Fiches des enjeux consolidées sur la liquidation de TikTok Technology Canada, Inc.

Comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique

---

Enquête sur TikTok – Mise à jour

Notes d’allocution

• En février 2023, le Commissariat et les commissariats à la protection de la vie privée du Québec, de la Colombie-Britannique et de l’Alberta ont lancé une enquête conjointe sur TikTok Pte Ltd.
• Nous établirons si les pratiques de TikTok sont conformes aux lois canadiennes sur la protection des renseignements personnels et, plus précisément, si TikTok a obtenu un consentement éclairé pour la collecte, l’utilisation et la communication de renseignements personnels.
• Cette enquête demeure d’une grande priorité pour le Commissariat, particulièrement en raison de l’importance de protéger le droit fondamental à la vie privée des jeunes, qui représentent une part importante des utilisateurs de TikTok.
• Le Commissariat a pris note de la décision prise par le gouvernement du Canada au titre de la Loi sur Investissement Canada, ordonnant à TikTok Technology Canada, Inc. de mettre fin à ses activités canadiennes. Le Commissariat n’a pas participé au processus décisionnel et confirme que la décision n’influe pas sur cette enquête.
• Nous prévoyons de publier les résultats de l’enquête dans les prochains mois. D’ici là, je ne suis pas en mesure de fournir des précisions sur l’enquête.
• Bien qu’il y ait des préoccupations concernant la possibilité que le gouvernement chinois ait accès aux données des utilisateurs de TikTok, ce point ne s’inscrit généralement pas dans la portée de l’enquête, laquelle portait sur le consentement et la pertinence des pratiques commerciales de TikTok quant aux renseignements personnels des enfants.

Contexte

• L’organisation qui fait l’objet d’une enquête est l’entité commerciale responsable des renseignements personnels des Canadiens et des pratiques de TikTok en matière de protection de la vie privée, soit TikTok Pte Ltd., une entreprise basée à Singapour. Ces précisions n’ont pas été rendues publiques parce que, bien souvent, le Commissariat indique simplement que son enquête porte sur TikTok.
• Cette enquête s’inscrit dans la foulée de recours collectifs, désormais réglés, aux États-Unis et au Canada, et de nombreux reportages dans les médias concernant la collecte, l’utilisation et la communication de renseignements personnels par TikTok.
• Les politiques de TikTok interdisent aux jeunes de moins de 13 ans d’utiliser la plateforme et ils l’utilisent quand même.

---

Processus d’enquête du Commissariat

Notes d’allocution

• Le Commissariat peut ouvrir une enquête après avoir reçu une plainte ou si je juge qu’une certaine question relative à la protection de la vie privée doit faire l’objet d’une enquête. Cela dit, la Loi sur la protection des renseignements personnels exige expressément que j’enquête sur tous les plaintes déposées au Commissariat.
• Lorsqu’elles enquêtent sur une plainte, les équipes de conformité du Commissariat cernent les questions à examiner, adoptent la meilleure approche, recueillent des éléments de preuve et analysent les renseignements fournis pour déterminer si une infraction a eu lieu.
• À la fin d’une enquête, le Commissariat publiera un rapport de conclusions pour résumer les positions des parties et présenter ses conclusions et ses recommandations.
• Lorsqu’il est possible ou approprié de le faire, le Commissariat permettra au défendeur de régler le problème avant de clore l’enquête.
• De manière générale, le Commissariat vise à terminer ses enquêtes dans un délai d’environ un an. Certains facteurs peuvent causer des retards, notamment la réalisation d’une enquête conjointe avec des partenaires ou d’une enquête sur de nombreux défendeurs.
• Lorsqu’une enquête est en cours, je ne peux habituellement pas fournir de détails avant la clôture de l’enquête en raison d’obligations en matière de confidentialité.

Contexte

• Le Commissariat enquête sur les plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et relatives aux pratiques en matière de protection de la vie privée des organisations du secteur privé qui se livrent à des activités commerciales.
• En vertu du paragraphe 12(1) de la LPRPDE, les plaintes peuvent être déposées par des personnes. Elles peuvent aussi être déposées par le Commissaire, en vertu du paragraphe 11(2) de la LPRPDE, s’il repère un enjeu systémique en matière de protection de la vie privée.

---

Autres plaintes et enquêtes pertinentes – Renseignements transmis à des tiers à l’extérieur du Canada

Notes d’allocution

• Dans le cadre d’une plainte liée à la sous-traitance des activités de traitement des réclamations pour fraude à un fournisseur de services tiers en Inde, le Commissariat a enquêté sur TD Canada Trust en 2020. Finalement, le Commissariat a conclu que TD avait fait preuve de transparence quant au transfert des données aux fins de traitement et qu’elle avait pris les mesures nécessaires pour assurer la protection des renseignements personnels de ses clients.
• À la suite de la réception d’une plainte en 2019, le Commissariat a également enquêté sur les pratiques de transfert de Loblaw. Les allégations concernaient une initiative d’offre de cartes-cadeaux. Un plaignant avait exprimé des préoccupations quant au fait que les renseignements recueillis par Loblaw étaient transférés à un administrateur de programme aux États-Unis. Le Commissariat a conclu que la plainte n’était pas fondée en partie, puisque les renseignements transférés se limitaient à ce qui était nécessaire et que les exigences contractuelles de Loblaw étaient suffisantes pour assurer une protection adéquate.
• En 2022, le Commissariat a enquêté sur un problème lié au suivi de localisation par l’application de Tim Hortons. Avec l’aide d’un fournisseur de services tiers américain, Tim Hortons pouvait faire le suivi de l’emplacement des appareils des utilisateurs et recueillir des données de localisation. En plus de conclure que l’affaire était fondée, le Commissariat a relevé des préoccupations concernant les mesures de protection contractuelles mises en œuvre pour protéger les renseignements personnels des Canadiens traités par le fournisseur de services tiers. À la suite de nos recommandations, Tim Hortons et le fournisseur tiers ont accepté de supprimer toutes les données de localisation et ont mis en œuvre un programme de gestion de la protection des renseignements personnels pour l’application.
• En 2019, le Commissariat a terminé son enquête sur Equifax Inc., une entité américaine qui a été victime d’une atteinte à la vie privée ayant touché des millions de personnes, dont un certain nombre de Canadiens. L’enquête a révélé que les renseignements sur les Canadiens avaient été recueillis par Equifax Canada Co. Cela dit, le Commissariat a cherché à savoir si les mesures de protection des deux organisations étaient appropriées, si Equifax Canada avait une responsabilité adéquate à l’égard des données canadiennes traitées par Equifax Inc. et si un consentement valable avait été obtenu auprès des personnes pour le traitement de ces renseignements. Finalement, le Commissariat a conclu que les deux organisations avaient contrevenu à la LPRPDE.

---

Ressources et durée des enquêtes

Notes d’allocution

• De manière générale, le Commissariat vise à terminer ses enquêtes dans un délai d’environ un an. Certains facteurs peuvent causer des retards, notamment la réalisation d’une enquête conjointe avec des partenaires ou d’une enquête sur de nombreux défendeurs.
• Pour les 405 plaintes déposées en vertu de la LPRPDE et fermées en 2023-2024, le temps moyen de traitement était d’environ 7 mois :
  • 90 % (363) des plaintes ont été réglées dans un délai moyen de 6,6 mois par voie de médiation (règlement rapide);
  • 5 % (20) des plaintes ont été réglées dans un délai moyen de 11,9 mois et ont fait l’objet d’un rapport simplifié (enquêtes sommaires);
  • 5 % (22) des plaintes ont été réglées dans un délai de 12 mois (en moyenne 16 mois), puisqu’une enquête plus approfondie a dû être menée.
• Pour maximiser son incidence et suivre le rythme de croissance du volume et de la complexité des plaintes et des infractions, le Commissariat collabore parfois avec ses homologues provinciaux ou internationaux.
• Au cours des cinq dernières années, le Commissariat a lancé dix enquêtes en vertu de la LPRPDE conjointes ou coordonnées avec d’autres autorités de protection des données. De celles-ci, neuf étaient avec des homologues provinciaux.

Contexte

• Le temps de traitement moyen des enquêtes conjointes ou coordonnées menées en vertu de la LPRPDE au cours des 5 dernières années était de 17 mois. Les enquêtes concernaient Clearview, Tim Hortons, Corefour et Biron. Les autres, notamment sur TikTok et OpenAI, sont toujours actives, et certaines n’ont pas été rendues publiques.
• Un nombre important de ressources au sein du Commissariat sont généralement affectées aux enquêtes plus complexes. Environ dix ressources du Commissariat au niveau opérationnel participent actuellement à l’enquête sur TikTok.

