Enquête sur les pratiques de conservation des renseignements personnels de Loblaw pour le programme de fidélité PC Optimum

Conclusions en vertu de la LPRPDE no 2026-001

Le 5 mars 2026

Plainte en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)

Points à retenir de l’enquête sur Loblaw

Une enquête menée par le Commissaire à la protection de la vie privée du Canada sur des plaintes contre les Compagnies Loblaw limitée concernant la conservation de l’historique des achats des anciens membres du programme de fidélité PC Optimum souligne l’importance de s’assurer que les données dépersonnalisées ne puissent être de nouveau associées à un individu.

L’article 4.5.3 figurant au cinquième principe de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) prévoit que l’on devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin aux fins précisées. Lorsqu’une organisation choisit de dépersonnaliser les renseignements personnels plutôt que de les détruire ou de les effacer, il lui incombe de s’assurer et de démontrer que les renseignements sont suffisamment dépersonnalisés.
Pour que les renseignements soient considérés comme dépersonnalisés aux fins de l’article 4.5.3 figurant au cinquième principe de la LPRPDE, les organisations doivent prendre des mesures pour veiller à ce qu’il n’existe aucune possibilité sérieuse que les renseignements conservés puissent permettre la réidentification des personnes concernées, soit en les utilisant seuls ou en combinaison avec d’autres renseignements disponibles.
Veiller à ce que le risque de réidentification soit suffisamment faible est un processus continu, puisque les techniques de réidentification peuvent être améliorées au fil du temps et que de nouvelles données peuvent venir s’ajouter, ce qui peut accroître le risque.
Le fait de ne pas répondre pleinement en temps opportun aux préoccupations relatives à la protection de la vie privée constitue une violation de l’article 4.10 figurant au dixième principe de la LPRPDE, qui prévoit que toute personne doit être en mesure de se plaindre du non-respect des principes de protection de la vie privée en communiquant avec la personne responsable de les faire respecter au sein de l’organisation concernée.

