frontier ?

💡

L’essentiel en 30 secondes

  • Le fait : Microsoft interdit Claude Fable 5 à ses employés en interne (GitHub Copilot interne), mais le vend le jour même à ses clients sur GitHub Copilot et Microsoft Foundry. Source : The Verge, 10 juin 2026.
  • L’angle : la nouvelle politique de rétention d’Anthropic (30 jours sur les modèles Mythos, dont Fable 5) entre en conflit avec les obligations de Microsoft. Ses juristes évaluent encore si l’usage interne sera validé.
  • Le contexte : Fable 5 est le premier modèle public issu de la famille Mythos, celle-là même qu’Anthropic jugeait trop dangereuse pour être diffusée telle quelle il y a quelques semaines.
  • L’enjeu B2B : la performance brute ne suffit plus. La gouvernance, la rétention, la classification des données et la conformité deviennent les vrais critères d’adoption en entreprise.

De Mythos à Fable 5 : pourquoi Anthropic a changé les règles de rétention ?

Pour comprendre la décision de Microsoft, il faut revenir à avril 2026. Anthropic lance alors Claude Mythos, un modèle d’une telle capacité en cybersécurité qu’il identifie plus de 10 000 vulnérabilités logicielles en quelques semaines, parfois plus en une journée que certains éditeurs n’en corrigent en un an. Le modèle est jugé trop dangereux pour être diffusé publiquement. Anthropic le réserve à un programme fermé, Project Glasswing, qui regroupe AWS, Apple, Google, Microsoft, CrowdStrike, Palo Alto Networks, et 150 organisations supplémentaires depuis juin 2026.

Le 9 juin 2026, Anthropic présente Fable 5, la version publique de Mythos. Sans les capacités offensives en cybersécurité, bridée par des garde-fous, mais avec une exigence nouvelle : pour faire fonctionner ses classificateurs de sécurité, Anthropic doit conserver les prompts et les réponses pendant 30 jours, comme l’explique sa documentation officielle. Les contenus signalés comme violant la politique d’usage peuvent être conservés jusqu’à deux ans. Les autres modèles Claude, eux, continuent de tourner en Zero Data Retention (ZDR), ce qui explique pourquoi Microsoft n’a rien changé pour eux.

C’est précisément ce différentiel de 0 à 30 jours qui pose problème à Microsoft. Pas la performance. Pas le prix. La durée pendant laquelle Anthropic peut potentiellement accéder à des données générées par les employés de Microsoft.

Pourquoi Microsoft interdit Fable 5 à ses propres équipes ?

La réponse de Microsoft, telle que rapportée par Tom Warren pour The Verge, est sobre : ses équipes juridiques évaluent les implications de la politique de rétention d’Anthropic pour les données confidentielles de l’entreprise. Code source, informations clients, données de projets internes : tout ce qui transite par un modèle frontier depuis les postes des ingénieurs et des chercheurs Microsoft est concerné. Une rétention de 30 jours, même assortie de la garantie qu’aucune donnée ne sert à l’entraînement, ne correspond pas aux obligations contractuelles de Microsoft vis-à-vis de ses propres clients enterprise.

Résultat : dans le sélecteur de modèles utilisé par les employés pour la version interne de GitHub Copilot, Fable 5 n’apparaît pas. Tous les autres modèles Claude restent accessibles, car ils opèrent en ZDR. Pour les clients externes, en revanche, Fable 5 est bien disponible sur GitHub Copilot et Microsoft Foundry depuis le jour du lancement. Microsoft contrôle la gouvernance des données sur ses plateformes enterprise, ce qui lui permet d’encadrer les déploiements clients sans interdire le modèle pour la marketplace.

Cette asymétrie, vendre ce qu’on s’interdit en interne, n’est pas une posture marketing. C’est un choix juridique. Mais c’est aussi, plus profondément, un aveu : la rétention 30 jours est incompatible avec les standards internes de Microsoft sur la confidentialité. Si elle ne l’était pas, il n’y aurait aucune raison de distinguer les deux usages.

✅ À faire côté DSI / RSSI

  • Cartographier précisément les modèles frontier utilisés en interne (Mythos, Fable 5, GPT-5.5, Gemini 3, Mistral Large 3) et leur politique de rétention respective.
  • Renégocier les clauses contractuelles avec les fournisseurs d’IA : droit d’audit, durée de rétention chiffrée, juridiction des données, suppression garantie.
  • Classer les données transmises aux modèles par niveau de sensibilité et interdire l’usage des modèles non ZDR sur les données classifiées secret des affaires ou soumises à RGPD strict.
  • Documenter la chaîne de sous-traitance IA dans le registre des traitements RGPD : fournisseur, modèle, rétention, hébergement.
  • Mettre en place une observabilité des prompts et sorties (logs, sandbox) pour détecter les usages à risque, surtout sur les modèles 30 jours.

