Consultation exploratoire – Code sur la protection des renseignements personnels des enfants

Avis

L’appel aux observations sur la consultation exploratoire sur la rédaction d’un code sur la protection des renseignements personnels des enfants est maintenant fermé. Merci pour votre participation.

L’environnement numérique peut offrir aux jeunes des possibilités de croissance et d’expression de soi, mais il peut aussi les exposer à des risques accrus pour leur vie privée. En effet, les enfants^{Footnote 1} qui ne saisissent peut-être pas bien les conséquences de consentir à la collecte, à l’utilisation ou à la communication de leurs renseignements personnels, sont particulièrement vulnérables à ces risques. Afin d’atténuer ces risques, il est impératif que les enfants soient en mesure de prendre aisément des décisions éclairées sur les pratiques liées à leurs renseignements personnels en ligne.

Renseignements généraux et contexte

Évolution internationale

Afin de tenir compte des besoins uniques et de l’intérêt supérieur des enfants, de nombreuses juridictions à l’échelle mondiale ont bénéficié de la publication de documents d’orientation par les autorités de protection de la vie privée ou de l’adoption d’une loi par le gouvernement obligeant les organisations à adapter leurs pratiques visant les données, notamment la conception de produits et de services. Les codes de pratique établis et les mesures de protection spéciales que l’on retrouve dans les lois sur la protection des renseignements personnels peuvent donner aux enfants des moyens d’exercer leur droit à la vie privée et de se protéger contre les préjudices auxquels ils s’exposent lorsqu’ils naviguent sur Internet.

Par exemple, selon le commissariat à l’information (Information Commissioner’s Office) du Royaume-Uni, son code de conception tenant compte de l’âge (Age-Appropriate Design Code, en anglais seulement), qui est entré en vigueur en 2021, a permis d’améliorer la protection des enfants en ligne. À cet égard, le commissariat à l’information mentionne que des changements ont été apportés dans les pratiques des grandes plateformes en ligne.^{Footnote 2}

D’autres juridictions ont également défini et clarifié les pratiques attendues pour protéger le droit à la vie privée des enfants dans le monde numérique. Par exemple, la commission de la protection des données (Data Protection Commission) de l’Irlande a publié une orientation (en anglais seulement) dans laquelle figure une approche du traitement des données orientée sur l’enfant. De plus, bon nombre d’États américains et de nombreuses autres juridictions ailleurs dans le monde ont mis en place leur propre code sur la protection des renseignements personnels des enfants.^{Footnote 3}

Engagement du Commissariat à la protection de la vie privée du Canada à l’égard de la protection de la vie privée des enfants

Au fil des ans, le Commissariat à la protection de la vie privée du Canada (le Commissariat) a continué à faire preuve de diligence dans l’examen des questions liées à la protection de la vie privée. Il a particulièrement tenu compte des répercussions que pourraient subir les enfants lorsqu’ils ont recours à des produits et à des services en ligne, et a encouragé des pratiques qui protègent les enfants et qui leur permettent d’avoir les outils nécessaires dans un tel contexte. Par exemple, selon le Rapport sur le ratissage du Commissariat à la protection de la vie privée du Canada de 2024 : Mécanismes de conception trompeuse, certains mécanismes de conception trompeuse sont beaucoup plus présents sur les sites Web et les applications destinés aux enfants que sur ceux qui semblent viser la population générale. De plus, le rapport a permis d’établir les attentes du Commissariat, à savoir que les sites Web et les applications destinés principalement aux enfants devraient définir par défaut les paramètres qui respectent le plus la vie privée et qu’ils devraient encourager les enfants à parler à leurs parents ou à leurs tuteurs pour les aider à prendre des décisions en matière de protection de la vie privée.

En 2023, le Commissariat et ses homologues provinciaux et territoriaux ont publié une résolution conjointe et un document accompagnateur intitulés Mettre l’intérêt supérieur des jeunes à l’avant-plan en matière de vie privée et d’accès aux renseignements personnels (la résolution sur l’intérêt supérieur des jeunes). Le contenu de la résolution a été établi en fonction de ce qui est ressorti des tables rondes sur l’intérêt supérieur de l’enfant organisées par le Commissariat en collaboration avec les parties prenantes.

Dans la résolution, on présente les pratiques recommandées que les organisations du secteur public et privé devraient adopter pour prioriser l’intérêt supérieur des jeunes et protéger leur vie privée. La résolution permet d’insister sur la nature particulièrement sensible des renseignements personnels des jeunes et de reconnaître que le droit à la vie privée des jeunes est un concept distinct, et que l’exercice de ce droit ne doit être limité que dans certaines circonstances qui sont compatibles avec l’intérêt supérieur des jeunes. Les principes contenus dans la résolution et les positions que le Commissariat a adoptées au fil des ans par rapport aux enfants constituent le fondement de la présente consultation et des travaux qui seront menés par le Commissariat pour établir un code sur la protection des renseignements personnels des enfants.

Dans le Plan stratégique 2024-2027 du Commissariat, on a établi l’engagement de l’organisation à défendre le droit à la vie privée des enfants en tant que priorité stratégique clé. Au moyen de cet engagement, le Commissariat cherche à mieux comprendre et évaluer les risques et les enjeux liés à la vie privée auxquels sont confrontés les jeunes, et à favoriser des changements positifs au sein des organisations et chez les parents, les tuteurs et les jeunes afin de faire respecter le droit à la vie privée des enfants.

