Évaluer si le contrôle de l’âge doit être appliqué et, le cas échéant, de quelle façon – Document d’orientation pour les sites Web et les services en ligne

Avis

Le Commissariat à la protection de la vie privée du Canada recueille les observations sur ce document jusqu’au 4 août 2026, date à laquelle il évaluera si des modifications sont nécessaires. Si c’est le cas, le document sera mis à jour et un lien vers un résumé des modifications apportées sera fourni. Vous pouvez faire parvenir vos observations par courriel à cpvp-opcconsultation1@priv.gc.ca.

Résumé : Évaluer si le contrôle de l’âge doit être appliqué et de quelle façon

1. Déterminer si un système de contrôle de l’âge est requis

Lorsqu’une organisation prévoit empêcher l’accès à du contenu ou à un service, elle devrait pouvoir :

démontrer qu’elle est légalement tenue de le faire;
démontrer qu’il y a un préjudice potentiel propre aux enfants qui justifie la différenciation en fonction de l’âge.

Lorsqu’une organisation prévoit s’adapter aux utilisateurs qui sont des enfants en modifiant ses pratiques en matière de renseignements personnels, elle devrait :

déterminer si ses pratiques en matière de renseignements personnels pourraient causer un préjudice;
déterminer si le site ou le service est susceptible d’être consulté par un nombre non négligeable d’enfants;
envisager d’autres approches visant à remédier aux préjudices potentiels.

2. Déterminer la nature du contrôle de l’âge à utiliser

Les organisations doivent prendre en compte :

l’étendue et la nature sensible des renseignements personnels recueillis par la méthode de contrôle de l’âge, et veiller à ce qu’elles soient proportionnelles au risque à atténuer;
la possibilité de limiter l’application du contrôle de l’âge, par exemple en séparant le contenu soumis à des restrictions d’âge ou en désactivant par défaut certaines pratiques en matière de données.

3. Appliquer le contrôle de l’âge d’une façon qui protège la vie privée

Les organisations doivent :

assumer toutes les obligations prévues par la loi;
utiliser un système de contrôle de l’âge conçu de manière à protéger la vie privée;
fournir aux individus diverses possibilités et des mécanismes d’appel;
limiter, si c’est possible, le nombre de fois où un individu doit se soumettre au processus de contrôle de l’âge.

Et ne doivent pas :

utiliser les résultats de contrôle de l’âge à d’autres fins;
tenter d’utiliser le contrôle de l’âge pour établir des liens entre les visites d’un même individu.

1. Introduction

Il est de plus en plus évident que le fait d’être soumis à certaines pratiques en matière de renseignements personnels, ou exposé à certains contenus en ligne, peut nuire aux enfants. Pour garantir que leur site Web ou service en ligne est sécuritaire pour les enfants, les exploitants devraient pouvoir déterminer qu’une des conditions suivantes est remplie :

il est probable que le nombre d’enfants qui accèdent au site Web ou au service en ligne est négligeable;
il est peu probable que l’accès au site Web ou au service en ligne cause un préjudice aux enfants^{Note de bas de page 1};
des mesures appropriées sont en place pour atténuer les préjudices potentiels aux enfants.

Le contrôle de l’âge^{Note de bas de page 2} peut s’avérer une façon légitime d’atténuer les préjudices. Toutefois, le contrôle de l’âge peut également avoir des répercussions négatives, en particulier si la vie privée n’est pas protégée dès le départ. Si l’on ne fait pas preuve de prudence et que les décisions en matière de conception sont inappropriées, le contrôle de l’âge pourrait avoir les répercussions suivantes : une atteinte aux renseignements personnels utilisés aux fins de contrôle de l’âge pourrait avoir lieu, les activités en ligne des individus pourraient faire l’objet d’une surveillance ou d’un profilage, ou les groupes méritant l’équité pourraient être soumis à une collecte de données disproportionnée pour accéder à du contenu ou à des services. L’utilisation du contrôle de l’âge peut également avoir des effets secondaires; elle peut dissuader des individus d’utiliser un service ou d’accéder à un contenu, même s’ils ne sont pas soumis à une restriction fondée sur l’âge.

