Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Consultation concernant l’élaboration d’un code sur la protection des renseignements personnels des enfants – Ce que nous avons entendu

À propos du processus

De mai à août 2025, le Commissariat à la protection de la vie privée du Canada a mené une consultation exploratoire concernant l’élaboration d’un code sur la protection des renseignements personnels des enfants. Au cours de cette consultation, nous avons soulevé des questions concernant la façon dont les positions du Commissariat pourraient se matérialiser pour veiller à ce que les organisations du secteur privé mettent en œuvre des mesures de protection rigoureuses et des pratiques transparentes de traitement des renseignements personnels des enfants, et à ce qu’elles fournissent des outils efficaces aux enfants pour que ceux-ci puissent réellement exercer leur droit à la vie privée. Le Commissariat a invité les parties intéressées à lui faire part de leurs observations qui :

  • s’appuient sur les principes et les positions établis du Commissariat et sur leur applicabilité;
  • permettent de cerner les questions qui devraient être abordées dans l’éventuel code sur la protection des renseignements personnels des enfants;
  • permettent au Commissariat de comprendre les véritables défis « sur le terrain » ou de trouver des solutions potentielles pour protéger les renseignements personnels des enfants.

De plus, nous avons souligné que les réponses fournies par les parties prenantes serviraient également à orienter notre travail de défense du droit à la vie privée des enfants dans le cadre du Plan stratégique 2024-2027 du Commissariat.

Le Commissariat a reçu 37 réponses, dont une réponse conjointe représentant les points de vue de plus de 40 individus et organisations. Divers groupes de parties prenantes, notamment l’industrie, la société civile, le milieu universitaire, des groupes de réflexion sur les politiques, des professionnels du droit et des individus intéressés, ont fourni des réponses. Dans le cadre de la consultation, le Commissariat a également tenu quatre tables rondes, dont une avec des jeunes de partout au Canada.

Depuis le lancement de la consultation, les travaux se sont poursuivis en vue de mieux protéger les enfants en ligne, notamment en Indonésie, au Brésil et en Australie. Nous continuerons de surveiller les travaux de ce genre, alors que nous nous efforçons d’harmoniser notre code sur la protection des renseignements personnels des enfants avec d’autres normes internationales.

Nous voulons profiter de l’occasion pour remercier ceux et celles qui ont contribué à la consultation exploratoire.

Ce que nous avons entendu

Les répondants ont indiqué qu’il serait pertinent d’établir un code de pratique précisant les obligations en matière de traitement des renseignements personnels des enfants. Bien que la version actuelle de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) ne le permette pas, les répondants ont recommandé que le code soit exécutoire. De façon plus générale, ils ont formulé les recommandations suivantes concernant le code :

  • Il devrait être neutre sur le plan technologique. Les répondants se sont dits préoccupés par la capacité du code à suivre l’évolution des technologies et ont émis une mise en garde contre le fait d’y mentionner des technologies ou des méthodes de conception précises, car il serait difficile de les dissocier du code et cela nuirait au développement de solutions plus efficaces.
  • Il devrait être non normatif. Les répondants étaient d’avis que le code devrait être fondé sur des principes et fournir des exemples et des conseils pratiques pour en garantir la flexibilité et favoriser l’innovation responsable.
  • Il devrait imposer des exigences strictes en matière de protection de la vie privée dès la conception. Les répondants étaient favorables à l’intégration proactive de la protection de la vie privée dans la conception et les paramètres par défaut.

En général, les répondants croyaient fermement que les renseignements personnels des enfants devraient être reconnus comme étant sensibles. À ce titre, des mesures de protection spéciales, fondées sur la psychologie du développement et le respect des capacités évolutives des enfants, devraient être exigées.

De nombreux répondants voulaient que le code oriente également les pratiques du secteur public, notamment celles des institutions qui traitent régulièrement les renseignements personnels des enfants pour fournir des services juridiques, d’éducation, de soins de santé et de protection de l’enfance.

Les répondants ont fait valoir l’importance des divers mécanismes réglementaires, notamment la valeur de l’autoréglementation. Certains répondants craignaient que les exigences du code ne chevauchent des exigences existantes dans certains secteurs fortement réglementés. Par conséquent, les répondants ont recommandé que le code tienne compte des exigences actuelles et vienne les compléter.

Les répondants sont également d’avis que le code devrait s’harmoniser avec des codes et des documents d’orientation similaires publiés dans d’autres juridictions. Ils ont aussi recommandé que le code cadre avec les mesures de protection prévues par la Convention relative aux droits de l’enfant des Nations Unies et ont clarifié les commentaires générauxNote de bas de page 1. Les répondants croyaient qu’une harmonisation aiderait les organisations, surtout les petites entreprises, en assurant l’uniformité et la certitude réglementaire.

De nombreux répondants ont souligné que les enfants pourraient grandement bénéficier de modifications législatives apportées à la LPRPDE qui permettent de leur offrir des mesures de protection spéciales.

Les commentaires concernaient les cinq thèmes généraux suivants :

1 – Appliquer un code sur la protection des renseignements personnels des enfants : Les répondants étaient généralement favorables à l’établissement d’un code qui s’applique largement aux produits et services destinés aux enfants ou encore utilisés ou susceptibles d’être utilisés par eux. Ils étaient également d’avis que le code devrait suivre une approche fondée sur le risque pour veiller à ce qu’il soit appliqué avec flexibilité, de façon proportionnelle et de manière à respecter l’intérêt supérieur et les capacités évolutives de l’enfant.

