Deepfakes sexuels au collège : sept mineurs portent plainte, le RGPD en première ligne

19/6/26
👈 les autres actualités

Sept collégiens et dix agents d'un établissement scolaire de la Marne ont déposé plainte après la diffusion, sur les réseaux sociaux, de deepfakes sexuels les représentant. Le parquet de la Marne a ouvert une enquête. Au-delà du choc, l'affaire rappelle une réalité que tout DPO devrait avoir intégrée : un visage détourné par l'intelligence artificielle reste une donnée personnelle, et sa diffusion une violation à part entière.

Ce qui s'est passé

Selon les éléments rendus publics, dix-sept personnes — sept élèves mineurs et dix agents — rattachées à un collège de Mourmelon-le-Grand ont saisi la justice pour diffusion de montages à caractère sexuel et atteinte à la vie privée. Les images, truquées à l'aide d'outils d'IA générative, ont circulé sur les réseaux sociaux avant que les victimes n'engagent une action collective. Le parquet de la Marne a confirmé l'ouverture d'une enquête.

L'affaire est encore au stade judiciaire et les détails techniques restent limités. Mais elle illustre un basculement déjà documenté ailleurs : la fabrication de contenus sexuels synthétiques, longtemps réservée à des cibles publiques, atteint désormais le quotidien des établissements scolaires et touche directement des mineurs.

Pourquoi c'est important : un visage truqué reste une donnée personnelle

La première erreur serait de classer ce dossier comme un simple fait divers. Le visage d'une personne, même détourné ou recomposé par un algorithme, demeure une donnée personnelle au sens du RGPD : il permet d'identifier la personne représentée. Sa réutilisation sans base légale ni consentement constitue un traitement illicite. C'est tout l'enjeu du droit à l'image articulé avec le RGPD, qui impose une autorisation explicite pour toute diffusion publique de l'image d'un individu.

La gravité est ici décuplée par deux facteurs. D'abord, le caractère sexuel des contenus, qui relève des données les plus sensibles et porte atteinte à la dignité des victimes. Ensuite, l'âge des principales personnes concernées : le RGPD réserve une protection renforcée aux mineurs (article 8), dont le consentement et l'intégrité appellent une vigilance particulière. La banalisation des outils d'IA générative accélère ces dérives, ce qui rend la sensibilisation des équipes aux risques de l'IA d'autant plus urgente.

Le cadre juridique : RGPD et Code pénal se cumulent

Sur le terrain de la protection des données, l'absence de consentement et de finalité légitime suffit à caractériser une violation. Côté pénal, la loi a récemment durci les sanctions : la diffusion d'un montage à caractère sexuel réalisé sans le consentement de la personne est expressément réprimée, avec des circonstances aggravantes lorsque la victime est mineure. S'y ajoutent les infractions classiques d'atteinte à la vie privée et à la représentation de la personne.

Pour un établissement scolaire, la responsabilité ne s'arrête pas à la sphère pénale des auteurs. En tant que responsable de traitement des données de ses élèves, l'établissement doit pouvoir démontrer qu'il a mis en place les mesures de prévention et de réaction attendues. Notre guide sur le RGPD dans l'éducation nationale détaille ces obligations spécifiques au secteur, et le modèle d'autorisation de droit à l'image reste un réflexe de base pour toute organisation qui manipule des photographies ou vidéos d'individus.

Ce que ça change pour les organisations

Les établissements scolaires — mais aussi les entreprises, associations et collectivités — doivent tirer trois enseignements concrets de ce dossier.

Premièrement, anticiper le risque deepfake comme un scénario de violation de données à part entière : l'inscrire dans la cartographie des risques, prévoir une procédure de signalement claire pour les victimes et former les équipes. Deuxièmement, activer sans délai la chaîne de notification lorsqu'une diffusion non consentie touche des personnes concernées : selon les circonstances, les articles 33 et 34 du RGPD peuvent imposer une notification à la CNIL et une information des victimes. Troisièmement, reconnaître que le secteur éducatif est devenu une cible privilégiée, comme l'ont montré les fuites ÉduConnect et Navigate360 / BlueLeaks 2.0, qui ont déjà exposé des données de mineurs à grande échelle.

Ce que Leto pense de cette affaire

Le réflexe « ce n'est pas une vraie photo, donc ce n'est pas une vraie donnée » est dangereux et juridiquement faux. Un deepfake mobilise l'image d'une personne identifiable : c'est une donnée personnelle, point. Les organisations qui attendent un texte parfaitement spécifique sur l'IA pour agir se trompent de calendrier. Le RGPD, le droit à l'image et le Code pénal offrent déjà un socle solide. Ce qui manque le plus souvent, ce n'est pas la règle, c'est la procédure interne pour réagir vite et protéger les victimes. C'est là que se joue la conformité réelle.

Sources : Le Monde — Pixels (18 juin 2026)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026