Enquête conjointe sur TikTok Pte. Ltd. menée par le Commissariat à la protection de la vie privée du Canada, la Commission d’accès à l’information du Québec, le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique et le Commissariat à l’information et à la protection de la vie privée de l’Alberta

Conclusions en vertu de la LPRPDE no 2025-003

Le 23 septembre 2025

---

Vue d’ensemble

Le Commissariat à la protection de la vie privée du Canada (CPVP), la Commission d’accès à l’information du Québec (CAI), le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique (CIPVP de la Colombie-Britannique) et le Commissariat à l’information et à la protection de la vie privée de l’Alberta (CIPVP de l’Alberta), désignés collectivement sous le nom de « commissariats », ont lancé une enquête conjointe pour déterminer si la collecte, l’utilisation et la communication des renseignements personnels d’individus au Canada par TikTok Pte. Ltd. (TikTok) par l’intermédiaire de sa plateforme de médias sociaux étaient conformes à la loi fédérale et aux lois provinciales sur la protection des renseignements personnels dans le secteur privé.

TikTok exploite l’une des plateformes de médias sociaux les plus populaires au monde : un site Web et une application de partage et de diffusion de vidéos courtes, tous deux disponibles dans le monde entier, y compris partout au Canada. Au moyen de sa plateforme, TikTok recueille de vastes quantités de renseignements personnels fournis par les utilisateurs et déduits de leur utilisation de la plateforme. L’entreprise a fourni aux commissariats un tableau de 31 pages pour préciser les éléments de données qu’elle recueille au sujet des utilisateurs.

Portée de l’enquête

L’enquête visait à examiner la collecte, l’utilisation et la communication par TikTok de ces renseignements personnels aux fins de ciblage publicitaire et de personnalisation du contenu sur la plateforme, et les commissariats ont porté une attention particulière aux pratiques de TikTok en ce qui concerne les renseignements personnels des enfants. Plus précisément, les commissariats ont examiné si TikTok :

1. a recueilli, utilisé ou communiqué des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances, si la nature et la portée de la collecte, de l’utilisation ou de la communication des renseignements personnels étaient raisonnables, et si la collecte, l’utilisation ou la communication des renseignements personnels répondaient à un intérêt légitime (fins acceptables);
2. a obtenu un consentement valide et valable et, dans le cas des individus du Québec, a respecté ses obligations en matière de transparence en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (obligation d’informer la personne concernée).

Fins acceptables

Dans le cadre de notre enquête sur cet élément, nous avons examiné la collecte, l’utilisation et la communication par TikTok des renseignements personnels des enfants. Les conditions d’utilisation de TikTok interdisent aux utilisateurs âgés de moins de 13 ans (ou âgés de moins de 14 ans au Québec) d’utiliser la plateforme. Cela dit, nous avons constaté que TikTok avait mis en place des mesures inadéquates pour empêcher les enfants d’accéder à sa plateforme, ce qui a fait en sorte que l’entreprise recueille des renseignements sensibles concernant de nombreux enfants et utilise ces renseignements aux fins de ciblage publicitaire et de recommandation de contenu. Plus précisément, TikTok a mis en œuvre :

1. un seul mécanisme de contrôle de l’âge pour empêcher les enfants d’accéder à la plateforme (d’autres mécanismes sont en place pour TikTok LIVE). Il s’agit d’un contrôle de l’âge volontaire qui demande à l’utilisateur potentiel de saisir sa date de naissance et l’empêche de créer un compte si la date choisie indique que l’utilisateur n’a pas l’âge minimum requis;
2. un processus de modération humaine des comptes d’utilisateurs signalés comme appartenant possiblement à un utilisateur n’ayant pas l’âge minimum requis. Les comptes sont signalés soit a) par un outil automatisé qui, après avoir analysé le contenu écrit publié par un utilisateur, a déterminé que ce dernier n’a peut-être pas l’âge minimum requis ou b) par d’autres utilisateurs.

Les commissariats ont déterminé que les outils mis en œuvre par TikTok pour empêcher les enfants d’accéder à sa plateforme étaient en grande partie inefficaces. Le manque d’efficacité était particulièrement évident dans le cas des utilisateurs passifs, aussi connus sous le nom de « badauds », qui représentent la majorité des utilisateurs de TikTok et qui regardent des vidéos sur la plateforme sans publier de contenu ou de commentaires.

Les commissariats ont noté que TikTok avait mis en place un mécanisme proactif de contrôle de l’âge plus rigoureux, qui comprend des analyses faciales, pour empêcher les utilisateurs âgés de moins de 18 ans d’utiliser la fonction de diffusion en direct de TikTok (TikTok LIVE). De plus, TikTok utilisait des outils d’analyse sophistiqués pour estimer l’âge des utilisateurs à d’autres fins commerciales, mais n’utilisait pas ces mêmes outils ou des outils similaires pour empêcher les utilisateurs n’ayant pas l’âge minimum requis d’accéder à sa plateforme.

En raison de l’inefficacité de ses mesures de contrôle de l’âge, TikTok a recueilli les renseignements personnels d’un grand nombre d’enfants canadiens, y compris des renseignements que les commissariats considèrent comme sensibles. L’enquête a révélé que, chaque année, TikTok supprime de la plateforme environ 500 000 comptes détenus par des utilisateurs n’ayant pas l’âge minimum requis. Lorsque ces enfants interagissaient sur la plateforme avant que leur compte ne soit supprimé, TikTok recueillait, déduisait et utilisait déjà des renseignements à leur sujet pour diffuser des publicités ciblées et recommander du contenu personnalisé. Compte tenu des lacunes importantes que nous avons cernées dans les mécanismes de TikTok visant à détecter les utilisateurs n’ayant pas l’âge minimum requis, nous avons conclu qu’il était probable que de nombreux enfants aient continué d’utiliser la plateforme sans être détectés et donc que TikTok ait utilisé leurs renseignements aux fins de suivi et de profilage.

En fin de compte, les commissariats ont conclu que la collecte et l’utilisation des renseignements personnels d’enfants par TikTok ne répondaient pas à un besoin ni à un intérêt légitime et que les pratiques de TikTok étaient donc inappropriées.

Consentement et transparence

Les commissariats ont examiné si TikTok obtenait le consentement valide des utilisateurs pour recueillir et utiliser leurs renseignements personnels afin de diffuser des publicités ciblées et de recommander du contenu personnalisé ou si elle respectait ses obligations en matière de transparence (obligation d’informer la personne concernée) à l’égard des individus du Québec.

Nous avons examiné séparément le consentement des adultes (18 ans et plus) et des jeunes (de 13 à 17 ans), ou les mesures les visant en matière de transparence, car leur capacité à comprendre les pratiques de protection de la vie privée de TikTok et les communications connexes peut différer. Comme nous avons déterminé que la collecte et l’utilisation par TikTok des renseignements personnels d’enfants ne sont pas faites à des fins acceptables, il n’est pas nécessaire de déterminer si l’entreprise a obtenu le consentement valide de ces utilisateurs, car un tel consentement ne ferait pas en sorte que sa collecte et son utilisation des renseignements soient acceptables.

En fonction du contenu que les utilisateurs publient ou regardent sur la plateforme, TikTok peut recueillir des renseignements sensibles à leur sujet, notamment des renseignements sur la santé, les opinions politiques, l’identité de genre et l’orientation sexuelle des utilisateurs. Bien que TikTok ait expliqué qu’elle prend des mesures pour empêcher les annonceurs d’utiliser certains renseignements sensibles pour cibler les utilisateurs, nous sommes préoccupés par le fait que les annonceurs peuvent cibler les utilisateurs transgenres, comme nous l’avons constaté lors d’une démonstration du portail publicitaire de TikTok. L’entreprise a affirmé que cela n’était pas censé être possible, mais n’a pas pu expliquer comment ni pourquoi cette option était disponible. Dans tous les cas, tel qu’il est expliqué plus loin dans le rapport, nous avons conclu que, lorsqu’ils sont regroupés, les renseignements personnels recueillis et utilisés par TikTok dans le cadre d’activités de suivi et de profilage et qui sont ensuite utilisés aux fins de ciblage et de personnalisation de contenu peuvent être sensibles. Si les renseignements personnels en cause sont sensibles, l’organisation doit généralement obtenir un consentement explicite.

Même si TikTok exige que les utilisateurs acceptent expressément ses conditions générales et sa politique de confidentialité lorsqu’ils créent un compte, nous avons conclu qu’un tel consentement par rapport à ses pratiques liées au suivi, au profilage, au ciblage et à la personnalisation de contenu n’est pas valide ni valable.

En ce qui concerne l’obtention du consentement des adultes par TikTok, les commissariats ont constaté que : i) certains renseignements clés sur les pratiques de TikTok (notamment les renseignements que l’entreprise recueille et utilise aux fins de ciblage publicitaire et de recommandation de contenu) n’ont pas été mis en évidence lorsque les utilisateurs doivent décider s’ils fournissent ou non leur consentement; ii) la politique de confidentialité n’a pas fourni une explication suffisamment claire et exhaustive de certaines pratiques de TikTok liées au ciblage publicitaire et à la personnalisation du contenu, et les autres documents fournissant des renseignements supplémentaires importants n’étaient pas facilement accessibles pour les utilisateurs; iii) la politique de confidentialité et les autres communications pertinentes en matière de protection de la vie privée n’étaient pas disponibles en français; et iv) TikTok n’a pas expliqué adéquatement sa collecte et son utilisation des renseignements biométriques des utilisateurs dans le cadre de ses analyses d’images et d’enregistrements audio et vidéo.

Les commissariats ont également constaté que le processus d’obtention du consentement des jeunes utilisateurs de TikTok comporte des lacunes. TikTok a publié des renseignements visant à expliquer aux adolescents comment mieux contrôler l’accès à leurs renseignements personnels et l’utilisation de ceux-ci par d’autres utilisateurs sur la plateforme. Cependant, les commissariats ont constaté que TikTok n’avait pas expliqué aux jeunes utilisateurs, au moyen de communications accessibles, en langage clair et adaptées à leur stade général de développement cognitif, comment elle recueille et utilise ces vastes quantités de renseignements personnels pour diffuser des publicités ciblées et personnaliser le contenu qui leur est présenté. Dans l’ensemble, TikTok a plutôt utilisé les mêmes communications qui, à notre avis, sont inadéquates pour obtenir le consentement valable des adultes. Cette situation est particulièrement préoccupante, compte tenu des recherches approfondies ayant mis en évidence les préjudices que pourraient subir les enfants et les jeunes qui regardent des publicités ciblées et du contenu de médias sociaux personnalisé et compte tenu de notre observation qu’il est souvent difficile de distinguer les publicités par rapport aux autres vidéos sur TikTok.

De plus, les commissariats ont constaté que TikTok utilisait des renseignements biométriques par l’intermédiaire d’analyses faciales et vocales. Nous avons également conclu, sur la base de la mise en œuvre par TikTok de cette technologie biométrique en particulier, que bien qu’elle n’était pas conçue pour effectuer la reconnaissance faciale ou identifier des utilisateurs, elle était utilisée pour déduire des renseignements potentiellement sensibles sur les utilisateurs. Enfin, nous avons constaté que TikTok n’avait pas expliqué adéquatement aux utilisateurs la manière dont elle utilise cette technologie pour qu’ils comprennent raisonnablement que TikTok analysera leur visage pour déduire leur âge et leur genre, notamment aux fins de diffusion de publicités ciblées et de recommandation de contenu.

En ce qui a trait à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, la CAI a conclu que certains éléments clés des pratiques de TikTok en matière de protection de la vie privée n’étaient pas suffisamment mis en évidence et ne respectaient pas l’obligation de l’entreprise de fournir les renseignements obligatoires requis avant de pouvoir commencer à recueillir des renseignements personnels.

La CAI a également constaté que TikTok utilise sa plateforme (site Web et application) ainsi que des technologies associées telles que la vision par ordinateur et l’analyse audio pour recueillir et déduire des renseignements sur les utilisateurs, notamment leurs données démographiques, leurs centres d’intérêt et leur emplacement, sans avoir informé de manière adéquate les personnes concernées de l’utilisation de ces technologies avant le début de la collecte des renseignements.

Enfin, la CAI a constaté que TikTok recueille des renseignements personnels auprès de la personne concernée (l’utilisateur) à l’aide d’une technologie dotée de fonctions qui lui permettent d’identifier, de localiser ou de profiler l’utilisateur sans que celui-ci ait à effectuer de geste actif pour activer ces fonctions spécifiques. La CAI a également constaté que TikTok ne veille pas à ce que les paramètres de confidentialité de son produit technologique offrent le plus haut niveau de confidentialité par défaut, sans aucune intervention de la personne concernée.

Recommandations et engagements pris par TikTok

À la lumière de ces conclusions, les commissariats ont formulé un certain nombre de recommandations à l’intention de TikTok visant à faire en sorte que l’entreprise respecte les exigences prévues par les lois pour ce qui est du consentement, de la transparence et des fins acceptables. Même si TikTok n’était généralement pas d’accord avec les conclusions décrites ci-dessus, l’entreprise a accepté de travailler avec les commissariats pour résoudre l’affaire. Plus précisément, TikTok s’est engagé à :

1. mettre en œuvre trois mécanismes améliorés de contrôle de l’âge qui doivent s’avérer efficaces pour empêcher les utilisateurs n’ayant pas l’âge minimum requis d’utiliser la plateforme;
2. améliorer sa politique de confidentialité pour mieux expliquer ses pratiques de ciblage publicitaire et de personnalisation de contenu, et modifier les autres communications pertinentes sur la protection de la vie privée pour les rendre plus accessibles (TikTok peut notamment ajouter des liens dans sa politique de confidentialité et mettre en évidence les pratiques clés en matière de protection de la vie privée au moment d’obtenir le consentement de ses utilisateurs);
3. cesser d’autoriser les annonceurs à cibler les utilisateurs de moins de 18 ans, sauf pour les publicités fondées sur des caractéristiques génériques comme la langue et l’emplacement approximatif;
4. publier un nouveau résumé en langage clair de sa politique de confidentialité à l’intention des adolescents ainsi que créer une vidéo et la diffuser aux utilisateurs adolescents pour leur présenter certaines des pratiques clés de TikTok en matière de protection de la vie privée, notamment celles liées à la collecte et à l’utilisation de renseignements personnels aux fins de ciblage publicitaire et de personnalisation de contenu;
5. améliorer les communications sur la protection de la vie privée qui traitent de la collecte et de l’utilisation des renseignements biométriques et précisent que les renseignements peuvent être traités en Chine, notamment au moyen d’avis bien visibles présentés au moment d’obtenir le consentement de ses utilisateurs;
6. mettre en œuvre un nouveau mécanisme de vérification des paramètres de confidentialité pour tous les comptes au Canada, qui regrouperait les paramètres les plus importants et les plus concrets de TikTok et permettrait aux utilisateurs d’examiner, de modifier et de confirmer plus facilement leurs paramètres, et informer les utilisateurs de sa mise en œuvre.

Enfin, pour que la mise en œuvre des engagements ci-dessus soit proportionnée, efficace et effectuée rapidement, TikTok a accepté divers engagements connexes, notamment : à soumettre des évaluations des facteurs relatifs à la vie privée, des plans de recherche et de mise à l’essai et les résultats de ces évaluations; à terminer les travaux dans les délais convenus (la plupart doivent être terminés dans les six mois suivant la publication du présent rapport); à s’efforcer de modifier, en temps opportun, les documents soumis en fonction des commentaires des commissariats; et à fournir des rapports d’étape mensuels aux commissariats jusqu’à ce qu’elle ait respecté tous ses engagements.

Compte tenu de ce qui précède, nous concluons que l’affaire est fondée et conditionnellement résolue.

Contexte

1. Le présent rapport d’enquête examine la conformité de TikTok Pte. Ltd. (TikTok ou l’intimé) à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada, à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, à la Loi sur la protection des renseignements personnels de la Colombie-Britannique (LPRP de la Colombie-Britannique) et à la Loi sur la protection des renseignements personnels de l’Alberta (LPRP de l’Alberta), collectivement appelées les « lois ».

TikTok

2. Le Commissariat à la protection de la vie privée du Canada (CPVP), la Commission d’accès à l’information du Québec (CAI), le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique (CIPVP de la Colombie-Britannique) et le Commissariat à l’information et à la protection de la vie privée de l’Alberta (CIPVP de l’Alberta), désignés collectivement sous le nom de « commissariats », affirment que les services de médias sociaux de la marque TikTok sont fournis et exploités par diverses entités commerciales qui exercent des activités dans le monde entier. Les entités sont intégrées à différents degrés dans des structures complexes de propriété et d’exploitation. ByteDance Ltd. est propriétaire de diverses entités ou détient des titres de participation dans certaines d’entre elles au moyen de la propriété intellectuelle de TikTok (par exemple, l’image de marque), qui facilite la gestion et l’utilisation de la plateforme TikTok^{Note de bas de page 1}.
3. Les commissariats ont été informés que TikTok, une entreprise constituée sous le régime des lois de Singapour, est l’entité juridique responsable des activités de TikTok menées au Canada et de la collecte, de l’utilisation et de la communication des renseignements personnels des personnes situées au Canada. Puisque l’entreprise a été représentée comme étant l’entité responsable du respect de la LPRPDE par TikTok, il s’agit de l’organisation visée par notre enquête.
4. Pour mieux comprendre les pratiques en matière de protection de la vie privée de l’intimé, les commissariats ont demandé des renseignements sur sa structure organisationnelle et ses activités au Canada. TikTok a expliqué que le siège social de sa société affiliée, TikTok Technology Canada, Inc. (TikTok Canada), est en Colombie-Britannique^{Note de bas de page 2}. TikTok a expliqué que TikTok Canada exerce des activités de marketing, de publicité et de création de contenu et d’encadrement des créateurs de contenu liées à la plateforme au Canada. Ces faits cadrent généralement avec les déclarations contenues dans l’avis de demande^{Note de bas de page 3} de contrôle judiciaire^{Note de bas de page 4} que TikTok Canada a récemment déposé à la Cour fédérale, demandant une exemption d’un décret pris en vertu de la Loi sur Investissement Canada^{Note de bas de page 5} (pour obtenir des précisions, voir le paragraphe 14). Dans son avis, l’entreprise explique qu’elle vend de la publicité au Canada, soutient les créateurs et les entreprises, met au point des outils et des produits liés à la publicité ainsi qu’à la détection, à la surveillance et à la gestion du contenu problématique et travaille sur des questions liées aux politiques publiques fédérales et provinciales. TikTok a expliqué aux commissariats que TikTok Canada n’exerce aucun contrôle sur les pratiques de TikTok en matière de protection de la vie privée. TikTok et TikTok Canada sont des filiales en propriété exclusive de TikTok Ltd., qui est une filiale en propriété exclusive de Bytedance Ltd.
   
   
   Figure 1 : Structure de l’entreprise disponible sur Bytedance.com (image obtenue le 16 décembre 2024). Les rectangles jaunes ont été ajoutés (en anglais seulement).
   Version textuelle de la figure 1

   Le diagramme illustre la relation entre ByteDance Ltd. et TikTok Pte. Ltd. (l’organisation visée par l’enquête). Plus précisément, le diagramme illustre que ByteDance Ltd. détient une participation de 100 % dans TikTok Ltd., qui à son tour détient une participation de 100 % dans TikTok Pte. Ltd.