2 – Permettre l’exercice du droit à la vie privée des enfants : Les répondants étaient d’avis que le code devrait reconnaître l’autonomie et les vulnérabilités des enfants. Ils estimaient que les mécanismes de consentement devraient tenir compte de la capacité des enfants, tout en respectant les seuils juridiques applicables. Ils étaient également d’accord avec les exigences relatives à la suppression.

3 – Concevoir les choses de manière à tenir compte des répercussions sur la vie privée des enfants et de l’intérêt supérieur de l’enfant : Les répondants étaient d’avis que les organisations devraient être tenues d’intégrer la protection de la vie privée dès la conception et de veiller à ce que l’intérêt supérieur de l’enfant soit un élément primordial à prendre en considération dans la conception et le déploiement des produits et services qu’utilisent les enfants. Selon eux, on pourrait y parvenir en menant un processus d’évaluation des facteurs relatifs à la vie privée (EFVP) qui tient compte des répercussions sur l’enfant et en utilisant d’autres outils, comme une évaluation des répercussions sur les droits des enfants (ERDE).

4 – Garantir des pratiques appropriées pour les enfants en matière de transparence : Les répondants étaient d’avis que les parents et les enfants devraient être en mesure de comprendre les avis de confidentialité. Ils ont fourni des exemples des façons d’y arriver et des types de renseignements devant être communiqués aux utilisateurs.

5 – Protéger la vie privée par défaut : Les répondants estimaient que les espaces numériques occupés par les enfants devraient être conçus de manière à respecter la vie privée, notamment en établissant des paramètres élevés par défaut, en limitant les données qui peuvent être transmises et en interdisant certaines pratiques inappropriées, comme l’utilisation de mécanismes de conception trompeuse. Les répondants ont proposé de nombreuses zones interdites et étaient très favorables à l’idée de limiter la collecte et la communication des renseignements sur l’emplacement et des données biométriques.

Ces thèmes sont présentés plus en détail ci-dessous :

Premier thème : Appliquer un code sur la protection des renseignements personnels des enfants

  1. Dans quelles circonstances le code devrait-il s’appliquer?

Les répondants étaient généralement favorables à l’établissement d’un code qui s’applique largement aux produits et services destinés aux enfants ou encore utilisés ou susceptibles d’être utilisés par eux, conformément aux pratiques exemplaires internationales.

Certains ont indiqué que le code devrait également s’appliquer aux produits et services susceptibles d’avoir une incidence sur les enfants, même si aucun enfant ne les utilise directement. Par exemple, il pourrait s’agir d’une application qu’utilise un fournisseur de services de garde pour transmettre des renseignements sur un enfant à son parent ou tuteur. On reconnaîtrait ainsi que les droits des enfants peuvent être touchés même si leurs renseignements personnels sont fournis par un autre individu. Les répondants ont également suggéré que le code devrait s’appliquer aux renseignements personnels concernant un enfant, même si ce dernier n’est plus un enfant.

Certains répondants étaient d’avis que le code devrait exclure explicitement les services que les enfants ne sont pas susceptibles d’utiliser, comme les services interentreprises. Les répondants estimaient également que, dans les cas où les organisations offrent des environnements en ligne distincts pour les adultes et les enfants, le code ne devrait pas s’appliquer à l’environnement destiné uniquement aux adultes. De même, les répondants considéraient que le code ne devrait pas s’appliquer aux appareils appartenant à des adultes ou aux comptes gérés par ces derniers.

Certains répondants étaient d’avis qu’il devrait y avoir une approche à plusieurs niveaux imposant des exigences différentes en matière de protection de la vie privée pour les produits et services destinés à des publics mixtes et ceux destinés uniquement aux enfants. Cependant, d’autres répondants, dont des jeunes, estimaient que les droits des enfants devraient être protégés chaque fois que ces derniers interagissent avec un produit ou un service, même s’ils ne sont pas le public cible. Dans cette optique, quelques répondants croyaient que certaines obligations, comme le droit de supprimer les renseignements personnels d’un enfant, devraient toujours s’appliquer.

Perspectives des jeunes

Les jeunes répondants ont indiqué qu’ils accèdent fréquemment à des sites qui ne leur sont pas destinés.

[Traduction] Il n’est pas rare que les gens mentent sur leur âge, mais je comprends pourquoi les gens de mon âge le font. Souvent, les jeunes ressentent une pression sociale et veulent avoir accès aux mêmes choses que leurs amis. Ils essaient de faire partie du monde dans lequel se trouvent leurs camarades.

Les jeunes répondants ont affirmé vouloir que tous les sites qu’ils consultent décrivent de manière transparente leurs pratiques en matière de données, disposent de paramètres de confidentialité élevés par défaut et soient conçus dans leur intérêt.

Malgré les différences entre les approches, les répondants étaient tous généralement favorables à l’idée que le code s’applique à tous les produits et services que les enfants sont susceptibles d’utiliser, et que le Commissariat élabore des orientations sur la façon d’évaluer la probabilité qu’ils les utilisent. Les répondants ont suggéré que le Commissariat dresse une liste non exhaustive de facteurs à prendre en considération, conformément aux directives de l’Information Commissioner’s Office (commissariat à l’information) du Royaume-UniNote de bas de page 2 et à l’approche de la Federal Trade Commission (commission fédérale du commerce) des États-Unis, qui prend en compte l’ensemble des circonstancesNote de bas de page 3. Par exemple, les répondants ont recommandé que les organisations évaluent notamment les facteurs suivants :

  • Si le contenu, le langage ou les fonctionnalités du site s’adressent aux enfants ou sont susceptibles de leur plaire;
  • La nature du produit ou du service;
  • La façon dont le produit ou le service est présenté et annoncé;
  • Si les données démographiques du produit/service ou d’un produit/service similaire suggèrent qu’il est susceptible d’être utilisé par des enfants;
  • Si des contrôles de l’âge efficaces sont en place.

