À l'horizon août 2026, trois textes convergent pour redéfinir la vérification d'identité en France et en Europe : le Règlement (UE) 2024/1689 du 13 juin 2024 dit « AI Act », la loi n° 2024-449 du 21 mai 2024 dite « SREN » et le Règlement (UE) 2024/1183 du 11 avril 2024 modifiant eIDAS. À cette convergence calendaire s'ajoute la maturité des outils d'IA générative grand public, qui rend l'hypertrucage accessible sans compétence technique avancée. Pour un dirigeant de PME, un DRH ou un particulier exposé, la question n'est plus théorique : c'est celle de la résistance d'une chaîne d'identité face à un faux convaincant.
Pourquoi 2026 redéfinit la vérification d'identité face aux deepfakes
Le Règlement (UE) 2024/1689 définit l'hypertrucage à son article 3, §60, comme « une image ou un contenu audio ou vidéo généré ou manipulé par IA, présentant une ressemblance avec des personnes, des objets, des lieux, des entités ou événements existants et pouvant être perçu à tort par une personne comme authentiques ou véridiques ». Cette définition européenne sert désormais de socle commun pour les autorités de contrôle, les juges et les déployeurs d'IA.
La CNIL identifie trois familles de risques liés à ces contenus : atteinte à la vie privée, atteinte à la réputation, et fraude — qu'il s'agisse d'escroqueries financières ou de manipulation de l'opinion. À ces risques s'ajoute une dimension contractuelle et procédurale : l'identification d'un cocontractant à distance, l'authentification d'un dirigeant dans une visioconférence, la production d'un fichier vidéo en justice.
Trois échéances structurent l'année 2026. Les obligations de transparence de l'article 50 de l'AI Act deviennent applicables le 2 août 2026 (article 113 du règlement). Le portefeuille européen d'identité numérique (EUDI Wallet) prévu par eIDAS 2 doit être mis à disposition par chaque État membre dans les 24 mois suivant les actes d'exécution. Le régime pénal français des deepfakes, issu de la loi SREN, est quant à lui pleinement en vigueur depuis sa promulgation au JORF du 22 mai 2024. Notre méthodologie d'enquête intègre cette grille de lecture comme cadre de référence.
AI Act : l'obligation de transparence sur les contenus générés par IA
L'article 50 du Règlement (UE) 2024/1689 articule deux obligations distinctes. L'article 50, §2 impose aux fournisseurs de systèmes d'IA générative de marquer leurs sorties dans un format lisible par machine — watermarking, métadonnées, identifiants cryptographiques, fingerprinting — permettant de détecter qu'un contenu a été généré ou manipulé. L'article 50, §4 impose aux déployeurs, c'est-à-dire aux utilisateurs professionnels d'un système d'IA produisant un hypertrucage, d'indiquer clairement que le contenu a été généré ou manipulé artificiellement. Pour les textes publiés dans l'intérêt public, l'information du public est également obligatoire.
Le règlement prévoit des exceptions limitées. Les usages artistiques, satiriques ou de fiction bénéficient d'une mention adaptée, non intrusive, qui ne doit pas dégrader l'expérience. Les autorités compétentes pour la détection, la prévention ou la poursuite d'infractions pénales sont exclues du champ.
Les sanctions, fixées à l'article 99, peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial total — le montant le plus élevé étant retenu — en cas de manquement aux obligations de transparence. En France, le contrôle relève notamment de l'ARCOM pour le numérique et de la DGCCRF pour les pratiques commerciales. La Commission européenne pilote la rédaction d'un Code de bonnes pratiques sur le marquage et de lignes directrices relatives aux obligations de transparence, dont la consultation publique s'est tenue en 2025.