5. TikTok est une plateforme populaire de partage et de diffusion de vidéos courtes qui est disponible à la fois sur le site Web de l’entreprise et sous forme d’application. L’application TikTok a été fusionnée avec Musical.ly après que ByteDance a acquis Musical.ly en novembre 2017^{Note de bas de page 6}. Les comptes des utilisateurs de Musical.ly ont été transférés dans la nouvelle application TikTok. Le contenu présenté sur TikTok consiste généralement en des vidéos de 30 à 50 secondes, mais l’entreprise fournit également d’autres services comme la diffusion en direct et le partage de photos (ce dernier a été ajouté au cours de notre enquête). De plus, l’entreprise offre de nombreuses fonctions interactives, telles que les commentaires et la messagerie directe, qui permettent aux créateurs de contenu et aux utilisateurs de communiquer avec d’autres utilisateurs.
6. La principale activité commerciale de TikTok est la diffusion de publicités. L’entreprise utilise les renseignements qu’elle recueille sur ses utilisateurs aux fins de suivi et de profilage^{Note de bas de page 7}, son objectif étant de diffuser des publicités ciblées et de personnaliser le contenu, comme nous l’expliquerons ci-dessous. Bien que TikTok soit une société fermée qui ne déclare pas son chiffre d’affaires mondial, selon des estimations non confirmées, ce chiffre s’élevait à plusieurs milliards de dollars américains en 2022 et était encore plus élevé en 2023^{Note de bas de page 8}. Il a également été signalé que, selon les prévisions, la part des dépenses publicitaires de TikTok à l’échelle mondiale continuera de croître, car l’entreprise affiche une croissance et une expansion supérieures à la moyenne par rapport aux plateformes comme Facebook, YouTube et Instagram, en particulier chez les personnes âgées de 25 ans et moins^{Note de bas de page 9}.
7. TikTok a un nombre élevé d’utilisateurs sur sa plateforme. Selon les données rapportées par TikTok aux commissariats, la plateforme comptait 14 millions d’utilisateurs mensuels actifs au Canada en novembre 2024 selon les analyses de TikTok^{Note de bas de page 10}.
8. TikTok a présenté aux commissariats un tableau complet (comptant 31 pages) qui énumère les différents types de renseignements personnels qu’elle recueille^{Note de bas de page 11} et qui précise comment chaque élément de ces renseignements est utilisé dans le contexte des pratiques que nous avons examinées au cours de l’enquête. Comme il est indiqué aux paragraphes 26 et 27, TikTok recueille et utilise de vastes quantités de renseignements personnels provenant des millions de personnes situées au Canada pour établir des profils sophistiqués qui se basent sur les données démographiques, les comportements et les intérêts et pour déduire diverses caractéristiques en fonction de chacune des nombreuses actions d’un utilisateur sur la plateforme TikTok. Elle utilise ces renseignements pour diffuser des publicités ciblées et recommander du contenu précis à des utilisateurs grâce à la personnalisation de contenu.
9. Plus précisément, selon les observations de TikTok, les commissariats ont déterminé que l’entreprise :
   1. recueille une grande variété de renseignements personnels, tels que des données vidéo et audio fournies par les utilisateurs, les données issues des analyses de la vision par ordinateur^{Note de bas de page 12}, des renseignements sur les appareils, des coordonnées, des données de géolocalisation approximatives, des données biométriques^{Note de bas de page 13} (il en sera question plus loin) et comportementales, des données sur les habitudes de visionnement et des données sur les interactions avec la plateforme (les interactions)^{Note de bas de page 14};
   2. utilise un certain nombre de techniques d’analyse et d’apprentissage automatique pour déterminer les intérêts et les habitudes des utilisateurs et les tendances chez ceux-ci dans le but i) de présenter des publicités ciblées aux utilisateurs en fonction des paramètres sélectionnés par les annonceurs; ii) de formuler des recommandations qui encouragent les interactions et augmentent le temps d’utilisation de la plateforme (c’est-à-dire le temps consacré au visionnement de vidéos ou passé à interagir sur la plateforme) par les utilisateurs et iii) de promouvoir la sécurité sur la plateforme et d’assurer l’application de ses directives communautaires^{Note de bas de page 15}, notamment au moyen de processus de contrôle de l’âge et de modération du contenu.
10. Dans le cadre d’actions collectives intentées en 2019^{Note de bas de page 16} et en 2020^{Note de bas de page 17} au Canada, les demandeurs ont allégué que TikTok avait enfreint les lois sur la protection des renseignements personnels et commis un délit d’intrusion dans l’intimité^{Note de bas de page 18}. TikTok a déclaré que les allégations étaient fondées sur des pratiques qu’elle n’utilise plus. TikTok a réglé ces actions à la fin de 2021^{Note de bas de page 19}. L’entreprise a indiqué que les règlements ne constituaient pas une admission de responsabilité ni un engagement à changer ses pratiques. Dans des actions intentées aux États-Unis entre 2019 et 2022, qui ont également été réglées sans admission de responsabilité de la part de TikTok, les demandeurs ont allégué que TikTok Inc. avait recueilli, utilisé et communiqué les renseignements personnels des utilisateurs, notamment leurs données biométriques, sans leur consentement.
11. Les différentes entreprises affiliées de TikTok ont également fait l’objet de nombreuses enquêtes réglementaires. Par exemple, la Federal Trade Commission des États-Unis a allégué que Musical.ly (maintenant appelée TikTok Inc.) a traité des renseignements personnels d’enfants sans avoir obtenu au préalable un consentement parental approprié^{Note de bas de page 20}. Plus récemment, le commissariat à l’information (Information Commissioner’s Office) du Royaume-Uni^{Note de bas de page 21} a infligé à TikTok une amende de 12,7 millions de livres sterling pour diverses infractions au règlement général sur la protection des données (General Data Protection Regulation) du Royaume-Uni liées à la protection des renseignements personnels des enfants, tandis que la commission de la protection des données (Data Protection Commission) de l’Irlande^{Note de bas de page 22} a infligé à TikTok une amende de 345 millions d’euros pour avoir enfreint plusieurs articles du Règlement général sur la protection des données (RGPD) de l’Union européenne (UE) en ce qui concerne les paramètres de la plateforme pour les utilisateurs qui sont des enfants, le contrôle de l’âge et la transparence des renseignements destinés aux enfants. Ces décisions sont présentement en appel.

Enquêtes lancées

12. En février 2023, convaincus qu’il existait des motifs raisonnables d’enquêter sur les pratiques de TikTok au Canada, les commissariats ont chacun lancé une enquête en vertu du paragraphe 11(2) de la LPRPDE, de l’article 81 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, de l’alinéa 36(1)a) de la loi sur la protection des renseignements personnels de la Colombie-Britannique et de l’alinéa 36(1)a) de la loi sur la protection des renseignements personnels de l’Alberta, respectivement. Les commissariats ont décidé de mener une enquête conjointe afin de tirer parti d’une expertise et de ressources combinées, tout en évitant un dédoublement de leurs efforts et de ceux de TikTok^{Note de bas de page 23}.

Portée de l’enquête

13. Dans le cadre de cette enquête, les commissariats ont examiné la collecte, l’utilisation et la communication de renseignements personnels (y compris le suivi et le profilage des utilisateurs de la plateforme) effectuées par TikTok pour diffuser des publicités ciblées et personnaliser le contenu sur la plateforme. Dans ce contexte, les commissariats ont examiné si TikTok^{Note de bas de page 24} :
    1. a recueilli, utilisé ou communiqué des renseignements personnels – en particulier, ceux d’enfants âgés de moins de 13 ans ou de moins de 14 ans au Québec^{Note de bas de page 25} (désignés collectivement comme les « utilisateurs n’ayant pas l’âge minimum requis » ou les « enfants »), – à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances, si la nature et la portée de la collecte, de l’utilisation ou de la communication des renseignements personnels étaient raisonnables, et si la collecte, l’utilisation ou la communication des renseignements personnels répondaient à un intérêt légitime^{Note de bas de page 26 Note de bas de page 27};
    2. a obtenu un consentement valide et valable; et a rempli ses obligations en matière de transparence prévues par la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (obligation d’informer la personne concernée).
14. Nous savons que des préoccupations générales ont été soulevées concernant les risques perçus pour la sécurité nationale liés à l’application TikTok. Le gouvernement du Canada travaille sur le dossier depuis plusieurs années. En décembre 2022, le premier ministre Justin Trudeau a déclaré que le Centre de la sécurité des télécommunications examinait l’application TikTok afin de cerner les risques qu’elle présente pour le renseignement et la sécurité nationale au Canada. En février 2023, le gouvernement du Canada, à l’instar de nombreux gouvernements dans le monde, a interdit l’utilisation de la plateforme sur les appareils du gouvernement, citant « un niveau de risque inacceptable pour la vie privée et la sécurité » et des « préoccupations concernant le cadre juridique qui régit les renseignements recueillis à partir des appareils mobiles ». Le 5 novembre 2024, le gouvernement du Canada^{Note de bas de page 28} a ordonné la liquidation de TikTok Canada au titre de la Loi sur Investissement Canada. Le décret connexe s’appliquait uniquement aux activités de TikTok Technology Canada Inc. et n’avait aucune incidence sur TikTok Pte. Ltd. ni sur la disponibilité du site Web ou de l’application au Canada. Le décret fait actuellement l’objet d’un contrôle judiciaire devant la Cour fédérale du Canada. Étant donné que les préoccupations, principalement liées à des questions de sécurité nationale plutôt que de protection de la vie privée dans le contexte d’activités commerciales, étaient en cours d’examen par d’autres organismes canadiens, notre enquête a spécifiquement porté sur les questions de protection de la vie privée précisées au paragraphe 13.

Méthodologie

15. Pendant l’enquête, les commissariats ont pris en compte l’information provenant de diverses sources, notamment :
    1. les observations écrites fournies aux commissariats par la partie intimée;
    2. les renseignements recueillis par les commissariats au cours des entrevues avec plusieurs employés de TikTok et de ses entités apparentées, à Toronto et virtuellement, en présence d’un sténographe judiciaire;
    3. les renseignements recueillis lors d’une visite aux bureaux de TikTok à Toronto, y compris lors d’autres entrevues et de diverses démonstrations du système;
    4. les essais par des utilisateurs internes de l’application et du site Web de TikTok;
    5. les renseignements analysés par les commissariats et recueillis à partir de sources accessibles au public (par exemple, les articles de presse ou les études mentionnés dans le présent rapport) qui traitent les enjeux en rapport avec l’enquête.
16. Après avoir terminé la phase de collecte des éléments de preuve de leur enquête, les commissariats ont produit un rapport d’enquête préliminaire dans lequel ils justifiaient leurs conclusions préliminaires, formulaient plusieurs recommandations pour que TikTok se conforme aux lois et invitaient l’entreprise à prendre des mesures. TikTok a fourni aux commissariats une réponse écrite dans laquelle elle affirmait ne pas être d’accord avec leurs conclusions préliminaires. Néanmoins, TikTok a indiqué qu’elle travaillerait avec les commissariats pour donner suite aux recommandations et résoudre l’affaire. À cet effet, elle a soumis une proposition pour décrire les mesures qu’elle était prête à mettre en œuvre. Dans la lettre, TikTok a également proposé des corrections à apporter à des faits erronés et a fourni un contexte et des arguments supplémentaires. Les commissariats ont examiné attentivement ces éléments et, s’il y a lieu, les ont intégrés dans le présent rapport.
17. Après avoir reçu la réponse de TikTok, les commissariats ont communiqué avec l’entreprise, au moyen d’une correspondance écrite et d’une réunion en personne avec des cadres supérieurs de TikTok, pour mieux comprendre les mesures que l’entreprise proposait de mettre en œuvre. Par la suite, TikTok a soumis quelques modifications à ses engagements proposés et aux calendriers de mise en œuvre connexes, que nous avons jugées suffisantes pour que l’affaire soit conditionnellement résolue. Les détails de la réponse de TikTok à nos recommandations ainsi que ses engagements connexes sont abordés aux paragraphes 176 à 193.

Analyse

Juridiction

18. Tel qu’il a été mentionné précédemment, l’entité juridique TikTok faisant l’objet de l’enquête est constituée sous le régime des lois de Singapour. Cela dit, dans le cadre de ses activités commerciales, TikTok recueille, utilise et communique les renseignements personnels des individus qui utilisent la plateforme TikTok au Canada, notamment des utilisateurs situés dans les provinces de l’Alberta, de la Colombie-Britannique et du Québec, comme il est expliqué dans la prochaine section du rapport.
19. Les lois au titre desquelles l’enquête a été menée s’appliquent aux organisations qui, dans le cadre de leurs activités commerciales, recueillent, utilisent et communiquent les renseignements personnels des individus vivant dans chacune des régions. Par conséquent, les commissariats du Canada, de la Colombie-Britannique, de l’Alberta et du Québec ont déterminé qu’ils ont compétence pour enquêter, émettre des ordonnances^{Note de bas de page 29} relatives au traitement des renseignements personnels par TikTok et formuler des recommandations à ce sujet dans leur juridiction respective, qu’elle soit provinciale ou fédérale.

Contestation par TikTok de la compétence du CIPVP de la Colombie-Britannique

20. TikTok a présenté des observations dans lesquelles elle affirme que le CIPVP de la Colombie-Britannique n’a pas compétence au titre de l’article 3 de la loi sur la protection des renseignements personnels de la Colombie-Britannique.
21. Depuis le début de l’enquête, TikTok considère que, comme la LPRPDE s’applique à l’objet de la présente plainte, le CIPVP de la Colombie-Britannique n’a pas compétence à l’égard de la plainte, car l’alinéa 3(2)c) de la loi sur la protection des renseignements personnels de la Colombie-Britannique stipule ce qui suit :

    [Traduction] La présente loi ne s’applique pas à l’égard de ce qui suit :

    […] c) la collecte, l’utilisation ou la communication de renseignements personnels, si la loi fédérale s’applique à la collecte, à l’utilisation ou à la communication de renseignements personnels […]

22. La réglementation sur la protection des renseignements personnels est une question de compétence concurrente et un exercice de fédéralisme coopératif^{Note de bas de page 30}, qui est un principe fondamental de la jurisprudence moderne de partage des compétences, qui favorise, dans la mesure du possible, l’application simultanée des lois adoptées par les gouvernements fédéral et provinciaux^{Note de bas de page 31}. La loi sur la protection des renseignements personnels de la Colombie-Britannique a été conçue pour s’harmoniser avec les lois fédérales en ce qui concerne la protection du droit quasi constitutionnel à la vie privée des Britanno-Colombiennes et des Britanno-Colombiens^{Note de bas de page 32}. L’origine législative de l’adoption de la LPRPDE^{Note de bas de page 33} et de la loi sur la protection des renseignements personnels de la Colombie-Britannique^{Note de bas de page 34} ainsi que leur structure interreliée^{Note de bas de page 35} appuient l’interprétation selon laquelle la LPRPDE et la loi sur la protection des renseignements personnels de la Colombie-Britannique fonctionnent ensemble de façon harmonieuse.
23. La loi sur la protection des renseignements personnels de la Colombie-Britannique s’applique lorsque la LPRPDE ne s’applique pas, et vice versa. Dans des cas comme celui-ci, où une seule organisation exerce des activités dans les deux juridictions et recueille, utilise et communique des renseignements personnels de manière complexe, les deux lois se complètent pour fournir une protection efficace qui ne comporte aucune lacune. Il ne serait pas approprié d’interpréter l’alinéa 3(2)c) d’une manière qui priverait le CIPVP de la Colombie-Britannique de son pouvoir dans n’importe quelle circonstance où le CPVP exerce également ses pouvoirs, car cela ne cadrerait pas avec leur structure interreliée et contreviendrait au principe du fédéralisme coopératif.
24. La présente enquête ainsi que les nombreuses enquêtes conjointes menées par les commissariats sont des exemples de situations où la structure constitutionnelle a fonctionné comme prévu, c’est-à-dire d’une manière qui respecte les compétences concurrentes des gouvernements fédéral et provinciaux. La compétence du CIPVP de la Colombie-Britannique de participer à de telles enquêtes conjointes sur les organisations qui exercent des activités dans plusieurs provinces ou à l’échelle internationale a récemment été confirmée par la Cour suprême de la Colombie-Britannique^{Note de bas de page 36}. En revanche, la position de TikTok ferait en sorte que des millions de Britanno-Colombiennes et de Britanno-Colombiens ne bénéficient pas de la protection liée à leur droit quasi constitutionnel à la vie privée prévue par la loi provinciale.

Liquidation potentielle de TikTok Canada

25. Si TikTok Canada cessait ses activités pour se conformer au décret mentionné au paragraphe 14 ci-dessus, les lois continueraient néanmoins de s’appliquer aux pratiques de TikTok sur lesquelles porte l’enquête. La plateforme de TikTok demeurerait disponible au Canada, et TikTok continuerait de recueillir, d’utiliser et de communiquer de nombreux renseignements personnels concernant des individus vivant partout au Canada, notamment en Alberta, en Colombie-Britannique et au Québec, comme l’expliquent les paragraphes ci-dessous. Il continuerait donc d’y avoir un lien réel et substantiel entre les activités commerciales de TikTok et les juridictions des commissariats.

Collecte, utilisation et communication des renseignements personnels

26. Selon les observations qu’elle a fournies, TikTok recueille une grande diversité de renseignements et les utilise à différentes fins, entre autres pour diffuser des publicités ciblées, personnaliser le contenu destiné aux utilisateurs, modérer le contenu et assurer la sécurité de la plateforme et le respect de ses directives communautaires. TikTok a indiqué que les renseignements qu’elle recueille sur ses utilisateurs aux fins de personnalisation de contenu et de diffusion de publicités ciblées comprennent notamment^{Note de bas de page 37} :
    1. les renseignements contenus dans les profils (adresse courriel, numéro de téléphone et renseignements biographiques, comme le nom, l’âge et le sexe);
    2. le contenu publié par l’utilisateur sur la plateforme (vidéos, photos, commentaires, mots-clics, métadonnées, etc.);
    3. les renseignements obtenus au moyen de la vision par ordinateur et d’analyses audio du contenu des vidéos et des photos (y compris des données biométriques);
    4. les interactions avec le contenu et les publicités (habitudes de visionnement, partages, contenu aimé, historique de navigation, indicateurs d’intérêt ou nombre d’interactions peu élevé, commentaires, activités de recherche, etc.);
    5. les renseignements relatifs aux achats (historique des achats, etc.);
    6. les renseignements sur les appareils (adresse IP, renseignements sur l’appareil mobile, fournisseur de services mobiles, données du système d’exploitation, renseignements sur le réseau, identifiants publicitaires sur les appareils mobiles, paramètres du système, etc.);
    7. les contacts (liste de contacts de l’appareil et d’autres profils de médias sociaux, comme les amis Facebook), les amis sur la plateforme, les connexions mutuelles (suggestions fondées sur les utilisateurs abonnés aux mêmes comptes) et les suggestions de comptes où les renseignements d’une personne se trouvent dans la liste de contacts d’un autre utilisateur;
    8. les données de géolocalisation (position approximative dans un rayon d’environ trois kilomètres carrés);
    9. les renseignements transmis à TikTok par des partenaires tiers grâce à des outils (par exemple, les annonceurs qui transmettent à TikTok leurs données de mesure d’événements publicitaires à l’aide de Pixel^{Note de bas de page 38} et de l’interface de programmation d’applications (API) d’événements^{Note de bas de page 39}, les outils de mesure des publicités de TikTok) et par des partenaires de mesure qui aident les plateformes numériques à attribuer^{Note de bas de page 40} et à mesurer plus précisément l’incidence des campagnes publicitaires.
27. TikTok a indiqué qu’elle utilise ces renseignements personnels aux fins suivantes :
    1. Effectuer une analyse des données afin d’estimer ou de déduire les intérêts, l’emplacement, la tranche d’âge et le pouvoir de dépenser d’une personne ou de déterminer son sexe, et associer ces renseignements aux utilisateurs;
    2. Recommander des vidéos aux utilisateurs en fonction de leur activité sur la plateforme (et des renseignements que TikTok estime et déduit à leur sujet) pour personnaliser la plateforme et améliorer l’expérience utilisateur;
    3. Présenter des publicités et du marketing ciblés aux utilisateurs (en fonction de leurs intérêts, de leurs comportements, de leurs interactions avec la plateforme, de leurs données démographiques et de leur emplacement)^{Note de bas de page 41};
    4. Entraîner, mettre à l’essai et développer ses algorithmes et ses outils d’apprentissage automatique pour mesurer et améliorer leur efficacité;
    5. Mesurer les campagnes publicitaires et améliorer l’efficacité des systèmes publicitaires en évaluant le rendement des publicités et en améliorant les modèles de publicité;
    6. Assurer la sécurité sur la plateforme (par la modération, pour détecter et supprimer le contenu inapproprié et empêcher que le contenu créé par les utilisateurs de moins de 16 ans soit recommandé à d’autres utilisateurs, etc.);
    7. Respecter les obligations juridiques de diverses juridictions (par exemple en répondant aux demandes de nature juridique et réglementaire, aux revendications relatives à la propriété intellectuelle, aux signalements de contenu illégal).
28. TikTok a indiqué qu’elle communiquait les renseignements personnels de ses utilisateurs à des tiers si :
    1. une personne choisit de s’inscrire à TikTok par l’intermédiaire d’un fournisseur tiers, par exemple Meta, Google ou X, anciennement Twitter (dans de telles circonstances, TikTok communiquera les renseignements sur le compte de l’utilisateur au tiers en question);
    2. les renseignements sont communiqués à des entreprises de mesure des publicités pour évaluer l’efficacité des publicités;
    3. les renseignements sur les comptes et l’utilisation de la plateforme sont communiqués aux développeurs de trousses de développement et d’API de TikTok^{Note de bas de page 42};
    4. des organismes d’application de la loi ou de réglementation demandent légalement les renseignements à TikTok.
29. TikTok a expliqué qu’étant donné qu’elle est une organisation mondiale, ses différentes entreprises affiliées et leurs employés à l’extérieur du Canada, y compris leurs employés en Chine, peuvent dans certaines circonstances accéder aux renseignements personnels qu’elle a recueillis à des fins commerciales. TikTok a expliqué que, pour obtenir l’accès aux renseignements personnels des individus situés à l’extérieur de la Chine, les employés en Chine doivent passer par un processus d’approbation interne supervisé par des responsables qui se trouvent à l’extérieur de la Chine. Cet accès peut ensuite faire l’objet d’une vérification dont le but est de veiller à ce que l’utilisation des renseignements soit conforme aux fins approuvées et que l’accès soit encore requis pour ces fins^{Note de bas de page 43}.

