Deepfakes : Opportunités technologiques et risques juridiques

Deepfakes : Opportunités technologiques et risques juridiques

 Ce qu’il faut retenir

Il existe une multitude d’applications licites des deepfakes, sous réserve de respecter les droits des personnes. Malheureusement, les utilisations malveillantes restent trop nombreuses. La loi est cependant en train de s’étoffer. La lutte contre les deepfakes illicites devrait s’intensifier et les poursuites contre les fraudeurs se multiplier dans les mois qui viennent.


Les deepfakes ont mauvaise presse. En effet, les médias relatent régulièrement la diffusion de deepfakes détournant l’image d’une personnalité pour la ridiculiser (vidéo montrant le Président Macron en éboueur ou le pape François en doudoune), pour diffuser de fausses informations (tentative d’assassinat contre le Président Macron, l’ancien Président Donald Trump en prison ou Taylor Swift supportant le candidat Trump à la présidentielle américaine) ou pour porter atteinte à sa réputation (Emma Watson ou Taylor Swift représentées dans des deepfakes à caractère sexuel). Il est effectivement relativement facile de créer des montages comprenant des images et/ou du son grâce à des outils d’intelligence artificielle.

Or, il existe une multitude d’applications licites des deepfakes, sous réserve de respecter les droits des personnes. Malheureusement, les utilisations malveillantes restent trop nombreuses. La loi est cependant en train de s’étoffer avec les nouvelles dispositions de la loi SREN et du règlement sur l’IA. La lutte contre les deepfakes illicites devrait s’intensifier et les poursuites contre les fraudeurs se multiplier dans les mois qui viennent.*


1. Les deepfakes ne sont pas illicites - en principe

    a) Qu’est-ce qu’un deepfake ?

Un deepfake est une image ou une vidéo modifiée. Les deepfakes sont réalisés grâce à des modèles de “deep learning” (ou apprentissage profond) ou “machine learning” (apprentissage automatique), une technique d’intelligence artificielle utilisant un très gros volume de données d’apprentissage pour générer des contenus qui imitent la réalité (visages, voix, mouvements). (1) Les deepfakes ne portent pas nécessairement sur la modification de l’aspect d’une personne. Il peut aussi s’agir de la modification d’objets (images, tableaux, oeuvres d’art) ou de lieux par exemple.

Le deepfake, ou “hypertrucage”, est défini comme “une image ou un contenu audio ou vidéo généré ou manipulé par l’IA, présentant une ressemblance avec des personnes, des objets, des lieux, des entités ou événements existants et pouvant être perçu à tort par une personne comme authentiques ou véridiques.” (2)

L’utilisation des deepfakes est récente, et remonte à 2016-2017 avec le lancement de logiciels de création de deepfakes tels que DeepFaceLab ou FakeApp.

    b) Les deepfakes sont en principe licites

Le deepfake est un nouveau moyen d’expression et de communication. A ce titre, il relève de la liberté d’expression.

Les deepfakes sont utilisés dans de nombreux domaines, comme par exemple le domaine artistique (création d’images grâce aux logiciels MidJourney ou Dall-E, création de chansons avec la voix d’artistes disparus), cinématographique (personnages “rajeunis” de Harrison Ford dans le dernier opus de la saga Indiana Jones ou de Robert de Niro et Al Pacino dans The Irishman), ou publicitaire (campagne de Spotify utilisant une image de l’artiste The Weeknd).

    c) Les conditions de licéité des deepfakes : consentement, transparence et respect du droit d’auteur

Le caractère licite du deepfake repose sur certaines conditions, qui viennent notamment d’être précisées avec l’adoption de la loi visant à sécuriser et à réguler l’espace numérique le 21 mai 2024 (loi SREN) et du règlement européen sur l’intelligence artificielle le 13 juin 2024. (3)

    - Consentement et transparence
Les conditions posées par la loi SREN se limitent aux deepfakes représentant l’image et/ou la voix d’une personne. L’article 226-8 du code pénal a ainsi été modifié et complété pour intégrer les notions de consentement et de transparence : la personne dont l’image ou la voix sont utilisées dans un deepfake doit avoir donné son consentement, sauf s’il est expressément fait mention de l’utilisation de l’IA, ou d’un traitement algorithmique pour la création du deepfake ou si le caractère artificiel de l’image et/ou de la voix est évidente.

L’appréciation du caractère "évident” de l’utilisation de l’IA est toutefois subjective et risque de poser des problèmes d’interprétation. Le test de “l’évidence” d’une photo ou d’une vidéo deepfake devrait être analysé selon le critère d’une personne moyennement attentive, sans qu’il soit besoin de réaliser une analyse minutieuse, voire technique, du contenu.

Les dispositions de l’article 226-8 s’appliqueront pour tous types de deepfakes, ludiques, artistiques, cinématographiques ou commerciaux, et quelque soit le statut des personnes représentées, célèbres ou anonymes.

