Points à retenir de l’enquête sur les pratiques de TikTok

Lyndsay A. Wasser
2025-10-15 11:15:19

Le 23 septembre 2025, le Commissariat à la protection de la vie privée du Canada et ses homologues provinciaux de l’Alberta, de la Colombie-Britannique et du Québec (ensemble, les « commissariats ») ont publié les résultats de leur enquête conjointe sur TikTok Pte. Ltd. (« enquête conjointe »).
Les conclusions des commissariats dans cette affaire fournissent des indications et des rappels utiles aux entreprises de médias sociaux ayant des utilisateurs au Canada ainsi qu’à d’autres organisations qui traitent des renseignements personnels sur les enfants et les jeunes.
Voici certains des points principaux à retenir de l’enquête :
Contrôle de l’âge pour une conformité accrue
Les organisations devraient mettre en œuvre des mécanismes efficaces de contrôle de l’âge pour empêcher les enfants d’accéder à des services en ligne qui ne leur sont pas destinés et de les utiliser. Il n’est pas suffisant d’indiquer simplement dans les conditions d’utilisation de l’organisation que les personnes de moins d’un certain âge ne sont pas autorisées à utiliser la plateforme. Les commissariats ont également jugé insuffisantes d’autres mesures mises en œuvre par TikTok, comme la saisie de la date de naissance pour certains services et la suppression des comptes identifiés par l’équipe de modération comme appartenant potentiellement à des mineurs.
Consentement exprès pour la publicité comportementale en ligne
Conformément aux documents d’orientation antérieurs des commissariats, l’enquête conjointe sert de rappel important aux organisations sur le fait qu’un consentement exprès peut s’avérer nécessaire pour la publicité comportementale en ligne si les renseignements personnels touchés par de telles activités sont sensibles ou si les pratiques de l’organisation ne répondent pas aux attentes raisonnables des personnes concernées.
Bien que certains types de renseignements soient considérés comme étant de nature sensible (données relatives à la santé, données financières, origines ethniques et raciales, opinions politiques, données génétiques, renseignements biométriques, vie et orientation sexuelles, croyances religieuses ou philosophiques, etc.), les organisations devraient également garder à l’esprit que des éléments de données vus comme étant de nature moins sensible lorsqu’ils sont considérés de façon distincte peuvent devenir sensibles lorsqu’ils sont regroupés et analysés à des fins de profilage.
Politiques de confidentialité : pas une panacée
Comme il est indiqué dans les Lignes directrices pour l’obtention d’un consentement valable (« Lignes directrices »), une information « enfouie » dans une politique de confidentialité ou des conditions d’utilisation ne peut être invoquée comme fondement à un consentement valable sous le régime de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») et de ses équivalents provinciaux.
Les informations clés sur les pratiques de l’organisation doivent plutôt être portées à l’attention des personnes lorsque le consentement est demandé, notamment : 1) les renseignements personnels qui sont recueillis; 2) les parties auxquelles les renseignements personnels sont communiqués; 3) les fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués; 4) le risque de préjudice et les autres conséquences (y compris le fait que les renseignements transférés à l’extérieur du Canada peuvent être accessibles à des gouvernements étrangers). En outre, les personnes doivent recevoir des informations claires et détaillées afin de comprendre la façon dont leurs renseignements personnels seront recueillis, utilisés ou communiqués. Une formulation vague, incomplète ou peu claire n’appuie pas l’obtention d’un consentement valable.
Les commissariats ont reconnu que TikTok met à la disposition des utilisateurs des informations importantes concernant ses pratiques de protection de la vie privée, notamment en produisant certains avis juste-à-temps et en présentant l’information par couches (comme le recommandent les Lignes directrices). Cela dit, ils ont recommandé à l’entreprise d’apporter certaines améliorations à ses pratiques. Cela démontre, une fois de plus, que les commissariats imposent une norme élevée exigeant aux organisations de prouver que le consentement est éclairé et valable.
