« Mes clients ont signé une autorisation de droit à l’image, donc je suis couvert. » C’est la phrase qu’on entend dans la moitié des studios, et c’est une idée reçue qui coûte cher. Une autorisation de diffusion règle la publication d’un visage, pas le sort de la donnée elle-même. Le jour où tu glisses trois cents photos de mariage, gros plans d’invités compris, dans un outil de retouche IA gratuit dont les conditions ne garantissent ni la non-réutilisation ni l’hébergement en Europe, aucune signature ne te protège. Tu viens de transmettre des visages identifiables à un tiers, et juridiquement, ce n’est pas l’outil qui répond. C’est toi.

Cet article fait partie de notre guide complet de l’IA pour les photographes.

Cet article donne une méthode opérationnelle. Il ne remplace ni les recommandations de la CNIL, ni l’avis d’un juriste pour un cas précis. Pour une situation particulière, réfère-toi aux sources officielles citées en bas de page.

Un visage est une donnée personnelle, pas juste une image

C’est le point de départ que beaucoup zappent. Une photo qui permet d’identifier une personne est une donnée personnelle au sens du RGPD. La CNIL le formule sans détour : le droit à l’image s’applique partout, y compris sur internet, et toute personne dispose d’un droit exclusif et absolu sur son image, avec la possibilité de s’opposer à sa reproduction ou son utilisation sans autorisation préalable (CNIL, le droit à l’image sur internet).

Concrètement, dès que tu manipules une photo de client avec un outil d’IA, tu fais un traitement de données personnelles. Et la CNIL a tranché un point décisif pour la suite : si tu utilises un outil d’IA tiers avec des données personnelles, c’est toi le responsable de traitement, pas le fournisseur de l’outil (délibération n° 2025-047 du 5 juin 2025). Le RGPD s’applique dès que des données personnelles sont utilisées en entrée d’un système d’IA (CNIL, IA et RGPD).

La question n’est donc pas de savoir si tu traites des données personnelles en retouchant tes photos avec l’IA. Tu en traites. La seule question, c’est de savoir si tu le fais proprement.

Droit à l’image et RGPD : deux régimes qui se cumulent

On les confond souvent, et c’est une erreur coûteuse. Ce sont deux régimes distincts qui s’additionnent.

D’un côté, le droit à l’image. Il découle du droit au respect de la vie privée prévu par l’article 9 du Code civil. Avant de diffuser l’image d’une personne identifiable, tu dois obtenir son autorisation, et cette autorisation doit être écrite, spécifique et précise : elle indique où l’image sera publiée, dans quel but et pour combien de temps. Un usage différent de celui prévu exige un nouvel accord. Pour un mineur, l’autorisation écrite des parents ou tuteurs est obligatoire, sans exception (service-public.gouv.fr, droit à l’image).

De l’autre, le RGPD, qui encadre non pas la diffusion mais le traitement de la donnée elle-même. Il t’impose une base légale, la minimisation des données, une durée de conservation définie, la sécurité, et le respect des droits des personnes. Et il te désigne responsable de traitement dès que tu détermines les finalités et les moyens du traitement des photos de tes clients.

Le piège, c’est de croire qu’une autorisation de diffusion signée règle tout. Elle règle le droit à l’image. Elle ne dit rien de la manière dont tu stockes, traites et partages la donnée avec des outils tiers. Les deux régimes vivent côte à côte, et il faut répondre aux deux.

Le réflexe à graver Avant chaque upload dans un outil d'IA, pose-toi une seule question : « si ce dossier de photos fuitait demain, pourrait-on identifier mes clients ? » Si oui, tu vérifies le cadre contractuel de l'outil avant de cliquer, ou tu ne cliques pas.

Les données que tu manipules sans toujours t’en rendre compte

Le métier brasse plus de données sensibles qu’il n’y paraît. Faisons l’inventaire honnête.

Il y a les photos elles-mêmes, avec des visages identifiables : c’est le cœur du sujet. Un mariage, ce sont des dizaines d’invités, parfois des enfants, qui n’ont jamais signé quoi que ce soit avec toi. Une séance corporate, ce sont des salariés dont l’image engage aussi leur employeur. Un reportage de naissance, ce sont des données qui touchent à l’intime.

Il y a aussi les données clients de gestion : noms, coordonnées, adresses, dates d’événement, parfois des informations bancaires pour les acomptes. Ces données vivent dans ton CRM, tes mails, tes contrats, et parfois elles se retrouvent collées dans un assistant IA grand public pour rédiger une relance ou un devis.

Il y a enfin les galeries de livraison en ligne, souvent hébergées dans le cloud, qui concentrent l’intégralité d’une prestation et dont l’accès doit rester maîtrisé.

