[Point de vue...] Deepfakes sexuels, enfants et IA générative : Grok met à l’épreuve le triptyque DSA, RGPD et régulation de l’IA

En quelques semaines, la même technologie, capable de « nudifier » des personnes, de générer des images sexualisées, y compris à l’apparence d’enfants, a déclenché une enquête de la Commission européenne au titre du règlement sur les services numériques (DSA) (Règlement (UE) n° 2022/2065 sur les services numériques N° Lexbase : L7614MEQ), une procédure de la DPC irlandaise sur le fondement du RGPD (Règlement (UE) n° 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données N° Lexbase : L0189K8I), une extension d’enquête pénale par le parquet de Paris, ainsi qu’une salve de critiques politiques au Parlement européen.

Loin d’un énième épisode de « contentieux des plateformes », ce dossier révèle une question plus profonde : les cadres adoptés ces dernières années (notamment DSA, RGPD, législation sectorielle IA) sont-ils réellement armés pour faire face à des hypertrucages de masse, sexualisés, impliquant potentiellement des mineurs ?

Le DSA comme épine dorsale : risques systémiques et IA intégrée.

Face aux révélations sur la génération d’images pédopornographiques par Grok, la réaction de la Commission a été immédiate et politique : ces contenus ne sont pas « osés », ils sont illégaux et n’ont pas leur place en Europe. Au-delà du symbole, l’exécutif européen active l’arsenal du DSA, dont X est l’une des très grandes plateformes (VLOP).

La Commission a déjà infligé à X une amende de 120 millions d’euros sur le fondement de ce règlement, première sanction emblématique au titre de ce texte. Elle ouvre désormais une enquête formelle portant spécifiquement sur l’intégration de Grok dans l’écosystème de la plateforme. Deux griefs se dessinent :

• l’absence d’étude d’impact préalable à l’intégration de l’IA, alors que le DSA impose aux très grandes plateformes d’évaluer et de mitiger les risques systémiques, notamment en matière de protection des mineurs, de diffusion de contenus illégaux et de manipulation de l’information ;
• l’insuffisance présumée des mesures de prévention de la diffusion de contenus illicites, s’agissant en particulier des deepfakes sexualisés.

Cette nouvelle enquête s’ajoute à une procédure déjà ouverte sur les systèmes de recommandation de X depuis 2023, désormais étendue à Grok.

Pour la Commission, l’intégration d’une IA générative dans une plateforme systémique n’est pas un simple changement de fonctionnalité, mais un changement de nature des risques à encadrer.

Le RGPD, autre pilier : images intimes non consenties et mineurs.

En parallèle, la DPC irlandaise ouvre sa propre enquête sur X et Grok au titre du RGPD. Le fondement juridique change, le reproche reste complémentaire : il ne s’agit plus seulement de manquements à des obligations de modération, mais de traitements illicites de données à caractère personnel, portant sur des images intimes non consenties, y compris celles de mineurs.

L’enquête vise explicitement :

• les principes de traitement (article 5 du RGPD) : minimisation, loyauté, exactitude, sécurité ;
• la licéité du traitement (article 6) ;
• l’existence et la qualité d’une analyse d’impact relative à la protection des données (article 35) ;
• le respect de la protection des données dès la conception et par défaut (article 25).

Le rappel du statut particulier des mineurs est central : certaines opérations de traitement sont purement proscrites en l’absence de consentement valide, et les autorités de contrôle insistent sur la gravité spécifique des deepfakes sexualisés impliquant des enfants.

La dimension répressive n’est pas absente : le parquet de Paris étend sa propre enquête pénale sur Grok à la diffusion de ces hypertrucages sexuels. Le dossier se situe ainsi à la jonction fine entre droit pénal, droit de la protection des données et régulation des services numériques.

Vers un « omnibus IA » : consolider l’architecture plutôt que multiplier les textes.

Consciente que ces cas ne relèvent pas du seul DSA, la Commission indique traiter également la « nudification » automatisée dans le cadre du RGPD et des négociations autour d’un omnibus législatif sur l’IA.