ENJEU 1 : TikTok a-t-elle recueilli, utilisé et communiqué des renseignements personnels – en particulier, des renseignements personnels d’enfants – à des fins acceptables, raisonnables et légitimes?

30. TikTok recueille généralement de nombreux renseignements sur chaque utilisateur. Elle utilise entre autres ces renseignements pour estimer et déduire des renseignements supplémentaires concernant les utilisateurs, personnaliser le contenu, diffuser des publicités ciblées, améliorer l’efficacité des publicités, appliquer ses politiques, promouvoir la sécurité et améliorer ses modèles et ses algorithmes d’apprentissage automatique.
31. Notre enquête visait à déterminer si la collecte, l’utilisation et la communication par TikTok de renseignements personnels d’enfants aux fins de personnalisation de contenu et de diffusion de publicités ciblées étaient acceptables.
32. TikTok a affirmé qu’elle ne recueille ou n’utilise pas de renseignements personnels d’enfants ou d’utilisateurs n’ayant pas l’âge minimum requis (âgés de moins de 13 ans ou de moins de 14 ans au Québec) de façon délibérée; si de tels renseignements sont recueillis ou utilisés, ils le sont donc de façon involontaire.
33. Néanmoins, notre enquête a permis de déterminer, comme il est précisé plus loin, que TikTok recueille et utilise considérablement les renseignements personnels potentiellement sensibles de ses utilisateurs. Parmi ceux-ci, il y a non seulement des adultes, mais aussi des enfants. Selon les conditions d’utilisation^{Note de bas de page 44} de TikTok, les personnes n’ayant pas l’âge minimum requis ne sont pas autorisées à utiliser la plateforme. Parallèlement, notre enquête a relevé que TikTok n’a pas pris des mesures raisonnables pour prévenir la collecte et l’utilisation des renseignements personnels des utilisateurs n’ayant pas l’âge minimum requis.
34. Compte tenu de ce qui précède, et comme nous l’expliquerons dans les paragraphes ci-dessous, nous estimons que les fins de la collecte et de l’utilisation par TikTok des données d’utilisateurs n’ayant pas l’âge minimum requis – diffusion de publicités ciblées et personnalisation de contenu (ce qui comprend le suivi, le profilage et l’utilisation de renseignements personnels pour entraîner l’apprentissage automatique et améliorer les algorithmes) – ne sont pas des fins qu’une personne raisonnable considérerait comme acceptables, raisonnables ou légitimes dans les circonstances. La collecte et l’utilisation par TikTok des données d’utilisateurs n’ayant pas l’âge minimum requis à ces fins ne répondent pas à un enjeu légitime, à un intérêt légitime ou à un intérêt commercial légitime^{Note de bas de page 45}.
35. Selon le document d’orientation du CPVP sur les pratiques inacceptables de traitement des données, pour interpréter et appliquer le paragraphe 5(3) de la LPRPDE, le CPVP prend en compte certains facteurs^{Note de bas de page 46} établis par les tribunaux, qui servent à déterminer si une organisation recueille, utilise ou communique des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. Ces facteurs doivent être appliqués en tenant compte du contexte, ce qui laisse supposer une flexibilité et une variabilité en fonction des circonstances.^{Note de bas de page 47}
36. En appliquant le paragraphe 5(3) de la LPRPDE, les tribunaux ont déterminé que le CPVP doit se livrer à une « pondération des droits » entre le droit à la vie privée de la personne et les besoins commerciaux de l’organisme concerné^{Note de bas de page 48}. Cette pondération des droits doit se faire « du point de vue d’une personne raisonnable^{Note de bas de page 49} ». Comme la Cour d’appel fédérale l’a récemment confirmé dans la décision Facebook, la LPRPDE n’exige pas une pondération des droits concurrentiels, mais plutôt entre le droit à la vie privée d’une personne et le besoin d’une entreprise de recueillir des renseignements personnels^{Note de bas de page 50}.
37. L’article 2 tant de la loi sur la protection des renseignements personnels de l’Alberta que de la loi sur la protection des renseignements personnels de la Colombie‑Britannique prescrit que dans l’évaluation du caractère raisonnable d’une situation, la norme est de considérer raisonnable ce qu’une personne raisonnable considérerait comme acceptable dans les circonstances en question. De plus, la loi sur la protection des renseignements personnels de la Colombie-Britannique limite les fins auxquelles une organisation peut recueillir, utiliser ou communiquer des renseignements personnels uniquement aux fins qu’une personne raisonnable jugerait acceptables dans les circonstances, même si cette même loi autorise autrement leur collecte, leur utilisation ou leur communication. Les ordonnances émises par le CIPVP de l’Alberta ont aussi permis de formuler plusieurs questions servant à déterminer si la collecte des renseignements personnels dans un cas donné a été effectuée à des fins raisonnables^{Note de bas de page 51}, entre autres s’il existe un enjeu légitime à résoudre au moyen de la collecte de renseignements personnels. Le CIPVP de la Colombie-Britannique considère des facteurs semblables à ceux pris en compte par le CIPVP de l’Alberta pour déterminer si les fins sont raisonnables^{Note de bas de page 52}.
38. Afin de déterminer si les fins pour lesquelles les renseignements personnels recueillis par l’entreprise sont sérieuses et légitimes au sens de l’article 4 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, la CAI tient compte de la légalité des fins et de leur respect des principes de droit, de justice et d’équité^{Note de bas de page 53}.
39. L’article 4.1 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec prévoit pour sa part que les renseignements personnels concernant un mineur de moins de 14 ans ne peuvent être recueillis auprès de celui-ci sans le consentement du titulaire de l’autorité parentale ou du tuteur, sauf lorsque cette collecte est manifestement au bénéfice de ce mineur.

Nature sensible

40. La nature sensible des renseignements recueillis, utilisés ou communiqués par TikTok sert de facteur pour déterminer si les fins de la collecte, de l’utilisation ou de la communication des renseignements personnels sont acceptables. Cela dit, les commissariats font remarquer que les fins d’une organisation peuvent tout de même être jugées inacceptables, même si les renseignements personnels en question ne sont pas de nature hautement sensible.
41. Comme il est indiqué dans les orientations précédentes des commissariats et d’autres commissariats à la protection de la vie privée provinciaux et territoriaux^{Note de bas de page 54}, les renseignements des enfants sont particulièrement sensibles.
42. De plus, nous constatons que, en fonction du contenu téléchargé ou consulté par les utilisateurs, TikTok peut recueillir des renseignements de nature sensible, comme des renseignements sur la santé, les opinions politiques, l’identité de genre et l’orientation sexuelle d’un individu.
43. TikTok a expliqué qu’elle prend des mesures pour interdire aux annonceurs d’utiliser des paramètres sensibles définis permettant de cibler les utilisateurs, comme leur état de santé et, en particulier, les données sur les conditions mentales ou psychologiques, la dépression, les troubles alimentaires, les gènes, les handicaps, la vie sexuelle, l’orientation sexuelle, le sexe, le genre et l’identité de genre. L’entreprise ajoute qu’elle utilise des outils manuels et automatiques pour empêcher un ciblage axé sur les mots-clics ou les intérêts.
44. Malgré ces mesures, nous avons constaté, lors de l’examen des différentes options de ciblage dans le portail TikTok Ads Manager, que les mots-clics #transgendergirl (#FilleTransgenre) et #transgendersoftiktok (#TransgenresDeTikTok) sont des critères que les annonceurs peuvent utiliser pour produire des publicités ciblées. Les employés de TikTok n’ont pas été en mesure d’expliquer, ni lors de la visite du site ni à l’occasion d’un suivi, pourquoi ces mots-clics sont des options sur la plateforme TikTok Ads Manager. L’entreprise a confirmé plus tard que ces mots-clics n’auraient pas dû être proposés, qu’ils ont depuis été supprimés en tant qu’options et qu’ils n’ont pas été utilisés dans une campagne publicitaire canadienne entre 2023 et la date de la visite du site en 2024. TikTok a indiqué qu’elle n’a pas de données sur le sujet pour la période antérieure à 2023. Bien qu’elle ait résolu ce problème précis après qu’il a été mis au jour dans le cadre de l’enquête, nous restons préoccupés par le fait que TikTok n’a pas repéré de façon proactive qu’il s’agissait de renseignements de nature sensible et que certaines personnes auraient potentiellement pu être ciblées en raison de leur identité transgenre.
45. En outre, certains éléments des renseignements qu’utilise TikTok pour le profilage et ciblage de ses utilisateurs (y compris les utilisateurs n’ayant pas l’âge minimum requis) peuvent être vus comme étant de nature moins sensible lorsqu’ils sont considérés de façon distincte. Toutefois, lorsqu’ils sont regroupés, associés à un seul utilisateur et précisés au moyen des outils d’apprentissage automatique et d’analyse de TikTok, ils peuvent devenir sensibles à cause de l’information que TikTok pourrait déduire grâce à ces renseignements au sujet de l’utilisateur, comme ses habitudes, ses intérêts, ses activités personnelles, sa localisation et ses préférences.

Besoin ou intérêt commercial légitime (utilisateurs n’ayant pas l’âge minimum requis)

46. Selon les conditions d’utilisation de TikTok pour le Canada, « [l]es Services sont uniquement destinés aux personnes âgées de 13 ans et plus […] Si [l’entreprise apprend] qu’une personne de moins de l’âge pertinent indiqué ci-dessus utilise les Services, [elle résiliera] son compte. » Le libellé employé établit sans ambiguïté que les personnes âgées de moins de 13 ans ne sont pas autorisées à utiliser les services de TikTok.
47. De même, dans le passage destiné au Canada de la section Conditions supplémentaires – Spécifiques à la juridiction inclus dans la politique de confidentialité de TikTok au début de l’enquête, l’entreprise indiquait « si vous résidez dans la province de Québec, vous n’êtes autorisé à utiliser la Plateforme que si vous êtes âgé d’au moins 14 ans ».
48. Cependant, en se fondant sur les éléments probants recueillis au cours de l’enquête, les commissariats ont conclu qu’un grand nombre d’enfants utilisent effectivement la plateforme, comme il est expliqué plus loin.

Détection et suppression des comptes d’utilisateurs n’ayant pas l’âge minimum requis

49. Dans les observations qu’elle a fournies aux commissariats, TikTok a expliqué que ses outils et ses rapports ont permis la détection d’un nombre important d’utilisateurs canadiens n’ayant pas l’âge minimum requis au cours de chacune des trois dernières années. La figure 2 ci-dessous indique le nombre de comptes d’utilisateurs canadiens que TikTok a supprimés de la plateforme, car la modération effectuée par l’entreprise (qui est traitée plus loin) a permis de déterminer qu’ils appartenaient probablement à des utilisateurs âgés de moins de 13 ans. Comme il en est question dans le tableau suivant, ce nombre a augmenté considérablement d’une année à l’autre. Dans ses observations, TikTok a indiqué que l’augmentation du nombre d’utilisateurs et le renforcement des capacités de détection sont les raisons pour lesquelles ce nombre a augmenté.

    Année	Nombre de comptes supprimés de la plateforme au Canada parce que les détenteurs étaient probablement âgés de moins de 13 ans
    2021	412 241
    2022	506 363
    2023	579 306

50. En fonction de ces chiffres, TikTok a banni en moyenne 500 000 comptes canadiens chaque année, car les détenteurs de compte n’avaient pas l’âge minimum requis pour utiliser la plateforme. Il est important de noter que ces chiffres représentent seulement les comptes qui ont réellement été détectés et ensuite supprimés par TikTok. Nous estimons que le nombre réel de comptes détenus par des utilisateurs n’ayant pas l’âge minimum requis sur la plateforme est probablement beaucoup plus élevé. TikTok a fait valoir que cette conclusion repose sur des suppositions. Toutefois, compte tenu des lacunes importantes que nous avons cernées dans les mécanismes de détection de TikTok, décrits plus loin aux paragraphes 58 et 59, les commissariats croient tout de même que la plateforme compte probablement beaucoup d’utilisateurs n’ayant pas l’âge minimum requis que TikTok ne détecte pas.
51. En outre, le fait qu’un compte ait été supprimé de la plateforme ne signifie pas que l’utilisateur n’est pas par la suite retourné sur la plateforme en utilisant des identifiants différents (adresse courriel, etc.). Parmi les comptes supprimés et les comptes n’ayant pas été détectés, il peut y avoir des comptes en double créés par le même utilisateur n’ayant pas l’âge minimum requis, car un même utilisateur peut créer un nouveau compte à l’aide de nouveaux identifiants Cette situation ferait en sorte que TikTok recueille plus souvent ou continue de recueillir les renseignements personnels d’utilisateurs n’ayant pas l’âge minimum requis et soulèverait des préoccupations supplémentaires quant à l’efficacité des mesures de contrôle de l’âge de TikTok.

Mesures de contrôle de l’âge

52. Nous avons recueilli de très nombreux éléments probants auprès de TikTok sur ses processus de contrôle de l’âge et de modération des comptes. TikTok a indiqué qu’elle avait pris des mesures pour empêcher les utilisateurs n’ayant pas l’âge minimum requis d’utiliser la plateforme (par exemple, documents destinés au public, âge minimum requis pour accéder à du contenu, publications informatives, outils intégrés dans la plateforme). L’entreprise a expliqué que le contrôle de l’âge est le mécanisme principal utilisé pour empêcher les utilisateurs n’ayant pas l’âge minimum requis de créer un compte sur la plateforme. Par ce mécanisme, les utilisateurs doivent fournir une date de naissance lors de la création d’un compte. Lorsqu’une date de naissance indique que l’âge est inférieur à 13 ans, TikTok refuse la création du compte et empêche temporairement la création d’un compte à partir de l’appareil. L’enquête a permis de déterminer qu’il s’agit du seul mécanisme de contrôle de l’âge que TikTok a mis en place à l’étape de l’inscription pour empêcher les personnes n’ayant pas l’âge minimum requis de créer un compte et d’accéder à la plateforme.
    

    

    Version textuelle de la figure 2

    L’image montre le message contextuel qui s’affiche lorsqu’un individu entre une date de naissance indiquant qu’il est âgé de moins de 13 ans lors de l’inscription à TikTok. Sur le message, on peut voir la mention « Nous sommes désolés, tu sembles ne pas avoir le droit d’utiliser TikTok… Mais merci pour l’intérêt que tu portes à notre application! » et un bouton « OK » en dessous.
53. Si un jeune de moins de 13 ans entre une fausse date de naissance (une date qui indiquerait qu’il a 13 ans ou plus) lors de la première tentative de création d’un compte ou des tentatives ultérieures (c’est-à-dire après l’expiration du mécanisme de blocage temporaire sur son appareil), il peut créer un compte.
54. TikTok a expliqué qu’il y a une équipe de modération en place pour détecter les utilisateurs soupçonnés de ne pas avoir l’âge minimum requis et que les membres de cette équipe ont reçu une formation portant sur la détection des personnes de moins de 13 ans, en fonction de divers indices comportementaux et physiologiques décrits dans les politiques de modération de l’entreprise. L’équipe de modération se fie sur les mécanismes suivants pour détecter les utilisateurs soupçonnés de ne pas avoir l’âge minimum requis :
    1. signalements faits par des utilisateurs (lorsqu’une personne, comme un parent, communique avec TikTok pour signaler qu’un utilisateur a moins de 13 ans);
    2. surveillance automatique (la recherche de mots-clés et de formulations, comme « J’ai 10 ans » ou « Je suis en troisième année », dans le texte saisi par l’utilisateur, qui suggèrent que celui-ci est âgé de moins de 13 ans ou, dans le cas des fonctions LIVE, l’utilisation de la vision par ordinateur et des analyses audio pour détecter les personnes âgées de moins de 18 ans^{Note de bas de page 55}).
       
       Par la suite, les modérateurs procèdent à des examens manuels des comptes visés aux points i et ii ci-dessus. Il s’agit notamment d’un examen des vidéos publiées, des commentaires et des renseignements biographiques. Ce contrôle secondaire vise à examiner en profondeur les signalements faits par des utilisateurs ou les alertes automatiques, avant de décider de bannir ou non un compte.
55. Lorsque la raison évoquée par un modérateur pour bannir un compte est que celui-ci appartient à une personne soupçonnée d’être âgée de moins de 13 ans, l’utilisateur peut faire appel de cette décision auprès du service à la clientèle de TikTok. Dans de tels cas, l’utilisateur devra, selon le mécanisme d’appel qu’il aura choisi, passer par une deuxième étape de vérification de l’âge, qui exige qu’il fournisse à TikTok des pièces d’identité (par exemple, un permis de conduire, un passeport ou une pièce d’identité nationale), une carte de crédit valide ou un égoportrait pour estimer l’âge en fonction du visage à l’aide d’un outil de vérification d’un tiers. L’utilisateur pourrait également devoir passer par un processus de vérification auprès d’un parent ou d’un tuteur (personnes âgées de plus de 13 ans seulement). Une fois que l’appel engendre l’annulation ou non de la décision, TikTok supprime de façon permanente tous les renseignements personnels soumis pendant le processus, y compris les photos. TikTok précise que, sauf pour les exceptions mentionnées ci-dessous, si l’utilisateur ne transmet pas les renseignements demandés, ou si son âge ne peut être vérifié, elle supprimera le compte de l’utilisateur et les renseignements personnels connexes après 120 jours (ils ne se trouveront plus dans les systèmes de l’entreprise).
56. D’ailleurs, après ce genre de suppression, et sous réserve de toute exigence de conformité législative ou réglementaire, elle ne conserve que certains renseignements du compte dans ses systèmes, notamment les dossiers du service à la clientèle, les données de base internes sur l’utilisateur, comme le nom d’utilisateur TikTok, l’adresse courriel ou le numéro de téléphone (pour les activités internes liées à la conformité^{Note de bas de page 56} et la prévention de la création d’un nouveau compte), et les renseignements sur les transactions liées aux achats effectués sur la plateforme.
57. Les commissariats ont demandé à TikTok des renseignements détaillés sur le nombre de comptes soupçonnés d’être détenus par des personnes n’ayant pas l’âge minimum requis qui ont été détectés grâce à des signalements faits par des utilisateurs par rapport à ceux détectés grâce à la détection de mots-clés, car il s’agit des deux mécanismes de modération des utilisateurs n’ayant pas l’âge minimum requis présentés aux commissariats (à l’exception des mécanismes propres à TikTok LIVE). TikTok a indiqué qu’elle n’a conservé que les données du quatrième trimestre de 2023, soit le trimestre précédant immédiatement notre demande. Elle affirme qu’au cours de ce trimestre, environ 129 105 des comptes bannis ont été détectés grâce aux signalements faits par des utilisateurs, tandis que 25 462 des comptes ont été détectés à l’aide des systèmes de détection de mot-clé.
58. Nous constatons que les méthodes internes de modération automatique de TikTok représentent un pourcentage relativement faible du nombre total de comptes détenus par des personnes n’ayant pas l’âge minimum requis qui ont été détectés et ensuite supprimés de la plateforme. Ce pourcentage ne comprend pas les comptes supprimés après avoir été détectés par les mécanismes propres à TikTok LIVE. Nous avons déterminé, selon les observations de TikTok, que ces pratiques internes de modération s’appuient exclusivement sur les recherches des mots-clés compris dans le texte saisi par les utilisateurs, comme dans les commentaires et les profils. Compte tenu du fait que les statistiques de TikTok révèlent que la plupart des utilisateurs ne font pas de commentaires sur la plateforme (comme précisé plus loin), ce mécanisme présente des limites considérables. De plus, même dans les cas où l’utilisateur fait des commentaires, pour que le système de détection automatique fonctionne, il faut que l’utilisateur emploie des mots précis qui semblent indiquer son âge.
59. En réponse à notre demande de statistiques sur les interactions des utilisateurs au Canada avec la plateforme, TikTok a signalé que la plupart des utilisateurs ne font que visionner et évaluer du contenu (on parle ici d’utilisateurs passifs ou de badauds); 73,5 % des utilisateurs ne publient pas de vidéos, tandis que 59,2 % ne font pas de commentaires. Dans les cas où les utilisateurs sont des enfants, ils pourraient visionner d’innombrables vidéos et ainsi faire l’objet d’un suivi, d’un profilage et d’un ciblage sans que les mécanismes de modération de TikTok détectent qu’ils n’ont pas l’âge minimum requis. De même, si un utilisateur ne publie pas de vidéos, les commissariats croient qu’il est moins probable qu’un autre utilisateur le dénonce comme étant une personne n’ayant pas l’âge minimum requis.

