Insights Header image
Insights Header image
Insights Header image

Avez-vous été gentil cette année? On termine 2024 avec un aperçu de la protection de la vie privée des enfants au Canada

17 décembre 2024 Bulletin sur la protection de la vie privée et des données Lecture de 11 min

En ce temps des fêtes, pensez aux enfants!

Nous avons récemment reçu un certain nombre de questions sur la manière dont les lois canadiennes sur la protection de la vie privée s’appliquent aux données des enfants.

Au Canada, il n’existe pas de dispositions législatives sur la protection de la vie privée visant spécifiquement les enfants, comme le fait la Children’s Online Privacy Protection Act (COPPA) aux États-Unis)[1]. Toutefois, les lois canadiennes sur la protection des renseignements personnels dans le secteur privé s’appliquent aux renseignements personnels des enfants et les organismes de réglementation ont fortement insisté sur la protection de la vie privée des enfants au cours des dernières années.

Le Commissariat à la protection de la vie privée du Canada (le « Commissariat ») a fait de la protection de la vie privée des enfants l’une de ses principales priorités stratégiques[2]. De même, le commissariat à l’information et à la protection de la vie privée de l’Alberta (« OIPC Alberta ») a comme priorité stratégique d’identifier, de faciliter et de soutenir les facteurs améliorant la protection de la vie privée des enfants et des jeunes, et l’éducation en la matière[3]. Récemment, le Commissariat a publié le Rapport sur le ratissage du Commissariat à la protection de la vie privée du Canada de 2024 : Mécanismes de conception trompeuse (le « Rapport sur les mécanismes de conception trompeuses ») qui fait état d’une préoccupation particulière concernant les conceptions trompeuses dans les services destinés aux enfants[4].

La législation proposée, telle que la Loi sur les préjudices en ligne[5] et la Loi sur la protection de la vie privée des consommateurs[6], si elle est adoptée, offrirait une meilleure protection de la vie privée des enfants[7].

Compte tenu de l’attention accrue portée par les organismes de réglementation canadiens à la protection de la vie privée des enfants et de la position du Commissariat selon laquelle les données relatives aux enfants sont « particulièrement sensibles »[8], il est primordial que les organisations qui traitent ces données soient au fait des nuances des lois canadiennes en matière de protection de la vie privée.

Dans ce bulletin, nous identifions les questions cruciales pour les organisations du secteur privé qui tentent de traiter les données des enfants conformément à la loi canadienne.

1. Dans quelles circonstances une organisation doit-elle obtenir le consentement des parents et de quelle façon doit-elle le faire?

Dans le secteur privé, le régime canadien en matière de protection de la vie privée est fondé sur le consentement, ce qui signifie que le consentement est la base principale sur laquelle les organisations s’appuient pour recueillir, utiliser et communiquer des renseignements personnels.

Les lignes directrices du Commissariat sur l’obtention d’un consentement valable (les « lignes directrices sur l’obtention d’un consentement valable ») stipulent que la capacité des enfants et des jeunes à donner un consentement valable pour la collecte, l’utilisation et la communication de leurs renseignements « dépend grandement de leur développement cognitif et affectif »[9]. Le Commissariat est d’avis que, sauf dans des circonstances exceptionnelles, une personne âgée de moins de 13 ans ne peut donner un consentement valable[10].

La législation québécoise en matière de protection de la vie privée prévoit qu’un enfant de moins de 14 ans ne peut consentir à la collecte de ses renseignements personnels, à moins que la collecte, l’utilisation ou la communication ne soit manifestement faite dans l’intérêt de l’enfant[11]. Il existe donc ici une différence d’un an qu’il ne faut pas oublier.

Les commissariats à la protection de la vie privée respectifs de l’Alberta et de la Colombie-Britannique n’ont pas défini d’âge minimal en deçà duquel le consentement parental est requis. Ils adoptent plutôt un point de vue plus contextuel : les organisations doivent se demander si la personne comprend la nature et les conséquences de l’exercice du droit ou du pouvoir en question[12]. Cela étant dit, le commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique (« OIPC de C.-B. ») a déclaré dans ses directives que l’âge du consentement en vertu de la Personal Information Protection Act est [traduction] « habituellement de 12 ans »[13].

