Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Fiche des enjeux sur le projet de loi S-210

Table des matières

Comparaison entre le projet de loi S-210 et le projet de loi S-203

Définition de « jeune »

Disposition d’infraction

Approches en matière de vérification de l’âge en ligne dans d’autres pays

Litige concernant Aylo

Point de vue du CPVP sur la vérification de l’âge

Risques d’entrave à la vie privée liés à la vérification de l’âge

La vérification de l’âge et la vérification de l’identité

Recours à des intermédiaires tiers

Utilisation de la reconnaissance faciale (RF) pour la vérification de l’âge

Utilisation de RPV pour contourner les exigences

Le chiffrement, une protection efficace

Pratiques exemplaires internationales

Groupe de travail international sur la confirmation de l’âge

État d’avancement de la mise en œuvre de l’identification numérique au Canada

Point de vue des commissaires FPT sur l’identification numérique

Mesures du Commissariat en matière de protection et de promotion de la vie privée des enfants

Points de vue des parties prenantes sur le projet de loi S-210

Projet de loi C-63 (loi sur les préjudices en ligne)

Enquête sur Aylo

Enquête sur TikTok

Comparution devant le Comité permanent de la sécurité publique et nationale

Comparaison entre le projet de loi S-210 et le projet de loi S-203

Notes d’allocution

  • Bien que le projet de loi S-210 soit similaire à son prédécesseur, le projet de loi S-203, il existe d’importantes différences entre les deux.
  • Du point de vue de la protection de la vie privée, l’un des changements les plus notables est que le projet de loi S‑210 exige que le gouverneur en conseil prenne en considération plusieurs critères liés à la protection de la vie privée avant de prescrire un mécanisme de vérification de l’âge.
  • Il s’agit d’un ajout précieux au projet de loi. Toutefois, malgré cela et d’autres changements, je pense que certains aspects du projet de loi S-210 pourraient encore être améliorés afin d’atténuer les risques potentiels en matière de protection de la vie privée.
  • Par exemple, je suggère respectueusement que la liste des critères énoncés au paragraphe 11(2) soit élargie pour inclure les principes de nécessité et de proportionnalité.

Contexte

  • L’itération précédente du projet de loi S-210, le projet de loi S-203, a été introduite par la sénatrice Julie Miville-Dechêne en 2020 et adoptée par le Sénat en 2021. Il est mort au feuilleton plus tard cette année en raison du déclenchement des élections.
  • Lors de l’examen article par article du projet de loi S-210, le Comité sénatorial permanent des affaires juridiques et constitutionnelles a ajouté une nouvelle disposition exigeant que le gouverneur en conseil, avant de prescrire un mécanisme de vérification de l’âge, examine s’il « (a) est fiable; (b) assure le respect de la vie privée des utilisateurs et protège leurs renseignements personnels; (c) recueille et utilise les renseignements personnels à des fins de vérification de l’âge seulement, à moins que la loi ne prévoie d’autres fins; (d) détruit tout renseignement personnel recueilli à des fins de vérification de l’âge, une fois la vérification terminée; et (e) respecte généralement les pratiques exemplaires dans les domaines de la vérification de l’âge et de la protection de la vie privée. »
  • Contrairement au projet de loi S-203, le projet de loi S-210 :
    • fait brièvement référence aux sites pornographiques sur Internet dans son préambule (bien que le libellé de l’infraction à l’article 5 ne se limite pas à ces sites);
    • limite la responsabilité de l’infraction aux seules organisations (art. 5);
    • crée un nouveau moyen de défense pour les organisations qui prennent des mesures pour se conformer à un avis reçu de l’agent de l’autorité (par. 6(3));
    • ne fait plus référence à du « matériel obscène » comme circonstance aggravante.

Responsable : Services juridiques

Définition de « jeune »

Notes d’allocution

  • Le projet de loi « S-210 érige en infraction le fait de rendre du matériel sexuellement explicite sur Internet, à des fins commerciales, à la disposition d’un « jeune » que l’on définit comme un individu âgé de moins de dix-huit ans.
  • La définition de « jeune » dans le projet de loi S-210 concorde avec la définition d’« enfant » dans le projet de loi C-63 et celle de « mineur » qui a été récemment ajoutée au projet de loi C-27.

Contexte

  • Bien que les projets de loi C-63 (loi sur les préjudices en ligne) et C-27 (loi sur la protection de la vie privée des consommateurs) n’utilisent pas le terme « jeune », ils adoptent le même seuil lié à l’âge que le projet de loi S-210. Le projet de loi C-63 utilise le terme « enfant », qui est défini comme une personne âgée de moins de dix‑huit ans. Le projet de loi C-27 utilise le terme « mineur », qui n’était pas défini à l’origine. Un amendement adopté par le Comité permanent de l’industrie, des sciences et de la technologie de la Chambre des communes lors de l’examen article par article définit un mineur comme un individu âgé de moins de 18 ans. 
  • L’Association du Barreau canadien a recommandé au Comité sénatorial des affaires juridiques et constitutionnelles de modifier la définition de « jeune » dans le projet de loi S-210 pour qu’il s’agisse d’un individu de moins de 16 ans, afin de l’aligner sur l’âge du consentement dans le Code criminel. La marraine du projet de loi S-210, la sénatrice Julie Miville-Dechêne, a défendu la définition existante, soulignant que les personnes doivent avoir au moins 18 ans pour accéder à du matériel pornographique hors ligne. 
  • Une province ou un territoire définit l’âge de la majorité dans sa juridiction respective, qui est de 18 ou de 19 ans. La législation fédérale ne définit généralement pas qui est mineur ou non, mais il existe quelques exceptions (p. ex. la Loi sur le divorce contient une définition du terme « majeur »).
  • Étant donné que le projet de loi S-210 relève de la compétence fédérale en matière de droit criminel, l’âge de la majorité fixé par une province ou un territoire n’est pas pertinent.

