Deepfakes : comment le droit français et européen protège les victimes en 2025
Les deepfakes malveillants ont augmenté de 550% entre 2021 et 2025, poussant l'Union européenne à adopter des réponses juridiques structurelles avec l'AI Act et le DSA. En France, les victimes disposent de recours pénaux et civils concrets, notamment via le droit à l'image et les infractions du Code pénal.
Les deepfakes sont aujourd'hui pleinement encadrés par le droit français et européen, mais les victimes doivent connaître les bons leviers pour agir efficacement.
La prolifération des contenus synthétiques générés par intelligence artificielle constitue l'un des défis les plus urgents de notre écosystème numérique. Vidéos truquées imitant des personnalités politiques, faux enregistrements audio de dirigeants d'entreprise, montages pornographiques non consentis — les usages malveillants des deepfakes ont explosé ces dernières années. Selon le rapport de l'Agence de l'Union européenne pour la cybersécurité (ENISA) publié en 2025, le volume de deepfakes malveillants détectés en ligne a augmenté de 550 % entre 2021 et 2025, et 96 % des deepfakes à caractère sexuel ciblent des femmes.
Cet article fait le point sur l'ensemble des dispositifs juridiques mobilisables en France et en Europe : de l'AI Act (entré en vigueur en août 2024) au Digital Services Act (DSA), en passant par les infractions pénales du Code pénal, le droit à l'image et les voies civiles. Vous découvrirez également ce que les plateformes sont désormais tenues de faire — et les recours concrets disponibles pour les victimes.
Contexte juridique
Les deepfakes sont visés par plusieurs textes fondamentaux : l'AI Act européen, le DSA et le droit pénal français, chacun apportant des obligations distinctes.
Un deepfake (contraction de deep learning et fake) est un contenu audiovisuel — image, vidéo ou audio — fabriqué ou manipulé grâce à des techniques d'intelligence artificielle, notamment les réseaux antagonistes génératifs (GAN) et les modèles de diffusion. La technologie permet de substituer un visage, de cloner une voix ou de faire prononcer à une personne réelle des propos qu'elle n'a jamais tenus, avec un degré de réalisme croissant qui dépasse souvent les capacités de détection à l'œil nu.
L'AI Act : une réponse européenne structurelle
Le Règlement (UE) 2024/1689 sur l'intelligence artificielle, dit AI Act, entré en vigueur en août 2024, constitue le premier cadre légal mondial dédié à l'IA. Il introduit des obligations directement applicables aux deepfakes à travers son Article 50, qui impose une obligation de transparence et de marquage :
- Tout contenu synthétique (image, vidéo, audio, texte) généré ou manipulé par IA et susceptible d'induire une personne en erreur doit être étiqueté de manière lisible par machine (machine-readable disclosure).
- Les systèmes d'IA générative à usage général (GPAI) doivent fournir une documentation permettant d'identifier les contenus synthétiques.
- Les deepfakes à finalité de manipulation électorale ou de désinformation à grande échelle relèvent de la catégorie des risques inacceptables si utilisés par des autorités publiques, avec une interdiction stricte.
Les sanctions prévues par l'AI Act pour violation des obligations de transparence atteignent jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel.
Le DSA : la responsabilité des plateformes
Le Règlement (UE) 2022/2065 sur les services numériques (DSA), pleinement applicable depuis février 2024 pour toutes les plateformes, impose aux très grandes plateformes en ligne (VLOP) — celles dépassant 45 millions d'utilisateurs actifs mensuels dans l'UE — des obligations renforcées face aux deepfakes :
- Article 34 DSA : obligation d'évaluation des risques systémiques liés aux contenus synthétiques malveillants.
- Article 35 DSA : obligation de mettre en place des mesures d'atténuation (étiquetage, signalement facilité, outils de détection).
- Article 16 DSA : mécanismes de signalement rapide accessibles à tous les utilisateurs.
La Commission européenne a déjà ouvert des procédures formelles contre plusieurs VLOP au titre du DSA, notamment concernant leur gestion des deepfakes à caractère électoral.
Analyse approfondie
En droit français, les deepfakes malveillants peuvent être poursuivis sous plusieurs qualifications pénales cumulables, avec des peines pouvant atteindre 5 ans d'emprisonnement.