Si l’enfant n’a pas l’âge requis pour donner son consentement, l’organisation qui souhaite traiter les renseignements personnels de l’enfant doit obtenir le consentement d’un parent ou d’un tuteur. Même si l’enfant a dépassé l’âge minimal du consentement, il peut être prudent de demander le consentement des parents (en particulier si les pratiques d’une organisation en matière de protection de la vie privée sont compliquées et difficiles à expliquer).

D’autres considérations sont à prendre en compte quant à la manière dont le consentement parental doit être obtenu. Par exemple, le fait qu’un enfant coche une case sur une application ou un site Web indiquant qu’il a reçu l’approbation d’un parent n’est pas toujours suffisant. En outre, les renseignements relatifs aux enfants étant considérés comme sensibles, le consentement obtenu des parents doit généralement être explicite plutôt qu’implicite[14].

Pour compliquer encore les choses, certains jeunes peuvent souhaiter ne pas communiquer leurs renseignements personnels à leurs parents. Par conséquent, la communication involontaire des renseignements personnels d’un jeune à ses parents peut constituer une atteinte à la vie privée, en particulier lorsqu’il s’agit de dossiers médicaux ou d’autres renseignements liés à la santé. Les organisations doivent obtenir les conseils d’un avocat si elles traitent des données relatives à des enfants dans des circonstances où il peut y avoir un conflit entre les souhaits de l’enfant et ceux de ses parents.

2. Comment une organisation peut-elle obtenir le consentement directement d’un jeune?

Les renseignements personnels des mineurs étant intrinsèquement sensibles[15], le traitement de données recueillies auprès d’adolescents ayant atteint l’âge du consentement et disposant de la maturité nécessaire pour donner un consentement éclairé nécessite néanmoins des précautions particulières. Voici quelques pratiques à prendre en compte pour obtenir un consentement valable.