Les répondants ont fait part des défis techniques et liés à la protection de la vie privée que posent les démarches visant à déterminer si un produit ou un service est susceptible d’être utilisé par des enfants, notamment quand et comment recueillir des renseignements personnels pour prendre une décision, sans en recueillir trop. Certains ont suggéré la possibilité de déterminer si un produit ou un service est susceptible d’être utilisé par des enfants à l’aide de méthodes simples et respectueuses de la vie privée, comme l’utilisation de données agrégées et anonymisées, de déclarations volontaires avec la participation des parents et d’autres méthodes de contrôle de l’âgeNote de bas de page 4. Les répondants étaient d’avis que les technologies et les pratiques commerciales émergentes pourraient contribuer à améliorer la quantité de données probantes disponibles et leur qualité.

De nombreux répondants n’étaient pas favorables à ce que le code s’applique uniquement lorsqu’un nombre important d’enfants utilisent un produit ou un service. Ils ont soutenu que cette approche pourrait faire en sorte que les organisations recueillent plus de renseignements personnels qu’il n’est nécessaire pour prendre une décision, ne tiennent pas compte des risques liés à l’utilisation du produit ou du service et puissent se soustraire à leurs obligations si elles interdisent aux utilisateurs n’ayant pas atteint un certain âge d’utiliser leur produit ou service ou commencent à présenter du contenu destiné aux adultes. Les répondants ont également fait valoir qu’en plus du nombre d’enfants susceptibles d’être touchés, l’évaluation de l’importance devrait prendre en considération les répercussions sur leurs droits, leurs intérêts et leur bien-être. D’autres répondants estimaient toutefois que le fait d’établir le nombre d’enfants utilisateurs pourrait aider les organisations à déterminer si leur produit ou service est destiné à un public mixte, ce qui aurait une incidence sur la façon dont les exigences du code s’appliquent.

  1. Comment le code devrait-il s’appliquer?

Les répondants étaient favorables à l’idée que le code soit appliqué d’une manière qui permet d’adapter les exigences aux risques pour la vie privée des enfants, afin de garantir une approche flexible, contextuelle et proportionnelle. Par exemple, il faudrait exiger que les produits et services manifestement préjudiciables aux enfants respectent des règles plus strictes et assujettir à des obligations plus générales ceux dont le contenu semble inoffensif. Les produits et services destinés à un public mixte pourraient se situer entre les deux.

En général, les répondants étaient d’avis que l’approche devrait être :

  • Flexible : Une approche fondée sur le risque pourrait faire en sorte que le code soit évolutif, permettant aux organisations de s’adapter à mesure que les technologies et les pratiques en matière de données évoluent. Cependant, d’autres répondants craignaient que la flexibilité entraîne des conséquences imprévues, comme permettre aux organisations d’investir moins dans la protection de la vie privée et de recueillir plus de données.
  • Contextuelle : Une approche fondée sur le risque pourrait tenir compte de contextes précis, comme l’adoption d’une pratique portant atteinte à la vie privée lorsque cela est dans l’intérêt de l’enfant, notamment pour détecter ou prévenir la fraude, ou l’utilisation de données de géolocalisation en cas d’urgence.
  • Proportionnelle : Les répondants ont fait valoir que l’adoption d’une approche fondée sur le risque qui tient compte de la capacité des enfants permettrait d’éviter que le code limite injustement l’accès des enfants à des services utiles ou compromette leur intérêt supérieur.

Certains répondants ont exprimé des préoccupations sur des aspects de la mise en œuvre d’une approche fondée sur le risque, notamment le fait que la qualité des évaluations des risques peut varier d’une organisation à l’autre, ce qui fait en sorte que le code ne serait pas appliqué de manière uniforme, et que des risques peuvent ne pas être apparents dès le départ.

Deuxième thème : Permettre l’exercice du droit à la vie privée des enfants

Selon les répondants, pour que les enfants puissent exercer leurs droits, le code devrait :

  • reconnaître l’autonomie, la capacité d’agir, la vulnérabilité et le besoin de protection des enfants;
  • passer des modèles stricts fondés sur l’âge à des évaluations contextuelles de la capacité axées sur la recherche et les données probantes, tout en respectant les seuils juridiques applicables;
  • faire valoir les droits des enfants et faire la promotion des outils qui aident les enfants à apprendre, à se développer et à participer à l’économie mondiale.

Les répondants ont recommandé que le code maintienne une approche flexible en matière de consentement qui respecte l’intérêt supérieur de l’enfant, l’évolution de ses capacités et son autonomie, comme le prévoit la Convention relative aux droits de l’enfant des Nations Unies. Ainsi, les enfants pourraient acquérir de l’indépendance à mesure qu’ils gagnent en capacité. Les répondants ont affirmé que le document d’orientation élaboré par l’UNICEF pourrait fournir des renseignements utiles sur la manière d’évaluer la capacité et de respecter l’évolution des capacités des enfantsNote de bas de page 5.