Le contrôle de l’âge ne devrait pas être une condition par défaut pour accéder à Internet. Il devrait plutôt faire partie des nombreuses approches utilisées pour protéger les enfants en ligne et être appliqué d’une manière fondée sur le risque et proportionnelle au préjudice qui pourrait être causé.

Le présent document est destiné aux exploitants de sites Web et de services en ligne (parties utilisatrices) qui cherchent à déterminer si leur organisation doit utiliser un système de contrôle de l’âge pour soutenir la création d’expériences en ligne plus adaptées à l’âge des jeunes et, le cas échéant, à savoir comment utiliser le système de manière à protéger la vie privée. Il s’ajoute au document intitulé « Concevoir des systèmes de contrôle de l’âge qui protègent la vie privée »^{Note de bas de page 3}, qui porte sur le fonctionnement de ces systèmes. Les parties utilisatrices devraient également bien connaître ce document, car il est attendu qu’elles veillent à ce que les fournisseurs de services de contrôle de l’âge choisis respectent les conditions qui y sont énoncées.

Ce document ne décrit pas exhaustivement toutes les obligations connexes prévues par les lois canadiennes sur la protection des renseignements personnels. Pour en savoir plus sur les exigences en matière de conformité, visitez le site priv.gc.ca.

2. Déterminer si un contrôle de l’âge peut être nécessaire

Déterminer si un contrôle de l’âge peut être nécessaire équivaut à déterminer s’il existe un besoin légitime de différencier les utilisateurs en fonction de leur âge. Il existe deux situations où un contrôle peut être nécessaire : i) lorsqu’il faut empêcher des individus d’accéder à une partie ou à l’ensemble d’un site Web ou d’un service en ligne, et ii) lorsqu’un site Web ou un service en ligne doit être adapté à l’âge de certains utilisateurs. Ces éléments ne sont pas mutuellement exclusifs. De nombreux sites présentant du contenu auquel certains utilisateurs ne doivent pas avoir accès présentent également du contenu non restreint. Les organisations devraient donc déterminer si leur situation correspond à l’une ou l’autre des catégories ou aux deux.

2.1. Empêcher l’accès en fonction de l’âge

En raison de la nature fondamentale d’un site Web ou d’un service en ligne ou du contenu qui y figure, il est possible qu’il faille empêcher des individus n’ayant pas atteint un certain âge d’accéder à une partie ou à l’ensemble du site. Parmi ces sites, mentionnons les sites présentant du contenu pornographique, permettant de jouer à des jeux de hasard et d’argent ou vendant des produits soumis à des restrictions d’âge. Une organisation peut imposer de telles restrictions pour assumer une obligation légale d’empêcher l’accès ou parce qu’elle a déterminé que l’accès au site Web ou au service par des enfants peut leur causer un préjudice. Cette dernière catégorie comprendrait, par exemple, les services de rencontres en ligne où le fait de mettre en contact des enfants et des adultes serait nuisible.

Dans les deux cas, les organisations doivent prendre des mesures pour déterminer si une personne raisonnable considérerait la collecte et l’utilisation de renseignements personnels pour effectuer un contrôle de l’âge comme appropriées dans les circonstances^{Note de bas de page 4}. Voici quelques exemples :

Lorsqu’il existe une obligation légale d’empêcher les enfants d’accéder à une partie ou à l’ensemble du contenu, une organisation devrait pouvoir :

présenter l’exigence précise à laquelle l’organisation satisfera en appliquant le contrôle de l’âge et expliquer pourquoi l’organisation est assujettie à l’exigence;
démontrer que le contrôle de l’âge est exigé par la loi ou que des solutions de rechange raisonnables au contrôle de l’âge (si disponibles) ont été envisagées, mais que l’organisation a déterminé qu’elles ne convenaient pas.

