La menace deepfake, un défi immédiat pour la preuve numérique

Les risques liés aux deepfakes ont dépassé le stade de simples spéculations. Ils sont devenus concrets comme le montre la multiplication des affaires relayées par les médias. Par exemple, en février 2024, une multinationale en a fait les frais à hauteur de 25,5 millions de dollars. Un employé pensait participer à une visioconférence avec des collègues et des supérieurs. Il a donc obéi aux ordres de virement. Or tous les participants étaient des deepfakes[1].

Cette affaire montre que les deepfakes sont maintenant des outils puissants au service de la fraude documentaire. Celle-ci est devenue la 3ème activité criminelle mondiale avec 200 milliards de dollars de préjudices annuels selon Europol[2]. Avec l’intelligence artificielle, ce montant risque d’augmenter. En France, on estime que 70 % des entreprises ont été victimes de tentatives de fraude durant l’année 2022[3].

Pour les juristes d’entreprise, cette évolution conduit à s’interroger sur les mécanismes à mettre en œuvre pour garantir la valeur probante des preuves numériques quand il est désormais possible de falsifier n’importe quel document avec un réalisme saisissant.

Sommaire

• Deepfakes et IA : la preuve numérique face à une réalité manipulable
• Le droit européen de la preuve numérique
• Les stratégies probatoires à mettre en œuvre dans les entreprises face aux menaces de deepfakes et de manipulation par IA
• De futures menaces à anticiper pour la preuve numérique
• Ce qu’il faut retenir de la menace des deepfakes vis-à-vis de la preuve numérique

Deepfakes et IA : la preuve numérique face à une réalité manipulable

Le terme « deepfake » résulte de la contraction de « deep learning » et « fake ». Cette technique repose sur l’analyse par IA de nombreuses heures de vidéos ou de photos d’une personne afin de recréer son apparence, sa voix et ses expressions avec précision. L’algorithme peut ensuite faire dire ou faire n’importe quoi à cette personne virtuelle.

La démocratisation de ces outils bouleverse l’écosystème de la preuve. Il n’y a plus besoin de disposer de compétences techniques pointues ou d’un budget conséquent pour falsifier de manière réaliste un document ou une vidéo. C’est désormais possible pour la majorité des internautes depuis un simple ordinateur personnel. Il existe même des applications mobiles qui permettent de générer des deepfakes en temps réel.

Parmi les secteurs les plus exposés à ce type de fraude, on retrouve la finance avec des faux ordres de virements vocaux, l’e-commerce avec des deepfakes permettant de créer de fausses vidéos promotionnelles où des personnalités semblent recommander des produits contrefaits ou de qualité douteuse ou encore les ressources humaines lors d’entretiens téléphoniques ou par visioconférence.

Le droit européen de la preuve numérique

Face à ces évolutions, le cadre juridique européen tente de s’adapter. Le règlement eIDAS[4], en vigueur depuis 2016, définit les services de confiance électronique. Sa version révisée, eIDAS 2[5], entrée en application en mai 2024, renforce les exigences de sécurité et introduit de nouveaux mécanismes d’identité numérique européenne.

Cette architecture légale établit une hiérarchie claire entre les différents niveaux de preuve électronique. Un horodatage électronique qualifié, délivré par un prestataire de services de confiance agréé par l’ANSSI, bénéficie d’une présomption légale d’exactitude. C’est à la partie adverse qu’il revient de prouver une éventuelle inexactitude.

Parallèlement, l’AI Act[6], entré en vigueur en août 2024, encadre l’utilisation de l’intelligence artificielle. Ce règlement impose des obligations particulières pour les systèmes d’IA à haut risque et interdit certaines pratiques manipulatrices. Il crée un cadre juridique pour distinguer les contenus générés artificiellement, notamment avec des obligations de transparence et de traçabilité.

L’ANSSI joue également un rôle central dans cette architecture en qualifiant les prestataires de services de confiance et en édictant des référentiels techniques. Ces certifications permettent aux entreprises de s’appuyer sur des solutions reconnues juridiquement et techniquement fiables.

Les stratégies probatoires à mettre en œuvre dans les entreprises face aux menaces de deepfakes et de manipulation par IA

En réponse à ces défis, les entreprises doivent repenser leur approche de la preuve numérique. La première étape consiste à cartographier les documents critiques selon leur valeur probante potentielle. Tous les documents numériques ne sont pas critiques et n’ont donc pas besoin du même niveau de protection : un contrat commercial stratégique nécessite des garanties supérieures par rapport à un simple échange de courriels opérationnel.

L’horodatage électronique qualifié constitue le premier réflexe à adopter. Ce service permet d’associer de manière fiable une date et une heure à un document numérique. Il crée ainsi une preuve d’antériorité qui est opposable en justice. Intégré dès la création du document, l’horodatage qualifié simplifie considérablement la constitution du dossier probatoire.

