Votre entreprise est-elle conforme à la Loi 25 ? En savoir plus →
Blogue Cybersécurité & Loi 25
Deepfake Loi 25 ⚠ Menace active PME Québec

Votre visage. Votre voix. Votre identité… volée.

Les deepfakes ne sont plus de la science-fiction. Ils frappent des entreprises québécoises, elles, maintenant. Voici ce que vous devez savoir — et ce que la Loi 25 dit à ce sujet.

Par Michel Monette, RPRP — Synéra 4 mai 2026 · 7 min de lecture
Deepfakes : visage moitié réel, moitié reconstruit par IA, drapeau du Québec et livre Loi 25 sur la protection des renseignements personnels.

Une voix au téléphone qui est exactement celle de votre PDG. Une vidéoconférence où tout le monde semble vrai. Un appel pressé pour un virement urgent. Bienvenue dans l'ère des deepfakes — et dans la nouvelle responsabilité qu'impose la Loi 25 québécoise à toute organisation qui détient des données biométriques sur ses employés, ses clients ou ses dirigeants.

Julie a reçu un appel de son patron — mais ce n'était pas lui

Julie est contrôleure financière dans une PME manufacturière de la Rive-Sud. Un jeudi après-midi, elle reçoit un appel vidéo de son directeur général. La voix est la même. Le visage est le même. Même le fond d'écran du bureau qu'il utilise depuis des années.

Il lui explique, un peu pressé, qu'il est en déplacement confidentiel pour une acquisition stratégique. Il a besoin qu'elle effectue un virement de 87 000 $ vers un compte de dépôt en garantie avant 17 h. Confidentiel, pour l'instant. Il la rappellera dès qu'il atterrit.

Julie hésite. Mais c'est clairement lui. Elle vire les fonds.

Son vrai patron la rappelle le lendemain matin pour savoir comment s'est passée sa journée.

Ce scénario n'est pas fictif

En février 2024, une multinationale à Hong Kong a perdu 25,5 millions $ USD exactement de cette façon. Un employé du service financier a cru participer à une visioconférence avec son PDG et plusieurs collègues. Ils étaient tous des deepfakes, générés en temps réel à partir de vidéos publiques disponibles en ligne.

C'est quoi, un deepfake ? En vrai, pas en jargon.

Un deepfake — qu'on appelle aussi hypertrucage en français — c'est un contenu audio, vidéo ou photo généré ou modifié par intelligence artificielle pour faire croire qu'une personne a dit ou fait quelque chose qu'elle n'a jamais dit ni fait.

L'IA analyse des photos, des vidéos ou des enregistrements vocaux d'une personne, puis reconstitue son visage ou sa voix avec un réalisme saisissant. Plus il y a de matériel source disponible, meilleur est le résultat.

Et voici la partie qui devrait vous faire réfléchir : vos employés, vos dirigeants et vous-même publiez probablement assez de contenu en ligne pour alimenter un deepfake convaincant. Une allocution filmée. Un webinaire YouTube. Une vidéo LinkedIn. Des photos de conférence. C'est tout ce qu'il faut.

Le coût de création d'un deepfake en 2026

Avant 2018, créer une vidéo deepfake crédible demandait des compétences pointues et coûtait entre 300 $ et 20 000 $ par minute. Aujourd'hui, des outils gratuits permettent de cloner une voix à partir de moins de 10 secondes d'enregistrement. Une vidéo convaincante se génère pour moins de 5 $ — en quelques minutes.

Les chiffres qui donnent froid dans le dos

+2 000 %
Hausse du coût des fraudes par deepfake (2023-2025)
49 %
Des entreprises ont déjà subi une tentative de fraude par deepfake
9/10
Humains trompés par un deepfake vocal sur un appel de moins de 15 secondes (UCL)

En 2025, les pertes mondiales attribuables aux fraudes par deepfake ont dépassé 1,33 milliard d'euros, selon l'éditeur Surfshark. Les arnaques au recrutement — faux candidats infiltrant les organisations via des entretiens deepfake — auraient seules causé plus de 765 millions d'euros de pertes.

Ce n'est plus de la fraude isolée. Les experts parlent d'une véritable industrialisation de la manipulation.

Pourquoi les PME québécoises sont des cibles idéales

On pourrait croire que ce type de fraude ne cible que les grandes entreprises. C'est l'inverse.