Lorsqu’une organisation détermine qu’il est probable que des enfants subissent un préjudice s’ils accèdent à une partie ou à l’ensemble du contenu, elle devrait pouvoir démontrer :

le préjudice potentiel qu’elle cherche à prévenir et pourquoi les répercussions de ce préjudice potentiel sur les enfants justifient une différenciation des utilisateurs en fonction de l’âge;
s’il existe une probabilité raisonnable qu’un nombre non négligeable d’enfants soient touchés par ce préjudice potentiel (comme il est expliqué à la section 2.2.2).

Lorsqu’une organisation cherche à bloquer l’accès des enfants, car ses pratiques en matière de renseignements personnels peuvent causer des préjudices, elle devrait également préciser clairement pourquoi ces pratiques sont inhérentes à la nature du site ou du service fourni (c’est-à-dire qu’elles ne peuvent pas être adaptées pour que les enfants aient accès). Ces démarches sont particulièrement importantes dans les cas où un enfant subirait des préjudices s’il n’avait pas accès au site (par exemple, s’il perd l’accès à des ressources communautaires ou documentaires importantes).

2.2. Modifier les pratiques pour les adapter aux utilisateurs en fonction de l’âge

Dans certaines situations, ce sont les décisions en matière de conception que prend l’organisation elle-même, comme l’application d’un algorithme particulier, ou l’étendue ou la nature de la collecte et de l’utilisation de renseignements personnels, qui sont la cause du préjudice potentiel.

Dans de tels cas, les organisations devraient déterminer : i) si les pratiques en matière de renseignements personnels d’un site Web ou d’un service en ligne peuvent causer un préjudice aux enfants; ii) le cas échéant, si un nombre non négligeable d’enfants sont susceptibles d’accéder au site Web ou au service; et iii) le cas échéant, s’il serait raisonnablement possible de remédier au préjudice potentiel sans avoir recours au contrôle de l’âge.

L’ordre des première et deuxième étapes est interchangeable. Par exemple, il serait acceptable qu’une organisation n’effectue pas une analyse des préjudices potentiels aux enfants si elle a déjà déterminé que le nombre d’enfants susceptibles d’accéder à son site ou son service est négligeable.

2.2.1. Déterminer si les pratiques en matière de renseignements personnels présentent un préjudice potentiel

Afin de savoir si l’utilisation du contrôle de l’âge est nécessaire pour adapter leurs produits aux enfants, les organisations exploitant des sites Web et des services en ligne doivent d’abord déterminer si leurs pratiques en matière de renseignements personnels peuvent causer des préjudices.

Ce ne sont pas toutes les collectes et utilisations de renseignements personnels concernant des enfants qui peuvent causer des préjudices. De nombreuses pratiques en ligne normalisées sont peu susceptibles d’atteindre ce seuil, par exemple :

utiliser des témoins de première partie ou d’autres méthodes pour recueillir des données analytiques sur l’utilisation du site;
permettre à un utilisateur de soumettre une adresse de courriel pour recevoir un bulletin d’information;
permettre à un utilisateur d’enregistrer ses préférences en créant un compte pour un service.

Ces pratiques ne nécessiteraient généralement pas de différencier les utilisateurs en fonction de l’âge, donc un contrôle de l’âge ne serait pas nécessaire.

Cependant, d’autres pratiques en matière de renseignements personnels peuvent causer un préjudice propre aux enfants et devraient donc être modifiées – pour tous les utilisateurs ou lorsque l’exploitant d’un site Web ou d’un service croit raisonnablement qu’un utilisateur est un enfant. Par exemple :

les services qui permettent la communication privée et illimitée entre utilisateurs, car il est possible qu’un enfant se fasse exploiter par un utilisateur adulte;
les services qui créent des profils détaillés pour les utilisateurs, qui sont vendus ou utilisés pour créer de la publicité abusive ou inappropriée pour l’âge des enfants;
les services qui encouragent les utilisateurs à fournir des renseignements personnels sensibles à leur sujet.

