La protection de la vie privée des enfants est une fois de plus au centre de l’attention des autorités en matière de protection de la vie privée. Le Bureau du commissaire à la protection de la vie privée du Canada (BCVPP), ainsi que les autorités mondiales en matière de protection des données et de la vie privée, a récemment publié les conclusions de l’opération mondiale de 2025 du Réseau mondial des autorités de protection de la vie privée (RGPV) (l’opération). L’étude examine la façon dont les sites Web et les applications mobiles (apps) utilisés par les enfants traitent les renseignements personnels des mineurs. Les conclusions du rapport sont comparées à celles illustrées dans une analyse de 2015 afin de montrer les changements survenus au cours de la dernière décennie et de mettre en évidence les préoccupations des autorités de protection de la vie privée. Bien que le balayage ne soit pas un document juridiquement contraignant, ce rapport indique que les préoccupations identifiées pourraient éclairer les futures directives, les activités de sensibilisation ciblées et les activités de contrôle.
Contexte
Le BPVIP, l’Information Commissioner’s Office du Royaume-Uni et le Bureau du protecteur des données de la Seigneurie de Guernesey ont coordonné l’opération. En tout, 879 sites Web et applications ont été évalués selon cinq indicateurs : (i) vérification de l’âge ; (ii) collecte de données sur les enfants ; (iii) mesures de protection ; (iv) suppression de compte ; et (v) autres préoccupations générales. Cette initiative s’appuie sur une initiative GPEN de 2015, permettant aux organismes de réglementation d’observer l’évolution des pratiques en matière de protection de la vie privée des enfants.
Le Commissaire à la protection de la vie privée du Canada, Philippe Dufresne, a présenté l’opération de contrôle comme faisant partie de l’engagement général de l’SPC à défendre la vie privée des enfants, ce qui est un élément stratégique clé pour les autorités canadiennes en matière de protection de la vie privée. Cet accent a été démontré par une action réglementaire coordonnée, notamment une Résolution conjointe de 2023 adoptée par les commissaires à la protection de la vie privée fédéraux, provinciaux et territoriaux, qui vise à donner la priorité aux meilleurs intérêts des jeunes en matière de protection de la vie privée.
En 2025, le BPC a lancé plusieurs initiatives visant à renforcer la protection de la vie privée des jeunes, notamment la création d’un Conseil jeunesse et consultation publique sur l’élaboration d’un code de protection de la vie privée des enfants. Les principales conclusions de la consultation publique ont mis l’accent sur le traitement des renseignements personnels des enfants comme étant sensibles, la nécessité d’intégrer la protection de la vie privée dès la conception, la mise en œuvre de mécanismes de consentement adaptés aux enfants, l’amélioration de la transparence et la mise en place de solides protections de la vie privée par défaut pour les espaces numériques fréquentés par les enfants.
L’engagement de la Commission d’accès à l’information du Canada envers la protection de la vie privée des enfants a également été renforcé par des activités d’application de la loi. Plus particulièrement, en 2025, le BPC, le Bureau du commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique, et le Bureau du commissaire à l’information et à la protection de la vie privée de l’Alberta ont mené une enquête conjointe sur TikTok. Cette enquête a évalué la façon dont la Plateforme traite les renseignements personnels des enfants (veuillez consulter notre précédent article de blogue, Enquête conjointe du Commissaire à la protection de la vie privée sur TikTok – principaux éléments à retenir, pour plus de renseignements). De plus, en 2026, le SPC a collaboré avec les autorités provinciales en matière de protection de la vie privée sur une enquête conjointe sur ChatGPT d’OpenAI, soulignant les préoccupations concernant la surcollecte de renseignements personnels, y compris les données relatives aux enfants. Bien que ChatGPT ne soit pas explicitement ciblé chez les enfants, les résultats ont souligné que les renseignements personnels des enfants étaient tout de même touchés, ce qui a incité OpenAI à s’engager à mettre en œuvre des mesures de confidentialité supplémentaires, notamment des protections renforcées spécifiquement pour les enfants.
Pendant la Semaine de la protection de la vie privée 2026, le BPC a présenté de nouvelles directives sur la vérification de l’âge pour sites Web et fournisseurs de services en ligne et pour âge assurance développeurs. Ces lignes directrices visent à favoriser une expérience en ligne plus sûre et plus appropriée pour les enfants. Les commentaires du public sur les documents d’orientation seront acceptés jusqu’au 4 août 2026.
Principales conclusions de l’enquête
Âge Assurance
L’utilisation de mécanismes de vérification de l’âge augmente considérablement par rapport à la dernière décennie, environ 45 % des sites web et des applications examinés intégrant une forme de contrôle de l’âge. Malgré cela, les autorités de protection de la vie privée expriment leurs préoccupations quant à l’efficacité de ces mesures. Dans 72 % de ces sites Web et applications, les utilisateurs ont pu contourner facilement les mesures de vérification de l’âge. Cela se produisait le plus souvent lorsque les plateformes se fiaient à une déclaration d’âge faite par l’utilisateur. Les autorités de protection de la vie privée ont signalé cette pratique comme étant particulièrement préoccupante lorsque les plateformes permettaient l’accès à du contenu inapproprié ou utilisaient un traitement des données à haut risque.
