Deepfakes : cadre juridique en France

Un salarié reçoit un appel vidéo de son PDG lui demandant un virement urgent — sauf que le PDG n’a jamais passé cet appel. En 2024, une entreprise hongkongaise a perdu 25 millions de dollars dans une fraude par deepfake de ce type. La technologie est désormais accessible à tous, et le cadre juridique français s’est considérablement renforcé pour y répondre. Loi SREN, AI Act, RGPD : voici les règles applicables et les sanctions encourues.

Qu’est-ce qu’un deepfake au sens juridique ?

Un deepfake — ou hypertrucage dans la terminologie de la CNIL — est un contenu audio, photo ou vidéo créé ou modifié à l’aide de techniques d’intelligence artificielle, représentant l’image ou la voix d’une personne de manière réaliste sans son consentement. La particularité juridique du deepfake est qu’il porte simultanément atteinte à plusieurs droits fondamentaux : droit à l’image, droit à la vie privée, protection des données personnelles, et potentiellement dignité de la personne.

Jusqu’en 2024, le droit français ne disposait pas d’incrimination spécifique. Les victimes devaient se tourner vers des qualifications existantes — usurpation d’identité (art. 226-4-1 du Code pénal), atteinte à la vie privée (art. 226-1), montage trompeur (art. 226-8) — qui ne couvraient qu’imparfaitement la réalité technique des deepfakes. La loi SREN du 21 mai 2024 a comblé cette lacune.

La loi SREN : le nouveau délit de deepfake

La loi n° 2024-449 du 21 mai 2024 visant à sécuriser et réguler l’espace numérique (dite loi SREN) a créé un cadre pénal spécifique pour les deepfakes en modifiant le Code pénal.

Le délit général de deepfake (art. 226-8 modifié)

L’article 226-8 du Code pénal, dans sa rédaction issue de la loi SREN, sanctionne le fait de publier ou diffuser un contenu visuel ou sonore généré par un traitement algorithmique représentant l’image ou la voix d’une personne, sans son consentement, lorsque le caractère artificiel du contenu n’est pas évident ou n’est pas expressément mentionné.

Les sanctions sont les suivantes :

Diffusion hors ligne : un an d’emprisonnement et 15 000 € d’amende.

Diffusion en ligne (réseaux sociaux, messageries, sites web) : deux ans d’emprisonnement et 45 000 € d’amende. L’aggravation se justifie par le potentiel de viralité et l’impossibilité pratique de retirer complètement un contenu une fois diffusé sur internet.

Le deepfake à caractère sexuel (art. 226-8-1 nouveau)

La loi SREN a créé un article spécifique pour les deepfakes sexuels, qui constituent la forme la plus courante et la plus destructrice d’hypertrucage. L’article 226-8-1 du Code pénal sanctionne la diffusion de tout contenu généré par IA représentant l’image ou la voix d’une personne dans un contexte sexuel, sans son consentement.

Diffusion hors ligne : deux ans d’emprisonnement et 60 000 € d’amende.

Diffusion en ligne : trois ans d’emprisonnement et 75 000 € d’amende.

Les peines sont aggravées lorsque la victime est mineure, lorsque l’auteur est le conjoint ou l’ex-conjoint, ou lorsque le contenu est diffusé dans le but de nuire.

Conditions de l’infraction

Trois conditions cumulatives doivent être réunies pour caractériser le délit :

Le contenu doit avoir été généré ou modifié par un traitement algorithmique — ce qui couvre les outils de face swap, de synthèse vocale, et les modèles de génération d’images (Midjourney, Stable Diffusion, etc.).

La personne représentée n’a pas donné son consentement à la création ou à la diffusion du contenu.

Le caractère artificiel du contenu n’est pas évident ou n’est pas expressément mentionné. Cette dernière condition est essentielle : un deepfake clairement étiqueté comme tel (par exemple dans un contexte parodique ou artistique avec mention explicite) échappe à l’incrimination. C’est l’absence de transparence qui est sanctionnée.

L’AI Act et l’obligation de transparence

Le règlement européen sur l’intelligence artificielle (AI Act), dont les dispositions relatives aux deepfakes sont applicables depuis le 2 août 2025, impose des obligations spécifiques aux fournisseurs et déployeurs de systèmes d’IA générant des hypertrucages.

