Les pays de la région Asie-Pacifique se précipitent pour réglementer l'identité numérique et l'IA face à la recrudescence des deepfakes

Concentrons-nous sur l'une des économies numériques qui connaît la croissance la plus rapide au monde: l'Asie-Pacifique .

Au cours des 18 derniers mois, au moins six grands cadres réglementaires en matière d’identité numérique et d’IA sont entrés en vigueur dans les pays de la région Asie-Pacifique, et d’autres sont encore en cours d’élaboration. Ensemble, ils modifient un seul et même aspect : la manière dont les organisations sont autorisées à vérifier l’identité.

Comprendre les facteurs à l'origine de ces changements – et ce qu'ils impliquent – est la première étape pour prendre les devants.

La fraude par deepfake incite les pays de la région Asie-Pacifique à renforcer leur réglementation

Ces réglementations constituent une réponse directe à la recrudescence des fraudes d'identité commises à l'aide de l'IA.

A enquête Gartner de 2025 a révélé que 62 % des entreprises avaient subi une attaque par deepfake au cours de l'année précédente. 37 % des entreprises ont été confrontées à des deepfakes lors d'appels vidéo. Il ne s'agit donc pas d'un risque théorique. Ni d'une démonstration de faisabilité en laboratoire. Ce sont de véritables attaques, contre de véritables entreprises, avec de l'argent réel en jeu.

Incidents réels :

• En Corée du Sud, les pertes liées au hameçonnage vocal ont dépassé les 1 000 milliards de wons (environ 718 millions de dollars) au cours des dix premiers mois de 2025 seulement – une première dans l'histoire –, le président de la KFCPA, Wook Kang, ayant averti que les technologies d'IA générative et de deepfake étaient à l'origine de cette flambée.
• Un appel vidéo utilisant la technique du deepfake a permis d'escroquer la société d'ingénierie Arup de 25 millions de dollars.
• Le rapport sur les menaces de 2026 d’iProov a enregistré une hausse de 720 % des attaques en Asie du Sud-Est au troisième trimestre 2025, ainsi qu’une augmentation de 1 151 % des attaques par injection sur iOS au second semestre 2025, une plateforme autrefois considérée comme résistante aux attaques.

C'est l'industrialisation de l'usurpation d'identité. Les réseaux criminels déploient à grande échelle des outils de deepfake grand public, et les autorités de régulation de la région Asie-Pacifique l'ont remarqué.

En résumé : le développement des infrastructures biométriques et le renforcement de la réglementation dans la région Asie-Pacifique exigent une vérification d'identité hautement sécurisée. Les organisations qui optent pour des solutions ne protégeant que contre les attaques de présentation de base s'exposent à des risques réglementaires, à mesure que les cadres réglementaires évoluent pour faire face aux attaques par injection et aux médias synthétiques.

Les réglementations en matière de biométrie et d'IA s'accélèrent dans la région APAC : exemples

Ces cadres couvrent trois domaines réglementaires distincts – la gouvernance de l'IA, la protection des données et l'identité numérique –, mais ils convergent vers une même exigence : les organisations qui vérifient l'identité à l'aide de l'IA biométrique doivent désormais respecter des normes plus strictes en matière d'assurance, de confidentialité et de responsabilité dans ces trois domaines.

Législation spécifique à l'IA:

• Le loi globale sur l'IA est entrée en vigueur le 1er mars 2026 ; il s'agit de la première législation autonome sur l'IA en Asie du Sud-Est. Elle impose une supervision humaine des systèmes d'IA, exige l'étiquetage des contenus générés par l'IA tels que les deepfakes, et s'applique aux entités étrangères traitant des données à caractère personnel vietnamiennes. Si votre technologie biométrique traite des données à caractère personnel vietnamiennes, même par le biais d'une intégration avec un partenaire, vous avez déjà des obligations réglementaires à évaluer. Bien que la loi soit entrée en vigueur, les directives de mise en œuvre sont encore en cours d’élaboration, ce qui rend d’autant plus importante une évaluation précoce de la portée de ces obligations.
• La loi-cadre sur l'IA est entrée en vigueur en janvier 2026, instaurant une surveillance fondée sur les risques pour les systèmes d'IA dans les secteurs de la finance, de la santé et des services publics.
  