Loi SREN : le régime pénal français des deepfakes depuis le 21 mai 2024
L'article 226-8 du Code pénal, dans sa rédaction issue de la loi SREN, réprime de un an d'emprisonnement et 15 000 euros d'amende le fait de porter à la connaissance du public ou d'un tiers le montage réalisé avec les paroles ou l'image d'une personne sans son consentement, s'il n'apparaît pas à l'évidence qu'il s'agit d'un montage ou s'il n'en est pas expressément fait mention. La même peine s'applique à un contenu visuel ou sonore généré par un traitement algorithmique reproduisant l'image ou les paroles d'une personne dans les mêmes conditions. Les peines sont portées à deux ans d'emprisonnement et 45 000 euros d'amende lorsque l'infraction est commise via un service de communication au public en ligne.
L'article 226-8-1, créé par la loi SREN, incrimine spécifiquement les deepfakes à caractère sexuel. La diffusion d'un contenu visuel ou sonore à caractère sexuel généré par traitement algorithmique reproduisant l'image ou les paroles d'une personne sans son consentement est punie de deux ans d'emprisonnement et 60 000 euros d'amende, peines portées à trois ans d'emprisonnement et 75 000 euros d'amende en cas de diffusion en ligne. La circulaire DACG n° JUSD2434603C du 16 décembre 2024 précise les conditions de mise en œuvre de ces incriminations et leur articulation avec l'article 226-1 du Code pénal relatif à l'atteinte à la vie privée.
Un angle mort doctrinal subsiste : un hypertrucage explicitement signalé comme tel échappe à l'incrimination de l'article 226-8. La transparence opérée par celui qui diffuse le neutralise pénalement, ce qui rend d'autant plus déterminantes les obligations préventives de marquage portées par l'AI Act.
eIDAS 2 et EUDI Wallet : le socle européen d'authentification à horizon 2026
Le Règlement (UE) 2024/1183 modifie le Règlement (UE) n° 910/2014 (eIDAS 1) en imposant à chaque État membre la mise à disposition d'un portefeuille européen d'identité numérique. Là où eIDAS 1 se limitait à la reconnaissance mutuelle des schémas nationaux d'identification électronique et aux services de confiance qualifiés (signature, horodatage, cachet, envoi recommandé, certificat d'authentification de site web), eIDAS 2 ajoute une brique structurelle : l'EUDI Wallet, interopérable et fondé sur des spécifications techniques communes.
Le règlement d'exécution (UE) 2015/1502 du 8 septembre 2015 fixe trois niveaux d'assurance. Le niveau « faible » correspond à un enrôlement déclaratif. Le niveau « substantiel » suppose une vérification documentaire et une authentification multi-facteur. Le niveau « élevé » exige un enrôlement avec présence physique ou équivalent reconnu, et une authentification fondée sur un dispositif matériel — typiquement la carte nationale d'identité électronique. L'EUDI Wallet doit atteindre le niveau « élevé » par défaut.
En France, la brique « France Identité », adossée à la carte nationale d'identité électronique, est positionnée comme le socle du futur portefeuille français. FranceConnect+, fondé notamment sur L'Identité Numérique La Poste, est pré-notifié au niveau substantiel/élevé. L'article 25 d'eIDAS, repris par eIDAS 2, consacre l'équivalence juridique entre la signature électronique qualifiée et la signature manuscrite. Combinée à un EUDI Wallet, cette signature renforce la chaîne probatoire numérique opposable.
PVID, biométrie et liveness detection : la doctrine ANSSI/CNIL
Le référentiel PVID de l'ANSSI (Prestataire de Vérification d'Identité à Distance) fixe les exigences techniques applicables à la vérification d'identité à distance, notamment la détection du vivant (« liveness detection »), conçue pour contrer les attaques par présentation et les deepfakes. Une solution PVID certifiée constitue, en pratique, le socle technique reconnu par la CNIL et l'ARCOM pour les contrôles à distance au niveau d'assurance substantiel ou élevé.
Le RGPD, à son article 9, qualifie les données biométriques de données sensibles. Leur traitement n'est licite qu'au titre d'une exception expresse, principalement le consentement explicite. La CNIL pose un principe directeur : le gabarit biométrique de référence doit, autant que possible, être stocké sur un support sous le contrôle exclusif de la personne concernée — carte, smartphone — plutôt qu'en base centralisée. Le règlement type biométrie de la CNIL encadre strictement les usages en milieu professionnel.
