En septembre 2025, le Commissariat à la protection de la vie privée du Canada (le « CPVP »), en collaboration avec ses homologues de l’Alberta, de la Colombie-Britannique et du Québec (collectivement, les « Commissariats[1] »), a ouvert une enquête sur les pratiques de protection de la vie privée de TikTok[2].

Les plateformes de médias sociaux sont très populaires auprès des jeunes et constituent l’un des principaux facteurs d’augmentation de l’utilisation des écrans chez les moins de 18 ans. Selon les études récentes de leur publication, les jeunes au Canada (entre 5 et 17 ans) passent en moyenne entre deux et sept heures par jour sur leur téléphone ou un autre appareil personnel. De plus en plus, le temps passé devant un écran est associé à divers problèmes de santé mentale chez les jeunes, et des données probantes indiquent qu’une trop grande exposition aux écrans entraîne un risque plus élevé de développement de troubles anxieux et de dépression, ainsi qu’une diminution générale du sentiment de bonheur[3].

Même si, dans le cadre de cette enquête, les Commissariats n’ont pas examiné directement les enjeux sociétaux attribuables au temps que les jeunes passent devant les écrans, ce contexte explique en grande partie les préoccupations exprimées dans les conclusions, notamment le fait que les enfants sont de plus en plus sensibles à la publicité ainsi que la propagation d’images corporelles négatives.

Pour les entreprises canadiennes, il est clair que les autorités de réglementation ont placé la barre plus haut. En effet, les entreprises qui recueillent et utilisent des renseignements personnels, en particulier des données concernant les moins de 18 ans, doivent s’assurer que leurs intérêts sont légitimes, que leurs mécanismes de confirmation du consentement sont rigoureux et que leurs communications sur le respect de la confidentialité sont accessibles.

Pourquoi les autorités de réglementation canadiennes ont-elles mené une enquête sur TikTok?

TikTok, l’une des plateformes de médias sociaux les plus populaires auprès des jeunes au Canada, fait depuis longtemps l’objet d’une surveillance accrue en raison de préoccupations liées à la confidentialité et à la sécurité nationale, notamment l’ordonnance de dissolution de TikTok Technology Canada, Inc. à la suite d’un examen conduit par les instances de sécurité nationale et l’interdiction d’installer l’application sur les appareils fournis par le gouvernement du Canada.

L’enquête conjointe des Commissariats visait à vérifier si la collecte, l’utilisation et la communication par TikTok des renseignements personnels des utilisateurs au Canada à des fins de ciblage publicitaire et de personnalisation du contenu étaient conformes aux lois fédérales et provinciales sur la protection de la vie privée (collectivement, les « Lois[4] »).

L’enquête avait pour objectif de répondre à deux interrogations :

  1. Les pratiques de TikTok en matière de publicité ciblée et de personnalisation du contenu étaient-elles appropriées selon le jugement d’une personne agissant raisonnablement?
  2. TikTok avait-elle obtenu un consentement valide et valable et, pour les utilisateurs au Québec, respectait-elle les obligations de transparence prévues par la Loi sur la protection des renseignements personnels dans le secteur privé du Québec?

Quelles sont les conclusions des législateurs et pourquoi les pratiques de TikTok suscitent-elles des inquiétudes?

TikTok recueille de nombreux renseignements personnels auprès de ses utilisateurs à de multiples fins commerciales, notamment la personnalisation du contenu, la diffusion de publicité ciblée, l’amélioration de l’efficacité des campagnes publicitaires, la mise en application des politiques de la plateforme, la promotion de la sécurité et le développement de ses modèles et algorithmes d’apprentissage automatique. Les Commissariats ont examiné si l’utilisation de renseignements personnels concernant les jeunes à des fins de personnalisation du contenu et de ciblage publicitaire pouvait être jugée appropriée au regard des lois canadiennes en matière de protection de la vie privée.

TikTok a soutenu qu’elle ne recueillait pas et n’utilisait pas de manière intentionnelle les renseignements personnels d’utilisateurs de moins de 18 ans. Toutefois, des preuves ont démontré qu’un grand nombre d’enfants continuent d’utiliser la plateforme et que TikTok n’a pas mis en place des mesures efficaces pour empêcher l’accès à leurs renseignements personnels ou pour empêcher leur collecte et leur utilisation. En fait, TikTok a reconnu qu’elle interdit chaque année environ 500 000 comptes de personnes de moins de 18 ans au Canada, mais que sa décision repose fortement sur des méthodes de détection peu efficaces, comme les dates de naissance autodéclarées et des mécanismes de modération humaine restreints, ce qui fait que de nombreux utilisateurs de moins de 18 ans ne sont pas détectés.