---

Application extraterritoriale

Notes d’allocution

• La LPRPDE s’applique aux organisations basées à l’étranger qui ont un lien réel et important avec le Canada. Cela comprend les ordonnances judiciaires visées par les articles 14 à 17 de la LPRPDE, qui peuvent faire suite à la publication des rapports de conclusions du Commissariat.
• Toutefois, l’exécution des ordonnances judiciaires à l’extérieur du Canada relève officiellement de l’autorité des gouvernements et des tribunaux étrangers.

Contexte

• Les tribunaux canadiens émettront des ordonnances en vertu de la LPRPDE lorsqu’il y a un « lien réel et important avec le Canada » (A.T. c. Globe24h.com, 2017 CF 114, aux paragraphes 50-64; Lawson c. Accusearch Inc. [C.F.], 2007 CF 125, aux paragraphes 38-51; Facebook, Inc. c. Canada [Commissaire à la protection de la vie privée], 2023 CF 534, au paragraphe 84).
• Les tribunaux canadiens sont disposés à exécuter les ordonnances des tribunaux d’autres administrations. La Cour suprême du Canada a souligné que, dans un contexte où les transactions transfrontalières se font de plus en plus nombreuses, « la courtoisie exige que les tribunaux soient de plus en plus disposés à reconnaître les actes accomplis par d’autres États ». La Cour a précisé qu’il s’agissait là d’une mesure essentielle « pour permettre aux particuliers et aux entreprises de poursuivre l’exercice de leurs activités internationales sans craindre qu’en s’engageant dans de telles relations, ils compromettent leurs droits ou y renoncent ». (Chevron Corp c. Yaiguaje, 2015 CSC 42 [CanLII], au paragraphe 75)
• Bien que la courtoisie internationale soit un principe reconnu dans la jurisprudence canadienne, son application dans d’autres administrations est inégale et dépend des lois et du contexte de chaque administration.
• Dans le cadre de l’affaire A.T. c. Globe24h.com, 2017 CF 114 (CanLII), la Cour fédérale a émis une ordonnance en vertu de la LPRPDE qui s’appliquait à une entreprise basée en Roumanie. Selon la Cour, « étant donné la participation de l’équivalent roumain du CPVP, les conclusions de la Cour ajouteraient un complément aux mesures prises devant la Cour roumaine plutôt que d’aller à leur encontre » (paragr. 60).
• Cependant, les ordonnances canadiennes visant des administrations étrangères n’ont pas toutes été bien accueillies. Dans l’affaire Google Inc. c. Equuustek Solutions Inc., 2017 CSC 34, la Cour suprême du Canada a ordonné à Google de délister les sites Web qui contrevenaient aux ordonnances judiciaires liées à la propriété intellectuelle (paragr. 48). À la suite de la décision, Google est toutefois parvenu à obtenir une injonction devant un tribunal américain contre l’exécution de l’ordonnance canadienne (Google LLC, c. Equustek Solutions Inc. et collab., no 5:17-CV-04207-EJD, [district Nord de la Californie], 14 décembre 2017).

---

Examens relatifs à la sécurité nationale prévus par la Loi sur Investissement Canada

Notes d’allocution

• Je crois comprendre que la liquidation des activités canadiennes de TikTok a été ordonnée pour des raisons de sécurité nationale au titre de la Loi sur Investissement Canada (ou LIC).
• Bien que les examens relatifs à la sécurité nationale prévus par la LIC n’exigent pas que le gouvernement consulte le Commissariat, et donc que je n’aie pas été consulté au sujet de cette décision, je suis conscient que, selon les lignes directrices publiées au titre de la LIC, le gouvernement peut tenir compte de divers facteurs, notamment la possibilité qu’un investissement puisse permettre d’accéder à des données personnelles sensibles pouvant être utilisées pour compromettre la sécurité nationale.
• Je comprends et j’appuie le rôle du gouvernement dans la réalisation de ces examens pour protéger la population canadienne. Je me sens interpellé lorsque les renseignements personnels des Canadiens sont recueillis, utilisés ou communiqués de manière inattendue ou qu’ils sont exposés à des risques accrus en matière de protection de la vie privée après avoir été transférés à l’étranger.

Contexte

• Paragraphe 25.3(6) de la LIC : Le ministre de l’Industrie est tenu, après consultation du ministre de la Sécurité publique, de renvoyer la question au gouverneur en conseil s’il est convaincu que l’investissement porterait atteinte à la sécurité nationale.
• Paragraphe 25.4(1) de la LIC : S’il est saisi d’un investissement renvoyé par le ministre, le gouverneur en conseil peut prendre par décret toute mesure relative à l’investissement qu’il estime indiquée pour préserver la sécurité nationale.
• Selon le paragraphe 8(xi) des Lignes directrices sur l’examen relatif à la sécurité nationale des investissements (mars 2021), publiées en vertu de l’article 38 de la LIC, les données personnelles sensibles comprennent les renseignements de santé ou de génétique qui permettent d’identifier une personne, les données biométriques, les données financières, les communications privées, la géolocalisation et les données personnelles concernant des représentants gouvernementaux.
• L’Énoncé de politique sur l’examen des investissements étrangers dans le secteur des médias numériques interactifs (mars 2024) précise que les investissements étrangers dans le secteur des médias numériques interactifs par des entités détenues ou influencées par des États étrangers feront l’objet d’un examen approfondi au titre de la LIC.
  • Les « médias numériques interactifs » comprennent les environnements numériques dans lesquels les utilisateurs participent activement ou qui facilitent la participation de nombreux utilisateurs aux fins de divertissement, d’information ou d’éducation, et qui sont, en général, accessibles par Internet ou par réseau mobile.

---

Médias sociaux et ingérence étrangère

Notes d’allocution

• L’Enquête publique sur l’ingérence étrangère dans les processus électoraux et les institutions démocratiques fédéraux vise à examiner l’expérience du Canada en matière d’ingérence étrangère, notamment le rôle que jouent les médias sociaux à l’égard de l’ingérence étrangère.
• Je sais que, dans son rapport d’ensemble sur les médias sociaux, la Commission sur l’ingérence étrangère a révélé que les médias sociaux présentent des avantages et créent des vulnérabilités pour la démocratie et un discours politique sain et que l’ingérence étrangère est l’une des vulnérabilités possibles.
• Bien que notre propre enquête sur TikTok limite ma capacité à commenter, nos travaux antérieurs me permettent d’affirmer qu’en plus des États étrangers, il existe des partis politiques, des entreprises et de nombreuses organisations qui surveillent de très près et consignent des aspects importants de l’opinion publique politique, notamment à l’aide des médias sociaux.
• De plus, des recherches sur la protection de la vie privée menées par des universitaires et d’autres organismes de réglementation ont révélé que, en l’absence de droits à la vie privée significatifs, la surveillance numérique et les mégadonnées peuvent être utilisées pour enfreindre le secret du vote avant même que les électeurs aient voté.

Contexte

• Le rapport d’ensemble sur les médias sociaux de la Commission sur l’ingérence étrangère contient les observations suivantes :
  • Les médias sociaux peuvent avoir des répercussions positives importantes sur la démocratie en augmentant la littératie et l’engagement politiques;
  • Les médias sociaux peuvent être utilisés pour saper la démocratie au moyen de l’ingérence étrangère :
    • L’utilisation répandue des médias sociaux fait en sorte qu’il est plus facile de saturer la population de messages;
    • Les algorithmes alimentés par les données des utilisateurs peuvent amplifier les chambres d’écho;
    • Les robots peuvent tenter de manipuler des algorithmes et des personnes ainsi qu’extraire des données des plateformes de médias sociaux;
    • Les trolls peuvent tenter d’altérer le contenu et le ton du discours en ligne.

---

Préoccupations relatives à la protection de la vie privée avec les médias sociaux

Notes d’allocution

• Les médias sociaux encouragent les personnes à communiquer des renseignements personnels en ligne. Les utilisateurs peuvent faire attention aux renseignements qu’ils partagent et régler leurs paramètres de confidentialité, mais les réseaux sociaux doivent s’acquitter de leurs obligations juridiques en vertu des lois sur la protection des renseignements personnels.
• Les renseignements communiqués sur les médias sociaux peuvent être accessibles à de nombreuses parties, qui peuvent les recueillir, les utiliser ou les extraire notamment pour faire le profilage, le suivi et la publicité ciblée, entre autres.
• Il devrait être possible d’utiliser les médias sociaux tout en conservant une attente raisonnable en matière de vie privée.
• Lors de l’examen de la question, il est important de se rappeler que les jeunes peuvent être touchés par les technologies différemment des adultes, qu’ils sont plus exposés aux problèmes liés à la protection de la vie privée et qu’ils ont donc besoin de protections spéciales.