La frontière utile n’est pas « confidentiel / pas confidentiel ». Elle est : identifiable / non identifiable. Un paysage sans personne, un détail de décoration : aucun enjeu. Un visage net, une plaque, un badge nominatif : enjeu plein.

Les règles concrètes, sans jargon

Voici ce que le cadre impose, traduit en gestes de photographe.

La base légale. Tout traitement de données personnelles doit reposer sur une base légale identifiée. Pour la diffusion d’images de personnes, le consentement écrit et spécifique est la voie la plus sûre, et c’est aussi ce qu’exige le droit à l’image. L’autorisation doit être libre, éclairée et spécifique : un accord pour un usage ne vaut pas pour un autre (CNIL, IA et RGPD).

La minimisation. Tu ne traites que les données nécessaires à la finalité. Concrètement, tu n’uploades pas trois cents photos brutes dans un outil quand la finalité ne le justifie pas, et tu évites d’exposer des visages identifiables quand le traitement n’en a pas besoin.

Pas de données nominatives dans un LLM grand public. Rédiger une relance ou un contrat avec un assistant IA, c’est utile. Mais y coller le nom complet, l’adresse et les coordonnées d’un client dans une version grand public, c’est transmettre une donnée personnelle à un tiers dont les conditions ne garantissent pas la non-réutilisation. Remplace les éléments identifiants par des marqueurs neutres (le nom devient [CLIENT], l’adresse devient [LIEU]) et réinjecte les vraies valeurs toi-même à la fin.

La sous-traitance. Un outil d’IA qui traite tes photos ou tes données clients pour ton compte est un sous-traitant au sens de l’article 28 du RGPD. Cela suppose un contrat écrit encadrant l’objet, la durée, la nature et la finalité du traitement, la confidentialité, et l’interdiction pour le sous-traitant de réutiliser les données. Les versions professionnelles des outils sérieux fournissent ce type d’accord (souvent appelé DPA). Les versions grand public, rarement.

Les durées de conservation. Tu ne gardes pas les données indéfiniment. Définis une durée par finalité (livraison, archivage légal des factures, portfolio sur autorisation) et purge ce qui n’a plus de raison d’être conservé.

Les droits des personnes. Une personne peut s’opposer à l’utilisation de son image et en demander le retrait. La CNIL recommande de contacter d’abord le gestionnaire du site pour exercer ce droit d’opposition ; sans réponse sous un mois, une plainte est possible (CNIL, demander le retrait de son image en ligne). Prévois donc un canal simple pour traiter ces demandes.

Là où ça coince vraiment Le danger ne vient pas que de la diffusion. Il vient aussi de l'outil de traitement. Un service de retouche IA gratuit qui se réserve le droit de réutiliser les images uploadées transforme ta post-production en une fuite de données, même si tu ne publies jamais rien. Lis les conditions avant d'uploader des visages.

Ce que risque vraiment un usage négligent

Au-delà du RGPD, le droit pénal encadre déjà l’image. Diffuser sans autorisation l’image d’une personne peut être sanctionné, et capter ou enregistrer sans consentement l’image d’une personne dans un lieu privé est puni d’un an d’emprisonnement et de 45 000 euros d’amende (article 226-1 du Code pénal). Pour la diffusion d’une image portant atteinte à l’intimité de la vie privée, la sanction prévue est de même ordre.

Côté RGPD, la responsabilité ne se sous-traite pas. Le jour où une donnée fuite, ce n’est pas le fournisseur d’IA qui répond, c’est toi, responsable de traitement. Aucune case cochée dans une interface ne déplace cette responsabilité.

Le droit à l’image te demande une autorisation. Le RGPD te demande de traiter la donnée proprement. Aucun outil gratuit ne porte cette double responsabilité à ta place.

Ta checklist avant d’utiliser l’IA sur des photos clients

Garde-la sous les yeux au moment de traiter un dossier sensible.

  1. Y a-t-il des visages identifiables ? Si non, le risque de donnée personnelle est faible. Si oui, tu passes aux points suivants.
  2. Ai-je une autorisation de diffusion écrite et spécifique ? Pour toute image destinée à être publiée (portfolio, réseaux, site), oui, et pour les mineurs, signée des parents, sans exception.
  3. L’outil d’IA est-il cadré ? Vérifie qu’il propose un contrat de sous-traitance, la non-réutilisation des données pour l’entraînement, et un hébergement maîtrisé, idéalement dans l’UE.
  4. Est-ce que je minimise ? Je n’uploade que ce qui est nécessaire, je ne transmets pas de visages identifiables quand le traitement n’en a pas besoin.
  5. Pas de données nominatives dans un LLM grand public. Je pseudonymise noms, adresses et coordonnées avant de rédiger un texte avec un assistant.
  6. Ai-je défini une durée de conservation ? Une finalité, une durée, une purge.
  7. Puis-je traiter une demande de retrait ? Un canal simple pour qu’une personne exerce son droit d’opposition.