Les autorités de réglementation ont jugé cela insuffisant compte tenu de la sensibilité des données concernant les jeunes et de la maîtrise par TikTok d’outils avancés pouvant servir à d’autres fins commerciales. Il est important de noter les points suivants :

  • En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») : le paragraphe 5(3) exige que les fins soient celles qu’une personne raisonnable jugerait appropriées dans les circonstances, un critère qui sous-entend le maintien d’un équilibre entre les besoins commerciaux et les droits à la vie privée des personnes concernées.
  • En Alberta et en Colombie-Britannique : les lois sur la protection des renseignements personnels respectives ont des dispositions semblables[5] et, dans ces deux provinces, des ordonnances ont déjà souligné par le passé que la collecte de renseignements personnels doit répondre à un besoin légitime. Dans ce cas, les fins de TikTok n’ont pas été considérées comme des besoins légitimes, d’autant plus que les modalités et conditions d’utilisation de l’entreprise interdisent totalement l’accès aux moins de 18 ans.
  • Au Québec : la Loi sur la protection des renseignements personnels dans le secteur privéimpose des règles encore plus strictes et exige un intérêt « sérieux et légitime ». Elle interdit spécifiquement la collecte de renseignements personnels auprès d’enfants de moins de 14 ans sans le consentement des parents, sauf lorsque cette collecte est manifestement au bénéfice de cette personne[6]. TikTok n’a pas obtenu ce consentement ni cherché à atteindre des fins pouvant être jugées au bénéfice des moins de 18 ans.

TikTok a-t-elle obtenu un consentement valable?

Exigences en matière de consentement en vertu de la LPRPDE, de la Personal Information Protection Act de la Colombie-Britannique (la « PIPA de la C.-B. ») et de la Personal Information Protection Act de l’Alberta (la « PIPA de l’AB »).

Sauf exception, la LPRPDE, la PIPA de l’AB et la PIPA de la C.-B. exigent le consentement avant d’entreprendre la collecte, l’utilisation ou la communication des renseignements personnels de toute personne. En vertu de la LPRPDE, les organisations doivent expliquer leurs intérêts de manière à permettre aux utilisateurs de comprendre raisonnablement la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication. Pour aider les organisations à évaluer la pertinence d’un consentement obtenu en vertu de diverses lois en matière de protection de la vie privée, le CPVP, le commissariat à l’information et à la protection de la vie privée de l’Alberta et le commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique ont publié conjointement les Lignes directrices pour l’obtention d’un consentement valable (les « Lignes directrices sur le consentement »).

Les Commissariats ont vérifié si TikTok avait obtenu un consentement valable de la part des utilisateurs pour la collecte et l’utilisation de leurs renseignements personnels avant de leur proposer des publicités ciblées et du contenu personnalisé. Un consentement explicite est exigé pour les raisons suivantes :

  1. Les renseignements personnels recueillis et utilisés par TikTok grâce au suivi et au profilage ont probablement un caractère sensible;
  2. La collecte ou l’utilisation des renseignements personnels allait au-delà de ce à quoi un utilisateur raisonnable pouvait s’attendre.

Bien que TikTok exige des utilisateurs qu’ils acceptent de manière explicite les modalités et conditions d’utilisation lors de la première configuration, les Commissariats ont estimé que ce consentement n’était ni valable, ni complet, ni compréhensible[7]. Plus précisément :

  1. Modalités et conditions d’utilisation : les modalités et conditions d’utilisation ne fournissent pas suffisamment d’information aux utilisateurs au sujet des données recueillies.
  2. Politique de confidentialité : la politique de confidentialité est imprécise et ne fournit pas suffisamment de détails pour permettre aux utilisateurs de fournir un consentement valable. Même si des ressources supplémentaires sur la confidentialité des données sont mises à disposition, les informations sont dispersées sur le site web, le lien vers la politique de confidentialité est manquant, la politique est difficile à trouver et elle n’est pas disponible en français.
  3. Ressources supplémentaires sur la confidentialité : les explications de TikTok concernant la collecte et l’utilisation des informations biométriques des utilisateurs ne sont pas adéquates.  Même si certaines explications concernant les données biométriques sont fournies dans la politique de confidentialité, elles ne décrivent pas de manière exhaustive la manière dont TikTok utilise ces informations, notamment pour déterminer l’âge et le sexe des utilisateurs afin de leur proposer des publicités et des contenus personnalisés.