Contexte

• En octobre 2023, le Commissariat à la protection de la vie privée du Canada et ses homologues des provinces et des territoires ont publié une résolution pour mettre l’intérêt supérieur des jeunes à l’avant-plan, qui établit notamment des lignes directrices pour les organisations afin de s’assurer que les jeunes ne sont pas surveillés ou profilés sans justification, à leur insu ou sans leur consentement.
• En août 2023, le Commissariat et des membres du Groupe de travail de l’AMVP sur la coopération internationale en matière d’application de la loi ont publié une déclaration commune sur l’extraction de données, qui décrit les risques relatifs à la vie privée, expose comment les entreprises de médias sociaux peuvent protéger les renseignements personnels et suggère des façons dont les utilisateurs peuvent se protéger.
• En octobre 2024, à la suite de consultations auprès d’entreprises de médias sociaux et d’autres intervenants de l’industrie, le Groupe de travail sur la coopération internationale en matière d’application de la loi a publié une déclaration finale sur l’extraction de données, qui renforce les exigences énoncées dans la déclaration, décrit les pratiques exemplaires et les leçons apprises et définit d’autres attentes.
• La LPRPDE permet aux organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à l’insu de l’intéressé et sans son consentement que s’il s’agit d’un renseignement réglementaire auquel le public a accès. Les renseignements personnels publiés dans les sites des médias sociaux ne sont pas spécifiés par la réglementation en vigueur.

---

Circulation transfrontalière des données (protection des renseignements personnels transférés à l’étranger)

Notes d’allocution

• La LPRPDE n’interdit pas aux organisations au Canada de transférer des renseignements personnels à une organisation dans un pays étranger aux fins de traitement. Elle ne fait pas non plus de distinction entre les transferts nationaux et transfrontaliers de renseignements personnels aux fins de traitement.
• Toutefois, les organisations doivent également faire preuve de transparence au sujet de leurs pratiques en matière de données. Les clients doivent être informés que leurs renseignements peuvent être envoyés à une autre administration aux fins de traitement et consultés par les tribunaux et les organismes d’application de la loi et de sécurité nationale.
• De plus, les organisations demeurent responsables des renseignements personnels confiés à un tiers aux fins de traitement et doivent veiller à fournir un « degré comparable de protection ».
• Le Commissariat a plaidé pour l’ajout de dispositions distinctes portant explicitement sur la circulation transfrontalière des données à la loi canadienne sur la protection de la vie privée dans le secteur privé, l’objectif étant de cadrer avec les lois modernes sur la protection de la vie privée, notamment celles de l’Australie et de la Nouvelle-Zélande et le Règlement général sur la protection des données. L’ajout de dispositions sur la circulation internationale des données offrirait des protections claires et accessibles qui atténuent les risques inhérents que présentent les transferts transfrontaliers.

Contexte

• Le principe 4.1.3 de la LPRPDE exige que les organisations qui transfèrent des renseignements personnels à un tiers aux fins de traitement fournissent, par voie contractuelle ou autre, un « degré comparable de protection ». Le tiers doit donc fournir un degré de protection comparable à celui dont profiteraient les renseignements personnels s’ils n’avaient pas été transférés. Il n’est pas nécessaire que les protections soient les mêmes, mais elles doivent être généralement équivalentes.
• D’autres territoires de compétence prévoient des mécanismes de transfert précis, notamment des décisions d’adéquation, des clauses contractuelles types, des codes de conduite ou d’autres régimes comme des règles d’entreprise contraignantes.
• Dans son mémoire de mai 2021 sur le projet de loi C-11, le Commissariat recommandait qu’un mécanisme distinct visant à régir les flux transfrontaliers de données soit mis en œuvre et traite des considérations concernant : 1) à qui s’appliquent les obligations; 2) la responsabilité; 3) les conditions à remplir; et 4) les protections dans l’État de destination.

---

Accès des gouvernements aux données

Notes d’allocution

• La LPRPDE n’interdit pas aux organisations du Canada de transférer des renseignements personnels à une organisation dans un pays étranger aux fins de traitement. Cependant, les organisations doivent faire preuve de transparence quant à leurs pratiques en matière de données, et les clients doivent être informés lorsque leurs renseignements peuvent être envoyés à une autre administration et consultés par les tribunaux et les organismes d’application de la loi et de sécurité nationale de l’administration.
• La LPRPDE reconnaît que, dans certaines circonstances, les organismes d’application de la loi doivent accéder à des renseignements personnels et prévoit des exceptions au consentement pour la communication de renseignements personnels dans certains contextes d’application de la loi et de sécurité nationale où l’institution fédérale a le droit de demander ces renseignements.
• Les gouvernements ne doivent pas pouvoir accéder librement aux renseignements et leur accès doit respecter des principes fondamentaux, notamment le contrôle judiciaire indépendant, la nécessité, la proportionnalité et la transparence.

Contexte

• La LPRPDE autorise la communication de renseignements personnels à l’insu de l’intéressé ou sans son consentement si elle est faite à une institution gouvernementale, ou à une subdivision d’une telle institution, qui a demandé à obtenir le renseignement en mentionnant la source de l’autorité légitime étayant son droit de l’obtenir et le fait qu’elle soupçonne que le renseignement est afférent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales (sous-alinéa 7(3)c.1)(i)); que la communication est demandée aux fins du contrôle d’application du droit canadien, provincial ou étranger ou de la tenue d’enquêtes liées à ce contrôle d’application (sous-alinéa 7(3)c.1)(ii)); qu’elle est demandée pour l’application du droit canadien ou provincial (sous-alinéa 7(3)c.1)(iii));
• En vertu de l’alinéa 7(3)d) de la LPRPDE, une organisation peut faire une communication de sa propre initiative si elle a des motifs raisonnables de croire que le renseignement est afférent à une contravention au droit fédéral, provincial ou étranger ou qu’elle soupçonne que le renseignement est afférent à la sécurité nationale.
• Le Commissariat a corédigé la résolution sur l’accès des gouvernements aux données, la vie privée et l’État de droit de l’Assemblée mondiale pour la protection de la vie privée (AMVP) en octobre 2021 et la résolution sur les rapports de transparence de l’AMVP en octobre 2015.

---

Protection des renseignements personnels lors de la vente d’une entreprise

Notes d’allocution

• La LPRPDE s’applique aux organisations basées à l’étranger qui ont un lien réel et important avec le Canada.
• La présence physique d’une organisation au Canada n’est pas nécessaire pour qu’il y ait un lien réel et important. Le lien peut être établi en fonction d’un certain nombre de facteurs. Dans le cas d’un site Web, par exemple, il peut s’agir de l’emplacement du public cible du site Web, de la source du contenu ou de l’emplacement de l’exploitant ou du serveur hôte.
• Par conséquent, la LPRPDE continue de s’appliquer à une organisation vendue à une entité étrangère lorsqu’il y a un lien réel et important avec le Canada.

Contexte

• Avant d’exercer sa compétence sur une affaire, le CPVP recherche des indicateurs établissant un « lien réel et substantiel avec le Canada », ce qui comprend une liste non exhaustive d’éléments définis par la jurisprudence au fil du temps.
• Il y a des décisions pertinentes des tribunaux sur le « lien réel et substantiel avec le Canada » applicables à la LPRPDE : (1) A.T. c. Globe24h.com, 2017 CF 114 aux paragraphes 50-64 ; (2) Lawson c. Accusearch inc. (C.F.), 2007 CF 125 aux paragraphes 38-51 ; (3) Facebook inc. c. Canada ((Commissaire à la protection de la vie privée), 2023 CF 534 au paragraphe 84. Le Commissariat a appliqué ce critère dans ses propres enquêtes, notamment celles sur Globe24h (LPRPDE 2015-002) et sur Clearview AI (LPRPDE 2021-001).
• La Cour fédérale a énoncé une liste non exhaustive de facteurs dans la décision A.T. c. Globe24h pour établir un « lien réel et substantiel avec le Canada » : (1) l’emplacement du public cible du site Web, (2) la source du contenu du site Web, (3) l’emplacement de l’opérateur du site Web et (4) l’emplacement du serveur hôte.
• Une présence physique au Canada n’est pas nécessaire pour établir un « lien réel et substantiel » selon la Cour fédérale dans la décision A.T. c. Globe24h.
• Les pouvoirs d’enquête du Commissariat prévus par la LPRPDE (article 12.1) peuvent être difficiles à exercer sur le plan opérationnel ou tout simplement ne pas s’appliquer à l’extérieur du Canada. Il est donc possible que le Commissariat doive adopter différentes approches, notamment le respect volontaire et la collaboration provinciale et internationale. La LPRPDE prévoit la conclusion d’ententes écrites d’échange de renseignements avec les autorités provinciales et étrangères de protection des données (articles 23 et 23.1 de la LPRPDE).

---

Applicabilité de la LPRPDE aux renseignements personnels stockés à l’étranger

Notes d’allocution

• La LPRPDE peut encore s’appliquer aux renseignements personnels stockés sur des serveurs situés à l’extérieur du Canada dans certaines circonstances.
• La LPRPDE s’applique à la circulation transfrontalière des renseignements personnels qui entrent au Canada ou en sortent ou entre les provinces.
• Pour que la LPRPDE s’applique, un lien réel et substantiel avec le Canada doit exister en ce qui a trait à la collecte, à l’utilisation ou à la communication de renseignements personnels par une organisation.