Responsable : Services juridiques

Disposition d’infraction

Notes d’allocution

  • Je partage les préoccupations de nombreuses parties prenantes selon lesquelles, telle que rédigée, la disposition en cas d’infraction engloberait un large éventail de services et de contenus en ligne, ce qui augmenterait la probabilité et l’incidence potentielle de conséquences involontaires sur la protection de la vie privée et d’autres droits de l’homme.
  • Le projet de loi S-210 rendrait essentiellement obligatoire l’utilisation de mécanismes de vérification de l’âge en ligne, car seules les organisations qui utilisent des mécanismes de vérification de l’âge spécifiés dans la réglementation pourraient s’appuyer sur la défense selon laquelle elles estiment que la personne qui accède à du matériel sexuellement explicite est un adulte.
  • Je recommande que le Comité envisage de limiter l’obligation de vérification de l’âge aux sites Web qui fournissent principalement du matériel sexuellement explicite à des fins commerciales.

Contexte

  • Bien que le préambule du projet de loi S-210 mette l’accent sur les sites Web pornographiques en particulier, l’infraction prévue à l’article 5 ne se limite pas à ces sites. Elle englobe plutôt toutes les organisations qui rendent accessible du matériel sexuellement explicite à des fins commerciales.
  • Plus précisément, l’article 5 érige en infraction sommaire les organisations qui mettent du matériel sexuellement explicite à la disposition de jeunes sur Internet à des fins commerciales. L’infraction est passible d’une amende pouvant aller jusqu’à 250 000 dollars pour les organisations en cas de première infraction et jusqu’à 500 000 dollars en cas de récidive.
  • Le projet de loi S-210 reprend la définition de « matériel sexuellement explicite » utilisée à l’article 171.1 du Code criminel qui érige en infraction quiconque rend accessible à un enfant du matériel sexuellement explicite sous forme visuelle, audio ou écrite.
  • Nous ne voyons pas de chevauchement évident entre la disposition relative aux infractions du projet de loi S-210 et les infractions de la LPRPDE ou celles proposées dans le projet de loi C-27. Toutefois, une organisation pourrait être assujettie au projet de loi S-210 ainsi qu’à la LPRPDE ou au projet de loi C-27 (par exemple, lorsque du matériel sexuellement explicite mis en ligne à la disposition d’un jeune implique également la communication de renseignements personnels dans le cadre d’une activité commerciale).

Responsable : Services juridiques

Approches en matière de vérification de l’âge en ligne dans d’autres pays

Notes d’allocution

  • Le contexte juridique et réglementaire sur la question de restreindre l’accès des enfants à de la pornographie évolue rapidement. Plusieurs pays, dont l’Allemagne, la France et le Royaume-Uni, ont adopté des lois exigeant une vérification de l’âge pour accéder à de la pornographie.
    • Il convient de noter que l’Australie a annoncé un projet pilote sur l’utilisation d’un mécanisme de vérification de l’âge pour protéger les enfants contre des contenus préjudiciables, comme de la pornographie. Ce projet pilote prendra en compte les répercussions en matière de protection de la vie privée.
  • Le projet de loi S-210 imposerait des exigences de vérification de l’âge sur une gamme de contenus plus large que dans de nombreuses autres juridictions. Par exemple, contrairement au projet de loi S-210, le Texas et l’Utah imposent la vérification de l’âge uniquement sur les sites ayant certains seuils de contenu pornographique. Au Texas, ce seuil est atteint lorsque plus d’un tiers du contenu d’un site Web est du contenu sexuel préjudiciable aux mineurs; dans l’Utah, l’exigence est déclenchée lorsqu’une « partie substantielle » du contenu d’un site Web est du contenu sexuel préjudiciable aux mineurs. 
  • Le projet de loi S-210 s’applique également au matériel sexuellement explicite sous différents formats, y compris le texte, alors que d’autres pays, comme le Royaume-Uni, n’exigent pas de vérification de l’âge pour le contenu sous forme de texte uniquement.

Contexte

  • (caviardé)

Responsable : Services juridiques

Litige concernant Aylo

Notes d’allocution

  • En avril 2023, Aylo (anciennement MindGeek) a présenté une demande de contrôle judiciaire auprès de la Cour fédérale, faisant valoir que l’intention du Commissariat de publier son rapport de conclusions concernant une plainte reçue contre l’entreprise était déraisonnable et injuste.
  • Aylo a ensuite demandé une injonction qui aurait empêché le Commissariat d’émettre et de publier le rapport final des conclusions alors que la demande de contrôle judiciaire était en cours.
  • En août 2023, la Cour fédérale a rejeté la demande d’injonction d’Aylo, notamment parce qu’elle n’avait pas démontré qu’elle subirait un préjudice irréparable par l’émission et la publication du rapport. Aylo a fait appel de cette décision. 
  • En février 2024, la Cour d’appel fédérale a rejeté l’appel d’Aylo à l’unanimité. Le même jour, le Commissariat a publié le rapport final des conclusions, qui concluait qu’Aylo avait contrevenu à la LPRPDE en permettant le partage de contenus intimes sur ses sites Web à l’insu ou sans le consentement direct de toutes les personnes représentées.

Contexte

  • En avril 2020, le CPVP a reçu une plainte à l’encontre d’Aylo, au motif qu’elle n’avait pas obtenu le consentement de toutes les personnes représentées dans des contenus intimes publiés sur ses différents sites Web. Après enquête, le CPVP a informé Aylo en mars 2023 de son intention d’émettre et de publier le rapport des conclusions.
  • Le Commissariat a recommandé qu’Aylo cesse immédiatement de recueillir, d’utiliser et de communiquer les images et vidéos intimes produites par les utilisateurs jusqu’à la mise en place de mesures lui permettant de se conformer aux obligations qui lui incombent au titre de la LPRPDE.
  • Nous sommes actuellement en discussion avec Aylo concernant ses recommandations.