❌ À éviter absolument

  • Faire confiance à un argument marketing du type “vos données ne servent pas à l’entraînement” sans vérifier la durée de rétention et les conditions d’accès des équipes internes du fournisseur.
  • Laisser les employés choisir librement leur modèle frontier dans une marketplace ouverte, sans filtrage par politique interne de gouvernance.
  • Signer un Data Processing Agreement (DPA) standard sans y intégrer explicitement la durée de rétention et les cas de conservation prolongée (2 ans pour prompts flaggés).
  • Confondre Zero Data Retention et chiffrement de bout en bout : le ZDR garantit la suppression rapide, pas la confidentialité pendant la conservation.
  • Reporter la mise à jour de la charte IA interne à “plus tard” : la fenêtre de risque se ferme à mesure que les modèles se généralisent.

Quelles questions tout DSI doit-il poser avant d’adopter un modèle frontier ?

Le cas Microsoft / Fable 5 révèle qu’un benchmark impressionnant ne suffit plus à justifier un déploiement enterprise. L’analyse d’ITforBusiness sur Fable 5 le formule ainsi : utiliser un modèle de classe Mythos impose de l’accepter comme un composant critique du SI, avec observabilité, logs, fallback, gouvernance des prompts, cloisonnement des usages, supervision humaine et validation des sorties. Sans ces prérequis, la facture peut aussi partir en vrille.

Voici les cinq questions concrètes à poser à tout fournisseur de modèle frontier avant de l’ouvrir aux équipes internes :

  1. Quelle est la durée de rétention par défaut, et existe-t-il un mode Zero Data Retention ? Si la réponse est 30 jours sans alternative ZDR, c’est rédhibitoire pour les données à fort enjeu.
  2. Quels cas déclenchent une conservation prolongée au-delà de 30 jours ? Anthropic évoque les prompts flaggés par ses classificateurs de confiance, conservés jusqu’à 2 ans. Qui décide du flag ? Avec quel contrôle ?
  3. Qui, chez le fournisseur, peut accéder aux données conservées, et selon quelle procédure ? Anthropic affirme qu’un petit ensemble d’examinateurs approuvés peut y accéder, via des outils empêchant l’export, avec un journal infalsifiable. Vérifiable ? Auditable ?
  4. Quelle est la juridiction d’hébergement des données conservées, et quel droit applicable en cas de demande gouvernementale d’accès ? Un modèle hébergé aux États-Unis obéit au CLOUD Act, même si l’entreprise cliente est française.
  5. Le fournisseur s’engage-t-il contractuellement sur la suppression à 30 jours, et pas seulement dans sa documentation publique ? Une promesse de politique n’a pas la même force qu’une clause de SLA avec pénalité.

Si le fournisseur ne peut pas répondre clairement à ces cinq questions, le modèle n’est pas prêt pour un usage enterprise sur des données sensibles. Peu importe son score sur le benchmark SWE-bench.

⚠️ Le piège du “DPA standard”

Signer un Data Processing Agreement type sans y intégrer la durée de rétention, les conditions de conservation prolongée et le droit d’audit est la première cause d’exposition juridique. Le DPA standard protège contre l’usage des données pour l’entraînement, pas contre leur conservation chez un sous-traitant tiers pendant 30 jours ou plus. Pour un modèle frontier, il faut un avenant “rétention et accès” explicite.

Une tendance de fond : la gouvernance devient un critère d’achat B2B

L’épisode Microsoft / Fable 5 n’est pas isolé. Il s’inscrit dans une séquence où la performance technique des modèles frontier s’accompagne d’une sophistication croissante des garde-fous, et donc des politiques de rétention. Pour les DSI français, cela rebat les cartes de la sélection fournisseur. Là où le réflexe était “quel modèle score le mieux sur mon cas d’usage ?”, la question devient “quel modèle score le mieux, ET respecte mes contraintes de rétention, ET me donne un cadre d’audit, ET reste compatible avec mes obligations RGPD et AI Act ?”.

