Mais une nouvelle menace, plus insidieuse encore, vient s’ajouter à cette déferlante de faussaires : les deepfakes. Longtemps cantonnés à la sphère médiatique, ces contenus générés par intelligence artificielle (IA) sont devenus des outils redoutables au service de la fraude et s’invitent aujourd’hui dans les salles de réunion et les échanges professionnels.
Un des exemples les plus marquants a eu lieu en février 2024 : une multinationale a perdu 25,5 millions de dollars après qu’un collaborateur a participé à une visioconférence entièrement composée de faux collègues générés par IA.
Ce basculement marque l’entrée dans une ère nouvelle très préoccupante, celle de l’hyper-réalisme numérique, où manipuler l’image ou la voix est devenu aussi simple qu’envoyer un message. Face à cette réalité mouvante où tout peut être façonné, altéré ou inventé, les juristes et les responsables conformité se demandent comment ils vont pouvoir encore garantir la valeur probante d’une preuve numérique.
Deepfakes et intelligence artificielle : une menace réelle pour la fiabilité des preuves
Le terme deepfake vient de la contraction de deep learning (apprentissage profond) et fake (faux). Ces IA analysent d’immenses volumes de vidéos et d’images, les micro-mouvements d’un visage, les intonations d’une voix, les gestes les plus imperceptibles, et les reproduisent avec un réalisme déroutant. Ainsi grâce à ces algorithmes, en quelques minutes, n’importe qui peut « apparaître » à l’écran, dire ce qu’il n’a jamais dit, signer ce qu’il n’a jamais approuvé.
Ce qui relevait hier de la haute technologie est désormais à la portée de tous. Une poignée d’applications gratuites suffit pour générer un deepfake en temps réel, sans bagage technique particulier. Cette banalisation expose en première ligne des secteurs sensibles comme les RH ou la finance.
Ces technologies de manipulation de l’image et du son remettent profondément en question la fiabilité de la preuve numérique et la capacité des entreprises à vérifier l’authenticité d’un document, d’un message ou d’un échange.
Un cadre juridique européen de la preuve qui évolue
Le règlement européen eIDAS 2
Face à ces risques, le droit européen s’adapte pour renforcer la confiance dans les transactions numériques.
Le règlement eIDAS, en vigueur depuis 2016, encadre les services de confiance électronique : signature, cachet, horodatage ou archivage électroniques. Sa version révisée, eIDAS 2, entrée en application en mai 2024, consolide la sécurité juridique de ces services et introduit une identité numérique européenne interopérable.
L’horodatage électronique qualifié dont la certification est délivrée en France par l’ANSSI (Agence nationale de la sécurité des systèmes d’information), bénéficie désormais d’une présomption légale d’exactitude. Cela signifie qu’il appartient à la partie adverse d’en contester la véracité.
L’IA Act
En parallèle, l’AI Act, adopté en août 2024, encadre l’usage de l’intelligence artificielle sur le territoire européen. Ce texte pionnier impose des obligations spécifiques pour les systèmes d’IA à haut risque et proscrit les pratiques manipulatoires. Il impose également des exigences de transparence : les contenus générés par IA doivent être clairement identifiés comme tels.
L’ANSSI joue un rôle clé dans cette architecture probatoire en certifiant les prestataires de services de confiance (PSCo) et en définissant les référentiels techniques de sécurité. Pour les entreprises, s’appuyer sur ces prestataires qualifiés est devenu une condition essentielle pour assurer la valeur légale de leurs preuves numériques.
Comment se prémunir contre les deepfakes : stratégies probatoires pour les entreprises
Face à la montée des deepfakes, les entreprises n’ont d’autre choix que de bâtir une véritable stratégie probatoire, pensée comme un bouclier numérique. Cette gouvernance probatoire doit bien évidemment être adaptée à la nature de leurs documents. Pour cela voici les étapes à respecter.