Les Commissariats ont notamment constaté qu’il n’est pas nécessaire qu’une information permette d’identifier une personne de façon unique pour qu’elle soit reconnue comme donnée biométrique ou pour révéler des données sensibles au sujet de cette personne.

Comment TikTok s’est-elle comportée à l’égard des obligations de transparence imposées par le gouvernement du Québec?

L’enquête a également permis de vérifier si TikTok respectait ses obligations de transparence envers les utilisateurs du Québec. L’article 8 de la Loi sur la protection des renseignements personnels dans le secteur privé exige des entreprises qu’elles informent la personne concernée lorsque des renseignements personnels à son sujet sont recueillis, tandis que l’article 8.1 oblige les entreprises qui ont recours à une technologie comprenant des fonctions permettant de l’identifier, de la localiser ou d’effectuer un profilage d’elle à l’informer :

  • du recours à une telle technologie;
  • des moyens offerts pour activer les fonctions permettant à une personne d’identifier, de localiser ou d’effectuer un profilage[8].

Les preuves amassées au cours de l’enquête ont révélé que TikTok recueille des renseignements personnels à l’aide d’une technologie qui permet d’identifier et de localiser les utilisateurs ou d’effectuer un profilage d’eux. Ces renseignements peuvent ensuite être utilisés pour diffuser des publicités ciblées et personnaliser les recommandations de contenu. L’enquête a déterminé que la politique de confidentialité et les modalités et conditions d’utilisation de TikTok ne respectaient pas les obligations prévues aux articles 8 et 8.1 de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec. De plus, TikTok n’a pas non plus respecté l’article 9.1 de cette même loi, car ses paramètres de confidentialité n’assuraient pas, par défaut, le plus haut niveau de confidentialité sans aucune intervention de l’utilisateur.

Au cours de l’enquête, TikTok a pris des mesures pour renforcer la clarté et l’exhaustivité de sa politique de confidentialité pour les utilisateurs du Canada. Malgré le caractère positif de cette initiative, les Commissariats ont mis en évidence un risque de préjudice plus élevé pour les utilisateurs et ont recommandé de renforcer les communications en matière de confidentialité afin d’obtenir de leur part un consentement valable.

Quelles sont les recommandations formulées en matière de conformité?

En réaction aux manquements commis par TikTok, les Commissariats ont recommandé à cette dernière de déployer immédiatement les mesures suivantes :

  • Cesser d’utiliser les renseignements personnels des Canadiens à des fins de publicité ciblée et de personnalisation du contenu;
  • Mettre en œuvre des mesures efficaces pour empêcher les moins de 18 ans d’accéder à la plateforme;
  • Au Québec, désactiver les fonctionnalités conçues pour recueillir par défaut des renseignements personnels tant que les utilisateurs n’en ont pas été informés;
  • Améliorer les paramètres de confidentialité afin d’offrir, par défaut, le plus haut niveau de protection;
  • Améliorer ses communications en matière de confidentialité afin d’obtenir un consentement valable, en particulier en ce qui concerne la collecte et l’utilisation des données biométriques.

Malgré sa contestation de certaines de ces conclusions, TikTok a confirmé sa volonté de mettre en œuvre rapidement les autres recommandations.