L'articulation tripartite est lisible sur le dossier de la vérification d'âge. L'ARCOM a adopté son référentiel technique par délibération n° 2024-20 du 9 octobre 2024 (JORF), après avis CNIL favorable n° 2024-067 du 26 septembre 2024 imposant une architecture à double anonymat : le fournisseur d'identité ne sait pas pour quel service, le service ne connaît pas l'identité. La recommandation CNIL relative à l'authentification multifacteur de mars 2025 confirme la doctrine : la biométrie comme facteur d'authentification doit rester locale, et un facteur alternatif non biométrique doit être proposé.
Preuve numérique et deepfake : ce que le juge civil regarde depuis 2024
L'article 1366 du Code civil pose le principe d'équivalence : l'écrit électronique a la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité. L'article 1367, alinéa 2, ajoute que la signature électronique consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte. La fiabilité de ce procédé est présumée lorsqu'il répond aux conditions du décret n° 2017-1416.
Les arrêts d'Assemblée plénière du 22 décembre 2023 (n° 20-20.648 et n° 21-11.330) opèrent un revirement : devant le juge civil, une preuve obtenue de manière déloyale n'est plus automatiquement irrecevable. Le juge met en balance le droit à la preuve, fondé sur l'article 6 §1 de la Convention européenne des droits de l'homme, avec les droits antinomiques en présence, et apprécie la proportionnalité de l'atteinte. La portée pratique de ce revirement est analysée dans notre étude consacrée à l'admissibilité des preuves rapportées par un détective privé.
Pour un fichier suspecté d'être un hypertrucage, recevabilité et force probante deviennent deux questions distinctes. L'article 287 du Code de procédure civile permet, en cas de contestation d'un écrit ou d'une signature électronique, au juge de vérifier que les conditions des articles 1366 et 1367 du Code civil sont satisfaites. Les articles 232 et suivants du CPC offrent un cadre pour ordonner une expertise — typiquement une analyse des métadonnées EXIF, des traces de compression, des artefacts de génération. Nous détaillons cette chaîne dans notre dossier sur la valeur juridique des preuves numériques.
Cas d'usage PME et DRH : fraude au président, embauche à distance, due diligence
Le premier scénario est la fraude au président par deepfake vocal ou vidéo. Un dirigeant apparent demande, en visio ou par message vocal, un virement urgent ou la transmission d'informations sensibles. Les contre-mesures relèvent du contrôle interne : procédure de double validation par canal alternatif, mot de passe verbal partagé hors visio, formation à la détection des signaux faibles (latence inhabituelle, synchronisation lèvres-voix, éclairage figé). Notre dossier sur l'OSINT et l'investigation numérique en entreprise revient sur l'articulation de ces dispositifs.
Le deuxième scénario concerne le recrutement à distance d'un cadre dirigeant. La vérification d'identité du candidat suppose un niveau d'assurance proportionné aux responsabilités confiées, tout en respectant la minimisation RGPD. Le recours à un prestataire PVID certifié et la cohérence des éléments OSINT collectés constituent une réponse adaptée. Cette articulation est précisée dans notre dossier sur l'OSINT pré-embauche et la due diligence RGPD.
Le détective privé n'est ni un expert en détection technique d'hypertrucages — cette compétence relève d'experts judiciaires inscrits ou de laboratoires spécialisés — ni un substitut au prestataire d'identité. Son rôle, dans le cadre légal de la profession (Livre VI du Code de la sécurité intérieure, agrément CNAPS), est de documenter en sources ouvertes la cohérence d'un parcours, d'identifier les divergences entre une identité revendiquée et son empreinte numérique publique, et d'orienter, le cas échéant, vers l'expertise technique adaptée.
