Comparution devant le Comité permanent ETHI du 25 octobre 2023 sur les médias sociaux et les entités étrangères : foire aux questions supplémentaire

Le 25 octobre 2023

Vérification de l’âge

Contexte : Lors de la réunion du 18 octobre 2023, le député Damien Kurek (PCC) a interrogé David Lieber, chef des politiques publiques en matière de vie privée pour les Amériques de TikTok, sur les stratégies de garantie de l’âge. M. Lieber a souligné que le secteur des médias sociaux s’était saisi de cette question et a indiqué que, dans le cadre des incidences sur la vie privée, « une conversation plus générale est engagée concernant les types de stratégies de garantie de l’âge que nous pouvons déployer en tant qu’industrie pour augmenter la probabilité et l’assurance que nous connaissons l’âge des utilisateurs lorsqu’ils nous le communiquent lors de la création d’un compte. »
La garantie de l’âge est un domaine en constante évolution dans lequel les défis peuvent être nombreux. Les autorités chargées de la protection des données et les défenseurs de la protection de l’enfance du monde entier discutent de cette question et l’examinent afin de déterminer comment protéger au mieux les enfants tout en protégeant la vie privée des personnes.
Les systèmes actuels de vérification numérique de l’âge utilisent diverses technologies, méthodes d’analyse et mesures de sécurité. Les techniques varient et comprennent des méthodes comme l’autodéclaration, l’IA et les systèmes biométriques, ou des identificateurs matériels tels que le permis de conduire, par exemple. Aucun système n’est identique : la conception et la mise en œuvre, tout comme le potentiel de vulnérabilité, peuvent différer d’un système à l’autre. De plus, les risques évoluent constamment. Selon nous, la clé, c’est de s’assurer qu’il existe plusieurs moyens de défense.
Les organisations doivent procéder à des analyses et à des essais pour s’assurer qu’une solution technique précise est suffisamment efficace et adaptée aux circonstances. Par contre, dans tout système numérique de vérification de l’âge, il faudrait appliquer le principe de minimisation des données personnelles, de façon à réduire le couplage des données et la surveillance des personnes. La méthode choisie doit également être proportionnelle aux risques. Par exemple, dans certaines circonstances, il peut être approprié d’utiliser l’autodéclaration pour demander à l’enfant de confirmer qu’il se situe dans une certaine tranche d’âge afin de faciliter la personnalisation d’un jeu pédagogique. En ce qui concerne les contenus destinés aux adultes, comme les produits du tabac, une vérification rigoureuse de l’âge peut être nécessaire ou exigée par la loi.
Les mesures de sécurité importantes qui devraient faire partie de tout système de vérification de l’âge comprennent ce qui suit :
- Minimisation des données : la collecte, l’utilisation et la communication d’une quantité minimale de renseignements peuvent réduire le couplage des données.
- Contrôles de l’accès : les contrôles permettent de restreindre l’accès aux données des utilisateurs.
- Chiffrement : des méthodes de chiffrement puissantes devraient être en place pour les données en cours d’utilisation, en transit et inactives. Cela dit, le chiffrement n’est pas une méthode infaillible pour éliminer les risques de réidentification des utilisateurs.
- Segmentation en unités : des jetons peuvent remplacer des renseignements sensibles par une chaîne aléatoire de caractères qui n’ont aucune valeur.
- Les informations relatives à la garantie de l’âge ne doivent pas être réutilisées à d’autres fins.
- Il faut veiller à ce que le système soit adapté à son objectif, c’est-à-dire, par exemple, qu’il soit formé ou développé de manière appropriée, qu’il soit précis et qu’il évite les préjugés.
- Il faut expliquer comment les individus peuvent contester une évaluation inexacte de leur âge.
Certaines administrations entreprennent des travaux importants sur ce sujet :
- L’Information Commissioner’s Office (ICO), organisme public britannique, a mené des recherches sur la garantie de l’âge dans le cadre de son travail sur le Children’s Code du Royaume-Uni. Il s’agit notamment de projets de recherche et d’orientations destinés aux organisations afin de déterminer si un service en ligne est susceptible d’être consulté par des enfants. De manière générale, l’ICO indique que si un fournisseur conclut que des enfants sont susceptibles d’accéder au service et que celui-ci n’est pas approprié pour un jeune public, il doit appliquer des mesures de garantie de l’âge afin de restreindre l’accès ou de s’assurer que le service est conforme au Children’s Code d’une « manière proportionnée et basée sur les risques ».
- L’autorité française pour la protection des données a également effectué un travail d’évaluation des principaux types de systèmes de vérification de l’âge. Elle a fourni des conseils sur la manière dont les organisations peuvent remplir leurs obligations légales dans ce domaine, mais a également constaté que les systèmes actuels ont tendance à être contournables et peu respectueux des renseignements personnels. En conséquence, elle a appelé à la mise en œuvre de modèles respectueux de la vie privée et a travaillé avec un chercheur pour démontrer la faisabilité d’une version respectueuse de la vie privée.

