Les leçons du rapport TikTok – Partie 2 : La biométrie

Par Sabrina Roy, Avocate

Après avoir examiné, dans la première partie, les enjeux liés à l’efficacité des mécanismes de vérification de l’âge et à la validité du consentement, le second volet de notre analyse reprend le Rapport d’enquête sur TikTok Pte. Ltd.^[1] (« TikTok »), publié à la fin de 2025 par le Commissariat à la protection de la vie privée du Canada (« CPVP »), la Commission d’accès à l’information du Québec (« CAI »), ainsi que leurs homologues de la Colombie-Britannique et de l’Alberta (collectivement, les « Commissaires »).

Dans la continuité des constats formulés précédemment, ce second volet porte sur l’utilisation par TikTok de technologies d’estimation de l’âge fondées sur l’analyse des traits faciaux, ainsi que sur leur qualification juridique en tant que renseignements biométriques. Ce débat met en lumière une tension entre l’innovation technologique et les exigences en matière de protection de la vie privée.

A.   La position de TikTok : une conception restrictive de la biométrie

Dans le cadre de l’évaluation du consentement à l’utilisation de renseignements biométriques, les Commissaires examinent le système d’estimation de l’âge utilisé par TikTok pour personnaliser le fil « Pour toi » et à diverses fins commerciales.

Les Commissaires relèvent à cet égard que ces technologies, bien qu’utilisées à des fins de personnalisation, de modération et de ciblage, ne sont pas mobilisées pour empêcher l’accès à la plateforme des utilisateurs n’ayant pas l’âge minimum requis[2].

Ce système repose sur l’analyse des vidéos publiées en ligne: un algorithme détecte la présence d’un visage, puis un réseau neuronal convolutif extrait certaines caractéristiques faciales mesurables pour les classer par tranche d’âge (ex. 0–3 ans, 4–15 ans, etc.).

TikTok affirme que les données faciales intermédiaires sont supprimées à chaque étape du processus, de sorte qu’aucune image, signature biométrique ou représentation numérique du visage n’est conservée. Seule l’estimation finale de la tranche d’âge est conservée et associée à la vidéo, sans être liée au compte d’un utilisateur. Sur cette base, TikTok soutient que sa technologie ne constitue pas de la biométrie au sens des Lois canadiennes applicables. À son avis, la biométrie suppose nécessairement la capacité d’identifier ou d’authentifier un individu, ce que son modèle ne permettrait pas, celui-ci se limitant à une classification par tranche d’âge^[3].

TikTok avance plusieurs arguments afin de soutenir sa position. Notamment, elle se réfère au guide de la CAI, selon lequel la biométrie désigne les techniques d’analyse de caractéristiques uniques d’une personne « afin de déterminer ou de prouver son identité »^[4]. Les Commissaires rejettent toutefois cet argument en rappelant que cette définition est tirée d’un guide conçu spécifiquement pour l’application des articles 44 et 45 de la Loi concernant le cadre juridique des technologies de l’information^[5], qui portent précisément sur la vérification ou la confirmation de l’identité d’une personne. On remarquera aussi que cette définition est introduite par la mention « À travers ce guide, la biométrie désigne… »^[6], ce qui indique clairement que la définition n’a pas vocation à définir la biométrie au sens général. Les Commissaires rappellent d’ailleurs que le guide de la CAI lui-même reconnaît que des mesures biométriques peuvent être utilisées « à d’autres fins que la vérification ou la confirmation de l’identité »^[7].

TikTok soulève ensuite l’enquête sur La Corporation Cadillac Fairview limitée (« Cadillac Fairview »)^[8], qui reposait notamment sur l’utilisation de la technologie AVA, qui captait temporairement des images faciales, les convertissait en représentations numériques biométriques, puis les utilisait pour estimer l’âge et le sexe des personnes filmées.

Dans ce cas, même si aucune preuve d’utilisation à des fins d’identification n’avait été établie, les Commissaires avaient tout de même conclu à la collecte de renseignements biométriques « [sic] parce que ces renseignements proviennent uniquement d’une personne identifiable particulière et pourrai[en]t servir […] à faire la distinction entre différentes personnes »^[9] . C’est sur ce point que repose l’argument de TikTok: si la qualification dans Cadillac Fairview dépendait de la possibilité d’identification, alors que sa propre technologie, qui ne conserve qu’une note d’âge et ne permet pas de distinguer entre les utilisateurs, ne devrait pas relever de cette catégorie.

Une telle interprétation n’est toutefois pas neutre sur le plan juridique. En limitant la biométrie aux seuls cas où une identification est possible, cela aurait potentiellement pour effet d’exclure ces traitements du champ d’application des obligations plus strictes associées aux renseignements personnels sensibles, notamment en matière de consentement, de transparence et de limitation des fins. Autrement dit, la qualification proposée par TikTok a pour effet de réduire significativement le niveau de protection applicable à ces technologies.

B. La réponse des Commissaires : une conception élargie de la biométrie

Si cette lecture par TikTok n’est pas nécessairement déraisonnable, elle repose toutefois sur une compréhension partielle de la notion. Dans son guide de 2025, le CPVP précise que la biométrie vise la « quantification de caractéristiques humaines en termes mesurables »^[10], et peut être utilisée pour classifier, ce qui inclut l’analyse de la géométrie faciale à des fins non identificatoires. Ainsi, bien que Cadillac Fairview porte sur des représentations biométriques identifiables, cela n’exclut pas d’autres formes de biométrie, comme celle utilisée par TikTok pour la classification par âge.