Selon les répondants, les organisations qui ont besoin du consentement des enfants ou de leurs parents ou tuteurs devraient toujours chercher à obtenir de leur part un consentement actif et explicite. Les répondants voulaient également que le code précise que le consentement ne peut être obtenu au moyen de pratiques de conception trompeuse ou en manipulant la vulnérabilité des enfants et que les organisations devraient être tenues de communiquer de l’information et de concevoir des produits en gardant à l’esprit l’intérêt supérieur de l’enfant. Les répondants ont suggéré de présenter aux utilisateurs des options qui regroupent des objectifs comportant des risques ou des pratiques similaires pour éviter de surcharger les enfants.

Conformément aux pratiques exemplaires internationales, les répondants étaient favorables à l’idée de mettre en place divers processus d’obtention du consentement pour les différents groupes d’âge, en fonction du risque de préjudice. La plupart des répondants étaient d’accord avec la position actuelle du Commissariat selon laquelle, sauf dans des circonstances exceptionnelles, les enfants âgés de moins de 13 ans ne sont pas en mesure de fournir un consentement éclairé pour la collecte, l’utilisation et la communication de renseignements personnels et il faut donc demander le consentement d’un parent ou d’un tuteur. Les répondants estimaient que tout seuil d’âge imposé par le code devrait tenir compte des approches internationales de mise en œuvre des droits de l’enfant pendant la petite enfance et l’adolescenceNote de bas de page 6. On a proposé des approches d’obtention du consentement pour des groupes d’âge précis.

Lorsqu’il est question d’obtenir le consentement parental, les répondants estimaient que le processus devrait :

  • permettre aux parents et aux tuteurs de gérer les interactions et l’exposition de leurs enfants dans l’environnement numérique, tout en respectant l’évolution de leurs capacités et leur autonomie;
  • permettre aux enfants d’obtenir des mesures supplémentaires de protection de la vie privée (ne pas les en empêcher);
  • tenir compte de la diversité des enfants et des relations familiales.

Les répondants ont recommandé que le code appuie l’adoption de méthodes contextuelles et faciles à utiliser pour obtenir le consentement parental, notamment l’utilisation de comptes liés et de confirmations dans l’application, plutôt que des méthodes pouvant porter atteinte à la vie privée, comme la vérification des certificats de naissance ou des preuves de tutelle, sauf si nécessaire. Cependant, certains répondants ont souligné que les méthodes comme la déclaration volontaire peuvent être facilement contournées, tandis que le recours à une authentification unique pour tous les fournisseurs et à des identifiants matériels, comme une carte de crédit, une carte de débit ou une pièce d’identité délivrée par le gouvernement, est plus fiable. Les répondants étaient favorables à l’utilisation de tableaux de bord sur la protection de la vie privée et de contrôles parentaux pour que les parents puissent facilement offrir à leur enfant des expériences adaptées à son âge, gérer ses renseignements personnels et exercer son droit à la vie privée. Ils étaient également favorables à l’élaboration d’un bac à sable réglementaire pour mettre à l’essai des modèles d’obtention de consentement qui respectent la vie privée.

Certains répondants se sont dits préoccupés par l’utilisation du consentement parental, affirmant que les droits exercés par les parents et les tuteurs ne devraient pas être absolus et qu’il faut trouver un équilibre entre leur intérêt et celui de l’enfant. De plus, les répondants ont fait remarquer que les parents ou les tuteurs ne sont pas toujours disponibles pour donner leur consentement, ce qui peut retarder ou restreindre l’accès d’un enfant à un produit ou à un service. Cette situation peut créer des obstacles, surtout pour les enfants marginalisés et à risque. Les répondants ont également indiqué que, dans certaines circonstances, l’obtention du consentement parental peut ne pas être pratique, appropriée ou sécuritaire, notamment lorsque les enfants subissant de la maltraitance par un membre de la famille demandent de l’aide. Ils craignaient aussi que la vérification de la relation avec les parents ou tuteurs exige que ces derniers fournissent plus de renseignements personnels que nécessaire.

En outre, les répondants estimaient que le consentement et la transparence seuls n’étaient pas suffisants pour protéger la vie privée des enfants, car ils nécessitent que l’enfant consulte des renseignements techniques difficiles à comprendre sur des pratiques complexes en matière de données. Cette situation est particulièrement préoccupante, car les enfants pourraient ne pas être en mesure de comprendre les risques pour la vie privée ou les conséquences à long terme. De plus, les enfants pourraient être plus susceptibles de ressentir une lassitude du consentement, de manquer de connaissances ou de ne pas comprendre les pratiques opaques des entreprises en matière de données. Les répondants estimaient donc qu’au lieu de simplement obtenir le consentement, il pourrait être plus efficace d’adopter des approches proactives, comme la création d’espaces plus sûrs pour les enfants en utilisant des paramètres élevés par défaut, en intégrant la protection de la vie privée dès la conception et en minimisant les données.

Les répondants étaient également favorables à l’idée que le code précise que les enfants disposent d’un droit à la désindexation ou au déréférencement, et que les parents ou tuteurs pourraient, dans certaines circonstances, exercer ce droit en leur nom. Ils estimaient que les enfants devraient avoir un droit clair de demander la suppression de leurs renseignements, qui serait semblable à celui prévu par l’Union européenne et le Québec, et qui comprendrait une obligation pour les organisations de signaler les demandes aux tiers et prévoirait des exceptions valides pour des raisons juridiques ou de sécurité. Les répondants étaient d’avis que le code devrait accorder aux enfants un droit de contester les renseignements personnels les concernant qui ont été fournis à une organisation par quelqu’un d’autre. Le droit tiendrait compte de leur capacité à retirer leur consentement et à contester l’exactitude de ces renseignements.