Autres renseignements que TikTok recueille pour estimer l’âge, mais pas pour contrôler l’accès à la plateforme ou à des fins de modération

60. TikTok utilise diverses technologies et les renseignements personnels qu’elles servent à recueillir afin d’estimer l’âge des utilisateurs pour de nombreuses raisons, qui sont examinées plus loin (par exemple, restreindre l’accès aux fonctions LIVE). Toutefois, elle n’utilise pas ces technologies et ces renseignements personnels pour empêcher les utilisateurs n’ayant pas l’âge minimum requis d’accéder à la plateforme – et ainsi de faire l’objet d’un suivi, d’un profilage ou de ciblage.
61. En ce qui concerne TikTok LIVE, le service de diffusion en direct de la plateforme (pour lequel l’âge minimum que doivent avoir les utilisateurs est 18 ans), l’entreprise a expliqué qu’elle utilise des outils de détection automatique de l’âge, qui reposent sur la vision par ordinateur et les analyses audio pour évaluer si une personne a moins de 18 ans. TikTok a précisé que cet ensemble d’outils de détection est utilisé uniquement avec TikTok LIVE. Ces outils ont été conçus en tenant compte des besoins liés à la plateforme TikTok Live, car la diffusion en direct présente plus de risques, et servent uniquement aux fins de modération de l’âge. Lorsqu’un modérateur examine un compte signalé par l’outil de détection de l’âge de TikTok LIVE, il bannira le compte s’il soupçonne que l’utilisateur n’a pas l’âge minimum requis.
62. TikTok a également mentionné qu’elle utilise divers autres outils de modélisation et d’estimation de l’âge pour fournir une indication de l’âge approximatif des personnes présentes dans les vidéos enregistrées sur la plateforme. TikTok a notamment fait référence à trois techniques de modélisation qu’elle utilise sur la plateforme de base pour assurer la sécurité des mineurs, faire des recommandations de vidéos et fournir des publicités ciblées^{Note de bas de page 57}. Toutefois, elle a confirmé qu’elle n’utilise pas ces technologies ou des groupes d’âge distincts pour prévenir que les personnes n’ayant pas l’âge minimum requis puissent accéder à la plateforme (sauf pour TikTok LIVE). Voici les trois modèles que TikTok a mentionnés dans ses observations :

    « [Traduction] Modèle axé sur l’âge et basé sur les données des vidéos – TikTok utilise un modèle axé sur l’âge et basé sur les données des vidéos pour estimer le groupe d’âge de la principale personne qui se trouve dans une vidéo publiée (qui peut être, ou non, le détenteur du compte). Les groupes d’âge sont : de 0 à 3 ans^{Note de bas de page 58}, de 4 à 15 ans, de 16 à 17 ans, de 18 à 24 ans, de 25 à 34 ans et 35 ans ou plus. Le modèle détecte d’abord si un ou des visages sont présents dans une vidéo, et s’il y en a, il estime le groupe d’âge de la ou des personnes à l’aide d’un échantillon d’images ayant été classées manuellement comme faisant partie de certains groupes d’âge. TikTok se sert des groupes d’âge approximatifs pour favoriser la sécurité des mineurs (par exemple faire en sorte que les vidéos montrant une personne qu’on estime être âgée de moins de 16 ans ne puissent pas apparaître dans le fil Pour toi). TikTok se sert également des groupes d’âge approximatifs pour recommander du contenu dans le fil Pour toi.

    « Modèle axé sur l’âge et basé sur les données du compte – TikTok utilise un modèle axé sur l’âge et basé sur les données du compte pour classer un compte d’utilisateur [et déterminer que l’utilisateur se trouve] dans l’un des groupes d’âge suivants : moins de 16 ans, de 16 à 17 ans, de 18 à 24 ans, de 25 à 34 ans et 35 ans ou plus. Ce modèle s’appuie sur la date de naissance, les renseignements de profil et le contenu de l’utilisateur ainsi que les renseignements sur l’utilisation pour estimer le groupe d’âge. Tout comme le modèle axé sur l’âge et basé sur les données des vidéos, TikTok utilise le modèle axé sur l’âge et basé sur les données du compte en tant que mesure de sécurité (par exemple pour faire en sorte que les vidéos publiées par un utilisateur qu’on estime être âgé de moins de 16 ans ne puissent pas figurer dans le fil Pour toi) et pour recommander du contenu dans le fil Pour toi. TikTok se sert également du groupe d’âge approximatif produit par ce modèle pour comprendre la composition générale de sa base d’utilisateurs et ainsi soutenir ses stratégies commerciales.

    « Modèle axé sur l’âge et basé sur les données publicitaires – TikTok utilise un modèle capable de prédire le groupe d’âge des utilisateurs (de 13 à 17 ans, de 18 à 24 ans, de 25 à 34 ans, de 35 à 44 ans, de 45 à 54 ans et 55 ans et plus) à des fins publicitaires. Ce modèle se sert principalement des âges saisis et des renseignements sur l’utilisation pour prédire le groupe d’âge des utilisateurs; il ne traite pas les indices visuels provenant du contenu des utilisateurs. Il est utilisé pour fournir des publicités plus pertinentes et permettre aux annonceurs de cibler le groupe d’âge approprié, conformément aux politiques publicitaires de TikTok. » [Caractères gras ajoutés]

63. Lorsqu’on leur a demandé, au cours des entrevues, si TikTok avait envisagé d’utiliser l’un de ces outils (qui sont déjà utilisés à d’autres fins) pour mieux détecter les utilisateurs n’ayant pas l’âge minimum requis sur la plateforme (autre que sur TikTok LIVE), les personnes interrogées ont répondu que les outils ont été conçus et mis en œuvre à des fins précises et ne peuvent pas être directement utilisés dans d’autres contextes. Par la suite, on a demandé à une personne interrogée si TikTok avait envisagé de mettre au point des outils semblables à ceux de TikTok LIVE pour modérer l’âge sur la plateforme TikTok, et elle a répondu qu’à sa connaissance, l’entreprise ne l’avait pas envisagé.

Conclusion concernant la collecte et l’utilisation par TikTok des renseignements personnels des utilisateurs n’ayant pas l’âge minimum requis

64. Tel qu’il est expliqué précédemment, chaque année, environ 500 000 utilisateurs au Canada n’ayant pas l’âge minimum requis accèdent à la plateforme et interagissent sur cette dernière avant que leur compte soit supprimé par TikTok. De plus, étant donné que TikTok se fie beaucoup aux signalements d’autres utilisateurs qui ne sont peut-être pas formés pour détecter les jeunes utilisateurs et que ses pratiques de modération internes comportent des limites importantes, surtout en ce qui concerne les utilisateurs qui ne publient pas de contenu, il est fort probable que de nombreux utilisateurs n’ayant pas l’âge minimum requis continuent d’accéder à la plateforme et d’interagir sur celle-ci sans être détectés.
65. En outre, pour ce grand nombre d’utilisateurs n’ayant pas l’âge minimum requis qui interagissent sur la plateforme (par exemple, ceux qui le font jusqu’à ce que leur compte soit détecté et supprimé), TikTok recueille une vaste gamme de renseignements personnels potentiellement sensibles, sous forme de données sur les comportements, les intérêts, les appareils, la géolocalisation, etc., à des fins qui comprennent le ciblage publicitaire, la personnalisation de contenu et l’élaboration des outils d’apprentissage automatique de TikTok.
66. Enfin, bien que, selon les conditions de TikTok, les enfants ne soient pas autorisés à utiliser la plateforme et étant donné que les mécanismes de contrôle de l’âge de TikTok comportent des lacunes, comme il est expliqué précédemment, nous constatons que les mesures mises en place par l’entreprise sont inadéquates pour empêcher les utilisateurs n’ayant pas l’âge minimum requis d’accéder à la plateforme et pour faire en sorte que leurs données ne soient pas utilisées aux fins de suivi et de profilage.
67. À la lumière de ce qui précède (comme il est résumé aux paragraphes 64 à 66), nous estimons que la collecte et l’utilisation des renseignements personnels sensibles des utilisateurs n’ayant pas l’âge minimum requis par TikTok ne répondent pas à un intérêt légitime ni à un intérêt commercial légitime (dans le contexte de la LPRPDE, de la loi sur la protection des renseignements personnels de la Colombie-Britannique et de la loi sur la protection des renseignements personnels de l’Alberta) et ne résolvent pas un enjeu légitime (dans le contexte de la Loi sur les renseignements personnels dans le secteur privé du Québec). Nous sommes donc d’avis que, même si TikTok affirme que sa collecte et son utilisation des renseignements sont involontaires, les fins auxquelles l’entreprise recueille et utilise les renseignements personnels des utilisateurs sont inacceptables, déraisonnables et illégitimes et que TikTok a enfreint le paragraphe 5(3) de la LPRPDE, l’article 4 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, les articles 11 et 14 de la loi sur la protection des renseignements personnels de la Colombie-Britannique, et les articles 11 et 16 de la loi sur la protection des renseignements personnels de l’Alberta.
68. Étant donné que TikTok sait que des centaines de milliers d’utilisateurs n’ayant pas l’âge minimum requis accèdent à sa plateforme chaque année au Canada seulement et qu’elle recueille et utilise de vastes quantités de renseignements personnels, notamment des renseignements sensibles, concernant les utilisateurs de la plateforme, nous sommes profondément préoccupés par les mesures limitées que l’entreprise a mises en place pour empêcher les enfants d’utiliser la plateforme. Nous sommes particulièrement troublés par le fait que, même si TikTok a mis en œuvre de nombreux outils d’analyse sophistiqués pour estimer l’âge des utilisateurs à diverses fins commerciales, notre enquête a permis de déterminer que l’entreprise n’a même pas envisagé d’utiliser ces outils ou des outils semblables pour empêcher les utilisateurs n’ayant pas l’âge minimum requis d’accéder à la plateforme et pour faire en sorte que leurs données ne soient pas utilisées aux fins de suivi et de profilage.

ENJEU 2 : TikTok obtient-elle un consentement valide et valable de la part de ses utilisateurs aux fins de suivi, de profilage, de ciblage et de personnalisation de contenu?

69. À titre préliminaire, une organisation ne peut pas se fier au consentement d’une personne pour la collecte, l’utilisation ou la communication des renseignements personnels qui concernent celle-ci à des fins qui ne sont pas acceptables, raisonnables ou légitimes au sens des lois. Autrement dit, l’obtention du consentement ne signifie pas que des fins autrement inacceptables deviennent acceptables. Étant donné que nous avons conclu que TikTok recueille et utilise les renseignements personnels des enfants à des fins inacceptables, nous n’avons pas à déterminer si TikTok a obtenu un consentement valide de la part de ces utilisateurs.
70. Cependant, nous avons examiné si TikTok a obtenu un consentement valide et valable de la part i) des adultes (18 ans et plus) et ii) des jeunes (de 13 à 17 ans). Nous avons examiné séparément le consentement de ces deux groupes, car leur capacité de comprendre les pratiques de TikTok en matière de protection de la vie privée et les communications connexes peut différer.
71. De plus, comme il a été expliqué au paragraphe 28, TikTok a indiqué, et nous n’avons aucune preuve du contraire, qu’elle ne communique pas à des tiers des renseignements personnels sous forme de profils ou de données de ciblage à des fins précises de ciblage publicitaire et de personnalisation de contenu^{Note de bas de page 59}. Notre analyse porte donc principalement sur la collecte et l’utilisation des renseignements personnels par TikTok à de telles fins.
72. Pour les motifs énoncés ci-après, les commissariats constatent que TikTok n’a pas expliqué aux utilisateurs ses pratiques en matière de suivi, de profilage, de ciblage publicitaire et de personnalisation de contenu d’une manière suffisamment claire ou accessible, et n’a donc pas obtenu un consentement valable de la part des utilisateurs de la plateforme, notamment les jeunes.
73. Les lois, à l’exception de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (voir le paragraphe 148), stipulent que le consentement des personnes est requis pour la collecte, l’utilisation et la communication de leurs renseignements personnels, à moins qu’une exception ne s’applique. Le type de consentement requis varie selon les circonstances et la sensibilité des renseignements personnels.
74. Selon l’article 4.3 de l’annexe 1 de la LPRPDE, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il n’y ait expressément une exemption à ces exigences en vertu de l’article 7 de la LPRPDE. Précisément, selon l’article 4.3.2, les entreprises doivent énoncer les fins de façon que la personne puisse raisonnablement comprendre de quelle manière ses renseignements personnels seront utilisés. L’article 4.3.4 prévoit aussi que la forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme du consentement, les organisations tiennent compte de la nature sensible des renseignements. Une organisation devrait généralement chercher à obtenir un consentement explicite lorsqu’il est possible que les renseignements soient considérés comme étant de nature sensible.
75. De plus, pour assurer la validité du consentement, l’article 6.1 de la LPRPDE stipule que la personne doit être en mesure de comprendre raisonnablement la nature, les fins et les conséquences de la collecte. Le consentement valide dépend généralement de la capacité cognitive et de la maturité développementale des personnes. Il s’agit d’une information très pertinente dans le cas de TikTok, qui compte de nombreux utilisateurs âgés de 13 à 17 ans.
76. Parallèlement, le paragraphe 7(1) de la loi sur la protection des renseignements personnels de l’Alberta prévoit que le consentement de la personne est requis pour la collecte, l’utilisation ou la communication de renseignements personnels qui la concernent, sauf en cas d’exemption prévue par cette même loi. Dans l’article 8 de la loi sur la protection des renseignements personnels de l’Alberta, les diverses formes de consentement sont énoncées. Elles comprennent les trois possibilités suivantes :
    1. le consentement oral ou écrit explicite;
    2. le consentement présumé, lorsqu’il est raisonnable qu’une personne fournisse volontairement les renseignements à une fin particulière;
    3. le consentement par refus lorsque l’organisation doit fournir à la personne un avis facile à comprendre des fins particulières de la collecte, de l’utilisation ou de la communication, que la personne a une possibilité raisonnable de refuser ou auquel elle peut s’opposer, et le consentement par refus est approprié compte tenu du degré de sensibilité des renseignements personnels en cause.
77. La loi sur la protection des renseignements personnels de la Colombie-Britannique comporte des exigences semblables à celles qui précèdent. Conformément à l’article 6 de cette loi, le consentement pour la collecte, l’utilisation ou la communication de renseignements personnels est requis, à moins qu’une exemption ne soit expressément autorisée par cette même loi. Le paragraphe 7(1) de la loi sur la protection des renseignements personnels de la Colombie-Britannique stipule qu’une personne ne peut pas consentir à moins d’avoir reçu un avis^{Note de bas de page 60}. En ce qui concerne le consentement explicite ou implicite, le paragraphe 8(1) de la cette même loi énonce les circonstances dans lesquelles le consentement présumé pour la collecte, l’utilisation, ou la communication de renseignements personnels s’applique. Essentiellement, il s’applique lorsque les fins seraient évidentes pour une personne raisonnable et que la personne fournit volontairement ses renseignements personnels à ces fins.
78. Compte tenu des différences importantes dans les lois diffusées par la CAI concernant l’obligation d’informer, l’analyse de la CAI se trouve dans une section distincte commençant au paragraphe 148.

Formes de consentement

79. Comme il a été mentionné précédemment, des exigences pour obtenir le consentement ainsi que la forme que ce consentement doit prendre ont été établies dans la LPRPDE, la loi sur la protection des renseignements personnels de l’Alberta et la loi sur la protection des renseignements personnels de la Colombie-Britannique. Afin d’aider les organisations à interpréter ces lois, le CPVP, le CIPVP de l’Alberta et le CIPVP de la Colombie-Britannique ont publié conjointement les Lignes directrices pour l’obtention d’un consentement valable^{Note de bas de page 61} (les lignes directrices sur le consentement). Les lignes directrices expliquent que « les organisations doivent obtenir un consentement explicite » notamment dans les cas suivants :
    1. les renseignements recueillis, utilisés ou communiqués sont sensibles;
    2. la collecte, l’utilisation ou la communication de l’information ne répond pas aux attentes raisonnables de l’intéressé.
80. Tel qu’il a été établi aux paragraphes 40 à 45, lorsqu’ils sont regroupés, les renseignements personnels recueillis et utilisés par TikTok dans le cadre d’activités de profilage et qui servent ensuite aux fins de ciblage et de personnalisation de contenu peuvent être sensibles. Si les renseignements personnels en cause sont de nature sensible, l’organisation doit généralement obtenir un consentement explicite.
81. De plus, bien que les utilisateurs puissent raisonnablement s’attendre à ce que TikTok les suivent pendant qu’ils sont sur la plateforme, une plateforme qu’ils peuvent utiliser « gratuitement », nous jugeons qu’il ne serait pas raisonnable de s’attendre à ce que TikTok recueille la vaste gamme d’éléments de données précis (mentionnés plus tôt dans le présent rapport) ou à ce qu’elle utilise ces renseignements de nombreuses façons pour diffuser des publicités ciblées et personnaliser le contenu qui leur est présenté sur la plateforme. Bon nombre de ces pratiques sont invisibles pour l’utilisateur. Elles se déroulent en arrière-plan, ont recours à des outils technologiques complexes, comme la vision informatique et les algorithmes d’apprentissage automatique de TikTok, et se produisent à mesure que l’utilisateur interagit avec la plateforme. Si la collecte ou l’utilisation de renseignements personnels ne correspond pas aux attentes raisonnables d’une personne ou à ce qu’elle fournirait volontairement, l’organisation ne peut généralement pas se fier au consentement implicite ou présumé.
82. Compte tenu de ces deux éléments, nous sommes donc d’avis que TikTok doit obtenir un consentement explicite de la part de ses utilisateurs pour recueillir, utiliser et, si c’est le cas plus tard, communiquer, notamment grâce au suivi et au profilage, leurs renseignements personnels aux fins de ciblage publicitaire et de personnalisation du contenu sur la plateforme.

Nature valable du consentement

83. Il est à noter que, même si TikTok exige que les utilisateurs acceptent expressément ses conditions générales et sa politique de confidentialité lorsqu’ils créent un compte, pour les raisons énoncées ci-dessous, nous estimons qu’un tel consentement, par rapport à ses pratiques liées au suivi, au profilage, au ciblage et à la personnalisation de contenu, n’est pas valable. TikTok n’explique pas ces pratiques de manière à ce que les utilisateurs puissent raisonnablement comprendre comment leurs renseignements personnels seront utilisés, ni la nature, les fins et les conséquences de ses pratiques de traitement des renseignements personnels. De plus, il est à noter qu’au début de l’enquête, TikTok ne fournissait pas aux utilisateurs au Canada une version française de sa politique de confidentialité ou des nombreuses autres communications liées à la protection de la vie privée. Ainsi, le consentement n’aurait pas été valable pour les utilisateurs francophones au Canada qui ne comprennent pas l’anglais.
84. Dans les lignes directrices sur le consentement, qui expliquent l’interprétation par les commissariats des exigences en matière de consentement prévues par la LPRPDE, la loi sur la protection des renseignements personnels de l’Alberta et la loi sur la protection des renseignements personnels de la Colombie-Britannique, il est indiqué que pour que le consentement soit valable, les organisations doivent informer les personnes de leurs pratiques de protection de la vie privée de manière détaillée et en des termes faciles à comprendre. Les organisations doivent aussi, en général, mettre l’accent sur les quatre éléments clés suivants :
    1. les renseignements personnels qui sont recueillis;
    2. les parties auxquelles les renseignements personnels sont communiqués;
    3. les fins auxquelles les renseignements personnels sont recueillis, utilisés ou communiqués;
    4. le risque de préjudice et les autres conséquences.
85. Bien que TikTok ait apporté quelques améliorations à ses communications sur la protection de la vie privée peu de temps après le début de notre enquête (par exemple elle a fourni une version française pour certaines communications sur la protection de la vie privée), nous estimons que l’entreprise doit en faire plus pour obtenir un consentement valide et valable de la part des utilisateurs, comme c’est précisé plus loin.