Pourquoi établir un code?

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) impose au commissaire l’obligation de prendre toute mesure qu’il estime indiquée pour la promotion de l’objet de la Loi et reconnaît que les codes de pratiques sont des moyens d’y parvenir et de se conformer aux sections 1 et 1.1.^{Footnote 4} Par conséquent, le Commissariat croit que l’établissement d’un code sur la protection des renseignements personnels des enfants serait un outil approprié pour favoriser le respect des obligations prévues par la Loi en matière de protection des renseignements personnels et encourager l’adoption de pratiques exemplaires dans ce domaine.

Un code canadien sur le traitement des renseignements personnels des enfants est essentiel pour veiller à ce que leurs renseignements personnels soient protégés adéquatement et à ce que les enfants soient en mesure d’exercer adéquatement leur droit à la vie privée. Compte tenu de l’augmentation des risques auxquels sont exposés les enfants et de l’évolution de la situation à l’échelle internationale, le Commissariat estime que le moment est bien choisi pour que la population et les entreprises canadiennes puissent bénéficier d’un code sur la protection des renseignements personnels des enfants qui permettrait de renforcer les positions du Commissariat à cet égard et de favoriser l’harmonisation avec d’autres juridictions.

Objectifs de la consultation

La consultation vise à orienter l’établissement d’un code canadien sur la protection des renseignements personnels des enfants qui clarifiera les obligations prévues par la LPRPDE et présentera les attentes du Commissariat en ce qui concerne la façon dont les organisations gèrent les renseignements personnels des enfants.

Bien que ce ne soit pas l’objet principal de la consultation, il est à noter que les enfants pourraient grandement bénéficier de modifications législatives qui permettent de leur offrir des mesures de protection spéciales au titre de la loi sur la protection des renseignements personnels dans le secteur privé au Canada et de reconnaître explicitement l’intérêt supérieur de l’enfant.^{Footnote 5}

Pourquoi mener une consultation exploratoire?

Le Commissariat entreprend cette consultation exploratoire afin de donner aux parties l’occasion de mieux comprendre les défis associés à la protection de la vie privée des enfants et d’étudier des solutions qui pourraient aider à l’élaboration du code sur la protection des renseignements personnels des enfants. Reconnaissant qu’un code sur la protection des renseignements personnels des enfants aurait une incidence, entre autres, sur les enfants, les parents et les tuteurs, les éducateurs et les organisations du secteur privé, le Commissariat aimerait connaître les points de vue d’un large éventail de parties prenantes.

La consultation vise à se pencher sur la façon dont les positions actuelles du Commissariat pourraient se matérialiser pour veiller à ce que les organisations du secteur privé mettent en œuvre des mesures de protection rigoureuses et des pratiques transparentes, et à ce qu’elles fournissent des outils efficaces aux enfants pour que ceux-ci puissent réellement exercer leur droit à la vie privée.

Ainsi, le Commissariat cherche à obtenir de l’information qui :

s’appuie sur ses principes et ses positions établis et sur leur applicabilité;
permet de cerner les questions qui devraient être abordées dans l’éventuel code sur la protection des renseignements personnels des enfants;
permet au Commissariat de comprendre les véritables défis « sur le terrain » ou de trouver des solutions potentielles pour protéger les renseignements personnels des enfants.

Cette information servira à orienter l’élaboration d’un code sur la protection des renseignements personnels des enfants ainsi que la réalisation d’autres travaux qui seront entrepris par le Commissariat dans ce domaine.

Les questions contenues dans la consultation témoignent des domaines auxquels s’intéresse le Commissariat pour l’établissement d’un éventuel code sur la protection des renseignements personnels des enfants, mais on ne s’attend pas à ce que les parties prenantes répondent à toutes les questions.

Questions et domaines d’intérêt exploratoires

Application d’un code sur la protection des renseignements personnels des enfants

Les termes « enfant » et « jeune » sont utilisés dans les lois et les politiques, et les tranches d’âge associées à ces termes diffèrent tant à l’échelle mondiale et que nationale. Aux fins de la présente consultation, le terme « enfants » désigne les personnes de moins de 18 ans. Il convient toutefois de noter que le Commissariat a l’intention de consulter directement les jeunes pour connaître la terminologie qu’ils préfèrent.

D’autres juridictions, comme le Royaume-Uni, la Californie et l’Irlande, ont établi des codes ou des orientations sur la protection des renseignements personnels des enfants qui s’appliquent aux organisations qui fournissent des services ou des produits qui visent les enfants, qui leur sont destinés ou auxquels les enfants sont susceptibles d’avoir accès. ^{Footnote 6}

Selon le Commissariat, les organisations qui fournissent des produits ou des services destinés aux enfants dans le cadre de leurs activités commerciales seraient directement visées par la portée d’un code sur la protection des renseignements personnels des enfants. Toutefois, l’applicabilité d’un code sur la protection des renseignements personnels des enfants aux organisations qui offrent des services ciblant un large public, ou qui peuvent traiter de façon accessoire les renseignements des enfants, nécessite une attention et des éclaircissements supplémentaires. Le Commissariat est d’avis que les organisations devraient prendre des mesures raisonnables pour connaître leur public et adapter leurs pratiques en matière de données en conséquence lorsque ce public est composé d’enfants. Lorsque le public cible d’un produit ou d’un service n’est pas composé exclusivement d’enfants, les organisations devraient évaluer la probabilité que les enfants accèdent à leurs produits ou services et, si un nombre important d’utilisateurs sont des enfants, adapter leurs pratiques visant les données en conséquence.