Les infractions pénales mobilisables
Le Code pénal français ne contient pas (encore) d'infraction spécifiquement intitulée "deepfake", mais plusieurs dispositions existantes s'appliquent pleinement :
1. Montage portant atteinte à la dignité ou à la réputation (Article 226-8 du Code pénal) Cet article punit d'un an d'emprisonnement et 15 000 € d'amende le fait de publier un montage réalisé avec les paroles ou l'image d'une personne sans son consentement, dès lors que le caractère fictif n'est pas évident ou qu'il n'en est pas fait mention. La peine est portée à deux ans et 30 000 € lorsque le montage est réalisé avec les paroles ou l'image d'un mineur.
2. Usurpation d'identité numérique (Article 226-4-1 du Code pénal) Utiliser l'identité d'un tiers ou des données le concernant sur un réseau de communication électronique en vue de troubler sa tranquillité ou celle d'autrui est puni d'un an d'emprisonnement et 15 000 € d'amende.
3. Diffamation et injure (Loi du 29 juillet 1881) Les deepfakes diffusant de fausses déclarations ou comportements imputés à une personne tombent sous le coup des Articles 29 à 33 de la loi sur la liberté de la presse, avec un délai de prescription spécifique de 3 mois à compter de la première publication — un délai court qui impose une réaction rapide de la victime.
4. Revenge porn synthétique (Article 226-2-1 du Code pénal) Introduit par la loi du 3 août 2018, puis renforcé, cet article punit de deux ans d'emprisonnement et 60 000 € d'amende la diffusion de contenus à caractère sexuel sans consentement. La loi du 8 avril 2021 a expressément étendu cette infraction aux contenus synthétiques générés par IA, couvrant ainsi les deepfakes pornographiques.
5. Manipulation de l'information électorale (Loi du 22 décembre 2018) La diffusion de deepfakes visant à altérer la sincérité d'un scrutin dans les trois mois précédant une élection peut être qualifiée d'atteinte à la sincérité du scrutin et donner lieu à des mesures d'urgence judiciaires.
Tableau comparatif des principaux fondements juridiques
| Fondement | Base légale | Peine maximale | Délai de prescription |
|---|---|---|---|
| Montage non consenti | Art. 226-8 CP | 1 an / 15 000 € | 6 ans |
| Usurpation d'identité | Art. 226-4-1 CP | 1 an / 15 000 € | 6 ans |
| Revenge porn synthétique | Art. 226-2-1 CP | 2 ans / 60 000 € | 6 ans |
| Diffamation publique | Loi 1881, art. 29 | 1 an / 45 000 € | 3 mois |
| Violation AI Act (transparence) | Art. 50 AI Act | 15 M€ ou 3 % CA | — |
Le droit à l'image : un fondement civil puissant
Au-delà du pénal, le droit à l'image — fondé sur l'Article 9 du Code civil (droit au respect de la vie privée) et l'Article 8 de la Convention européenne des droits de l'homme — offre une voie civile efficace. Toute personne dont l'image est utilisée sans consentement peut obtenir :
- La suppression en référé du contenu (procédure d'urgence sous 24 à 72 heures)
- Des dommages et intérêts pour le préjudice moral et économique subi
- La publication du jugement comme mesure de réparation symbolique
La jurisprudence française reconnaît depuis longtemps que le droit à l'image est un droit autonome et absolu : même l'absence de préjudice prouvé ouvre droit à réparation (Cass. 1re civ., 13 avril 2023, n° 21-24.016).
Implications pratiques
Pour les victimes, une réaction rapide est essentielle : signalement, référé judiciaire et plainte pénale peuvent être menés en parallèle dès la découverte du contenu.
Du côté des victimes
La victime d'un deepfake malveillant dispose d'un arsenal combiné :
- Signalement immédiat à la plateforme via le mécanisme DSA (réponse exigée sous 24h pour les contenus illicites manifestes sur les VLOP).
- Dépôt de plainte auprès de la Police nationale ou de la Gendarmerie, ou directement auprès du Procureur de la République (Article 40 CPP). La PHAROS (plateforme de l'Office central de lutte contre la criminalité liée aux technologies de l'information) centralise les signalements en ligne.