Contexte

• Lorsqu’une enquête est en cours, les dispositions de la LPRPDE relatives à la confidentialité s’appliquent et il se peut qu’il ne soit pas possible de révéler publiquement certains aspects juridictionnels de l’affaire pendant la durée de l’enquête.
• Avant d’exercer sa compétence sur une affaire, le CPVP recherche des indicateurs établissant un « lien réel et substantiel avec le Canada », ce qui comprend une liste non exhaustive d’éléments définis par la jurisprudence au fil du temps.
• Il y a des décisions pertinentes des tribunaux sur le « lien réel et substantiel avec le Canada » applicables à la LPRPDE : (1) A.T. c. Globe24h.com, 2017 CF 114 aux paragraphes 50-64 ; (2) Lawson c. Accusearch inc. (C.F.), 2007 CF 125 aux paragraphes 38-51 ; (3) Facebook inc. c. Canada ((Commissaire à la protection de la vie privée), 2023 CF 534 au paragraphe 84. Le Commissariat a appliqué ce critère dans ses propres enquêtes, notamment celles sur Globe24h (LPRPDE 2015-002) et sur Clearview AI (LPRPDE 2021-001).
• La Cour fédérale a énoncé une liste non exhaustive de facteurs dans la décision A.T. c. Globe24h pour établir un « lien réel et substantiel avec le Canada » : (1) l’emplacement du public cible du site Web, (2) la source du contenu du site Web, (3) l’emplacement de l’opérateur du site Web et (4) l’emplacement du serveur hôte.
• Une présence physique au Canada n’est pas nécessaire pour établir un « lien réel et substantiel » selon la Cour fédérale dans la décision A.T. c. Globe24h.
• Les renseignements personnels recueillis, utilisés (y compris stockés) ou communiqués à l’intérieur des frontières des provinces ayant adopté des lois réputées essentiellement similaires à la partie 1 de la LPRPDE (c.-à-d. Colombie-Britannique, Alberta et Québec) sont visés par les lois provinciales sur la protection de la vie privée, tandis que la LPRPDE s’applique au reste du Canada. La LPRPDE s’appliquerait également lorsqu’il y a circulation transfrontalière des données entre les provinces ou en direction/provenance d’un autre pays.

---

Engagement relatif à l’EFVP avec ISDE concernant la Loi sur Investissement Canada

Notes d’allocution

• En juin 2023, Innovation, Sciences et Développement économique Canada (ou ISDE) a présenté au Commissariat une évaluation des facteurs relatifs à la vie privée (ou EFVP) concernant les examens au titre de la Loi sur Investissement Canada.
• L’EFVP visait à examiner la façon dont ISDE gère les renseignements personnels des investisseurs étrangers qui souhaitent acquérir le contrôle d’une entreprise canadienne existante ou créer une nouvelle entreprise au Canada.
• Dans son EFVP, ISDE a indiqué qu’il transmet les renseignements des demandeurs à Sécurité publique Canada, qui, à son tour, les transmet à des organismes d’enquête pour qu’ils effectuent des examens de sécurité nationale.
• Cependant, ISDE n’y a pas décrit les mesures prises pour déterminer s’il existe des préoccupations en matière de sécurité nationale ou de protection de la vie privée concernant l’entreprise ou l’investisseur.
• Le Commissariat a notamment recommandé à ISDE de conclure des ententes d’échange de renseignements adéquates avec les institutions partenaires qui effectuent des examens de la sécurité nationale, de vérifier que les avis de confidentialité respectent les exigences du SCT et que les périodes de conservation des renseignements personnels sont appropriées et d’établir des procédures en cas d’atteinte à la vie privée.

Contexte

• Les examens de la Loi sur Investissement Canada sont opérationnels depuis 1985. L’EFVP a été réalisée après l’entrée en vigueur des changements importants à la collecte de renseignements personnels en 2017, notamment l’adresse du domicile et la date de naissance.
• Dans sa réponse à la lettre de recommandation du Commissariat, ISDE a indiqué que certaines des recommandations seraient prises en compte dans une EFVP mise à jour, laquelle tarde à être envoyée au Commissariat.
• Sécurité publique Canada n’a pas soumis d’EFVP sur la façon dont il effectue ses examens de sécurité nationale des investisseurs.

---

Conseils du Commissariat concernant la Loi sur Investissement Canada

Notes d’allocution

• Bien que le Commissariat n’ait pas participé concrètement à des examens au titre de la LIC, il a fourni aux ministères des conseils généraux sur la protection de la vie privée, les examens en question et les risques en matière de protection de la vie privée liés à l’acquisition ou au contrôle d’entités sous réglementation fédérale par des entités étrangères.
• Par exemple, le Commissariat a recommandé :
  • que les organisations soient tenues de cerner de manière proactive les considérations possibles en matière de protection de la vie privée dans le cadre du processus de demande;
  • que le gouvernement envisage de restreindre les transferts de données à l’extérieur du Canada par des organisations dans le cadre d’investissements à risque élevé;
  • que les organisations soient tenues d’effectuer des EFVP pour les investissements à risque élevé;
  • que les organisations soient tenues de fournir régulièrement des mises à jour sur les modifications apportées à leurs propres lois pouvant avoir une incidence importante sur leur méthode de traitement des renseignements personnels.

Contexte

• En mars 2019, le Commissariat a rencontré des représentants du ministère des Finances et du Bureau du surintendant des institutions financières (BSIF), à leur demande, pour discuter de questions de protection de la vie privée liées aux changements apportés à l’acquisition et au contrôle d’entités sous réglementation fédérale. À la suite de la réunion, le Commissariat a écrit au BSIF pour présenter les facteurs liés à la protection de la vie privée qu’il pourrait prendre en compte dans ses analyses et les conditions qu’il pourrait imposer aux organisations pour protéger les renseignements personnels.
• Le 30 mai 2019, un député a écrit au Commissariat pour exprimer ses préoccupations concernant le droit à la vie privée des clients et des employés dans le cadre de l’acquisition de deux entreprises par des entités étrangères. Le Commissariat a répondu le 26 août 2019, affirmant qu’il avait communiqué avec ISDE pour discuter de questions de protection de la vie privée liées à la LIC.
• Le 26 août 2019, le Commissariat a écrit à ISDE pour lui donner des conseils sur la façon de tenir compte des questions relatives à la protection de la vie privée lorsqu’ils effectuent des examens au titre de la LIC.
• En octobre 2020, après que la GRC a demandé des conseils sur les questions de protection de la vie privée, le Commissariat lui a fourni des renseignements sur la LPRPDE (p. ex. application de la loi, renseignements sensibles, consentement) et les liens entre la protection de la vie privée et la LIC.

---

Interdiction d’utiliser Tiktok sur les appareils du gouvernement canadien

Notes d’allocution

• Cinq jours après l’annonce de l’enquête du Commissariat à la protection de la vie privée du Canada (CPVP) sur TikTok le 23 février 2023, le gouvernement du Canada a interdit l’utilisation de l’application sur tous les appareils fournis par le gouvernement en évoquant des préoccupations au chapitre de la protection de la vie privée et de la sécurité.
• Le CPVP n’a pas été consulté expressément sur l’interdiction de l’application TikTok sur les appareils gouvernementaux ; il s’agit d’une décision prise par la dirigeante principale de l’information du Canada selon laquelle l’application pose un niveau inacceptable de risque pour la vie privée et la sécurité.
• Aux termes de la politique, TikTok doit être supprimé des appareils fournis par le gouvernement et l’application doit être bloquée afin qu’elle ne puisse plus être installée à l’avenir.

Contexte

• Le Commissariat doit respecter la Politique sur les services et le numérique du gouvernement et donc imposer l’interdiction. Par conséquent, le Commissariat a bloqué l’application TikTok de ses appareils comme l’exige la politique.
• L’utilisation de l’application sur les appareils gouvernementaux a été interdite par d’autres administrations, y compris toutes les provinces canadiennes, la Grande-Bretagne, la France, l’Australie, le gouvernement fédéral des États-Unis et de nombreux États.
• Selon la Politique sur la protection de la vie privée du CST, les institutions doivent aviser le Commissariat de toute initiative prévue pouvant avoir une incidence sur la vie privée des Canadiennes et des Canadiens. Le Commissariat consulte régulièrement le Secrétariat du Conseil du Trésor (SCT) sur les questions liées aux politiques de protection de la vie privée, mais en fin de compte, comme pour l’ensemble des initiatives, des politiques et des programmes, la décision définitive sur les mesures à prendre revient à l’institution.
• Le SCT et le Bureau du dirigeant principal de l’information consultent régulièrement le Commissariat sur les conséquences globales des services numériques; des réunions de niveau opérationnel sont tenues mensuellement et je rencontre aussi régulièrement le dirigeant principal de l’information, M. Rochon. La question précise n’a pas été abordée dans le cadre de ces réunions.