Bon usage contre mauvais usage : deux scénarios

Le mauvais usage. Tu reçois les RAW d’un baptême. Tu les balances tels quels dans un débruiteur IA gratuit trouvé sur un forum, sans lire les conditions, visages d’enfants compris. Tu rédiges ensuite la relance de facture en collant dans ChatGPT grand public le nom complet, l’adresse et le montant dû du client. Tu as transmis des visages de mineurs et des données nominatives à deux tiers non cadrés, sans base légale claire ni autorisation parentale pour le traitement, et tu en es le seul responsable.

Le bon usage. Avant la prestation, tu fais signer une autorisation de droit à l’image écrite et spécifique, parents inclus pour les enfants. Pour la retouche, tu utilises un outil professionnel dont le contrat garantit la non-réutilisation et un hébergement maîtrisé. Pour les images destinées au seul client (non publiées), tu privilégies des traitements locaux ou des outils cadrés. Pour la relance, tu rédiges avec un assistant en remplaçant le nom par [CLIENT] et l’adresse par [LIEU], puis tu réinjectes les vraies valeurs dans ton logiciel de facturation. Tu définis une durée de conservation et un canal de retrait. Même IA, même gain de temps, risque maîtrisé.

Ce qui reste, en dernier ressort, ton jugement

Aucun outil ne décide à ta place de ce qui est identifiable. Une photo de groupe floue, un dossard de course, une date recoupée avec un événement médiatisé : la machine ne sait pas qu’un détail anodin peut suffire à remonter à une personne. Toi, si. Cette qualification reste un jugement de professionnel.

C’est pour ça que la méthode prime sur l’outil. Un bon outil mal utilisé fuit ; un outil moyen utilisé avec autorisation écrite, minimisation et choix d’un service cadré protège. Le réflexe vaut mieux que le logiciel, et il ne coûte que quelques minutes une fois le pli pris.

À retenir, sans détour

Tu n’as pas à choisir entre l’IA et le respect de tes clients. Tu as à les faire cohabiter par une méthode : traiter un visage comme une donnée personnelle, faire signer une autorisation de diffusion écrite et spécifique, ne jamais uploader de visages identifiables dans un outil non cadré, pseudonymiser les données nominatives avant tout assistant grand public, choisir des outils avec contrat de sous-traitance et hébergement maîtrisé, définir des durées de conservation, et rester juge de ce qui est identifiable. Plus de discipline, pas plus de friction une fois le réflexe pris.

À lire ensuite

Cadrer tes usages

La conformité ne s’improvise pas dossier après dossier. Pour poser tes règles d’usage de l’IA, tes outils par niveau de sensibilité et ton process d’autorisation, fais le point avec notre diagnostic IA : tu repars avec une feuille de route claire et adaptée à ton activité.

Rédigé par IA, validé par humain. Aucun éditeur cité ne nous rémunère. Cet article ne remplace ni les recommandations de la CNIL, ni l’avis d’un juriste pour un cas précis.

Sources

Questions fréquentes

Une photo de mon client est-elle vraiment une donnée personnelle ?
Oui, dès qu'elle permet d'identifier une personne. La CNIL rappelle que le droit à l'image s'applique partout, y compris en ligne, et qu'une personne a un droit exclusif et absolu sur son image. Une photo de visage identifiable entre dans le champ du RGPD comme donnée personnelle. Tu peux donc la traiter, mais avec une base légale, une finalité claire et une durée de conservation définie.
Puis-je uploader les photos d'un mariage dans un outil de retouche IA en ligne ?
Cela dépend de l'outil. Si tes photos contiennent des visages identifiables et que l'outil ne te garantit pas, par contrat, la non-réutilisation et un hébergement maîtrisé, tu exposes une donnée personnelle à un tiers sans cadre. Un outil professionnel cadré (contrat de sous-traitance, non-entraînement, hébergement UE) change la donne. Pour le tout-venant non identifiant, le risque est moindre.
Quelle différence entre droit à l'image et RGPD ?
Le droit à l'image découle de l'article 9 du Code civil et impose une autorisation écrite et spécifique pour diffuser l'image d'une personne identifiable. Le RGPD encadre le traitement de la donnée elle-même : base légale, minimisation, durée de conservation, droits des personnes. Les deux se cumulent. Une autorisation de diffusion ne te dispense pas de traiter la donnée proprement, et inversement.
Faut-il un contrat avec l'outil d'IA que j'utilise ?
Si l'outil traite des données personnelles pour ton compte, il est sous-traitant au sens de l'article 28 du RGPD, ce qui suppose un contrat écrit encadrant l'objet, la durée, la finalité et la confidentialité du traitement. Les versions professionnelles des outils sérieux fournissent un tel accord. Les versions grand public, rarement. À vérifier avant tout upload de visages clients.