Responsable : Services juridiques

Point de vue du CPVP sur la vérification de l’âge

Notes d’allocution

  • Le CPVP est d’avis que le mécanisme de confirmation de l’âge (y compris la vérification de l’âge) est un outil pouvant contribuer à la sécurité en ligne des jeunes, mais que sa conception et son utilisation doivent tenir compte des incidences potentielles importantes qu’il peut avoir sur la protection de la vie privée.
  • Les mécanismes de confirmation de l’âge — en particulier s’ils sont obligatoires pour accéder à certains contenus ou services — ne doivent pas entraîner une surveillance en ligne accrue ou la divulgation de renseignements sensibles.
  • Le Commissariat prévoit d’élaborer des documents d’orientation à l’intention des organisations sur la confirmation de l’âge et la protection de la vie privée et, pour nous aider dans ce processus, nous avons l’intention de lancer un document de consultation exploratoire le mois prochain.

Contexte

  • La confirmation de l’âge comprend généralement la déclaration de l’âge (un individu affirme son âge), la vérification de l’âge (une personne fournit une preuve de son âge) et l’estimation de l’âge (un système d’intelligence artificielle estime l’âge à partir, par exemple, d’une image faciale).
  • Le projet de loi S-210 ne fait actuellement référence qu’à la « vérification de l’âge »; les détails devant être prescrits dans des règlements pris par le gouverneur en conseil. Par conséquent, il n’est pas possible d’évaluer pleinement les risques potentiels du projet de loi en matière de protection de la vie privée à ce stade.
  • Le CPVP a l’intention de publier un document de consultation exploratoire sollicitant des commentaires sur ses positions préliminaires concernant la confirmation de l’âge en juin 2024. Dans ce document de consultation, nous présentons un certain nombre de positions préliminaires selon lesquelles le recours à la confirmation de l’âge devrait notamment :
    • se limiter aux situations qui présentent un risque élevé pour les droits de l’enfant;
    • interdire l’utilisation des renseignements recueillis pour la vérification de l’âge à d’autres fins;
    • se conformer aux normes industrielles et aux documents d’orientation pertinents des organismes de réglementation, y compris le CPVP;
    • faire l’objet d’une surveillance efficace.

Responsable : PRAP

Risques d’entrave à la vie privée liés à la vérification de l’âge

Notes d’allocution

  • Les principaux risques pour la vie privée que présente la vérification de l’âge sont :
    • les activités d’un individu au sein d’un site Web ou d’un site à l’autre peuvent être surveillées ou menées jusqu’à lui (c’est-à-dire qu’il est possible de l’identifier plus facilement en fonction de ses actions);
    • les informations relatives à l’identité peuvent être consultées ou compromises à la suite d’un hameçonnage, d’une fraude, d’un piratage ou d’une atteinte à la sécurité des données.
  • Il existe également un risque que les individus évitent d’accéder au contenu et aux services, ou y accèdent de manière plus risquée, s’ils ne croient pas qu’un système donné de vérification de l’âge puisse protéger la vie privée.
  • Ces risques — et en particulier le risque de surveillance — peuvent être atténués en tenant compte du respect de la vie privée tout au long de la conception et du fonctionnement d’un système de vérification de l’âge et en appliquant des technologies novatrices qui renforcent le respect de la vie privée.
  • En ce qui concerne la confirmation de l’âge, les techniques novatrices peuvent contribuer à la protection de la vie privée si elles sont correctement exploitées.

Contexte

  • Les mesures visant à accroître la confiance dans les systèmes de confirmation de l’âge comprennent un contrôle rigoureux et l’élaboration de normes et/ou de mécanismes de certification.
  • Lorsque le projet de loi S-210 a été examiné par le Comité sénatorial permanent des affaires juridiques et constitutionnelles dans l’autre Chambre, des questions ont été posées pour savoir si les renseignements personnels des individus (y compris les pièces d’identité délivrées par le gouvernement) pouvaient être volés et utilisés pour la cybercriminalité, et si la vérification de l’âge créerait des opportunités pour le gouvernement de recueillir des renseignements personnels de nature délicate ou d’en effectuer la supervision.
    • En bref, les deux suppositions constituent des risques, mais ils peuvent être atténués (par exemple, en limitant les renseignements qui sont recueillis et conservés, et en empêchant le suivi de ces renseignements).

Responsable : PRAP

La vérification de l’âge et la vérification de l’identité

Notes d’allocution

  • La vérification de l’âge et la vérification de l’identité se distinguent nettement par leur objectif : l’une vise à établir votre âge, l’autre votre identité.
  • Il est possible pour un système de vérification de l’âge de déterminer (avec un degré de certitude raisonnablement élevé) si une personne a atteint un âge donné sans disposer d’autres renseignements à son sujet. Voilà comment devraient fonctionner les systèmes de vérification de l’âge protégeant la vie privée.
  • Il est important que la conception et l’utilisation de systèmes de vérification de l’âge n’augmentent pas également l’identifiabilité des personnes, ouvrant ainsi la voie au profilage ou au suivi de leurs activités sur Internet.

Contexte

  • La vérification de l’âge est un des aspects faisant partie du mécanisme de confirmation de l’âge.
  • Prouver son âge sans divulguer d’autres renseignements est une forme de « preuve à divulgation nulle de connaissance », un protocole qui permet à une personne de prouver la véracité d’une déclaration (par exemple, « j’ai plus de 18 ans ») sans divulguer d’autres renseignements.
  • Un exemple simple serait celui d’une personne disposant d’un portefeuille numérique sur son appareil, capable de générer un jeton confirmant qu’elle a déjà prouvé qu’elle avait plus de 18 ans, jeton qui pourrait alors servir de « preuve d’âge » à un service en ligne.
  • Selon nous, aucune juridiction ne recommande la vérification de l’identité (par opposition à la confirmation/vérification de l’âge) pour avoir accès à du contenu restreint.

