Le 23 septembre 2025, les autorités fédérales et provinciales garantes de la protection de la vie privée au Québec, en Colombie-Britannique et en Alberta ont publié les conclusions conjointes de leur enquête sur TikTok pour non-respect des lois canadiennes applicables en matière de protection de la vie privée (voir le document d’information ici). 

Quoique dense, le rapport d’enquête met en évidence les principales préoccupations des autorités de réglementation et fournit des lignes directrices essentielles quant à leurs attentes en matière de conformité à la protection de la vie privée, particulièrement en ce qui concerne les enfants et les jeunes utilisateurs de plateformes technologiques. 

Contexte

Lancée d’office par les autorités de protection de la vie privée, l’enquête conjointe portait sur les pratiques de TikTok en matière de collecte, d’utilisation et de communication de renseignements personnels aux fins de ciblage publicitaire et de personnalisation du contenu, particulièrement lorsqu’elles concernent les enfants et les jeunes. Les preuves ont été recueillies au moyen d’observations écrites, d’entrevues, d’une visite sur place, de démonstrations du système et d’essais internes de l’application.

Le fait de mener l’enquête conjointement a permis aux autorités de mettre à profit leur expertise et leurs ressources combinées, une pratique de plus en plus courante de la part des organismes de réglementation canadiens de réglementation de la protection de la vie privée. Toutes les contestations de TikTok en matière de compétence ont été rejetées. 

Le rapport d’enquête fournit des lignes directrices sur un large éventail de sujets : mesures de contrôle de l’âge, mesures de transparence et de consentement adaptées aux jeunes, exigences de transparence et de consentement pour le suivi, profilage, personnalisation du contenu et publicité, traitement d’analyses de données biométriques et d’analyses faciales, accessibilité en français, transferts transfrontaliers (y compris vers la Chine), et exigences du Québec en matière de confidentialité par défaut. 

TikTok a contesté certains volets des conclusions, mais s’est engagée à mettre en œuvre des mesures pour répondre aux préoccupations des autorités de réglementation, dont les suivantes : 

  • Restreindre les publicités ciblées auprès des utilisateurs de moins de 18 ans.
  • Évaluer et mettre en œuvre des stratégies améliorées (et des techniques visant à détecter les personnes n’ayant pas l’âge minimum requis) pour empêcher les utilisateurs de moins de 13 ans (moins de 14 ans au Québec) d’utiliser la plateforme.
  • Renforcer la transparence en fournissant de la communication sur la confidentialité destinée aux jeunes, des communications bilingues et, à tous les utilisateurs, des renseignements additionnels sur des sujets comme les transferts transfrontaliers de données, le traitement des données biométriques et les pratiques de ciblage publicitaire.
  • Mener des recherches et mettre à l’essai ses techniques de détection des personnes n’ayant pas l’âge minimum requis et ses communications auprès des jeunes afin de s’assurer de leur efficacité.

Liste de vérification aux fins d’auto-évaluation 

La liste de contrôle ci-dessous convertit les principes essentiels du rapport d’enquête en conseils pouvant aider votre organisation à prendre des mesures ou des décisions en matière de protection de la vie privée. Organisée par catégorie d’utilisateurs, cette liste permet d’établir un lien entre vos pratiques actuelles et les attentes des autorités, à combler les lacunes et à prendre toutes les mesures nécessaires pour garantir votre conformité et consigner les mesures que vous prenez à cet égard.

Enfants de moins de 13 ans (moins de 14 ans au Québec)

Pour les organisations qui, intentionnellement, n’offrent pas de services aux enfants de moins de 13 ans (moins de 14 ans au Québec) ou ne traitent pas leurs renseignements personnels :

Admissibilité et refus de service

  • Quelles mesures prenons-nous pour empêcher la collecte de données auprès de personnes n’ayant pas l’âge requis? Ces mesures sont-elles manifestement efficaces lorsqu’il s’agit de limiter de manière substantielle l’inscription de personnes n’ayant pas l’âge requis et la collecte/l’utilisation de leurs données (et pas seulement de les supprimer ultérieurement)?
    • Nos conditions d’utilisation interdisent-elles clairement l'accès au service aux personnes n’ayant pas l’âge requis?
    • Nos mesures de contrôles d’accès à nos produits empêchent-elles efficacement les personnes n’ayant pas l’âge requis de créer/utiliser un compte? Les mesures de modération de contenu sont-elles hautement efficaces pour éviter le contournement d’interdiction? 
    • Disposons-nous de mesures d’atténuation face aux tentatives de réenregistrement d’appareils/de comptes et de création de comptes en double (p. ex., signaux d’appareils/de navigateurs), sans pour autant faire de collecte excessive de renseignements?
  • Quelles-sont les mesures ou pratiques de modération de contenu établies pour détecter le non-respect de ces règles? 
    • Ces mesures permettent-elles de détecter les cas de non-conformité par des comptes passifs ou des comptes de badauds (et pas seulement les utilisateurs qui publient du contenu ou des commentaires)?
  • Effectuons-nous des essais et consignons-nous les évaluations portant sur l’efficacité de nos mesures de refus de service et de nos outils de contrôle de l’âge? 
  • Si les mesures actuelles sont inefficaces, existe-t-il déjà des mesures supplémentaires utilisées dans d’autres contextes qui peuvent être réutilisées (avec des mesures de protection) pour détecter et bloquer les personnes n’ayant pas l’âge requis?