Déclaration du Canada sur l’intégrité électorale

Contexte : Dans sa déclaration liminaire devant le comité le 18 octobre, Steve de Eyre (directeur de la politique publique et des affaires gouvernementales de TikTok Canada) a indiqué que TikTok avait établi des « relations de travail constructives » avec le gouvernement fédéral, et a souligné le travail entrepris avec Élections Canada lors des dernières élections fédérales. Il a également indiqué qu’ils avaient signé « la déclaration du gouvernement sur l’intégrité des élections en ligne ».
Le document auquel il s’est référé est la « Déclaration du Canada sur l’intégrité électorale ». Il convient de noter que dans une déclaration publiée par la ministre des Institutions démocratiques (l’honorable Karina Gould) en 2021, il est reconnu que les médias sociaux et les autres plateformes en ligne jouent un rôle dans la promotion d’une démocratie saine et résiliente.^{Note de bas de page 1} À cette fin, la Déclaration a été élaborée et énonce des principes d’intégrité, de transparence et d’authenticité qui favorisent un débat et une expression démocratiques sains et sûrs en ligne, dans le respect des lois canadiennes et d’autres obligations légales.
Le CPVP n’a pas été consulté lors de son élaboration ou de sa publication.
Dans le point 3 (dans la sous-section « Intégrité ») concernant la protection de la vie privée, les plateformes sont appelées à « promouvoir des mesures … et à faire tout leur possible pour assurer la protection de la vie privée ».
Les « plateformes » (c’est-à-dire les entreprises technologiques) sont appelées à adopter certains comportements (p. ex. « Prendre des mesures pour supprimer les abus malveillants des plateformes, comme les faux comptes, les comportements non authentiques coordonnés et les comptes automatisés malveillants »).
Dans ce même document, le gouvernement du Canada est aussi appelé à prendre des mesures plus générales (p. ex. « Prendre des mesures pour améliorer ses méthodes de communication sur les plateformes afin de renforcer la circulation d’informations gouvernementales officielles et vérifiables dans l’écosystème Internet »).
En tant que produit de communication du BCP (cité comme point de contact principal), les autres « partisans » cités sont Facebook, LinkedIn, Microsoft, TikTok, Twitter et YouTube.

Rapports de transparence semestriels de TikTok

Contexte : Interrogé par le député René Villemure (BQ) sur la question de savoir si TikTok donnerait au Parti communiste chinois l’accès aux données contenues dans le rapport, Steve de Eyre (directeur de la politique publique et des affaires gouvernementales de TikTok Canada) a fait remarquer que toutes les communications de ce type seraient décrites dans leurs rapports de divulgation semestriels, qui sont conçus pour servir de mécanisme de transparence.
TikTok a commencé à produire ces rapports à la fin de l’année 2019. Le dernier rapport disponible date de mai 2023 et couvre la période comprise entre le 1er juillet 2022 et le 31 décembre 2022 :^{Note de bas de page 2}
Au cours de cette période, pour le Canada, il y a eu un total de 242 demandes gouvernementales, réparties comme suit : 37 en vertu d’une demande légale (c’est-à-dire un mandat ou une ordonnance de communication), 144 demandes d’urgence et 61 demandes de préservation.
Ces chiffres correspondent notamment à des demandes de données en possession des autorités canadiennes adressées à l’entreprise; la nationalité des personnes visées par ces demandes n’est pas précisée.
En outre, le rapport ne semble pas préciser quand les autorités étrangères demandent des renseignements sur les Canadiens en particulier (p. ex. aucun renseignement n’est présenté sur les demandes des autorités chinoises).^{Note de bas de page 3}