On trouve un nombre croissant de travaux sur les façons de cerner les préjudices potentiels aux enfants. Parmi les outils et les ressources utiles qui peuvent aider les organisations, citons l’évaluation des répercussions sur les droits de l’enfant^{Note de bas de page 5}, la Convention relative aux droits de l’enfant des Nations Unies^{Note de bas de page 6} (et le document connexe intitulé Observation générale no 25 sur les droits de l’enfant en relation avec l’environnement numérique^{Note de bas de page 7}) ainsi que des documents comme la résolution des commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée et des ombuds responsables de la protection de la vie privée intitulée « Mettre l’intérêt supérieur des jeunes à l’avant-plan en matière de vie privée et d’accès aux renseignements personnels » (résolution FPT sur l’intérêt supérieur des enfants)^{Note de bas de page 8}.

L’évaluation des préjudices potentiels devrait être proportionnelle à la nature et à l’étendue de la collecte et de l’utilisation des renseignements personnels. Par exemple, lorsqu’une organisation ne cherche généralement pas à recueillir ni à utiliser des renseignements sur ses utilisateurs (ou, par exemple, ne recueille que des renseignements d’utilisation pseudonymisés), il est probable qu’une simple prise en considération suffira. Lorsqu’une organisation recueille une grande quantité de renseignements ou des renseignements sensibles, un examen plus approfondi des préjudices potentiels devrait être effectué.

2.2.2. Déterminer si un nombre non négligeable d’enfants sont susceptibles d’accéder au site ou au service

Afin de savoir si un contrôle de l’âge peut être nécessaire pour prévenir un préjudice potentiel aux enfants, les organisations doivent aussi déterminer si une partie non négligeable de leurs utilisateurs sont des enfants.

Pour effectuer cette évaluation, une organisation doit connaître les mesures de l’auditoire global, qui sont déterminées par l’analyse de la conception, de la nature et du contenu du site ou du service. Une organisation n’a pas à recueillir des renseignements liés à l’âge auprès de tous les utilisateurs pour obtenir des données précises sur l’âge.

Voici certains des facteurs pertinents^{Note de bas de page 9} à prendre en compte pour analyser les mesures de l’auditoire :

tout élément de preuve tiré d’une recherche faite par une organisation au sujet de sa base d’utilisateurs ou des comportements des utilisateurs indiquant que certains d’entre eux sont des enfants;
indications selon lesquelles des annonceurs tiers placent des publicités destinées aux enfants sur le site Web d’une organisation;
présence de contenu, de caractéristiques de conception ou d’activités attrayants pour les enfants;
indications selon lesquelles des enfants accèdent à des sites Web et à des services similaires.

Le fait d’énoncer dans une politique de confidentialité (ou un document similaire) que les individus n’ayant pas atteint un certain âge ne sont pas censés accéder à un site ou à un service ou ne sont pas autorisés à le faire, sans mettre en application cette disposition, ne constituerait pas un facteur valide pour obtenir les données réelles sur l’âge des utilisateurs.

Si une organisation a déterminé que le nombre d’utilisateurs susceptibles d’être des enfants est négligeable, il ne serait pas raisonnable d’utiliser le contrôle de l’âge pour éviter que les pratiques en matière de renseignements personnels causent des préjudices aux enfants compte tenu de l’intérêt en matière de protection de la vie privée que présente une collecte limitée. Par conséquent, dans une telle situation, le contrôle de l’âge ne devrait pas être utilisé.

2.2.3. Autres approches pour prévenir les préjudices potentiels

Une fois qu’une organisation a déterminé que son site Web ou son service est susceptible d’être consulté par des enfants et qu’il pourrait leur causer un préjudice, elle devrait se demander s’il existe des approches raisonnables d’atténuation des risques autres que le contrôle de l’âge qui pourraient prévenir les préjudices potentiels.

Par exemple, l’utilisation d’un profil détaillé des individus pour diffuser des publicités comportementales peut causer préjudice aux enfants^{Note de bas de page 10}. Au lieu d’atténuer ces préjudices en exigeant que tous les utilisateurs se soumettent à un contrôle de l’âge dès le départ, une organisation devrait plutôt envisager ce qui suit :

interdire (ou utiliser uniquement des services publicitaires qui interdisent) l’utilisation de toute déduction selon laquelle un utilisateur est, ou peut être, un enfant aux fins de publicité comportementale;
cesser la publicité comportementale si elle constate que l’utilisateur est un enfant (par exemple, en la désactivant automatiquement pour tout utilisateur qui indique être un enfant au moment de créer un compte ou dont l’appareil envoie un signal indiquant qu’il s’agit d’un enfant);
rendre facilement accessibles les options de retrait appropriées.

