Depuis que la CNIL a publié, le 3 février 2026, sa page d’alerte consacrée aux hypertrucages, le sujet des deepfakes est enfin sorti du cercle des experts en cybersécurité pour toucher les directions générales. L’autorité française y détaille les risques d’usurpation d’identité, de fraude au président, de sextorsion et de manipulation par visioconférence en temps réel. Elle rappelle les sanctions pénales encourues et les voies de recours. Mais dans tout ce dispositif, un acteur brille par son absence : le Délégué à la Protection des Données. Vos vidéos LinkedIn sont le carburant des deepfakes
Et pourtant, si l’on prend le problème par le bon bout, c’est peut-être lui qui détient la clé.
Le deepfake n’est pas un problème technique. C’est un problème de données personnelles.
Le réflexe habituel consiste à traiter le deepfake comme un sujet de cybersécurité. Détection par IA forensique, tatouage numérique, analyse de la texture de peau, vérification de la synchronisation labiale : les solutions techniques foisonnent et les laboratoires de recherche, dont le projet GenFakes piloté par le PEReN en partenariat avec le LINC de la CNIL, travaillent activement à améliorer les outils de détection.
Tout cela est nécessaire. Mais tout cela intervient après coup.
La vraie question est en amont : d’où viennent les données qui alimentent les modèles de deepfake ? La réponse est simple. Elles viennent de vous. De vos vidéos LinkedIn. De vos webinaires. De vos podcasts. De vos interviews filmées. De vos photos corporate en haute définition.
Pour cloner une voix de manière convaincante, il suffit aujourd’hui de quelques minutes d’enregistrement audio exploitable. Pour reproduire un visage en temps réel, des outils open source comme Deep Live Cam, apparu à l’été 2024, ne demandent qu’une seule photo de face et une webcam. Le LINC de la CNIL a documenté cette accessibilité nouvelle des outils de création de deepfakes, désormais utilisables sans puissance de calcul significative et sans base d’images volumineuse.
Or une voix clonée et un visage reproduit dans un but d’identification, ce sont des données biométriques au sens de l’article 4.14 du RGPD. Et les données biométriques sont des données sensibles au sens de l’article 9, dont le traitement est interdit par principe sauf exceptions limitativement prévues.
Chaque vidéo de dirigeant publiée sur LinkedIn est donc, objectivement, de la matière première biométrique en libre-service.
2,8 millions d’euros : le prix de 47 vidéos YouTube
Les chiffres donnent le vertige. Selon l’étude internationale publiée par Sumsub en 2025 et reprise par de nombreux médias spécialisés, les tentatives de fraude par deepfake ont augmenté de 700 % en France entre le premier trimestre 2024 et le premier trimestre 2025. Au niveau mondial, la hausse atteint également 700 %, avec des pics à 1 900 % à Hong Kong et 3 400 % au Canada.
Mais les statistiques abstraites comptent moins que les cas concrets. Une PME industrielle lyonnaise a perdu 2,8 millions d’euros après qu’un comptable a reçu un appel de son « PDG » lui demandant un virement urgent pour une acquisition confidentielle. Le deepfake vocal était si convaincant qu’il reproduisait les tics de langage du dirigeant et ses habitudes de conversation. L’enquête a révélé que les pirates avaient analysé 47 vidéos YouTube du dirigeant pour entraîner leur modèle d’IA. Selon le rapport Europol sur la fraude assistée par IA publié en janvier 2026, les fonds n’ont pas été récupérés.
Dans un autre cas documenté, un directeur financier a participé à une visioconférence avec ce qu’il pensait être son PDG et plusieurs collègues. Tous étaient des deepfakes en temps réel. C’est la première fraude documentée utilisant des deepfakes vidéo multi-participants en visioconférence. Les criminels avaient créé des avatars de quatre dirigeants différents.
La question qui s’impose : qui, dans ces entreprises, avait évalué le risque lié à l’exposition médiatique des dirigeants ? Qui avait cartographié les données biométriques accessibles publiquement ? Personne.
Le RSSI protège les systèmes. Qui protège l’empreinte numérique des personnes ?
C’est là que le raisonnement bascule, et c’est là que le DPO devrait entrer dans la boucle.
Le RSSI (Responsable de la Sécurité des Systèmes d’Information) protège l’infrastructure : pare-feu, chiffrement, gestion des accès, détection d’intrusion. Il est le gardien des systèmes. Le DPO, lui, est le gardien des personnes. Sa mission, telle que définie par les articles 37 à 39 du RGPD, consiste à veiller à ce que le traitement des données personnelles respecte les droits et libertés des personnes physiques.