Obligation de marquage technique

L’article 50 de l’AI Act impose aux fournisseurs de systèmes d’IA qui génèrent des contenus synthétiques (audio, vidéo, image, texte) de marquer techniquement ces contenus dans un format lisible par machine, permettant de détecter que le contenu a été généré ou manipulé par une IA. Concrètement, cela implique l’intégration de métadonnées (watermarking, C2PA) dans les fichiers produits.

Obligation d’étiquetage par les déployeurs

Les personnes qui utilisent un système d’IA pour générer ou manipuler du contenu constituant un deepfake doivent indiquer que le contenu a été généré ou manipulé artificiellement. Cette obligation s’applique à toute personne déployant un tel système, y compris les entreprises, les créateurs de contenu et les particuliers.

Sanctions AI Act

Le non-respect des obligations de transparence de l’AI Act expose à des amendes administratives pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial pour les entreprises. Ces sanctions sont distinctes et cumulables avec les sanctions pénales prévues par le droit français.

Exceptions

L’obligation de transparence connaît des exceptions limitées : les usages artistiques, satiriques ou fictionnels, à condition qu’ils ne portent pas atteinte aux droits fondamentaux des tiers. En pratique, un film utilisant des deepfakes à des fins créatives avec mention au générique respecterait l’obligation de transparence.

Deepfakes et RGPD

Le visage et la voix d’une personne sont des données personnelles au sens de l’art. 4(1) du RGPD — plus précisément des données biométriques lorsqu’elles permettent l’identification unique d’une personne physique (art. 9(1)). La création d’un deepfake implique nécessairement un traitement de ces données.

Base légale du traitement

La création d’un deepfake utilisant l’image ou la voix d’une personne sans son consentement ne dispose d’aucune base légale valide au titre du RGPD. Le consentement (art. 6(1)(a)) est absent par définition. L’intérêt légitime (art. 6(1)(f)) ne peut être invoqué car les droits et libertés de la personne concernée prévalent manifestement. Le traitement est donc illicite au regard du RGPD, indépendamment de sa qualification pénale.

Pour les usages légitimes de deepfakes (formation, marketing avec accord de la personne, effets visuels), le consentement explicite de la personne représentée constitue la seule base légale appropriée, d’autant plus que les données biométriques relèvent de l’art. 9 du RGPD.

Droits des victimes

La personne victime d’un deepfake peut exercer ses droits au titre du RGPD :

Le droit à l’effacement (art. 17) permet d’exiger la suppression du contenu. Le responsable de traitement doit y répondre dans un délai d’un mois. Sur les plateformes, ce droit se cumule avec les obligations de retrait prévues par le DSA.

Le droit d’accès (art. 15) permet de savoir quelles données ont été utilisées et à qui elles ont été communiquées — information précieuse pour identifier la chaîne de diffusion.

Le droit d’opposition (art. 21) permet de s’opposer à tout traitement ultérieur de ses données biométriques.

Sanctions CNIL

La CNIL peut sanctionner le créateur ou le diffuseur d’un deepfake sur le fondement du RGPD, avec des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Cette voie est complémentaire de l’action pénale et peut être particulièrement efficace contre les plateformes qui hébergent ou ne retirent pas assez rapidement les deepfakes signalés.

Obligations des entreprises face aux deepfakes

Prévention des fraudes par deepfake

Les entreprises sont des cibles privilégiées des fraudes par deepfake : faux ordres de virement par deepfake vocal ou vidéo, usurpation de l’identité de dirigeants, ingénierie sociale sophistiquée. La prévention passe par la sensibilisation des collaborateurs aux risques de deepfake, la mise en place de procédures de vérification pour les demandes sensibles (double authentification, mot de passe verbal), et la documentation dans la politique de sécurité (PSSI) des procédures spécifiques aux menaces par deepfake.

Protection des collaborateurs

L’employeur a une obligation de protection de la santé et de la sécurité de ses salariés, y compris face au cyberharcèlement par deepfake. Si un salarié est victime d’un deepfake diffusé dans le cadre professionnel, l’employeur doit agir : signalement aux plateformes, accompagnement juridique, et le cas échéant signalement aux autorités compétentes. Les obligations RGPD de l’employeur en matière de traitement des données des salariés s’appliquent pleinement.