Communications de TikTok visant la protection de la vie privée

86. TikTok a mis en place des mesures pour obtenir le consentement des utilisateurs de la plateforme lorsqu’ils commencent à l’utiliser, notamment :
    1. Lorsqu’un utilisateur se sert de l’application mobile pour la première fois, une fenêtre contextuelle renvoie aux conditions d’utilisation de TikTok et la politique de confidentialité de TikTok s’affiche. L’utilisateur doit cliquer sur un bouton pour accepter le tout et continuer à utiliser l’application (bouton « Suivant »).
    2. De plus, pendant le processus de création de compte TikTok dans l’application et le site Web, il y a des liens vers les conditions d’utilisation et la politique de confidentialité de TikTok ainsi qu’une explication selon laquelle le fait d’aller de l’avant avec la création d’un compte sert à confirmer que l’utilisateur a lu les conditions d’utilisation et la politique de confidentialité et qu’il est d’accord avec celles-ci.
87. Il convient de noter que différentes politiques de confidentialité s’appliquent aux utilisateurs de TikTok selon l’endroit où ils se trouvent, soit aux États-Unis, en Europe ou dans d’autres régions. Les utilisateurs au Canada devaient auparavant respecter la politique de confidentialité de la catégorie « Autres régions », et, dans la politique, il y a une section pour plusieurs pays de cette catégorie, y compris le Canada. Comme nous l’expliquons plus loin dans le présent rapport, nous constatons que TikTok a considérablement allongé la section pour le Canada à la suite de l’ouverture de notre enquête. En juin 2025, TikTok a publié une politique de confidentialité distincte pour le Canada en réponse à nos recommandations.
88. TikTok a expliqué que, en plus de sa politique de confidentialité, l’entreprise utilise une approche de présentation de l’information par couches pour transmettre d’autres communications sur la protection de la vie privée. Ces couches comprennent des fenêtres contextuelles et des avis « juste-à-temps » dans l’application (par exemple, lorsqu’un utilisateur rend son compte public, active les services de localisation ou le statut d’activité, ou synchronise ses contacts). Ces communications fournissent aux utilisateurs des renseignements sur diverses pratiques propres aux données et fonctionnalités; ces renseignements sont d’une précision variable et comportent parfois des liens vers d’autres renseignements. TikTok a indiqué qu’il y avait des différences dans la mise en œuvre de ces messages sur différentes plateformes numériques (iOS, Android, application Web) et les commissariats l’ont aussi remarqué^{Note de bas de page 62}. Il est à noter que, même si les développeurs peuvent personnaliser les avis sur certaines plateformes de système d’exploitation, mais pas toutes, les avis sont généralement similaires dans tous les systèmes d’exploitation. Les images ci-dessous sont des exemples de quatre avis de ce genre.
    

    

    Version textuelle de la figure 3

    Une image de l’invite d’inscription de TikTok présentée sur les appareils Android. Il est offert de s’inscrire en utilisant un numéro de téléphone, une adresse courriel, Facebook ou Google. L’explication concernant les numéros de téléphone est la suivante : « Ton numéro peut être utilisé pour te mettre en relation avec d’autres personnes, pour améliorer les publicités et plus encore, en fonction de tes paramètres. »

    

    Version textuelle de la figure 4

    Une image d’une invite de TikTok présentée sur les appareils Android demandant à un utilisateur s’il souhaite « passer à un compte public ». Il est mentionné « Tout le monde pourra te suivre et voir tes publications publiques; Tout le monde peut faire des Duos avec tes vidéos, sauf avec celles que tu n’auras pas autorisées; Tout le monde peut faire des Collages avec tes vidéos, sauf avec celles que tu n’auras pas autorisées; Tout le monde peut télécharger tes vidéos ». On voit ensuite les options « Annuler » ou « Basculer ».

    

    Version textuelle de la figure 5

    Une image d’une notification TikTok présentée sur un appareil Android demandant l’accès à l’appareil pour autoriser l’envoi de notifications. On peut y voir le texte suivant : « Ne manque rien sur TikTok! Autorise les notifications pour recevoir des mises à jour concernant les j’aime, les commentaires, les dernières vidéos et plus encore. » On voit ensuite les options « Autoriser » ou « Ne pas autoriser ».

    

    Version textuelle de la figure 6

    Une image d’une notification TikTok présentée sur un appareil iOS demandant l’accès à l’appareil pour autoriser l’envoi de notifications. Il est mentionné : « Pour garder le rythme avec les j’aime, commentaires, les dernières vidéos et plus, autorise TikTok à t’envoyer des notifications. » La mention est suivie d’une fenêtre contextuelle indiquant : « Autorisez-vous "TikTok" à vous envoyer des notifications? » Ensuite, on y voit en plus petit : « Les notifications peuvent inclure des alertes, des sons et des pastilles d’icônes. Vous pouvez les configurer dans Réglages. » La mention est suivie des options « Refuser » et « Autoriser ».
89. Enfin, TikTok a indiqué qu’elle mettait à la disposition des utilisateurs un éventail de contenu complémentaire afin d’expliquer davantage ses pratiques en ce qui a trait à la protection de la vie privée. Ce contenu comprend notamment diverses lignes directrices, divers articles, diverses politiques propres aux services, un centre d’aide, une foire aux questions (FAQ) et les vidéos officielles de ses canaux^{Note de bas de page 63}. Ces ressources sont disponibles dans différentes sections et à divers emplacements du site Web de TikTok ou de l’application TikTok.

Communications sur la protection de la vie privée propres aux jeunes

90. TikTok a indiqué qu’elle déploie en des efforts particuliers pour préserver la confidentialité des jeunes (âgés de 13 à 17 ans) et les aider (et leurs parents ou tuteurs) à prendre des décisions éclairées sur la plateforme, notamment en leur offrant des renseignements importants sur la protection de la vie privée de diverses façons.
91. TikTok a indiqué que, lorsqu’il est déterminé qu’un compte appartient à une personne âgée de moins de 18 ans, divers paramètres et restrictions de protection de la vie privée sont appliqués comme suit :

    Fonctionnalités de TikTok	De 13 à 15 ans	De 16 à 17 ans
    Compte privé ou public	Privé par défaut (seules les personnes approuvées par l’utilisateur peuvent s’abonner au compte de l’utilisateur, consulter le profil de l’utilisateur et regarder ses vidéos)	Public par défaut *Au cours de notre enquête, TikTok a modifié ce paramètre pour que les comptes des utilisateurs dans ce groupe d’âge soient également privés par défaut.
    Suggestion du compte à d’autres utilisateurs – par exemple à des fins d’abonnement ou de consultation	Désactivée par défaut (et les comptes ne peuvent pas être suggérés aux connexions mutuelles même si elle est activée)	Désactivée par défaut (et les comptes ne peuvent pas être suggérés aux connexions mutuelles même si elle est activée)
    Autorisation visant à ce que les vidéos publiées soient téléchargées par d’autres personnes	Désactivée – ne peut pas être modifiée	Désactivée par défaut
    Capacité d’envoyer ou de recevoir des messages directs	Non offerte	Désactivée par défaut, mais peut être modifié pour inclure les amis ou les amis suggérésNote de bas de page 64
    Possibilité pour les autres utilisateurs de commenter les vidéos	« Amis » par défaut	« Abonnés » (si un compte est privé) ou « Tout le monde » (si un compte est public) par défaut
    Capacité pour les autres utilisateurs d’utiliser la fonction Duo (publier une vidéo côte à côte en utilisant une vidéo de la personne) ou la fonction Collage (inclure une partie de la vidéo de la personne dans l’une de ses propres vidéos) avec l’utilisateur	Non disponible	« Moi uniquement » (si un compte est privé) ou « Amis » (si un compte est public) par défaut
    Diffusion en direct	Non disponible	Non disponible
    Don de cadeaux virtuels (achat et envoi)	Non disponible	Non disponible
    Possibilité pour les autres utilisateurs de créer des « stickers vidéo » à l’aide du contenu de la vidéo d’une personne	Non disponible	« Moi uniquement » (si un compte est privé) ou « Amis » (si un compte est public)

92. TikTok a indiqué que, en plus d’avoir mis en œuvre ces paramètres par défaut, elle a pris des mesures pour préparer des documents et des vidéos visant expressément les jeunes afin de les aider à prendre des décisions éclairées concernant leur vie privée. Elles comprennent notamment :
    1. L’offre d’un ensemble de vidéos (généralement non disponibles en français) pour fournir aux jeunes de l’information sur la sûreté et la sécurité, de divers paramètres de confidentialité liés au partage de vidéos avec d’autres utilisateurs ainsi que de contrôles visant les messages et les commentaires, entre autres sujets. Ces vidéos ont été publiées par TikTok Tips et TikTok Canada, deux comptes officiels de la plateforme.
    2. Le lancement par TikTok en 2020 du Centre de sécurité pour les adolescents, qui comprend des ressources couvrant des sujets relatifs à la sécurité des comptes (article « Protégez votre compte ») et à la limitation de l’accès des autres utilisateurs aux vidéos (article « Définissez votre visibilité »). En septembre 2024, TikTok a mis à jour les ressources du portail, a renommé ce dernier le « Centre de sécurité pour les adolescents » et y a ajouté des conseils et des commentaires du Conseil des jeunes au niveau mondial de TikTok. Le Centre de sécurité pour les adolescents contient maintenant un guide connexe sur le bien-être numérique, qui offre des conseils pour réfléchir au temps d’écran, présente des outils pour prendre soin de son bien-être numérique (par exemple, limites quotidiennes et pauses de temps d’écran) et fournit des renseignements sur les paramètres servant à limiter la façon dont les utilisateurs peuvent interagir avec les jeunes.

Consentement valable des adultes (personnes de 18 ans et plus)

93. En ce qui concerne les utilisateurs adultes, pour les raisons énoncées ci-dessous, nous avons déterminé que TikTok n’expliquait pas ses pratiques en matière de protection de la vie privée – pour ce qui est de la collecte et de l’utilisation de renseignements personnels effectuées dans le cadre d’activités de suivi et de profilage et servant par la suite aux fins de ciblage publicitaire et de personnalisation de contenu – d’une manière qui permettrait d’obtenir un consentement valable de ces utilisateurs.
94. Nous reconnaissons que TikTok met à la disposition des utilisateurs des renseignements importants concernant ses pratiques de protection de la vie privée, notamment en produisant certains avis juste-à-temps et en présentant l’information par couches (qui sont de bonnes pratiques, comme il est indiqué dans les Lignes directrices pour l’obtention d’un consentement valable). Nous notons également qu’à la suite du lancement de notre enquête, TikTok a apporté diverses améliorations à sa politique de confidentialité pour mieux expliquer certaines de ses pratiques, comme il est expliqué au paragraphe 125 plus loin.
95. Cela dit, nous avons constaté que i) TikTok ne fournit pas certains renseignements clés dès le début sur ses pratiques en matière de protection de la vie privée; ii) sa politique de confidentialité n’explique pas ses pratiques de façon suffisamment détaillée pour permettre aux utilisateurs de comprendre de façon raisonnable comment leurs renseignements personnels seront utilisés et à quelles fins ils le seront; iii) d’autres documents disponibles contenant de l’information supplémentaire étaient difficiles à trouver (par exemple il n’y avait aucun lien menant à ceux-ci dans la politique de confidentialité), de sorte qu’il est probable que les utilisateurs ne les lisent jamais; et iv) de nombreux documents clés, y compris la politique de confidentialité de TikTok n’étaient pas accessible en français (avant le début de notre enquête) pour appuyer l’obtention d’un consentement valable de la part des utilisateurs au Canada qui ne comprennent pas l’anglais.

Renseignements clés non fournis dès le début

96. Bien que les avis intégrés à l’application de TikTok fournissent certains renseignements clés dès le début ou juste à temps pour des fonctions précises (utilisation des services de localisation, communication des contacts, modification apportée pour rendre les comptes publics, etc.), ces avis ne couvrent qu’un certain nombre de sujets. De plus, étant donné qu’il s’agit de petites fenêtres contextuelles conçues pour les appareils mobiles et que l’espace est donc limité, les avis fournissent peu d’information sur chaque pratique.
97. Nous avons également remarqué que certains éléments clés des pratiques de confidentialité de TikTok ne sont pas mis en évidence lorsque les gens s’inscrivent à TikTok (ou créent un compte). Ces renseignements se trouvent plutôt dans la longue politique de confidentialité de TikTok et les documents connexes. À notre avis, peu d’utilisateurs risquent de lire la politique et ces documents. Plus précisément, étant donné que le modèle opérationnel principal de TikTok consiste à générer des revenus de publicité par la personnalisation du contenu et la diffusion de publicités ciblées, nous nous attendons à ce que des renseignements clés soient expliqués dès le début aux utilisateurs et mis en évidence lors de la création d’un compte pour qu’ils puissent prendre une décision valable quant à la création d’un compte et leur interaction avec la plateforme, par exemple :
    1. les divers types de renseignements personnels que TikTok recueille auprès des utilisateurs et déduit à leur sujet (décrits au paragraphe 26), notamment les renseignements liés aux vidéos visionnées et publiées^{Note de bas de page 65}, les commentaires publiés, l’emplacement, les renseignements sur les appareils, les paramètres du système et les renseignements provenant de sources tierces;
    2. le fait que les renseignements personnels seront notamment utilisés aux fins d’analyse et de déduction de données démographiques et d’intérêts, et de développement des outils d’apprentissage automatique et des algorithmes, ce qui servira à recommander du contenu et à diffuser des publicités ciblées.

Politique de confidentialité

98. Conformément aux lignes directrices sur le consentement, les personnes qui souhaitent obtenir des précisions devraient aussi se voir fournir une explication détaillée et en des termes faciles à comprendre sur les pratiques de TikTok en matière de protection de la vie privée. Habituellement, cette information devrait être fournie dans la politique de confidentialité de TikTok ou dans d’autres communications sur la protection de la vie privée, comme les articles ou les foires aux questions sur des sujets donnés.
99. Selon ce que nous avons déterminé, bien que la politique de confidentialité de TikTok résume de nombreux éléments de ses pratiques, elle n’est pas assez précise. TikTok devrait fournir aux utilisateurs des renseignements ou des communications supplémentaires accessibles pour obtenir un consentement valable. Dans la politique, divers types de renseignements personnels que TikTok recueille sont présentés en détail dans les sections « Les renseignements que vous fournissez », « Renseignements recueillis automatiquement » et « Renseignements provenant d’autres sources ». Toutefois, il n’y a pas d’explication précise concernant les renseignements personnels qui seront utilisés à chaque fin et la façon dont ils seront utilisés à ces fins. Au lieu de cela, la politique fournit une longue liste d’utilisations possibles de ces renseignements dans la section « Comment nous utilisons vos renseignements », et ce, souvent sans qu’il ne soit mentionné de lien entre les renseignements précis recueillis et leur utilisation potentielle.
100. TikTok a fourni aux commissariats des renseignements détaillés sur l’utilisation de chaque type de renseignements personnels, mais, dans bien des cas, nous n’avons pas pu trouver d’explications semblables dans les communications accessibles au public. Lorsque de telles explications étaient fournies, elles se trouvaient souvent dans divers documents supplémentaires que les commissariats ont eu du mal à trouver, comme nous l’expliquerons plus loin.
101. De plus, dans sa politique de confidentialité, TikTok n’explique que de façon sommaire plusieurs de ses technologies complexes et de ses pratiques en matière de protection de la vie privée, et nous considérons que ses explications ne suffisent pas pour que les utilisateurs comprennent bien les pratiques auxquelles ils doivent consentir.
102. Par exemple, TikTok explique dans la politique de confidentialité qu’elle peut utiliser les renseignements personnels pour « former et améliorer [sa] technologie, telle que [ses] modèles et algorithmes d’apprentissage automatique ». Bien qu’il soit important d’informer les personnes d’une telle utilisation, nous considérons que l’explication fournie par TikTok est vague. La politique de confidentialité ne fournit aucun aperçu des modèles ou des algorithmes qui sont entraînés, de la façon dont ils sont entraînés, des renseignements personnels utilisés pour les entraîner, des fins pour lesquelles ils sont utilisés ou des conséquences de ces algorithmes pour les personnes qui utilisent la plateforme.
103. L’explication de TikTok selon laquelle elle utilisera les renseignements personnels pour « [a]méliorer et développer [sa p]lateforme et mener le développement de produits » est également incomplète et vague, car elle n’indique pas quels renseignements personnels seront utilisés pour améliorer la plateforme ou comment ils seront utilisés à cette fin. À cet égard, dans les lignes directrices sur le consentement, il est indiqué précisément qu’« améliorer le service » est un exemple de formulation qui ne permet pas de bien comprendre ce à quoi on demande de consentir.
104. À titre de troisième exemple d’explication incomplète ou de formulation vague, dans sa politique de confidentialité, TikTok stipule qu’elle utilise des renseignements personnels pour « [é]valuer et comprendre l’efficacité des publicités et autres contenus qu’[elle] présent[e aux utilisateurs], ainsi qu’à d’autres, et pour [diffuser] de la publicité, y compris de la publicité ciblée, sur la [p]lateforme ». Dans cette formulation, il n’est pas indiqué quels renseignements personnels sont utilisés pour produire des publicités ciblées ou mesurer l’efficacité de ces publicités, et il n’est pas expliqué comment TikTok utilisera ces renseignements pour produire des publicités ciblées, une pratique très complexe qui comporte de multiples facettes, comme il a été expliqué précédemment dans le présent rapport.

Ressources supplémentaires sur la protection de la vie privée

105. Dans ses observations fournies aux commissariats, TikTok a également inclus des liens vers plusieurs des documents suivants : lignes directrices visant des sujets donnés, cadres, politiques propres aux services, articles dans le centre d’aide, documents sur l’API, FAQ, questions et réponses, instructions, etc. Nous avons remarqué que ces ressources, bien qu’elles soient souvent détaillées et contiennent généralement des renseignements importants concernant les pratiques de TikTok en matière de protection de la vie privée, sont réparties sur son site Web de manière peu intuitive et souvent, elles ne contiennent aucun lien vers la politique de confidentialité. Les commissariats ont déterminé qu’il était donc très difficile pour les utilisateurs de les trouver.
106. Comme il est indiqué dans les lignes directrices sur le consentement, les renseignements sur les pratiques d’une organisation en matière de protection de la vie privée doivent être fournis aux personnes dans un format gérable et facilement accessible. Si l’information est dispersée sur un site Web et qu’elle est difficile à trouver, les gens ne seront pas informés adéquatement des pratiques de l’organisation.
107. Par exemple, TikTok a transmis aux commissariats un lien vers l’article « Les publicités et tes données » dans son Centre de confidentialité, qui explique quels renseignements personnels sont utilisés pour les publicités personnalisées, comment les données sont partagées avec les partenaires de mesure et la façon dont l’efficacité est mesurée. Cet article comprend à son tour un lien vers le portail d’entreprise de TikTok (TikTok Business Center), qui fournit des renseignements supplémentaires sur les outils de mesure des publicités. Même si chacune de ces explications aide les utilisateurs à comprendre les pratiques de TikTok en matière de publicités ciblées, ni l’article, ni le Centre de confidentialité de façon générale, n’étaient accessibles par l’intermédiaire de la politique de confidentialité et ils n’étaient pas mentionnés dans celle-ci non plus. Par conséquent, bien que TikTok ait affirmé qu’il s’agit d’un élément essentiel de ses efforts visant à obtenir le consentement pour la collecte et l’utilisation de renseignements personnels, les gens ne peuvent pas facilement accéder à ces articles au moment où le consentement est demandé.
108. De même, en ce qui concerne les recommandations relatives au contenu (par exemple vidéos précises), TikTok a produit un article détaillé dans le Centre d’aide intitulé « Comment TikTok recommande le contenu ». Dans cet article, on présente le système de recommandation du contenu, explique quels sont les renseignements utilisés pour la recommandation de contenu et précise comment une personne peut avoir un contrôle sur ce qui lui est recommandé. Cependant, ni cet article ni le Centre d’aide ne sont facilement accessibles par l’intermédiaire de la politique de confidentialité.

Communications en français sur la protection de la vie privée

109. De plus, nous constatons que bon nombre des communications sur la protection de la vie privée dont nous avons discuté précédemment, notamment la politique de confidentialité, les conditions d’utilisation et diverses ressources supplémentaires sur la protection de la vie privée, n’étaient pas accessibles en français pour les utilisateurs au Canada, que ce soit par l’intermédiaire du site Web ou de l’application au début de notre enquête. Par conséquent, même si les communications de TikTok en matière de protection de la vie privée avaient été suffisantes pour obtenir le consentement valable des utilisateurs anglophones, ce que nous estimons qui n’est pas le cas, les utilisateurs francophones au Canada qui ne comprennent pas l’anglais n’auraient pas pu bien comprendre les pratiques de TikTok en matière de protection de la vie privée.

