Principales conclusions tirées de l’enquête conjointe sur TikTok effectuée par les commissaires à la protection de la vie privée

Le 23 septembre 2025, le Commissariat à la protection de la vie privée du Canada, la Commission d’accès à l’information du Québec, le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique et le Commissariat à l’information et à la protection de la vie privée de l’Alberta, désignés collectivement sous le nom de « Commissariats », ont publié leurs conclusions relatives à une enquête conjointe concernant la collecte, l’utilisation et la communication de renseignements personnels par TikTok Pte. Ltd. (TikTok). Plus particulièrement, l’enquête visait à examiner la collecte, l’utilisation et la communication par TikTok de ces renseignements personnels aux fins de ciblage publicitaire et de personnalisation du contenu sur la plateforme, et les Commissariats ont porté une attention particulière aux pratiques de TikTok en ce qui concerne les renseignements personnels des enfants âgés de moins de 13 ans (ou de moins de 14 ans au Québec).

En fin de compte, les Commissariats ont conclu que la collecte et l’utilisation des renseignements personnels d’enfants par TikTok ne répondaient pas à un besoin ni à un intérêt légitime. En ce qui concerne le consentement et la transparence, les Commissariats ont conclu qu’il n’était pas nécessaire de déterminer si TikTok avait obtenu un consentement valide des enfants, puisqu’un tel consentement ne ferait pas en sorte que sa collecte et son utilisation des renseignements soient acceptables. Cependant, ils ont établi que le consentement obtenu des adultes et des jeunes était invalide en raison de son caractère insuffisant.

Bien que TikTok ait exprimé son désaccord avec certaines conclusions des Commissariats, elle s’est engagée à prendre diverses mesures, dont la plupart doivent être mises en œuvre dans les six mois suivant la publication du rapport. Ces mesures comprennent la mise en œuvre de mécanismes de contrôle de l’âge améliorés, l’ajout de détails à sa politique de confidentialité, la cessation de la diffusion de publicités ciblées aux utilisateurs de moins de 18 ans par les annonceurs, des communications supplémentaires sur son utilisation des données biométriques et son traitement des données en Chine, la publication de documents et de communications destinés aux jeunes et la mise en œuvre de nouveaux paramètres de confidentialité pour les utilisateurs qui résident au Canada.

Cinq points à retenir

D’après les conclusions des Commissariats, les organisations devraient garder à l’esprit les points suivants lorsqu’elles recueillent, utilisent et communiquent des renseignements personnels dans le secteur privé.

1. Données sur les enfants : Il est possible que la collecte et l’utilisation de renseignements personnels d’enfants pour la diffusion de publicités ciblées et la personnalisation de contenu (ce qui comprend le suivi, le profilage et l’utilisation de renseignements personnels pour entraîner l’apprentissage automatique et améliorer les algorithmes) ne soient pas considérées comme acceptables, raisonnables ou légitimes en application de la législation sur la protection des renseignements personnels.
2. Consentement exprès : Il est possible que l’acceptation de conditions générales par les utilisateurs dans le cadre de l’ouverture d’un compte ne constitue pas un consentement valide, particulièrement lorsque les renseignements personnels sont traités à des fins de suivi, de profilage, de diffusion de publicités ciblées ou de personnalisation du contenu. Étant donné que ces pratiques mettent souvent en cause des données sensibles, les organisations peuvent être tenues d’obtenir un consentement explicite (c.-à-d. opt-in), même auprès des utilisateurs adultes.
3. Transparence dans les pratiques de protection de la vie privée : Les politiques de confidentialité et les communications connexes devraient expliquer clairement les pratiques comme le suivi, le profilage, la diffusion de publicités ciblées, la personnalisation du contenu et l’utilisation de données biométriques. Ces explications devraient être rédigées dans un langage simple, être facilement accessibles et, lorsqu’elles s’adressent aux jeunes, être adaptées à leur stade de développement cognitif. De plus, les politiques de confidentialité et les autres documents connexes doivent être suffisamment simples et courts pour permettre aux utilisateurs de trouver facilement les renseignements pertinents.
4. Mécanismes de contrôle de l’âge : La pratique de s’en remettre uniquement à un contrôle de l’âge volontaire (entrée de la date de naissance) et à un processus de modération limité du compte pour empêcher les enfants d’accéder aux produits destinés à d’autres groupes d’âge peut être considérée comme insuffisante. Selon le contexte, les organisations peuvent être tenues de mettre en œuvre des mécanismes plus rigoureux et proactifs, comme des outils de vérification technique, pour prévenir la collecte et l’utilisation inappropriées de données des enfants. Même la collecte involontaire de données des enfants pourrait violer les lois canadiennes sur la protection des renseignements personnels.
5. Obligations accrues du Québec : Les organisations qui recueillent ou utilisent des renseignements personnels d’utilisateurs québécois doivent respecter des exigences accrues, dont les suivantes : (i) l’obligation de fournir les renseignements obligatoires requis avant de pouvoir commencer à recueillir des renseignements personnels; (ii) obtenir un consentement explicite (c.-à-d. opt-in) pour les technologies qui permettent d’identifier, de localiser ou de profiler; (iii) configurer les paramètres par défaut au plus haut niveau de confidentialité. De plus, toute l’information doit être accessible en français.

L’enquête conjointe des Commissariats démontre que les organismes de réglementation au Canada s’attendent tous à ce que les organisations adoptent des protections rigoureuses de la vie privée, en particulier pour les enfants et les adolescents. Nous invitons les organisations à prendre note des mesures de conformité pratiques décrites dans les engagements pris par TikTok, par exemple en ce qui concerne le contrôle de l’âge et les communications en langage clair, et à examiner comment des mesures de protection semblables pourraient s’appliquer à leurs propres activités.

Pour en savoir plus sur les exigences en matière de confidentialité au Canada, veuillez communiquer avec un membre de notre groupe Gouvernance des données, protection et cybersécurité.