Responsable : PRAP

Recours à des intermédiaires tiers

Notes d’allocution

  • On parle de confirmation de l’âge par un tiers lorsqu’un site Web ou une application s’appuie sur une autre entité pour établir l’âge d’une personne.
  • Nous n’avons examiné aucun service spécifique de confirmation de l’âge par un tiers et ne pouvons donc pas nous prononcer sur leurs forces ou leurs faiblesses particulières.
  • Toutefois, ces services joueront probablement un rôle important dans la confirmation de l’âge.
  • L’autorité de protection des données (APD) de la France recommande que la confirmation de l’âge « s’appuie sur des solutions tierces dont la validité a été vérifiée de manière indépendante ».
  • La confirmation de l’âge par un tiers peut protéger la vie privée, mais sans une conception et une surveillance adéquates, elle pourrait également permettre le suivi en ligne.
  • Tout tiers intermédiaire qui recueille, utilise ou communique des renseignements personnels dans le cadre d’une activité commerciale serait assujetti à la LPRPDE.

Contexte

  • En général, la confirmation de l’âge par un tiers fait référence à un processus par lequel un tiers établit l’âge (ou la tranche d’âge) d’une personne — par exemple, en vérifiant un document d’identité, en estimant l’âge ou en s’appuyant sur des informations que la personne a déjà fournies — et renvoie ensuite un signal au site Web ou à l’application d’origine en indiquant si la personne répond à ses exigences en matière d’âge.
  • L’APD de la France (CNIL) estime que la séparation des fonctions de délivrance de la preuve d’âge et de transmission de cette preuve d’âge certifiée crée une triple protection de la vie privée :
    • l’entité qui délivre la preuve d’âge connaît l’identité de l’internaute, mais pas le site qu’il visite;
    • l’entité qui transmet la preuve de l’âge peut connaître le site visité, mais pas l’identité de l’internaute;
    • le site visité connaît l’âge de l’utilisateur, mais pas son identité.

Responsable : PRAP

Utilisation de la reconnaissance faciale (RF) pour la vérification de l’âge

Notes d’allocution

  • L’estimation de l’âge du visage est une technologie émergente qui n’a pas encore atteint le degré de maturité observé dans d’autres applications de la RF. Elle est généralement utilisée pour des fourchettes d’âge (telles que « 13-18 »), plutôt que pour l’âge exact.
  • L’estimation de l’âge ne devrait pas donner lieu à la création d’une « empreinte faciale » unique et identifiable; cependant, la possibilité de créer une telle biométrie signifie qu’elle est généralement considérée comme un processus intrusif.
  • En outre des préoccupations en matière de protection de la vie privée, toutes les technologies de RF, y compris l’estimation de l’âge du visage, présentent un risque de biais. Par exemple, la vitesse à laquelle un visage « vieillit » est influencée par divers facteurs (p. ex. génétique, conditions environnementales, etc.) qui pourraient avoir une incidence sur les taux d’erreur ou avoir des répercussions disproportionnées sur certaines personnes.
  • Il est important de pondérer le caractère intrusif et le biais potentiel du recours à l’estimation de l’âge du visage par rapport aux avantages qu’on lui prête, en tenant compte de toutes les mesures d’atténuation des risques mises en place.

Contexte

  • Les préoccupations relatives au biais de la RF sont axées sur des taux d’erreur disparates fondés sur des données démographiques comme la race et le sexe. L’estimation de l’âge introduit d’autres sources de biais.
  • Il y a un manque de recherche sur l’efficacité des algorithmes dans des contextes réels; on ne sait pas comment ils fonctionnent dans des environnements non contrôlés présentant des problèmes comme un éclairage sous-optimal, des tentatives d’usurpation d’identité et l’utilisation de maquillage.
  • Le manque de données d’entraînement pour améliorer l’exactitude ou réduire les biais potentiels est exacerbé par la sensibilité associée à la collecte de renseignements personnels auprès de mineurs et d’enfants.
  • Le National Institute of Standards and Technology des États-Unis procède à l’évaluation des technologies d’analyse faciale afin d’évaluer leur précision. Les résultats de la dernière évaluation sont attendus pour mai ou juin 2024.
  • Au Canada — sauf au Québec, province qui s’est dotée d’un système de renseignements biométriques distincts —, la RF est régie par un ensemble disparate de lois. Étant donné que la RF utilise des renseignements personnels, son utilisation peut être assujettie à la LPRPDE et à la Loi sur la protection des renseignements personnels

Responsable : DAT

Utilisation de RPV pour contourner les exigences

Notes d’allocution

  • Au cours des dernières années, les réseaux privés virtuels (RPV) sont devenus de plus en plus accessibles et répandus.
  • Ils permettent de préserver la confidentialité et la sécurité des activités en ligne des individus en chiffrant leurs données, en les protégeant contre les outils de suivi en ligne et en dissimulant leur localisation.
  • Ils sont également utilisés par des organisations du monde entier pour permettre aux employés de se connecter à distance et en toute sécurité à un réseau d’entreprise.
  • Toutefois, cette même technologie pourrait permettre aux mineurs de contourner facilement les systèmes de vérification de l’âge en établissant une connexion dans un pays où aucune vérification n’est requise.
  • Il est donc nécessaire de prendre en compte l’efficacité des différents mécanismes de confirmation de l’âge, ainsi que leur degré d’intrusion, lors de l’évaluation de leurs avantages potentiels.