1. Cartographier les documents sensibles
Tous les fichiers n’ont pas la même valeur ni le même poids juridique. Contrats, rapports financiers, documents commerciaux … Répertorier ses documents, les classer et les protéger selon leur degré de sensibilité, leur niveau de confidentialité et leur accessibilité interne et externe est un préalable nécessaire à la mise en place de cette gouvernance probatoire.
2. Mettre en œuvre l’horodatage électronique qualifié
Cet outil associe de manière infalsifiable une date et une heure à un fichier numérique, créant une preuve d’antériorité reconnue par les tribunaux. Lorsqu’il est intégré dès la création du document, l’horodatage en renforce considérablement la traçabilité. L’horodatage peut se faire de manière ponctuelle et manuelle ou peut s’automatiser en s’intégrant à des workflows existants. Cela dépendra des besoins identifiés en phase 1.
3. Utiliser la signature ou le cachet électroniques qualifiés
Ces mécanismes de signature ou de cachet électroniques, piliers du règlement eIDAS certifient à la fois l’identité du signataire et l’intégrité du contenu, avec la même valeur juridique qu’une signature manuscrite. Alors que l’IA peut désormais facilement imiter une voix ou un visage, cette garantie d’authenticité devient une protection supplémentaire de vérification de l’identité d’un individu ou d’une personne morale.
4. Maintenir l’intégrité tout au long de la vie de la preuve
Un système d’archivage conforme à la norme NF Z42-013 garantit la conservation intègre et durable des preuves, ainsi que la traçabilité de l’ensemble des opérations réalisées. En France, de nombreux opérateurs proposent des systèmes d’archivage électronique. Déterminer au préalable le niveau de sécurité requis pour vos documents ainsi que leur durée de conservation vous aidera à choisir le prestataire le plus adapté.
5. Documenter la chaîne de preuve
En cas de contentieux, la documentation du processus de création, de signature et de conservation de la preuve est essentielle pour écarter tout soupçon de falsification.
Les solutions biométriques et comportementales, l’analyse des métadonnées ainsi que les outils de détection de deepfakes, développés par des spécialistes de la cybersécurité et de l’identité numérique, viennent compléter cette stratégie.
Vers de nouvelles menaces : l’impact futur du quantique sur la gestion de la preuve
Les deepfakes occupent aujourd’hui le devant de la scène, mais une menace plus discrète et peut-être plus déstabilisante encore, se profile à l’horizon : le quantique. L’ordinateur quantique, lorsqu’il atteindra sa pleine maturité, pourrait faire voler en éclats une grande partie des protections numériques actuelles. En théorie, ces machines seraient capables de briser les algorithmes de chiffrement qui sécurisent nos documents, nos communications, nos signatures… en bref, tout ce qui fonde la confiance numérique.
Pour anticiper cette rupture, des organismes comme le NIST (États-Unis) pilotent depuis plusieurs années le développement et la standardisation d’algorithmes post-quantiques, conçus pour résister à ces futures capacités de calcul hors norme. En France, l’ANSSI appelle déjà les entreprises à anticiper cette bascule dans leurs stratégies de cybersécurité et de gestion de la preuve.
Conclusion
La sécurisation de la preuve numérique, enjeu stratégique pour les entreprises, se trouve fortement bousculé par l’IA et le développement ultra rapide de technologies de deepfake.
Pour faire face à ces évolutions, les entreprises peuvent s’appuyer sur les avancées réglementaires et technologiques, mais elles doivent aussi veiller à mettre en place une gouvernance de la preuve qui permette de tracer et d’encadrer les chemins de preuve.
En s’appuyant sur des prestataires qualifiés comme Evidency, capables de garantir intégrité, traçabilité et authenticité, les entreprises peuvent préserver leur capacité à produire des preuves à forte valeur probatoire, contribuant ainsi à réinventer la confiance numérique de demain.
Stéphane Père
Managing Director Evidency
www.evidency.io