Rapport d’enquête du Sénat français

Contexte : Lors de la réunion du 18 octobre 2023, le député Matthew Green (NPD) a évoqué la commission d’enquête du Sénat français sur l’utilisation du réseau social TikTok, son exploitation des données et sa stratégie d’influence. M. Green a déclaré que l’une des conclusions du rapport indiquait que le Parti communiste et les agences de renseignement chinoises pouvaient potentiellement avoir accès aux données collectées sur TikTok concernant ses utilisateurs dans le monde entier.^{Note de bas de page 4}
Le 8 février 2023, le Sénat français a approuvé la création d’une commission d’enquête sur TikTok afin d’examiner son utilisation et sa stratégie d’influence, ainsi que les obligations de la plateforme en matière de protection des données personnelles. Le 1er mars 2023, 19 membres du Sénat ont commencé à travailler sur la question.
- Le rapport est le résultat des travaux de la commission d’enquête ad hoc, qui a duré quatre mois et qui a notamment entendu le ministre français chargé du Numérique et les dirigeants français de TikTok.
Le 6 juillet 2023, le Sénat a publié un rapport de près de 200 pages intitulé « La tactique TikTok : opacité, addiction et ombres chinoises » :
Le rapport critique vivement l’influence stratégique de TikTok en France et estime que la plateforme peut constituer une menace en ce qui concerne la sécurité nationale. Il y est question de risques évidents que la Chine utilise TikTok à dessein comme vecteur de guerre cognitive et ne respecte pas ses obligations au titre du RGPD de l’UE, en collectant une grande quantité de données dont l’utilisation reste opaque. Le rapport comprend des avis de la CNIL,^{Note de bas de page 5} notamment sur les possibilités de vérification de l’âge.
Le rapport a débouché sur 21 recommandations, dont la principale serait une suspension totale de l’application d’ici janvier 2024 si TikTok ne transmettait pas aux sénateurs des informations supplémentaires sur la situation financière de l’entreprise et sur ses pratiques en matière de traitement des données. Bien que le rapport couvre de nombreux sujets au-delà de la protection des renseignements personnels, les recommandations relatives à la protection de la vie privée comprennent l’amélioration de la transparence de la plateforme, la mise en œuvre de stratégies de lutte contre la désinformation, l’élaboration par la Commission européenne d’un plan de réponse pour les plateformes en ligne non coopératives, le maintien de la possibilité pour les autorités de surveillance nationales de contrôler la conformité aux futures règles « ePrivacy », et l’obligation pour TikTok de mettre en œuvre un système efficace de vérification de l’âge.
Le média français EURACTIV a communiqué avec TikTok qui a déclaré ne pas être d’accord avec les conclusions du rapport.
Résumé

Qu’est-ce que Douyin?

Contexte : Lors de la réunion du 18 octobre 2023, des inquiétudes ont été exprimées quant à la possibilité que TikTok partage les données collectées avec le Parti communiste chinois. Le député Michael Barrett s’est interrogé sur le lien entre TikTok et Douyin. Il a noté que le gouvernement chinois a appliqué les restrictions de son régime à Douyin et a demandé si les mêmes efforts étaient déployés à l’égard de TikTok. L’un des témoins présents, Steve de Eyre, directeur de la politique publique et des affaires gouvernementales de TikTok Canada, a répondu que les deux applications appartiennent à ByteDance et que Douyin est l’équivalent de TikTok en Chine continentale. Il a également indiqué qu’il n’était pas employé de Douyin, mais que le responsable de la confiance et de la sécurité de TikTok, chargé de la modernisation du contenu, se trouvait à Dublin, en Irlande, et qu’il présenterait au comité le rapport sur l’application des lignes directrices communautaires de TikTok.

Douyin est une application de partage de vidéos créée et détenue par la société mère chinoise ByteDance, qui possède également TikTok.
Douyin est souvent considéré comme le TikTok de Chine continentale. Douyin a été lancé en Chine en 2016, avant TikTok, et n’est proposé qu’aux utilisateurs situés en Chine. Il compte une moyenne de 600 millions d’utilisateurs par jour.
Douyin et TikTok sont des applications distinctes. Cependant, elles appartiennent à la même société mère, qui utilisent le même code de base et l’algorithme de Douyin a servi de base à la création de TikTok et à son succès mondial.
Douyin n’est pas disponible hors Chine. TikTok n’est pas disponible en Chine et ne l’a jamais été.
En 2017, ByteDance a racheté une jeune entreprise de vidéo privée basée aux États-Unis et a créé TikTok comme la « version » de Douyin destinée aux marchés hors Chine. En 2018, ByteDance a acheté une autre application appelée musical.ly, une application de surjeu, et l’a intégrée à TikTok. En 2021, TikTok comptait plus d’un milliard d’utilisateurs dans le monde.
Douyin et TikTok semblent être très similaires, étant donné que :
- Douyin et TikTok sont deux applications de partage de vidéos qui hébergent de courtes vidéos allant de 15 secondes à 10 minutes sur Douyin et de 15 secondes à 3 minutes sur TikTok (10 minutes si elles sont téléchargées sur l’application).
- Tout utilisateur peut créer et partager des vidéos et avoir la possibilité de les rendre virales en Chine (Douyin) ou dans le monde entier (TikTok) et de devenir influenceur sur les médias sociaux.
- Les deux applications utilisent un algorithme qui personnalise les flux des utilisateurs.
Cependant, Douyin et TikTok fonctionnent selon des règles et avec des fonctions différentes, et les répercussions en matière de protection de la vie privée y sont aussi différentes :