- Référé d'urgence devant le Tribunal judiciaire pour obtenir le retrait du contenu dans les 48 à 72 heures.
- Saisine de la CNIL si des données biométriques ont été traitées sans consentement, en violation du RGPD (Article 9 du Règlement 2016/679).
Du côté des plateformes
Les opérateurs de plateformes numériques opérant en Europe font face à des obligations croissantes :
- Étiquetage obligatoire des contenus générés par IA (AI Act, Article 50)
- Audit de risques annuel pour les VLOP (DSA, Article 34)
- Coopération avec les autorités désignées par les États membres (en France, l'ARCOM est l'autorité compétente pour le DSA)
- Mise en place d'outils de détection automatisée des deepfakes, dont l'efficacité reste un défi technique majeur — les meilleurs modèles atteignent environ 85-90 % de précision dans des conditions contrôlées, selon les benchmarks FaceForensics++ et Celeb-DF.
Deux lectures opposées du cadre actuel
Pour les partisans d'un encadrement renforcé : l'empilement des textes (AI Act, DSA, RGPD, Code pénal) crée une protection multicouche cohérente, et les obligations de transparence de l'AI Act constituent une avancée décisive.
Pour les critiques : la fragmentation des régimes juridiques complique la tâche des victimes ordinaires, peu familières avec ces mécanismes. Les délais de prescription courts en matière de diffamation (3 mois) et l'identification difficile des auteurs — souvent anonymes et hors UE — restent des obstacles pratiques majeurs.
Points clés à retenir
- Les deepfakes sont des contenus audiovisuels synthétiques générés par IA (GAN, modèles de diffusion), de plus en plus indétectables à l'œil nu.
- L'AI Act (en vigueur depuis août 2024) impose une obligation d'étiquetage des contenus synthétiques sous peine de sanctions atteignant 15 millions d'euros.
- Le DSA oblige les très grandes plateformes (45M+ utilisateurs UE) à détecter, signaler et retirer les deepfakes malveillants.
- En droit pénal français, l'Article 226-8 CP (montage non consenti) et l'Article 226-2-1 CP (revenge porn synthétique) sont les fondements les plus directement applicables.
- Le délai de prescription de 3 mois en matière de diffamation impose une réaction extrêmement rapide de la victime.
- La CNIL est compétente lorsque le deepfake implique un traitement de données biométriques (visage, voix) sans consentement.
- Les victimes peuvent cumuler l'action pénale, le référé civil et la procédure de signalement DSA pour maximiser leurs chances d'obtenir le retrait rapide du contenu.
Questions fréquentes
Qu'est-ce qu'un deepfake exactement ?
Un deepfake est un contenu audiovisuel — vidéo, image ou audio — fabriqué ou altéré grâce à des algorithmes d'intelligence artificielle, notamment les réseaux antagonistes génératifs (GAN). La technologie permet de superposer un visage, de cloner une voix ou de simuler des comportements jamais produits par la personne représentée, avec un réalisme croissant difficile à détecter sans outils spécialisés.
Est-ce qu'un deepfake est illégal en France ?
Un deepfake n'est pas illégal en soi, mais ses usages malveillants le sont. La publication sans consentement d'un montage portant atteinte à l'honneur ou à la dignité d'une personne est punie par l'Article 226-8 du Code pénal. Les deepfakes à caractère sexuel non consentis tombent sous le coup de l'Article 226-2-1 CP, avec jusqu'à 2 ans d'emprisonnement et 60 000 € d'amende.
Que faire si je suis victime d'un deepfake ?
Il faut agir vite : d'abord signaler le contenu à la plateforme via son mécanisme DSA (réponse requise sous 24h pour les contenus illicites manifestes), déposer plainte auprès de la Police ou de la Gendarmerie (ou via PHAROS en ligne), et envisager un référé d'urgence devant le Tribunal judiciaire pour obtenir le retrait sous 48-72 heures. Un avocat spécialisé en droit du numérique peut coordonner ces démarches simultanément.
Les plateformes comme YouTube ou Instagram sont-elles responsables des deepfakes publiés ?