  • Un consentement explicite : En règle générale, les organisations doivent toujours obtenir un consentement explicite et volontaire lorsqu’elles recueillent des renseignements personnels concernant des enfants, compte tenu de la nature sensible de ces renseignements. Par conséquent, toute plateforme destinée aux enfants devrait être conçue de manière à proposer par défaut les paramètres les plus stricts en matière de vie privée et à permettre aux enfants de consentir de manière explicite au traitement de leurs renseignements personnels à diverses fins. Au Québec, il s’agit d’une exigence législative explicite pour tout produit ou service offerts au public[16].
  • Un langage clair et accessible : Les énoncés sur la protection de la vie privée lus et acceptés par les adolescents doivent être rédigés dans un langage clair et accessible pour une personne de cet âge. Les organisations peuvent envisager de mettre en œuvre une politique de protection de la vie privée axée sur les jeunes. Si une pratique est trop compliquée à expliquer aux mineurs, une organisation devrait probablement s’abstenir de la mettre en œuvre.
  • Avis « juste-à-temps » : Les avis « juste-à-temps » sont des énoncés sur la protection de la vie privée spécifiques et opportuns qui apparaissent lorsqu’un utilisateur est sur le point de fournir des renseignements personnels. Ces avis se distinguent des politiques générales de protection de la vie privée qui exigent de l’utilisateur qu’il accepte toutes les formes possibles de collecte de renseignements associées à un service. Les avis « juste-à-temps » sont recommandés par le Commissariat pour faciliter l’obtention d’un consentement éclairé[17].
  • Méthodes multimédias : L’utilisation de méthodes créatives comme des outils infographiques, des images, des jeux ou des vidéos pour transmettre les informations de la politique en matière de protection de la vie privée peut également contribuer à garantir la validité du consentement. Par exemple, le Rapport sur les mécanismes de conception trompeuse a félicité le site Web de Lego qui utilise une courte vidéo éducative destinée aux enfants pour expliquer les pratiques de l’entreprise en matière de protection de la vie privée et son utilisation de témoins[18]. Bien sûr, ce ne sont pas toutes les entreprises qui ont les ressources nécessaires pour produire une vidéo d’animation ou un jeu dans le cadre de leur programme de protection de la vie privée, mais les organisations devraient au moins réfléchir à la manière de rendre leur programme de protection de la vie privée plus attrayant pour les jeunes.
  • Éviter les conceptions trompeuses : Les mécanismes de conception trompeuse (aussi appelées « interfaces truquées ») sont des techniques de conception d’interface utilisateur utilisées sur les sites Web et les applications mobiles pour influencer, manipuler ou contraindre les utilisateurs à prendre des décisions qui ne sont pas dans leur intérêt[19]. Ces mécanismes menacent la validité du consentement, en particulier chez les enfants qui peuvent être plus vulnérables en la matière. Pour s’assurer que le consentement est valablement obtenu, les organisations doivent éviter d’utiliser des mécanismes de conception trompeuse. Nous avons résumé les pratiques trompeuses identifiées par le Commissariat dans un bulletin récent[20]. Elles comprennent l’interférence d’interface, l’action forcée et le langage inaccessible.
  • Traitement des demandes de retrait de consentement et de suppression de données : Le consentement ne peut être donné librement s’il ne peut être retiré librement. Le Commissariat a recommandé aux organisations de concevoir leurs processus de manière à ce que les enfants (et leurs parents si possible) puissent facilement retirer leur consentement lié à certaines pratiques ou demander la suppression ou la désindexation des données les concernant[21].
  • Limiter complètement la collecte de renseignements : Étant donné la difficulté d’obtenir le consentement des enfants et des jeunes, et l’exigence d’un consentement explicite, les organisations seraient bien avisées de limiter complètement la collecte de renseignements concernant les enfants. Par exemple, une organisation peut envisager :
    1. d’imposer un âge minimal pour accéder à des sections de son site Web ou de sa plateforme;
    2. de renoncer aux pratiques de collecte de données (telles que les témoins publicitaires) lorsque l’âge déclaré d’un utilisateur est inférieur à l’âge de la majorité;
  • d’encourager les jeunes à choisir de faux noms d’utilisateur à partir d’une liste lorsqu’ils s’inscrivent sur une plateforme, plutôt que de les laisser donner leur vrai nom;
  1. de procéder à une collecte de renseignements sur une base anonyme plutôt qu’en demandant l’identification de l’utilisateur[22].
  • Éviter la publicité comportementale : Dans ses Lignes directrices sur la protection de la vie privée et la publicité comportementale en ligne, le Commissariat indique qu’à titre de « pratique exemplaire », les organisations ne devraient pas mettre en œuvre de pratiques de publicité comportementale pour les enfants, car il serait difficile d’obtenir le consentement éclairé d’un enfant à des fins de pratiques de publicité comportementale en ligne[23]. Par conséquent, les organisations devraient éviter complètement les publicités comportementales à moins d’être raisonnablement certaines que l’utilisateur est un adulte.

Quant au consentement des adolescents plus âgés, il est important de tenir compte du fait que l’âge de la majorité au Canada varie selon les provinces et les territoires (entre 18 et 19 ans)[24]. Les organisations ayant un rayonnement national peuvent envisager d’adapter leurs pratiques aux utilisateurs de 18 ans ou moins afin de s’assurer que les exigences sont remplies dans toutes les régions.

3. Comment devrait-on protéger les données des enfants?

Lorsqu’une organisation recueille les renseignements personnels d’un enfant, ceux-ci doivent être protégés avec un degré élevé de sécurité, compte tenu de leur nature sensible. Des mesures de protection insuffisantes peuvent conduire à des violations de données, à des litiges civils, ainsi qu’à des inspections de la part des autorités de réglementation en matière de protection de la vie privée. Par exemple, en mars 2021, le Commissariat a publié les conclusions d’une enquête menée sur CoreFour Inc. (« CoreFour »), qui fournissait un système d’analyse et de gestion de l’apprentissage de la maternelle à la 12année. Après avoir identifié certaines vulnérabilités de sécurité spécifiques, le Commissariat a constaté que CoreFour « ne disposait pas d’un cadre solide et global de sécurité de l’information »[25]. L’enquête sur CoreFour nous rappelle que, lorsqu’elles recueillent des informations sur des enfants, les organisations doivent se demander si leurs mesures de sécurité sont suffisantes pour traiter des renseignements aussi sensibles.

