Aperçu du cadre de protection des renseignements personnels des enfants en cours d’élaboration au Canada Aperçu du cadre de protection des renseignements personnels des enfants en cours d’élaboration au Canada

22 juillet 2025 19 MIN DE LECTURE

Accueil Articles Bulletin d’actualités Osler

Auteurs(trice)
Éloïse Gratton, Ad. E.

Associée, Respect de la vie privée et gestion de l’information, Montréal

Maryna Polataiko

Sociétaire, Protection de la vie privée, Toronto

Expertises Connexes

Auteurs(trice)
Éloïse Gratton, Ad. E.

Associée, Respect de la vie privée et gestion de l’information, Montréal

Maryna Polataiko

Sociétaire, Protection de la vie privée, Toronto

Auteurs(trice):
Éloïse Gratton, Ad. E., Maryna Polataiko

Nous avons précédemment publié un bulletin sur la nouvelle Loi sur les préjudices en ligne du Canada. Il s’agit du deuxième article de la série d’Osler sur les préjudices en ligne.

En mai 2025, le Commissariat à la protection de la vie privée du Canada (CPVP) a lancé une consultation exploratoire sur l’élaboration d’un code sur la protection des renseignements personnels des enfants afin d’encourager l’harmonisation internationale, de clarifier les obligations prévues par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et de présenter « [ses] attentes […] en ce qui concerne la façon dont les organisations gèrent les renseignements personnels des enfants ». Dans le présent bulletin, nous présentons un aperçu des principales évolutions législatives et réglementaires récentes en matière de protection des renseignements personnels des enfants à l’étranger et au Canada, ainsi qu’un résumé des thèmes abordés et des questions posées par le CPVP dans sa consultation exploratoire.

AccessPrivacy organise un atelier interactif en ligne sur cette consultation du CPVP le vendredi 25 juillet 2025, de 11 h à 13 h (heure de l’Est). Voir ci-dessous pour plus de détails.

Contexte international

Ces dernières années, les instruments internationaux, les lois et les initiatives réglementaires se sont de plus en plus concentrés sur la manière de protéger les renseignements personnels des enfants dans l’environnement numérique. La Convention des Nations Unies relative aux droits de l’enfant (CNUDE) définit les obligations des États parties[1] en matière de droits de l’enfant, notamment celle de prendre en considération l’intérêt supérieur de l’enfant dans toutes les décisions qui concernent les enfants. Les États parties doivent prendre toutes les mesures législatives, administratives et autres qui sont nécessaires pour donner effet aux droits énoncés dans la CNUDE. En 2021, l’Observation générale n° 25 a clarifié la manière dont les États devaient mettre en œuvre la CNUDE dans l’environnement numérique, compte tenu du rôle croissant de celui-ci dans la vie des enfants.

Reflétant cette importance croissante accordée aux droits numériques des enfants à l’échelle mondiale, plusieurs pays ont introduit ou renforcé des mesures de protection des données axées sur les enfants. Au Royaume-Uni, conformément à son mandat en vertu de la loi intitulée Data Protection Act 2018, le commissaire à l’information a élaboré, en lien avec les obligations du Royaume-Uni au titre de la CNUDE, un code de bonnes pratiques sur la conception adaptée à l’âge des services numériques susceptibles d’être consultés par des enfants. Le code britannique qui en a résulté, le Age-Appropriate Design Code (ou le « code pour les enfants »), est entré en vigueur en 2020, devenant ainsi l’un des premiers codes de bonnes pratiques de ce type et servant de modèle à d’autres pays. En 2022, la Californie a promulgué la loi intitulée California Age-Appropriate Design Code Act, laquelle oblige les entreprises à tenir compte de l’intérêt supérieur des enfants lors de la conception et de la fourniture de services en ligne susceptibles d’être consultés par eux. Plus récemment, l’Australie a adopté la loi intitulée Privacy and Other Legislation Amendment Act 2024, qui impose au commissaire à l’information l’obligation d’élaborer et d’enregistrer un code de protection des renseignements personnels en ligne pour les enfants dans les deux ans suivant la sanction royale.

Ailleurs, les autorités chargées de la protection des données ont publié des lignes directrices sur la protection des renseignements personnels des enfants. En 2021, en Irlande, la commission chargée de la protection des données (IDPC) a publié ses Fundamentals for a Child-Oriented Approach to Data Processing, qui introduisent des principes interprétatifs en matière de protection des données adaptés aux enfants et recommandent les mesures à prendre. La même année, en France, la Commission nationale de l’informatique et des libertés a publié huit recommandations pour renforcer la protection des mineurs en ligne en fournissant des conseils pratiques et en clarifiant certains aspects du Règlement général sur la protection des données (RGPD) de l’Union européenne et de la Loi sur la protection des données de la France.