L’idée n’est pas de créer un troisième étage normatif autonome, mais de clarifier, dans les textes existants ou en voie d’adaptation, les responsabilités spécifiques liées aux IA génératives :

• obligation d’évaluation ex ante des risques ;
• exigences de sécurité ;
• possibilité d’interdiction de certains usages (deepfakes sexuels, notamment de mineurs) ;
• et renforcement des pouvoirs de surveillance et de sanction de la Commission à l’égard des acteurs de l’IA.

On assiste ainsi à une forme de « couture normative » : le DSA pour le risque systémique lié aux plateformes, le RGPD pour le traitement des données, l’omnibus IA pour articuler ces régimes avec les spécificités technologiques de l’IA générative.

Choisir le bon fondement juridique : la mise en garde danoise.

La réaction de la Commission au projet de loi danois anti-deepfakes illustre un autre enjeu : éviter les faux amis juridiques. Le Danemark entendait faire du droit d’auteur et des droits voisins l’outil principal de lutte contre les deepfakes en créant une protection générale de « l’image » des artistes-interprètes et un droit voisin à large champ et longue durée.

L’exécutif européen recadre fermement : le droit d’auteur européen protège des exécutions identifiables, non l’image d’une personne en tant que telle. Étendre ce régime pour en faire une protection générale contre les hypertrucages reviendrait à dénaturer les logiques de la propriété intellectuelle, tout en créant des contraintes disproportionnées pour les plateformes.

La Commission invite donc le Danemark à privilégier d’autres leviers : droit à l’image, protection des données, infractions pénales spécifiques, voire instruments dérivés du DSA. Message sous-jacent : la lutte contre les deepfakes doit s’inscrire dans la cohérence de l’acquis plutôt que dans une multiplication de droits voisins segmentés.

Convergence internationale : le « second round » britannique.

Hors UE, le Royaume-Uni propose, avec le Children’s Wellbeing and Schools Bill, un second round de régulation après l’Online Safety Act 2023. Ce texte va plus loin sur certains points :

• interdiction explicite pour les chatbots d’IA de générer des contenus illicites ;
• restrictions ciblant les fonctionnalités addictives (notamment le défilement infini) ;
• instauration d’une majorité numérique à 16 ans, assortie d’une interdiction d’accès aux réseaux sociaux pour les mineurs en deçà de cet âge ;
• interdiction du recours aux VPN pour contourner ces mesures.

Ce projet, lui aussi motivé par la vague de deepfakes sexualisés générés par Grok, témoigne d’une convergence d’objectifs (protection des mineurs, encadrement des IA génératives) mais aussi d’une tentation, chez certains États, de recourir à des instruments plus radicaux que ceux adoptés à Bruxelles.

Le regard des autorités de protection des données : le cas de la CNIL.

Au niveau national, la CNIL adopte une approche à la fois pédagogique, pénale et pratique.

Elle rappelle que les hypertrucages ne constituent pas seulement un risque de réputation : ils s’inscrivent au croisement de multiples infractions pénales, montage d’images sans consentement (article 226-8 du Code pénal N° Lexbase : L4010MMH), harcèlement (article 222-33-2-2 du Code pénal N° Lexbase : L9089ML9), escroquerie (article 313-1 du Code pénal N° Lexbase : L2012AMH), diffusion de contenus pédopornographiques (article 227-23 du Code pénal N° Lexbase : L2649L4U), propos haineux (article R. 625-7 du Code pénal N° Lexbase : L4087LGH) et de violations du RGPD.

La Commission nationale insiste aussi sur le rôle de la prévention individuelle : limiter la diffusion publique de ses images, recourir à des outils de floutage, développer des réflexes de vérification, ne pas relayer un contenu suspect et utiliser systématiquement les procédures de signalement (plateformes, PHAROS, plainte pénale, saisine de la CNIL).

Enfin, elle se positionne comme acteur technique en accompagnant les travaux sur la génération et la détection de deepfakes (projet GenFakes avec le PEReN, recherches sur le tatouage numérique, participation aux codes de bonnes pratiques européens sur les contenus générés par IA).