Images générées par l’IA : quels risques et enjeux juridiques ?

Les outils d’intelligence artificielle générative capables de produire des images, des vidéos ou de cloner une voix se démocratisent rapidement. Si ces technologies offrent des opportunités en matière de communication, de marketing ou de création de contenu, elles soulèvent aussi des risques importants. Protection des données, droit à l’image, responsabilité en cas d’usurpation d’identité ou de contenus trompeurs : les enjeux juridiques sont nombreux.

L’IA générative et la reproduction de l’identité

Les progrès récents de l’IA permettent de créer des images ou des vidéos très réalistes représentant des personnes réelles, parfois à partir de quelques photos disponibles en ligne. De même, certaines technologies sont capables d’imiter la voix d’un individu avec seulement quelques secondes d’enregistrement.

Ces possibilités techniques facilitent la création de « doubles numériques » susceptibles d’être utilisés dans différents contextes : contenus promotionnels, avatars virtuels, campagnes publicitaires, mais aussi deepfakes ou tentatives d’escroquerie. L’utilisation de l’image ou de la voix d’une personne sans son consentement peut alors constituer une atteinte aux droits de la personnalité, voire engager la responsabilité de l’organisation qui diffuse ou exploite ces contenus.

Pour les entreprises, les risques ne concernent pas uniquement l’image de tiers. Les dirigeants ou collaborateurs peuvent eux aussi être visés par des tentatives d’escroquerie, par exemple via des messages vocaux ou vidéos générés artificiellement.

Des enjeux de conformité multiples

Ces pratiques s’inscrivent dans un cadre juridique encore en évolution, mais plusieurs normes existantes s’appliquent déjà, outre les risques que les contenus synthétiques peuvent présenter pour une entreprise en matière de responsabilité civile ou de réputation (par exemple lorsque ces contenus sont susceptibles d’induire le public en erreur ou de diffuser de fausses informations).

En premier lieu, l’utilisation d’images ou d’enregistrements vocaux peut impliquer le traitement de données à caractère personnel lorsqu’une personne est identifiable. Dans ce cas, les obligations issues du RGPD s’appliquent : base de licéité du traitement, information des personnes concernées, limitation des finalités ou encore mesures de sécurité adaptées ne sont que des exemples des très nombreuses règles à respecter.

En deuxième lieu, le droit à l’image permet aux individus de s’opposer à l’utilisation non autorisée de leur identité. L’utilisation de l’image ou de la voix d’un individu dans un contenu généré par IA nécessite donc une attention particulière, notamment en matière de consentement et de proportionnalité.

En troisième lieu, sous l’angle de l’AI Act de l’Union européenne qui entrera en vigueur le 2 août 2026, les « deep fakes » relèvent de la catégorie des « systèmes à faible risque », ce qui implique une obligation concrète de transparence (cf. art. 50 de l’AI Act) : les utilisateurs doivent être informés que le contenu est généré par l’IA.

Une mobilisation internationale des autorités de protection des données

Face à ces risques croissants, les autorités de protection des données multiplient les initiatives. En février 2026, l’Autorité de protection des données belge (APD) a signé, avec plus de 60 autorités dans le monde, une déclaration commune consacrée aux risques liés aux images générées par l’IA.

Cette initiative alerte sur la capacité des systèmes d’IA à générer des images ou vidéos réalistes représentant des personnes identifiables sans leur connaissance ni leur consentement. Les autorités soulignent notamment les risques pour la vie privée, la réputation et la sécurité des individus, ainsi que l’impact potentiel sur la confiance dans l’information.

La déclaration commune a été coordonnée par le International Enforcement Cooperation Working Group (IEWG) de la Global Privacy Assembly (GPA). Elle appelle les organisations à mettre en place des mesures de gouvernance adaptées et à intégrer la protection des données dès la conception des systèmes d’IA.

Points d’attention pour les juristes d’entreprise

Dans ce contexte, les juristes jouent un rôle central dans l’encadrement de l’usage de ces technologies au sein des organisations. Plusieurs axes de vigilance se dégagent :

Encadrer l’usage interne des outils d’IA générative, notamment dans les fonctions marketing, communication ou RH.
Vérifier la licéité des traitements de données dans le cadre de l’entraînement ou de l’alimentation des systèmes d’IA, en particulier lorsqu’elles contiennent des images ou des voix identifiables.
Mettre en place des politiques internes sur les contenus synthétiques, incluant des règles de transparence et d’autorisation.
Sensibiliser les collaborateurs aux risques d’usurpation d’identité, notamment dans les fraudes par deepfake vocal ou vidéo.
Anticiper les obligations réglementaires émergentes, notamment dans le cadre du règlement européen sur l’intelligence artificielle (AI Act).