Si des mesures portant moins atteinte à la vie privée peuvent s’avérer suffisantes pour prévenir les préjudices potentiels aux enfants, les organisations devraient envisager de les mettre en œuvre lorsqu’il est raisonnable de le faire.

De même, les organisations devraient se demander si un préjudice potentiel est propre aux enfants ou s’il touche tous les utilisateurs et, dans ce dernier cas, si la ou les mesures de protection qui seraient appliquées aux enfants devraient être appliquées à grande échelle, éliminant ainsi la nécessité de faire une distinction entre les utilisateurs.

3. Déterminer la nature du contrôle de l’âge

Si une organisation a établi que des enfants pourraient subir des préjudices s’ils visitaient un site Web ou un service sans restriction, qu’un nombre non négligeable d’enfants sont susceptibles de le faire, et que les autres approches d’atténuation des préjudices potentiels ne sont pas raisonnables, le contrôle de l’âge peut être une option nécessaire ou appropriée. L’organisation doit ensuite déterminer i) quelle méthode de contrôle de l’âge est appropriée et ii) à quel moment le contrôle de l’âge devrait être appliqué.

3.1. Méthode de contrôle de l’âge

Le contrôle de l’âge doit toujours être mis en œuvre de manière à tenir compte du risque et du principe de proportionnalité afin de réduire les préjudices potentiels aux utilisateurs, plus particulièrement aux enfants^{Note de bas de page 11}. Par conséquent, pour éviter des répercussions disproportionnées, il ne faudrait pas que les individus soient tenus de fournir plus de renseignements personnels que nécessaire, ou des renseignements plus sensibles, pour atténuer adéquatement les risques cernés.

La nécessité sera déterminée par le niveau d’efficacité requis pour le processus de contrôle de l’âge. Par exemple, lorsqu’une organisation utilise le contrôle de l’âge pour assumer une obligation légale d’empêcher les enfants d’accéder à du contenu ou à un service ou lorsque le préjudice potentiel cerné aurait des répercussions importantes sur un enfant, il faut garantir un niveau élevé d’efficacité. Il pourrait donc être approprié d’utiliser l’estimation de l’âge fondée sur des renseignements biométriques ou une vérification de l’âge nécessitant de fournir une pièce d’identité gouvernementale, pourvu que, dans les deux cas, la méthode soit mise en œuvre de manière à protéger la vie privée.

Lorsqu’une organisation cerne un risque pour les enfants qui, selon elle, n’est pas important (mais n’est pas négligeable), le contrôle de l’âge peut tout de même être approprié. Cependant, pour garantir le respect du principe de proportionnalité, l’organisation devrait choisir une méthode de contrôle de l’âge qui limite au minimum la collecte de renseignements personnels supplémentaires sur les utilisateurs, même si cela réduit la certitude que les enfants ne seront pas exposés à ce risque.

Les organisations devraient réexaminer régulièrement leur méthode de contrôle de l’âge pour déterminer si l’évolution du domaine fait en sorte qu’elles puissent adopter une méthode suffisamment efficace qui protège davantage la vie privée. Par exemple, plutôt que de demander aux utilisateurs de se soumettre à un processus de contrôle de l’âge propre à un site ou à un service donné, il serait préférable qu’une organisation accepte une attestation d’un portefeuille numérique ou un signal provenant d’un navigateur ou d’un appareil, si ces méthodes devenaient fiables et courantes pour les internautes canadiens.

Les organisations sont responsables de démontrer que leur approche de contrôle de l’âge protège la vie privée, en plus d’être efficace et proportionnelle^{Note de bas de page 12}.