Il peut y avoir différentes façons de réaliser cette évaluation et d’adapter les pratiques visant les données, et le Commissariat accueillerait les points de vue sur la façon dont cela peut être fait dans le respect de la vie privée. La consultation exploratoire du Commissariat sur le contrôle de l’âge a permis de donner un aperçu de la façon dont le contrôle de l’âge peut être une technique efficace pour favoriser la sécurité des enfants en ligne en les dirigeant vers une version d’un service qui utilise des pratiques en matière de données adaptées à leur tranche d’âge.

Domaines d’intérêt – Application d’un code sur la protection des renseignements personnels des enfants

Un code sur la protection des renseignements personnels des enfants devrait-il s’appliquer différemment aux sites destinés exclusivement aux enfants et à ceux destinés à un large public qui comprend des enfants? Quels éléments devraient être pris en compte pour établir la probabilité que les enfants accèdent à un service? Comment cette évaluation peut-elle être réalisée dans le respect de la vie privée?
Un code sur la protection des renseignements personnels des enfants devrait-il s’appliquer uniquement lorsqu’il y a présence de certains risques ou préjudices en raison de l’accès à un site ou de l’utilisation de celui-ci? Le cas échéant, quels devraient être les risques ou les préjudices qui permettent son application?
Comment devrait-on définir la notion de « nombre important d’enfants »? Ce critère devrait-il être modifié ou supprimé?

Permettre l’exercice du droit à la vie privée des enfants

La Convention relative aux droits de l’enfant des Nations Unies, que le Canada a ratifiée, est un traité international sur les droits de la personne qui définit les enfants comme des personnes âgées de moins de 18 ans et qui explique les droits de ceux-ci ainsi que les responsabilités des gouvernements. L’Observation générale n^o 25 (2021) sur les droits de l’enfant en relation avec l’environnement numérique des Nations Unies fournit une orientation sur les mesures visant à assurer la conformité avec la Convention relative aux droits de l’enfant des Nations Unies, notamment le fait que les pays qui ont ratifié la convention devraient veiller à ce que les fournisseurs de services numériques offrent des services adaptés au développement des capacités des enfants.

Le Commissariat estime qu’un code sur la protection des renseignements personnels des enfants devrait s’appliquer au traitement des renseignements personnels des personnes âgées de moins de 18 ans. Cependant, un code pourrait décrire comment les organisations devraient adapter leurs pratiques pour tenir compte du développement des capacités des enfants, ce qui permettrait de veiller à ce que leurs obligations en matière de protection de la vie privée soient respectées.

Au titre de la LPRPDE, pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués (principe 4.3.2 de l’annexe 1 de la LPRPDE). Ainsi, le consentement des mineurs peut être considéré comme valable uniquement si l’organisation a pris en compte leur degré de maturité et adapté en conséquence son processus de consentement.

Le Commissariat estime, selon ses Lignes directrices pour l’obtention d’un consentement valable, que la capacité de donner un consentement valable peut varier d’un enfant à l’autre, mais qu’il y a un âge minimum sous lequel les jeunes enfants ne sont probablement pas en mesure de comprendre pleinement les conséquences de leurs choix concernant la protection de la vie privée. Le Commissariat a adopté la position que, sauf en cas de circonstances exceptionnelles, pour toute personne âgée de moins de 13 ans, le consentement doit plutôt être donné par ses parents ou ses tuteurs.

Conformément au neuvième principe de l’annexe 1 de la LPRPDE, les personnes peuvent demander l’accès à leurs renseignements personnels et la correction de ceux-ci en cas d’erreur. La résolution sur l’intérêt supérieur des jeunes et son document accompagnateur reconnaissent que, conformément à l’intérêt supérieur de l’enfant et à son droit à la vie privée, l’accès par un parent ou un tuteur à ces renseignements peut être limité en fonction des particularités de chaque situation.

La résolution recommande que les organisations offrent des moyens simples pour que les enfants, le cas échéant, puissent corriger leurs renseignements personnels. Ces moyens comprennent le fait de fournir aux enfants des avis clairs et bien visibles pour les informer de leurs droits d’accès, de rectification et de recours, et de fournir les renseignements demandés sous une forme facilement compréhensible par l’enfant. La résolution recommande également que les organisations permettent la suppression ou la désindexation afin d’offrir aux jeunes des moyens pour corriger les erreurs qui ont été faites par rapport à leurs renseignements personnels ou de retirer les renseignements personnels qu’ils ont partagés, mais pour lesquels ils ont par la suite changé d’idée.

La résolution indique également que les organisations doivent confirmer l’identité des enfants (et de leur parent ou de leur tuteur, le cas échéant) qui cherchent à exercer leurs droits d’accès de rectification ou de recours. Si le demandeur est un parent ou un tuteur, les organisations doivent prendre des mesures pour confirmer la relation avec l’enfant en question.