Consentement à l’utilisation des renseignements biométriques

110. Enfin, en plus d’avoir examiné si TikTok obtenait généralement le consentement valable des adultes – et après avoir constaté, comme il est indiqué ci-dessus, qu’elle ne le faisait pas – nous avons également examiné de façon plus précise si TikTok obtenait un consentement valable pour son utilisation de l’analyse faciale. TikTok a indiqué qu’elle utilise ses divers modèles d’estimation de l’âge pour analyser les caractéristiques dans une image faciale détectée. Nous notons que dans de nombreuses circonstances, l’analyse faciale constituera une collecte et une utilisation de renseignements biométriques et que ceux-ci peuvent à leur tour être de nature hautement sensible.
111. TikTok a expliqué que son modèle axé sur l’âge et basé sur les données des vidéos (voir le paragraphe 62) est fondé sur une architecture ouverte^{Note de bas de page 66} et est développé à l’interne. L’entreprise a également expliqué que le modèle utilise la technologie de vision par ordinateur pour analyser les caractéristiques dans une image faciale détectée, ce qui lui permet d’estimer l’âge et de déterminer le genre des personnes figurant dans les vidéos. TikTok a ajouté que, bien que cette information soit associée à chaque vidéo, l’estimation de l’âge n’est pas associée au compte de la personne qui a publié la vidéo aux fins d’une analyse approfondie ou d’une autre utilisation.
112. L’entreprise a également expliqué que l’estimation de l’âge sert à i) classer les vidéos aux fins de recommandation et de ciblage (par exemple pour inclure ou exclure la vidéo des flux « Pour toi » d’autres utilisateurs) et à ii) protéger la sécurité des mineurs, dans le cadre des outils utilisés par TikTok pour détecter le contenu inapproprié publié sur la plateforme (notamment le matériel d’exploitation sexuelle d’enfants [MESE]). La dernière fin mentionnée n’est pas incluse dans la portée de notre enquête.
113. Afin de mieux comprendre la mise en œuvre par TikTok de la vision informatique pour détecter les visages et estimer l’âge, les commissariats ont participé à plusieurs séances de questions adressées à la compagnie au sujet de ses fonctions technologiques. TikTok a fourni des spécifications techniques étendues et de la documentation en lien avec la technologie, et a expliqué que celle-ci est fondée sur i) un algorithme de détection d’objets utilisé pour détecter la présence d’un visage et ii) un réseau neural convolutif^{Note de bas de page 67} couramment utilisé dans le domaine de la vision informatique pour la classification des images. TikTok a ensuite entraîné ce réseau neural convolutif avec des données provenant du contenu accessible au public qui a été publié par ses utilisateurs.
114. TikTok a expliqué que son modèle d’estimation de l’âge analyse le contenu sur TikTok pour détecter des visages à l’aide de l’algorithme de détection d’objets. Si un visage est détecté, le contenu est versé dans le réseau neuronal convolutif. TikTok a entraîné ce dernier pour la classification par âge; le modèle applique des filtres à l’image afin d’extraire les caractéristiques faciales qu’il utilise pour estimer l’âge sans créer ni conserver une représentation numérique du visage complet. Le modèle analyse ensuite ces caractéristiques ciblées et estime une tranche d’âge pour l’utilisateur, comme il est décrit au paragraphe 62. Selon les explications de TikTok, à mesure que le modèle suit chaque étape du processus, il supprime les détails recueillis pour éviter que les données ne soient conservées. Une fois le processus terminé, il ne reste plus aucune représentation numérique, signature ou image; il reste seulement une note finale correspondant à une estimation de la tranche d’âge.
115. TikTok a indiqué qu’elle n’utilise pas de technologie biométrique, affirmant que la biométrie comprend obligatoirement la capacité d’identifier ou d’authentifier une personne en particulier et que sa technologie, qui est décrite précédemment, ne lui permet pas de le faire. De plus, elle a affirmé que les décisions réglementaires en matière de protection des renseignements personnels prises par des organisations canadiennes et les directives actuelles ont défini les données biométriques comme des renseignements qui sont tirés d’une analyse des caractéristiques physiques, comportementales ou biologiques d’une personne et qui permettent d’identifier ou d’authentifier la personne en particulier. Plus précisément, TikTok a affirmé ce qui suit :
     1. Le document d’orientation sur la biométrie du CPVP^{Note de bas de page 68} accessible au moment où l’entreprise a soumis ses observations définissait la biométrie comme étant « un éventail de techniques, d’appareils et de systèmes permettant aux machines de reconnaître des personnes ou de confirmer ou d’authentifier leur identité » en analysant des caractéristiques physiques ou comportementales uniques. Nous notons toutefois que ce document a initialement été publié en 2011 et qu’il a récemment été remplacé par un nouveau document d’orientation sur la biométrie^{Note de bas de page 69}, qui tient compte des développements liés à la technologie biométrique et des façons dont celle-ci a été utilisée au cours des 14 dernières années. Ce nouveau document définit la biométrie comme étant la quantification des caractéristiques humaines en termes mesurables et reconnaît que la biométrie peut être utilisée aux fins de classification et de reconnaissance faciale.
     2. Les conclusions de l’enquête conjointe sur Cadillac Fairview^{Note de bas de page 70} ont révélé que les « représentations numériques biométriques » étaient des « renseignements personnels de nature délicate qui pourraient servir à identifier les gens en fonction de leurs caractéristiques faciales uniques ». Toutefois, nous notons que cette définition s’appliquait aux représentations numériques du visage complet utilisées par Cadillac Fairview dans cette affaire et non à la biométrie dans son ensemble.
     3. Selon le document de la CAI intitulé « Biométrie : principes à respecter et obligations légales des organisations^{Note de bas de page 71} », « la biométrie désigne l’ensemble des techniques qui permettent d’analyser une ou plusieurs des caractéristiques uniques d’une personne (physiques, comportementales ou biologiques) afin de déterminer ou de prouver son identité ». Le guide de la CAI a été élaboré pour faciliter l’application des articles 44 et 45 de la Loi concernant le cadre juridique des technologies de l’information (chapitre C-1.1), qui portent sur l’utilisation des caractéristiques ou des mesures biométriques aux fins de vérification ou de confirmation de l’identité d’une personne. Ainsi, comme l’indique clairement le guide, la définition de « biométrie » qui y figure ne doit être appliquée qu’à ce contexte. Cependant, le guide reconnaît que les mesures biométriques peuvent être utilisées « à d’autres fins que la vérification ou la confirmation de l’identité des individus ».
116. Enfin, TikTok a affirmé que la position des commissariats ne cadre pas avec la définition courante du terme « biométrie » selon les régimes de protection des renseignements personnels comparables à l’extérieur du Canada, citant le paragraphe 4(14) du RGPD, qui indique que les données biométriques servent à identifier des personnes particulières ou à confirmer l’identification de personnes particulières. Toutefois, nous notons que chaque commissariat doit interpréter ses propres lois et que l’incidence de cette définition doit être examinée à la lumière des lois.
117. Les commissariats n’ont trouvé aucun élément probant indiquant que TikTok utilise la vision par ordinateur pour identifier ou authentifier des personnes. De plus, après avoir porté une attention particulière à la technologie en question, nous acceptons l’affirmation de TikTok selon laquelle cette technologie ne vise pas la collecte ou l’utilisation de renseignements qui pourraient servir à identifier une personne en particulier.
118. Cela dit, à notre avis, le terme « renseignements biométriques » ne devrait pas seulement désigner les renseignements pouvant servir à identifier une personne. Nous considérons donc que la technologie de TikTok recueille et utilise des renseignements biométriques, car elle recueille et analyse des représentations numériques de diverses caractéristiques physiologiques de personnes.
119. De plus, il n’est pas nécessaire que les renseignements biométriques permettent d’identifier précisément une personne pour révéler des renseignements sensibles à son sujet, car les renseignements personnels déduits des renseignements biométriques peuvent eux-mêmes être sensibles, selon les circonstances. Dans le présent contexte, TikTok utilisait des renseignements biométriques pour déduire des renseignements personnels supplémentaires sur les utilisateurs, y compris leur genre; ces données peuvent être sensibles, notamment dans les cas où le genre suggéré au moyen des renseignements biométriques d’une personne diffère de la façon dont elle se perçoit.
120. Dans sa politique de confidentialité, TikTok explique ses pratiques par rapport à ce que nous avons déterminé comme étant des renseignements biométriques. La politique explique que TikTok recueillera divers types de renseignements au moyen de la vision par ordinateur, notamment en détectant « l’existence et l’emplacement dans une image des caractéristiques et des attributs du visage et du corps^{Note de bas de page 72} ». Elle précise également que ces types de renseignements seront utilisés à diverses fins, notamment la classification démographique et la recommandation de contenu et de publicités.
121. En comparaison, nous avons constaté que la version américaine de la politique de confidentialité fournit plus de renseignements aux utilisateurs, car elle contient un lien vers un autre document, qui n’est pas présenté aux utilisateurs du Canada et qui explique en détail comment les renseignements biométriques sont recueillis et les fins auxquelles ils seront utilisés.
122. Enfin, nous constatons que les renseignements clés sur les pratiques de TikTok visant les renseignements biométriques (et l’analyse faciale) ne sont pas fournis dès le début et mis en évidence pendant la création d’un compte. Un utilisateur qui s’inscrit à TikTok n’aurait aucune raison de s’attendre à ce que TikTok analyse ses traits faciaux à diverses fins, et il est peu probable qu’il consulte la longue politique de confidentialité de TikTok pour en savoir plus sur les pratiques de l’entreprise en matière de traitement des renseignements biométriques. De plus, même si un utilisateur devait examiner la politique dans son intégralité, l’information fournie (voir le paragraphe 120) n’explique pas comment TikTok utilisera les renseignements biométriques ou l’analyse faciale pour estimer son âge et déterminer son genre afin de diffuser des publicités ciblées et de recommander du contenu. Par conséquent, nous concluons que les communications sur la protection de la vie privée fournies par TikTok ne permettent pas aux utilisateurs du Canada de comprendre de façon raisonnable les pratiques de TikTok en matière de traitement des renseignements biométriques et leurs conséquences.

Conclusion concernant la nature valable du consentement des adultes (18 ans et plus)

123. Compte tenu des éléments ci-dessus, notamment de la liste non exhaustive d’exemples fournie pour illustrer des lacunes précises, nous avons déterminé que TikTok n’a pas obtenu le consentement valable des utilisateurs adultes pour sa collecte et son utilisation de renseignements personnels effectuées dans le cadre d’activités de suivi et de profilage et destinés ensuite aux fins de ciblage publicitaire et de personnalisation de contenu. Plus précisément, nous avons constaté que i) certains renseignements clés sur les pratiques de TikTok n’ont pas été fournis dès le début aux utilisateurs pour décider s’ils fournissent ou non leur consentement; ii) la politique de confidentialité n’a pas fourni une explication suffisamment claire et exhaustive de certaines pratiques de TikTok en ce qui concerne les fins en question et les documents fournissant des renseignements supplémentaires importants n’étaient pas facilement accessibles pour les utilisateurs; iii) la politique de confidentialité et les autres communications pertinentes en matière de protection de la vie privée n’étaient pas été fournies en français; iv) TikTok n’a pas expliqué adéquatement sa collecte et son utilisation des renseignements biométriques des utilisateurs.
124. Par conséquent, nous considérons que TikTok a contrevenu aux articles 4.3 et 4.3.2 de l’annexe 1, ainsi qu’à l’article 6.1 de la LPRPDE; aux articles 7 et 8 de la loi sur la protection des renseignements personnels de l’Alberta; et aux articles 6 et 7 de la loi sur la protection des renseignements personnels de la Colombie-Britannique.

Changements apportés aux communications de TikTok sur la protection de la vie privée pendant notre enquête

125. Après le début de notre enquête, TikTok a indiqué considérablement plus de renseignements destinés aux utilisateurs situés au Canada dans sa politique de confidentialité. En février 2023, soit au début de notre enquête, TikTok ne fournissait pas de renseignements précis pour le Canada, destiné aux utilisateurs situés au Canada, mis à part un lien pour communiquer avec une personne-ressource du bureau de la protection des données (pour les personnes au Québec). Elle a depuis ajouté une autre section pour les utilisateurs situés au Canada, qui comporte des conditions ou des explications supplémentaires, notamment pour :
     1. établir que la plateforme ne peut être utilisée au Québec que par des personnes âgées d’au moins 14 ans;
     2. indiquer que les personnes ont le droit d’accéder à leurs renseignements personnels que TikTok détient, qu’elles peuvent les mettre à jour et les corriger, et retirer leur consentement à la collecte, à l’utilisation et à la communication de leurs renseignements personnels en communiquant avec le Bureau de la confidentialité de l’entreprise;
     3. expliquer que les personnes peuvent se désabonner des courriels de marketing;
     4. expliquer les politiques internes et les contrôles d’accès de l’entreprise en ce qui a trait aux renseignements personnels;
     5. faire référence aux pratiques de conservation des données de TikTok;
     6. expliquer que TikTok peut transférer des renseignements personnels à des personnes à l’extérieur du Canada et que les renseignements peuvent être consultés par des tribunaux étrangers, des autorités chargées de l’application de la loi ou d’autres autorités gouvernementales, ainsi que fournir des coordonnées pour que les utilisateurs puissent poser toute autre question à cet effet;
     7. fournir un lien vers un formulaire Web pour envoyer des demandes au Bureau de la confidentialité de TikTok pour le Canada.
126. De plus, TikTok a publié la politique de confidentialité en français pour les autres régions environ une semaine après l’annonce de notre enquête.
127. Cela dit, puisque ces changements ne répondent pas aux autres préoccupations susmentionnées, et énumérées au paragraphe 99, les commissariats concluent que TikTok n’obtient tout de même pas le consentement valable des adultes (18 ans et plus) pour la collecte et l’utilisation de renseignements personnels, grâce au suivi et au profilage, aux fins de ciblage publicitaire et de personnalisation de contenu.
128. Plus précisément, les commissariats notent que, même si ce qui est présenté au point 125vi. ressemble dans l’ensemble à ce qui est considéré, dans le cadre d’enquêtes antérieures, comme suffisant pour respecter les exigences de transparence à l’égard des transferts de renseignements personnels à l’extérieur du Canada^{Note de bas de page 73}, cela ne permet pas dans ce cas d’appuyer l’obtention d’un consentement valable. Dans le contexte de TikTok, le gouvernement du Canada a interdit l’utilisation de l’application sur les appareils gouvernementaux en raison de risques en matière de sécurité et de protection de la vie privée, et a ordonné la liquidation de TikTok Canada pour répondre aux préoccupations liées à la sécurité nationale. Nous considérons donc qu’il s’agit d’un risque de préjudice que les personnes au Canada devraient connaître dès le début pour fournir un consentement valable.

Nature valable du consentement des jeunes (de 13 à 17 ans)

129. Comme les commissariats ont déterminé que les communications de TikTok en matière de protection de la vie privée sont inadéquates pour appuyer le consentement valable des adultes, ces mêmes communications sont aussi, et sans doute encore plus, inadéquates pour appuyer le consentement valable des jeunes. Nous constatons également que les mesures supplémentaires que TikTok a mises en œuvre pour expliquer aux jeunes ses pratiques en matière de protection de la vie privée ne permettent pas à ces jeunes utilisateurs de bien comprendre la nature, les objectifs et les conséquences de la collecte et de l’utilisation de leurs renseignements personnels par TikTok effectuées dans le cadre d’activités de suivi et de profilage et destinées ensuite aux fins de ciblage publicitaire et de personnalisation de contenu. Compte tenu des préjudices potentiels pour les jeunes découlant des publicités ciblées et du contenu personnalisé, il s’agit de quelque chose de particulièrement préoccupant, comme l’expliquent les paragraphes ci-dessous.

Risque de préjudice pour les enfants et les jeunes découlant des publicités ciblées

130. Dans la Résolution sur les droits numériques des enfants de l’Assemblée mondiale pour la protection de la vie privée, les autorités responsables de la protection des données ont noté que les enfants sont particulièrement vulnérables aux risques découlant de la collecte, de l’utilisation et de la communication de leurs renseignements personnels. Parmi les raisons de cette vulnérabilité, les enfants peuvent être moins conscients des risques d’atteinte à la vie privée; ils constituent un public cible pour de nombreux acteurs économiques qui convoitent leurs données personnelles; et ils sont sensibles aux techniques utilisées pour capter leur attention, les inciter à dévoiler certaines informations ou à adopter certains comportements d’achat^{Note de bas de page 74}.
131. Nous notons également qu’UNICEF Canada a demandé à ce que l’utilisation des données personnelles soit interdite dans l’élaboration de matériel de marketing ciblant les enfants et les jeunes parce qu’il a été établi qu’ils sont extrêmement vulnérables à de telles pratiques publicitaires^{Note de bas de page 75}. Bien que la position d’UNICEF ne soit pas une exigence au titre de la loi sur la protection des renseignements personnels, sa déclaration est une autre indication qu’il a des risques associés au ciblage des enfants et des jeunes.
132. Comme l’indiquent de nombreux experts, il y a d’autres préjudices généraux que pourraient subir les enfants et les jeunes à cause du ciblage publicitaire, notamment : le marketing des jeux peut mener à la normalisation du jeu d’argent^{Note de bas de page 76}; ils courent un risque accru de vol d’identité et de fraude en raison du profilage associé au ciblage publicitaire^{Note de bas de page 77}; il peut nuire à leur développement normal et à l’exploration de l’identité et favoriser une image corporelle négative et une sexualisation précoce^{Note de bas de page 78}; il peut les exposer à des stéréotypes et à la discrimination liés au genre^{Note de bas de page 79}. Bien que TikTok ait déclaré qu’elle avait mis en place des politiques et des contrôles techniques visant à atténuer ces préjudices (voir le paragraphe 43) et comme il est expliqué précédemment (voir le paragraphe 44), les commissariats ont constaté qu’il existe au moins un cas où les contrôles semblent avoir été inefficaces. De plus, nous constatons que les mesures visant à éviter que les renseignements personnels sensibles soient utilisés aux fins de ciblage ne répondent pas nécessairement aux préoccupations concernant les préjudices qui peuvent découler de la diffusion de publicités ciblées aux enfants et aux jeunes en général.
133. La 5Rights Foundation a souligné^{Note de bas de page 80} que les pratiques de marketing en ligne ont des effets importants sur le comportement des enfants. Elle a constaté que les enfants sont susceptibles aux pressions de la publicité en ligne de manière disproportionnée et que, souvent, ils ne sont pas capables de déterminer ce qui constitue du contenu publicitaire en raison de la nature de plus en plus intégrée et immersive de la publicité en ligne.
134. Les commissariats considèrent que ce risque est accentué par le fait que, selon notre analyse, les publicités diffusées sur TikTok ne comprennent parfois pas de mention ou d’indication adéquate qui permet aux utilisateurs de comprendre que ce sont des publicités. Bien que certaines publicités évidentes (prise de contrôle de la marque, effets et mots-clics liés à la marque, etc.) puissent être clairement indiquées comme telles en raison de leur emplacement à l’écran et de leurs fonctionnalités uniques, les publicités des flux sont conçues pour apparaître dans la section « Pour toi » d’un utilisateur de façon organique, comme c’est le cas pour les publications habituelles de TikTok. Dans le cadre de la campagne mondiale « Don’t Make Ads. Make TikToks » (en anglais seulement), l’entreprise encourage activement les annonceurs à imiter les tendances et les modèles de TikTok, et à concevoir leurs publicités d’une manière qui imite les publications « officielles » de TikTok^{Note de bas de page 81}. De la même façon, les « Spark Ads » de TikTok permettent aux annonceurs de tirer parti des publications et des comptes TikTok « organiques », et peuvent faire en sorte qu’il est difficile de distinguer les publicités par rapport au contenu normal^{Note de bas de page 82}.
135. Bien que les politiques et les conditions d’utilisation de TikTok exigent que les annonceurs accompagnent le contenu publicitaire, y compris les publicités dans le fil d’actualité, de la mention « commandité », « publicité » ou « partenariat rémunéré », nous avons remarqué, lors de notre essai de la plateforme, que ces mentions sont petites et discrètes et qu’elles ne sont parfois pas mises en évidence. Dans d’autres cas, ces mentions semblaient absentes (TikTok a indiqué qu’il s’agirait de cas où les créateurs ayant publié le contenu publicitaire ne respectent peut-être pas ses politiques énoncées). Par conséquent, il est possible que les utilisateurs n’aient pas conscience ou ne comprennent pas de façon raisonnable qu’ils voient une annonce, et encore moins que celle-ci est une publicité ciblée fondée sur les renseignements que TikTok a recueillis à leur sujet.
136. TikTok a indiqué que très peu des demandes de ciblage présentées par des annonceurs visaient précisément les utilisateurs âgés de 13 à 17 ans. Bien que nous reconnaissions ce point, nous constatons que les jeunes sont tout de même ciblés en fonction de leurs intérêts et d’autres caractéristiques démographiques, même si les annonceurs ne décident pas de cibler précisément les utilisateurs âgés de 13 à 17 ans.