---

Consultation sur le contrôle de l’âge

Notes d’allocution

• Le contrôle de l’âge peut être un outil efficace à intégrer dans une stratégie globale pour promouvoir la sécurité en ligne des jeunes. En plus de restreindre l’accès à du contenu préjudiciable, la confirmation de l’âge pourrait être utilisée pour diriger les jeunes vers une version d’un service qui utilise des pratiques en matière de données adaptées aux jeunes et aux enfants.
• Toutefois, le contrôle de l’âge peut aussi avoir des répercussions importantes sur la vie privée de tous les utilisateurs d’Internet.
• En juin 2024, à l’appui des priorités stratégiques du Commissariat, qui consistent à faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et à défendre le droit à la vie privée des enfants, le Commissariat a lancé une consultation exploratoire sur la question du contrôle de l’âge.
• La consultation nous permettra de mieux comprendre à la fois les défis posés et les possibilités créées par cette technologie.

Contexte

• Les répercussions potentielles du contrôle de l’âge sur la vie privée comprennent le suivi de l’utilisation d’Internet et la communication de renseignements permettant l’identification (p. ex. lors d’une atteinte).
• Notre consultation a pris fin le 10 septembre 2024. Au total, nous avons reçu 40 commentaires provenant de gens de la société civile et du milieu universitaire, de fournisseurs de services de contrôle de l’âge, d’intervenants de services en ligne, de membres d’associations de l’industrie canadienne et de personnes qui souhaitaient transmettre des commentaires.
• Les prochaines étapes prévues comprendront, au minimum, la publication d’un résumé des commentaires des répondants et l’élaboration de recommandations sur l’utilisation et la conception de systèmes de contrôle de l’âge.

---

Rapport du Comité ETHI sur la surveillance des médias sociaux

Notes d’allocution

• J’ai lu avec grand intérêt le rapport du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ou Comité ETHI) sur l’encadrement des plateformes de médias sociaux, qui a été déposé le 5 décembre.
• Je suis également d’avis que le modèle d’affaires et les pratiques des plateformes de médias sociaux posent des risques à la santé et à la sécurité des Canadiens et à la sécurité nationale du Canada.
• J’appuie les recommandations visant à moderniser la législation fédérale sur la protection de la vie privée pour imposer des obligations en matière de minimisation des données, intégrer des règles concernant les transferts de renseignements personnels, protéger la vie privée des enfants et donner au Commissariat des pouvoirs d’ordonnance contraignants.

Contexte

• Le 25 octobre 2024, vous avez comparu devant le Comité ETHI dans le cadre de son enquête sur les médias sociaux.
• Recommandation 1 : Que le gouvernement du Canada réévalue ses normes numériques concernant le téléchargement et l’utilisation de toutes les applications de médias sociaux sur les appareils fournis par le gouvernement afin de s’assurer qu’elles sont principalement utilisées pour les affaires du gouvernement.
• Que le gouvernement du Canada modifie la LPRPDE pour :
  • imposer davantage d’obligations en matière de minimisation de données, y compris l’interdiction de mener certaines formes de collecte de données. (Recommandation 2)
  • donner des pouvoirs d’ordonnance contraignants au commissaire à la protection de la vie privée et le pouvoir d’imposer des sanctions administratives pécuniaires sévères. (Recommandation 3)
  • ajouter des règles explicites concernant les transferts de données des Canadiens à l’extérieur du Canada en vue de fournir un degré comparable de protection pour les données. (Recommandation 4)
  • imposer aux organisations l’obligation de fournir des mécanismes de consentement adaptés aux mineurs et d’y inclure un droit explicite à la suppression et la désindexation des données personnelles pour les mineurs. (Recommandation 5)
• Recommandation 6 : Que le gouvernement du Canada adopte un code de pratique sur la désinformation similaire à celui de l’Union européenne et qu’il oblige les plateformes de médias sociaux à rendre régulièrement compte de leurs activités en matière de confiance et de sécurité et à donner aux chercheurs canadiens l’accès à leurs données.
• Recommandation 7 : Que le gouvernement du Canada augmente le financement de la GRC pour qu’elle affecte davantage de ressources à l’éducation et à la lutte contre la cybercriminalité.
• Recommandation 8 : Que le gouvernement du Canada investisse davantage dans des efforts de littératie numérique afin que la population canadienne soit mieux outillée pour protéger ses renseignements personnels en ligne, reconnaître la désinformation et la mésinformation, et identifier les contenus préjudiciables en ligne.

---

Loi sur les préjudices en ligne (C-63)

Notes d’allocution

• Le gouvernement a déposé le projet de loi C-63, Loi sur les préjudices en ligne, dont l’objectif déclaré est de responsabiliser les services de médias sociaux pour qu’ils s’attaquent au contenu préjudiciable sur leurs plateformes et créent un espace en ligne sécuritaire qui protège tout le monde au Canada, en particulier les enfants.
• Nous avons fait de la défense du droit à la vie privée des enfants une priorité stratégique du Commissariat, car les enfants doivent pouvoir naviguer en ligne en toute sécurité. Cette priorité concerne des aspects du projet de loi C-63, tel que l’obligation de protéger les enfants et certaines caractéristiques de conception pour la protection des enfants qui pourraient devoir être intégrées dans les services, comme la conception adaptée à l’âge.
• Le projet de loi C-63 traite également des images intimes communiquées sans consentement, ce qui présente un intérêt pour Commissariat compte tenu des conclusions que nous avons tirées de l’enquête sur l’affaire Aylo.
• Je me ferai un plaisir de discuter plus en détail des répercussions du projet de loi C-63 en matière de protection de la vie privée si je suis appelé à commenter le projet de loi au Parlement.

Contexte

• Le projet de loi C-63 prévoit l’obligation de protéger les enfants. Dans le cadre de cette obligation, l’article 65 stipule que « L’exploitant intègre au service réglementé qu’il exploite toute caractéristique de conception relative à la protection des enfants prévue par règlement, telles que des caractéristiques de conception adaptées à l’âge. » L’alinéa 140(1)o) précise que les réglementations relatives aux caractéristiques de conception peuvent inclure des paramètres de confidentialité pour les enfants.
• Le projet de loi C-63 établit également une obligation de rendre certains contenus inaccessibles. L’exploitant d’un service réglementé, qu’il s’agisse de contenu signalé par le service lui-même ou par un utilisateur, doit retirer le contenu pour lequel il a des motifs raisonnables de soupçonner qu’il s’agit de contenu représentant de la victimisation sexuelle d’enfants ou perpétuant la victimisation de survivants ou de contenu intime communiqué de façon non consensuelle, dans les 24 heures après l’identification du contenu par l’exploitant (article 67). Le contenu doit rester hors ligne jusqu’à ce que l’exploitant d’un service réglementé ait décidé si le contenu doit rester inaccessible.
• Le Comité permanent de la justice et des droits de la personne a entrepris une étude préliminaire du projet de loi C-63. Le 4 décembre, le ministre de la Justice, Arif Virani, a confirmé que le projet de loi serait scindé pour garantir l’adoption de la partie la moins controversée du projet de loi initial.

---

Capacités d’analyse de la technologie liées aux applications

Notes d’allocution

• Le laboratoire de la Division de l’analyse des technologies possède les capacités spécialisées nécessaires pour évaluer diverses technologies et déterminer si elles poseront des problèmes en matière de cybersécurité et de protection de la vie privée.
• Le laboratoire utilise différentes méthodes pour analyser les applications d’ordinateurs personnels ou d’appareils mobiles.
  • Le plus souvent, l’équipe fait de l’ingénierie inverse des applications à l’aide d’une combinaison de compétences et de logiciels spécialisés.
  • De plus, elle utilise les résultats des recherches externes menées par des APD, le milieu universitaire et l’industrie.
• L’objectif principal du laboratoire est de répondre aux questions et aux demandes du comité et d’autres parlementaires et à celles liées aux enquêtes lancées par le Commissariat concernant des plaintes relatives à la protection de la vie privée déposées en vertu de la Loi sur la protection des renseignements personnels et de la LPRPDE.
• À l’heure actuelle, le laboratoire ne dispose pas des ressources nécessaires pour répondre à la demande croissante d’évaluations complexes et très techniques qui vont au-delà de son objectif.

Contexte

• Il y a actuellement plus de 2 millions d’applications iOS et plus de 3,4 millions d’applications Android, et ces nombres ne cessent d’augmenter.
• À l’échelle mondiale, les applications les plus téléchargées, toutes plateformes confondues, sont les suivantes :
  1 – Instagram (182,2 millions d’utilisateurs); 2 – Facebook (146 millions); 3 – TikTok (117,7 millions); 4 – WhatsApp (113,9 millions); 5 – Telegram (85,1 millions); 6 – Temu (79,6 millions)
• TikTok a été l’application iOS la plus téléchargée au monde en juin 2024 (plus de 15 millions de téléchargements).
• Comptant environ 14,9 millions d’utilisateurs en 2024, TikTok arrive au quatrième rang au Canada, derrière Temu, ChatGPT et Threads.
• Décembre 2022 : L’entreprise TikTok admet avoir espionné des journalistes.
• Juin 2022 : Il est découvert que des employés chinois de TikTok accédaient à des données d’utilisateurs américains, contrairement aux déclarations publiques.