3.2. Étendue du contrôle de l’âge

Les organisations ne devraient recueillir et utiliser les renseignements personnels aux fins de contrôle de l’âge que lorsque cela est nécessaire. Par conséquent, les utilisateurs devraient généralement être tenus^{Note de bas de page 13} de prouver qu’ils ont atteint un certain âge seulement lorsqu’il est nécessaire de les différencier en fonction de leur âge pour prévenir un préjudice potentiel à un enfant.

Les organisations devraient, par exemple :

séparer ou détecter et signaler le contenu soumis à des restrictions d’âge, de sorte qu’un individu sera soumis à une vérification de son âge seulement lorsqu’il tentera d’accéder à du contenu soumis à des restrictions d’âge;
utiliser une approche de « désactivation par défaut », où les fonctionnalités ou les pratiques en matière de données qui peuvent être préjudiciables aux enfants ne sont activées que si un individu établit qu’il a dépassé un certain âge.

Il convient de noter que cette dernière approche soutient le principe selon lequel les individus devraient être tenus de prouver qu’ils ont dépassé un certain âge (et donc qu’ils peuvent accéder à du contenu ou des fonctionnalités pouvant être préjudiciables) et non qu’ils ne l’ont pas atteint (et nécessitent donc des mesures de protection supplémentaires)^{Note de bas de page 14}.

Lorsqu’un site Web ou un service en ligne contient du contenu et des fonctionnalités restreints et non restreints, l’objectif de l’organisation devrait être de fournir le meilleur accès possible aux éléments non restreints sans appliquer un contrôle de l’âge.

4. Appliquer le contrôle de l’âge d’une manière qui protège la vie privée

Une fois qu’une organisation a déterminé qu’elle devrait appliquer le contrôle de l’âge ou qu’elle est tenue de le faire, et qu’elle a réfléchi à la manière et au moment de le faire, elle doit veiller à ce que son utilisation d’un système de contrôle de l’âge protège la vie privée.

Comme l’indique le document intitulé « Concevoir des systèmes de contrôle de l’âge qui protègent la vie privée »^{Note de bas de page 15}, de nombreuses mesures de protection de la vie privée devraient être intégrées dans les systèmes de contrôle de l’âge dès leur conception. D’autres mesures devraient être mises en œuvre par les exploitants de sites Web ou de services en ligne qui appliquent le contrôle de l’âge. En voici quelques-unes :

Utiliser le résultat de contrôle de l’âge uniquement à cette fin : Les fournisseurs de services de contrôle de l’âge ne sont pas autorisés à conserver, à communiquer, ni à utiliser à d’autres fins les renseignements recueillis dans le cadre du contrôle de l’âge. Il en va de même pour l’organisation qui reçoit le résultat du contrôle de l’âge^{Note de bas de page 16} (la partie utilisatrice). Par exemple, bien qu’une partie utilisatrice puisse utiliser les renseignements reçus d’un fournisseur de services de contrôle de l’âge pour accorder l’accès à un utilisateur ou le diriger vers une version mieux adaptée à son âge, elle ne doit pas s’en servir pour créer le profil publicitaire d’un individu. Ces renseignements devraient également être détruits dès que possible, notamment si des données autres que le simple signal « oui/non » quant à l’âge sont générées.
Ne pas tenter d’utiliser le contrôle de l’âge pour établir des liens entre les visites : Les systèmes de contrôle de l’âge devraient être conçus d’une manière faisant en sorte que les parties utilisatrices ne puissent pas en utiliser les résultats pour établir des liens entre plusieurs visites d’un même utilisateur. Toutefois, lorsqu’un système n’empêche pas les parties utilisatrices de le faire, celles-ci doivent elles-mêmes s’abstenir d’établir de tels liens.
Fournir aux individus des mécanismes d’appel : Si un individu se voit refuser l’accès à un contenu ou à un service sur la base d’un résultat de contrôle de l’âge, un mécanisme d’appel doit être à sa disposition. Ce mécanisme doit également protéger la vie privée.
Proposer plusieurs choix aux utilisateurs : Il est probable que les individus aient des préférences quant au type de renseignements personnels qu’ils souhaitent utiliser dans le cadre d’un processus de contrôle de l’âge; certains individus préfèrent fournir une attestation d’âge plutôt que de se soumettre à une estimation de l’âge, ou vice versa. Lorsque c’est possible, les organisations devraient chercher à offrir aux utilisateurs diverses méthodes de contrôle de l’âge efficaces et qui protègent la vie privée.
Limiter les authentifications : Dans la mesure du possible, les parties utilisatrices devraient utiliser les systèmes de contrôle de l’âge qui réduisent au minimum la fréquence des authentifications. Elles pourraient, par exemple, associer un signal d’âge au compte d’un utilisateur ou accepter une attestation numérique réutilisable. Cependant, dans des scénarios à risque élevé, une partie utilisatrice pourrait reconfirmer périodiquement la validité d’un signal d’âge reçu précédemment.