Domaines d’intérêt – Permettre l’exercice du droit à la vie privée des enfants

Quelles mesures devraient être mises en place pour garantir qu’un enfant a la capacité de donner son consentement? Quand le consentement doit-il être obtenu auprès des parents ou des tuteurs plutôt qu’auprès d’un enfant? Comment les organisations peuvent-elles confirmer la relation entre un parent ou un tuteur et un enfant?
Comment une organisation devrait-elle présenter de l’information aux enfants de différentes tranches d’âge pour veiller à ce qu’ils comprennent de façon raisonnable la façon dont leurs renseignements sont recueillis, utilisés ou communiqués et à ce qu’ils puissent fournir un consentement valable pour ces pratiques?
Quels sont les exemples de moyens « simples » par lesquels les organisations pourraient permettre à un enfant, ou à son parent ou son tuteur, d’accéder aux renseignements personnels de l’enfant, de les corriger ou de les retirer facilement? Comment les organisations peuvent-elles traiter le retrait du consentement qu’un enfant, ou son parent ou son tuteur, a déjà fourni?

Concevoir les choses de manière à tenir compte des répercussions sur la vie privée des enfants et de l’intérêt supérieur de l’enfant

En raison de la vulnérabilité particulière des enfants dans le monde numérique, les risques de préjudice pour les enfants devraient être décelés et atténués le plus tôt possible afin de s’assurer que la protection de la vie privée et l’intérêt supérieur des enfants sont intégrés à la conception d’un produit ou d’un service. Les experts ont noté que les risques courants en ce qui a trait à la vie privée des jeunes peuvent comprendre 1) les risques liés au contenu, lorsque l’enfant interagit avec du contenu potentiellement préjudiciable ou est exposé à celui-ci, comme du contenu violent, sanglant, haineux ou extrémiste; 2) les risques liés aux contacts, lorsque l’enfant vit une interaction potentiellement nuisible avec un adulte ou est ciblé par contact dans le cadre d’une telle interaction; 3) les risques liés aux comportements, lorsque l’enfant est témoin d’un comportement préjudiciable, qu’il y participe ou qu’il est victime d’un tel comportement, comme l’intimidation, les activités hostiles entre pairs, le trollage, l’envoi de messages à caractère sexuel, les pressions exercées sur quelqu’un ou le harcèlement; et 4) les risques liés aux contrats, lorsque l’enfant est partie dans un contrat ou des intérêts commerciaux potentiellement préjudiciables (par exemple, le jeu, le marketing abusif ou inapproprié pour l’âge) ou qu’il est exploité par un tel contrat.^{Footnote 7}

Selon les codes et les orientations sur la protection des renseignements personnels des enfants d’autres juridictions, comme le Royaume-Uni, la Californie et l’Irlande, les organisations sont tenues d’évaluer les répercussions, notamment les risques de préjudice, dans les analyses d’impact relatives à la protection des données.^{Footnote 8}

Le Commissariat estime que la réalisation d’évaluations des risques est une partie importante de tout programme de gestion de la protection des renseignements personnels et que les organisations devraient élaborer des procédures pour réaliser des évaluations des facteurs relatifs à la vie privée (EFVP). Un certain nombre de recommandations sont présentées dans la résolution sur l’intérêt supérieur des jeunes. Celles-ci peuvent être intégrées aux EFVP et aux processus de conception pour les projets dans le cadre desquels des renseignements personnels d’enfants sont utilisés ou pour examiner les répercussions possibles sur les enfants, et ce, avant de traiter leurs renseignements personnels. Dans la résolution, il est recommandé que les processus traditionnels d’EFVP soient adaptés pour tenir compte des perspectives et des expériences des enfants (comme individus, mais aussi en tant que groupe), et ce, par l’adoption d’une approche intersectionnelle.^{Footnote 9} Pour ce faire, il faut consulter directement les enfants, et faire participer au processus d’évaluation les enfants, leurs parents ou tuteurs, les enseignants ou les défenseurs des intérêts des enfants.

Domaines d’intérêt – Concevoir les choses de manière à tenir compte des répercussions sur la vie privée des enfants et de l’intérêt supérieur de l’enfant

Comment la prise en compte de l’intérêt supérieur de l’enfant peut-elle être intégrée aux processus de conception et d’EFVP? Comment peut-on évaluer efficacement l’intérêt supérieur de l’enfant?
Quelles répercussions potentielles, notamment les préjudices propres aux enfants, devraient être prises en compte dans une EFVP?
Comment les organisations devraient-elles mobiliser activement les enfants, leurs parents ou tuteurs, les enseignants ou les défenseurs des intérêts des enfants dans le processus d’EFVP?

Garantir des pratiques appropriées pour les enfants en matière de transparence

La transparence est essentielle pour veiller à ce que les individus puissent prendre des décisions éclairées sur la collecte, l’utilisation et la communication de leurs renseignements personnels, et elle est d’autant plus importante dans le contexte de la communication avec des enfants, car ceux-ci pourraient ne pas comprendre pleinement les conséquences de leurs décisions.

Dans le Rapport sur le ratissage du Commissariat à la protection de la vie privée du Canada de 2024 : Mécanismes de conception trompeuse, le Commissariat a constaté que le type de mécanisme de conception trompeuse le plus courant était l’utilisation d’un langage complexe et déroutant dans les politiques de confidentialité. Dans 96 % des cas (par rapport à 89 % à l’échelle mondiale), les politiques de confidentialité des sites Web et applications étaient soit trop longues (plus de 3 000 mots), soit rédigées dans un langage technique et déroutant, ce qui les rendait difficiles à lire et à comprendre.