Points importants pour les entreprises

Les conclusions de l’enquête sur TikTok démontrent que les autorités de réglementation surveillent de plus près la manière dont les entreprises recueillent et utilisent les renseignements personnels, particulièrement ceux concernant les jeunes du Canada. Les Commissariats ont clairement indiqué que les entreprises doivent garder à l’esprit les principes suivants :

  1. Les renseignements concernant les enfants revêtent, par nature, un caractère sensible. Ces données nécessitent un niveau de protection et de sécurité plus élevé. Les Commissariats doivent prendre en considération la complexité des activités d’une organisation et s’attendent à ce que les grandes entreprises mobilisent l’ensemble des moyens dont elles disposent pour protéger les renseignements concernant les enfants et, dans la mesure du possible, en restreindre la collecte.
  2. S’assurer que leurs objectifs commerciaux sont raisonnables et légitimes. Les organisations ne devraient recueillir, utiliser et communiquer des renseignements personnels que lorsque cela est nécessaire, et ces fins doivent être clairement communiquées aux utilisateurs.
  3. Le consentement doit être valable et transparent. Les conditions d’utilisation interminables au ton juridique et les politiques de confidentialité difficiles à trouver ne sont pas suffisantes, surtout lorsqu’il est question de l’utilisation de technologies biométriques ou de profilage. Les organisations exerçant leurs activités au Québec doivent également tenir compte de règles provinciales plus strictes en matière de confidentialité, notamment l’obligation de fournir des explications claires au sujet de leurs pratiques et de définir les paramètres par défaut de protection de la vie privée des utilisateurs.
  4. Les obligations imposées au Québec sont plus strictes. Les entreprises doivent se conformer à d’autres obligations de transparence et de confidentialité par défaut.

Les autorités de réglementation du Canada ont renforcé les obligations de conformité en matière de protection des renseignements personnels. Les entreprises devraient revoir de manière proactive leurs cadres de protection de la vie privée, en particulier si elles exercent leurs activités dans plusieurs provinces, et renforcer leurs pratiques en matière de transparence et de l’obtention d’un consentement valable.

Si votre organisation recueille ou utilise des renseignements personnels au Canada, il est important de revoir vos pratiques en matière de confidentialité. Notre équipe chargée de la protection de la vie privée et de la cybersécurité aide les entreprises à se conformer aux lois fédérales et provinciales en matière de protection de la vie privée, notamment en ce qui concerne l’obtention du consentement, la transparence et les risques selon les provinces ou territoires.  Si vous avez des questions ou si vous souhaitez obtenir des conseils pour vous assurer que les politiques de confidentialité de votre organisation sont conformes aux directives des Commissariats, communiquez avec un membre de l’équipe Protection de la vie privée et cybersécurité de Miller Thomson.

Abonnez-vous à nos infolettres pour suivre l’actualité et rester à l’affût des nouvelles orientations juridiques.

[1]C’est-à-dire la Commission d’accès à l’information du Québec (la « CAI »), le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique (le « CIPVP de la Colombie-Britannique ») et le Commissariat à l’information et à la protection de la vie privée de l’Alberta (le « CIPVP de l’Alberta »).

[2]Enquête conjointe sur TikTok Pte. Ltd menée par le Commissariat à la protection de la vie privée du Canada, la Commission d’accès à l’information du Québec, le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique et le Commissariat à l’information et à la protection de la vie privée de l’Alberta, 23 septembre 2025, Conclusions en vertu de la LPRPDE n° 2025-003, https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/enquetes/enquetes-visant-les-entreprises/2025/lprpde-2025-003/.

[3]Toigo, Stephanie et al., « Recherche quantitative originale – Temps de loisir passé devant un écran et santé mentale chez les enfants et les jeunes canadiens » (2025) Promotion de la santé et prévention des maladies chroniques au Canada, volume 45, no 7/8, juillet/août 2025, https://www.canada.ca/fr/sante-publique/services/rapports-publications/promotion-sante-prevention-maladies-chroniques-canada-recherche-politiques-pratiques/vol-45-no-7-8-2025.html.

[4]Plus précisément, la Loi sur la protection des renseignements personnels et les documents électroniques [LPRPDE], la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, la Personal Information Protection Act de la Colombie-Britannique [PIPA de la C.-B.] et la Personal Information Protection Act de l’Alberta [PIPA de l’AB].

[5]PIPA de l’AB, art. 11 et 14; PIPA de la C.-B., art. 11 et 16.

[6]Loi sur la protection des renseignements personnels dans le secteur privé du Québec, art. 4 et 4.1.

[7]LPRPDE, art. 4.3 et 4.3.2 de l’annexe 1, art. 6.1; PIPA de l’AB, art. 7 et 8; PIPA de la C.-B., art. 6 et 7.

[8]Loi sur la protection des renseignements personnels dans le secteur privé du Québec, art. 8 et 8.1.