---

Restriction ou blocage de l’utilisation de TikTok à l’échelle internationale

Notes d’allocution

• Le Canada n’est pas le premier pays à envisager de restreindre l’utilisation de l’application TikTok, même que certains pays l’ont bloquée.
• Depuis 2018, lorsque TikTok est devenu téléchargeable dans le monde entier, certains pays comme l’Inde, l’Iran et la Somalie ont bloqué l’application, et de nombreux autres comme l’Australie, la Belgique et le Danemark ont imposé des restrictions précises quant à son utilisation.
• Pour ce deuxième groupe, le gouvernement a, dans la plupart des cas, utilisé des contrôles administratifs pour bloquer l’installation de l’application sur les appareils de la fonction publique ou ceux fournis aux législateurs et à leurs employés.

Contexte

• Blocage complet : Parmi les pays ayant bloqué l’application, mentionnons l’Afghanistan, l’Inde, l’Iran, le Kirghizistan, le Népal et la Somalie. Pour les pays souhaitant bloquer complètement l’utilisation de l’application, la technique la plus efficace semble être d’exiger son retrait des principaux magasins d’applications comme la boutique App Store d’Apple ou la boutique Google Play. D’autres pays, notamment l’Inde, ont ordonné aux fournisseurs de services Internet de bloquer l’application au niveau du réseau national (à l’aide de contrôles de service de noms de domaine). L’Inde a été le premier pays à prendre cette mesure en juin 2020.
• Mesures de restriction de l’utilisation : Parmi les administrations qui restreignent l’utilisation de l’application, mentionnons l’Australie, la Belgique, le Danemark, la France, la Lettonie, les Pays-Bas, la Nouvelle-Zélande, la Norvège, Taïwan, le Royaume-Uni, les États-Unis, le Parlement européen, la Commission européenne et le Conseil européen. Dans la plupart des cas où un gouvernement fédéral a choisi d’imposer des restrictions d’utilisation précises (p. ex. bloquer le téléchargement et l’installation sur des appareils de travail fournis par le gouvernement), il y est parvenu en prenant des mesures au niveau de l’administration informatique (p. ex. bloquer l’installation de l’application sur les appareils gouvernementaux ou utiliser des pare-feu pour empêcher les connexions au service). Le Canada a pris cette mesure en février 2023.
• Mesures temporaires : De nombreux pays comme le Pakistan et l’Indonésie ont mis en place des interdictions complètes, citant le contenu préjudiciable ou immoral de l’application. Cependant, il s’agissait d’interdictions de durée limitée, donc elles ont depuis été levées.

---

Australie : interdiction des réseaux sociaux pour les enfants

Notes d’allocution

• Le Commissariat sait que l’Australie a récemment promulgué une interdiction de l’utilisation des médias sociaux par les enfants de moins de 16 ans et que d’autres administrations ont formulé des propositions semblables.
• Je m’en remets au Parlement pour déterminer si une telle interdiction est appropriée au Canada.
• Toutefois, je crois que d’autres mécanismes à la disposition du Parlement, notamment le renforcement des lois sur la protection des renseignements personnels et l’adoption d’un code de conception tenant compte de l’âge, permettraient d’atteindre les objectifs visés, c’est-à-dire créer des expériences en ligne plus sécuritaires pour les jeunes et répondre aux besoins de ces derniers.
• Je tiens également à souligner que, si une telle interdiction était adoptée, il faudrait veiller à ce que toutes les exigences relatives à la détermination de l’âge des utilisateurs permettent de protéger la vie privée. Le Commissariat serait prêt à fournir des conseils sur la façon de procéder.

Contexte

• Le projet de loi sur la sécurité en ligne (âge minimal pour les médias sociaux) de l’Australie (Online Safety Amendment [Social Media Minimum Age] Bill) de 2024 a été présenté le 21 novembre 2024 et adopté par les deux chambres le 29 novembre 2024. Il entrera en vigueur au plus tard 12 mois après l’adoption.
• Le projet de loi exige d’abord et avant tout que les entreprises de médias sociaux prennent des mesures raisonnables pour empêcher les Australiens de moins de 16 ans d’avoir un compte sur leurs plateformes.
• Le projet de loi australien est la première mesure nationale qui interdit aux enfants d’avoir des comptes de médias sociaux. La Floride a promulgué une interdiction similaire (les enfants de moins de 14 ans ne peuvent pas avoir de comptes de médias sociaux; les enfants de plus de 14 ans, mais de moins de 16 ans, doivent obtenir un consentement parental), mais elle est contestée, car on affirme qu’elle restreint la liberté d’expression. D’autres administrations, notamment la France et de nombreux États américains, exigent ou proposent d’exiger un consentement parental pour les enfants en dessous d’un certain âge (qui varie d’une administration à une autre) souhaitant créer des comptes de médias sociaux.
• L’Australie a mené un essai sur la technologie de contrôle de l’âge, qui vise à évaluer l’efficacité des technologies de contrôle de l’âge disponibles.
• La commissaire à la protection de la vie privée de l’Australie (Carly Kind) s’est dite préoccupée par l’interdiction, affirmant qu’il serait préférable de rendre les médias sociaux plus sécuritaires pour les jeunes, notamment en améliorant les lois sur la protection des renseignements personnels.

---

Engagements visant à protéger les enfants dans d’autres administrations

Notes d’allocution

• À l’échelle mondiale, des administrations ont pris des mesures pour veiller à ce que les environnements numériques protègent les enfants contre les préjudices et pour maximiser leurs avantages.
• La loi sur la sécurité en ligne (Online Safety Act) de 2023 du Royaume-Uni exige notamment que les entreprises des plateformes en ligne déterminent si les enfants sont susceptibles d’accéder à un service et procèdent à une évaluation des risques liés aux droits des enfants.
• Le Royaume-Uni a également adopté le code des enfants (Children’s Code), qui comprend 15 normes que les services en ligne, comme les plateformes de médias sociaux, doivent respecter.
• De même, la législation sur les services numériques de 2022 de l’Union européenne (UE) exige que les plateformes en ligne accessibles aux mineurs offrent un niveau élevé de protection des renseignements personnels et de sécurité et évaluent les risques en ligne pour les enfants et les jeunes. En outre, elle interdit aux plateformes de faire de la publicité ciblée auprès des mineurs.
• L’Australie vient également d’adopter une loi qui interdit aux enfants de moins de 16 ans d’accéder aux médias sociaux. Les plateformes devront prendre des mesures raisonnables pour empêcher les enfants de moins de 16 ans d’avoir des comptes.

Contexte

• Aux termes du projet de loi C-27, les renseignements personnels d’un mineur sont considérés comme étant de nature sensible, ce qui a une incidence sur les exigences concernant le consentement, les programmes de gestion de la protection de la vie privée, les fins appropriées, les périodes de conservation, la transparence des périodes de conservation, les mesures de sécurité, le signalement des atteintes à la vie privée et les mesures de dépersonnalisation, entre autres. De plus, les exceptions à l’obligation d’honorer une demande de retrait de renseignements personnels sont restreintes si les renseignements concernent un mineur.
• Le projet de loi C-63 imposerait trois grandes obligations aux plateformes de médias sociaux : 1) l’obligation d’agir de manière responsable; 2) l’obligation de protéger les enfants en intégrant des caractéristiques de conception relatives à la protection des enfants; et 3) l’obligation de rendre inaccessibles, dans un délai de 24 heures, les images intimes distribuées de manière non consensuelle et le matériel d’abus pédosexuels. Au moment de la rédaction du présent document, le projet de loi C-63 a été envoyé au ministère de la Justice aux fins d’examen préalable.
• La résolution des gouvernements fédéral, provinciaux et territoriaux de 2023 sur l’intérêt de l’enfant énonce les attentes quant aux mesures que les organisations doivent adopter pour protéger les enfants, notamment intégrer la protection de la vie privée dès la conception, ne pas avoir recours aux conceptions trompeuses, faire preuve de transparence, sélectionner les services de protection de la vie privée par défaut et désactiver le suivi de localisation et le profilage.