Consentement : tenir compte du public
Les mécanismes de consentement doivent tenir compte de l’âge des utilisateurs. En particulier, lors de la communication aux jeunes de la collecte et de l’utilisation prévues de leurs renseignements personnels, il est important d’utiliser un langage clair et adapté à leur niveau de développement cognitif. De plus, les risques et les conséquences que les jeunes utilisateurs pourraient ne pas comprendre, y compris ceux associés à l’utilisation d’une plateforme qui diffuse des publicités ciblées et d’autres contenus personnalisés, devraient être décrits dans des avis bien visibles fournis dès le début.
L’enquête conjointe rappelle également que la collecte de renseignements personnels à des fins non acceptables, raisonnables ou légitimes est incompatible avec la LPRPDE, même si le consentement est obtenu. Dans l’affaire concernant TikTok, il a été constaté que la collecte et l’utilisation des données de mineurs aux fins de ciblage publicitaire et de personnalisation de contenu ne constituaient pas des fins qu’une personne raisonnable considérerait comme acceptables, raisonnables ou légitimes.
Mise en garde sur les renseignements biométriques
Dans leur enquête conjointe, les commissariats ont constaté que l’analyse des données vocales et faciales pour en déduire la tranche d’âge et le sexe d’une personne peut constituer un traitement de renseignements biométriques, même si elles ne sont pas utilisées à des fins d’identification ou d’authentification.
En outre, ils ont conclu ce qui suit : 1) le terme « renseignements biométriques » ne devrait pas seulement désigner les renseignements pouvant servir à identifier une personne; et 2) il n’est pas nécessaire que les renseignements biométriques permettent d’identifier précisément une personne pour révéler des renseignements sensibles à son sujet (lorsque ces données sont utilisées pour déduire des renseignements personnels supplémentaires sur les utilisateurs, comme son genre, par exemple).
Différences provinciales : attention!
Les lois sur la protection des données du Québec, de l’Alberta et de la Colombie-Britannique ont chacune des caractéristiques qui les distinguent de la LPRPDE. Par exemple, la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (« Loi du Québec ») prévoit certaines exigences uniques qui concernent les activités de traitement des données en ligne d’organisations comme TikTok, dont les suivantes :
Un certain nombre d’avis obligatoires doivent être transmis aux personnes lorsque leurs renseignements personnels sont recueillis (voir l’article 8 de la Loi du Québec).
Si une organisation utilise une technologie comprenant des fonctions permettant d’identifier des personnes, de les localiser ou d’effectuer leur profilage, celles-ci doivent d’abord être informées du recours à une telle technologie et des moyens offerts pour activer ces fonctions. Ces fonctions doivent être désactivées par défaut, et une personne doit poser un geste actif et spécifique pour permettre que ses renseignements personnels soient recueillis et utilisés pour l’identifier, la localiser ou effectuer son profilage.
Si une organisation offre au public un produit ou un service technologique disposant de paramètres de confidentialité, ceux-ci doivent assurer, par défaut, le plus haut niveau de confidentialité, sans aucune intervention de l’utilisateur.
Bien que TikTok ait soutenu qu’elle respectait la loi, elle s’est néanmoins engagée à améliorer ses pratiques. Plus particulièrement, elle a convenu de mettre en œuvre de nouveaux modèles servant à détecter les comptes de mineurs, de mettre à jour sa politique de confidentialité, de limiter la publicité ciblée diffusée aux personnes de moins de 18 ans, d’élaborer de nouveaux mécanismes de communication avec les adolescents (c.-à-d. un résumé en langage clair de sa politique de confidentialité et une vidéo présentant certaines pratiques), d’améliorer ses communications sur la protection de la vie privée pour tous les utilisateurs, de fournir des informations en français et en anglais ainsi que de mettre en œuvre un nouveau mécanisme de vérification des paramètres de confidentialité pour tous les comptes au Canada.
D’autres organisations qui exercent leurs activités au Canada ou qui ont un lien réel et substantiel avec le Canada ou l’une de ses provinces auraient avantage à envisager la prise de mesures similaires.
À propos de l’auteure
Lyndsay Wasser est une associée spécialisée en droit de la protection de la vie privée et des données chez McMillan.