IA générative : la voix et l'image humaine au défi de la régulation

Au regard du règlement général de protection des données (RGPD), le son et l'image ont aujourd'hui "un statut juridique fluctuant, situés dans une zone grise" concède Anne Debet, vice-présidente de la Commission nationale de l'informatique et des libertés (Cnil). Et de rappeler que, dans le cadre de la vidéoprotection sur l'espace public, la captation de sons est aujourd'hui interdite – car on pourrait capter des voix, des conversations, voire des émotions – la reconnaissance faciale l'étant tout autant. Dans ce contexte précis, on les considère comme des données biométriques "sensibles" au sens du RGPD. En revanche, le RGPD ne dit rien sur le clonage de voix ou de photos d'individus pour créer, à l'aide d'une IA générative, une vidéo ou une chanson. Peut-on faire n'importe quoi pour autant ? Lucia Serena Rossi, ancienne juge à la Cour de justice de l'Union européenne estime qu'il n'y a "pas de règle absolue, il faut tenir compte de la proportionnalité et de la finalité, du public cible". En clair : un deepefake raciste ou insultant, conçu dans l'objectif de nuire, ne sera pas traité de la même manière par un juge qu'une vidéo humoristique créée avec une IA, diffusée en cercle restreint. Se pose aussi la question d'utiliser la voix d'une personne décédée, comme on l'a vu récemment pour la voix française de l'acteur américain Sylvester Stallone, Alain Dorval, décédé en février 2024. Sa voix a été imitée par l'IA dans la bande-annonce du prochain film "Armor" avec la star américaine. Sa fille, Aurore Bergé, affirme ne pas avoir autorisé sa diffusion.

Les IA génératives peu régulées

Autre paramètre à prendre en compte : la diversité des IA génératives. "Texte vers image, image vers texte, texte vers voix, voix vers voix, traduction… Derrière ces IA il y a des architectures techniques et des enjeux juridiques très différents", souligne Adrien Basdevant, avocat spécialisé en droit du numérique. Or, les textes applicables sont pléthoriques. Outre le RGPD et la directive police-justice, il y a ceux sur les droits d'auteur, la régulation des plateformes (DSA) et désormais l'IA Act. Si les usages de l'IA dans l'espace public sont régulés en tant qu'IA à haut risque, le texte européen est peu prolixe sur l'IA générative : elles ne sont mentionnées que dans les "considérants" en tant qu'IA à usage général. Les obligations auxquelles elles sont soumises sont légères – conçues à un moment de l'arrivée de ChatGPT, où l'Europe ne voulait pas nuire à l'innovation - centrées sur la documentation et la transparence des sources. Un flou qui fait que "chaque autorité nationale a son idée", reconnait Anne Debet, en attendant que la Cour de justice européenne vienne éclairer les juristes de sa jurisprudence. Cela explique notamment pourquoi les recommandations de la Cnil sur l'IA générative (voir notre article du 11 juin 2024 ) portent sur leur conception, et notamment les bases d'entrainement, plus que sur les usages.

Le cas problématique des deepfakes

Or les usages problématiques de l'IA générative se multiplient, deepfakes et voicefakes en tête. En tant que personnes publiques souvent filmées ou enregistrées, les élus sont particulièrement concernés. La perturbation des processus électoraux via ces hypertrucages est d'ailleurs scrutée de près par l'Europe dans la perspective des prochains scrutins. Claude Castellucia, chercheur à l'Inria et membre de la Cnil, rappelle que la création de deepfake est "très facile", de multiples applications "triviales" permettant d'en générer. La loi sur la sécurisation de l'espace numérique (Sren - voir notre article du 11 avril 2024) a apporté un début de réponse en interdisant la diffusion des hypertrucages sans le consentement de la personne représentée. L'IA Act impose aussi leur marquage, mais de manière "très théorique". Celui-ci est laissé au bon vouloir des créateurs et les repérer automatiquement n'est pas chose aisée. Claude Castellucia estime que cette détection est "plus facile quand on a la vidéo source" mais que "la compression [avant diffusion] complexifie la tâche".

Pouvoirs limités de l'Arcom

Autre souci : la création de deepfakes n'est en elle-même pas réprimée. "Il faut clarifier la ligne entre usage satirique ou humoristique lié à la liberté d'expression et ceux qui sont répréhensibles" estime Lucia Serena Rossi. En attendant, les principales victimes des deepfakes sont les femmes. Selon une étude citée par Célia Zolynski, professeure de droit, "96% sont sexuels et 99% concernent des femmes, avec souvent de lourds impacts psychologiques". 
Benoît Loutrel, membre du collège de l'Autorité de régulation de la communication audiovisuelle et numérique (Arcom), rappelle de son côté que l'Europe n'a pas caractérisé ce qu'était un contenu légal : "Il y a ce qui est manifestement illicite, ce qui est licite et ce qui se plaide." L'Arcom n'a en outre aucun pouvoir de supprimer un contenu spécifique sur une plateforme soumise au DSA. Et de souligner que "les plateformes ne sont qu'une partie du sujet, il y a un enjeu d'éducation et de citoyenneté numérique, de la maternelle au grand âge".