C’est dans cette optique que les Commissaires rejettent cette interprétation par TikTok en affirmant que « le terme ‘’renseignements biométriques’’ ne devrait pas se limiter aux renseignements permettant une identification »^[11]. Ils acceptent que la technologie utilisée par TikTok ne vise pas à identifier ou authentifier une personne, mais soulignent qu’elle repose sur l’analyse de représentations numériques de caractéristiques physiologiques de personnes.

Par ailleurs, ils précisent qu’un renseignement biométrique peut soulever des enjeux de vie privée même en l’absence d’identification précise, notamment s’il permet de déduire des renseignements supplémentaires, tels que l’âge ou le genre, qui peuvent devenir sensibles notamment s’ils diffèrent de l’identité déclarée par l’utilisateur^[12].

Dans ce contexte, les Commissaires soulignent que, même en l’absence d’identification, l’utilisation de renseignements biométriques peut permettre de déduire des renseignements sensibles, ce qui entraîne des exigences accrues en matière de consentement. En l’espèce, ils concluent que la documentation rendue disponible par TikTok ne permet pas aux utilisateurs de comprendre de façon raisonnable la nature, les fins et les conséquences de ces traitements, de sorte que le consentement obtenu ne peut être considéré comme valable[13].

Conclusion

En somme, ce rapport d’enquête concernant TikTok met en lumière une problématique plus globale que la qualification de la biométrie ou la détermination d’un âge minimal. Comme l’a également souligné la Commission spéciale sur les impacts des écrans et des réseaux sociaux sur la santé et le développement des jeunes[14], le cœur du problème est systémique : un modèle d’affaires visant l’engagement maximal des jeunes, conjugué à des mécanismes de vérification inefficaces. Par conséquent, la solution nécessite une responsabilisation accrue des plateformes et un encadrement qui privilégie la proportionnalité et la protection par défaut (privacy by design[15]).

Le texte intégral du rapport est disponible ici.

---

^[1] COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Enquête conjointe sur TikTok Pte. Ltd. menée par le Commissariat à la protection de la vie privée du Canada, la Commission d’accès à l’information du Québec, le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique et le Commissariat à l’information et à la protection de la vie privée de l’Alberta, 23 septembre 2025, en ligne: <https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/enquetes/enquetes-visant-les-entreprises/2025/lprpde-2025-003/#fn23-rf>.

[2] COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, préc. note 1, par. 62 et 111-115.

^[3] COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, préc. note 1, par. 60-63.

^[4] COMMISSION D’ACCÈS À L’INFORMATION DU QUÉBEC, Biométrie : principes à respecter et obligations légales des organisations – Guide d’accompagnement pour les organismes publics et les entreprises, 2022, en ligne: <https://www.cai.gouv.qc.ca/uploads/pdfs/CAI_GU_Biometrie_ Organisations.pdf?v=1741812407>.

^[5] RLRQ, c. C-1.1 (« LCCJTI »).

^[6] COMMISSION D’ACCÈS À L’INFORMATION DU QUÉBEC, préc., note 3.

^[7] Ibid.

^[8] COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Enquête conjointe sur La Corporation Cadillac Fairview limitée par le commissaire à la protection de la vie privée du Canada, la commissaire à l’information et à la protection de la vie privée de l’Alberta et le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique, 28 octobre 2020, en ligne: <https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/enquetes/enquetes-visant-les-entreprises /2020/lprpde-2020-004/>.

^[9] Ibid., par. 65 :

« … En nous fondant sur les observations de la CCFL et de Mappedin concernant l’utilisation du logiciel FaceNet pour détecter et différencier les visages pendant le processus de collecte, nous avons déterminé que ces représentations numériques sont créées par FaceNet pour identifier un certain nombre de traits faciaux, qui permettraient normalement au logiciel de reconnaître des personnes spécifiques. »

[Nos soulignements].

^[10] COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Document d’orientation à l’intention des institutions fédérales sur le traitement des renseignements biométriques, 2025, en ligne: <https://www.priv.gc.ca/fr/sujets-lies-a-la-protection -de-la-vie-privee/renseignements-sur-la-sante-renseignements-genetiques-et-autres-renseignements-sur-le-corps/biometrie/gd_bio_fed-final/>.

^[11] COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, préc., note 1, par. 117.

^[12] Ibid., par. 119.

[13] Ibid., par. 119-122.

[14] ASSEMBLÉE NATIONALE DU QUÉBEC, Rapport de la Commission spéciale sur les impacts des écrans et des réseaux sociaux sur la santé et le développement des jeunes, 2025, en ligne: <https://www.assnat.qc.ca/fr/document/211813.html>.

[15] Voir, entre autres : COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Data Privacy Week 2026: Prioritizing privacy by design, 19 janvier 2026, en ligne : <https://www.priv.gc.ca/en/for-federal-institutions/privacy-act-bulletins/pab_20260119/>.