Utilisation légitime de deepfakes en entreprise

Certaines entreprises utilisent des technologies de synthèse vocale ou vidéo pour des usages légitimes : avatars IA pour le service client, voix de synthèse pour les supports de formation, vidéos marketing avec consentement des personnes représentées. Dans ce cas, l’entreprise doit obtenir le consentement explicite des personnes dont l’image ou la voix est reproduite, respecter l’obligation de transparence de l’AI Act (marquage technique et étiquetage), documenter le traitement dans son registre des activités de traitement, et réaliser une AIPD si le traitement est susceptible d’engendrer un risque élevé.

Recours des victimes : la procédure à suivre

Signalement à la plateforme

Premier réflexe : signaler le contenu à la plateforme hébergeuse. Le DSA impose aux plateformes en ligne de traiter les signalements dans des délais raisonnables. Pour les contenus manifestement illicites (deepfakes sexuels notamment), l’ARCOM peut ordonner le retrait dans un délai de 72 heures.

Plainte pénale

La victime peut déposer plainte auprès du commissariat ou de la gendarmerie, ou directement auprès du procureur de la République. La qualification pénale dépendra du type de deepfake : art. 226-8 (deepfake général), art. 226-8-1 (deepfake sexuel), ou d’autres qualifications complémentaires (escroquerie, usurpation d’identité, cyberharcèlement).

Plainte CNIL

Parallèlement à l’action pénale, la victime peut saisir la CNIL pour violation du RGPD. La CNIL peut mener une enquête, prononcer des mises en demeure et infliger des sanctions administratives. Cette voie est particulièrement pertinente lorsque le deepfake est diffusé par une entreprise ou sur une plateforme identifiable.

Action civile

La victime peut engager une action civile en réparation du préjudice subi (atteinte à la vie privée, à la réputation, préjudice moral) devant le tribunal judiciaire. L’action en référé permet d’obtenir rapidement le retrait du contenu en cas d’urgence.

Ce qu’il faut retenir

• La loi SREN (mai 2024) crée un délit spécifique de deepfake : jusqu’à 2 ans de prison et 45 000 € d’amende pour la diffusion en ligne, 3 ans et 75 000 € pour les deepfakes sexuels.
• L’AI Act impose depuis août 2025 une obligation de marquage technique et d’étiquetage de tout contenu généré par IA, sous peine d’amendes allant jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires.
• Le RGPD s’applique car l’image et la voix sont des données personnelles — la CNIL peut sanctionner les créateurs et diffuseurs de deepfakes illicites.
• Les entreprises doivent se prémunir contre les fraudes par deepfake (faux ordres de virement) et protéger leurs collaborateurs contre le cyberharcèlement par hypertrucage.
• Les victimes disposent de quatre voies de recours : signalement plateforme, plainte pénale, plainte CNIL, et action civile.

FAQ

Le deepfake est-il un délit en France ?

Oui, depuis la loi SREN du 21 mai 2024. L’article 226-8 du Code pénal sanctionne la diffusion d’un contenu généré par IA représentant une personne sans son consentement et sans mention claire de son caractère artificiel. Les peines vont de 1 an de prison et 15 000 € d’amende (hors ligne) à 2 ans et 45 000 € (en ligne). Les deepfakes sexuels font l’objet d’une incrimination aggravée.

Quelles sont les obligations des entreprises utilisant des deepfakes ?

Les entreprises qui génèrent ou utilisent des contenus synthétiques doivent respecter l’obligation de transparence de l’AI Act (marquage technique et étiquetage), obtenir le consentement des personnes représentées, documenter le traitement dans leur registre RGPD, et réaliser une AIPD si nécessaire. Le non-respect expose à des sanctions pénales, administratives (CNIL, AI Act) et civiles.

Comment signaler un deepfake ?

Quatre voies sont possibles : signaler le contenu à la plateforme hébergeuse (obligation de traitement du signalement sous DSA), déposer plainte pénale (commissariat, gendarmerie ou procureur), saisir la CNIL pour violation du RGPD, et engager une action civile en référé pour obtenir le retrait en urgence. Pour les deepfakes sexuels, l’ARCOM peut ordonner le retrait sous 72 heures.

L’AI Act s’applique-t-il aux deepfakes créés par des particuliers ?

Oui. L’obligation de transparence de l’article 50 de l’AI Act s’applique à tout déployeur d’un système d’IA générant des deepfakes, y compris les particuliers. Toute personne qui crée un deepfake doit indiquer clairement que le contenu a été généré ou manipulé artificiellement. Seules les exceptions pour usage artistique, satirique ou fictionnel — à condition de ne pas porter atteinte aux droits fondamentaux — permettent d’alléger cette obligation.