photo-ia-rgpd · 12 min

Photo pro générée par IA : RGPD, droits, ce qu'il faut savoir

Conservation des selfies, droit à l'image, hébergement, propriété : les 5 questions juridiques à se poser avant d'utiliser une IA pour sa photo pro.

Selfie Pro·
Photo pro générée par IA : RGPD, droits, ce qu'il faut savoir

Tu envisages d'utiliser une IA pour générer ta photo LinkedIn ou ton portrait de CV. Avant d'uploader ton selfie, cinq questions juridiques méritent une réponse claire. Ton visage n'est pas un fichier comme un autre, et tous les générateurs ne se valent pas face au RGPD.

Pourquoi ton selfie n'est pas une donnée banale

Image = donnée personnelle au sens du RGPD

Une photo qui permet d'identifier une personne physique est une donnée personnelle. C'est l'article 4 du RGPD qui le dit, et la CNIL le rappelle dans sa doctrine sur l'IA générative : voix et image constituent des données personnelles dès lors qu'elles permettent l'identification d'un individu. Conséquence directe : tout traitement de ton selfie par un générateur IA tombe sous le coup du RGPD.

Cela implique une base légale au sens de l'article 6 du RGPD (consentement, contrat, intérêt légitime), une information claire sur l'usage qui en est fait, et le respect des droits de la personne concernée.

Selfie = donnée biométrique potentielle

La nuance est importante. La CNIL et le Comité européen de la protection des données considèrent qu'une image brute, sans traitement technique d'identification associé (reconnaissance faciale, encodage biométrique), ne constitue pas en soi une donnée biométrique au sens strict du RGPD. Mais dès qu'un système extrait des points caractéristiques du visage pour identifier ou ré-identifier la personne, on bascule dans la catégorie des données sensibles (article 9 du RGPD), avec un niveau d'exigence beaucoup plus élevé.

Question pratique : sais-tu si le générateur que tu utilises stocke un encodage biométrique de ton visage pour reconstruire des portraits ultérieurs ? Si la réponse est non, c'est déjà un mauvais signal.

Les 5 questions à poser à tout générateur IA

Combien de temps mon selfie est-il conservé ?

La règle RGPD est simple : pas de conservation au-delà de ce qui est nécessaire à la finalité du traitement (principe de limitation de la conservation, article 5.1.e du RGPD). Pour générer un portrait à partir d'un selfie, la durée nécessaire est de quelques secondes, le temps que le modèle produise l'image.

Pourtant, beaucoup de services conservent le selfie original plusieurs jours, parfois plusieurs mois, pour entraîner leurs modèles ou améliorer leur service. Vérifie dans les CGU et la politique de confidentialité : le service annonce-t-il explicitement une durée de conservation ? Mentionne-t-il un transit en mémoire vive sans écriture disque ? Si la réponse est floue ou absente, considère que ton selfie est stocké.

Où sont hébergées les données ?

Le transfert de données personnelles hors de l'Union européenne est strictement encadré (chapitre V du RGPD). Un service hébergé aux États-Unis, même avec le Data Privacy Framework signé en 2023, expose tes données à des règles différentes (Cloud Act, FISA). Pour un usage professionnel, particulièrement dans les métiers réglementés ou les fonctions sensibles (finance, conseil, juridique), l'hébergement européen est un critère décisif.

Vérifie la mention de la région d'hébergement dans la politique de confidentialité. "Hébergé sur AWS" ne suffit pas : AWS Europe ou AWS US-East ? La précision compte.

Est-ce que mon visage entraîne le modèle ?

C'est la question la plus glissante. La CNIL recommande explicitement de pouvoir s'opposer à la réutilisation des données d'usage par le fournisseur du système. Concrètement : ton selfie sert-il à entraîner le modèle pour de futurs utilisateurs ?

Si oui, ton visage rejoint potentiellement un jeu d'entraînement dont tu ne contrôles plus l'usage. La CNIL reconnaît elle-même que l'extraction d'une donnée individuelle d'un modèle déjà entraîné présente des "difficultés techniques" majeures. Autrement dit : une fois ton visage dans le modèle, le retirer est techniquement quasi impossible.

Qui détient la photo générée ?

Le statut juridique d'une image générée par IA reste un terrain mouvant en droit français. Trois cas de figure se distinguent :

  • L'image te représente fidèlement : ton droit à l'image s'applique, indépendamment de la technologie qui a produit l'image. Personne ne peut publier ce portrait sans ton accord.
  • L'image est librement réutilisable par le service : certains générateurs se réservent une licence d'usage sur les images produites (illustrations marketing, base d'exemples). Vérifie les CGU.
  • Tu détiens des droits d'usage exclusifs : le service te cède la propriété de l'image générée pour ton usage personnel et commercial. C'est le cas le plus protecteur.