Rapport de conclusion

Vue d’ensemble

Depuis mai 2024, le Commissariat à la protection de la vie privée du Canada (le Commissariat) reçoit des plaintes contre Loblaw concernant des problèmes liés à la suppression de comptes du programme de fidélité PC Optimum. Les suppressions de comptes semblent être liées à un mouvement de boycottage contre Loblaw et ses magasins affiliés^{Note de bas de page 1}, lancé par un groupe Reddit^{Note de bas de page 2}.
Les Compagnies Loblaw limitée est la société mère qui supervise toutes les marques et les activités de Loblaw, y compris les magasins Loblaws, Real Canadian Superstore, No Frills et Shoppers Drug Mart/Pharmaprix. Loblaws inc. est une marque de supermarché détenue par Les Compagnies Loblaw limitée. Le programme de fidélité PC Optimum (ci-après appelé PC Optimum ou le Programme) est géré par Services le Choix du Président inc. (SCPI), une filiale de Loblaws inc. Aux fins du présent rapport, nous appellerons collectivement ces sociétés Loblaw.
Le Programme compte plus de 17 millions de membres à l’échelle du Canada. L’adhésion au programme de fidélité est volontaire et gratuite. Les clients peuvent accumuler des points lorsqu’ils achètent des produits dans les magasins participants et auprès de participants au programme tiers. Les membres peuvent échanger leurs points lors du paiement de leurs achats admissibles dans tout magasin participant ou sur tout site Web exploité par Loblaw.
Les individus peuvent choisir de s’inscrire au Programme sans fournir leur nom (ou tout autre renseignement personnel) en récupérant une carte physique PC Optimum dans l’un des magasins participants. Ils peuvent également s’inscrire à un compte PC Optimum en ligne en créant un identifiant de connexion (adresse courriel et mot de passe) et en fournissant leur prénom à partir de l’application PC Optimum ou du site Web de PC Optimum^{Note de bas de page 3}.
Le Commissariat a accepté un total de six plaintes contre Loblaw dans lesquelles toutes les parties plaignantes ont soutenu qu’elles n’étaient pas en mesure de supprimer leur compte PC Optimum, y compris l’historique des achats associés, et que Loblaw n’avait pas répondu à leurs demandes de suppression.
Après avoir reçu ces plaintes, le Commissariat a lancé une enquête pour déterminer si :
1. Loblaw donne suite aux plaintes en matière de protection de la vie privée déposées par les intéressés concernant la suppression de leur compte PC Optimum d’une manière conforme à l’article 4.10 figurant au dixième principe de la LPRPDE portant sur la possibilité de porter plainte à l’égard du non-respect des principes (enjeu 1);
2. Loblaw ne conserve les renseignements personnels qu’aussi longtemps que nécessaire lorsqu’un membre supprime son compte PC Optimum, conformément aux exigences de la LPRPDE liées à la conservation (enjeu 2).
En ce qui concerne la conformité de Loblaw à l’article du principe de la LPRPDE portant sur la possibilité de porter plainte à l’égard du non-respect des principes, nous avons déterminé que Loblaw dispose de mécanismes permettant aux membres de demander la suppression de leur compte PC Optimum et de soulever les enjeux en matière de protection de la vie privée. Loblaw a expliqué que les demandes de suppression ont été reçues à un moment où l’entreprise connaissait un volume sans précédent de questions et de demandes de la part de ses clients. Cependant, étant donné qu’il a fallu un temps déraisonnable à Loblaw pour traiter ces demandes de suppression et que l’entreprise n’a pas donné suite à certaines demandes de renseignements liées à la protection de la vie privée, nous concluons que Loblaw a contrevenu à l’article 4.10 figurant au dixième principe de la LPRPDE. Cela dit, au cours de l’enquête, Loblaw a pris des mesures pour améliorer ses procédures afin de veiller à ce qu’elles permettent de répondre rapidement à toutes les préoccupations en matière de protection de la vie privée. Nous estimons que cet élément de la plainte est fondé et résolu.
En ce qui concerne le respect du principe de la LPRPDE portant sur la conservation, Loblaw a déclaré que, lors de la fermeture de comptes PC Optimum, plutôt que de supprimer tous les renseignements associés à ceux-ci, Loblaw supprime les identifiants personnels (nom, courriel, numéro de téléphone et adresse, si ces renseignements ont été fournis par le membre du Programme lors de la création de son profil en ligne). La plupart des autres renseignements, y compris les données relatives aux transactions, sont par contre conservés. Bien que le principe de conservation de la LPRPDE permette aux organisations de dépersonnaliser les renseignements personnels une fois qu’ils ne sont plus nécessaires au lieu de les détruire ou de les effacer, Loblaw n’a pas démontré au cours de notre enquête qu’elle prend ou a pris des mesures suffisantes pour faire en sorte que les renseignements soient correctement dépersonnalisés.
Pour résoudre le problème, le Commissariat a recommandé que Loblaw fasse appel à un tiers indépendant pour examiner et évaluer son processus de dépersonnalisation et ainsi veiller à ce qu’il n’existe aucune possibilité sérieuse de réidentification à partir des renseignements personnels conservés associés à un compte PC Optimum fermé ou, autrement, qu’elle supprime les renseignements associés à un compte PC Optimum dès la fermeture du compte, ou peu de temps après.
Bien que Loblaw ne soit pas d’accord avec notre conclusion et affirme que les renseignements personnels liés à un compte PC Optimum fermé sont conservés sous une forme qui n’est plus associée à une personne identifiable, elle a accepté de se soumettre à une évaluation par un tiers. Nous estimons donc que cet élément de la plainte est fondé et conditionnellement résolu.

Analyse

À titre préliminaire, nous notons qu’une partie plaignante, qui n’avait qu’une carte PC Optimum (pas de compte en ligne), a également soutenu que Loblaw avait recueilli des renseignements personnels inutiles en exigeant qu’elle crée un compte en ligne pour supprimer son compte PC Optimum. L’article 4.4 figurant au quatrième principe de la LPRPDE indique, entre autres, qu’une organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées. Le Commissariat s’attend donc à ce que Loblaw limite la collecte des renseignements personnels d’un membre au strict nécessaire pour supprimer son compte PC Optimum.
Loblaw a expliqué que les membres qui n’utilisent qu’une carte physique peuvent simplement détruire leur carte pour mettre fin à leur participation au programme et ne sont pas tenus de fournir des renseignements personnels supplémentaires à Loblaw pour mettre fin à leur participation au Programme. L’entreprise a expliqué que l’expérience de la partie plaignante résultait d’une erreur de communication et que la personne avait reçu une réponse automatisée destinée aux membres ayant un compte en ligne. Nous estimons donc que cet élément de la plainte n’est pas fondé. Loblaw a par la suite mis à jour ses procédures internes ainsi que l’information sur son site Web destiné aux membres concernant les demandes de suppression de compte pour les individus qui n’ont qu’une carte physique PC Optimum.

Enjeu 1 : Loblaw donne-t-elle suite aux plaintes en matière de protection de la vie privée déposées par les intéressés?

