deepfakes à caractère sexuel et protection des données

Par Santiago Alenza Carro, avocat. 

L’Agence espagnole de protection des données (AEPD) a récemment statué sur deux affaires concernant la diffusion de contenus à caractère sexuel générés par intelligence artificielle (IA). Leur importance est manifeste, puisqu’il s’agit des premières décisions en la matière, tant au niveau national qu’européen.

De plus, tant les événements eux-mêmes que les sanctions administratives qui leur ont été infligées ont suscité d'importants débats sociaux, éthiques et juridiques. Il est toutefois essentiel de bien comprendre les deux cas, car ni les faits ni les conclusions ne sont identiques.

La première résolution qui a été révélée est la finalisation du dossier n° EXP202503445. Plus précisément, elle portait sur l'ajout de corps nus fictifs aux visages originaux de plusieurs personnes à l'aide d'une application d'IA, et sa diffusion via divers canaux de messagerie, réseaux sociaux et plateformes de contenu pour adultes.

Malgré la discrétion exprimée dans la résolution, il est impossible de ne pas supposer que les événements examinés par l'Agence sont liés à ce qui s'est passé dans un établissement scolaire d'une commune espagnole en septembre 2023. Ces événements ont été largement médiatisés. Dès lors, si l'affaire était déjà délicate et sensible, le fait que les personnes impliquées soient mineures et les répercussions sociales ne font que compliquer davantage la situation.

La décision de l'autorité de contrôle nationale est sans équivoque : conformément à l'article 4.1 du RGPD, une image constitue une donnée à caractère personnel permettant l'identification d'une personne physique, et sa diffusion constitue un traitement au sens des articles 4.1 et 4.2 du RGPD. En conséquence, l'Agence a conclu à la violation du principe de licéité du traitement (autrement dit, à l'absence de base légale pour le traitement des données) et a initialement infligé une amende de 2 000 € au responsable. Cette amende a ensuite été ramenée à 1 200 € suite au paiement volontaire et à la reconnaissance de responsabilité.

Mais au-delà de l'infraction et des sanctions qui en découlent (à savoir la diffusion non autorisée de l'image en tant que donnée personnelle), la véritable portée de cette affaire réside dans la génération de faux corps nus par l'IA. Et ce, pour plusieurs raisons :

• Premièrement, parce que la nature des événements et leurs implications dépassent le cadre d'une simple violation de la réglementation relative au traitement des données personnelles. En effet, parallèlement à l'enquête de l'Agence, des poursuites pénales ont été engagées et ont abouti à la condamnation des responsables.[1].
• Deuxièmement, parce que le traitement a touché des mineurs, notamment des sujets vulnérables qui ont bénéficié d'une protection renforcée.
• Troisièmement, en raison de la connotation sexuelle qui découle de l'association de visages réels avec des corps nus d'autres personnes.
• Quatrièmement, en raison de l’ampleur des événements, à la fois directement (par le biais des révélations faites par les responsables) et indirectement (par le biais de l’impact informationnel de l’actualité).
• Cinquièmement, et pour englober tout ce qui précède, en raison des répercussions sociales, familiales et personnelles des événements sur les victimes et leurs droits (dignité, honneur, vie privée…).

Tous ces facteurs, à mon avis, aggravent la gravité des faits et auraient dû justifier une sanction plus lourde. De fait, des experts du domaine ont critiqué le montant de l'amende, estimant qu'une occasion précieuse a peut-être été manquée de réagir fermement, de manière décisive et exemplaire à des comportements qui, loin de disparaître, ne feront que se multiplier.[2]Cependant, contrairement aux sanctions administratives limitées infligées pour ces événements, je me félicite personnellement de la condamnation sociale forte et unanime.

La seconde résolution, enregistrée sous le numéro EXP202506010, concerne également la diffusion d'une photographie d'une mineure retouchée pour la faire apparaître nue. La plaignante, la mère de la mineure, en a eu connaissance lorsque celle-ci a reçu une capture d'écran de la part d'une amie, à titre d'avertissement. L'image originale provenait du profil de la mineure sur un réseau social connu.

L'enquête de l'Agence a révélé que l'utilisateur du numéro de téléphone ayant envoyé l'image contenant la fausse photo de nu était également mineur et que l'image n'a été publiée sur aucun réseau social, plateforme ou internet, en dehors du canal de messagerie par lequel elle a été envoyée.

L’autorité de contrôle, après analyse des faits identiques à ceux du cas précédent, considère que l’obligation de traitement licite a également été enfreinte. Toutefois, la sanction se limite à un avertissement (donc sans sanction financière), car :

1. D’une part, et malgré les implications de l’affaire, il fallait tenir compte du fait que la personne responsable pouvait ne pas avoir la capacité de prendre pleinement conscience de l’illégalité de la conduite adoptée.
2. En revanche, la diffusion de l’image manipulée a été limitée (voir comparaison avec la première résolution analysée).

De cette seconde résolution, je dois nécessairement souligner le paragraphe suivant (que, soit dit en passant, l'Agence aurait pu et/ou dû insérer dans la résolution précédente) : « De même, il ne faut pas oublier qu'en raison du préjudice important porté à la vie privée et au droit à la protection des données personnelles résultant de la diffusion d'informations personnelles par Internet, avec un impact particulièrement préoccupant, du fait de leur vulnérabilité, dans le cas des mineurs, une réponse de l'Agence espagnole de protection des données s'impose, conformément aux pouvoirs qui lui sont attribués et à ceux dont elle dispose. ». Bien que cela puisse paraître comme un excusatio non petitaÀ mon avis, cela constitue, surtout dans des cas comme celui-ci, une légitimation louable des pouvoirs et des actions de notre autorité de surveillance.

En effet, le traitement illicite et préjudiciable des données personnelles par l'IA est voué à se multiplier et à se complexifier. Ces décisions, au-delà de la pertinence des sanctions, confortent la position de l'Agence espagnole de protection des données (AEPD) comme garant de nos droits. Cela est d'autant plus vrai que les cas analysés révèlent des menaces existantes – applications et outils d'IA permettant la manipulation – et l'inaction de ceux qui devraient agir comme alliés ou au service des individus : les plateformes de diffusion des images qui n'ont ni détecté ni supprimé les contenus.

[1] La décision de l'Agence espagnole de protection des données (AEPD) ne concerne que l'infraction commise par l'un des responsables, alors que la création et la diffusion des images ont été réalisées par plusieurs autres personnes. D'autres décisions concernant ces mêmes faits et d'autres auteurs sont attendues.

[2] Cependant, d'autres experts estiment que la sanction administrative n'est ni appropriée ni nécessaire, et qu'il aurait été préférable que l'affaire soit résolue exclusivement par la voie pénale.