Contexte

  • Les RPV établissent une connexion sécurisée entre l’appareil de l’utilisateur, un fournisseur de RPV et Internet. Ils chiffrent le trafic Internet, masquent l’adresse IP réelle de l’utilisateur et l’acheminent par l’intermédiaire d’un serveur situé à l’endroit choisi par l’utilisateur avant de se connecter (par exemple, à un site Web).
  • Les RPV sont largement disponibles et faciles à utiliser. Les ressources en ligne expliquant comment contourner les restrictions sont très répandues (vidéos, forums, tutoriels, etc.).
  • Une étude réalisée en 2020 par une firme de recherche britannique (Young People, Pornography & Age-Verification) a révélé que 23 % des enfants interrogés connaissaient des méthodes potentielles pour contourner les mesures de restriction liées à l’âge, y compris les RPV. Les enfants les plus jeunes (âgés de 11 à 13 ans) étaient les moins susceptibles de connaître des solutions de contournement, mais leur connaissance augmente avec l’âge (25 % des 14-15 ans et 33 % des 16-17 ans étaient au courant).
  • Certains grands fournisseurs de contenu en ligne, comme Netflix, ont élaboré des stratégies pour détecter et empêcher l’utilisation de RPV afin de contourner les restrictions de contenu basées sur la localisation (avec une efficacité limitée ou incertaine).

Responsable : DAT

Le chiffrement, une protection efficace

Notes d’allocution

  • Le chiffrement est une mesure de protection fondamentale qui protège la confidentialité, l’intégrité et l’authenticité des données personnelles et des identités numériques en transit sur Internet et au repos. Il constitue la pierre angulaire de la protection de la vie privée et de la sécurité en ligne.
  • L’efficacité du chiffrement dépend de plusieurs facteurs, notamment des algorithmes de chiffrement utilisés, de la longueur des clés, des méthodes de gestion des clés et de leur mise en œuvre. L’intégrité du système sous-jacent au sein duquel le chiffrement est utilisé est également primordiale pour garantir la confidentialité, l’intégrité et l’authenticité.
  • Le chiffrement à lui seul ne suffit pas à protéger les données d’un individu ou d’une entreprise. Il ne remplace pas une stratégie complète de protection des données, avec un éventail de mesures de sécurité pour prévenir ou atténuer les conséquences d’une atteinte à la sécurité.
  • Le chiffrement reste l’un des meilleurs outils disponibles pour protéger la vie privée en ligne, mais nous devons continuer à chercher des moyens nouveaux et novateurs.
  • Tous les systèmes de vérification de l’âge engendreront des risques différents pour la vie privée et la sécurité en fonction de la manière, du lieu et de la durée de stockage des données de l’utilisateur.

Contexte

  • Le chiffrement peut être utilisé pour protéger les données stockées (« au repos ») ou envoyées (« en transit ») entre les appareils des utilisateurs et les serveurs, les images, les pièces d’identité, les données biométriques, les numéros de carte de crédit, les numéros d’assurance sociale, ainsi que les journaux de sécurité et d’audit.
  • La minimisation des données, les techniques de chiffrement avancées (comme les preuves à divulgation nulle de connaissance qui vérifient l’âge sans révéler d’informations supplémentaires) et des contrôles d’accès rigoureux sont d’autres mesures de protection importantes.

Responsable : DAT

Pratiques exemplaires internationales

Notes d’allocution

  • Les pratiques exemplaires relatives à la conception et à l’utilisation d’outils de confirmation de l’âge sont encore en développement.
  • Les autorités chargées de la protection des données en Espagne, en France et au Royaume-Uni ont toutes publié d’importants documents d’orientation sur le sujet. Les principes clés comprennent les informations suivantes :
    • la confirmation de l’âge ne doit pas conduire à un suivi en ligne, à la divulgation ou à la réutilisation de renseignements personnels;
    • la collecte des renseignements personnels doit se limiter à l’information nécessaire.
  • Les autorités espagnoles et françaises chargées de la protection des données ont collaboré avec des chercheurs pour élaborer des validations de principe pour les systèmes de confirmation de l’âge respectueux de la vie privée.
  • Nous surveillons également l’élaboration de normes par des groupes, comme l’Organisation internationale de normalisation (ISO), le British Standards Institute et l’Institut canadien des normes de gouvernance numérique.

Contexte

  • Normes de référence pour la confirmation de l’âge :
    • ISO/IED WD 27566 – Systèmes de confirmation de l’âge (en cours de développement);
    • British Standards Institute (BSI) PAS 1296:2018 - Online Age Checking (Vérification de l’âge en ligne) - Code of Practice (Code de pratique);
    • Institut canadien des normes de gouvernance numérique - Comité technique 18 - Vérification de l’âge.
  • Bien qu’elles présentent de grandes similitudes, les lignes directrices espagnoles, françaises et britanniques relatives à la confirmation de l’âge n’ont pas de points communs significatifs dans les principes énumérés (autres que ceux mentionnés).

Responsable : PRAP

Groupe de travail international sur la confirmation de l’âge

Notes d’allocution

  • La collaboration internationale sur la confirmation de l’âge est essentielle compte tenu du défi que représente l’élaboration de principes, de codes et de normes pour les sites Web et les services accessibles dans plusieurs pays.
  • Les autorités chargées de la protection des données dans le monde entier réfléchissent encore à la manière d’aborder au mieux la confirmation de l’âge en ligne en tenant compte de ses implications sur la protection de la vie privée.
  • Le Commissariat est membre d’un groupe de travail international sur la confirmation de l’âge présidé par le Commissariat à l’information du Royaume-Uni. Nous participons à ce groupe depuis juillet 2022.
  • Parmi les autres membres de ce groupe figurent les autorités de protection des données d’Australie, de Belgique, d’Irlande, de France, d’Allemagne, d’Espagne, du Portugal, de la Slovénie, de Chypre, du Maroc, des États-Unis, du Mexique, de Singapour et du Japon.
  • Le groupe de travail prévoit de publier une déclaration commune sur les principes de vérification de l’âge plus tard cette année.