Les parties plaignantes ont fait valoir qu’il avait fallu un temps déraisonnable à Loblaw pour donner suite à leur demande ou leur demande de renseignement.
L’article 4.10 figurant au dixième principe de la LPRPDE prévoit que toute personne doit être en mesure de se plaindre du non-respect des principes de protection de la vie privée en communiquant avec la personne responsable de les faire respecter au sein de l’organisation concernée. En outre, l’article 4.10.2 figurant au dixième principe de la LPRPDE indique notamment que les organisations doivent établir des procédures pour recevoir les plaintes et les demandes de renseignements concernant leurs politiques et pratiques de gestion des renseignements personnels et y donner suite.
Par conséquent, le Commissariat s’attend à ce que Loblaw mette en place un processus permettant aux individus de soulever des préoccupations en matière de protection de la vie privée liées à la suppression de leur compte PC Optimum, et qu’elle réponde à ces préoccupations et mène des enquêtes à ce sujet.

Processus suivi par Loblaw pour supprimer les comptes et donner suite aux demandes de renseignements connexes

Les individus peuvent supprimer leur compte PC Optimum à tout moment en communiquant avec le service de soutien à la clientèle de Loblaw, ou en utilisant l’application ou le site Web. Pour les membres qui utilisent uniquement une carte physique, Loblaw a expliqué qu’ils peuvent simplement détruire leur carte. Cependant, Loblaw a reconnu qu’elle n’avait pas répondu pleinement à certaines demandes de suppression ou qu’elle avait mis beaucoup de temps à y donner suite (de mai à juillet 2024) en raison du volume de plaintes et de difficultés techniques.

Améliorations apportées par Loblaw

Au cours de l’enquête, Loblaw a procédé à un examen approfondi de son flux de travail interne pour répondre aux demandes de suppression et a apporté des améliorations à son processus de suppression de comptes afin de garantir que les membres soient informés de l’état d’avancement de leur demande dans un délai raisonnable. Loblaw a également offert une formation supplémentaire à son personnel et a réglé les problèmes techniques qui avaient fait en sorte que certains membres ne recevaient pas le courriel de confirmation finale. Enfin, Loblaw a également répondu à toutes les parties plaignantes pour confirmer la suppression de leur compte.

Conclusion relative à l’enjeu 1

Nous constatons que, bien que Loblaw ait mis en place des processus permettant aux membres de soulever des problèmes liés à la protection de la vie privée, dans ce cas-ci, elle n’a pas donné suite à toutes les demandes de renseignements, contrevenant ainsi à l’article 4.10 figurant au dixième principe de la LPRPDE. Cependant, nous constatons également que Loblaw a amélioré ses procédures pour répondre rapidement aux préoccupations en matière de protection de la vie privée, ce qui a permis de résoudre cet élément de la plainte.

Enjeu 2 : Loblaw conserve-t-elle les renseignements personnels des membres de PC Optimum plus longtemps que nécessaire?

Question préliminaire – conservation des journaux liés au service à la clientèle et des identifiants de connexion inactifs

À titre préliminaire, nous avons appris au cours de l’enquête qu’en plus des renseignements sur le compte PC Optimum dont il est question plus loin, lorsqu’un membre supprime son compte PC Optimum, Loblaw conserve les journaux des interactions du membre avec le service à la clientèle et des copies de la correspondance connexe afin de pouvoir répondre à toute préoccupation après la fermeture du compte. Bien que le Commissariat considère qu’il est raisonnable que Loblaw conserve ces renseignements pendant une période limitée, si cela n’est pas déjà fait, l’entreprise doit établir des calendriers de conservation pour déterminer le moment où ces documents seront supprimés, comme l’exige l’article 4.5.2 figurant au cinquième principe de la LPRPDE^{Note de bas de page 4}.
Le Commissariat a également appris qu’à la suite de la suppression d’un compte PC Optimum, Loblaw conserve séparément les identifiants de connexion universels du membre (courriel et mot de passe), appelés « PCid », à moins que le membre ne demande expressément la suppression de son identifiant PCid ou de tous ses renseignements personnels. Lorsqu’un individu a toujours un autre compte associé à Loblaw accessible à l’aide de son identifiant PCid, par exemple pour accéder aux plateformes en ligne de JoeFresh ou de Shoppers Drug Mart/Pharmaprix, nous estimons que c’est raisonnable. Cependant, nous craignions que Loblaw conserve les identifiants PCid plus longtemps que nécessaire pour les membres qui n’ont pas d’autre compte, étant donné que leur identifiant ne sert plus à une fin précise.
L’article 4.5.3 figurant au cinquième principe de la LPRPDE prévoit notamment que l’on devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin aux fins précisées. Loblaw a indiqué qu’elle effectue, à l’occasion, des examens ponctuels et supprime des identifiants PCid pour les comptes qui sont inactifs depuis un certain temps. Afin de veiller à ce que les identifiants PCid inactifs soient supprimés dans de meilleurs délais, nous avons recommandé à Loblaw de procéder à des examens au moins une fois par an et de supprimer tous les identifiants PCid inactifs^{Note de bas de page 5}. Cette recommandation a été acceptée. Par conséquent, le Commissariat conclut que cette affaire est résolue.