4. Les données sont-elles traitées à des fins « acceptables »?

Conformément à la législation canadienne sur la protection de la vie privée dans le secteur privé, les organisations ne peuvent recueillir, utiliser et communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances (au Québec, « en raison d’un intérêt sérieux et légitime »). Pour déterminer si une pratique est acceptable ou sérieuse et légitime, les autorités de réglementation de la protection de la vie privée et les tribunaux prennent généralement en compte les facteurs suivants :

  • La nécessité. La collecte, l’utilisation ou la communication des renseignements personnels répond-elle à un besoin ou à un intérêt commercial légitime?
  • L’efficacité. La pratique permet-elle de répondre efficacement à ce besoin?
  • L’atteinte minimale. Existe-t-il des moyens moins intrusifs pour parvenir aux mêmes fins?
  • La proportionnalité. L’atteinte à la vie privée est-elle proportionnelle aux avantages, compte tenu de la nature sensible des renseignements susceptibles d’être traités[26]?

L’un des facteurs pris en compte dans cette analyse est le degré de sensibilité des renseignements personnels en question[27]. Les données relatives aux enfants étant considérées comme intrinsèquement sensibles, il va de soi que la nécessité de les traiter doit être suffisamment importante pour que la pratique réponde au critère de proportionnalité.

5.  Conclusion

L’intérêt croissant des organismes de réglementation envers la protection de la vie privée des enfants au Canada ainsi que l’évolution du paysage législatif en la matière font de la collecte de données auprès des enfants un domaine complexe auquel les organisations doivent faire face. Lorsqu’elles fournissent des services susceptibles d’entraîner la collecte de renseignements auprès d’enfants, les organisations doivent demander à leurs avocats des conseils appropriés pour s’assurer que les exigences en matière de consentement et de gestion des données sont remplies.

L’équipe expérimentée de McMillan en matière de protection de la vie privée et des données peut aider les organisations à se conformer aux exigences réglementaires partout au Canada.

[1] Children’s Online Privacy Protection Act of 1998, 15 USC §6505 (en anglais), accessible ici.
[2] Plan stratégique 2024-2027 du Commissariat à la protection de la vie privée du Canada, s.v. « Priorité stratégique 3 : Défendre le droit à la vie privée des enfants », accessible ici.
[3] OIPC Alberta, Strategic Business Plan 2024-2027 (en anglais), accessible ici.
[4] Commissariat à la protection de la vie privée du Canada, Rapport sur le ratissage du Commissariat à la protection de la vie privée du Canada de 2024 : Mécanismes de conception trompeuse, accessible ici. [Rapport sur les mécanismes de conception trompeuse]
[5] Projet de loi C-63Loi édictant la Loi sur les préjudices en ligne, modifiant le Code criminel, la Loi canadienne sur les droits de la personne et la Loi concernant la déclaration obligatoire de la pornographie juvénile sur Internet par les personnes qui fournissent des services Internet et apportant des modifications corrélatives et connexes à d’autres lois, première session, 44e législature, 2024, accessible ici. [Projet de loi C-63]
[6] La Loi édictant la Loi sur la protection de la vie privée des consommateurs serait promulguée en vertu du projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique. Nous avons résumé cette législation dans notre bulletin : La protection de la vie privée de retour au feuilleton fédéral avec la Loi de 2022 sur la mise en œuvre de la charte numérique (juin 2022), accessible ici.
[7] Voir l’article 65 de la proposition de Loi sur les préjudices en ligne dans le projet de loi C-63, qui exige des « caractéristiques de conception adaptées à l’âge ». La Loi édictant la Loi sur la protection de la vie privée des consommateurs désigne spécifiquement les données des enfants comme sensibles et impose de nouvelles protections pour le droit à la vie privée des enfants.
[8] Commissariat à la protection de la vie privée du Canada, Protection du droit à la vie privée des jeunes (28 novembre 2023), accessible Aux termes de la Loi sur la protection de la vie privée des consommateurs telle que proposée par le Projet de loi C-27, les renseignements personnels des mineurs sont explicitement identifiés comme des renseignements de nature sensible : voir l’alinéa 2(2).
[9] Commissariat à la protection de la vie privée du Canada, Lignes directrices pour l’obtention d’un consentement valable (août 2021), accessible ici, s.v. « Consentement et enfants».
[Lignes directrices pour l’obtention d’un consentement valable]
[10] Lignes directrices pour l’obtention d’un consentement valable,v. « Consentement et enfants».
[11] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1, 4.1 [Loi du Québec]
[12] Lignes directrices pour l’obtention d’un consentement valable,v. « Consentement et enfants».
[13] OIPC de C.-B., Competitive Advantage : Compliance with PIPA and the GDPR (mars 2018) (en anglais), article 3.2.2, accessible ici.
[14] En vertu de la LPRPDE, les renseignements sensibles doivent faire l’objet d’un consentement explicite. Voir la Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c. 5, annexe 1, principe 3.6. [LPRPDE]
[15] Commissariat à la protection de la vie privée du Canada, Enquête sur la conformité de CoreFour Inc. à la LPRPDE (29 mars 2021), Conclusions en vertu de la LPRPDE no 2021-002, par. 112, accessible [CoreFour]
[16] Loi du Québec, 9.1.
[17] Lignes directrices pour l’obtention d’un consentement valable,v. « Faire preuve d’innovation et de créativité : Avis ‘juste-à-temps».
[18] Rapport sur les mécanismes de conception trompeuse, v. « Étude de cas : Lego».
[19] Rapport sur les mécanismes de conception trompeuse, v. «Contexte ».
[20] Kristen Pennington, « Les autorités de protection de la vie privée du Canada publient une résolution sur les mécanismes de conception trompeuse », McMillan S.E.N.C.R.L., s.r.l. (14 novembre 2024), accessible
[21] Commissariat à la protection de la vie privée du Canada, Document accompagnateur – Mettre l’intérêt supérieur des jeunes à l’avant-plan en matière de vie privée et d’accès aux renseignements personnels (5 octobre 2023), accessible ici, «  Permettre la suppression ou la désindexation et limiter la conservation».
[22] Toutefois, les organisations doivent être conscientes que certains processus d’anonymisation peuvent présenter un risque de réidentification. Voir notre récent bulletin à ce sujet : Mise à jour 2024 : les risques de l’anonymisation et de l’agrégation des données.
[23] Commissariat à la protection de la vie privée du Canada, Lignes directrices sur la protection de la vie privée et la publicité comportementale en ligne, (décembre 2015), s.v. « Suivi des enfants», accessible
[24] Pour un résumé de l’âge de la majorité dans les différentes provinces et territoires, voir L’intérêt de l’enfant d’abord : Consultations fédérales-provinciales-territoriales sur les droits de garde et de visite et les pensions alimentaires pour enfants au Canada (décembre 2022), en ligne
[25] CoreFour.
[26] Commissariat à la protection de la vie privée du Canada, Document d’orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5(3), (24 mai 2018), v. « Fins inacceptables ou zones interdites ».
[27] CoreFour, 39.