Censure :

Douyin est tenu de respecter les règles chinoises strictes en matière de censure. Tout contenu ou recherche par mot-clé jugé politiquement sensible et toute forme de dissidence sont bloqués. Par exemple, lorsque CNN a effectué une recherche sur Douyin en utilisant les termes « Tiananmen 1989 », aucun résultat n’a été généré. La même recherche effectuée sur TikTok a généré de nombreux résultats, y compris des utilisateurs qui en discutent en vidéo.
Les deux applications ont la possibilité d’appliquer des fonctions de censure. Douyin pratique la censure politique et restreint certains mots-clés de recherche. TikTok ne restreint pas les mots-clés de recherche, mais selon Citizen Lab il est difficile de savoir si TikTok applique une quelconque censure politique.

Mineurs

Douyin doit également respecter les restrictions imposées par la Chine aux mineurs. Tout utilisateur âgé de moins de 14 ans est limité à 40 minutes d’utilisation par jour, ne peut pas accéder à l’application entre 22 heures et 6 heures du matin et ne peut accéder qu’aux contenus dont le visionnage par les enfants est considéré comme étant sécuritaire par l’application.
TikTok adopte une approche beaucoup plus souple en ce qui concerne le contenu accessible aux mineurs et l’utilisation qu’ils font de l’application.
En mars 2023, TikTok a introduit un paramètre par défaut pour les utilisateurs de moins de 18 ans, qui limite leur utilisation à une heure. Les adolescents ont la possibilité de supprimer cette limite dans leurs paramètres.

Autres fonctions

Douyin dispose d’un filtre de beauté automatique qui lisse les traits du visage et en modifie la forme. Ce filtre est appliqué au contenu créé par les utilisateurs afin de respecter les normes de beauté chinoises.
Les filtres de beauté de TikTok sont facultatifs et peuvent être appliqués par l’utilisateur à sa guise.
Douyin héberge un important marché de vente en ligne. Les produits sont diffusés en direct, les prix et les remises étant affichés sur l’écran par vidéo. Les utilisateurs peuvent effectuer des achats instantanément d’un simple glissement de doigt.
Si les utilisateurs et les influenceurs peuvent commercialiser des produits ou en faire l’évaluation sur TikTok, il n’existe pas de marché du même type.

Répercussions sur la vie privée

Les conséquences en matière de protection de la vie privée sur Douyin et sur TikTok, selon une analyse de la sécurité et de la protection de la vie privée^{Note de bas de page 6} réalisée par Citizen Lab, sont présentées ci-dessous.
- Les deux applications collectent des données de première partie et des données de tierce partie. Douyin recueille un peu plus de données de première partie que TikTok. Les deux applications font également appel à différents fournisseurs de services de données de tierce partie. Douyin fait appel à des prestataires de services chinois et TikTok à divers prestataires de services internationaux.
- Douyin collecte les adresses MAC, TikTok ne le fait pas.
- Douyin contient une fonction de chargement dynamique du code.
- Citizen Lab n’a pas trouvé de preuve que l’une ou l’autre des applications collectait des fichiers, des listes de contacts, des enregistrements audio, des photos, des vidéos ou des coordonnées de géolocalisation sans l’autorisation de l’utilisateur.
- Les deux applications peuvent activer des fonctions de code personnalisées, mais rien n’indique qu’elles activent des fonctions cachées susceptibles de porter atteinte à la vie privée des utilisateurs.

Lettre d’amendement du ministre Champagne

Contexte : En réponse aux demandes des membres du comité INDU, le 23 octobre 2023, le comité INDU a publié une lettre du ministre Champagne décrivant les amendements proposés au projet de loi C-27 auxquelles il a fait référence dans son témoignage.
Mon bureau est en train de procéder à une analyse détaillée des amendements proposés au projet de loi C-27 présentés au comité INDU par le ministre Champagne, comme ils ont été publiés par le comité lundi de cette semaine.
Sur la base de notre évaluation initiale, je peux dire ce qui suit :

La protection de la vie privée est un droit fondamental

Nous sommes satisfaits de l’amendement proposé au préambule et à la disposition de déclaration d’objet qui stipule que le droit à la vie privée des individus est un droit fondamental au Canada.