Contexte

  • Le groupe de travail international sur la confirmation de l’âge se réunit deux ou trois fois par an. La dernière réunion du groupe de travail a eu lieu le 2 mai et la prochaine réunion aura lieu plus tard cet été.
  • Les objectifs du groupe de travail sont les suivants :
    • partager des renseignements sur les approches relatives à la confirmation de l’âge entre les autorités chargées de la protection des données, y compris leur précision et leur efficacité;
    • promouvoir l’harmonisation des approches stratégiques en matière de confirmation de l’âge, dans la mesure du possible;
    • élaborer une déclaration commune sur la confirmation de l’âge.
  • La date de publication de la déclaration commune des principes sur la confirmation de l’âge n’a pas été fixée, mais le Commissariat à l’information a récemment annoncé son intention de publier les principes lors de la conférence des autorités chargées de la protection des données qui aura lieu ce printemps (du 14 au 16 mai 2024).

Responsable : PRAP

État d’avancement de la mise en œuvre de l’identification numérique au Canada

Notes d’allocution

  • Tout comme la confirmation de l’âge, l’identification numérique peut également comporter des risques pour la vie privée, notamment la surcollecte potentielle de renseignements personnels et l’augmentation de l’incidence accrue de l’usurpation d’identité, de la fraude et d’autres préjudices.
  • Des initiatives en matière d’identité numérique sont mises en œuvre dans tout le pays afin d’élargir, de simplifier et de sécuriser l’accès des Canadiens aux services publics et commerciaux.
  • Actuellement, il n’existe pas de carte d’identité numérique unique délivrée par le gouvernement et accessible à tous les Canadiens; la BCeID de la Colombie-Britannique est la carte d’identité numérique délivrée par le gouvernement la plus avancée parmi les provinces et les territoires.
  • En 2002, mes homologues provinciaux et territoriaux et moi-même avons publié une résolution visant à garantir le droit à la vie privée et à la transparence dans l’écosystème de l’identité numérique au Canada, afin d’orienter le développement de toute initiative en matière d’identité numérique au Canada.

Contexte

  • De nombreuses administrations du Canada ont émis une carte d’identité numérique permettant d’accéder à des services en ligne, notamment Terre-Neuve-et-Labrador (MyGovNL), la Nouvelle-Écosse (MyAccountNS), l’Ontario (ONe-key), le Yukon (MyYukon), le Québec (clicSÉQUR) et les Territoires du Nord-Ouest (NTKey).
  • Outre l’Alberta et la Colombie-Britannique, le Québec poursuit activement la mise en place d’un système d’identification numérique qui délivrerait des justificatifs (identité, photo et adresse) aux fins de stockage dans un portefeuille numérique.
  • Dans d’autres juridictions, les travaux sur les systèmes d’identification numérique ont été interrompus ou n’ont pas progressé au cours des dernières années.
  • Cependant, de nombreux éléments d’un écosystème d’identification numérique sont largement disponibles. Par exemple, les Canadiens peuvent s’authentifier auprès de l’Agence du revenu du Canada à l’aide de justificatifs numériques délivrés par la Colombie-Britannique ou l’Alberta, ou à l’aide de justificatifs bancaires en ligne.
  • Les commissaires fédéraux, provinciaux et territoriaux à la protection de la vie privée du Canada suivent conjointement les développements dans le domaine de l’identité numérique par l’intermédiaire du groupe de travail sur l’identité numérique, que nous présidons.

Responsable : PRAP

Point de vue des commissaires FPT sur l’identification numérique

Notes d’allocution

  • La conception et l’exploitation d’un écosystème d’identité numérique constituent une occasion en or de démontrer comment l’innovation et la protection de la vie privée peuvent coexister.
  • En septembre 2022, les commissaires fédéraux, provinciaux et territoriaux à la protection de la vie privée du Canada ont publié une résolution commune visant à garantir le droit à la vie privée et à la transparence dans l’écosystème de l’identification numérique au Canada.
  • Cette résolution réitère notre engagement à collaborer les uns avec les autres, avec les gouvernements et avec les autres parties intéressées afin de s’assurer que l’identification numérique soit conçue et mise en œuvre de manière responsable au Canada.
  • Dans le cadre de cette résolution, on dresse également une liste non exhaustive des propriétés souhaitables pour les écosystèmes, des droits et des recours individuels, ainsi que des mesures de gouvernance et de surveillance à prendre en considération.

Contexte

  • Mesures sélectionnées dans la résolution commune :
    • une évaluation des facteurs relatifs à la vie privée doit être réalisée dès les premières phases de conception, de développement et de mise à jour d’un projet d’identification numérique;
    • l’identification numérique ne doit pas être utilisée pour des services qui pourraient être offerts sur une base anonyme;
    • les écosystèmes d’identification numérique ne doivent pas permettre le suivi, la traçabilité ou l’utilisation de la carte d’identité à d’autres fins;
    • la participation individuelle doit être volontaire;
    • les gouvernements devraient mettre en place des mécanismes de responsabilité clairs.
  • À la suite de la publication de cette résolution, les commissaires FPT ont convoqué un groupe de travail sur l’identité numérique afin de renforcer la collaboration et le partage d’informations.

Responsable : PRAP

Mesures du Commissariat en matière de protection et de promotion de la vie privée des enfants

Notes d’allocution

  • L’une de mes principales priorités stratégiques est de veiller à ce que la vie privée des enfants soit protégée et à ce que les jeunes comprennent et puissent exercer leurs droits en matière de vie privée.
  • Le plan stratégique du Commissariat détaille les domaines d’intérêt spécifiques et les diverses initiatives qu’il entreprendra au cours des trois prochaines années pour contribuer à la réalisation de cette priorité.
  • L’année dernière, mes homologues de l’Alberta, du Québec, de la Colombie-Britannique et moi-même avons lancé une enquête sur TikTok afin de déterminer si les pratiques de l’entreprise sont conformes à la législation relative à la protection de la vie privée, en mettant l’accent sur leurs pratiques en matière de protection de la vie privée des jeunes utilisateurs.
  • Par ailleurs, en octobre dernier, mes homologues provinciaux et territoriaux et moi-même avons publié une résolution commune appelant les gouvernements et les organisations à faire passer les intérêts des jeunes en premier et recommandant l’adoption de pratiques spécifiques à cette fin.
  • Cette année, le Commissariat prévoit de mener des consultations sur les directives relatives à la confirmation de l’âge et sur d’autres questions liées à la protection de la vie privée des enfants.