Les PME sont précisément les cibles privilégiées des fraudeurs utilisant des deepfakes — pour quatre raisons simples :

Moins de protocoles de vérification

Dans une PME, un appel du DG suffit souvent à déclencher un virement. Il n'y a pas de double autorisation obligatoire ni de canal de validation indépendant.

Relation de confiance forte

Les employés connaissent personnellement leurs dirigeants. Cette familiarité, normalement une force, devient un levier d'exploitation pour le fraudeur.

Beaucoup de contenu public disponible

Les dirigeants de PME sont de plus en plus présents sur LinkedIn, YouTube, Facebook. Ce contenu alimente directement les modèles d'IA de clonage vocal et facial.

Peu de formation sur ce risque spécifique

Les campagnes de sensibilisation au phishing existent depuis des années. La sensibilisation aux deepfakes reste quasi inexistante dans la majorité des organisations.

Cas québécois récents

Au Québec, des personnalités publiques comme Ève-Marie Lortie, Gino Chouinard et Marie-Claude Barrette ont vu leur image utilisée sans consentement dans des publicités frauduleuses générées par IA, selon l'Association des directeurs de police du Québec. Le nombre de victimes de fraude a augmenté de 15 % depuis 2023 dans la province.

Deepfakes et Loi 25 : votre visage est un renseignement personnel

Voici quelque chose que beaucoup d'organisations ignorent : sous la Loi 25, votre visage et votre voix sont des renseignements personnels. Et lorsqu'ils permettent de vous identifier ou de vous authentifier de manière biométrique, ils bénéficient d'une protection renforcée.

La Commission d'accès à l'information (CAI) définit les données biométriques comme des caractéristiques uniques permettant d'identifier ou d'authentifier une personne — incluant la reconnaissance faciale, la voix et la démarche.

Ce que ça change concrètement pour votre organisation

✓ Si vous utilisez la biométrie légitimement

Vous devez aviser la CAI avant tout système de vérification d'identité biométrique, obtenir le consentement des personnes et documenter le traitement (art. 45 LCCJTI).

⚠ Si vous êtes victime d'un deepfake

Si des renseignements personnels de vos employés, clients ou dirigeants ont été utilisés pour créer un deepfake malveillant, cela peut constituer un incident de confidentialité à déclarer à la CAI.

La Loi 25 prévoit que toute atteinte à la protection des renseignements personnels qui présente un risque de préjudice sérieux doit être signalée à la CAI et aux personnes concernées (art. 3.5 et 3.7). La création non autorisée d'un deepfake à partir d'images ou d'enregistrements peut s'inscrire dans ce cadre.

Ce que dit la loi sur la biométrie

La Loi 25 impose à toute organisation souhaitant procéder à une vérification ou confirmation d'identité au moyen de caractéristiques biométriques d'en aviser préalablement la CAI, en remplissant le formulaire prévu. Cette obligation s'applique tant dans le secteur privé que public. Référence : Commission d'accès à l'information du Québec.

Le Québec réagit : le Projet de loi 24

Nouveau · Printemps 2026

Le Québec légifère contre les deepfakes et l'usurpation d'identité

Déposé au printemps 2026 par le ministre de la Justice, le Projet de loi 24 marque un tournant législatif majeur. Il prévoit la création d'un pouvoir d'ordonnance accordé à l'Office de la protection du consommateur (OPC) et à l'Autorité des marchés financiers (AMF).

Concrètement, ces deux organismes pourront ordonner directement — sans passer par un tribunal — le retrait d'une publicité frauduleuse mettant en scène des images ou des voix fabriquées par IA. En cas de non-respect, le contrevenant s'expose à un outrage au tribunal.

Ce que ça change : retrait accéléré des contenus frauduleux, effet dissuasif sur les fraudes publicitaires, protection accrue pour les professionnels dont l'image peut être détournée (médecins, enseignants, comptables, etc.).

Cette initiative québécoise s'inscrit dans un mouvement législatif mondial. L'Union européenne a adopté son AI Act en 2024, qui impose des obligations de transparence et de signalement clair pour tout contenu deepfake. Le Canada travaille également sur un cadre fédéral spécifique.

Le signal est clair : les gouvernements prennent le problème au sérieux. Les organisations qui ne s'y préparent pas maintenant seront en retard dans quelques mois.

Cinq réflexes concrets pour protéger votre organisation

La technologie ne suffira jamais à elle seule. La première ligne de défense contre les deepfakes, c'est une culture organisationnelle de la vérification. Voici cinq mesures à mettre en place dès maintenant.