Contexte législatif canadien

Partout au Canada, les assemblées législatives ont présenté récemment des projets de règlement visant à protéger les renseignements personnels et la sécurité des enfants dans l’environnement numérique, et les autorités de réglementation ont aussi placé le droit à la vie privée des jeunes au centre de leurs préoccupations.

À l’échelon fédéral, en 2024, le gouvernement du Canada a présenté le projet de loi C-63 (la « Loi sur les préjudices en ligne »), qui obligeait les plateformes désignées à prendre des mesures pour protéger les enfants en intégrant des caractéristiques de conception relatives à la protection des enfants, telles que des caractéristiques de conception adaptées à l’âge. Les caractéristiques de conception relatives à la protection des enfants que les plateformes devaient être obligées d’intégrer, telles que les options de compte pour les enfants, les contrôles parentaux, les paramètres de confidentialité pour les enfants et d’autres caractéristiques de conception adaptées à l’âge, devaient être prévues par règlement. Lors d’une comparution devant le Parlement, l’ancien ministre de la Justice et procureur général du Canada a précisé que le projet de loi C-63 aurait envisagé des mécanismes de vérification de l’âge. Bien que le projet de loi C-63 ait été retiré de l’ordre du jour lorsque le Parlement a été prorogé, les Libéraux ont indiqué qu’ils examinaient d’« un œil neuf » (en anglais) la Loi sur les préjudices en ligne.

En juin 2025, après l’expiration de son projet de loi C-412 en raison de la prorogation, l’honorable Michelle Rempel Garner a présenté de nouveau, à titre de projet de loi émanant d’un député, le projet de loi C-216 (la « Loi sur la promotion de la sécurité dans l’ère du numérique »). Le projet de loi C-216 imposerait des obligations aux exploitants de plateformes, notamment celles d’agir dans l’intérêt supérieur des utilisateurs dont ils savent ou devraient normalement savoir qu’ils sont des mineurs en prenant des mesures de sécurité dans la conception de ses produits et services en vue d’atténuer les préjudices prescrits, en fournissant des paramètres de sécurité clairs et accessibles aux utilisateurs et aux parents des utilisateurs dont ils savent ou devraient normalement savoir qu’ils sont des enfants et, pour restreindre l’accès à tout contenu inapproprié pour des enfants, en utilisant des outils de vérification de l’âge qui protègent la vie privée.

Alors que les efforts visant à protéger les enfants en ligne se poursuivent partout au Canada, le Québec a pris ses propres mesures législatives pour s’attaquer à ce problème. En juin 2024, l’Assemblée nationale du Québec a créé la Commission spéciale sur les impacts des écrans et des réseaux sociaux sur la santé et le développement des jeunes, qui a été chargée d’examiner l’impact des écrans et des réseaux sociaux sur la santé et le développement des jeunes. À la suite de consultations approfondies, la Commission a formulé une série de recommandations visant à protéger la vie privée des enfants, notamment celle demandant au gouvernement du Québec d’établir un âge de la majorité numérique interdisant l’inscription et l’accès aux réseaux sociaux avant l’âge de 14 ans, d’évaluer quelle entité ou agence serait la plus appropriée pour élaborer des normes ou des lignes directrices pour les plateformes numériques et de mener un examen analytique rigoureux avant d’imposer des mécanismes de vérification de l’âge dans tout secteur d’activité ou à toute entreprise ayant des répercussions importantes sur la vie privée. En outre, la Commission a recommandé au gouvernement du Québec de mettre à jour les lois applicables afin d’exiger des plateformes numériques qu’elles tiennent compte des risques pour les mineurs lorsque leurs produits sont « conçus principalement pour l’usage des mineurs ou sont utilisés de manière prépondérante par les mineurs », en exigeant par exemple qu’elles respectent les principes de la vie privée dès la conception et en interdisant les « interfaces truquées ».