Contexte

  • Conformément au plan stratégique du CPVP, nous développerons davantage notre expertise en menant des recherches et des activités de sensibilisation auprès des jeunes afin de cerner les atteintes à la vie privée et de mieux comprendre leur perception des droits à la vie privée.
  • La protection de la vie privée des enfants était l’un des principaux thèmes de l’appel de propositions 2024-2025 du Commissariat pour le programme de contributions. Cette initiative permettra de financer d’importantes recherches visant à améliorer notre compréhension de la vie privée des jeunes au cours de l’année à venir.
  • Le CPVP est membre du groupe de travail sur l’éducation au numérique de l’Assemblée mondiale sur la protection de la vie privée et d’un groupe de travail international sur la confirmation de l’âge, où il collabore et partage les meilleures pratiques avec ses homologues internationaux.

Responsable : PRAP

Points de vue des parties prenantes sur le projet de loi S-210

Notes d’allocution

  • Comme l’ont souligné de nombreuses parties prenantes, la vérification de l’âge dans un environnement en ligne peut avoir des conséquences importantes sur la vie privée et d’autres droits humains fondamentaux.
  • Dans une certaine mesure, le projet de loi S-210 reconnaît ce fait en établissant différents critères que le gouverneur en conseil doit prendre en compte lors de l’élaboration des règlements, notamment la question de savoir si le mécanisme de vérification de l’âge préserve la vie privée de l’utilisateur.
  • Toutefois, pour atténuer davantage les risques d’atteinte à la vie privée, je conviens que ces critères peuvent et doivent être renforcés, notamment en ajoutant les principes de nécessité et de proportionnalité.
  • Je suis aussi d’accord avec certaines parties prenantes qui estiment que la portée du projet de loi est trop large, ce qui augmente la probabilité et l’impact potentiel de conséquences imprévues sur la vie privée et d’autres droits de la personne.

Contexte

  • Dans des documents d’information ou lors de comparutions devant le Comité, certaines parties prenantes ont exprimé leur soutien au projet de loi S-210 (notamment certaines organisations confessionnelles, des groupes de défense des droits des femmes et des associations de parents). Cependant, beaucoup d’autres, y compris des universitaires, des défenseurs d’un Internet ouvert et d’autres représentants de la société civile, ont vivement critiqué le projet de loi tel qu’il est rédigé.
  • Les critiques se sont généralement concentrées sur la vaste portée du projet de loi S‑210, le recours au blocage de sites Web, les questions liées à la vérification de l’âge (notamment la précision, l’efficacité et l’impact sur la vie privée des différents mécanismes) et l’adoption de mesures d’atténuation des risques.
  • Lors de l’examen article par article dans l’autre Chambre, le projet de loi S-210 a été modifié afin d’inclure plusieurs critères que le gouverneur en conseil doit prendre en compte lorsqu’il prescrit des mécanismes de vérification de l’âge par voie réglementaire, en vue de limiter les risques pour la vie privée. Certaines parties prenantes ont fait valoir que ces critères n’allaient pas assez loin.
  • Étant donné que le projet de loi S-210 obligerait effectivement un large éventail de services à mettre en œuvre un mécanisme de vérification de l’âge afin de pouvoir invoquer la défense selon laquelle ils croient que leurs utilisateurs sont des adultes, certaines parties prenantes ont également fait valoir que cela pourrait décourager les Canadiens de rechercher, de recevoir et de transmettre certaines formes de discours légaux et protégés par la Constitution, par souci de protection de leur vie privée.

Responsable : PRAP

Projet de loi C-63 (loi sur les préjudices en ligne)

Notes d’allocution

  • Le gouvernement a déposé le projet de loi C-63, la loi sur les préjudices en ligne, dont l’objectif déclaré est de tenir les plateformes de médias sociaux responsables du traitement des contenus préjudiciables sur leurs plateformes et de créer un espace en ligne plus sûr qui protège toutes les personnes au Canada, en particulier les enfants.
  • J’ai fait de la défense du droit à la vie privée des enfants une priorité stratégique du Commissariat, car les enfants doivent pouvoir naviguer en toute sécurité dans les espaces en ligne.
  • Cette priorité concerne des aspects du projet de loi C-63, tel que l’obligation de protéger les enfants et certaines caractéristiques de conception pour la protection des enfants qui pourraient devoir être intégrées dans les services, comme la conception adaptée à l’âge.
  • Je me réjouis d’avoir l’occasion de discuter des implications du projet de loi C-63 en matière de protection de la vie privée si je suis appelé à commenter le projet de loi devant le Parlement.

Contexte

  • Si les projets de loi C-63 et S-210 visent tous deux à prévenir les préjudices, le projet de loi S-210 a pour objectif d’empêcher les organisations de diffuser du matériel sexuellement explicite à des mineurs. Quant au projet de loi C-63, son objectif de prévention des préjudices bien que similaire est plus vaste, se concentrant sur l’atténuation précoce des préjudices, et diffère par les mécanismes qu’il utilise pour tenir les organisations responsables.
  • Le projet de loi C-63 contribuerait à empêcher la diffusion d’images intimes partagées sans consentement et de contenus qui victimisent sexuellement un enfant ou revictimisent un survivant.
  • Le projet de loi C-63 prévoit l’obligation de protéger les enfants. Dans le cadre de cette obligation, l’article 65 stipule que « L’exploitant intègre au service réglementé qu’il exploite toute caractéristique de conception relative à la protection des enfants prévue par règlement, telle que des caractéristiques de conception adaptées à l’âge. »
    • Le paragraphe 140(o) précise que les règlements concernant les caractéristiques de conception peuvent inclure des paramètres de confidentialité pour les enfants.
  • Le projet de loi S-210 érige en infraction le fait qu’une organisation rende accessible aux jeunes du matériel sexuellement explicite sur Internet.