À mesure que les capacités de l’IA progressent, la gestion des identités numériques – visages, voix et représentations virtuelles – devient un enjeu stratégique de conformité. Pour les entreprises, l’enjeu ne se limite plus à l’innovation technologique : il s’agit aussi de préserver la confiance, la réputation et les droits fondamentaux des personnes concernées.

de Laure-Anne Nyssen

Cookie	Type	Durée	Description
tk_ai	persistent	1 an	Ce cookie est défini par WooCommerce. Il stocke une identification anonyme générée de manière aléatoire. Celui-ci est uniquement utilisé dans la zone du tableau de bord (`/wp-admin`) et sert à suivre l'utilisation, s'il est activé. Plus d'informations : https://docs.woocommerce.com/document/woocommerce-cookies/
woocommerce_cart_[hash]	session		Ce cookie est défini par WooCommerce et est utilisé pour aider WooCommerce à déterminer si le contenu du panier/les données changent. Plus d'infos : https://docs.woocommerce.com/document/woocommerce-cookies/
woocommerce_items_in_cart	session		Ce cookie est défini par WooCommerce et est utilisé pour aider WooCommerce à déterminer si le contenu du panier/les données changent. Plus d'infos : https://docs.woocommerce.com/document/woocommerce-cookies/
wp_woocommerce_session_	persistent	2 jours	Ce cookie est défini par WooCommerce. Il contient un code unique pour chaque client afin qu'il sache où trouver les données du panier dans la base de données pour chaque client. Plus d'informations : https://docs.woocommerce.com/document/woocommerce-cookies/

Cookie	Type	Durée	Description
wordpress_[hash]	session		Ce cookie est défini par Wordpress et est utilisé pour stocker les données d'authentification lors de la connexion. Les données d'authentification comprennent le nom d'utilisateur et une copie doublement hachée du mot de passe. Toutefois, l'utilisation du cookie est limitée à la zone de la console d'administration, le tableau de bord du site web. Ici, [hash] représente la valeur obtenue en appliquant une formule mathématique spécifique au nom d'utilisateur et au mot de passe. Il s'agit de s'assurer que les valeurs saisies sont sûres et que personne ne peut accéder à ces données en utilisant les cookies, car il est difficile de "dé-hacher" les données hachées. Plus d'informations : https://wordpress.org/support/article/cookies/
wordpress_test_cookie	session		Ce cookie est défini par Wordpress et est utilisé pour stocker les données d'authentification lors de la connexion. Les données d'authentification comprennent le nom d'utilisateur et une copie doublement hachée du mot de passe. Toutefois, l'utilisation du cookie est limitée à la zone de la console d'administration, le tableau de bord du site web. Ici, [hash] représente la valeur obtenue en appliquant une formule mathématique spécifique au nom d'utilisateur et au mot de passe. Il s'agit de s'assurer que les valeurs saisies sont sûres et que personne ne peut accéder à ces données en utilisant les cookies, car il est difficile de "dé-hacher" les données hachées. Plus d'informations : https://wordpress.org/support/article/cookies/
workpress_logged_in_[hash]	session		Ce cookie est défini par Wordpress et est utilisé pour indiquer quand vous êtes connecté et qui vous êtes. Ce cookie est maintenu sur la page d'accueil du site web, ainsi que lors de la connexion. Plus d'informations : https://wordpress.org/support/article/cookies/
wp-settings-{time}-[UID]	persistent	1 an	Ce cookie est défini par Wordpress et est utilisé pour personnaliser l'affichage de votre interface d'administration et de la partie frontale du site web. La valeur représentée par [UID] est l'identifiant individuel de l'utilisateur tel qu'il lui est donné dans la table de la base de données des utilisateurs. Plus d'informations : https://wordpress.org/support/article/cookies/

Cookie	Type	Durée	Description
cookielawinfo-checkbox-[category]	persistent	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Les cookies sont utilisés pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Non nécessaire".
CookieLawInfoConsent	persistent	1 an	Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour se souvenir du choix de l’utilisateur sur les cookies sur le site pour éviter d’ouvrir le popup après acceptation.
PHPSESSID	session		Ce cookie définit la session unique de l'utilisateur sur le site.
pll_language	persistent	1 an	Ce cookie définit la langue de l'utilisateur.
viewed_cookie_policy	persistent	1 an	Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour enregistrer si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.