Une organisation doit avoir en place un processus approprié pour veiller à ce que les systèmes de contrôle de l’âge qu’elle utilise protègent la vie privée. Dans le cas où l’organisation met en œuvre son propre système de contrôle de l’âge, les mesures décrites dans le document intitulé « Concevoir des systèmes de contrôle de l’âge qui protègent la vie privée »^{Note de bas de page 17} s’appliqueront à l’organisation. Si elle fait plutôt affaire avec un fournisseur tiers dans le cadre du processus d’approvisionnement, l’organisation devrait pouvoir vérifier que le processus de contrôle de l’âge faisant l’objet du contrat satisfait à toutes les exigences en matière de protection de la vie privée.

Notes de bas de page

Note de bas de page 1

Par exemple, si le site Web ou le service en ligne est conçu de manière à respecter le code sur la protection des renseignements personnels des enfants que publiera bientôt le Commissariat.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Dans le présent document, nous adoptons la définition qui est donnée dans la norme ISO/IEC 27566 (en anglais seulement) (section 3.1.1), selon laquelle le contrôle de l’âge est un [traduction] « ensemble de processus et de méthodes utilisés pour vérifier, estimer ou déduire l’âge ou la tranche d’âge d’un individu ».

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Concevoir des systèmes de contrôle de l’âge qui protègent la vie privée – Document d’orientation pour les développeurs de systèmes de contrôle de l’âge.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Comme l’exige le paragraphe 5(3) de la Loi sur la protection des renseignements personnels et les documents électroniques.

Retour à la référence de la note de bas de page 4

Note de bas de page 5

UNICEF. Assessing child rights impacts in relation to the digital environment (en anglais seulement).

Retour à la référence de la note de bas de page 5

Note de bas de page 6

Haut-Commissariat des Nations Unies aux droits de l’homme. Convention relative aux droits de l’enfant.

Retour à la référence de la note de bas de page 6

Note de bas de page 7

Haut-Commissariat des Nations Unies aux droits de l’homme. Observation générale no25 (2021) sur les droits de l’enfant en relation avec l’environnement numérique.

Retour à la référence de la note de bas de page 7

Note de bas de page 8

Résolution des commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée et des ombuds responsables de la protection de la vie privée. Mettre l’intérêt supérieur des jeunes à l’avant-plan en matière de vie privée et d’accès aux renseignements personnels.

Retour à la référence de la note de bas de page 8

Note de bas de page 9

Initialement déterminé par l’Information Commissioner’s Office (commissariat à l’information) du Royaume-Uni – ‘Likely to be accessed’ by children – FAQs, list of factors and case studies (en anglais seulement).

Retour à la référence de la note de bas de page 9

Note de bas de page 10

Le commissariat à l’information du Royaume-Uni, par exemple, a déclaré que [traduction] « la publicité personnalisée pourrait nuire au droit [des enfants] d’être protégés contre l’exploitation économique ». Age assurance for the Children’s code – 5. Risk assessment and age assurance (en anglais seulement).

Retour à la référence de la note de bas de page 10

Note de bas de page 11

Comme il est indiqué dans la déclaration commune du groupe de travail international sur le contrôle de l’âge intitulée Déclaration commune attestant de l’adoption d’une approche internationale concertée en ce qui concerne le contrôle de l’âge.