Particuliers exposés : usurpation d'identité, deepfake sexuel, cyberharcèlement
Le premier réflexe est la préservation des éléments bruts : URL exacte, horodatage, captures écran, métadonnées EXIF, hash du fichier, sauvegarde sur support contrôlé. Un fichier reposté ou ré-encodé perd une partie de sa valeur probatoire ; l'original brut, lui, conserve les artefacts utiles à l'expertise.
Le signalement à la plateforme PHAROS du ministère de l'Intérieur permet la prise en charge des contenus illicites. Le dépôt de plainte mobilise les articles 226-8 et 226-8-1 du Code pénal, complétés au besoin par l'article 226-1 pour l'atteinte à la vie privée. Pour les contenus à caractère sexuel, l'incrimination autonome de l'article 226-8-1 et ses peines aggravées en cas de diffusion en ligne offrent un fondement spécifique.
Le droit au déréférencement, encadré par la CNIL, et les obligations imposées aux plateformes par le DSA (Règlement UE 2022/2065) complètent le dispositif. Notre dossier sur l'usurpation d'identité détaille les réflexes opérationnels, celui sur l'escroquerie en ligne traite des fraudes assistées par IA, et celui sur l'enquête en matière de cyberharcèlement revient sur les éléments d'identification mobilisables.
Sources
- Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle (AI Act) — EUR-Lex
- LOI n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (SREN) — Légifrance
- Article 226-8 du Code pénal — montage et hypertrucage (rédaction SREN) — Légifrance
- Règlement (UE) 2024/1183 du 11 avril 2024 modifiant eIDAS — cadre européen d'identité numérique — EUR-Lex
- Hypertrucage (deepfake) : comment se protéger et signaler les contenus illicites — CNIL
- Recommandation CNIL relative à l'authentification multifacteur (mars 2025)
- Cass. Ass. plén., 22 décembre 2023, n° 20-20.648 — recevabilité de la preuve déloyale en civil — Légifrance
- Article 1366 du Code civil — écrit électronique (équivalence et conditions) — Légifrance
Questions fréquentes
Qu'est-ce qu'un hypertrucage au sens du droit européen ?
Le Règlement (UE) 2024/1689 dit « AI Act » définit l'hypertrucage à son article 3, §60, comme « une image ou un contenu audio ou vidéo généré ou manipulé par IA, présentant une ressemblance avec des personnes, des objets, des lieux, des entités ou événements existants et pouvant être perçu à tort par une personne comme authentiques ou véridiques ». Cette définition européenne devient le référent commun pour les autorités de contrôle, les juges et les déployeurs d'IA. Elle est plus large que la notion française de « montage » : elle couvre les contenus entièrement synthétisés sans support originel.
À partir de quand s'applique l'obligation de marquage des contenus IA prévue par l'AI Act ?
Les obligations de transparence de l'article 50 du Règlement (UE) 2024/1689 deviennent applicables le 2 août 2026, conformément à l'article 113 du règlement. Ces obligations imposent aux fournisseurs d'IA générative un marquage lisible par machine (watermarking, métadonnées, fingerprinting) et aux déployeurs une divulgation explicite que le contenu a été généré ou manipulé. Les manquements sont sanctionnés à l'article 99 par des amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial total — le montant le plus élevé étant retenu.
Que risque pénalement la diffusion d'un deepfake non signalé en France ?
L'article 226-8 du Code pénal, dans sa rédaction issue de la loi SREN du 21 mai 2024, réprime de un an d'emprisonnement et 15 000 € d'amende le fait de porter à la connaissance du public ou d'un tiers un contenu visuel ou sonore généré par traitement algorithmique reproduisant l'image ou les paroles d'une personne sans son consentement, s'il n'apparaît pas à l'évidence qu'il s'agit d'un montage. Les peines sont portées à 2 ans et 45 000 € en cas de diffusion via un service de communication au public en ligne. L'article 226-8-1, créé par la même loi, sanctionne spécifiquement les deepfakes à caractère sexuel : 2 ans et 60 000 €, et 3 ans et 75 000 € en cas de diffusion en ligne.
Une vidéo suspectée de deepfake peut-elle être produite comme preuve devant le juge civil ?