Conception et proportionnalité des mesures de contrôle de l’âge

  • Les mesures et technologies de contrôle de l’âge, qu’elles soient établies ou envisagées, sont-elles conformes à nos obligations juridiques en matière de protection de la vie privée?
  • Avons-nous mappé et réduit au minimum la collecte des données dans le but de contrôler l’âge des utilisateurs de sorte qu’elle soit strictement nécessaire et proportionnelle à l’objectif consistant à empêcher celles et ceux n’ayant pas l’âge requis pour accéder au service? 
  • Avons-nous réalisé une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour chaque mécanisme de contrôle de l’âge et consigné les raisons pour lesquelles des options moins intrusives sont insuffisantes?

Jeunes âgés de 13 ou 14 ans à 18 ans 

Pour les organisations qui offrent des services à des adolescents âgés de 13 à 18 ans (ou qui traitent leurs renseignements personnels) :

Profilage, ciblage publicitaire et transparence publicitaire

  • Limitons-nous le ciblage publicitaire des utilisateurs de moins de 18 ans à des paramètres génériques non comportementaux (p. ex., la langue, l’emplacement approximatif) et évitons-nous le ciblage basé sur leurs centres d’intérêt ou le profilage?
  • Les publicités comportent-elles des indications claires et bien visibles permettant aux adolescents de reconnaître le contenu commandité, et ces indications sont-elles visibles et compréhensibles pour ces derniers? 
  • Au moment de l’inscription, fournissons-nous d’emblée des avis bien visibles expliquant quelles données nous collectons, comment nous déduisons les centres d’intérêt/données démographiques des utilisateurs, et l’utilisation que nous en faisons pour personnaliser le contenu et (s’il y a lieu) les publicités?

Ressources en matière de protection de la vie privée adaptées aux jeunes

  • Avons-nous rédigé des divulgations visant les jeunes, qui soient faciles à comprendre, et qui soulignent les risques et conséquences de la personnalisation et de la publicité (s’il y a lieu)?
  • Avons-nous évalué si les jeunes comprennent nos communications, en anglais et en français, et quelle est leur expérience utilisateur, à l’aide de sondages, de groupes de discussion ou d’autres activités de sensibilisation connexes?

Utilisateurs de tous âges

Pour les organisations qui traitent les renseignements personnels d’utilisateurs de tous âges, en particulier celles qui font du profilage et de la publicité ciblée :

Divulgation claire et prompte des principales pratiques en matière de protection de la vie privée

  • Les informations clés concernant nos pratiques en matière de protection de la vie privée (renseignements personnels recueillis, fins auxquelles ils sont utilisés, tiers auxquels ils peuvent être communiqués, préjudices ou autres conséquences pouvant en résulter) sont-elles fournies de manière visible, d’emblée et « juste-à-temps », par exemple, au moment de la création d’un compte? 
  • Divulguons-nous d’emblée et de manière bien visible tout transfert de renseignements personnels à l’extérieur du Canada ou du Québec (y compris le fait que des autorités de pays étrangers, comme la Chine, y accéderont potentiellement)? 
  • Nos communications sur la protection de la vie privée expliquent-elles de manière complète et compréhensible nos pratiques en la matière? 
    • Notre politique de confidentialité est-elle facilement accessible et compréhensible? Établit-elle un lien entre les types de renseignements personnels recueillis et les fins auxquelles ils sont utilisés? Fournit-elle suffisamment de détails et de précisions sur les fins du traitement des renseignements personnels, et est-elle rédigée de manière claire et précise, ne laissant aucune place à l’ambiguïté?
    • Des ressources supplémentaires sur la protection de la vie privée, telles que des résumés en langage clair, sont-elles facilement accessibles et hyperliées à la politique de confidentialité?
  • Diffuse-t-on des communications en anglais et en français de sorte que les informations concernant nos pratiques en matière de protection de la vie privée soient tout aussi accessibles aux utilisateurs francophones qu’aux utilisateurs anglophones au Canada?

Paramètres de confidentialité et confidentialité par défaut

  • Les utilisateurs peuvent-ils facilement vérifier et gérer leurs paramètres de confidentialité? 
  • Les paramètres de confidentialité permettent-ils aux utilisateurs de gérer le traitement des données par la plateforme, et non seulement le traitement des données que font les autres utilisateurs de la plateforme?
  • Pour les utilisateurs du Québec, les fonctions qui identifient, localisent ou profilent les individus sont-elles désactivées par défaut? Informons-nous clairement les usagers de l’utilisation de ces technologies et de la manière dont elles peuvent être activées, et ce, avant toute activation possible de ces dernières?
  • Pour les utilisateurs du Québec, les paramètres de confidentialité de tout produit ou service technologique utilisé pour recueillir des renseignements personnels assurent-ils par défaut le plus haut niveau de confidentialité, sans aucune intervention par la personne concernée?

Analyses de données biométriques et analyses faciales

  • Si nous utilisons la vision par ordinateur ou l’analyse faciale/vocale (même si les informations utilisées ne permettent pas d’identifier précisément une personne), par exemple pour estimer l’âge d’une personne ou personnaliser le contenu/les publicités, traitons-nous ces renseignements comme des renseignements biométriques sensibles? 
  • Fournissons-nous d’emblée une explication complète et facilement accessible de toute analyse de données biométriques ou analyse faciale, qui précise les fins et les conséquences de l’analyse? 

Pour en savoir plus

Pour obtenir des conseils personnalisés et connaître l’incidence possible des conclusions du rapport sur vos pratiques de protection de la vie privée, n’hésitez pas à communiquer avec notre équipe Cybersécurité et protection des données.