par Robbie Grant et Aki Kamoshida (stagiaire en droit)

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2024

Perspectives (5 Posts)Voir Plus

Featured Insight

Nouvelles exigences de conformité pour les institutions financières du Québec : survol du Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit

Dans ce bulletin, nous passons en revue les nouvelles obligations prévues par la loi imposées aux institutions financières relativement aux incidents de sécurité de l’information.

Lire plus
21 Jan, 2025
Featured Insight

Rappel : le nouveau taux d’intérêt criminel réduit est entré en vigueur

À compter du 1ᵉʳ janvier 2025, le taux d’intérêt criminel est réduit à un plafond de 35 % sur une base du taux annuel en pourcentage (TAP).

Lire plus
21 Jan, 2025
Featured Insight

Actions collectives au Québec : une augmentation des recours privés en droit de l’environnement exerce une pression additionnelle sur le secteur du commerce de détail

Le présent bulletin traite du raisonnement de récents jugements environnementaux québécois et leurs conséquences sur les entreprises et les consommateurs.

Lire plus
21 Jan, 2025
Featured Insight

Le Projet de loi 68 et le certificat médical : nouvelles dispositions importantes pour les employeurs

Certaines dipositions du Projet de loi 68 affecte les employeurs et les circonstances leur permettant de demander un certificat médical à leur employés.

Lire plus
21 Jan, 2025
Featured Insight

Le bureau de la concurrence publie une version préliminaire de lignes directrices sur l’écoblanchiment : une approche pragmatique

Le bulletin présente les principaux éléments de la version préliminaire de lignes directrices sur l’écoblanchiment du Bureau de la concurrence qui concerne les modifications apportées à la Loi sur la concurrence en juin 2024.

Lire plus
16 Jan, 2025