Perspectives des jeunes

Les jeunes répondants ont indiqué que les enfants doivent être en mesure de comprendre les conséquences de leurs décisions en matière de protection de la vie privée pour pouvoir donner un consentement éclairé, et que lorsqu’ils ont des questions, les enfants devraient pouvoir consulter leurs parents ou tuteurs pour obtenir des conseils et une orientation.

[Traduction] Pour ma part, je crois fermement que, peu importe son âge, si une personne ne peut pas comprendre les conséquences des médias sociaux, elle ne devrait pas pouvoir les utiliser sans le consentement d’un parent. Il faut toujours avoir des discussions, qui varieront en fonction de l’âge des jeunes. Les connaissances d’un jeune de 12 ans sont différentes de celle d’un jeune de 17 ans. Les jeunes doivent avoir une idée de ce qui est sécuritaire et de ce qui ne l’est pas. Ils doivent discuter avec leurs parents s’ils ont des problèmes.

Les jeunes répondants voulaient que les parents et les tuteurs jouent un rôle, mais que celui-ci soit fondé sur la capacité des jeunes et le contenu. Selon eux, les parents et les tuteurs devraient être disposés à offrir aux jeunes des conseils sur les paramètres, mais ne devraient pas nécessairement toujours surveiller leurs activités, surtout à mesure que les jeunes vieillissent. Les jeunes répondants ont affirmé vouloir être en mesure de prendre des décisions concernant des activités à faible risque, comme le choix d’un nom d’utilisateur ou d’un avatar.

Troisième thème : Concevoir les choses de manière à tenir compte des répercussions sur la vie privée des enfants et de l’intérêt supérieur de l’enfant

Les répondants estimaient que le code devrait veiller à ce que l’intérêt supérieur de l’enfant soit un élément primordial à prendre en considération dans la conception, le développement et le déploiement des produits et services que les enfants sont susceptibles d’utiliser. Ils croyaient également que les organisations devraient être tenues d’intégrer la protection de la vie privée dès la conception de leurs produits et services. Les répondants conviennent qu’on peut y parvenir en suivant un processus d’EFVP visant à examiner les répercussions qu’un produit ou un service peut avoir sur les enfants.

Les répondants estimaient que le code devrait exiger que des EFVP soient menées pour les produits et services ciblant les enfants et pour ceux destinés à des publics mixtes et comportant un risque de préjudice élevé. Ils ont fourni des commentaires sur la façon de mettre en œuvre les EFVP au titre du code. Selon les répondants, les organisations devraient notamment :

  • réaliser des EFVP qui tiennent compte du niveau de risque, ainsi que de la gravité et de l’ampleur du préjudice potentiel, et qui veillent à ce que les organisations s’engagent à atténuer les préjudices potentiels;
  • consigner leurs stratégies d’atténuation et leurs plans de mise en œuvre dans une EFVP au titre du code pour leur permettre de démontrer leur responsabilité, tout en respectant la nécessité de protéger les renseignements commerciaux confidentiels;
  • ne pas déployer de fonctionnalités intrinsèquement à haut risque s’il existe d’autres solutions moins nuisibles et être encouragées à évaluer et à atténuer les risques pour la vie privée tôt dans le processus de conception;
  • veiller à ce que leurs processus d’EFVP soient fondés sur des recherches sur le développement de l’enfant et des consultations auprès d’un échantillon diversifié de parties prenantes, notamment des jeunes, des parents, des enseignants, des défenseurs des droits, des spécialistes de la pédiatrie, le gouvernement et l’industrie, en accordant une attention particulière aux populations vulnérables;
  • mettre à jour les EFVP régulièrement, surtout avant d’apporter des changements importants aux fonctionnalités.

Les répondants étaient aussi d’avis que les EFVP pourraient orienter la conception et les paramètres par défaut des produits et services, ainsi que les cadres de consentement et de transparence des organisations. Ils estimaient qu’au titre du code, une EFVP aiderait les organisations à :

  • démontrer, en fournissant des éléments de preuve à l’appui, pourquoi et comment la collecte, l’utilisation ou la communication des renseignements personnels des enfants contribue au bien-être des enfants, au lieu de servir des intérêts commerciaux;
  • tenir compte de manière proactive de l’intérêt supérieur de l’enfant et de ses besoins de développement dans le processus de conception.

De plus, les répondants étaient d’avis qu’une taxonomie des risques, élaborée par le Commissariat en collaboration avec les parties prenantes concernées, devrait clarifier les obligations auxquelles sont assujettis les secteurs complexes à haut risque où les risques sont connus. Une taxonomie aiderait donc les organisations à réaliser une EFVP. Ils étaient d’avis que la taxonomie des risques devrait trouver un équilibre entre le risque de préjudice et l’intérêt supérieur de l’enfant et continuer de tenir compte des pratiques et des technologies émergentes.

Les répondants ont fourni de nombreux exemples de fonctionnalités pouvant comporter un risque de préjudice, notamment :

  • les systèmes entraînés à l’aide de données sur les enfants qui formulent des recommandations en fonction des comportements;
  • une incitation à la communication excessive par l’algorithme (c’est-à-dire par des chaînes et une fausse affection);
  • les agents d’intelligence artificielle qui interagissent avec des mineurs;
  • les paramètres par défaut qui activent la géolocalisation, le profilage biométrique ou les modèles de déduction des émotions;
  • des caractéristiques de conception qui créent une dépendance, comme le défilement infini ou la lecture automatique, qui visent à maximiser le temps d’engagement;
  • les mécanismes de pression sociale (c’est-à-dire le nombre d’abonnés visible au public, les indicateurs « vu », etc.);
  • des fonctionnalités de ludification qui récompensent la communication des données;
  • des techniques de marketing inappropriées pour l’âge;
  • la collecte de renseignements personnels inutiles à des fins publicitaires;
  • la manipulation de photos et les technologies d’hypertrucage. Le Commissariat a appris que ces technologies peuvent présenter des risques graves pour les filles autochtones, qui font face à de la violence, à de l’hypersexualisation et à de la traite de personnes à des taux disproportionnés.

