Avec « Rembobinons », décryptons le droit à l’aune d’une œuvre ayant marqué la culture populaire. Deepfakes, vol massif de données personnelles, création dictée par les algorithmes : aujourd’hui, focus sur l’un des épisodes les plus marquants de la série culte Black Mirror.
Faire défiler une politique de confidentialité ou des conditions générales d’utilisation à toute vitesse, pour finalement cliquer machinalement sur l’inscription « accepter », est une pratique répandue, si ce n’est universelle. Un sage conseil juridique ? Toujours lire attentivement ces documents, avant de donner son consentement.
C’est en tout cas la leçon que l’on peut tirer de l’épisode « Joan est terrible » de la série phénomène Black Mirror: une femme ordinaire prénommé Joan voit malgré elle son quotidien reproduit, adapté et diffusé, jour après jour, sur une plateforme de streaming – dont chacun appréciera la ressemblance avec la plateforme Netflix, qui diffuse Black Mirror. Lors de son inscription, elle avait sans le réaliser consenti à la plateforme toutes les autorisations sur son image et sa vie privée, acceptant de fait qu’une intelligence artificielle de pointe génère du contenu inspiré par son intimité, dans les moindres détails, épiée via les objets connectés qui inondent notre quotidien. Autant dire que même si l’actrice Salma Hayek prête ses traits à sa version fictive, Joan n’entend pas laisser son quotidien devenir à son insu un divertissement de masse…
Cette décapante dystopie pose des questions passionnantes sur l’utilisation de l’IA : rembobinons !
De quoi parle-t-on ?
Le deepfake (ou l’hypertrucage) est défini par le Règlement européen sur l’Intelligence Artificielle (IA) comme « une image ou un contenu audio ou vidéo généré ou manipulé par l’IA, présentant une ressemblance avec des personnes, des objets, des lieux ou d’autres entités ou événements existants et pouvant être perçu à tort comme authentique ou véridique. »
La pratique du deepfake n’est pas pour autant illégale. Au contraire, puisque le Règlement sur l’IA prévoit une classification des systèmes d’IA en fonction des niveaux de risques, desquels découlent plusieurs niveaux de réglementation. Dans la catégorie du « risque limité » se trouvent les systèmes d’IA qui présentent un risque de manipulation ou de tromperie, ce qui inclut les deepfakes ou les chatbots.
Ces systèmes doivent respecter des exigences de transparence minimales permettant aux utilisateurs de prendre des décisions éclairées. Après avoir interagi avec les applications, l’utilisateur peut alors décider s’il souhaite continuer à les utiliser.
De plus, les deepfakes devront bientôt être marqués dans un format lisible par machine afin de pouvoir détecter que les contenus produits ont été générés ou manipulés artificiellement. La question reste à clarifier des modalités de ce « format lisible ».
Libertés et limites
L’accessibilité de logiciels d’IA permettant la création de deepfake est en plein essor. Dans les industries créatives, comme le cinéma, le jeu vidéo ou encore la télévision, le recours au deepfake s’avère particulièrement utile pour pousser les limites des effets spéciaux. La franchise Star Wars illustre parfaitement cette opportunité : l’acteur Mark Hamill, qui interprète Luke Skywalker, a été rajeuni numériquement pour la série The Mandalorian.
Comme toutes les avancées technologiques, le recours au deepfake doit être mis en balance avec les libertés fondamentales. En particulier, le respect de la liberté de création est consacré comme une valeur essentielle pour les démocraties, et ce à plus forte mesure que la liberté de création permet aussi de toucher des sujets d’intérêt général.
Le deepfake, dans une certaine mesure, est une nouvelle forme de création, aussi il n’est pas inconsidéré de penser que les grands principes dégagés par la jurisprudence française et européenne pourraient s’appliquer à cette nouvelle technologie en mettant en balance, entre autres, la liberté de création, le droit à l’image et le droit au respect de la vie privée.
Cela étant, les deepfakes posent aujourd’hui un défi inédit.