Lis le paragraphe "propriété intellectuelle" ou "licence" des CGU. Si rien n'est précisé, le flou juridique joue contre toi.

Quel droit de retrait et d'effacement ?

L'article 17 du RGPD prévoit un droit à l'effacement. La CNIL précise que ce droit s'applique aux bases d'entraînement et aux modèles eux-mêmes, même si la pratique reste techniquement complexe.

Ce que tu dois vérifier sur tout générateur :

  • existence d'un formulaire ou d'une procédure de suppression du compte et des données associées
  • effacement effectif des selfies et photos générées
  • traitement des demandes en moins de 30 jours (délai RGPD)
  • contact d'un délégué à la protection des données (DPO) si la structure est importante

Une fois ton visage dans un modèle d'entraînement, le retirer est techniquement quasi impossible.

Ce que dit la CNIL spécifiquement sur l'IA générative

La CNIL a publié en avril 2024 une série de questions-réponses sur l'usage des systèmes d'IA générative. Trois points méritent d'être retenus pour un usage individuel.

D'abord, la CNIL recommande de ne jamais partager d'informations confidentielles dans des services publics d'IA générative. Cela vaut pour les prompts texte, mais le principe s'étend logiquement aux uploads de selfies dont tu ignores le traitement en aval.

Ensuite, elle distingue trois modes de déploiement :

ModeRisque RGPDPosition CNIL
API publique (cloud étranger)ÉlevéÉviter pour les données personnelles
Cloud avec contrat de sous-traitanceModéréVérifier les périmètres de responsabilité
On-premise / hébergement maîtriséFaiblePréféré pour les données sensibles

Enfin, elle rappelle que le règlement européen sur l'IA (AI Act, entré en vigueur le 1er août 2024) impose une obligation de transparence : les utilisateurs doivent savoir qu'ils interagissent avec un système d'IA, et les contenus générés artificiellement doivent être identifiables.

Différence infrastructure européenne vs traitement IA hors UE

Le contraste est concret, mais il faut le regarder couche par couche. Un site peut être hébergé en Europe, tout en appelant une API d'IA opérée par un fournisseur américain. Dans ce cas, les données stockées par le site peuvent rester dans une région européenne, alors que le traitement IA peut impliquer un transfert ou une mise en cache temporaire hors de l'Espace économique européen.

Une infrastructure européenne réduit une partie du risque, mais elle ne suffit pas si l'image est ensuite envoyée à une API hors UE. Ce qu'il faut vérifier :

  • où sont stockées les données conservées par le service
  • quel fournisseur IA reçoit le selfie
  • si un transfert hors UE est possible
  • quelles garanties encadrent ce transfert (Data Processing Addendum, Clauses Contractuelles Types, Data Privacy Framework le cas échéant)
  • si le selfie sert ou non à entraîner le modèle

Pour un usage personnel anodin (photo de profil d'un compte Instagram perso), la différence est faible. Pour un usage professionnel dans un secteur sensible (avocat, médecin, conseil, finance, fonction publique), c'est un critère qui peut être rédhibitoire.

Cas particuliers

Métiers réglementés

Avocats, médecins, experts-comptables, magistrats : ton image est associée à une fonction soumise à des obligations déontologiques. Au-delà du RGPD, l'ordre professionnel peut imposer des règles spécifiques sur l'usage de ton image (interdiction de publicité trompeuse, devoir de dignité). Une photo générée par IA reste autorisée pour un usage purement professionnel (LinkedIn, CV, site cabinet) à condition qu'elle reste fidèle à ton apparence réelle. Une image trop retouchée ou irréaliste peut tomber sous le coup de la publicité trompeuse.

Photo de mineurs

Le RGPD prévoit une protection renforcée pour les mineurs (article 8). En France, le consentement pour un traitement de données personnelles est valable à partir de 15 ans. Pour un enfant de moins de 15 ans, le consentement des deux parents (titulaires de l'autorité parentale) est requis. La plupart des générateurs IA grand public interdisent l'upload de photos de mineurs dans leurs CGU. Ne contourne pas cette règle : c'est exactement le terrain où les contentieux explosent.