1
Établir un protocole de vérification pour les demandes financières urgentes

Aucun virement ne devrait être autorisé sur la base d'un seul canal de communication — téléphone, vidéo ou courriel. Établissez un deuxième canal de validation indépendant : appel au numéro officiel interne, par exemple.

2
Créer un mot de code interne

Aussi simple que cela paraisse : une phrase ou un mot convenu d'avance entre la direction et les équipes financières peut déjouer les deepfakes les plus sophistiqués. Confidentiel et renouvelé régulièrement.

3
Former vos employés à reconnaître les signaux faibles

Léger décalage des lèvres, clignements anormaux, qualité audio variable, urgence inhabituelle, demande de confidentialité — ces signaux, souvent ignorés sous la pression, sont les indices d'un deepfake. Une formation annuelle fait la différence.

4
Limiter et surveiller l'empreinte numérique de vos dirigeants

Plus il y a de contenu audio et vidéo public associé à un dirigeant, meilleur sera le deepfake potentiel. Effectuez une revue de ce qui est disponible en ligne et établissez une politique de publication des contenus vidéo et audio.

5
Inclure les deepfakes dans votre plan de réponse aux incidents

Si votre organisation est victime d'une fraude par deepfake — ou si l'image d'un employé est utilisée sans consentement — vous avez possiblement des obligations légales en vertu de la Loi 25. Votre registre des incidents doit prévoir ce type de scénario.

Ce que Synéra peut faire pour vous

Intégrer la menace des deepfakes dans votre posture de conformité, c'est exactement le type de défi que Synéra adresse :

  • Évaluer vos risques spécifiques liés aux données biométriques et à l'identité numérique
  • Mettre à jour vos politiques de sécurité et vos procédures de validation des transactions
  • Intégrer la détection des deepfakes dans votre programme de formation des employés
  • Documenter les traitements biométriques dans votre registre Conformaze et aviser la CAI si requis
  • Élaborer un plan de réponse aux incidents incluant les scénarios d'usurpation d'identité par IA

Ce qu'il faut retenir

Les deepfakes ne sont plus une hypothèse futuriste. Ils exploitent la confiance humaine — cette même confiance qui fait la force des équipes soudées — et la retournent contre elles.

La bonne nouvelle : la majorité des attaques réussies reposent sur l'absence de protocoles, pas sur l'absence de technologie. Des mesures organisationnelles simples, bien implantées et bien comprises par les équipes, permettent de déjouer les scénarios les plus courants.

La Loi 25 vous oblige déjà à protéger les renseignements personnels de vos employés et clients — incluant leurs données biométriques. Le Projet de loi 24 vient renforcer ce cadre spécifiquement pour les contenus générés par IA. Le signal réglementaire est sans équivoque.

La question n'est pas de savoir si votre organisation sera exposée à cette menace. C'est de savoir si elle sera prête quand ça arrivera.

Les 3 points à retenir
  • Votre visage et votre voix sont des renseignements personnels sous la Loi 25. La biométrie est un domaine réglementé qui exige consentement et déclaration à la CAI.
  • Les PME sont les cibles privilégiées — moins de protocoles, relation de confiance plus directe, et abondance de contenu public pour alimenter les modèles d'IA.
  • La défense est organisationnelle avant d'être technologique : protocoles de vérification, formation des employés et plan de réponse aux incidents sont vos meilleurs outils.
Conformité Loi 25 & défense IA — Synéra

Votre organisation est-elle prête face aux deepfakes ?

Parlez à notre équipe pour évaluer vos risques et intégrer cette menace à votre démarche de conformité Loi 25 — politique, formation, plan de réponse aux incidents et déclarations biométriques à la CAI.

Évaluons votre situation Voir le RPRP à la demande

Pour aller plus loin

Forfaits Synéra mentionnés dans cet article

Suivre l'auteur et Synéra

Cet article est rédigé à des fins d'information générale et de sensibilisation. Il ne constitue pas un avis juridique. Le scénario de « Julie » est une illustration ; le cas Hong Kong de février 2024 et les autres exemples cités sont documentés par les sources référencées. Pour toute question relative à votre situation spécifique, communiquez avec Synéra ou avec votre conseiller juridique.

Articles connexes

IA & Loi 25
IA et données personnelles : ce que votre organisation risque vraiment
Lire l'article →
Livre blanc · Loi 25
Synéra plutôt qu'un avocat ? Conformité Loi 25 par une firme technologique
Lire l'article →
IA & gouvernance
L'ère post-Mythos : la protection des données personnelles devient un enjeu de gouvernance
Lire l'article →