D’une part, le recours au deepfake ouvrent des opportunités d’expression sans précédent pour les créateurs et les artistes, tout en pouvant également servir à des fins éducatives en faisant, par exemple, de la reconstitution ultra réaliste de scènes historiques.
D’autre part, le recours au deepfake suscite des préoccupations majeures à la fois éthiques et juridiques. Sur le plan juridique, son utilisation soulève des questions relatives à la vie privée, à la diffamation, à l’usurpation d’identité ou encore à la protection des droits d’auteur. Le consentement est également un des enjeux majeurs. Sur le plan éthique, la question fondamentale de l’authenticité et de notre rapport à la vérité se voit bousculée.
La liberté de création à l’ère du deepfake doit conduire à une réflexion profonde et continue : il convient de préserver le potentiel créatif et éducatif par un usage responsable de cette technologie, rendue utile, tout en sensibilisant tant le grand public que les acteurs de cette industrie aux risques qu’elle comporte.
L’adoption d’un cadre réglementaire qui permettra le développement de cette technologie et des créations qui en découlent, tout en assurant un équilibre délicat entre l’éthique, la liberté de création, et la protection des droits civiques et des libertés individuelles comme le droit à l’image et à la vie privée s’avère donc nécessaire.
Un cadre juridique en construction
Cité précédemment, l’Union européenne a adopté un règlement portant sur la régulation de l’IA.
Le Conseil de l’Europe a, de son côté, adopté un traité international visant à garantir une utilisation de l’IA respectueuse des droits fondamentaux.
Mais certaines dispositions, à majorité française, existent déjà et permettent d’anticiper à tout le moins une partie des problématiques liées à la création et à la diffusion de deepfakes.
D’abord, l’article 9 du Code civil qui consacre le droit à la vie privée est assez largement interprété par la jurisprudence et permet ainsi de rechercher une protection de l’image ainsi que de la voix des individus. Par principe, toute personne pourrait interdire l’utilisation de son image ou de sa voix. Un deepfake réalisé sans l’autorisation de la personne dont les attributs sont reproduits pourrait ainsi constituer une atteinte à sa vie privée – bien que la notion de vie privée s’interprète différemment selon, tout particulièrement, le statut de la personne visée par l’atteinte, ou encore les circonstances d’utilisation et de diffusion.
Dans certaines situations, la récupération de l’image et des autres droits de la personnalité peut être abordée par des accords collectifs, dont la négociation est d’importance première pour les professionnels des secteurs impactés par l’IA. On pensera notamment aux accords du syndicat SAG-AFTRA qui est venu mettre fin à la grève des acteurs qui a paralysé Hollywood courant 2023.
Par ailleurs, la voix et l’image des personnes sont également considérées comme des données à caractère personnel, au sens du Règlement Général sur la Protection des Données, de sorte que leur collecte et leur traitement supposent ainsi de répondre aux exigences de ce texte, et notamment le fait de reposer sur une base légale. A cet égard, on rappellera que lorsque consentement est requis, celui-ci doit être donné de façon libre, spécifique, univoque et éclairé. On pourrait toutefois imaginer, pour un deepfake utilisant la voix d’une personnalité publique à des fins satiriques ou humoristiques, qu’une base légale pourrait être invoquée telle que « l’intérêt légitime ».
Sur le plan pénal, l’article 226-8 du Code pénal prévoit l’interdiction de réaliser et de diffuser un montage utilisant l’image ou la voix d’un individu sans son consentement. Par ailleurs, la loi du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique a élargi le champ de cette infraction en prévoyant une incrimination du fait de « porter à la connaissance du public ou d’un tiers », ce qui couvre ainsi le partage dudit contenu. Si cette infraction s’appliquait déjà sans difficulté aux deepfakes, cette même loi a néanmoins pris soin d’ajouter à l’article 226-8 une phrase précisant que « est […] puni des mêmes peines le fait de porter à la connaissance du public ou d’un tiers, par quelque voie que ce soit, un contenu visuel ou sonore généré par un traitement algorithmique et représentant l’image ou les paroles d’une personne, sans son consentement, s’il n’apparaît pas à l’évidence qu’il s’agit d’un contenu généré algorithmiquement ou s’il n’en est pas expressément fait mention. » Le critère de l’évidence sur ce qui est un deepfake ou non est souvent utilisé, car le deepfake évident peut conduire à la satire, lorsque le deepfake qui se dissimule conduit à la tromperie.