Collecte des renseignements personnels des enfants
Une grande partie des sites Web et des applications examinés exigeaient que les enfants fournissent des renseignements personnels pour accéder à toutes les fonctionnalités de la plateforme. Les renseignements les plus fréquemment recueillis comprenaient les adresses de courriel (59 %), les noms d’utilisateur (50 %) et les renseignements de géolocalisation (46 %). Les autorités de protection de la vie privée constatent une augmentation globale de la collecte de certains types de renseignements personnels par rapport à 2015, tels que les noms, les numéros de téléphone, les adresses et les photos ou vidéos. Parallèlement, un nombre important de plateformes ont déclaré dans leurs politiques de confidentialité qu’elles ne recueillaient pas intentionnellement de renseignements personnels auprès d’enfants. Cela comprenait des services qui étaient considérés comme étant destinés aux enfants, ainsi que des plateformes qui ne s’adressaient pas aux enfants, mais qui seraient largement utilisées par ceux-ci. Malgré les déclarations concernant le fait de ne pas recueillir intentionnellement les renseignements des enfants, de nombreux sites Web et applications continuent d’exiger la collecte de renseignements personnels tels que les noms, les adresses électroniques, les noms d’utilisateur et les médias téléchargés.
Contrôles de protection et garanties de conception
Les autorités de protection de la vie privée affirment que les mesures de conception axées sur la protection de la vie privée n’ont pas été appliquées de manière uniforme sur les différentes plateformes, en particulier celles qui comportaient des « activités de traitement à haut risque » ou des éléments de conception ciblant les enfants. Parmi les sites Web et les applications qui étaient considérés comme présentant une « collecte de données à haut risque » et des caractéristiques de conception destinées aux enfants, seulement 35 % affichaient des communications relatives à la confidentialité qui invitaient les parents à s’impliquer, et 25 % offraient des tableaux de bord parentaux. Pour les sites Web et les applications qui présentaient du contenu potentiellement inapproprié, seulement 35 % affichaient des communications relatives à la confidentialité qui incitaient à l’implication des parents et 27 % offraient des tableaux de bord parentaux. La portée de ce que les autorités de protection de la vie privée considèrent dans leur catégorisation du « haut risque » est identifiée au point n° 5 ci-dessous. Ces conclusions suggèrent que, même lorsqu’il existe des risques accrus identifiables, les mesures de protection correspondantes peuvent avoir été limitées ou inexistantes.
Suppression du compte
Les autorités de protection des renseignements personnels constatent une amélioration des mécanismes de suppression de compte depuis 2015. Environ 64 % des sites Web et des applications examinés offraient un moyen accessible aux utilisateurs de supprimer leurs comptes, comparativement à 29 % en 2015. Cependant, les autorités de protection de la vie privée soulignent également que la clarté et la facilité de réalisation du processus de suppression continuent de jouer un rôle important dans l’évaluation de l’efficacité des outils de suppression en pratique.
Autres préoccupations générales : Contenu inapproprié et « Traitement de données à haut risque ».
Les autorités de protection de la vie privée signalent la présence de contenu inapproprié (p. ex., du matériel lié à l’automutilation, à l’intimidation, à la maltraitance ou à la haine) sur 35 % des plateformes examinées, et ce contenu s’accompagnait souvent de caractéristiques de conception à haut risque (c.-à-d. des mécanismes de profilage comportemental étaient présents avec du contenu sur l’automutilation dans 60 % des cas et du contenu sur les troubles alimentaires dans 58 % des cas). Tenant compte de ces facteurs, les autorités de protection de la vie privée ont exprimé leur inconfort face à l’utilisation de 41 % des sites Web et des applications examinés par des enfants, en hausse par rapport à 30 % en 2015. Cette constatation souligne l’inquiétude croissante que les protections en matière de confidentialité et de sécurité pourraient ne pas suivre le rythme de la conception des services numériques et des pratiques en matière de données.
Vision pour l’avenir
Pour les organisations qui offrent des produits ou des services numériques utilisés par des enfants ou qui sont populaires auprès d’un public plus jeune, le concours offre plusieurs leçons pratiques :
- L’âge assuré doit être significatif : une auto-déclaration seule peut être insuffisante, en particulier lorsque le contenu ou le traitement comporte un risque plus élevé. Les directives d’assurance relatives à l’âge susmentionnées peuvent aider les organisations à se conformer aux pratiques exemplaires. Ces organismes devraient également envisager de participer au processus de consultation afin de contribuer à façonner l’avenir du paysage réglementaire.
- La transparence doit être accessible : les communications relatives à la vie privée doivent non seulement être compréhensibles pour les enfants et leurs parents ou tuteurs, mais aussi facilement accessibles. Cela peut comprendre de s’assurer qu’il existe un référentiel d’information spécifique (p. ex., un tableau de bord parental).
- L’utilisation des contrôles de compte ne doit pas être laborieuse : outre de s’assurer que les contrôles de compte sont accessibles, l’utilisation de l’outil ne doit pas être un processus laborieux ou compliqué (p. ex., un outil de suppression de compte facile à utiliser).
Si vous avez des questions concernant les conclusions de l’étude ou d’autres développements récents liés à la protection de la vie privée des enfants au Canada qui pourraient avoir une incidence sur votre organisation, Bennett Jones Groupe de la protection de la vie privée et des données est disponible pour aider.