Sous le DSA, les très grandes plateformes (dépassant 45 millions d'utilisateurs actifs dans l'UE) ont des obligations renforcées d'évaluation des risques et d'atténuation. Elles ne sont pas responsables a priori des contenus tiers, mais engagent leur responsabilité si elles ne retirent pas promptement un contenu illicite après signalement conforme — conformément au régime de responsabilité limitée encadré par le DSA.
L'AI Act protège-t-il contre les deepfakes électoraux ?
Oui, partiellement. L'Article 50 de l'AI Act impose l'étiquetage de tout contenu synthétique susceptible d'induire en erreur le public. De plus, les systèmes d'IA utilisés pour la manipulation comportementale à grande échelle dans un contexte électoral relèvent des pratiques interdites (Article 5 AI Act). En France, la loi du 22 décembre 2018 sur la manipulation de l'information permet également des mesures judiciaires d'urgence dans les 3 mois précédant un scrutin.
Quelle est la différence entre deepfake et cheapfake ?
Un deepfake utilise des algorithmes d'IA sophistiqués (GAN, modèles de diffusion) pour générer des contenus synthétiques convaincants. Un cheapfake (ou shallowfake) désigne des manipulations plus basiques — ralentissement d'une vidéo, découpage, sous-titrage modifié — qui ne nécessitent pas d'IA. Les deux sont juridiquement problématiques, mais l'AI Act cible spécifiquement les contenus générés ou modifiés par IA.
La CNIL peut-elle intervenir dans une affaire de deepfake ?
Oui. Dès lors que le deepfake implique le traitement de données biométriques — reconnaissance faciale, empreinte vocale — sans consentement de la personne concernée, il y a violation de l'Article 9 du RGPD. La CNIL peut être saisie d'une plainte, et peut prononcer des amendes administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial de l'entité responsable.
Existe-t-il des outils fiables pour détecter un deepfake ?
Les outils de détection automatisée atteignent aujourd'hui environ 85 à 90 % de précision dans des conditions contrôlées (benchmarks FaceForensics++ et Celeb-DF). Des solutions comme Microsoft Video Authenticator, Intel FakeCatcher ou les approches VIMAL sont utilisées par des experts. Cependant, la course entre génération et détection reste asymétrique : les outils de création progressent plus vite que ceux de détection, ce qui pose un défi structurel au cadre juridique actuel.
Questions fréquentes
- Qu'est-ce qu'un deepfake au sens juridique ?
- Un deepfake est un contenu audiovisuel (image, vidéo ou audio) fabriqué ou manipulé par intelligence artificielle, notamment via des GAN ou modèles de diffusion, pour faire dire ou faire à une personne réelle ce qu'elle n'a jamais dit ou fait.
- L'AI Act interdit-il les deepfakes en Europe ?
- L'AI Act n'interdit pas tous les deepfakes, mais impose via son Article 50 une obligation de marquage lisible par machine pour tout contenu synthétique trompeur. Les deepfakes à des fins de manipulation électorale par des autorités publiques sont en revanche strictement interdits.
- Quelles sont les obligations des plateformes face aux deepfakes selon le DSA ?
- Les très grandes plateformes (VLOP) doivent évaluer les risques systémiques liés aux deepfakes (Art. 34), mettre en place des mesures d'atténuation comme l'étiquetage (Art. 35) et proposer des mécanismes de signalement rapide accessibles à tous (Art. 16).
- Quels recours pénaux existent en France pour les victimes de deepfakes ?
- Les victimes peuvent mobiliser plusieurs infractions du Code pénal : atteinte à la vie privée, diffamation, injure, usurpation d'identité numérique, et pour les deepfakes à caractère sexuel, la diffusion d'images à caractère sexuel sans consentement (revenge porn), passible de 2 ans d'emprisonnement et 60 000 € d'amende.
- Quelles sanctions sont prévues pour les créateurs de deepfakes illicites ?
- Les sanctions varient selon le texte applicable : jusqu'à 15 millions d'euros ou 3% du chiffre d'affaires mondial pour violation de l'AI Act, et des peines pénales en droit français pouvant aller jusqu'à plusieurs années d'emprisonnement selon la qualification retenue.