L’article 226-8-1 prévoit quant à lui, depuis la loi du 21 mai 2024, une infraction spécifique au « revenge porn » pour des contenus à caractère sexuel réalisés par IA. Ceci fait echo au fait que l’immense majorité des deepfakes mal intentionnés sur internet visent des femmes, de telle sorte que le deepfakes à caractère sexuel est un bras armé de la misogynie et de la discrimination.
D’autres infractions, pouvant être commises au moyen de deepfakes, telles que l’usurpation d’identité, l’escroquerie, ou encore le délit de fausses nouvelles, constituent (naturellement) autant d’utilisations illicites de cette technologie.
Enfin, au niveau du droit européen, on soulignera notamment l’importance de l’article 35 du Règlement sur les services numériques qui impose aux très grandes plateformes et aux très grands moteurs de recherche de mettre en place des mesures d’atténuation raisonnables, proportionnées et efficaces, adaptées à certains risques systématiques, notamment en ayant recours à un marquage visible pour garantir qu’un élément d’information généré ou manipulé par IA soit reconnaissable comme tel par les internautes. Les lignes directrices de la Commission européenne, présentées le 26 mars 2024 – à l’approche du scrutin européen – recommandent notamment à ces acteurs que le marquage subsiste aux partages par des utilisateurs.
En parallèle, se pose la question essentielle du fonctionnement de l’IA, qui doit être alimentée d’une quantité importante de données, collectées notamment sur internet, où se côtoient des données libres d’utilisation et des données issues d’œuvres relevant du régime de protection du droit d’auteur.
Si le droit d’auteur confère en principe aux auteurs la faculté d’autoriser préalablement toute exploitation, utilisation ou reproduction de leurs œuvres, c’est une position inverse qui a été adoptée au sein de la Directive du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique. En somme, les systèmes d’IA sont autorisés à utiliser le contenu d’internet, y compris des œuvres de l’esprit, sauf à ce que les auteurs fassent valoir leur droit à l’opt-out, c’est-à-dire leur refus que les œuvres soient utilisées pour nourrir des IA. Outrepasser le refus manifesté par l’opt-out résulterait ainsi en un acte répréhensible si tous les éléments en sont établis. Cette possibilité d’opt-out est néanmoins inopérante lorsque la fouille de données se fait à des fins de recherche scientifique, qui constitue désormais une nouvelle exception aux droits d’auteur, à part entière.
Qu’en est-il de la rétroactivité de l’opt-out nouvellement exercé, pour des œuvres qui auront déjà fait l’objet d’une fouille ? Les contenus déjà fouillés peuvent-ils être conservés dans les systèmes d’IA et, en cas de réponse négative, est-il réaliste d’imaginer qu’ils puissent être supprimés ?
Cette problématique illustre toute la complexité de la régulation des technologies, qui peine à appréhender la totalité des problématiques soulevées et qui, de toute évidence, évolue à un rythme bien moins soutenu que la technologie elle-même. Cela étant, on l’a vu, il est toujours possible de raisonner à partir de nos principes et droits fondamentaux, associés à du droit prospectif (lorsque pertinent) afin d’envisager un encadrement sur le long terme.
On pourrait également regarder du côté de la concurrence déloyale et du parasitisme économique qui pourraient être invoqués à l’appui de la protection de certains actifs immatériels, mais aussi des attributs de la personnalité (on pensera notamment aux reprises « à la manière » d’un artiste).
Une chose est sûre : en cas de déconvenue causée par l’IA, ne tentez pas de détruire les serveurs informatiques comme l’envisage l’héroïne de Black Mirror, mais faîtes vous plutôt conseiller par un bon avocat !