Les autorités de réglementation de partout au Canada ont aussi placé le droit à la vie privée des jeunes au centre de leurs préoccupations. En octobre 2023, les commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée et les ombuds responsables de la protection de la vie privée ont publié conjointement une résolution sur l’intérêt supérieur de l’enfant. Le CPVP a ensuite indiqué dans son plan stratégique 2024-2027 que « défendre le droit à la vie privée des enfants » constituait l’une de ses grandes priorités stratégiques. En juin 2024, le CPVP a lancé une consultation sur les lignes directrices relatives à la confirmation ou au contrôle de l’âge. Le mois suivant, le CPVP, le commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique et celui de l’Alberta ont publié les résultats de leur « ratissage » des mécanismes de conception trompeuse dans les services destinés aux enfants. En octobre 2024, le CPVP a publié une déclaration sur l’intelligence artificielle et les enfants conjointement avec les autorités de protection des données et de la vie privée du G7. Ces initiatives des autorités de réglementation ont mis en évidence la nécessité d’intégrer des obligations répondant aux intérêts des enfants tout au long du cycle de vie de la conception et de l’exploitation des services numériques. Plusieurs thèmes clés ont émergé, notamment l’accent mis sur « l’intérêt supérieur de l’enfant », la transparence adaptée à l’âge, la confidentialité par défaut, les pratiques trompeuses, les préoccupations relatives à l’intelligence artificielle et aux enfants, et la promotion de l’harmonisation des normes à l’échelle mondiale.

Consultation du CPVP relative au code sur la protection des renseignements personnels des enfants2025

La consultation exploratoire du CPVP sur l’élaboration d’un code sur la protection des renseignements personnels des enfants qui a eu lieu en mai 2025 s’inspire largement de précédents mondiaux tels que le code pour les enfants du Royaume-Uni et sa propre résolution sur l’intérêt supérieur de l’enfant. Plus précisément, le CPVP déclare qu’il cherche à favoriser l’harmonisation à l’échelle internationale, à « clarifi[er] les obligations prévues par la LPRPDE » et à présenter « [ses] attentes […] en ce qui concerne la façon dont les organisations gèrent les renseignements personnels des enfants ». À la suite de la consultation, qui prend fin le 5 août 2025, le CPVP a l’intention de rédiger un code sur la protection des renseignements personnels des enfants qui présentera ses attentes à l’égard des obligations des organisations.

Le CPVP souhaite obtenir des commentaires sur le rôle qu’il devrait jouer pour faire respecter l’intérêt supérieur de l’enfant, sur d’autres éléments relatifs à la protection de la vie privée qui devraient être pris en compte dans l’établissement d’un code sur la protection des renseignements personnels des enfants, sur les domaines pour lesquels le CPVP devrait fournir des conseils propres à un secteur ou à une industrie, et sur les défis ou les solutions envisagés dans l’application d’un code sur la protection des renseignements personnels des enfants.

Ci-dessous, nous résumons les thèmes abordés et les questions posées dans le cadre de la consultation du CPVP, notamment l’application du code, le consentement éclairé et les droits à la vie privée, les évaluations des facteurs relatifs à la vie privée, la transparence, la protection de la vie privée par défaut, les pratiques trompeuses et la limitation de la communication de renseignements.