Mesures à prendre par TikTok pour obtenir le consentement des jeunes

137. Compte tenu de ces risques et de ces vulnérabilités, nous nous attendons à ce que TikTok mette en œuvre un modèle de consentement et des communications sur la protection de la vie privée qui ont pour but de veiller à ce que les personnes âgées de 13 à 17 ans puissent bien comprendre les pratiques adoptées par TikTok pour le suivi, le profilage, le ciblage et la personnalisation du contenu lorsqu’elles utilisent la plateforme et y consentir. Nous nous attendons notamment à ce que TikTok rédige des communications destinées aux utilisateurs âgés de 13 à 17 ans en utilisant des formulations que ces utilisateurs peuvent bien comprendre, c’est-à-dire des formulations qui tiennent compte de leur stade de développement cognitif. TikTok devrait également indiquer clairement à ces utilisateurs le risque de préjudice et les autres conséquences associés à l’utilisation de la plateforme, conformément aux lignes directrices sur le consentement et à l’article 6.1 de la LPRPDE. Comme les jeunes utilisateurs peuvent ne pas être conscients de l’existence et des conséquences des publicités ciblées, les communications de TikTok sur la protection de la vie privée doivent comprendre un avis bien visible fourni dès le début indiquant que des publicités ciblées peuvent leur être présentées sur la plateforme pour influencer leur comportement.
138. TikTok a indiqué qu’elle avait pris des mesures supplémentaires pour veiller à l’obtention d’un consentement valable de la part des utilisateurs âgés de 13 à 17 ans. Cependant, nous avons constaté que ces mesures étaient inadéquates, comme nous l’expliquons plus loin.
139. À titre d’exemple, nous remarquons que bon nombre des paramètres par défaut pour les comptes des jeunes utilisateurs, mentionnés au paragraphe 91, visent à limiter les interactions de ces utilisateurs avec d’autres utilisateurs, notamment la communication de renseignements à ceux-ci. Les paramètres ne permettent toutefois pas de limiter de façon importante la collecte, l’utilisation ou la communication de leurs renseignements personnels par TikTok. Cependant, nous constatons que TikTok applique certaines restrictions quant à sa collecte et à son utilisation des renseignements personnels des utilisateurs âgés de moins de 18 ans, c’est-à-dire elle i) restreint l’accès des jeunes utilisateurs à TikTok LIVE et à la messagerie directe, ii) ne recueille pas les renseignements des jeunes utilisateurs au moyen des services de localisation et iii) limite les renseignements personnels que les annonceurs peuvent utiliser pour les cibler.
140. De même, bien que les vidéos et les documents supplémentaires adaptés aux jeunes que TikTok a créés (voir le paragraphe 92) représentent en principe des mesures positives, nous avons cerné plusieurs lacunes qui limitaient leur efficacité.
141. Premièrement, dans le cadre de notre examen et de nos essais visant le portail pour les jeunes (et les ressources connexes), nous avons constaté que le portail était très difficile à trouver (sans le lien ou le nom qui nous ont été fournis par TikTok). Même s’il était possible d’accéder au portail en cherchant le terme exact « Portail pour les jeunes », sur le site Web de TikTok, la recherche d’autres termes semblables, comme « vie privée des adolescents » ou « sécurité des adolescents », ne menait pas à la ressource. De plus, il n’y avait aucun lien direct vers le portail sur la page d’accueil, dans la politique de confidentialité ou sur la page du Centre de confidentialité. En fait, notre seule autre façon de pouvoir accéder au portail a été en allant à la page d’accueil de TikTok, en cliquant sur « Centre d’aide », sur « Démarrer », puis, finalement, d’aller à la section « Sécurité », où le portail est l’une des 41 options offertes et n’est d’aucune façon priorisé dans cette liste.
142. Bien que TikTok nous ait informés que ses communications destinées aux jeunes ont été élaborées en collaboration avec divers intervenants et groupes de jeunes, plusieurs employés de TikTok interrogés sur ces essais pendant les entrevues ont indiqué qu’ils ne savaient pas que TikTok avait mené des essais pour confirmer que ses communications en matière de protection de la vie privée étaient bien comprises par les jeunes, notamment au moyen de sondages, de groupes de discussion sur l’expérience utilisateur ou d’autres activités de sensibilisation connexes.
143. Dans le cadre d’un programme de gestion de la protection de la vie privée rigoureux, et conformément aux lignes directrices sur le consentement, les organisations doivent mettre à l’essai leurs communications sur la protection de la vie privée pour faire en sorte que les renseignements concernant les pratiques connexes et les technologies complexes soient compréhensibles pour le public visé. Il s’agit d’une étape particulièrement importante si les personnes en question sont des enfants ou des jeunes, car ceux-ci ne sont pas au même stade de développement cognitif que les adultes.
144. Tout comme il a été mentionné dans nos observations en ce qui concerne les paramètres par défaut pour les jeunes, nous constatons que dans les communications ciblant les jeunes, il n’y a aucune explication sur les pratiques fondamentales de TikTok liées au suivi, au profilage, au ciblage des publicités ou à la personnalisation du contenu. Par conséquent, les communications n’ont pas vraiment expliqué aux jeunes comment TikTok utilisera leurs renseignements personnels pour les cibler et potentiellement influencer leur comportement (par exemple engagement accru ou conversion publicitaire) ou même comment ils peuvent reconnaître les publicités ciblées. TikTok a affirmé que ces produits de communication ne visaient pas à expliquer les paramètres de l’application elle-même et qu’elle utilisait d’autres moyens pour expliquer ses propres pratiques aux utilisateurs, y compris les utilisateurs âgés de moins de 18 ans. Les commissariats notent toutefois que les autres produits de communication de TikTok fournis aux utilisateurs, dont il est question dans la section sur le consentement des adultes présentée précédemment, ne sont pas conçus précisément pour les jeunes. De plus, les commissariats ont jugé que ces communications étaient inadéquates pour obtenir le consentement valable des adultes.
145. Bien que TikTok ait déclaré avoir déployé des efforts considérables pour fournir aux jeunes des communications sur la protection de la vie privée adaptées à leur âge, nous ne sommes pas arrivés à cette conclusion. En effet, nous avons déterminé que TikTok fournissait peu d’explications, voire aucune, sur ses pratiques complexes en matière de protection de la vie privée dans un format ou un langage adapté aux jeunes. Nous étions surtout préoccupés par le fait que le Portail jeunesse de TikTok était non seulement difficile à trouver, mais que TikTok y fournissait peu d’explications, voire aucune, sur son utilisation de vastes quantités de renseignements personnels concernant des jeunes utilisateurs aux fins de suivi et de profilage pour ensuite influencer leur comportement au moyen de publicités ciblées et de contenu personnalisé. À cet égard, les communications de TikTok sur la protection de la vie privée étaient inadéquates.
146. TikTok a également fait valoir que ses communications sur la protection de la vie privée ont été rédigées en tenant compte de tous les groupes d’âge et de manière à ne pas accabler les jeunes utilisateurs et que les communications destinées aux jeunes étaient plutôt axées sur les questions de sécurité et les interactions avec les utilisateurs. Ces pratiques ne cadrent pas avec nos directives, qui exigent que les communications soient adaptées au public. Nous sommes d’accord qu’il est important d’expliquer les questions de sécurité, mais nous soulignons que la protection de la vie privée est également importante et qu’elle doit être traitée d’une manière que les jeunes peuvent et sauront comprendre.
147. Pour ces raisons, notre conclusion est que TikTok n’a pas obtenu le consentement valable des jeunes pour sa collecte et son utilisation de leurs renseignements personnels, notamment celles effectuées dans le cadre d’activités de suivi et de profilage et destinées ensuite aux fins de ciblage publicitaire et de personnalisation de contenu. Plus précisément, nous constatons que, tout comme les communications de TikTok en matière de protection de la vie privée, qui étaient inadéquates pour obtenir le consentement des adultes, les mesures de TikTok visant à protéger la vie privée des jeunes étaient inadéquates pour veiller à obtenir le consentement valable des jeunes. Cela s’explique par le fait i) que les communications destinées aux jeunes dans le portail de TikTok n’étaient pas faciles à trouver; ii) qu’aucune de ces communications n’expliquait la collecte et l’utilisation de renseignements personnels par TikTok, notamment celles effectuées dans le cadre d’activités de suivi et de profilage et destinées ensuite aux fins de ciblage publicitaire et de personnalisation de contenu; et iii) que TikTok n’avait fourni aucun élément probant permettant d’établir que ses communications avaient réellement amené les jeunes utilisateurs à connaître les renseignements personnels que TikTok allait utiliser à de telles fins et à comprendre comment elle les utiliserait. Par conséquent, nous estimons que TikTok a contrevenu à l’article 4.3 de l’annexe 1 ainsi qu’à l’article 6.1 de la LPRPDE, aux articles 7 et 8 de la loi sur la protection des renseignements personnels de l’Alberta et aux articles 6 et 7 de la loi sur la protection des renseignements personnels de la Colombie-Britannique.

ENJEU 2.1 : TikTok a-t-elle respecté ses obligations d’information aux personnes concernées afin de permettre la collecte et l’utilisation des renseignements personnels servant à créer des profils d’utilisateurs aux fins de ciblage publicitaire et de personnalisation de contenu?

148. Plutôt qu’une obligation d’obtenir un consentement, l’article 8 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec prévoit que la personne qui recueille les renseignements personnels d’une personne directement auprès d’elle a une obligation d’information à son égard, et ce, peu importe le type de renseignements personnels visé^{Note de bas de page 83}.
149. Lorsque les renseignements personnels sont recueillis, et par la suite sur demande, une personne doit être informée de ce qui suit : i) les fins auxquelles les renseignements sont recueillis; ii) les moyens par lesquels les renseignements sont recueillis; iii) les droits d’accès et de rectification prévus par la loi; et iv) le droit de la personne de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis. La personne doit également être informée, le cas échéant, des éléments suivants : v) le nom du tiers pour qui la collecte est faite, du nom des tiers ou des catégories de tiers à qui il est nécessaire de communiquer les renseignements aux fins de la collecte; et vi) la possibilité que les renseignements puissent être communiqués à l’extérieur du Québec.
150. Sur demande, la personne concernée doit également être informée de ce qui suit : viii) des renseignements personnels qu’ils ont recueillis; ix) des catégories de personnes qui ont accès à ces renseignements au sein de l’entreprise; x) de la durée de conservation de ces renseignements; et xi) des coordonnées du responsable de la protection des renseignements personnels.
151. Enfin, l’article 8 indique que l’information : xii) doit être transmise à la personne concernée en termes simples et clairs, quel que soit le moyen utilisé pour recueillir les renseignements.
152. L’article 8.3 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec prévoit que la personne qui fournit ses renseignements personnels suivant l’article 8 de la Loi consent à leur utilisation et à leur communication aux fins pour lesquelles ils ont été recueillis. Il est donc très important que les renseignements fournis en respect de l’article 8 permettent aux personnes concernées de prendre une décision éclairée concernant leurs renseignements personnels.
153. L’article 8.1 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec prévoit que, en plus des informations devant être fournies suivant l’article 8, la personne qui recueille des renseignements personnels auprès de la personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l’identifier, de la localiser ou d’effectuer un profilage de celle-ci doit, au préalable, l’informer i) du recours à une telle technologie et ii) des moyens offerts pour activer les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage. Selon cet article, les fonctions qui permettent d’identifier une personne, de la localiser ou d’effectuer un profilage d’elle doivent être désactivées par défaut. Autrement dit, un geste actif et spécifique doit être posé par une personne pour permettre que ses renseignements personnels soient collectés et utilisés afin de l’identifier,la localiser ou pour effectuer un profilage de cette personne.
154. Pour l’application de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, le terme « profilage » s’entend de la collecte et de l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.
155. Selon les éléments probants, TikTok recueille des renseignements personnels de la personne concernée (l’utilisateur) à l’aide de technologies dotées de fonctions qui lui permettent d’identifier, de localiser ou d’effectuer un profilage. Plus précisément, TikTok utilise sa plateforme (site Web et application), les technologies connexes, notamment la vision par ordinateur et l’analyse audio, et les trois modèles de contrôle de l’âge mentionnés au paragraphe 62 pour recueillir et déduire des renseignements sur les utilisateurs (y compris des données démographiques, leurs intérêts et leur emplacement) afin de créer un profil à leur sujet. Ces profils peuvent ensuite servir à diffuser des publicités ciblées et à recommander du contenu personnalisé sur la plateforme.
156. L’article 8.2 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec prévoit que la personne qui recueille par un moyen technologique des renseignements personnels doit publier sur le site Internet de l’entreprise, le cas échéant, et diffuser par tout moyen propre à atteindre les personnes concernées une politique de confidentialité rédigée en termes simples et clairs. Elle fait de même pour l’avis dont toute modification à cette politique doit faire l’objet.
157. Selon les éléments probants, TikTok a une politique de confidentialité accessible au public sur son site Web. De plus, la politique de confidentialité est accessible dans l’application et la boutique d’applications, et elle est présentée aux utilisateurs lorsqu’ils créent un compte.
158. Enfin, l’article 9.1 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec stipule qu’une entreprise qui recueille des renseignements personnels en offrant au public un produit ou un service technologique disposant de paramètres de confidentialité doit s’assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée.
159. Selon les éléments probants, TikTok recueille des renseignements personnels par des moyens technologiques, et ces moyens comportent des paramètres de protection de la vie privée, comme nous l’expliquons au paragraphe 91.
160. La section précédente (enjeu 2) du présent rapport décrit les éléments de preuve pertinents qui ont permis à la CAI de déterminer quels renseignements TikTok fournit aux personnes avant de recueillir leurs renseignements personnels, essentiellement via sa politique de confidentialité, tel qu’expliqué aux paragraphes 98 à 129.
161. Tel qu’il est indiqué à ces paragraphes, TikTok pourrait améliorer ses communications sur la protection de la vie privée en les rédigeant dans un langage clair et simple adapté à l’âge des utilisateurs, en indiquant clairement les moyens utilisés pour recueillir les renseignements personnels, en décrivant clairement ses pratiques en matière de suivi et de profilage et en veillant à ce que les objectifs du ciblage publicitaire et de la personnalisation de contenu soient mieux expliqués et clairement liés aux renseignements personnels recueillis.
162. Comme il est indiqué au paragraphe 125, TikTok a fourni, après le début de notre enquête, considérablement plus de renseignements destinés aux utilisateurs situés au Canada dans sa politique de confidentialité. Elle a ensuite ajouté une autre section pour les utilisateurs situés au Canada, qui comporte des conditions ou des explications supplémentaires, et une version française de sa politique est maintenant disponible. À la suite de communications avec les commissariats, une nouvelle politique de confidentialité distincte pour le Canada a été publiée en juillet 2025.
163. La CAI est d’avis que cette publication d’une politique de confidentialité est conforme à l’article 8.2 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec.
164. La CAI est également d’avis que puisque des modifications y ont été apportées, les communications sur la protection de la vie privée de TikTok contiennent les renseignements énoncés aux articles 8 et 8.1, qui doivent être fournis dès le début ou sur demande dans les cas de collecte de renseignements personnels. Cependant, elle considère que les communications peuvent être améliorées.
165. Comme les autres commissariats l’ont indiqué au paragraphe 128 et pour les mêmes raisons qui y sont contenues, la CAI constate que, même si ce qui est présenté par TikTok dans sa politique de confidentialité est généralement conforme à ce qui est considéré comme suffisant pour respecter les exigences de transparence de l’article 8 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec à l’égard des transferts de renseignements personnels à l’extérieur du Québec, il se peut que, dans ce cas spécifique, cela ne suffise pas pour que les personnes concernées prennent une décision éclairée concernant leurs renseignements personnels. La CAI est d’avis que TikTok pourrait fournir de l’information plus détaillée sur la communication de renseignements personnels à l’extérieur du Québec. Par exemple, elle pourrait fournir au moins le nom de la juridiction où ils seront communiqués pour permettre aux personnes concernées de prendre une décision éclairée concernant leurs renseignements personnels.
166. Comme il est expliqué au paragraphe 86, lorsqu’un utilisateur se sert de l’application mobile pour la première fois, une fenêtre contextuelle qui renvoie aux conditions et à la politique de confidentialité de TikTok s’affiche. L’utilisateur doit cliquer sur un bouton pour accepter le tout et continuer à utiliser l’application (bouton « Suivant »).
167. De plus, pendant le processus de création de compte TikTok dans l’application et le site Web, il y a des liens vers les conditions et la politique de confidentialité de TikTok ainsi qu’une explication selon laquelle le fait d’aller de l’avant avec la création d’un compte sert à confirmer que l’utilisateur a lu et accepté les conditions et la politique.
168. Une fois qu’une personne a accepté les conditions, TikTok commence à recueillir des renseignements personnels aux fins de ciblage publicitaire et de personnalisation de contenu.
169. Comme il est expliqué au paragraphe 97, certains éléments clés des pratiques de confidentialité de TikTok ne sont pas mis en évidence lorsque les gens créent un compte. La CAI est d’avis que de faire référence à une politique de confidentialité ou à d’autres documents similaires, au moyen d’une fenêtre contextuelle qui renvoie à de tels documents ou contient des liens vers ceux-ci n’est pas suffisant pour informer les personnes des renseignements exigés par les articles 8 et 8.1 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec.
170. En effet, si les renseignements sont disséminés un peu partout sur un site Web et difficiles à trouver, il est probable que les personnes ne les aient pas lus et qu’on ne leur ait pas transmis les renseignements qui sont exigés par la loi pour permettre la collecte de leurs renseignements personnels. Comme le suggère le document Lignes directrices 2023-1 – Consentement : critères de validité de la Commission, une façon de présenter l’information pour aider les personnes concernées à mieux la comprendre est de la répartir en plusieurs niveaux. Une organisation peut ainsi présenter immédiatement les informations essentielles, notamment les renseignements personnels recueillis et les fins de leur collecte, et les utilisateurs peuvent consulter la politique de confidentialité pour avoir des informations supplémentaires.
171. L’obligation d’une organisation d’informer les utilisateurs, selon ce qui est prévu par les articles 8 et 8.1 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, est une condition essentielle qui doit être remplie pour pouvoir recueillir des renseignements personnels. Comme TikTok ne respecte pas cette obligation, la CAI est d’avis que la collecte de renseignements personnels actuellement effectuée par TikTok n’est pas conforme à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, car TikTok contrevient notamment aux exigences des articles 8 et 8.1.
172. La CAI est également d’avis que, sauf en ce qui concerne certaines fonctions offertes aux utilisateurs mineurs (présentées au paragraphe 91), TikTok ne désactive pas, par défaut, les fonctions qui permettent d’identifier ou de localiser une personne ou encore d’effectuer un profilage à l’aide de renseignements personnels. Comme les utilisateurs n’avaient pas à poser un geste pour activer eux-mêmes les fonctions, la CAI est d’avis que cette pratique contrevient aux exigences de l’article 8.1 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec.
173. La CAI est d’avis que le fait que TikTok ne veille pas à ce que, par défaut, les paramètres de confidentialité de son produit technologique assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée, contrevient également à l’obligation générale en matière de protection de la vie privée par défaut prévue à l’article 9.1 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec.
174. Pour ces raisons, la conclusion de la CAI est que les pratiques actuelles de TikTok ne sont pas conformes aux articles 8, 8.1 et 9.1 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec.