Le droit européen vient également renforcer l’encadrement des deepfakes. Selon le règlement sur l’intelligence artificielle (ou AI Act), les deepfakes entrent dans la catégorie des “IA à risque limité”. Ces systèmes d’IA sont considérés comme n’ayant pas d’incidence substantielle sur la prise de décision. (4) Dès lors, la mise sur le marché et l’utilisation de systèmes d’IA à risque limité sont très peu réglementés.

Le règlement sur l’IA prévoit toutefois une obligation de transparence à la charge des utilisateurs (“déployeurs”) de ce type de systèmes d’IA. Les images, contenus audio ou vidéo constituant un deepfake doivent indiquer, de manière claire et reconnaissable, que les contenus ont été générés ou manipulés par une IA. Cette obligation est étendue aux deepfakes de nature artistique, créative, satirique, fictive, mais de manière à ne pas entraver l’affichage ou la jouissance de l’oeuvre. Enfin, cette obligation de transparence ne s’applique pas “lorsque l’utilisation est autorisée par la loi à des fins de prévention ou de détection des infractions pénales, d’enquêtes ou de poursuites en la matière.” (5)

On notera que ces dispositions du règlement sur l’IA entreront en application le 2 août 2026.

Par ailleurs, même si le deepfake respecte la condition de transparence en mentionnant l’utilisation de l’IA, il conviendra d’être attentif au respect des droits des personnes, tels que le droit au respect de la vie privée et à l’image, le droit de la protection des données personnelles, ou le droit d’auteur.

    - Respect du droit d’auteur
Le créateur d’un deepfake utilisant une oeuvre protégée par le droit d’auteur (oeuvre musicale, peinture, photographie, etc.) doit au préalable obtenir l’autorisation de l’auteur ou de ses ayants droit, sauf par exemple si le deepfake peut être considéré comme une parodie ou une courte citation au sens du code de la propriété intellectuelle. (6) Ainsi, un deepfake reprenant une chanson ou un extrait de film utilisé dans une émission humoristique, qui relèverait de la parodie, pourrait être créé et diffusé sans obtenir l’accord des ayants droit.


2. De nombreux deepfakes sont cependant considérés comme illicites

La mauvaise réputation des deepfakes tient à leur utilisation malveillante par certains et/ou illicite car créés et diffusés en contravention des droits des personnes, qu’il s’agisse des personnes représentées ou des auteurs des oeuvres utilisées.

    a) Un très grand nombre de deepfakes sont frauduleux

Selon un rapport publié en septembre 2019 par la société Deeptrace, 96% des vidéos deepfake sont de nature pornographique. Huit des dix sites pornographiques les plus consultés hébergent des deepfakes. Et dans 99% des cas, les personnes concernées sont des femmes. (7)

Même si l’utilisation des deepfakes a largement évolué depuis 2019, les deepfakes illicites et frauduleux représentent toujours une proportion importante parmi les deepfakes diffusés.

    b) Différentes catégories de deepfakes frauduleux ou malveillants

La création de deepfakes malveillants par usurpation d’identité peut avoir pour objet la destabilisation économique ou politique (désinformation, manipulation de l’opinion publique) ou l’atteinte à l’image d’une personne (atteinte à la vie privée).

    - L’usurpation d’identité
Les deepfakes peuvent être utilisés pour véhiculer de fausses informations. Ainsi, l’utilisation de la technologie deepfake, en montrant une célébrité supportant un candidat aux élections présidentielles, un attentat contre une personne politique, ou encore de fausses déclarations par un homme politique peuvent avoir pour conséquence de manipuler l’opinion publique et de fausser le jeu démocratique.

La création de deepfakes utilisant l’image de célébrités pour vanter des placements financiers qui s’avèrent être frauduleux ou l’image d’un dirigeant d’entreprise annonçant de faux résultats financiers peuvent avoir des conséquences économiques désastreuses pour les victimes, particuliers ou entreprises.

    - L’escroquerie
Une autre catégorie de deepfakes illicite, pouvant relever de l’escroquerie concerne les deepfakes à caractère pornographique. Il s’agit de photos ou de vidéos manipulés, sur lesquelles le visage d’origine a été remplacé par celui de la victime, célèbre ou non. Ce type d’escroquerie peut être accompagné d’un chantage ou de cyberharcèlement à l’encontre de la victime, pratiques réprimées pénalement. (8)

    - L’atteinte à la vie privée
Enfin, sur le plan du droit civil, l’utilisation de l’image ou de la voix d’une personne sans son accord peut également constituer une atteinte à la vie privée, principe consacré à l’article 9 du code civil.

    c) La lutte contre les deepfakes illicites et malveillants se renforce

L’arsenal des mesures existantes de lutte contre les deepfakes (lutte contre les atteintes à la vie privée et à l’image, lutte contre l’extorsion, le chantage, l’usurpation d’identité, etc.) était imparfait. La loi SREN, le règlement sur l’IA, mais également le RGPD viennent renforcer les moyens de lutte contre les deepfakes illicites et malveillants.