Les codes et les orientations sur la protection des renseignements personnels des enfants d’autres juridictions comportent des exigences en matière de transparence afin de veiller à ce que les organisations fournissent aux utilisateurs des conditions d’utilisation, des politiques et des normes communautaires d’une manière concise et bien visible, et dans un langage clair adapté à l’âge de l’enfant.^{Footnote 10}

Conformément au huitième principe de l’annexe 1 de la LPRPDE, les organisations sont tenues de rendre accessibles les renseignements concernant leurs politiques et leurs pratiques de diverses façons. Ces façons pourraient comprendre des méthodes interactives et dynamiques pour présenter l’information d’une manière qui convienne aux enfants.

Dans la résolution sur l’intérêt supérieur des jeunes et son document accompagnateur, un certain nombre de recommandations ont été formulées pour garantir un traitement transparent des renseignements personnels des enfants et on y énumère les catégories d’information qui devraient être fournies aux enfants.^{Footnote 11} Comme dans d’autres juridictions, on insiste dans la résolution sur le fait que les organisations doivent fournir des renseignements sur la protection des renseignements personnels aux enfants (et à leurs parents ou tuteurs, selon le cas) de manière concise, évidente et claire, et adaptée à la maturité du jeune concerné.

Dans la résolution, il est également recommandé aux organisations d’éviter de suivre les comportements des enfants en ligne et, lorsqu’un suivi est effectué, les organisations devraient le rendre évident pour l’enfant.

Les organisations doivent également informer les enfants de la personne à contacter s’ils ont des questions sur l’information qui leur est présentée et peuvent encourager les enfants à poser des questions à leur parent ou tuteur (ou à un adulte de confiance).

La résolution des commissaires fédéral, provinciaux et territoriaux de 2024, Repérer et atténuer les préjudices découlant des mécanismes de conception trompeuse relatifs à la protection de la vie privée (résolution sur les mécanismes de conception trompeuse), encourage également l’utilisation d’un langage clair et simple comme moyen de se conformer aux lois sur la protection des renseignements personnels et d’accroître la confiance des utilisateurs. La résolution recommande aussi d’utiliser un langage et des éléments de conception uniformes et neutres dans la présentation des options en matière de protection de la vie privée aux utilisateurs.

Domaines d’intérêt – Garantir des pratiques appropriées pour les enfants en matière de transparence

Quels renseignements une organisation devrait-elle fournir dans un énoncé de confidentialité concernant le traitement des renseignements personnels des enfants?
Comment l’information peut-elle être adaptée à différentes tranches d’âge et capacités pour veiller à ce que les enfants ou leurs parents ou tuteurs prennent des décisions éclairées en matière de protection de la vie privée? Y a-t-il des outils ou des approches qui peuvent être utilisés pour favoriser une telle prise de décisions? Quels sont les défis et les solutions possibles pour y parvenir réellement?
De quelle façon et dans quelles circonstances l’information doit-elle être présentée strictement aux parents ou aux tuteurs (ou aux adultes de confiance)? Comment l’information devrait-elle être présentée lorsqu’elle s’adresse à la fois aux parents ou aux tuteurs (ou aux adultes de confiance) et aux enfants?
Quelles ressources pourraient être fournies aux parents ou aux tuteurs (ou aux adultes de confiance) pour les aider à expliquer aux enfants les répercussions sur la vie privée que peuvent avoir les services ou les produits?

Protéger la vie privée par défaut

Le Commissariat est d’avis que la prévention de la collecte excessive de renseignements personnels sur les enfants et la réduction de la durée de leur conservation sont essentielles pour limiter l’exposition des organisations à des atteintes potentielles et la possibilité que les renseignements soient réutilisés à des fins autres que celles pour lesquelles ils ont été recueillis au départ.

Conformément au quatrième principe de l’annexe 1 de la LPRPDE, les organisations doivent limiter la collecte de renseignements personnels à ceux qui sont nécessaires aux fins déterminées par l’organisation. La Loi prévoit également que les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles pour lesquelles ils ont été recueillis, sauf si un consentement est fourni ou les fins sont autorisées par la loi.

De plus, protéger la vie privée par défaut consiste en partie à limiter la durée pendant laquelle les renseignements personnels sont conservés à ce qui est nécessaire pour réaliser les fins auxquelles ils ont été recueillis, comme l’exige le cinquième principe de l’annexe 1 de la LPRPDE. La nature particulièrement sensible des renseignements personnels des enfants devrait également être prise en considération par les organisations qui établissent des directives et mettent en œuvre des procédures sur la destruction des renseignements personnels des enfants.

Les codes sur la protection des renseignements personnels des enfants d’autres juridictions, comme le Royaume-Uni et la Californie, exigent que les organisations établissent des paramètres par défaut qui offrent un niveau élevé de protection de la vie privée, tenant ainsi compte de l’intérêt supérieur de l’enfant, à moins que l’organisation ne puisse démontrer qu’elle a une raison impérieuse pour avoir établi un autre paramètre par défaut.^{Footnote 12}

La résolution sur l’intérêt supérieur des jeunes et son document accompagnateur contiennent des pratiques recommandées aux organisations afin de s’assurer que les paramètres de confidentialité établis par défaut soient ceux qui respectent le plus la vie privée. Il s’agit notamment de faire en sorte que le contenu des enfants demeure privé par défaut, d’éviter que les publicités commerciales ciblent des enfants en fonction de leurs renseignements personnels, et de fournir des outils de protection de la vie privée et des mécanismes de consentement adaptés aux jeunes et à leur degré de maturité.