---

TikTok – Conclusions d’enquêtes d’autres autorités de protection des données et de la vie privée

Notes d’allocution

• En 2023, les APD du Royaume-Uni et de l’Irlande ont constaté que TikTok avait enfreint les règlements généraux sur la protection des données du Royaume-Uni et de l’UE, notamment en portant atteinte à la protection des renseignements personnels des enfants et en ne faisant pas preuve de transparence avec les utilisateurs. L’APD de la France a, quant à elle, constaté que TikTok avait enfreint les exigences de la Loi relative à l’informatique, aux fichiers et aux libertés du pays en matière de consentement aux témoins.
• En 2019, la Federal Trade Commission a annoncé un règlement de 5,7 millions de dollars américains avec TikTok (alors Musical.ly) à la suite de violations présumées de la loi américaine sur la protection de la vie privée des enfants en ligne (Children’s Online Privacy Protection Rule après le règlement), ou COPPA.
• En 2020, l’organisme de réglementation des télécommunications de la Corée du Sud a constaté que TikTok avait enfreint les lois concernant la protection des renseignements personnels des enfants et le transfert de données à l’étranger et a infligé une amende de 186 millions de wons (environ 211 296 $ CA en 2020).
• En novembre 2024, l’APD nationale du Brésil a rendu des ordonnances exécutoires concernant les mécanismes de vérification de l’âge de TikTok et a lancé un processus de sanction dans le cadre de son enquête en cours sur les irrégularités présumées de TikTok quant au traitement des données des enfants et des adolescents.

Contexte

• En avril 2023, le bureau du commissaire à l’information du Royaume-Uni a conclu que TikTok : (1) a traité des données d’enfants trop jeunes pour donner leur consentement, (2) ne fournissait pas aux utilisateurs de l’information facile à comprendre et (3) ne traitait pas les données des utilisateurs de manière légale, équitable ou transparente. Une amende de 12,7 millions de livres sterling a été imposée.
• En septembre 2023, la Commission irlandaise de protection des données a constaté que TikTok : (1) rendait les profils d’enfants publics par défaut; (2) autorisait l’activation de la fonction « Connexion Famille » par des comptes de personnes autres que les parents ou tuteurs de l’enfant (sans vérification); (3) ne faisait pas preuve de transparence avec les utilisateurs mineurs; et (4) utilisait des modèles de conception trompeuse pour inciter les utilisateurs à sélectionner des options pouvant porter atteinte à leur vie privée. Elle a infligé une amende de 345 millions d’euros.
• En janvier 2023, la Commission nationale de l’informatique et des libertés de la France a constaté que les flux de consentement aux témoins de TikTok faisaient en sorte qu’il soit plus simple d’accepter la localisation que de la refuser. Une amende de 5 millions d’euros a été infligée.
• En avril 2024, la Commission européenne a intenté une procédure contre TikTok à la suite d’allégations de manquement à la législation sur les services numériques de l’UE. En août 2024, le département de la Justice et la Federal Trade Commission (FTC) des États-Unis ont intenté une action civile contre TikTok pour des violations présumées de la COPPA.
• En octobre 2024, l’APD (Personal Information Protection Commission) et l’organisme de réglementation des télécommunications (Korea Communications Commission) de la Corée du Sud ont lancé de nouvelles enquêtes sur les pratiques de TikTok en matière de consentement et de traitement des données.

---

Enquête sur TikTok – Recours collectifs liés à la protection de la vie privée

Notes d’allocution

• En février 2023, l’annonce de l’enquête du CPVP sur TikTok précisait qu’elle « s’inscrit dans la foulée de recours collectifs, désormais réglés, aux États-Unis et au Canada ». Il était question de deux affaires.
  • Le recours collectif aux États-Unis prétendait que TikTok avait subrepticement recueilli des renseignements personnels des utilisateurs, y compris des données biométriques, et en avait tiré profit.
  • Le recours collectif canadien faisait valoir que TikTok avait porté atteinte à la vie privée des utilisateurs, notamment en ce qui concerne le consentement des utilisateurs mineurs.

Contexte

• Aux États-Unis, plusieurs poursuites fédérales contre TikTok ont été regroupées en un recours collectif devant le District Court fédéral du district nord de l’Illinois en 2020. L’action en justice comprenait un groupe national et un sous-groupe de l’État de l’Illinois.
  • Le groupe national faisait valoir que, sans le consentement des utilisateurs, TikTok avait recueilli des renseignements personnels (p. ex. des données biométriques), communiqué des renseignements personnels liés aux vidéos à Facebook et à Google et enfreint les lois sur la protection des consommateurs.
  • Le sous-groupe de l’Illinois prétendait notamment que TikTok avait recueilli les renseignements biométriques des utilisateurs sans leur consentement et les avait vendus à des tiers.
• Un règlement de 92 millions de dollars américains aux personnes inscrites au recours a été approuvé en juillet 2022.
• Au Canada, deux recours collectifs contre TikTok ont été autorisés ensemble aux fins de règlement par la Cour suprême de la Colombie-Britannique. Les membres du groupe étaient des utilisateurs de TikTok au Canada, avec un sous-groupe d’utilisateurs mineurs.
  • Selon les allégations des membres du groupe, TikTok aurait recueilli, utilisé et vendu à des tiers les renseignements personnels des utilisateurs sans leur consentement. Le sous-groupe a également affirmé que TikTok n’avait pas obtenu un consentement parental pour les mineurs.
• Un règlement de 2 millions de dollars canadiens en dons de bienfaisance a été approuvé en février 2022.
• TikTok n’a admis aucun acte répréhensible dans l’un ou l’autre des accords de règlement.
• En septembre 2024, un recours collectif contre TikTok a été déposé en Californie au nom de parents d’enfants, qui affirmaient que l’entreprise avait enfreint la COPPA. Un autre recours collectif, déposé en 2021 par des fondations néerlandaises au nom d’utilisateurs enfants et adultes, portait sur des manquements aux règlements relatifs à la protection des renseignements personnels.

---

Poursuite intentée par le département de la Justice et la FTC des États-Unis contre TikTok

Notes d’allocution

• En août 2024, le département de la Justice et la FTC des États-Unis ont intenté une action civile en Californie contre TikTok à la suite de violations présumées de la COPPA.
• Dans le cadre de la poursuite, il est allégué que, depuis 2019, TikTok :
  • n’a pas informé les parents des utilisateurs ni obtenu leur consentement avant de recueillir et d’utiliser les renseignements personnels d’enfants de moins de 13 ans;
  • n’a limité ni la collecte, ni l’utilisation, ni la communication des renseignements personnels d’enfants et n’a pas supprimé les renseignements personnels des enfants à la demande de leurs parents ou lorsque TikTok n’en avait plus besoin;
  • a contrevenu aux modalités d’une ordonnance judiciaire de 2019, qui obligeait TikTok à respecter la COPPA, dans le cadre d’un règlement avec la FTC.

Contexte

• En 2019, la FTC a annoncé un règlement de 5,7 millions de dollars américains avec TikTok (alors Musical.ly) à la suite de violations présumées de la COPPA. Le règlement comprenait une ordonnance par consentement interdisant à TikTok d’enfreindre la COPPA et imposait des mesures pour veiller à ce que l’entreprise respecte la loi.
• Malgré l’ordonnance judiciaire, il est allégué dans le cadre du procès en cours contre TikTok que l’entreprise a sciemment permis à des enfants de créer des comptes dans l’application; de créer, de partager et de voir du contenu; et d’interagir avec d’autres utilisateurs, y compris des adultes.
• Même lorsque les comptes ont été créés en « mode enfants » (une version restreinte destinée aux enfants de moins de 13 ans), il est allégué que TikTok a illégalement recueilli et sauvegardé les adresses courriel des enfants et d’autres renseignements personnels.
• De plus, les politiques et les processus de détection et de suppression des comptes créés par des enfants de TikTok auraient été déficients et inefficaces, et il serait souvent arrivé à l’entreprise de ne pas honorer les demandes des parents de supprimer les comptes de leurs enfants.
• Il est également allégué que TikTok :
  • recueille plus de données que nécessaire, notamment des renseignements concernant les activités des enfants sur l’application et des identificateurs permanents utilisés pour créer des profils sur les enfants;
  • a intégré des portes dissimulées dans sa plateforme qui permettent aux enfants de contourner les mécanismes de vérification de l’âge et de consentement parental en utilisant les justificatifs de services tiers comme Google et Instagram.

---

Poursuite intentée par le procureur général du Texas contre TikTok

Notes d’allocution

• L’État du Texas poursuit TikTok pour avoir exploité sa plateforme d’une manière qui met en danger la sécurité en ligne et la vie privée des enfants et pour avoir enfreint la loi de l’État sur la protection des enfants en ligne grâce à l’autonomisation parentale (Securing Children Online through Parental Empowerment Act), ou loi SCOPE.
• Les lois du Texas exigent que les entreprises de médias sociaux comme TikTok prennent des mesures pour protéger les enfants en ligne et fournissent des outils aux parents pour les aider à en faire de même.
• La loi SCOPE interdit à TikTok de transmettre, de communiquer ou de vendre à quiconque les renseignements personnels d’un mineur sans l’autorisation de son parent ou tuteur et exige que les parents disposent des outils nécessaires pour gérer et contrôler les paramètres du compte, notamment ceux de confidentialité, de leur enfant.

