Avec les deepfakes, les voix clonées et les agents autonomes, vérifier une identité ne suffit plus toujours. Les entreprises doivent désormais s’assurer qu’elles interagissent avec une personne réelle, présente et consentante. Il s’agit là d’un changement majeur pour la banque, le recrutement et les plateformes numériques, à condition de ne pas transformer cette exigence en surveillance biométrique généralisée.
Pendant des années, l’identité numérique a reposé sur une équation relativement simple : un document officiel, une donnée personnelle, une authentification forte, parfois une comparaison biométrique. L’objectif était de répondre à une unique question : cette personne est-elle bien celle qu’elle prétend être ?
Cette question reste essentielle, mais elle ne suffit plus.
L’IA générative a changé la nature du risque. Car il est désormais possible de produire de faux visages crédibles, de cloner une voix, de générer des documents synthétiques ou de faire intervenir un faux candidat en entretien vidéo. Dans ce contexte, la confiance ne peut plus seulement reposer sur la cohérence d’un dossier. Elle doit aussi vérifier une présence humaine.
Autrement dit, derrière l’écran, y a-t-il vraiment une personne ? Est-elle présente au moment de l’opération ? Agit-elle librement ? Ou l’entreprise est-elle en train d’interagir avec une vidéo injectée, un deepfake, un bot ?
C’est tout l’enjeu de la “proof of personhood”, que l’on peut traduire par preuve d’humanité ou preuve de présence humaine.
Quand la fraude imite des personnes
Dans la banque, le problème est concret. Un fraudeur peut tenter d’ouvrir un compte avec une vraie pièce d’identité volée, un selfie manipulé et des justificatifs cohérents. Si le processus de vérification se contente de comparer une photo à un document, il risque de valider une identité que son titulaire réel ne contrôle plus. Le danger n’étant pas seulement l’usurpation, mais l’entrée d’une fausse identité dans un circuit financier réputé fiable.
Dans le recrutement, le risque est différent. Des entreprises voient émerger des profils dopés à l’IA, des entretiens vidéo manipulés, des personnes qui ne sont pas celles qui travailleront réellement ensuite. Le sujet n’est plus seulement RH. Il devient un problème de sécurité, surtout lorsque les postes donnent accès à du code, à des données clients ou à des environnements cloud.
Sur les plateformes numériques, la question est tout aussi sensible. Marketplaces, réseaux sociaux ou sites de rencontre, tous doivent composer avec des bots, des arnaques sentimentales, de la manipulation d’avis, etc. La preuve d’humanité peut aider à limiter l’industrialisation de ces fraudes. Mais elle ne doit pas devenir une exigence systématique pour chaque usage ordinaire du web.
Les services publics et les assureurs sont également concernés. Une demande de prestation, une déclaration de sinistre ou une signature à distance peuvent être détournées si le système ne parvient pas à distinguer un usager réel d’une interaction artificielle ou contrainte.
Car l’IA ne se contente plus de voler des informations, elle permet d’imiter la présence, le langage, l’apparence et parfois le comportement d’une personne.
Prouver l’humain ne veut pas toujours dire identifier la personne
Face à ce risque, les technologies disponibles se multiplient. La détection du vivant vérifie qu’un visage présenté à la caméra n’est pas une photo ou un masque numérique. Les systèmes de challenge-response demandent à l’utilisateur d’agir en temps réel. Les solutions de détection d’injection vidéo cherchent à repérer les flux artificiels envoyés à la place d’une caméra réelle. Quant aux wallets d’identité, ils permettent de présenter une preuve vérifiée sans transmettre tous les attributs personnels. L’authentification forte, les passkeys et les signatures électroniques complètent l’arsenal.
Attention, toutefois, prouver qu’un humain est présent ne signifie pas toujours révéler son identité complète.
C’est l’un des grands enjeux des prochaines années. Pour accéder à certains services, une plateforme peut avoir besoin de savoir qu’un utilisateur est majeur, qu’il est unique ou qu’il n’est pas un bot, sans connaître son nom, son adresse ou son numéro d’identité. Pour une banque, le niveau d’exigence sera évidemment plus élevé. Pour un commentaire en ligne, il doit être beaucoup plus faible.
La bonne approche étant d’adapter la preuve au risque.
Ouvrir un compte bancaire, signer un contrat ou accéder à un espace de santé justifient des contrôles renforcés. Publier un avis ou accéder à un service courant ne devrait pas exiger le même niveau d’identification. Sinon, la preuve d’humanité deviendra un “péage numérique”, excluant certains utilisateurs et installant une surveillance de fait.
C’est là que le wallet européen d’identité numérique peut jouer un rôle important. S’il est bien conçu, il doit permettre de partager uniquement les informations nécessaires : prouver un âge sans exposer toute son identité, prouver un droit sans transmettre un dossier complet, signer sans multiplier les copies de documents. Son efficacité dépendra cependant de son adoption, de son ergonomie et de la confiance qu’il inspirera aux citoyens comme aux entreprises.
Une preuve proportionnée, pas une société du contrôle
La preuve d’humanité sera probablement l’une des grandes briques de la confiance numérique. Mais elle porte un risque politique et économique. Celui de faire passer une réponse antifraude légitime pour une autorisation générale de collecter davantage de données biométriques.
La biométrie peut être utile, voire indispensable dans certains contextes. Mais elle n’est pas neutre. Un mot de passe compromis se change. Un visage, une voix ou une empreinte ne se remplacent pas. Leur collecte impose des garanties fortes : consentement clair, finalité précise, durée de conservation limitée, sécurité du stockage, transparence et alternative pour les personnes qui ne peuvent pas ou ne souhaitent pas utiliser ce type de dispositif.
Les entreprises doivent aussi éviter le piège de la solution miracle. La liveness detection ne règle pas tout. Un wallet ne règle pas tout. La fraude actuelle combine souvent plusieurs techniques (ingénierie sociale, données volées, deepfake, prise de contrôle de compte et contournement de procédures internes). Répondre à cette menace suppose une approche en couches, mêlant vérification technique, analyse du risque, supervision humaine et détection des comportements anormaux.
Jusqu’ici, beaucoup d’organisations cherchaient à vérifier une identité à un instant donné. Demain, elles devront vérifier un contexte : qui agit, avec quel niveau d’assurance, pour quelle opération, avec quel risque et avec quel consentement. Dans un monde où l’IA peut imiter un visage, une voix, un CV ou une conversation, la confiance numérique ne pourra plus se contenter de valider des données. Elle devra vérifier une présence, une volonté et une responsabilité.