Les répondants étaient d’avis que les organisations devraient, pour cerner les préjudices, être encouragées à mettre en œuvre les pratiques suivantes :

  • Surveiller les produits et services, notamment à l’aide de sondages auprès des enfants utilisateurs et d’analyses comportementales qui examinent les tendances liées à l’utilisation;
  • Rester au fait des nouvelles recherches sur le développement de l’enfant et les préjudices numériques;
  • Établir des partenariats avec des organismes de santé mentale et des organisations dirigées par des jeunes pour cerner les préjudices.

De nombreux répondants ont souligné l’importance de reconnaître que le droit à la vie privée des enfants est lié à d’autres droits et que l’intérêt supérieur de l’enfant doit l’emporter sur les intérêts commerciaux. Pour aider les organisations à concrétiser cette mesure, les répondants ont recommandé qu’elles réalisent une évaluation des répercussions sur les droits des enfants (ERDE) qui tiendrait compte de l’incidence générale sur les droits des enfants, ainsi que d’éléments contextuels, comme le risque de préjudice, l’âge et la nature du produit ou du service, et qu’elles suivent les principes de conception axée sur les droits des enfants.

Perspectives des jeunes

Les jeunes répondants ont indiqué vouloir participer à l’élaboration et à la conception des produits et services et étaient d’avis que leur participation pourrait conduire à de meilleurs résultats.

[Traduction] Parlez-nous et demandez-nous notre avis. Demandez à des jeunes de mettre à l’essai la version bêta de vos sites. Vérifiez que vos sites sont appropriés pour les enfants. C’est en menant des sondages et des consultations et en ayant des discussions plus ouvertes que nous pourrons trouver de meilleures solutions.

Le Commissariat a compris que les jeunes veulent que les organisations aient leur intérêt supérieur à l’esprit au moment de concevoir des produits et des services, sensibilisent les enfants aux risques et leur fournissent des outils qui les protègent.

Quatrième thème : Garantir des pratiques appropriées pour les enfants en matière de transparence

Les répondants ont souligné que les enfants et les adultes sont souvent incapables de comprendre les conditions d’utilisation opaques présentées par les organisations. Ils estimaient que les organisations devraient s’efforcer de présenter l’information de manière à aider les personnes, y compris les enfants, à faire des choix éclairés. Les répondants ont fait part d’études indiquant que les enfants s’attendent à ce que les organisations adoptent des pratiques qui assurent une plus grande transparence dans le cadre desquelles elles leur fournissent clairement et au moment opportun de l’information pertinente sur la manière dont leurs renseignements sont utilisés et sur les répercussions qui en découlent. Ils étaient d’avis que les organisations devraient aider les enfants à renforcer leur capacité à comprendre la protection de la vie privée, plutôt que s’attendre à ce qu’ils prennent des décisions éclairées concernant leur vie privée dans des situations stressantes.

Les répondants ont précisément suggéré que, dans les avis de confidentialité, les organisations indiquent si elles utilisent l’intelligence artificielle et expliquent comment les décisions automatisées sont prises. De plus, le Commissariat a compris que les organisations devraient faire preuve de transparence économique en cas de monétisation des renseignements personnels des utilisateurs.

Les répondants étaient d’avis que les exigences de transparence énoncées dans le code devraient pouvoir être adaptées à la taille des organisations et devraient cadrer avec les approches et normes internationales en matière de conception adaptée à l’âge. Plus précisément, ils estimaient que les conditions d’utilisation publiées devraient présenter les caractéristiques suivantes :

  • Langage : Utilisation d’un langage clair et simple que les plus jeunes utilisateurs potentiels peuvent comprendre. Les organisations doivent veiller à ce que les utilisateurs aient compris les éléments clés des conditions d’utilisation.
  • Longueur : Publication d’un texte concis et complet, qui est divisé en sections claires et courtes avec des titres et des listes à puces appropriés pour faciliter la compréhension.
  • Format : Présentation dans divers formats selon différentes tranches d’âge. Les formats pourraient être rendus efficaces grâce à une superposition interactive, à des jeux-questionnaires et à des modules ludiques. Les formats audiovisuels peuvent être adaptés au média, notamment les icônes, les dessins, les images, les illustrations, les aides visuelles codées par couleur, les infographies et les vidéos. La police des avis écrits devrait être facile à lire.
  • Navigation : Publication d’un texte dont les éléments sont structurés, bien visibles et faciles à trouver et à rechercher pour fournir aux enfants les renseignements dont ils ont besoin ou qu’ils veulent savoir. Pour ce faire, on peut adopter des paramètres simplifiés qui mettent en évidence les renseignements importants et ajouter des hyperliens vers d’autres renseignements et modules.
  • Moment : Présentation des éléments régulièrement ainsi qu’à des moments opportuns du parcours de l’utilisateur. Toutefois, les avis juste-à-temps ne devraient pas être obligatoires chaque fois que ces données sont communiquées, surtout si la communication est nécessaire à la prestation de services essentiels.
  • Inclusion : Publication d’un texte rédigé et présenté d’une manière accessible qui tient compte des besoins de divers groupes d’enfants. Il ne faut pas présumer que des adultes aideront les enfants. Les conditions doivent être lisibles par des enfants de différents âges et niveaux de maturité et d’alphabétisation. Le langage lié à des concepts comme la « propriété », la « garde » et le « contrôle » doit être respectueux, car ce ne sont pas des termes neutres pour les peuples autochtones.