Microsoft l’a compris en bloquant Fable 5 en interne : sur des marchés B2B matures, la gouvernance n’est plus une option, c’est un prérequis. Les éditeurs qui sauront proposer à la fois performance et clarté sur la rétention auront un avantage structurel. Les autres seront contraints de choisir entre diffuser largement (et déplaire aux directions juridiques des grands clients) ou restreindre (et perdre des parts de marché). Microsoft a tranché, au moins pour ses propres équipes, en faveur de la gouvernance. La question est maintenant : combien de temps avant que vos propres sous-traitants IA ne soient obligés d’en faire autant ?

Pour approfondir, vous pouvez consulter notre analyse des 3 failles de sécurité invisibles des assistants IA internes et revenir sur le lancement de Claude Fable 5 et ses impacts concrets pour comprendre l’écart entre l’annonce marketing et la réalité du déploiement.

Questions fréquentes sur le blocage de Claude Fable 5 par Microsoft (FAQ)

Pourquoi Microsoft bloque-t-il Claude Fable 5 à ses propres employés ?

Microsoft bloque Claude Fable 5 en interne parce que le modèle impose une rétention des prompts et des réponses de 30 jours (voire 2 ans pour les prompts signalés par les classificateurs de confiance d’Anthropic), ce qui entre en conflit avec les obligations de Microsoft en matière de confidentialité sur son propre code source, ses données clients et ses secrets industriels. Les juristes de l’entreprise évaluent encore si l’usage interne sera validé.

Quelle est la différence entre Claude Fable 5 et Claude Mythos ?

Claude Mythos est le modèle frontier d’Anthropic dédié à la cybersécurité offensive, jugé trop dangereux pour être diffusé publiquement, et réservé au programme fermé Project Glasswing. Claude Fable 5 est la version publique de Mythos, bridée par des garde-fous pour empêcher les usages offensifs en cybersécurité, mais avec la même politique de rétention de 30 jours imposée par les classificateurs de sécurité d’Anthropic.

Que signifie Zero Data Retention (ZDR) sur les autres modèles Claude ?

Zero Data Retention est la politique appliquée par Anthropic à ses autres modèles Claude (hors classe Mythos) : les prompts et les réponses ne sont pas conservés après traitement, ou seulement le temps strictement nécessaire à la génération. C’est cette politique qui explique pourquoi Microsoft autorise toujours les autres modèles Claude en interne, tout en bloquant Fable 5.

Un DSI français doit-il interdire Claude Fable 5 dans son entreprise ?

Pas nécessairement, mais il doit poser cinq questions avant ouverture : durée de rétention, cas de conservation prolongée, accès par les équipes du fournisseur, juridiction d’hébergement, et engagement contractuel sur la suppression. Si le fournisseur ne peut pas répondre clairement, le modèle n’est pas prêt pour un usage sur des données sensibles, même si son score benchmark est excellent.

La rétention de 30 jours est-elle incompatible avec le RGPD ?

Pas en soi, à condition que la rétention soit documentée dans le registre des traitements, encadrée par un DPA adapté, et limitée au strict nécessaire. Le risque RGPD apparaît surtout quand la durée de rétention n’est pas contractualisée, que les cas de conservation prolongée (jusqu’à 2 ans) ne sont pas justifiés, et que le sous-traitant ne fournit pas de garantie d’audit sur l’accès aux données conservées.

Microsoft vend-il un modèle qu’il juge trop risqué pour ses propres employés ?

Pas exactement : Microsoft juge que la rétention 30 jours est incompatible avec ses standards internes de confidentialité, mais il estime que le modèle est utilisable sur ses plateformes enterprise, où la gouvernance des données est contrôlée par Microsoft lui-même. C’est cette nuance, gouvernance interne plus stricte que gouvernance client, qui crée l’asymétrie apparente entre les deux usages.

Alexi Tauzin
Alexi Tauzin 🤖 Éditeur & Analyste IA

Fondateur d’alexitauzin.com, entrepreneur digital et analyste des technologies émergentes. Il suit de près l’évolution de l’IA, des modèles de langage aux agents autonomes, pour aider les professionnels à comprendre et anticiper les transformations du secteur.

En savoir plus ➜

Avez-vous déjà lu ces articles ?

Résiliation en 1 clic en 2026 : la nouvelle loi française enfin appliquée, et le guide pour ne plus jamais payer d’abonnements oubliés (Streaming, Box, Salles de sport)

Laisser un commentaire

Contactez la rédaction pour toute demande

Partenariat, rédaction et publication d'articles sponsorisés

NOUS CONTACTER

COPYRIGHT ALEXITAUZIN.COM 2026

Mentions légales - Politique de confidentialité - Affiliation