Or la publication de contenus vidéo, audio et photographiques de dirigeants constitue bel et bien un traitement de données personnelles. Quand ces contenus permettent l’identification biométrique (ce qui est le cas dès lors qu’une voix est suffisamment claire pour être clonée ou qu’un visage est suffisamment net pour être reproduit), on entre dans le champ de l’article 9.
Le paradoxe est saisissant : les entreprises réalisent des AIPD (Analyses d’Impact relatives à la Protection des Données) pour installer un système de badge biométrique dans leurs locaux, mais elles publient sans aucune analyse de risque des centaines de vidéos HD de leurs dirigeants sur des plateformes publiques. Le badge biométrique est contrôlé, audité, encadré. Les vidéos LinkedIn ? Elles alimentent en open bar les modèles d’IA de n’importe quel fraudeur.
Ce que le DPO devrait faire (et que personne ne fait)
La posture du DPO face aux deepfakes ne devrait pas se limiter à la gestion de crise post-incident. Elle devrait s’inscrire dans une démarche préventive structurée autour de plusieurs axes.
Cartographier l’exposition biométrique des dirigeants. Le DPO devrait réaliser un inventaire systématique de tous les contenus audio, vidéo et photographiques des dirigeants et personnes clés de l’organisation accessibles publiquement. Combien de vidéos sur YouTube ? Combien d’interviews sur LinkedIn ? Combien de podcasts indexés ? Combien de photos HD sur le site corporate ? Cet inventaire constitue une première évaluation du risque biométrique.
Intégrer la publication de contenus dirigeants dans le registre des traitements. La diffusion de vidéos, podcasts et photos de dirigeants sur des plateformes publiques est un traitement de données personnelles. Si ces contenus contiennent des éléments biométriques exploitables (voix identifiable, visage en haute résolution), le DPO devrait l’inscrire au registre avec une base légale appropriée, une durée de conservation définie et une analyse de risque spécifique.
Réaliser une AIPD sur la politique de communication corporate. Dès lors que des données biométriques sont en jeu et que le risque d’exploitation malveillante est documenté, une Analyse d’Impact s’impose. Cette AIPD devrait évaluer la probabilité de clonage vocal ou facial à partir des contenus publiés, la gravité potentielle (fraude financière, usurpation d’identité, atteinte à la réputation) et les mesures de réduction du risque envisageables.
Définir une politique de publication des contenus sensibles. Sans aller jusqu’à interdire toute prise de parole des dirigeants, le DPO pourrait recommander des mesures concrètes : limiter la durée d’exposition des vidéos (suppression après une période définie), réduire la qualité audio des enregistrements publics pour compliquer le clonage vocal, utiliser le tatouage numérique (watermarking) sur les contenus officiels, restreindre l’accès aux photos HD du site corporate, et sensibiliser les dirigeants au risque de surexposition biométrique.
Collaborer avec le RSSI sur un plan anti-deepfake transversal. Le DPO couvre l’amont (réduction de la surface d’exposition biométrique) pendant que le RSSI couvre l’aval (détection, protocoles de vérification, double authentification pour les ordres de virement). Cette complémentarité est la clé d’une défense efficace.
L’angle mort du monde cyber
Ce qui est frappant, c’est que les professionnels de la cybersécurité connaissent parfaitement la fraude au président. Ils couvrent les usurpations d’identité. Ils mettent en place des protocoles de contre-appel et des codes de vérification verbale. Mais ils n’ont jamais abordé le problème sous l’angle de la donnée biométrique.
Et pour cause : ce n’est pas leur métier. La protection des données personnelles, l’analyse d’impact, le registre des traitements, le consentement, la minimisation des données… tout cela relève du RGPD et donc du DPO.
Le deepfake est précisément le sujet qui devrait forcer la collaboration entre RSSI et DPO. Non pas comme un sujet de cybersécurité auquel on ajoute une couche RGPD par conformité, mais comme un sujet de protection des données personnelles dont la dimension cybersécurité est le volet technique.
Inverser la perspective, c’est changer radicalement l’approche. Au lieu de se demander « comment détecter un deepfake ? », on se demande « comment réduire la matière première disponible pour en fabriquer un ? ». Au lieu de traiter l’incident, on réduit la probabilité qu’il survienne.
Le cadre juridique existe déjà
Il n’est même pas nécessaire d’inventer de nouvelles règles. Le RGPD fournit tous les outils.