Protection des données et consentement:

• L'Inde met en place sa loi sur la protection des données personnelles numériques en trois phases, introduisant de nouvelles exigences en matière de consentement et des classifications des responsables du traitement des données qui redéfinissent la manière dont les données biométriques peuvent être collectées et traitées.
• Indonésie et la Malaisie s'efforcent toutes deux de des lois actualisées sur la protection des données , les modifications apportées à la amendements à la PDPA introduisant l'obligation de signaler les violations, des exigences relatives au délégué à la protection des données et – ce qui est crucial pour les fournisseurs de services biométriques – la reclassification des données biométriques en données personnelles sensibles nécessitant un consentement explicite.
• La Thaïlande a agi rapidement et avec détermination sur la question de l'IA et de la protection de la vie privée : en février 2026, le Comité de protection des données à caractère personnel a publié un projet de lignes directrices sur la protection des données à caractère personnel dans le développement et l'utilisation de l'IA, exigeant des analyses d'impact pour les IA à haut risque et des obligations en matière de sécurité. Un projet de loi distinct sur l'IA, calqué sur l'architecture fondée sur les risques de la loi européenne sur l'IA, devrait être adopté en 2026.

Cadres relatifs à l'identité numérique :

• L'Australie renforce la vérification d'identité à deux niveaux : sa loi sur l'identité numérique établit un cadre de confiance fédéré avec des niveaux d'accréditation pour les prestataires de services d'identité. Sa loi sur la protection de la vie privée fait également l'objet d'une réforme, élargissant la définition des informations personnelles afin de couvrir explicitement les données biométriques et techniques.

Les marchés plus matures montrent à quel point les régulateurs peuvent aborder un même problème de manière différente. Singapour continue d’exploiter l’un des systèmes nationaux d’identité numérique les plus avancés au monde grâce à Singpass, qui intègre la vérification faciale comme méthode d’authentification principale et de vérification d’identité (IDV) éprouvée pour plus de 2 700 services des secteurs public et privé. La loi japonaise de 2025 sur la promotion de l'IA adopte une approche plus souple : elle privilégie l'innovation et, surtout, ne prévoit pas de sanctions financières, ce qui contraste avec les approches normatives qui émergent ailleurs dans la région.

Cette dynamique ne se limite pas non plus aux grandes puissances économiques : le Cambodge a rédigé un projet de loi complet sur la protection des données, le Laos a commencé la délivrance d'une carte d'identité numérique nationale, et le Myanmar a adopté le MOSIP pour un projet pilote d'identité numérique.

Parallèlement à cette offensive réglementaire, l'adoption de la biométrie s'accélère dans toute la région. L'analyste Alan Goode a observé que les marchés de la région Asie-Pacifique s’orientent vers la biométrie faciale comme principal moyen d’identification pour l’accès aux environnements physiques, un modèle sans support physique remplaçant entièrement les cartes. Il estime que la reconnaissance faciale deviendra la modalité dominante dans le contrôle d’accès physique biométrique d’ici deux à trois ans.

Des pays différents, des niveaux de maturité variés. Mais la tendance générale est claire : les autorités de régulation de la région Asie-Pacifique exigent des organisations qu'elles démontrent leur capacité à vérifier l'identité avec un niveau élevé de fiabilité, à traiter les données biométriques de manière responsable et à expliquer comment leur IA prend ses décisions.

Les nouvelles lois sur la biométrie dans la région APAC renforcent les exigences en matière de conformité

Pour les organisations qui se contentent de simples contrôles de présence ou de méthodes traditionnelles de vérification d'identité, la conclusion est claire : les nouveaux cadres réglementaires de la région APAC ne se contentent pas de demander si vous vérifiez l'identité. Ils demandent comment.