Responsable : PRAP

Enquête sur Aylo

Notes d’allocution

  • En février 2024, le Commissariat a clôturé l’enquête à la suite d’une plainte déposée contre Aylo (anciennement MindGeek), l’entreprise qui exploite Pornhub et d’autres sites pornographiques populaires.
  • La plainte a été déposée par une femme dont l’ex-partenaire avait téléversé une vidéo et des images intimes d’elle ainsi que d’autres renseignements permettant de l’identifier sur Pornhub et d’autres sites appartenant à Aylo, et ce, sans qu’elle le sache et sans son consentement.
  • Notre principale conclusion est qu’Aylo n’a pas obtenu le consentement de la plaignante avant d’autoriser le téléchargement et la divulgation de ses images.
  • Nous avons formulé un certain nombre de recommandations, notamment qu’Aylo cesse de partager des contenus intimes créés par les utilisateurs jusqu’à ce qu’elle mette en œuvre des mesures permettant d’obtenir le consentement explicite et significatif de chaque personne apparaissant dans les contenus téléchargés.
  • Nous sommes actuellement en pourparlers avec Aylo afin d’obtenir un engagement à mettre en œuvre des mesures qui seront conformes à nos recommandations et à la législation canadienne en matière de protection de la vie privée.

Contexte

  • En mai 2023, alors que le rapport des conclusions de l’enquête était sur le point d’être achevé, Aylo a déposé une demande de contrôle judiciaire auprès de la Cour fédérale afin de contester nos conclusions et recommandations et de nous empêcher de finaliser et de publier le rapport.
    • Aylo n’a finalement pas obtenu gain de cause et le Commissariat est en mesure de publier le rapport final.
  • En mars 2024, après la publication de notre rapport, Aylo a publié un blogue dans lequel elle indique qu’elle a apporté des modifications à ses exigences en matière de consentement des « co-exécutants » en janvier 2024.
  • Nous sommes actuellement en discussion avec Aylo pour déterminer si ces changements sont conformes à nos recommandations et à la législation canadienne sur la protection de la vie privée.

Responsable : Services de conformité

Enquête sur TikTok

Notes d’allocution

  • En février 2023, le Commissariat et ses homologues du Québec, de la Colombie-Britannique et de l’Alberta ont lancé une enquête conjointe sur TikTok.
  • Nous établirons si les pratiques de TikTok sont conformes aux lois canadiennes sur la protection des renseignements personnels et, plus précisément, si TikTok a obtenu un consentement éclairé pour la collecte, l’utilisation et la communication de renseignements personnels.
  • Compte tenu de l’importance de protéger la vie privée des enfants, qui demeure l’une des priorités stratégiques du Commissariat, l’enquête conjointe s’est concentrée en particulier sur les pratiques de TikTok en matière de protection de la vie privée des jeunes utilisateurs.
  • Nous prévoyons de publier les résultats de l’enquête dans les prochains mois.

Contexte

  • L’enquête sur TikTok s’inscrit dans la foulée de recours collectifs, désormais réglés, aux États-Unis et au Canada, et de nombreux reportages dans les médias concernant la collecte, l’utilisation et la communication de renseignements personnels par TikTok.
  • Le paragraphe 11(2) de la LPRPDE stipule que « Le commissaire peut lui-même prendre l’initiative d’une plainte s’il a des motifs raisonnables de croire qu’une enquête devrait être menée sur une question relative à l’application de la présente partie. »
  • En collaborant avec ses homologues provinciaux, le Commissariat est en mesure de tirer parti de ses ressources limitées et de ses capacités distinctes et de mettre en commun les pratiques exemplaires et forces relatives afin d’appliquer de manière plus efficace les lois sur la protection de la vie privée dans l’ensemble des provinces et des territoires.
  • Les renseignements des enfants sont particulièrement sensibles, nécessitent une attention bien précise et requièrent des mesures accrues de protection des renseignements personnels. S’il n’est pas réaliste de s’attendre à ce que les adultes comprennent les formulaires de consentement et les règles complexes en matière de protection de la vie privée, et à ce qu’ils en assument la responsabilité, il est tout simplement inacceptable d’imposer ce fardeau aux enfants.

Responsable : Services de conformité

Table des matières

Comparaison entre le projet de loi S-210 et le projet de loi S-203

Définition de « jeune »

Disposition d’infraction

Approches en matière de vérification de l’âge en ligne dans d’autres pays

Litige concernant Aylo

Point de vue du CPVP sur la vérification de l’âge

Risques d’entrave à la vie privée liés à la vérification de l’âge

La vérification de l’âge et la vérification de l’identité

Recours à des intermédiaires tiers

Utilisation de la reconnaissance faciale (RF) pour la vérification de l’âge

Utilisation de RPV pour contourner les exigences

Le chiffrement, une protection efficace

Pratiques exemplaires internationales

Groupe de travail international sur la confirmation de l’âge

État d’avancement de la mise en œuvre de l’identification numérique au Canada

Point de vue des commissaires FPT sur l’identification numérique

Mesures du Commissariat en matière de protection et de promotion de la vie privée des enfants

Points de vue des parties prenantes sur le projet de loi S-210

Projet de loi C-63 (loi sur les préjudices en ligne)

Enquête sur Aylo

Enquête sur TikTok

Date de modification :