    - Les deepfakes réalisés sans le consentement de la personne
L’article 226-8 du code pénal, modifié par la loi SREN, prévoit que le fait de diffuser un deepfake représentant l’image ou la voix d’une personne, sans son consentement, si le caractère artificiel de l’image et/ou de la voix n’apparaît pas de manière évidente ou s’il n’est pas expressément fait mention de l’utilisation de l’IA est puni d’un an d’emprisonnement et de 15.000 euros d’amende. Lorsque le deepfake est diffusé en ligne, sur les réseaux sociaux par exemple, les peines sont alourdies, passant à deux ans d’emprisonnement et 45.000 euros d’amende.

Par ailleurs, l’image et la voix d’une personne sont des données à caractère personnel au sens du RGPD. Leur utilisation sans le consentement de la personne concernée est également passible de sanction, pouvant s’élever à 20 millions d’euros ou, dans le cas d'une entreprise, jusqu'à 4% du chiffre d'affaires annuel mondial total de l’année N-1, le montant le plus élevé étant retenu. (9)

    - Le non-respect de l’obligation de transparence
Le non-respect de l’obligation de transparence prévue dans le règlement sur l’IA est sanctionné par une amende administrative pouvant atteindre 15 millions d’euros ou 3% du chiffre d’affaires annuel mondial de l’année N-1 de l’entreprise ayant créé le deepfake. (10)

    - Les deepfakes à caractère pornographique
La loi SREN a créé une infraction spécifique pour création de deepfakes à caractère sexuel sans le consentement de la personne concernée.

Le nouvel article 226-8-1 du code pénal prévoit que le fait de diffuser un deepfake à caractère sexuel représentant l’image ou la voix d’une personne, sans son consentement, est puni de deux ans d’emprisonnement et de 60.000 euros d’amende. Ces peines passent à trois ans d'emprisonnement et 75.000 euros d’amende lorsque l’infraction est réalisée en ligne. (11)

    - Le cyberharcèlement
Les deepfakes à caractère sexuel, mais aussi les deepfakes commis sur un mineur, sur une personne vulnérable ou sur le titulaire d'un mandat électif peuvent également participer du cyberharcèlement.

Le harcèlement est défini comme étant “le fait de harceler une personne par des propos ou comportements répétés ayant pour objet ou pour effet une dégradation de ses conditions de vie se traduisant par une altération de sa santé physique ou mentale (…).” Le cyberharcèlement, commis par l'utilisation d'un service de communication au public en ligne ou par le biais d'un support numérique ou électronique, est puni de 2 ans d’emprisonnement et de 30.000 euros d’amende. (12)

    - L’utilisation non autorisée d’une oeuvre protégée par le droit d’auteur
Enfin, le droit de la propriété intellectuelle est applicable aux deepfakes. L’utilisation d’une oeuvre protégée par le droit d’auteur (musique, photo, etc.) pour réaliser un deepfake, sans l’accord de l’auteur ou de ses ayants droit, est passible de poursuites en contrefaçon. La sanction en matière de contrefaçon peut atteindre trois ans d'emprisonnement et 300 000 euros d’amende (13)


    En conclusion, si vous souhaitez utiliser des deepfakes dans le cadre d’une activité professionnelle, pensez aux notions de consentement des personnes, de transparence (mention de l’utilisation de l’IA) et de respect du droit d’auteur. Un avocat peut vous accompagner pour confirmer la licéité d’un deepfake. Par ailleurs, si vous ou votre société êtes victimes d’un deepfake malveillant, il est recommandé de consulter un avocat pour analyser la nature du deepfake et envisager la pertinence de poursuites judiciaires à l’encontre de l’auteur du deepfake illicite.

* * * * * * * * * * *

* Une version abrégée de cet article a été publiée dans le Journal du Management Juridique n°102 (oct./nov. 2024)

(1) Contrairement au deepfake, un montage est réalisé manuellement, ou grâce à un logiciel n’ayant pas recours à l’IA, en utilisant des techniques classiques d’édition ou de retouches.

(2) Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (Règlement sur l’IA ou AI Act), art. 3

(3) Loi n°2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique.

(4) Règlement sur l’IA, considérant 53

(5) Règlement sur l’IA, considérants 132 à 134 et article 50 (4) et (5)

(6) Article L.122-5 du code de la propriété intellectuelle

(7) Deeptrace “The state of deepfakes : Landscape, threats and impact”, septembre 2019, cité lors de l’examen du projet de loi SREN au Sénat en juillet 2023

(8) Voir les articles 312-1 du code pénal (extorsion), 312-10 (chantage) et 222-33-2-2 (cyberharcèlement)

(9) Règlement sur la protection des données (RGPD), article 83

(10) Règlement sur l’IA, article 99 (4)

(11) Loi SREN, article 15 modifiant l’article 226-8 du code pénal, et loi SREN article 21 créant un nouvel article 226-8-1 du code pénal

(12) Article 222-33-2-2 du code pénal

(13) Article L.335-2 du code de la propriété intellectuelle


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Octobre 2024