Retour à la référence de la note de bas de page 11

Note de bas de page 12

Comme il est indiqué dans la Déclaration commune attestant de l’adoption d’une approche internationale concertée en ce qui concerne le contrôle de l’âge.

Retour à la référence de la note de bas de page 12

Note de bas de page 13

Il serait également raisonnable pour une organisation de permettre à un individu de passer par le processus de contrôle de l’âge à un stade précoce (par exemple, lors de la création d’un compte), tant que les utilisateurs continuent de pouvoir accéder aux parties non restreintes d’un site Web ou d’un service sans passer par ce processus.

Retour à la référence de la note de bas de page 13

Note de bas de page 14

Adapté du document intitulé Decalogue of Principles : Age verification and protection of minors from inappropriate content (en anglais seulement) de l’autorité espagnole de protection des données (publié en décembre 2023), plus précisément le deuxième principe, qui va comme suit : [traduction] « L’objectif de la vérification de l’âge devrait être de faire en sorte que les utilisateurs dont l’âge est approprié prouvent qu’ils sont autorisés à accéder, plutôt que de vérifier si les utilisateurs sont des mineurs ».

Retour à la référence de la note de bas de page 14

Note de bas de page 15

Concevoir des systèmes de contrôle de l’âge qui protègent la vie privée – Document d’orientation pour les développeurs de systèmes de contrôle de l’âge.

Retour à la référence de la note de bas de page 15

Note de bas de page 16

Le signal généré par le processus de contrôle de l’âge, qui indique l’âge ou la tranche d’âge d’un utilisateur.

Retour à la référence de la note de bas de page 16

Note de bas de page 17

Concevoir des systèmes de contrôle de l’âge qui protègent la vie privée – Document d’orientation pour les développeurs de systèmes de contrôle de l’âge.

Retour à la référence de la note de bas de page 17

Date de modification :: 2026-05-04

Sélection de la langue

Recherche et menus

Recherche

Évaluer si le contrôle de l’âge doit être appliqué et, le cas échéant, de quelle façon – Document d’orientation pour les sites Web et les services en ligne

Avis

Résumé : Évaluer si le contrôle de l’âge doit être appliqué et de quelle façon

1. Introduction

2. Déterminer si un contrôle de l’âge peut être nécessaire

2.1. Empêcher l’accès en fonction de l’âge

2.2. Modifier les pratiques pour les adapter aux utilisateurs en fonction de l’âge

2.2.1. Déterminer si les pratiques en matière de renseignements personnels présentent un préjudice potentiel

2.2.2. Déterminer si un nombre non négligeable d’enfants sont susceptibles d’accéder au site ou au service

2.2.3. Autres approches pour prévenir les préjudices potentiels

3. Déterminer la nature du contrôle de l’âge

3.1. Méthode de contrôle de l’âge

3.2. Étendue du contrôle de l’âge

4. Appliquer le contrôle de l’âge d’une manière qui protège la vie privée

Évaluer si le contrôle de l’âge doit être appliqué et, le cas échéant, de quelle façon – Document d’orientation pour les sites Web et les services en ligne

Avis

Résumé : Évaluer si le contrôle de l’âge doit être appliqué et de quelle façon

1. Introduction

2. Déterminer si un contrôle de l’âge peut être nécessaire

2.1. Empêcher l’accès en fonction de l’âge

2.2. Modifier les pratiques pour les adapter aux utilisateurs en fonction de l’âge

2.2.1. Déterminer si les pratiques en matière de renseignements personnels présentent un préjudice potentiel

2.2.2. Déterminer si un nombre non négligeable d’enfants sont susceptibles d’accéder au site ou au service

2.2.3. Autres approches pour prévenir les préjudices potentiels

3. Déterminer la nature du contrôle de l’âge

3.1. Méthode de contrôle de l’âge

3.2. Étendue du contrôle de l’âge

4. Appliquer le contrôle de l’âge d’une manière qui protège la vie privée

Résumé : Évaluer si le contrôle de l’âge doit être appliqué et de quelle façon