Pour garantir l’authenticité et l’intégrité, les signatures électroniques qualifiées et les cachets électroniques qualifiés s’imposent également comme des outils incontournables. Ces mécanismes, définis par le règlement eIDAS, permettent d’identifier formellement l’auteur d’un document et de détecter toute modification ultérieure. Leur valeur juridique équivaut à celle de la signature manuscrite traditionnelle.

L’archivage électronique certifié complète ce dispositif en préservant l’intégrité des preuves dans la durée. Un système d’archivage électronique conforme à la norme NF Z42-013 garantit l’inviolabilité des documents, l’enregistrement de toutes les opérations et la réversibilité des formats sur le long terme.

Face aux deepfakes spécifiquement, des solutions d’authentification biométrique et comportementale se développent. Ces technologies analysent les métadonnées, comparent les adresses IP et détectent les incohérences invisibles à l’œil nu. Microsoft, Google et d’autres géants technologiques investissent massivement dans ces outils de détection automatisée.

La traçabilité des processus de constitution de preuve devient également cruciale. Documenter précisément qui a collecté la preuve, quand, où et comment permet d’écarter tout soupçon de manipulation. Cette documentation méticuleuse, souvent négligée, peut faire la différence lors d’une procédure contentieuse.

De futures menaces à anticiper pour la preuve numérique

À plus long terme, l’ordinateur quantique pourrait bouleverser l’ensemble de l’écosystème probatoire numérique. Ces super-calculateurs, encore expérimentaux, risquent de remettre en cause les méthodes de chiffrement actuelles qui protègent nos communications et nos données.

Cette menace, bien que lointaine, nécessite une préparation dès aujourd’hui. Le NIST américain travaille depuis 2016 sur de nouveaux algorithmes de chiffrement « post-quantiques » capables de résister aux attaques quantiques[7]. En France, l’ANSSI suit attentivement ces développements et recommande aux entreprises d’évaluer leur vulnérabilité face à cette évolution technologique.

Conclusion

Avec le développement exponentiel de l’IA et son utilisation à des fins de fraude, les entreprises doivent adopter une approche globale pour sécuriser leur faculté à fournir des preuves recevables et sécurisées. Cette démarche combine plusieurs éléments :

• l’évaluation des risques spécifiques à chaque type de document,
• le recours systématique aux prestataires de services de confiance qualifiés,
• la formation des équipes aux nouvelles menaces
• et la mise en place de processus de vérification renforcés.

La collaboration avec des tiers de confiance devient ainsi particulièrement stratégique. Ces prestataires, qualifiés par les autorités compétentes de leur pays (l’ANSSI en France) conformément au règlement eIDAS, apportent l’expertise technique et les garanties juridiques nécessaires pour faire face aux évolutions technologiques. Leur intervention permet de déplacer la charge probatoire sur des acteurs spécialisés et certifiés.

L’adaptation constante des pratiques s’impose également. Le paysage technologique évolue rapidement et les entreprises doivent rester vigilantes face aux nouvelles menaces. Cette veille technologique et réglementaire, intégrée dans une démarche de gestion des risques, constitue la clé d’une stratégie probatoire pérenne.

Ce qu’il faut retenir de la menace des deepfakes vis-à-vis de la preuve numérique

• La menace deepfake est concrète : 25,5 millions de dollars détournés via une fausse visioconférence, 70% des entreprises françaises victimes de fraude en 2022
• Le cadre légal européen se renforce : eIDAS 2 et AI Act encadrent désormais les preuves numériques et l’usage de l’intelligence artificielle
• L’horodatage électronique qualifié devient incontournable : il associe de manière certifiée une date et une heure aux documents avec présomption légale d’exactitude
• Signature et archivage électroniques certifiés : garantissent l’authenticité, l’intégrité et la conservation pérenne des preuves numériques
• S’appuyer sur des prestataires de confiance qualifiés : acteurs certifiés par les autorités nationales européennes selon le règlement eIDAS pour maximiser la valeur probante

Sources

[1] Filippone D., Piégé par un deepfake en visio, un employé transfère 24 M€ à des escrocs, Le Monde Informatique, 5 février 2024 : https://www.lemondeinformatique.fr/actualites/lire-piege-par-un-deepfake-en-visio-un-employe-transfere-24-meteuro-a-des-escrocs-92875.html
[2] Europol, EU Serious and Organised Crime Threat Assessment (SOCTA) 2021, A corrupting influence : the infiltration and undermining of Europe’s economy and society by organised crime : https://www.europol.europa.eu/cms/sites/default/files/documents/socta2021_1.pdf
[3] Observatoire de la Filière de la Confiance Numérique 2025 : https://www.confiance-numerique.fr/wp-content/uploads/2025/06/observatoire-acn-2025-de-la-confiance-numerique.pdf
[4] Règlement (UE) N° 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (eIDAS) : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A32014R0910
[5] Règlement (UE) N°2024/1183 du 11 avril 2024 modifiant le règlement (UE) n° 910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique (eIDAS 2) : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=OJ:L_202401183
[6] Règlement (UE) N°2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=OJ:L_202401689
[7] https://csrc.nist.gov/projects/post-quantum-cryptography