Contexte

• Affaire portée devant le tribunal régional du comté de Galveston le 3 octobre 2024.
• Le procureur général du Texas affirme que TikTok a enfreint la loi SCOPE et fait donc face aux trois chefs d’accusation suivants :
  • (i) Ne pas utiliser une méthode commercialement raisonnable pour qu’un parent ou un tuteur vérifie son identité et sa relation avec un mineur connu à l’aide de l’application;
  • (ii) Transmettre, communiquer et vendre illégalement les renseignements personnels recueillis par l’application;
  • (iii) Ne pas fournir aux parents les outils dont ils ont besoin pour contrôler les comptes de mineurs connus qui utilisent l’application.
• Le procureur général du Texas demande des sanctions civiles pouvant atteindre 100 000 $ US pour chaque violation et des mesures injonctives pour prévenir des violations futures.
• Diverses entités affiliées à TikTok (filiales de l’entreprise ByteDance, basée à Pékin) sont désignées comme défenderesses, notamment TikTok Pte Ltd, basée à Singapour, qui est responsable de la gestion de l’application TikTok dans la boutique App Store d’Apple ou la boutique Google Play. Il s’agit de la même entité qui fait l’objet d’une enquête conjointe par le Commissariat et trois homologues provinciaux.
• Référence : State of Texas v. TikTok Inc., et al. (no 24-CV-1763)

---

Loi américaine exigeant la cession ou le blocage de TikTok

Notes d’allocution

• Le Congrès a adopté une loi visant à possiblement bloquer TikTok aux États-Unis dès le 19 janvier 2025 (c.-à-d. 270 jours après l’adoption de la loi). La date d’entrée en vigueur du blocage peut être reportée de 90 jours au moyen d’un report unique par le président (c.-à-d. jusqu’au 19 avril 2025).
• La loi exige que ByteDance (la société mère de TikTok), qui est basée à Pékin, vende l’application TikTok à une entité basée dans un pays adversaire non étranger.
• À moins que ByteDance trouve un acheteur qualifié avant la date limite, la loi rendrait illégale la prise en charge de l’application par les services d’hébergement Web et obligerait les fournisseurs comme Apple et Google à retirer l’application de leur magasin d’applications, la rendant ainsi inutilisable aux États-Unis.

Contexte

• Le 24 avril 2024, le président Biden a promulgué un programme important d’aide étrangère [H.R.815, 118th Cong. (2023-2024) : Making emergency supplemental appropriations for the fiscal year ending September 30, 2024, and for other purposes., H.R.815, 118th Cong. (2024); 15 USC 9901 (en anglais seulement)], qui comprenait également une version modifiée de la loi sur la protection des Américains contre les applications contrôlées par un adversaire étranger (Protecting Americans from Foreign Adversary Controlled Applications Act). Cette nouvelle version prévoit pratiquement un blocage de TikTok aux États-Unis.
• Aux fins de cette loi, il n’y a que quatre pays adversaires étrangers : (i) la République populaire de Chine; (ii) la République populaire démocratique de Corée (Corée du Nord); (iii) la Fédération de Russie; et iv) la République islamique d’Iran [section H, conjointement avec 10 U.S.C. § 4872(d)(2) (en anglais seulement)].
• Cette loi s’applique aux applications contrôlées par des adversaires étrangers, notamment TikTok (par l’intermédiaire de sa société mère, ByteDance), au titre de § 2(g)(3)(A) et (B) de la loi (en anglais seulement). TikTok et ByteDance y sont nommément désignés.
• Si l’application TikTok était détenue ou contrôlée par une entité basée dans un pays autre que les quatre pays adversaires étrangers, cette loi cesserait de s’y appliquer.
• Le 6 décembre 2024, la Cour d’appel du circuit de D.C. a déclaré que cette loi était constitutionnelle (c.-à-d. elle ne porte pas atteinte à la liberté d’expression prévue par le 1er amendement de la Constitution des États-Unis) [TikTok Inc. c. Merrick Garland, 24-1113, (Cour d’appel du circuit de D.C.)];
• Le 9 décembre 2024, l’avocat de TikTok/ByteDance a déposé une requête d’urgence auprès de la Cour d’appel du circuit de D.C. demandant une injonction provisoire (d’ici le 16 décembre) pour éviter que cette loi entre en vigueur le 19 janvier 2025.

---

Récente élection présidentielle roumaine

Notes d’allocution

• Je suis au courant des allégations concernant le rôle de TikTok quant aux résultats du premier tour de l’élection présidentielle roumaine.
• Les préoccupations exprimées par des chercheurs, des organisations non gouvernementales et les autorités roumaines mettent en évidence les risques possibles découlant de l’utilisation d’algorithmes alimentés par les données des utilisateurs par les plateformes de médias sociaux.
• Comme l’a constaté la Commission sur l’ingérence étrangère, les acteurs malveillants peuvent chercher à manipuler les algorithmes pour amplifier certaines voix et certains messages, notamment à l’aide de robots.

Contexte

• Le 24 novembre 2024, Călin Georgescu était en tête après le premier tour de l’élection présidentielle roumaine, ayant reçu environ 23 % des voix. Nombreux sont ceux qui considèrent Georgescu comme étant d’extrême droite en raison de son opposition à aider l’Ukraine, de ses critiques de l’OTAN et de son éloge du chef du gouvernement fasciste roumain allié à l’Allemagne pendant la Seconde Guerre mondiale.
• La veille du premier tour de scrutin, un rapport publié par Expert Forum, un groupe de réflexion basé à Bucarest, indiquait que Georgescu avait connu une explosion de visibilité sur TikTok à l’approche du vote, qui semblait soudaine et créée artificiellement et qui correspondait à son augmentation de popularité dans les sondages.
• Plus de 20 organisations non gouvernementales roumaines et le National Audiovisual Council de Roumanie ont demandé à la Commission européenne (CE) d’enquêter pour savoir si TikTok avait contrevenu à ses obligations prévues par la législation sur les services numériques (DSA).
• La CE a envoyé à TikTok des demandes de renseignements urgentes et a émis une « injonction de conservation » au titre de la DSA, ordonnant à la plateforme de geler et de conserver les données et les éléments de preuve liés aux élections roumaines, notamment les documents internes et les renseignements sur la conception et le fonctionnement des systèmes de recommandation de TikTok.
• Le 4 décembre 2024, le président roumain a déclassifié des documents de renseignement, qui suggéraient que des milliers de comptes TikTok créés il y a quelques années par la Russie ont soudainement été activés pour appuyer Georgescu dans les semaines précédant le vote.
• Le 6 décembre 2024, la Cour constitutionnelle roumaine a annulé les résultats du premier tour de l’élection présidentielle en raison de préoccupations concernant l’ingérence étrangère. Le gouvernement doit maintenant fixer une date pour un nouveau scrutin.

---

Développements internationaux quant au contrôle de l’âge

Notes d’allocution

• Le contrôle de l’âge a fait l’objet de discussions à l’échelle internationale.
• De nombreuses administrations, notamment aux États-Unis, dans l’UE et en Australie, ont établi des exigences en matière de contrôle de l’âge liées au blocage ou à la restriction de l’accès des jeunes à certains types de services en ligne (p. ex. médias sociaux, sites de rencontres) ou de contenu (p. ex. matériel sexuellement explicite).
• Parallèlement, l’efficacité des techniques actuelles de contrôle de l’âge est évaluée dans le cadre de projets comme l’essai technologique de contrôle de l’âge de l’Australie et l’évaluation des systèmes d’estimation de l’âge par la NIST des États-Unis. Des normes sont également en cours d’élaboration.
• Des APD (y compris le Commissariat) ont également examiné les répercussions du contrôle de l’âge sur la protection de la vie privée et fourni des conseils à ce sujet, notamment au moyen des principes énoncés dans la déclaration commune attestant de l’adoption d’une approche internationale concertée en ce qui concerne le contrôle de l’âge.

Contexte

• NIST des É.-U. = Institut national des normes et des technologies des États-Unis
• Les normes en cours d’élaboration comprennent l’ISO 27566 et la CA/INGN 127 de l’Institut des normes de gouvernance numérique du Canada.
• Interdictions et restrictions : Par exemple, l’Australie a interdit aux enfants de moins de 16 ans d’avoir des comptes de médias sociaux (interdiction), tandis que la France exige que les enfants de moins de 15 ans obtiennent un consentement parental pour avoir des comptes (restriction).
• 10 signataires de la déclaration conjointe : Royaume-Uni, Gibraltar, Philippines, Canada, Argentine, Mexique, Guernesey, Bermudes, Jersey et île de Man.
• Exemples de lois sur le contrôle de l’âge :
  • Matériel sexuellement explicite : Online Safety Act du Royaume-Uni; Loi visant à sécuriser et à réguler l’espace numérique de la France.
  • Médias sociaux : Législation sur les services numériques de l’UE; Online Safety Amendment (Social Media Minimum Age) Bill de l’Australie.