Deepfakes en France : ce que la loi SREN punit vraiment (et ce qu'elle oublie)

Les deepfakes sont désormais punissables en France d'un an d'emprisonnement et 15 000 € d'amende grâce à la loi SREN. Depuis l'entrée en vigueur de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (dite loi SREN), la France dispose d'un arsenal pénal spécifique pour lutter contre les contenus hypertrucqués non consentis. Deux ans après son adoption, il est temps de dresser un bilan lucide : qu'est-ce que ce texte a réellement changé pour les victimes, et où se situent encore ses limites ?

Dans cet article, nous analysons le nouvel article 226-8-1 du Code pénal, les recours concrets disponibles, et la façon dont ce dispositif s'articule avec le Règlement européen sur l'IA (AI Act) et le RGPD. Que vous soyez victime d'un deepfake, professionnel du droit ou simplement curieux des enjeux de l'IA, ce guide pratique vous donnera les clés pour comprendre et agir.

Contexte juridique

La loi SREN du 21 mai 2024 a introduit l'article 226-8-1 du Code pénal, créant la première infraction pénale spécifique aux deepfakes en France.

Avant la loi SREN, les victimes de deepfakes devaient se tourner vers des infractions préexistantes, inadaptées à la réalité technologique. Le droit à l'image (article 9 du Code civil), les dispositions sur la diffamation (loi du 29 juillet 1881) ou encore l'infraction de montage réalisé à l'aide des paroles ou de l'image d'une personne (ancien article 226-8 du Code pénal) constituaient des fondements juridiques fragiles. La preuve de l'intention malveillante, la qualification de l'acte et l'identification des auteurs se heurtaient à des obstacles considérables.

La loi SREN est venue combler cette lacune en modifiant le Code pénal pour cibler explicitement les hypertrucages (terme retenu par le législateur français pour désigner les deepfakes). Parallèlement, au niveau européen, l'AI Act, entré en vigueur en août 2024, impose aux systèmes d'IA générant des contenus synthétiques une obligation de marquage (watermarking), créant ainsi un socle complémentaire de responsabilité. Enfin, le RGPD reste applicable dès lors qu'un deepfake utilise des données biométriques ou personnelles identifiables, ce qui est structurellement le cas.

Analyse approfondie

L'article 226-8-1 du Code pénal punit d'un an d'emprisonnement et 15 000 € d'amende la diffusion non consentie d'un hypertrucage.

Le nouvel article 226-8-1 du Code pénal : anatomie d'une infraction

L'article 226-8-1 du Code pénal, introduit par l'article 47 de la loi SREN, réprime le fait de diffuser, sans le consentement de la personne représentée, un contenu généré ou modifié par un traitement algorithmique et présentant cette personne dans une situation à caractère sexuel ou de nature à lui porter gravement atteinte à sa dignité ou à sa réputation.

Les peines encourues sont les suivantes :

• 1 an d'emprisonnement et 15 000 € d'amende pour la diffusion simple
• 2 ans d'emprisonnement et 30 000 € d'amende lorsque la victime est un mineur
• 2 ans et 30 000 € lorsque l'infraction est commise par un conjoint, concubin ou partenaire de PACS (contexte de violences conjugales)

Il est important de souligner que l'infraction vise la diffusion, et non nécessairement la création du deepfake. Cette distinction a des implications pratiques majeures : quelqu'un qui partage un deepfake peut être poursuivi, même s'il n'en est pas l'auteur technique.

La question de l'incrimination de la création

La doctrine juridique a relevé une lacune significative : la création d'un deepfake non consenti n'est pas en elle-même érigée en infraction autonome par l'article 226-8-1. Comme le soulignait une analyse publiée en novembre 2025, la loi SREN « marque une étape décisive pour criminaliser la création de deepfakes » en ciblant les hypertrucages, mais la répression reste principalement attachée à l'acte de diffusion. Un créateur de deepfake qui ne diffuse pas le contenu peut dès lors échapper à cette qualification pénale spécifique — même s'il reste exposable sur d'autres fondements (harcèlement, menace, extorsion).

