IA et DeepFakes : De nouveaux risques pour les entreprises

Contactez-moi
Ce qu'il faut retenir

L’intelligence artificielle et les DeepFakes sont quotidiennement utilisés par des particuliers et des professionnels. Certains usages relèvent de l’humour, d’autres portent atteinte à la vie privée de personnalités publiques ou d’anonymes, ont la vocation de diffuser de fausses informations pour créer de la déstabilisation ou sont le support d’autres infractions.

L’usage des DeepFakes est un nouveau risque pour les entreprises qui doivent l’intégrer dans la cartographie des risques ainsi que dans les mesures préventives et la gestion de crise.

Pour approfondir

Les inquiétudes récentes relatives à l’essor de l’IA

L’avènement de l’intelligence artificielle et son accessibilité au plus grand nombre semble source d’inquiétudes importantes pour les pouvoirs publics et les grosses entreprises. Cet essor est l’occasion de raviver les discussions relatives à l’impact des DeepFakes et des fausses informations.

Il y a déjà un an, Europol alertait sur les risques de l’exploitation de l’intelligence artificielle et notamment des DeepFakes par le crime organisé. C’est désormais le directeur général de GOOGLE qui appelle à une réglementation mondiale de l’intelligence artificielle similaire aux traités sur l’utilisation des armes nucléaires, considérant que certains de ses usages pourraient avoir de lourdes répercussions.

La technologie de DeepFakes et ses usages

La technologie de DeepFake est un procédé de permutation d’images ou de sons via l’intelligence artificielle qui permet de créer des vidéos, photos ou bandes-son truqués plus vrais que nature.

Si certains utilisent ces technologies ouvertement pour des interventions humoristiques, d’autres les utilisent comme support pour créer de la désinformation, et par conséquent une potentielle déstabilisation des Etats ou des sociétés, mais également pour commettre d’autres infractions.

Dans les débuts, les DeepFakes étaient utilisés pour porter préjudice à des personnalités publiques connues de tous. Il était ainsi possible de trouver des vidéos avec une bande-son d’un politique tenant des propos injurieux, diffamants voire racistes mais également des vidéos à caractère pornographique d’actrices.

Si les DeepFakes à caractère pornographique demeurent les plus nombreux (94 %), ces montages peuvent désormais concerner tout le monde et peuvent avoir une autre nature.

 

Les risques des Deepfakes sur les entreprises

Il est possible de constater dans certains Etats des déstabilisations causées par l’usage de DeepFakes ou le potentiel usage de tels montages. Une telle déstabilisation peut également toucher les entreprises.

En effet, la déstabilisation d’une entreprise peut être organisée par la diffusion de fausses informations avec pour conséquence de détériorer son image. L’atteinte à la réputation peut avoir des conséquences financières et juridiques notamment en raison de la perte d’investisseurs, de partenaires, de talents ou de clients.

Il serait ainsi possible d’imaginer un discours de dirigeant indiquant des faux résultats ou des fausses orientations stratégiques sur le cours de l’action. Il pourrait s’agir de révélations sur des fausses anomalies sur un produit ou de fausses vidéos d’agressions sexuelles commises par un dirigeant.

Ces Deepfakes peuvent également permettre d’usurper l’identité d’une personne et de commettre des faits d’escroquerie comme cela a eu lieu en 2021 aux Emirats Arabes Unis où un DeepFake vocal imitant la voix d’un PDG a permis le détournement de 35 millions de dollars.

La répression des DeepFakes

Ce phénomène a déjà été pris en compte par le législateur qui réprime le fait de publier un montage réalisé avec les paroles ou l’image d’une personne sans son consentement s’il n’apparait pas à l’évidence qu’il s’agit d’un montage ou s’il n’en est pas expressément fait mention [1].

La caractérisation de cette infraction nécessite la preuve d’un montage tendant délibérément à déformer les images et à dénaturer les propos par des ajouts ou des retranchements [2] et d’une publication dudit montage auprès de plusieurs personnes. L’élément intentionnel quant à lui résulte de la connaissance du caractère illicite de la publication mais ne nécessite pas la preuve d’une atteinte volontaire à l’intimité de la vie privée [3].

En l’absence de publication, le DeepFake peut également être poursuivi au titre de l’usurpation d’identité dès lors qu’il s’agit de faire usage de l’identité ou de données permettant l’identification d’une personne en vue de troubler sa tranquillité ou celle d’autrui, voire de porter atteinte à l’honneur et à la considération d’une personne [4]. Ainsi l’usage d’une photo ou de la voix d’une personne correspond à l’usage de données permettant l’identification.

L’usurpation d’identité pouvant constituer une manœuvre frauduleuse, l’usage d’un DeepFake dans l’objectif de déterminer une personne à remettre des fonds, des valeurs ou des biens, à fournir un service ou à consentir un acte opérant obligation ou décharge [5] peut être poursuivi au titre de l’infraction d’escroquerie comme dans le cadre des fraudes au Président.

Comment prévenir et gérer les DeepFakes ?

Les entreprises doivent donc dès aujourd’hui pendre en compte les DeepFakes dans le cadre de l’exercice de cartographie des risques et doivent mettre en place des mesures de prévention et de gestion des DeepFakes. 

Les mesures préventives peuvent correspondre à une sensibilisation du personnel dans la détection des DeepFakes, mais également dans la mise en place d’un logiciel de détection des DeepFakes.

Les mesures de gestion des DeepFakes doivent être envisagées comme celles de la gestion de crise avec les services de la communication et les services juridiques notamment pour déposer plainte.

L’intervention des avocats pénalistes permet au stade du préventif d’identifier l’ensemble des scénarios liés aux DeepFakes et de mettre en place les mesures de prévention appropriées. Une fois le DeepFake intervenu, l’avocat pénaliste peut rédiger une plainte précise caractérisant les infractions qu’il envoie directement au procureur de la République puis suivre l’enquête et apporter des éléments aux enquêteurs.

[1] Article 226-8 du code pénal

[2] Cass. crim., 30 mars 2016, n° 15-82.039

[3] CA Paris, 23 octobre 1997, n° 3373-97

[4] Article 226-4-1 du code pénal

[5] Article 313-1 du code pénal

Réseaux sociaux, caming et prostitution : vigilance quant aux poursuites pénales

10/4/2023

Influenceurs et réseaux sociaux : publicités interdites ou contrôlées

15/3/2023

NFT, Supply chain, et devoir de vigilance

13/2/2023

NFT, crypto, metavers : les 5 principales escroqueries

9/1/2023