  1. Application du code : Le CPVP adopte la définition d’« enfant » prévue dans la CNUDE, à savoir tout être humain âgé de moins de 18 ans. Il propose un modèle d’applicabilité à plusieurs niveaux, dans lequel les services « destinés aux enfants » sont « directement visés » par la portée d’un tel code, et les services destinés à un public mixte entrent dans cette portée s’ils sont des services auxquels les enfants sont « susceptibles d’avoir accès », un seuil qui reflète la loi du Royaume-Uni intitulée Data Protection Act 2018, la loi de la Californie intitulée Age-Appropriate Design Code Act et les principes de l’IDPC intitulés Fundamentals for a Child-Oriented Approach to Data Processing [PDF]. Le CPVP indique que les organisations devront prendre des « mesures raisonnables » pour évaluer leur base d’utilisateurs et, si un « nombre important » d’enfants accèdent à leurs services, elles devront adapter leurs pratiques visant les données en conséquence (par exemple, par un contrôle de l’âge). Les questions posées par le CPVP dans le cadre de la consultation portent sur l’application différenciée selon qu’il s’agit de services destinés aux enfants et de services destinés à un public mixte, l’application fondée sur la présence de certains risques et la manière de définir le critère de « nombre important », de le modifier ou de le supprimer.
  2. Consentement et droits : S’appuyant sur l’Observation générale n° 25 de la CNUDE, le CPVP estime que, pour être significatif, le consentement doit refléter le « développement des capacités des enfants ». De façon générale, pour toute personne âgée de moins de 13 ans, le consentement parental reste la règle par défaut. En outre, le CPVP précise que les droits d’accès des parents peuvent être limités en fonction des droits à la vie privée et de l’intérêt supérieur des enfants, et que les organisations sont tenues de vérifier l’identité des demandeurs et les liens entre les enfants et leurs parents. Les enfants doivent disposer de « moyens simples » pour exercer leurs droits de rectification, notamment recevoir les données sous une forme « facilement compréhensible ». Le CPVP soutient également le droit à la suppression et à la désindexation, cherchant à codifier un « droit à l’effacement » qui n’existe pas dans la LPRPDE. Les questions posées par le CPVP dans le cadre de la consultation portent sur la manière d’évaluer la capacité d’un enfant à donner son consentement, d’obtenir et de vérifier le consentement parental, d’adapter la présentation de l’information aux personnes à différents stades de développement et de traiter le retrait du consentement.
  3. Évaluations des facteurs relatifs à la vie privée : Le CPVP souligne que les organisations devraient déceler et réduire au minimum les risques de préjudice afin d’intégrer la protection de la vie privée et l’intérêt supérieur des enfants dans la conception des produits. Conformément à l’approche britannique, le CPVP indique que le processus d’évaluation des facteurs relatifs à la vie privée (EFVP) devrait inclure des consultations avec les enfants, les parents, les enseignants ou les défenseurs des droits des enfants, bien que le CPVP souligne que les EFVP doivent « tenir compte des perspectives et des expériences des enfants (comme individus, mais aussi en tant que groupe), et ce, par l’adoption d’une approche intersectionnelle ». Les questions posées par le CPVP dans le cadre de la consultation portent notamment sur la manière d’intégrer et d’évaluer le principe de « l’intérêt supérieur » dans les EFVP, les répercussions qui devraient être prises en compte et la manière de mobiliser les parties prenantes.
  4. Transparence : Citant son rapport sur le ratissage de 2024, le CPVP désigne les formulations « complexes et déroutantes » des politiques de confidentialité comme le type le plus courant de « mécanisme de conception trompeuse ». Selon le CPVP, les organisations devraient fournir des renseignements sur la protection des renseignements personnels de manière « concise, visible et claire », adaptés à l’âge et présentés de « diverses façons » (par exemple, sous forme interactive). Ces renseignements devraient faire état des contrôles dont disposent les utilisateurs, des paramètres par défaut, des risques pour la vie privée et de « tout autre » sujet pertinent (par exemple, la modération du contenu). En outre, le CPVP indique que le suivi doit être évité ou rendu évident. Citant sa résolution sur les mécanismes de conception trompeuse, le CPVP demande que les options en matière de protection de la vie privée soient présentées dans un langage et des éléments de conception neutres. Les questions posées par le CPVP dans le cadre de la consultation portent sur le contenu des énoncés de confidentialité, l’adaptation de l’information en fonction de l’âge et des capacités, la présentation de l’information qui s’adresse à la fois aux parents et aux enfants, et les ressources qui pourraient être fournies aux parents pour les aider à expliquer aux enfants les « répercussions sur la vie privée ».
  5. Protection de la vie privée par défaut : Le CPVP fait référence aux exigences légales du Royaume-Uni et de la Californie pour approuver les paramètres par défaut protégeant la vie privée (par exemple, contenu « privé », désactivation de la publicité ciblée, outils adaptés à l’âge et consentements). Selon le CPVP, le suivi, y compris le suivi de la localisation, devrait généralement être désactivé par défaut, la géolocalisation nécessitant un consentement explicite. En outre, le CPVP note que l’entraînement de l’IA au moyen de données personnelles d’enfants et l’utilisation des systèmes d’IA qui ont une incidence sur les enfants peuvent justifier des paramètres par défaut restrictifs ou leur suppression. Les questions posées par le CPVP dans le cadre de la consultation portent sur les mesures limitant la durée de conservation (par exemple, les messages qui expirent automatiquement), les éléments à prendre en considération lors de l’établissement d’une politique de conservation et d’élimination des renseignements, les pratiques à éviter et les scénarios où il serait justifié d’établir des paramètres par défaut moins restrictifs.
  6. Pratiques trompeuses : Le CPVP signale que le rapport sur le ratissage de 2024 du Global Privacy Enforcement Network [PDF] a révélé l’existence de « mécanismes de conception trompeuse » (deceptive design patterns) très répandus : langage inaccessible, « interférence de l’interface » (interface interference) (conception biaisée), harcèlement (invites répétées), « obstruction » (obstruction) (barrières) et « action forcée » (forced action) (demande de données inutiles). Mettant en avant des normes telles que le code pour les enfants du Royaume-Uni, le CPVP s’oppose à toute « conception manipulatrice ou trompeuse ou [aux] incitatifs comportementaux » qui « incite[nt] » les enfants à prendre de mauvaises décisions en matière de protection de la vie privée, à adopter des comportements nuisibles, à fournir plus de données que ce qui est nécessaire ou à désactiver des paramètres de protection de la vie privée, et il encourage les « incitatifs » favorisant la protection de la vie privée et le bien-être. Le CPVP note également que les organisations devraient également mener des essais visant la conception et la convivialité afin de détecter les pratiques de conception trompeuse et de les corriger. Les questions posées par le CPVP dans le cadre de la consultation portent notamment sur la manière dont la conception peut encourager les enfants à adopter des comportements leur permettant de protéger leur vie privée, à prendre des décisions éclairées et à réduire les comportements nuisibles.
  7. Limitation de la communication des renseignements : Citant les codes britanniques et californiens, le CPVP met l’accent sur la limitation de l’échange et de la communication des données des enfants, sous réserve d’exceptions prévues par la loi ou sauf s’il en va de l’intérêt supérieur de l’enfant. Par exemple, il estime que, avant de communiquer des renseignements d’enfants, une organisation devrait avoir à évaluer la capacité de l’enfant à donner son consentement (ou la nécessité d’obtenir le consentement de ses parents) et qu’elle devrait éviter de les communiquer à des tierces parties sauf si l’organisation obtient un consentement explicite, est autorisée par la loi à le faire pour un motif valable qui est dans l’intérêt supérieur de l’enfant ou a une obligation légale de le faire afin de protéger l’enfant. Le CPVP recommande aux organisations d’expliquer les communications (y compris les types de données partagées) et de limiter l’utilisation par des tiers au moyen de mesures de protection qui vont au-delà de la surveillance et des assurances contractuelles. Les questions posées par le CPVP dans le cadre de la consultation portent sur les mesures de protection contre l’utilisation non autorisée, les avis à transmettre aux enfants lorsque leurs données sont partagées, ainsi que les types de données qui ne devraient jamais être communiquées et les fins auxquelles la communication de renseignements ne devrait jamais être autorisée.