Tableau comparatif : avant et après la loi SREN

L'articulation avec le RGPD et l'AI Act

Le RGPD s'applique dès lors que le deepfake utilise des données biométriques (visage, voix), qui constituent des données sensibles au sens de l'article 9 du règlement. Toute personne peut exercer son droit à l'effacement (article 17 RGPD) auprès de la plateforme qui héberge le contenu. La CNIL peut être saisie en cas de manquement.

L'AI Act, entré en vigueur en août 2024 et applicable progressivement depuis lors, impose aux fournisseurs de systèmes d'IA générant des contenus synthétiques réalistes une obligation de marquage technique (watermarking) et de transparence. Les plateformes et créateurs de contenu IA sont tenus d'indiquer que le contenu est généré artificiellement. Le non-respect de cette obligation expose à des amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel pour les acteurs concernés.

Implications pratiques

Pour les victimes, trois voies d'action se combinent : dépôt de plainte pénale, signalement CNIL et demande de retrait aux plateformes.

Du côté des victimes

La loi SREN a incontestablement amélioré la situation des victimes. Pour la première fois, elles disposent d'une qualification pénale directement applicable sans avoir à démontrer une diffamation ou une atteinte à la vie privée par voie détournée. En pratique, la victime peut :

1. Déposer plainte auprès du procureur de la République ou d'un service de police/gendarmerie, en visant expressément l'article 226-8-1 du Code pénal.
2. Signaler le contenu aux plateformes (obligation de retrait rapide issue du Digital Services Act applicable en France depuis 2024).
3. Saisir la CNIL pour violation du RGPD (traitement de données biométriques sans consentement).
4. Engager une action civile sur le fondement de l'article 9 du Code civil (droit à l'image) pour obtenir réparation du préjudice.

Il existe cependant un obstacle pratique majeur : l'identification de l'auteur. La majorité des deepfakes sont diffusés via des comptes anonymes ou des plateformes étrangères. Les enquêtes nécessitent des réquisitions judiciaires complexes, et les délais peuvent être longs.

Du côté des créateurs et plateformes

Pour les créateurs de contenu IA et les plateformes, la combinaison loi SREN / AI Act / DSA crée un cadre d'obligations cumulatives. La non-apposition de marquage (watermark) sur un contenu synthétique réaliste constitue désormais une violation de l'AI Act, indépendamment du caractère malveillant ou non du contenu. Les plateformes sont quant à elles soumises à des obligations renforcées de modération et de retrait sous peine de sanction par l'ARCOM (Autorité de régulation de la communication audiovisuelle et numérique).

Les limites persistantes du dispositif

Deux ans après l'adoption de la loi SREN, plusieurs points de fragilité demeurent :

• La preuve de l'hypertrucage : démontrer techniquement qu'un contenu est un deepfake peut nécessiter une expertise coûteuse.
• La compétence territoriale : lorsque l'auteur est situé hors de France, les poursuites se heurtent aux limites de la coopération internationale.
• L'absence d'infraction pour la simple création : un auteur qui fabrique un deepfake sans le diffuser reste à ce jour difficile à poursuivre sur ce fondement.
• La lenteur judiciaire : malgré la qualification pénale, le délai moyen de traitement des plaintes pour ce type d'infraction dépasse souvent 18 mois selon les retours du terrain.

Points clés à retenir

• La loi SREN (n° 2024-449 du 21 mai 2024) a créé l'article 226-8-1 du Code pénal, première infraction pénale spécifique aux deepfakes en France.
• La diffusion non consentie d'un hypertrucage est punie d'1 an de prison et 15 000 € d'amende, portés à 2 ans et 30 000 € pour les victimes mineures ou en contexte conjugal.
• L'infraction vise la diffusion, pas la création : une lacune relevée par la doctrine qui limite la portée du dispositif.
• Le RGPD s'applique systématiquement aux deepfakes utilisant des données biométriques, ouvrant un droit à l'effacement auprès des plateformes et un recours devant la CNIL.
• L'AI Act impose un marquage obligatoire des contenus synthétiques réalistes depuis son entrée en application progressive, sous peine d'amendes importantes.
• Trois voies d'action concrètes s'offrent aux victimes : plainte pénale, signalement CNIL, et retrait via le DSA.
• L'identification de l'auteur reste le principal obstacle pratique, en particulier lorsque la diffusion se fait via des plateformes étrangères ou des comptes anonymes.