Usage commercial vs personnel

Si tu utilises ta photo IA pour un site marchand, une campagne publicitaire, un produit, tu sors du cadre "usage personnel" couvert par la plupart des CGU. Vérifie que la licence accordée par le générateur couvre bien l'usage commercial. Pour un emploi de salarié (photo trombinoscope d'entreprise), demande à ton employeur s'il a une politique sur les images générées par IA : certains groupes l'interdisent désormais explicitement dans leur charte interne.

Le cas particulier de la prospection commerciale

Un dernier point souvent oublié : si tu donnes ton email au générateur (pour récupérer ta photo, créer un compte), l'article L34-5 du Code des postes et des communications électroniques encadre strictement l'usage de cet email à des fins de prospection.

Le service doit recueillir ton consentement libre, spécifique et éclairé pour t'envoyer des emails marketing. Une case pré-cochée ou un consentement noyé dans des CGU illisibles n'est pas conforme. Tu dois pouvoir retirer ton consentement à tout moment, gratuitement, dans chaque email reçu.

Si tu reçois des emails commerciaux non sollicités après avoir utilisé un générateur, signale-le sur signal.conso.gouv.fr ou directement à la CNIL.

Checklist avant de cliquer sur "uploader"

Avant de confier ton selfie à un générateur, vérifie ces points :

  • politique de confidentialité lisible, datée, en français
  • mention explicite de la durée de conservation du selfie (idéalement transit mémoire uniquement)
  • mention explicite de la région d'hébergement des données stockées et des éventuels transferts vers les fournisseurs IA
  • mention explicite sur l'entraînement du modèle (ton visage n'entraîne pas le modèle, ou opt-out clair)
  • propriété claire de l'image générée (idéalement : tu en es propriétaire)
  • procédure de suppression du compte et des données associées
  • consentement marketing distinct du consentement au traitement (case décochée par défaut)
  • DPO joignable ou contact RGPD identifié

Si trois cases sur huit ne sont pas cochées, change de service.

L'exemple SelfiePro

Pour donner un cas concret de service conçu avec un cadre de confidentialité lisible, voici les choix faits sur SelfiePro, le service que je développe :

  • Infrastructure SelfiePro en Europe : l'application, Firestore, Storage et les Cloud Functions principales utilisent Firebase/Google Cloud en région européenne
  • Traitement Gemini explicite : le selfie est envoyé à l'API Google Gemini pour générer le portrait. Ce traitement peut impliquer un transfert ou une mise en cache temporaire hors EEE, notamment aux États-Unis, encadré par les garanties contractuelles de Google
  • Selfie non stocké sur nos serveurs : ton selfie transite en mémoire vive dans la Cloud Function, puis n'est pas écrit dans notre stockage. Il peut rester temporairement dans ton navigateur pendant le parcours
  • Photo HD conservée 90 jours maximum : durée nécessaire pour te permettre de la retélécharger si tu en as besoin, puis suppression automatique par tâche planifiée
  • Pas de fine-tuning SelfiePro sur ton visage : SelfiePro n'entraîne pas de modèle avec ton selfie. L'utilisation par Google dépend des conditions Gemini applicables au service API utilisé
  • Propriété de la photo générée : elle est à toi, usage personnel et commercial inclus
  • Suppression de compte disponible depuis ton espace personnel, avec une procédure dédiée pour supprimer les données Firestore, Storage, Auth et les traces marketing associées
  • Consentement marketing distinct : case décochée par défaut, retrait possible depuis ton compte, sur une base de consentement séparée du traitement IA

Le service a ses limites par ailleurs (texture de peau parfois lissée, ressemblance variable selon les styles), mais sur la partie juridique le cadre doit être lisible : qui héberge, qui traite, où un transfert peut avoir lieu, combien de temps les images sont conservées.

Prêt à essayer ?

Essayer un service conçu pour la confidentialité

Sources

À lire ensuite.

photo-developpeur-freelance

Photo développeur freelance : crédible sur GitHub et LinkedIn

GitHub, LinkedIn, portfolio : la bonne photo d'un développeur freelance doit inspirer fiabilité, clarté et collaboration, pas vendre un personnage.

photo-freelance-creatif

Photo de freelance créatif : signaler ton style

DA, motion designer, graphiste : ta photo doit montrer ton style sans tomber dans le cliché créatif. Méthode et exemples concrets par métier.

architecte-interieur

Photo d'architecte d'intérieur : montrer la méthode, pas le décor

Portfolio, LinkedIn, devis client : comment choisir une photo d'architecte d'intérieur qui inspire confiance sans ressembler à une publicité de mobilier.