Conclusion

Alors que le Canada s’oriente vers un cadre plus précis en matière de protection des renseignements personnels des enfants, les évolutions réglementaires, législatives et politiques continuent de progresser rapidement. Avec la consultation du CPVP en cours et les nouveaux projets de loi des gouvernements fédéral et provinciaux, l’équipe d’Osler spécialisée dans la protection de la vie privée continuera de suivre de près l’évolution de la situation et publiera des bulletins et d’autres articles en temps voulu à mesure que cet important domaine du droit de la protection de la vie privée prendra forme.

Webinaire AccessPrivacy

Étant donné que le code sur la protection des renseignements personnels des enfants en cours d’élaboration pourrait toucher de façon importante un large éventail d’organisations susceptibles de traiter des renseignements personnels de mineurs, y compris des organisations fournissant des services qui ne sont pas expressément destinés aux enfants, AccessPrivacy organise un atelier interactif en ligne le vendredi 25 juillet 2025, de 11 h à 13 h (heure de l’Est). Cliquez ici pour vous inscrire.

Cette discussion ciblée et modérée vise à aider les organisations et les associations professionnelles à comprendre le processus d’élaboration, l’application et l’incidence d’un code potentiel, et à formuler leurs propres commentaires dans le cadre de la consultation du CPVP. Dans le cadre de ce forum interactif, nous invitons les parties prenantes à participer à la discussion et à faire part de leurs commentaires. L’activité sera enregistrée et une copie sera soumise au CPVP dans le cadre de son processus de consultation. Des représentants du CPVP ont été invités à y assister à titre d’observateurs.

Pour visionner le webinaire à la demande, abonnez-vous à la plateforme Knowledge Portal d’AccessPrivacy, une plateforme en ligne qui offre des ressources clés pour aider les professionnels de la protection de la vie privée à relever les défis quotidiens en matière de protection et d’accès.

[1] Un « État partie » à un traité est un État qui a exprimé son consentement, par un acte de ratification, d’adhésion ou de succession, et où le traité est entré en vigueur (ou un État sur le point de devenir partie après réception officielle par le Secrétariat des Nations Unies de la décision de cet État de devenir partie).

Expertises connexes

S’abonner

Restez informé

Abonnez-vous aux articles Osler pour rester informé des questions ayant une incidence sur votre entreprise.

S’abonner

Osler est un cabinet d’avocats en droit des affaires de premier plan qui pratique à l’échelle nationale et internationale à partir de bureaux au Canada et à New York. Il compte parmi ses clients des chefs de file du secteur et du monde des affaires dans tous les segments de marché qui en sont à diverses étapes de leur croissance. Notre réputation repose sur notre engagement à l’égard du succès de nos clients, ainsi que sur notre expérience, notre expertise et notre approche coopérative pour lesquels nous sommes reconnus. Nous croyons que notre succès est le reflet de la réussite de nos clients.