Questions fréquentes

Qu'est-ce qu'un deepfake au sens juridique français ?

Le législateur français a retenu le terme "hypertrucage" pour désigner tout contenu généré ou modifié par un traitement algorithmique représentant de manière réaliste une personne réelle dans une situation fictive. Il s'agit notamment de vidéos, images ou fichiers audio produits par des outils d'intelligence artificielle générative.

Quelle est la peine pour avoir diffusé un deepfake non consenti en France ?

La diffusion non consentie d'un hypertrucage est punie d'1 an d'emprisonnement et 15 000 € d'amende en vertu de l'article 226-8-1 du Code pénal. Ces peines sont doublées si la victime est mineure ou si les faits sont commis dans un contexte conjugal (2 ans et 30 000 €).

La simple création d'un deepfake sans diffusion est-elle punissable ?

La création d'un deepfake sans diffusion ne tombe pas directement sous le coup de l'article 226-8-1 du Code pénal, qui vise l'acte de diffusion. Toutefois, d'autres qualifications peuvent s'appliquer selon le contexte : menace, harcèlement, extorsion, ou violation du RGPD si des données biométriques sont traitées sans consentement.

Comment signaler un deepfake dont je suis victime ?

Vous pouvez déposer plainte auprès des forces de l'ordre ou du procureur de la République en visant l'article 226-8-1 du Code pénal. Parallèlement, signalez le contenu directement à la plateforme concernée (obligation de retrait rapide sous le DSA), et saisissez la CNIL pour traitement illicite de vos données biométriques. La plateforme PHAROS permet également le signalement en ligne.

Le RGPD s'applique-t-il aux deepfakes ?

Oui. Dès lors qu'un deepfake utilise le visage ou la voix d'une personne identifiable, il implique un traitement de données biométriques, qualifiées de données sensibles par l'article 9 du RGPD. Ce traitement est en principe interdit sans consentement explicite. La victime peut exercer son droit à l'effacement (article 17 RGPD) et saisir la CNIL en cas de non-respect.

L'AI Act oblige-t-il à indiquer qu'un contenu est un deepfake ?

Oui. L'AI Act, entré en vigueur en août 2024, impose aux fournisseurs de systèmes d'IA générant des contenus synthétiques réalistes d'apposer un marquage technique (watermarking) et d'informer les utilisateurs que le contenu est généré par IA. Le non-respect de cette obligation est passible d'amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial.

Un deepfake à caractère politique ou satirique est-il également interdit ?

La loi prévoit une exception pour les œuvres de l'esprit à caractère artistique ou satirique, à condition que la nature fictive du contenu soit clairement indiquée. Une proposition de loi sur la manipulation de l'information déposée en 2023 avait par ailleurs envisagé une obligation générale de mention pour les deepfakes politiques. Ce point reste une zone de tension entre liberté d'expression et protection des personnes.

Que faire si l'auteur du deepfake est à l'étranger ?

La situation est plus complexe lorsque l'auteur réside hors de France. Les poursuites pénales nécessitent alors une commission rogatoire internationale, dont les délais sont souvent longs. En pratique, la voie la plus efficace consiste à cibler la plateforme qui héberge le contenu (soumise au DSA si elle opère en Europe) pour obtenir un retrait rapide, indépendamment des poursuites contre l'auteur.

Sources principales : loi n° 2024-449 du 21 mai 2024 (loi SREN) ; Règlement (UE) 2024/1689 (AI Act) ; RGPD (Règlement UE 2016/679) ; donneespersonnelles.fr (avril 2026) ; analyse doctrinale sur la loi SREN et l'incrimination des deepfakes (novembre 2025).