La résolution recommande également que les organisations désactivent par défaut le suivi des enfants, notamment la géolocalisation, sauf si :

il est démontrable qu’ils sont nécessaires au fonctionnement du produit ou du service;
il est effectué uniquement lorsque le produit ou le service est utilisé activement;
il respecte l’intérêt supérieur de l’enfant.

Si les données de géolocalisation d’un enfant sont recueillies, utilisées ou communiquées, il faut obtenir un consentement explicite.

Bien que la résolution présente la géolocalisation et le suivi comme des pratiques à éviter à moins d’avoir établi par défaut les paramètres élevés qui sont exigés, le Commissariat croit qu’il existe d’autres pratiques par rapport auxquelles ont devrait faire preuve du même degré de prudence. En particulier, le Commissariat a fait part d’inquiétudes à ses collègues du G7 en ce qui concerne les enfants et l’intelligence artificielle (IA), soulignant plus particulièrement que la collecte et l’utilisation des données personnelles des enfants pour entraîner des modèles d’IA peuvent entraîner des conséquences néfastes. Les experts ont également cerné les risques liés au développement et à l’utilisation de systèmes d’IA qui ont une incidence sur les enfants et ont fourni des orientations pour atténuer les risques à chaque étape du cycle de vie de l’IA.^{Footnote 13}

Domaines d’intérêt – Protéger la vie privée par défaut

Quelles mesures les organisations pourraient-elles prendre pour s’assurer que les renseignements personnels des enfants ne sont conservés que pendant la durée nécessaire (par exemple, raccourcir la période après laquelle les messages « expirent » automatiquement)? Y a-t-il des éléments précis qui devraient être pris en considération lors de l’établissement d’une politique de conservation ou d’élimination des renseignements des enfants?
Y a-t-il certaines pratiques qui devraient être évitées en raison de la difficulté à obtenir le consentement valable d’un enfant ou parce qu’elles constitueraient des pratiques inacceptables du traitement des données?
Y a-t-il des scénarios où il serait dans l’intérêt de l’enfant d’établir des paramètres par défaut qui sont moins restrictifs?

Éviter les pratiques trompeuses

Le rapport sur le ratissage du GPEN de 2024 a révélé qu’il y a « une très forte occurrence » des mécanismes de conception trompeuse sur les sites Web et les applications à l’échelle mondiale. Au Canada, les ratisseurs ont constaté que les mécanismes de conception trompeuse étaient tout aussi présents, et parfois même plus présents, sur les sites Web et applications destinés aux enfants qui ont été examinés lors du ratissage. Voici des exemples de mécanismes de conception trompeuse courants qui ont une incidence sur la vie privée :

Le langage obscur, l’utilisation de langage complexe et déroutant sur des sites Web ou des applications, souvent dans des politiques de confidentialité ou des modalités trop longues et rédigées dans un langage très technique;
L’interférence d’interface, une tactique consistant à utiliser des éléments de conception sur le site Web ou l’application pour influencer la perception et la compréhension par un utilisateur de ses options en matière de protection de la vie privée;
Le harcèlement, une tactique consistant à envoyer des invites répétées à l’utilisateur lui demandant de prendre des mesures précises susceptibles de porter atteinte à ses intérêts en matière de protection de la vie privée;
L’obstruction, une tactique consistant à ajouter à un site Web ou une application des étapes supplémentaires inutiles à suivre par les utilisateurs pour atteindre leurs objectifs en matière de protection de la vie privée;
L’action forcée, une tactique sur un site Web ou une application consistant à exiger des utilisateurs qu’ils communiquent plus de renseignements personnels que nécessaire pour accéder à un service, ou de les inciter à le faire par la ruse.

Les codes et les orientations sur la protection des renseignements personnels des enfants d’autres juridictions exigent que les organisations n’utilisent pas de techniques d’incitation pour amener les enfants à prendre de mauvaises décisions en matière de protection de la vie privée ou à fournir des renseignements personnels autres que ce à quoi on peut raisonnablement s’attendre.^{Footnote 14} Dans la norme du commissariat à l’information du Royaume-Uni sur les techniques d’incitation, il est également indiqué que les organisations devraient inciter les utilisateurs à prendre des décisions en faveur de la protection de la vie privée et on encourage les organisations à envisager de recourir à l’incitation pour favoriser la santé et le bien-être.

Le Commissariat et ses homologues provinciaux et territoriaux ont fourni des précisions sur les exigences et les attentes liées aux pratiques de conception; ces précisions ont été fournies dans la résolution sur l’intérêt supérieur des jeunes et la résolution subséquente sur les mécanismes de conception trompeuse. Elles comprennent le fait que les organisations ne doivent pas intégrer dans leurs produits et services une conception manipulatrice ou trompeuse ou des incitatifs comportementaux qui incite les enfants à prendre de mauvaises décisions en matière de protection de la vie privée, à adopter des comportements nuisibles, à fournir plus de renseignements que ce qui est nécessaire ou à désactiver des paramètres de protection de la vie privée. Les organisations devraient plutôt concevoir des produits et des services qui permettent aux enfants de faire des choix éclairés qui respectent la vie privée et prendre des mesures affirmées pour faire valoir leur droit à la vie privée par des moyens dynamiques, novateurs et créatifs. Elles devraient également mener régulièrement des essais visant l’architecture de conception et la convivialité de leur plateforme afin de détecter les pratiques de conception trompeuse et d’apporter des améliorations le cas échéant.