Les répondants étaient d’avis que l’information relative à la transparence devrait être présentée conjointement aux enfants et à leurs parents et tuteurs pour susciter une discussion sur les risques pour la vie privée. Selon eux, lorsque l’information est présentée séparément, elle doit être cohérente et complémentaire. Les répondants ont suggéré que les parents et les tuteurs devraient disposer d’outils qui les aident à comprendre et à gérer les paramètres de confidentialité des produits et services qu’utilisent leurs enfants, comme des tableaux de bord pour les paramètres familiaux et des contrôles parentaux. Les répondants étaient d’avis que les organisations devraient fournir des ressources, comme des lignes directrices destinées aux parents, lorsque les parents ou les tuteurs inscrivent leur enfant à un produit ou un service. Ces ressources pourraient être complétées par les ressources du Commissariat à l’intention des parents ou des guides externes adaptés à l’âge qui expliquent les risques pour la vie privée et en facilitent l’évaluation.

Les répondants ont recommandé que les organisations consultent un échantillon représentatif d’enfants et mènent des recherches externes pour vérifier que leurs pratiques de transparence sont adaptées à l’âge de leur public. Ils ont également recommandé que le personnel reçoive des formations pour apprendre à communiquer efficacement avec divers publics, notamment les enfants.

Perspectives des jeunes

Les jeunes répondants croyaient que les politiques de confidentialité étaient trop complexes et trop longues.

[Traduction] Les politiques doivent être directes et concises. Retirez le jargon juridique. Les jeunes n’ont pas beaucoup d’expérience; l’ajout de symboles pourrait les aider à comprendre. Rendez-les interactives!

Le Commissariat a compris que les jeunes veulent de l’information présentée simplement et visuellement qui met en évidence les éléments importants.

Cinquième thème : Protéger la vie privée par défaut

Les répondants étaient d’avis que les espaces auxquels les enfants ont accès devraient être conçus de manière à respecter leur vie privée, notamment en établissant des paramètres de confidentialité élevés par défaut, en limitant les données pouvant être communiquées et la durée de conservation des données et en interdisant certaines pratiques inappropriées, comme la conception trompeuse.

  1. Paramètres élevés par défaut

Les répondants étaient favorables à l’idée que le code restreigne la communication de renseignements et oblige les organisations à adopter des paramètres élevés par défaut, à moins qu’il ne soit dans l’intérêt supérieur de l’enfant de procéder autrement. Selon eux, le fait d’exiger l’intégration de la protection de la vie privée dès la conception fournirait une protection de base solide, allégerait certaines difficultés liées à l’obtention et à la gestion du consentement éclairé, transférerait le fardeau des enfants et des parents vers les organisations, et garantirait que les renseignements personnels des enfants sont protégés, peu importe la mesure dans laquelle les enfants comprennent les pratiques en matière de données.

Cependant, les répondants étaient d’avis qu’une approche flexible était préférable. Par exemple, ils étaient favorables à l’adoption de paramètres élevés par défaut qui limiteraient l’utilisation des données de localisation et des données biométriques, à quelques exceptions près, s’il y a lieu. Ils estimaient que les paramètres par défaut devraient tenir compte de l’intérêt supérieur de l’enfant, des risques de préjudice et de la mesure dans laquelle les renseignements personnels sont nécessaires pour assurer le fonctionnement de base du produit ou service. Ils ont également affirmé que la monétisation des renseignements personnels des enfants ne devrait pas être considérée comme une fonction essentielle d’un produit ou d’un service.

De plus, les répondants estimaient que les paramètres élevés par défaut pourraient ne pas être suffisants si, par exemple, des pratiques de conception trompeuse sont utilisées pour inciter les utilisateurs à les désactiver ou à les modifier. Les répondants pensaient également que les utilisateurs ne devraient pas pouvoir refuser les utilisations de leurs renseignements lorsqu’elles sont pertinentes (c’est-à-dire détection et prévention de la fraude) et qu’un refus aurait une incidence négative importante. On a exprimé des préoccupations selon lesquelles le fait d’exiger des paramètres élevés par défaut pourrait nuire au droit d’un enfant d’accéder à des sites et à des services. Par exemple, des mineurs matures pourraient ne pas avoir accès à des sites ou des services en raison de leur âge, alors qu’ils en ont la capacité. Par conséquent, le code devrait permettre aux organisations de contester les limites en fournissant des éléments de preuve appropriés.

  1. Limitation de la communication

Les répondants étaient d’avis que les organisations devraient généralement avoir recours à des mesures contractuelles et techniques pour limiter l’utilisation et la communication des renseignements personnels des enfants par des tiers. Selon eux, les exigences en matière de communication devraient être précises, contextualisées de manière appropriée et accompagnées d’outils qui aident les parents ou les tuteurs à prendre la décision de consentir aux communications.

Pour réduire la probabilité qu’une atteinte se produise et limiter la possibilité que les données des enfants soient utilisées à des fins autres que celles pour lesquelles elles ont été recueillies, les répondants ont recommandé que les renseignements ne soient conservés que le temps raisonnable nécessaire. Ils étaient d’avis que les obligations de conservation ne devraient pas être trop normatives et qu’elles devraient tenir compte de la sensibilité des renseignements et des risques liés à une conservation prolongée.