• Protection contre les deepfakes et les attaques par injection. La législation vietnamienne exige que les contenus générés par l'IA soient identifiables. Le cadre réglementaire sud-coréen impose des évaluations des risques pour les IA à fort impact. Vous ne pouvez pas respecter ces obligations avec une solution qui se contente de protéger contre les photos imprimées présentées devant une caméra. Vous avez besoin d'une détection couvrant les attaques par présentation, les attaques par injection numérique et les médias synthétiques désormais facilement accessibles à toute personne disposant d'un ordinateur portable.
• La protection de la vie privée par l'architecture, et non par la politique. La DPDP indienne et la loi vietnamienne sur la protection des données personnelles imposent des exigences strictes en matière de consentement et de traitement. Les organisations ont besoin de solutions qui convertissent les données faciales en modèles biométriques, les données personnelles et les données biométriques étant sont séparées de manière structurelle , de sorte qu’aucune entité ne puisse associer un visage à un nom. Il s’agit d’un choix de conception, et non d’un document de politique.
• Une surveillance continue des menaces, et non une certification ponctuelle. Les régulateurs souhaitent de plus en plus s'assurer que les systèmes d'IA sont gérés de manière active. Un test de vivacité certifié il y a douze mois et qui n'a pas évolué depuis peut constituer un handicap plutôt qu'un atout. Ce qui importe, c'est de savoir si votre solution s'adapte aux attaques en cours – ce qui est exactement ce que fait un centre d’opérations de sécurité permet de faire.
• Conformité aux normes mondiales émergentes. L' FIDO Alliance organise sa toute première conférence Authenticate APAC à Singapour en juin 2026. NIST SP 800-63-4, la vérification faciale FIDOet CEN/TS 18099 deviennent des références pour les régulateurs de la région APAC. Si votre fournisseur de solutions biométriques ne peut pas justifier de certifications indépendantes et accréditées conformes à ces normes, cela pose problème.

Remarque : de nombreux cadres réglementaires de la région APAC peuvent se contenter de faire référence à des normes telles que l'ISO 30107-3, sans exiger explicitement la détection des attaques par injection numérique (DIA). Les DIA constituent la forme d’attaque la plus dangereuse, mais les normes sont encore à la traîne. La norme NIST SP 800-63-4 exige une résistance démontrée aux attaques par injection, et la norme CEN/TS 18099 fournit la méthodologie de test indépendante. Les régulateurs de la région APAC sont susceptibles de suivre cette voie à mesure que les réglementations évoquées se développent et évoluent.

Et maintenant ? Comment se préparer à la mise en conformité en matière d'identité numérique dans la région APAC

Ces réglementations s'appliquent à toute organisation procédant à la vérification d'identité dans la région APAC, qu'il s'agisse d'enregistrer de nouveaux clients, d'authentifier des employés ou de faciliter des transactions transfrontalières. Voici par où commencer :

Évaluez votre empreinte réglementaire : Si vous traitez des données à caractère personnel au Vietnam, en Inde, en Indonésie ou sur d'autres marchés de la région Asie-Pacifique – même par le biais d'intégrations tierces –, identifiez les cadres réglementaires qui s'appliquent à vos activités et le niveau de garantie d'identité qu'ils exigent.

Évaluez votre infrastructure de vérification d'identité : Votre solution actuelle protège-t-elle contre les attaques par injection et les deepfakes, ou seulement contre l'usurpation d'identité classique ? C'est dans l'écart entre ces deux types de menaces que les attaquants prospèrent et que réside le risque réglementaire.

Privilégiez une architecture axée sur la protection de la vie privée plutôt que les gesticulations de façade : Recherchez des solutions proposant une séparation structurelle des données, la pseudonymisation et un traitement dans le cloud qui empêchent toute partie d'identifier à nouveau un individu. Si votre fournisseur n'est pas en mesure d'expliquer son architecture en ces termes, continuez à chercher.

Exigez des certifications indépendantes : Demandez à votre fournisseur de solutions biométriques selon quelles normes il est certifié (NIST, FIDO, ISO, CEN) et par quel laboratoire accrédité. Les déclarations de conformité auto-déclarées ne constituent pas une preuve.

• Découvrez comment les solutions biométriques d'iProov, conformes aux normes de la région Asie-Pacifique, aident les entreprises à atteindre les plus hauts niveaux de vérification d'identité→ Réservez une démonstration
• Pour une vue d'ensemble de l'évolution de ces attaques → Rapport 2026 d'iProov sur les menaces.

iProov propose une solution de vérification biométrique du visage hautement sécurisée destinée aux entreprises, notamment GovTech Singapore, le Département américain de la Sécurité intérieure et le ministère de l'Intérieur britannique. iProov a dépassé le million de vérifications biométriques quotidiennes en 2025 et est le premier fournisseur de solutions biométriques certifié de manière indépendante conforme à la norme NIST 800-63-4.