Oui, mais sa recevabilité n'emporte pas sa force probante. Depuis les arrêts d'Assemblée plénière du 22 décembre 2023 (n° 20-20.648 et n° 21-11.330), le juge civil opère un contrôle de proportionnalité entre droit à la preuve et droits antinomiques, sur le fondement de l'article 6 §1 de la Convention européenne des droits de l'homme. L'article 1366 du Code civil exige que la personne dont émane l'écrit puisse être identifiée et que les conditions de conservation garantissent l'intégrité. L'article 287 du Code de procédure civile permet au juge, en cas de contestation, d'ordonner une vérification et, le cas échéant, une expertise au titre des articles 232 et suivants du CPC.
Qu'est-ce qu'un prestataire PVID certifié ANSSI et pourquoi est-ce pertinent face aux deepfakes ?
Le référentiel PVID (Prestataire de Vérification d'Identité à Distance) édicté par l'ANSSI fixe les exigences techniques et organisationnelles applicables aux solutions de vérification d'identité à distance. Il impose notamment une détection de vivacité (liveness detection), conçue pour résister aux attaques par présentation et aux deepfakes. Une solution PVID certifiée par un organisme accrédité constitue le socle technique reconnu par la CNIL et l'ARCOM pour les contrôles à distance au niveau d'assurance substantiel ou élevé. Pour un dirigeant qui doit identifier un cocontractant ou pour une DRH qui vérifie un candidat à distance, c'est aujourd'hui la voie de référence.
Le portefeuille européen d'identité numérique (EUDI Wallet) sera-t-il obligatoire ?
Le Règlement (UE) 2024/1183 impose à chaque État membre la mise à disposition d'un portefeuille européen d'identité numérique au niveau d'assurance « élevé », dans les 24 mois suivant l'entrée en vigueur des actes d'exécution nécessaires. L'obligation porte sur l'État, pas sur les particuliers : l'usage du wallet par les citoyens reste facultatif. Pour les services privés et publics, en revanche, le règlement prévoit une obligation progressive d'acceptation du wallet comme moyen d'authentification, notamment pour les services en ligne déjà soumis à des exigences fortes d'identification.
Quelles données biométriques peuvent être utilisées légalement pour vérifier une identité ?
L'article 9 du RGPD qualifie les données biométriques traitées aux fins d'identifier une personne de manière unique comme données sensibles. Leur traitement n'est licite qu'au titre d'une exception expresse, principalement le consentement explicite. La CNIL pose un principe directeur dans son règlement type biométrie et confirme dans sa recommandation de mars 2025 relative à l'authentification multifacteur : le gabarit biométrique doit, autant que possible, être stocké localement sur un support sous le contrôle exclusif de la personne (carte, smartphone) plutôt qu'en base centralisée. Un facteur d'authentification alternatif non biométrique doit toujours être proposé.
Comment réagir si l'on est victime d'un deepfake à caractère sexuel ou d'une usurpation d'identité ?
Premier réflexe : préservation des éléments bruts — URL exacte, horodatage, captures écran, métadonnées EXIF, hash du fichier, sauvegarde sur support contrôlé. Tout repostage ou ré-encodage altère la valeur probatoire. Deuxième réflexe : signalement à la plateforme PHAROS du ministère de l'Intérieur, qui transmet aux services compétents les contenus illicites. Troisième réflexe : dépôt de plainte sur le fondement de l'article 226-8-1 du Code pénal pour les deepfakes à caractère sexuel, complété au besoin par l'article 226-1 (atteinte à la vie privée) ou 226-4-1 (usurpation d'identité). Le droit au déréférencement encadré par la CNIL et les obligations imposées aux plateformes par le Règlement (UE) 2022/2065 (DSA) complètent le dispositif.
Président du Cabinet Normazur · Détective privé agréé CNAPS
Fondateur du Cabinet Normazur basé à Antibes. Plus de 25 ans d'expérience en investigations privées pour entreprises, professionnels du droit et particuliers en PACA et Normandie.