  1. Zones interdites

Les répondants étaient d’avis que le code devrait prévoir des zones interdites propres aux enfants. Selon eux, les fins qui ne sont pas dans l’intérêt supérieur de l’enfant, qui portent atteinte aux droits des enfants ou qui sont illégales (par exemple, traitement de données comportant des risques élevés qui ne peuvent pas être atténués par la participation/supervision des parents ou des mesures techniques) devraient être jugées inappropriées et considérées comme une zone interdite.

Les répondants ont suggéré que les pratiques suivantes soient considérées comme des zones interdites, car elles sont incompatibles avec les droits de l’enfant et présentent un risque élevé de préjudice :

  • Recueillir et utiliser les données des enfants pour effectuer une surveillance de routine ou sans discrimination;
  • Recueillir et utiliser les données des enfants à l’insu de ces derniers ou, le cas échéant, de leur parent ou tuteur;
  • Utiliser les données des enfants aux fins de profilage comportemental ou d’exploitation commerciale plutôt que dans l’intérêt supérieur de l’enfant;
  • Recueillir les données des enfants d’une manière qui porte atteinte à la capacité d’agir, à la sécurité ou à la dignité des enfants;
  • Communiquer les données des enfants à des fins autres que celles pour lesquelles elles ont été recueillies sans faire preuve de transparence, sans obtenir un consentement et sans qu’il n’y ait un avantage clair pour l’enfant.
  1. Conception trompeuse

Les répondants étaient favorables à l’idée que le code interdise les pratiques de conception trompeuse, car les recherches montrent que les enfants sont plus vulnérables à ces pratiques, ce qui les expose à un risque de préjudice financier, psychologique et lié à l’autonomie. Ils ont demandé au Commissariat de faire la distinction entre les modèles de conception trompeuse et les stratégies légitimes d’engagement des utilisateurs. Ils étaient favorables à ce que le gouvernement modifie les lois canadiennes sur la protection des renseignements personnels pour qu’une telle interdiction soit exécutoire et que les infractions soient sanctionnées de manière appropriée.

Plus précisément, les répondants ont recommandé que les organisations s’abstiennent de faire ce qui suit :

  • Utiliser les paramètres par défaut et concevoir des produits ou des services qui facilitent la collecte de vastes quantités de données, orientent le comportement des utilisateurs, influent sur les décisions et manipulent les enfants pour qu’ils communiquent des renseignements personnels inutiles;
  • Inciter les enfants à communiquer des données personnelles inutiles ou des renseignements sensibles sans leur apporter d’avantage direct;
  • Utiliser un langage complexe et opaque dans les avis de confidentialité.

Les répondants ont plutôt recommandé aux organisations de s’appuyer sur les principes de confidentialité dès la conception en prenant les mesures suivantes :

  • Veiller à ce que les paramètres de confidentialité et les interfaces utilisateur soient présentés d’une manière conviviale et adaptée à l’âge, n’utilisent pas de moyens de pression et ne soient pas conçus pour tromper les utilisateurs;
  • Mettre à l’essai les éléments de l’interface pour en vérifier la clarté et l’efficacité, et présenter les choix en matière de protection de la vie privée en utilisant un langage neutre;
  • Promouvoir les comportements axés sur la protection de la vie privée grâce à des paramètres pouvant être désactivés pour les utilisations non essentielles des données et utiliser des mesures de protection par défaut et des rappels concernant les choix en matière de communication de données;
  • Présenter de manière proactive des invites et des incitatifs guidés (en plus de faire participer les parents) avant de communiquer des données, fournir des tutoriels interactifs et offrir des choix fondés sur les rôles ou différents formats de narration;
  • Réfléchir à la meilleure façon de présenter des comportements axés sur la protection de la vie privée et d’encourager l’adoption de ces comportements dans le contexte de leur produit ou service et utiliser les recherches existantes sur le développement.

Perspectives des jeunes

Les jeunes répondants étaient d’avis qu’il devrait y avoir des paramètres élevés par défaut qui limitent la collecte à ce qui est nécessaire à la prestation du produit ou du service.

[Traduction] Les entreprises devraient adopter des paramètres de confidentialité robustes par défaut. Les profils devraient être privés par défaut. Si les jeunes sont le principal public, les communications doivent être claires. Une fenêtre contextuelle remplie de jargon juridique ne convient pas. Il faut limiter la collecte de données à ce qui est nécessaire pour utiliser le service.

Les jeunes que le Commissariat a consultés étaient préoccupés par la collecte et l’utilisation de certains types de renseignements personnels, comme les données de géolocalisation et les données biométriques, et voulaient qu’on impose des restrictions sur certaines fonctionnalités, notamment les robots conversationnels et la diffusion en direct, pour assurer leur sécurité.

Prochaines étapes

Le Commissariat prépare actuellement un code sur la protection des renseignements personnels des enfants en tenant compte des réponses reçues lors de la consultation exploratoire. Il examinera également toutes les recommandations formulées pour aider les organisations à appliquer le code à des technologies et des secteurs précis.

Le Commissariat poursuivra son engagement direct auprès des jeunes, notamment par l’intermédiaire du Conseil jeunesse, pour mieux comprendre leurs points de vue et prévoit de les inviter à participer à l’élaboration d’une version du code adaptée à leurs besoins. Il continuera également à suivre l’évolution de la situation au Canada et à l’étranger et se réjouit à l’idée de continuer à collaborer avec les parties prenantes sur cette initiative.

Date de modification :