Cookie	Type	Durée	Description
__utma	persistent	2 ans	Utilisé pour distinguer les utilisateurs et les sessions. Le cookie est créé lorsque la bibliothèque javascript s'exécute et qu'aucun cookie __utma n'existe. Le cookie est mis à jour chaque fois que des données sont envoyées à Google Analytics. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmb	session	30 minutes	Utilisé pour déterminer les nouvelles sessions/visites. Le cookie est créé lorsque la bibliothèque javascript s'exécute et qu'aucun cookie __utmb n'existe. Le cookie est mis à jour chaque fois que des données sont envoyées à Google Analytics. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmc	session		Ce cookie fonctionne en complément du cookie __utmb pour déterminer si il y a une nouvelle visite du visiteur actuel. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmt	session	10 minutes	Utilisé pour réduire le taux de demande. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmv	persistent	2 ans	Utilisé pour stocker des données variables personnalisées au niveau du visiteur. Ce cookie est créé lorsqu'un développeur utilise la méthode _setCustomVar avec une variable personnalisée au niveau du visiteur. Ce cookie a également été utilisé pour la méthode _setVar, qui est obsolète. Le cookie est mis à jour chaque fois que des données sont envoyées à Google Analytics. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmz	persistent	6 mois	Stocke la source de trafic ou la campagne qui explique comment l'utilisateur a atteint votre site. Le cookie est créé lorsque la bibliothèque javascript s'exécute et est mis à jour chaque fois que des données sont envoyées à Google Analytics. Plus d'informations : https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
_fbp	persistent	3 mois	Utilisé par Facebook pour fournir une série de produits publicitaires tels que les enchères en temps réel d'annonceurs tiers.
1P_JAR	persistent	1 mois	Ce cookie fournit des informations sur la façon dont l'utilisateur final utilise le site web et sur toute publicité que l'utilisateur final a pu voir avant de visiter ce site. Il est ajouté par Google avec le tracking de Linkedin.
AnalyticsSyncHistory	persistent	30 jours	Utilisé pour stocker des données sur le moment où une synchronisation a été effectuée avec le cookie lms_analytics
ANID	persistent	9 mois	Il s’agit d’un cookie publicitaire de Google (qui peut être injecté dans le cadre de l’utilisation d’un service tel que Facebook Pixel, MailChimp ou Linkedin).
bcookie	persistent	1 an	Ce cookie est défini par Linkedin pour le tracking des services embarqués.
bscookie	persistent	2 ans	Ce cookie est défini par Linkedin pour le tracking des services embarqués.
c_user	persistent	3 mois	Ce cookie est utilisé par Facebook pour le partage social des information et l’intégration des services de Facebook.
cli_user_preference	persistent	1 an	Stocke le statut de consentement des cookies de l'utilisateur.
CONSENT	persistent	± 18 ans	Ce cookie stocke des informations liées au consentement de l’utilisateur et stocke la langue de l’utilisateur.
datr	persistent	2 ans	Cookie d'analyse statistique publicitaire Facebook. Pour en savoir plus, veuillez consulter la politique d'utilisation des cookie de Facebook
DSID	persistent	2 semaines	Sert à identifier un utilisateur connecté à son compte Google sur des sites n'appartenant pas à Google et à mémoriser ses préférences de personnalisation des annonces.
fr	persistent	3 mois	Le cookie "fr" est utilisé pour délivrer, mesurer et améliorer la pertinence des publicités, et sa durée de vie est de 90 jours.
IDE	persistent	13 mois	Utilisé par Google afin de présenter des annonces Google Ads aux utilisateurs sur des sites n'appartenant pas à Google.
JSESSIONID	session		Ce cookie est placé par Linkedin pour définir une nouvelle session.
lang	session		Ce cookie stocke la langue du navigateur. Ce cookie est ajouté par Linkedin.
li_at	persistent	1 an	Ce cookie est défini par Linkedin pour le tracking des services embarqués. Ce cookie permet de se protéger des attaques en XSS.
li_oatml	persistent	1 mois	Identifiant indirect du membre pour le suivi des conversations, le reciblage et l’utilisateur. Ce cookie est ajouté par Linkedin.
lidc	session	1 jour	Cookie de Linkedin utilisé pour le routage.
lissc	persistent	1 an	Ce cookie est défini par Linkedin pour le tracking des services embarqués.
lms_ads	persistent	30 jours	Utilisé pour identifier les membres de LinkedIn hors LinkedIn dans les pays désignés à des fins de publicité
lms_analytics	persistent	30 jours	Utilisé pour identifier les membres de LinkedIn dans les pays désignés à des fins d’analyse
NID	persistent	6 mois	Ce cookie de Google permet de personnaliser les annonces publicitaires. Il stocke un identifiant unique permettant à Google d’enregistrer les préférences et d’autres informations comme la langue.
sb	persistent	2 ans	Ce cookie est utilisé par Facebook pour le partage social des information et l’intégration des services de Facebook.
UserMatchHistory	persistent	30 jours	Ce cookie de Linkedin est utilisé pour suivre les visiteurs afin que les publicités les plus pertinentes puissent être présentées en fonction des préférences du visiteur.
xs	persistent	90 jours	Ce cookie de Facebook enregistre un certain nombre de données de session lorsqu’une personne est connectée à Facebook via son navigateur ou son appareil.