L’intérêt supérieur de l’enfant

Nous nous félicitons de l’ajout de la formulation proposée dans le préambule et à l’article 12 concernant les mineurs, car elle constitue une reconnaissance bienvenue du fait que les enfants méritent des protections spéciales.
Cela dit, nous continuons à recommander que le préambule reconnaisse la nécessité de respecter la vie privée des mineurs et l’intérêt supérieur de l’enfant dans le cadre du traitement des données à caractère personnel. L’ajout de la formulation que nous proposons au préambule contribuerait à garantir que l’intérêt supérieur des enfants et des mineurs est prioritaire et que la législation est interprétée d’une manière conforme à l’intérêt supérieur de l’enfant [un principe important des droits de l’enfant dérivé de l’article 3 de la Convention des Nations unies relative aux droits de l’enfant].

Fins acceptables

Outre l’amendement à l’article 12 concernant la prise en compte des intérêts particuliers des mineurs, nous sommes heureux que le ministre propose un amendement conforme à une recommandation faite par mon bureau, afin d’offrir une grande flexibilité quant à la prise en compte des facteurs dans le cadre de l’évaluation des objectifs appropriés. Nous recommandons de ne pas dresser une liste exhaustive des facteurs, car il pourrait y avoir d’autres facteurs contextuels pertinents à prendre en compte et tous les facteurs actuellement énumérés dans le projet de loi C-27 ne seront pas pertinents dans toutes les circonstances.

Accords de conformité

Nous sommes heureux de constater qu’une plus grande flexibilité autorise la conclusion d’un accord de conformité en dehors d’une enquête.
Nous nous réjouissons également de la possibilité de conclure des accords de conformité prévoyant le paiement d’un montant déterminé. Nous continuons toutefois à recommander que, pour plus de clarté et de souplesse, les accords de conformité soient autorisés à inclure toute autre mesure négociée, comme celles qui pourraient être ordonnées par un tribunal.
Nous continuons à examiner la proposition de suspension du délai pour la réalisation d’une enquête pendant les négociations d’un accord de conformité.
Enfin, nous continuons à recommander que les accords de conformité aient le même effet qu’une décision de justice, afin de faire en sorte qu’ils aboutissent, comme prévu, à des mesures correctives rapides pour les Canadiens.

Droit privé d’action

Si nous apprécions le fait que l’accès d’un plaignant au droit d’action privé ne soit plus généralement interrompu si une enquête est réglée par un accord de conformité, nous restons préoccupés par la position de contrôleur des tribunaux dans laquelle se retrouve le CPVP, puisque seules les affaires qui se terminent par une décision d’enquête ou un accord de conformité peuvent donner lieu à un droit d’action privé.

Notes de bas de page

Note de bas de page 1

Déclaration du Canada sur l’intégrité électorale en ligne.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Il convient de noter que le pare-feu du CPVP bloque cette URL.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

TikTok releases 'transparency report' amid scrutiny over Chinese ownership (en anglais seulement)

Retour à la référence de la note de bas de page 3

Note de bas de page 4

CONSTAT N° 1 : LES ENTREPRISES DU NUMÉRIQUE NÉES EN CHINE NE PEUVENT PAS SE DÉVELOPPER SANS UN SOUTIEN AFFIRMÉ DES AUTORITÉS CHINOISES : Le rapport indique que les entreprises de l’économie numérique, dont TikTok est le dernier fleuron, sont des acteurs clés des stratégies d’influence de la Chine. En outre, il est expliqué que le Parti communiste chinois exerce un contrôle étroit sur ces entreprises par divers moyens, de la création à l’achat d’« actions privilégiées », et a développé une stratégie de « guerre cognitive ».

Retour à la référence de la note de bas de page 4

Note de bas de page 5

Les recommandations de la CNIL figurent dans le rapport à la section C.4.b) Un système de vérification d’âge à mettre en place par TikTok, en suivant les recommandations de la CNIL (p. 133). Quel que soit le système choisi, la CNIL souligne l’importance d’un tiers vérificateur indépendant pour assurer la meilleure protection possible des données personnelles, à l’instar de ce qui est envisagé pour l’accès aux sites pornographiques.

Retour à la référence de la note de bas de page 5

Note de bas de page 6

« TikTok vs Douyin, A Security and Privacy Analysis » par Pellaeon Lin, le 22 mars 2021.

Retour à la référence de la note de bas de page 6

Date de modification :: 2024-03-07

Sélection de la langue

Recherche et menus

Recherche