Domaines d’intérêt – Éviter les pratiques trompeuses

Au-delà des pratiques énoncées à la section 5 (Protéger la vie privée par défaut) et des approches mentionnées ci-dessus, comment les produits ou services peuvent-ils être conçus pour encourager les enfants à adopter des comportements leur permettant de protéger leur vie privée?
Quelles pratiques devraient être encouragées pour atténuer les comportements potentiellement nuisibles ou aider les enfants à prendre des décisions éclairées concernant leurs renseignements personnels?

Limiter de la communication des renseignements des enfants

Compte tenu de la nature particulièrement sensible des renseignements des enfants, il faut fixer des limites claires quant au partage et à l’utilisation des renseignements personnels des enfants, à moins qu’il y ait des exceptions prévues par la loi ou que la communication soit dans l’intérêt supérieur de l’enfant.^{Footnote 15}

Les codes et les orientations sur la protection des renseignements personnels des enfants d’autres juridictions, comme le Royaume-Uni et la Californie, imposent des restrictions quant à l’échange et à la communication des renseignements personnels des enfants, à moins qu’il n’y ait une raison impérieuse de le faire, tout en tenant compte de l’intérêt supérieur de l’enfant.^{Footnote 16}

De façon plus générale, et comme il a été mentionné dans d’autres sections du présent document, le consentement ne peut être valide que s’il est raisonnable de s’attendre à ce qu’un individu comprenne la nature, les fins et les conséquences de la communication (article 6.1 de la LPRPDE). Dans de tels cas, les organisations qui traitent des renseignements personnels d’enfants devront déterminer si l’enfant a la capacité de consentir et si le consentement doit être fourni par son parent ou son tuteur.

Toutefois, la LPRPDE reconnaît également qu’il existe des situations où il n’est pas nécessaire d’obtenir le consentement à la communication des renseignements personnels (paragraphe 7(3)). Notamment, le partage de renseignements avec une personne qui en a besoin en raison d’une urgence qui menace la vie, la santé ou la sécurité d’une personne représente une exception. Le Commissariat est d’avis que la protection de la vie privée ne devrait pas constituer un obstacle dans les cas où la vie d’une personne ou d’un enfant est menacée, et les exceptions au consentement pour les communications effectuées dans un tel contexte respectent l’intérêt supérieur de l’enfant.

La résolution sur l’intérêt supérieur des jeunes recommande aux organisations d’éviter de communiquer les renseignements des enfants à des tiers, sauf si elles ont obtenu un consentement valide et exprès, sont autorisées par la loi à le faire pour un motif valable qui est dans l’intérêt supérieur de l’enfant, ou ont une obligation légale de communiquer à un tiers les renseignements personnels de l’enfant qui est à risque de subir un préjudice ou qui a besoin de protection. Ils doivent expliquer les communications de renseignements personnels, y compris les types de renseignements partagés. Pour les tiers contractuels (comme les partenaires, les fournisseurs et les mandataires), les renseignements personnels ne doivent être communiqués qu’aux fins pour lesquelles ils ont été recueillis à l’origine. Finalement, les organisations devraient mettre en place des mesures techniques (ou autres) qui empêchent l’utilisation non autorisée des renseignements concernant les enfants, plutôt que de se fier uniquement à la surveillance et au respect par les tiers de leurs obligations contractuelles.

Domaines d’intérêt – Limiter la communication des renseignements personnels des enfants

Quels types de mesures techniques (ou autres) pourraient être utilisés pour prévenir l’utilisation non autorisée des renseignements des enfants?
Les enfants devraient-ils recevoir des avis lorsque leurs renseignements sont partagés? Y a-t-il des situations où ces avis sont plus importants?
Y a-t-il certains types de renseignements personnels qui ne devraient jamais être communiqués? Y a-t-il certaines fins auxquelles les renseignements personnels d’un enfant ne devraient jamais être communiqués?

Questions d’ordre général et prochaines étapes

Le Commissariat vous invite à lui transmettre vos commentaires sur les questions soulevées pour chaque domaine d’intérêt, mais aussi sur les questions d’ordre général suivantes :

Selon vous, quel rôle le Commissariat devrait-il jouer pour faire respecter l’intérêt supérieur de l’enfant?
Y a-t-il d’autres éléments relatifs à la protection de la vie privée qui devraient être pris en compte dans l’établissement d’un code sur la protection des renseignements personnels des enfants?
Y a-t-il des domaines pour lesquels Commissariat devrait fournir des conseils propres à un secteur ou à une industrie pour le traitement des renseignements personnels des enfants?
Quels défis ou solutions envisagez-vous dans l’application d’un code sur la protection des renseignements personnels des enfants?

À la suite de cette consultation, le Commissariat a l’intention de rédiger un code sur la protection des renseignements personnels des enfants qui énonce les attentes à l’égard des obligations des organisations de veiller à la protection des renseignements personnels des enfants et à ce que ceux-ci puissent exercer leur droit à la vie privée.

Pour formuler des commentaires

Vous avez jusqu’au 5 août 2025 à 23 h 59 (HAP) pour nous faire parvenir vos commentaires par courriel à l’adresse : cpvp-opcconsultation1@priv.gc.ca. De plus amples renseignements sur la présente consultation se trouvent dans le document intitulé Appel aux observations.