Recommandations

175. Compte tenu des contraventions mentionnées dans le présent rapport et dans l’optique que TikTok doit prendre des mesures pour respecter les lois, nous avons recommandé, dans notre rapport d’enquête préliminaire, que TikTok :
     1. Cesse immédiatement la collecte et l’utilisation les renseignements personnels des utilisateurs au Canada effectuées dans le cadre d’activités de suivi et de profilage et destinées ensuite aux fins de ciblage publicitaire et de personnalisation de contenu :
        1. Au minimum, jusqu’à ce qu’elle ait démontré aux commissariats qu’elle a suivi la recommandation ii) ci-dessous.
        2. De façon permanente pour tenir compte du nombre d’utilisateurs n’ayant pas l’âge minimum requis sur la plateforme.
     2. Mette en œuvre des mesures efficaces pour empêcher les utilisateurs de moins de 13 ans au Canada (moins de 14 ans au Québec) de créer des comptes sur n’importe quelle version de TikTok ou d’utiliser n’importe quelle version de TikTok. Les mesures devraient limiter en grande partie la présence de ces utilisateurs sur la plateforme, mais aussi la collecte et l’utilisation par TikTok des renseignements personnels de ces utilisateurs, qui contreviennent aux conditions d’utilisation de TikTok en utilisant la plateforme. De plus, les mesures elles-mêmes doivent respecter les lois. Plus précisément, nous avons recommandé que :
        1. TikTok présente aux quatre commissariats les mesures qu’elle prévoit mettre en œuvre pour atteindre les objectifs ci-dessus et démontrera comment elles seront efficaces. De plus, nous avons recommandé que TikTok fournisse aux commissariats une évaluation des facteurs relatifs à la vie privée (EFVP) qui décrit, à tout le moins, les mesures qu’elle prendra pour veiller à ce que :
           • seuls les renseignements nécessaires soient recueillis et utilisés pour empêcher efficacement les utilisateurs n’ayant pas l’âge minimum requis d’ouvrir un compte TikTok ou d’utiliser la plateforme;
           • la collecte et l’utilisation des renseignements n’entraînent pas une atteinte à la vie privée disproportionnée par rapport aux avantages découlant du fait que les utilisateurs n’ayant pas l’âge minimum requis ne puissent pas utiliser la plateforme.
        2. TikTok mène des essais pour confirmer que les mécanismes mis en œuvre sont manifestement efficaces et que les répercussions sur la vie privée sont réellement réduites au minimum et proportionnelles. Les paramètres de ces essais, ainsi que des renseignements sur le déroulement des essais, devront être proposés par TikTok et approuvés par chacun des quatre commissariats. De plus, nous avons recommandé que TikTok fournisse les résultats des essais aux quatre commissariats aux fins d’examen.

Dans les six mois suivant la publication du rapport final sur les conclusions visant cette affaire

1. 3. Veille à ce que toutes les fonctions des technologies qu’elle utilise pour recueillir des renseignements personnels qui permettent d’identifier ou de localiser une personne au Québec ou encore d’effectuer un profilage soient désactivées par défaut et à ce que TikTok ne recueille aucun renseignement personnel auprès d’une personne au Québec à l’aide de technologies dotées de fonctions permettant d’identifier ou de localiser une personne au Québec ou encore d’effectuer un profilage avant d’avoir informé la personne i) du recours aux technologies et ii) des moyens offerts pour activer les fonctions permettant d’identifier ou de localiser une personne ou encore d’effectuer un profilage.
   4. Veille à ce que les paramètres de confidentialité du produit ou du service technologique qu’elle utilise pour recueillir des renseignements personnels assurent, par défaut, le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée.
   5. Améliore les communications sur la protection de la vie privée afin de favoriser l’obtention d’un consentement valable pour la collecte, l’utilisation et la communication de renseignements personnels effectuées dans le cadre d’activités de suivi et de profilage et ensuite destinées aux fins de ciblage publicitaire et de personnalisation de contenu ou encore de s’acquitter de l’obligation d’en informer les personnes concernées.
      1. Les principaux éléments d’information (c’est-à-dire les renseignements personnels recueillis, les fins auxquelles ils sont utilisés, les tiers à qui ces renseignements peuvent être communiqués et les préjudices ou autres conséquences qui pourraient en résulter) devraient être fournis de façon évidente dès le début, par exemple lors de la création du compte. TikTok devrait notamment fournir un avis indiquant que les renseignements personnels des utilisateurs canadiens peuvent être transférés en Chine et que le gouvernement chinois peut y accéder. Au titre de l’article 13.1 de la loi sur la protection des renseignements personnels de l’Alberta, les utilisateurs devraient également être avisés dès le début de tout transfert de renseignements à des fournisseurs de services à l’extérieur du Canada.
      2. Les pratiques en matière de protection de la vie privée devraient être expliquées de façon détaillée et en des termes faciles à comprendre, par exemple dans sa politique de confidentialité, et par couche dans les communications à l’appui qui fournissent plus de précisions.
      3. Lorsque les communications à l’appui fournissent des renseignements qui sont importants pour l’obtention d’un consentement valable ou l’obligation d’informer, on devrait pouvoir y accéder facilement, par exemple en cliquant sur des liens dans la politique de confidentialité ou en fournissant dès le début des avis aux utilisateurs au moment d’obtenir leur consentement.
      4. Les communications sur la protection des renseignements personnels mentionnées ci-dessus, les nouvelles versions de celles-ci et les communications futures relatives à la protection de la vie privée devraient être disponibles en français et en anglais.
   6. Améliore les communications sur la protection de la vie privée destinées aux jeunes pour veiller à obtenir, de la part des utilisateurs âgés de 13 à 17 ans, un consentement valable et pour s’acquitter de son obligation de les informer de la collecte, de l’utilisation et de la communication de renseignements personnels effectuées dans le cadre d’activités de suivi et de profilage et ensuite destinées aux fins de ciblage publicitaire et de personnalisation de contenu.
      1. Ces communications, qu’elles soient sous forme de politique de confidentialité, ou d’autres documents ou vidéos sur des sujets donnés, devraient expliquer les pratiques en ayant recours à des formulations dans lesquelles le stade de développement cognitif des jeunes utilisateurs est pris en compte.
      2. En complément de l’information destinée aux adultes, ces communications devraient mettre l’accent sur les risques et les conséquences possibles pour les jeunes utilisateurs s’ils ont recours à une plateforme qui diffuse des publicités ciblées et d’autres contenus personnalisés.
      3. Les communications devraient être présentées aux utilisateurs pendant l’inscription, en plus ou au lieu des communications destinées aux utilisateurs âgés de 18 ans et plus, et être facilement accessibles par la suite.
      4. Les communications sur la protection des renseignements personnels mentionnées ci-dessus, les nouvelles versions de celles-ci et les communications futures relatives à la protection de la vie privée devraient être disponibles en français et en anglais.
      5. Mette en œuvre un programme de mise à l’essai (par exemple évaluation de l’expérience des utilisateurs, groupes de discussion) pour évaluer et démontrer que les communications sur la protection de la vie privée sont efficaces, c’est-à-dire qu’elles permettent de garantir que les utilisateurs, et plus particulièrement les jeunes utilisateurs, comprennent bien la nature, les objectifs et les conséquences des pratiques de TikTok de manière à garantir l’obtention d’un consentement valable. Les paramètres de ces essais devront être proposés par TikTok et approuvés par les quatre commissariats.
   7. Améliore les communications sur la protection de la vie privée pour veiller à obtenir un consentement valable et pour s’acquitter de son obligation d’informer les personnes de la collecte et de l’utilisation de renseignements biométriques.
      1. Précise clairement, d’une manière évidente et dès le début (par exemple lors de la création du compte), que l’entreprise recueille des renseignements biométriques et les fins auxquelles ils seront utilisés.
      2. Fournisse une explication détaillée sur la collecte et l’utilisation faite par TikTok des renseignements qui, selon ce que l’enquête a déterminé, sont biométriques et qu’elle le fasse en des termes facile à comprendre.

Réponse de TikTok aux recommandations

176. TikTok n’était généralement pas d’accord avec nos conclusions. En effet, elle a affirmé qu’elle respectait les lois à bien des égards au moyen de ses pratiques existantes et des communications connexes. Elle a également affirmé que, comme sa collecte et son utilisation des renseignements personnels des utilisateurs font partie intégrante de sa fonctionnalité de base, elle ne peut pas, d’un point de vue technique ou opérationnel, cesser de traiter ces renseignements (comme il est recommandé au point 175i.). Cela dit, l’entreprise a confirmé qu’elle travaillerait avec les commissariats pour rapidement mettre en œuvre les autres recommandations énoncées ci-dessus afin de résoudre la question. Nous avons résumé les engagements de TikTok dans les paragraphes ci-dessous.

Amélioration des mesures de contrôle de l’âge

177. En réponse à la recommandation énoncée au point 175ii. et à la conclusion des commissariats selon laquelle elle recueillait et utilisait de manière inappropriée les renseignements personnels d’utilisateurs n’ayant pas l’âge minimum requis, TikTok s’est engagée à mettre en œuvre deux modèles nouveaux ou améliorés servant à détecter les comptes soupçonnés d’être détenus par des personnes n’ayant pas l’âge minimum requis et à les signaler pour qu’ils soient modérés ou potentiellement supprimés, soit :
     1. un modèle de base de détection des utilisateurs n’ayant pas l’âge minimum requis, qui utilisera des indices visuels (par exemple, une analyse faciale fondée sur le contenu publié sur la plateforme) et analysera les comportements (par exemple, les vidéos regardées ou aimées);
     2. un modèle supplémentaire de traitement du langage naturel (TLN), entraîné en anglais et en français, qui analysera le texte publié par les utilisateurs, notamment leur biographie ou leurs commentaires.
178. Lors des entrevues que les commissariats ont réalisées avec des employés de TikTok pour mieux comprendre comment les modèles proposés fonctionneraient dans la pratique, TikTok a reconnu que ceux-ci auraient du mal à détecter les badauds n’ayant pas l’âge minimum requis qui visionnent des vidéos, mais ne publient pas de contenu ni de commentaires. Entre autres, TikTok a indiqué qu’il pourrait être difficile pour les modèles d’estimer l’âge d’un utilisateur en fonction du contenu avec lequel il interagit, car ce contenu peut être populaire auprès d’utilisateurs de différents âges. Comme il est expliqué au paragraphe 59, les utilisateurs passifs représentent la majorité des utilisateurs de la plateforme (73,5 % des utilisateurs ne publient pas de vidéos, tandis que 59,2 % ne font pas de commentaires). De plus, TikTok recueille et utilise les renseignements personnels des utilisateurs passifs en fonction des vidéos avec lesquelles ils interagissent sur la plateforme. Les commissariats ont donc déterminé que les modèles proposés par TikTok n’étaient pas assez efficaces pour empêcher les utilisateurs n’ayant pas l’âge minimum requis d’utiliser la plateforme ou pour réduire suffisamment la collecte et l’utilisation par TikTok des renseignements personnels des enfants.
179. En réponse à la demande des commissariats de proposer d’autres mesures pour donner suite à la recommandation énoncée au point 175ii., l’entreprise s’est engagée à concevoir et à mettre en œuvre un nouveau modèle de détection des utilisateurs passifs n’ayant pas l’âge minimum requis, qui s’ajouterait aux deux modèles mentionnés ci-dessus. Ce modèle utiliserait un certain nombre de sources de données, que l’entreprise a présentées aux commissariats, et évaluerait les comptes en fonction des types de comportements d’autres utilisateurs dont le compte a précédemment été déterminé comme étant détenu par une personne n’ayant pas l’âge minimum requis. TikTok a indiqué que cette solution serait, à sa connaissance, une première dans l’industrie.

Calendrier de mise en œuvre

180. À la suite des discussions que nous avons eues avec TikTok après la publication du rapport d’enquête préliminaire et compte tenu des mesures précises que TikTok doit prendre, l’entreprise a accepté de mettre en œuvre ses engagements selon le calendrier décrit dans les paragraphes suivants.
181. TikTok fournira aux commissariats une EFVP pour chaque nouvelle mesure de contrôle de l’âge, aux fins d’examen et de commentaires.
     1. Elle fournira les EFVP pour les modèles de base et de TLN dans le mois suivant la publication du présent rapport.
     2. Elle fournira l’EFVP pour le nouveau modèle de contrôle de l’âge des utilisateurs passifs dans les quatre mois suivant la publication du présent rapport.
182. TikTok mettra en œuvre les nouveaux modèles selon le calendrier suivant :
     1. Les modèles de base et de TLN doivent être mis en œuvre dans le mois suivant la réception de la réponse des commissariats aux EFVP connexes. La date limite peut être repoussée si TikTok a besoin de temps supplémentaire pour répondre aux commentaires des commissariats.
     2. Le modèle de contrôle de l’âge des utilisateurs passifs, qui est en cours de conception, doit être mis en œuvre d’ici le 31 mars 2026.
183. En ce qui concerne la mise à l’essai du modèle, dont l’objectif est de démontrer que le modèle est efficace et que les répercussions sur la vie privée sont réduites au minimum et proportionnelles (l’entreprise a déjà fourni aux commissariats des plans concernant la mise à l’essai des modèles de base et de TLN), TikTok doit :
     1. fournir aux commissariats une description de la façon dont elle prévoit mettre à l’essai le nouveau modèle de contrôle de l’âge des utilisateurs passifs dans les quatre mois suivant la publication du présent rapport;
     2. fournir aux commissariats les résultats des essais des modèles de contrôle de l’âge dans les six mois suivant le déploiement des modèles.

Consentement valable et transparence

184. Pour donner suite aux conclusions des commissariats selon lesquelles TikTok n’a pas obtenu le consentement valable des jeunes utilisateurs et des utilisateurs adultes et n’a pas suffisamment fait preuve de transparence, TikTok s’est engagée à apporter diverses améliorations à ses communications sur la protection de la vie privée en anglais et en français, comme il est indiqué ci-dessous.

Dispositions générales

185. TikTok s’est engagée à commencer à fournir des renseignements plus clairs dès le début dans les six mois suivant la publication du présent rapport, c’est-à-dire les renseignements mentionnés dans les recommandations des commissariats (présentées aux points 175v.a., b. et c., 175vii.a. et 175iii.).
186. En réponse aux recommandations présentées aux points 175v.b. et c., TikTok s’est également engagée, dans les six mois suivant la publication du présent rapport, à ajouter à sa politique de confidentialité des renseignements supplémentaires concernant ses pratiques en matière de protection de la vie privée ainsi que des liens vers des communications connexes par couches sur des sujets précis. Les communications connexes par couches doivent contenir des renseignements sur les transferts transfrontaliers (y compris les transferts en Chine), le traitement des données vocales et faciales ainsi que les pratiques de TikTok en matière de recommandation de contenu, de diffusion de publicités et d’utilisation des renseignements sur l’emplacement des utilisateurs.

Jeunes

187. Pour donner suite à la recommandation présentée au point 175vi. concernant la communication des pratiques de TikTok en matière de protection de la vie privée aux jeunes âgés de 13 à 17 ans (ou âgés de 14 à 17 ans au Québec), TikTok s’est engagée à élaborer deux nouveaux produits de communication sur la protection de la vie privée conçus spécifiquement pour ces jeunes :
     1. TikTok s’est engagée à créer un résumé de la politique de confidentialité destiné aux adolescents, accessible par l’intermédiaire de sa politique de confidentialité et rédigé de manière à ce que les jeunes puissent le comprendre. Ce résumé a été publié le 2 juin 2025. TikTok a indiqué aux commissariats qu’elle a rédigé ce document en fonction des commentaires reçus du Conseil des jeunes au niveau mondial pendant le processus de rédaction. Plus précisément, les commissariats constatent que le document explique que TikTok recueille des renseignements sur l’utilisation de la plateforme (par exemple, des renseignements sur les vidéos et les publicités que les utilisateurs regardent, les comptes qu’ils suivent et le temps qu’ils passent sur TikTok) et des renseignements déduits de l’utilisation de la plateforme (par exemple, l’âge et les intérêts potentiels des utilisateurs). De plus, le document informe les adolescents que les renseignements recueillis servent à personnaliser le contenu qui leur est présenté.
     2. TikTok s’est également engagée à produire et à publier, dans les six mois suivant la publication du présent rapport, une vidéo de faits saillants sur la protection de la vie privée, qui aborde les pratiques de l’entreprise de manière claire et accessible et dont le format est adapté aux adolescents. TikTok a indiqué qu’entre autres, la vidéo expliquerait les pratiques de TikTok en matière de protection de la vie privée, préciserait les renseignements que TikTok recueille et la façon dont ils sont utilisés, décrirait les fonctions de protection de la vie privée de TikTok et aborderait d’autres sujets similaires. Elle a aussi affirmé que cette vidéo serait envoyée aux utilisateurs adolescents dans leur boîte de réception TikTok et serait disponible dans le Centre de confidentialité de TikTok.
188. L’entreprise s’est engagée à mettre en œuvre un plan de recherche et de mise à l’essai pour faciliter l’élaboration des communications sur la protection de la vie privée destinées aux jeunes et assurer leur efficacité. TikTok a indiqué qu’elle mènerait des recherches qualitatives et quantitatives en anglais et en français, notamment en consultant des groupes de discussion composés de jeunes. Elle s’est engagée à faire appel à un fournisseur de services tiers ayant déjà mené des recherches auprès d’enfants et d’adolescents pour effectuer les essais. TikTok s’est engagée à fournir aux commissariats un résumé des résultats des recherches et des essais.

Restriction de la diffusion de publicités ciblées aux jeunes

189. Dans sa réponse au rapport d’enquête préliminaire des commissariats, TikTok s’est engagée à restreindre la diffusion de publicités ciblées aux utilisateurs au Canada âgés de moins de 18 ans à titre de mesure supplémentaire. TikTok a informé les commissariats qu’elle avait apporté ce changement le 1er avril 2025. Par conséquent, les annonceurs ne peuvent plus diffuser de publicités ciblées aux utilisateurs âgés de moins de 18 ans, à l’exception des publicités produites au moyen de données génériques (par exemple, la langue et l’emplacement approximatif des utilisateurs).
190. Les commissariats constatent que cette mesure ne serait efficace que si l’utilisateur qui détient un compte a saisi son âge réel, reconnaissant qu’un utilisateur âgé de moins de 18 ans peut indiquer qu’il a 18 ans ou plus. Cela dit, nous considérons qu’il s’agit d’une mesure positive qui permettra d’atténuer davantage les préjudices potentiels pour les jeunes (et les enfants ayant indiqué qu’ils sont âgés de 13 à 17 ans) qui peuvent être causés par le visionnement de publicités ciblées.

Sélection par défaut du niveau de confidentialité le plus élevé (CAI)

191. En ce qui concerne la recommandation de la CAI présentée au point 175iv., TikTok a affirmé que l’article 9.1 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec repose sur le principe de la vie privée par défaut du RGPD (comme l’a indiqué le gouvernement du Québec dans son analyse d’impact réglementaire du projet de loi 64, publiée le 30 juillet 2020 [p. 29]). TikTok a indiqué qu’après avoir examiné soigneusement les paramètres de confidentialité par défaut des comptes des utilisateurs au Canada, elle a déterminé qu’ils correspondaient aux paramètres par défaut des comptes des utilisateurs de l’UE, qui ont été sélectionnés de manière à respecter le RGPD. Elle a également fourni des précisions sur de nombreux paramètres liés à la confidentialité qui sont à la disposition des utilisateurs et sur les paramètres sélectionnés par défaut en fonction de l’âge de l’utilisateur. Selon TikTok, étant donné que l’article 9.1 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec cadre avec le RGPD et que les paramètres de confidentialité par défaut des comptes au Canada sont les mêmes que ceux des comptes dans l’UE, les paramètres par défaut sont conformes à l’article 9.1 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec. La CAI ne croit pas qu’il soit exact de dire que les obligations en matière de paramètres de confidentialité par défaut applicables au Québec soient les mêmes que celles applicable en vertu du RGPD étant donné notamment que les libellés l’article 9.1 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec et du deuxième paragraphe de l’article 25 du RGPD sont différents.
192. Cela dit, TikTok a indiqué que, dans un « esprit de coopération », elle mettrait en œuvre un nouveau mécanisme de vérification des paramètres de confidentialité pour tous les comptes au Canada (y compris ceux au Québec), qui regrouperait les paramètres les plus importants et les plus tangibles de TikTok et permettrait aux utilisateurs d’examiner, de modifier et de confirmer plus facilement leurs paramètres. TikTok a également indiqué qu’elle informerait tous les utilisateurs au Canada de la nouvelle fonction. La CAI considère qu’il s’agit d’une mesure positive qui aidera les utilisateurs à prendre une décision éclairée concernant l’utilisation des produits de TikTok et la communication de leurs renseignements personnels à l’entreprise.
193. Enfin, comme la mise en œuvre des engagements mentionnés précédemment se déroulera sur un certain nombre de mois après la publication du présent rapport, TikTok s’est engagée à :
     1. fournir aux commissariats, en plus des documents déjà mentionnés, des rapports d’étape mensuels concernant la mise en œuvre de ses engagements, jusqu’à ce qu’ils aient tous été accomplis;
     2. collaborer avec les commissariats pour répondre rapidement à tout commentaire ou à toute préoccupation qu’ils pourraient soulever au sujet des EFVP, des méthodes d’essai ou des résultats soumis, ou encore des mesures mises en œuvre conformément à ses engagements.

Conclusion

194. Compte tenu de ce qui précède, notamment les mesures que TikTok a déjà mises en œuvre et celles qu’elle s’est engagée à mettre en œuvre au cours des prochains mois, les commissariats concluent que, pour ce qui est des trois enjeux, l’affaire est fondée et conditionnellement résolue.
195. Les commissariats continueront de travailler avec TikTok pour veiller à ce que les recommandations convenues soient mises en œuvre afin de résoudre l’affaire définitivement.