L’article 5 impose la minimisation des données : ne traiter que ce qui est adéquat, pertinent et limité à ce qui est nécessaire. Publier 47 vidéos HD d’un dirigeant alors que cinq suffiraient à porter le message de l’entreprise, est-ce conforme au principe de minimisation ?
L’article 25 impose la protection des données dès la conception et par défaut. Concevoir une stratégie de communication corporate sans évaluer le risque biométrique lié aux contenus publiés, est-ce conforme au privacy by design ?
L’article 32 impose des mesures de sécurité appropriées au risque. Si le risque de clonage biométrique à partir de vidéos publiques est documenté (et il l’est désormais massivement), ne pas prendre de mesures pour le réduire pourrait constituer un manquement.
L’article 35 impose une AIPD pour les traitements susceptibles d’engendrer un risque élevé. La publication de contenus biométriques de dirigeants sur des plateformes publiques, dans un contexte de hausse de 700 % des fraudes par deepfake, remplit ce critère.
Et l’article 9, bien sûr, encadre strictement le traitement des données biométriques. La CNIL a rappelé à de multiples reprises que la voix est une donnée biométrique protégée lorsqu’elle est utilisée à des fins d’identification. La question est de savoir si la publication d’un contenu qui rend cette identification possible par des tiers malveillants engage la responsabilité du responsable de traitement.
Le AI Act renforce encore cette logique
Le règlement européen sur l’intelligence artificielle, entré en application progressive depuis 2024, classe les systèmes de deepfake dans une catégorie soumise à des obligations de transparence spécifiques. Les utilisateurs de ces systèmes doivent signaler que le contenu a été généré artificiellement.
Mais au-delà de cette obligation de transparence en aval, le AI Act renforce la notion de risque systémique lié à certaines utilisations de l’IA. La CNIL a d’ailleurs utilisé pour la première fois, dans sa communication du 3 février 2026, le terme de « menace systémique » pour qualifier les deepfakes, en s’inscrivant dans cette logique.
Pour le DPO, le AI Act apporte un argument supplémentaire : si les deepfakes sont reconnus comme une menace systémique par les autorités, le défaut d’évaluation du risque biométrique lié aux contenus publiés par l’entreprise devient d’autant plus difficile à justifier.
Recommandations concrètes pour les DPO
Voici ce qu’un DPO peut mettre en œuvre dès maintenant.
Premièrement, inclure le risque deepfake dans l’analyse de risque annuelle et dans le rapport d’activité du DPO. C’est un risque émergent documenté qui impacte directement les données personnelles des dirigeants et des collaborateurs exposés médiatiquement.
Deuxièmement, demander à la direction de la communication un état des lieux de tous les contenus audio, vidéo et photo des dirigeants publiés sur les plateformes publiques, les réseaux sociaux et le site corporate.
Troisièmement, proposer une politique de gestion du cycle de vie des contenus biométriques : durée maximale de publication, archivage ou suppression des contenus anciens, limitation de la résolution des photos accessibles publiquement.
Quatrièmement, intégrer la sensibilisation au risque deepfake dans le programme de formation RGPD, en ciblant spécifiquement les dirigeants, les équipes communication et les équipes financières (premières cibles de la fraude au président).
Cinquièmement, inscrire le traitement « publication de contenus biométriques des dirigeants » au registre des traitements et, si le contexte le justifie, réaliser une AIPD dédiée.
Sixièmement, établir un protocole conjoint DPO/RSSI de gestion de crise deepfake, incluant la procédure de signalement à la CNIL en cas d’utilisation frauduleuse de données biométriques d’un collaborateur.
L’enjeu de fond : repositionner le DPO comme acteur stratégique
Au-delà du cas spécifique des deepfakes, cette problématique illustre un enjeu plus large. Le DPO est trop souvent cantonné à un rôle de conformité documentaire : registre, mentions légales, cookies, sous-traitants. Or le RGPD lui confie une mission bien plus ambitieuse : protéger les droits et libertés des personnes face aux risques liés au traitement de leurs données.
Les deepfakes sont l’illustration parfaite d’un risque nouveau, massif, documenté, qui touche directement les données personnelles et pour lequel le cadre juridique du RGPD offre des réponses concrètes. Si le DPO ne s’empare pas de ce sujet, qui le fera ?
Le RSSI continuera à protéger les systèmes. Les équipes de communication continueront à publier des vidéos. Les fraudeurs continueront à les exploiter. Et entre les trois, personne ne protégera l’empreinte biométrique des personnes.
Il est temps que ça change.