Notes de bas de page

Note de bas de page 1

Aux fins de la présente consultation, le terme « enfants » désigne les personnes de moins de 18 ans. Dans le cadre de travaux futurs, et dans la version finale du code sur la protection des renseignements personnels des enfants, le Commissariat à la protection de la vie privée du Canada pourrait établir certaines distinctions au sein de ce groupe.

Note de bas de page 1

Note de bas de page 2

Commissariat à l’information du Royaume-Uni. Children’s code strategy progress update – March 2025 (en anglais seulement), 3 mars 2025.

Note de bas de page 2

Note de bas de page 3

Voir à titre d’exemple celui de la Californie, du Maryland, des Pays-Bas et de la Suède (sites en anglais seulement), ainsi que celui de la France.

Note de bas de page 3

Note de bas de page 4

Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5 (article 24).

Note de bas de page 4

Note de bas de page 5

Mémoire du Commissariat à la protection de la vie privée du Canada sur le projet de loi C-27.

Note de bas de page 5

Note de bas de page 6

California Civil Code (Title 1.81.47. The California Age-Appropriate Design Code Act [en anglais seulement]) at § 1798.99.31(a); commissariat à l’information du Royaume-Uni. Age-Appropriate Design Code – “Likely to be accessed” guidance (en anglais seulement).
Commission de la protection des données de l’Irlande, Fundamentals for Child-Oriented Approach to Data Processing (en anglais seulement), p. 15, décembre 2021.

Note de bas de page 6

Note de bas de page 7

Livingstone et Stoilova, 2021 (en anglais seulement) et Siibak et Mascheroni, 2021 (en anglais seulement).

Note de bas de page 7

Note de bas de page 8

Commissariat à l’information du Royaume-Uni. Age-Appropriate Design Code – Standard 2: Data protection impact assessments (en anglais seulement). California Civil Code (Title 1.81.47. The California Age-Appropriate Design Code Act [en anglais seulement]) at § 1798.99.31(a)(1)(B).
Commission de la protection des données, Fundamentals for Child-Oriented Approach to Data Processing (en anglais seulement) – Fundamental 13: Do a DPIA (p. 32), décembre 2021.

Note de bas de page 8

Note de bas de page 9

En tenant compte des risques d’atteinte à la vie privée propres aux groupes d’enfants vulnérables comme ceux en situation de handicap, des Premières Nations et de la communauté 2ELGBTQI+.

Note de bas de page 9

Note de bas de page 10

Californiat Civil Code (Title 1.81.47. The California Age-Appropriate Design Code Act [en anglais seulement]) at §1798.99.31(a)(7); commissariat à l’information du Royaume-Uni. Age-Appropriate Design Code – Standard 4: Transparency (en anglais seulement); commission de la protection des données de l’Irlande, Fundamentals for a Child-Oriented Approach to Data Processing (en anglais seulement) – Fundamental 6: Child-Oriented Transparency (p. 7), décembre 2021.

Note de bas de page 10

Note de bas de page 11

Conformément à la résolution, les organisations doivent fournir aux enfants de l’information sur leur produit ou service, leurs politiques et pratiques en matière de confidentialité, les fins de la collecte des renseignements personnels, leurs contrôles de l’utilisateur et paramètres par défaut, leurs processus de plainte, les risques connexes pour la vie privée et tout autre sujet pertinent pour les enfants qui accèdent à leur produit ou service. Cette information pourrait notamment porter sur les efforts précis que l’organisation déploie pour protéger les enfants, comme en ce qui a trait à la modération du contenu ou aux préjudices potentiels.

Note de bas de page 11

Note de bas de page 12

California Civil Code (Title 1.81.47. The California Age-Appropriate Design Code Act [en anglais seulement]) at §1798.99.31(a)(7); commissariat à l’information du Royaume-Uni. Age-Appropriate Design Code – Standard 7: Default Settings (en anglais seulement).

Note de bas de page 12

Note de bas de page 13

5Rights. Children & AI Design Code: A protocol for the development and use of AI systems that impact children (en anglais seulement), mars 2025.

Note de bas de page 13

Note de bas de page 14

California Civil Code (Title 1.81.47. The California Age-Appropriate Design Code Act [en anglais seulement]) at §1798.99.31(b)(7); commissariat à l’information du Royaume-Uni, Age-Appropriate Design Code – Standard 13: Nudge Techniques (en anglais seulement); commission de la protection des données, Fundamentals for Child-Oriented Approach to Data Processing (en anglais seulement) – Fundamental 6: Child-Oriented Transparency (p. 7), décembre 2021.

Note de bas de page 14

Note de bas de page 15

La communication des renseignements personnels diffère de transfert aux fins de traitement aux termes de la LPRPDE. Voir le principe 4.1.3 de l’annexe 1 de la LPRPDE pour connaître les exigences liées aux transferts aux fins de traitement.

Note de bas de page 15

Note de bas de page 16

California Civil Code (Title 1.81.47. The California Age-Appropriate Design Code Act [en anglais seulement]) at §1798.99.31(b)(3); commissariat à l’information du Royaume-Uni. Age-Appropriate Design Code – Standard 9: Data sharing (en anglais seulement).

Note de bas de page 16

Date de modification :: 2025-08-20

Sélection de la langue

Recherche et menus

Recherche