Conservation des données liées aux comptes PC Optimum

De nombreuses parties plaignantes ont soutenu que Loblaw avait conservé leurs renseignements personnels, associés à leur compte PC Optimum, même après que ceux-ci ne soient plus nécessaires pour leur fournir le service PC Optimum (c.-à-d. parce que ces personnes avaient demandé la suppression de leur compte PC Optimum). Loblaw a confirmé que, lorsqu’un membre supprime son compte PC Optimum en ligne, ses coordonnées sont supprimées et remplacées par une adresse courriel fictive, mais que Loblaw conserve les données historiques relatives aux transactions, les données du programme de fidélité et les données sur l’utilisation (activité en ligne du compte), définies plus en détail au paragraphe 32.
Comme nous l’avons mentionné ci-dessus, l’article 4.5.3 figurant au cinquième principe de la LPRPDE prévoit que l’on devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin aux fins précisées. Notre enquête nous a permis de confirmer qu’en ce qui concerne les renseignements associés à un compte PC Optimum fermé, Loblaw choisit de dépersonnaliser, plutôt que de détruire ou d’effacer, les renseignements personnels associés aux comptes PC Optimum une fois qu’ils ne sont plus nécessaires aux fins pour lesquelles ils ont été recueillis, à savoir fournir le service PC Optimum. Étant donné qu’elle a supprimé les données personnelles, comme le nom et l’adresse courriel du membre, Loblaw considère que les renseignements sont conservés sous une forme qui n’est pas attribuée à un individu identifiable ou autrement associée à celui-ci.
Par conséquent, la question est de savoir si Loblaw prend des mesures suffisantes pour dépersonnaliser les renseignements qu’elle conserve. À notre avis, lorsqu’une organisation choisit de dépersonnaliser les renseignements personnels plutôt que de les détruire ou de les effacer, il lui incombe de s’assurer et de démontrer que les renseignements sont suffisamment dépersonnalisés. Nous nous attendons à ce que cela soit fait de manière continue et à ce que les deux éléments suivants soient pris en considération :
1. les cas qui pourraient concerner uniquement certains individus dans l’ensemble de données (comme des habitudes d’achat permettant d’identifier un individu en particulier);
2. l’évolution des circonstances et des technologies (comme les nouvelles techniques ou les changements quant à la disponibilité d’autres données pouvant accroître le risque de réidentification).
Pour les raisons décrites plus loin, nous estimons que Loblaw n’a pas démontré qu’elle dépersonnalisait suffisamment les renseignements personnels qu’elle conserve et qu’elle contrevenait donc à l’article 4.5.3 figurant au cinquième principe de la LPRPDE.

Déterminer le niveau approprié de dépersonnalisation des données

Le terme « dépersonnaliser » n’est pas défini dans la LPRPDE. Toutefois, selon la jurisprudence, le Commissariat a toujours conclu que les renseignements sont des renseignements concernant un « individu identifiable » lorsqu’il existe une possibilité sérieuse que l’individu puisse être identifié par l’utilisation de ces renseignements, seuls ou en combinaison avec d’autres renseignements disponibles^{Note de bas de page 6}.
Par conséquent, nous estimons que, pour que les renseignements soient considérés comme dépersonnalisés aux fins de l’article 4.5.3 figurant au cinquième principe de la LPRPDE, l’organisation doit prendre des mesures pour veiller à ce qu’il n’existe aucune possibilité sérieuse que les renseignements conservés puissent permettre la réidentification des personnes concernées, soit en les utilisant seuls ou en combinaison avec d’autres renseignements disponibles.
L’évaluation et l’atténuation du risque de réidentification sont des concepts en pleine expansion et en rapide évolution. Toute organisation qui choisit de dépersonnaliser des renseignements plutôt que de les effacer ou de les détruire doit bien comprendre ce concept afin de garantir l’efficacité de la dépersonnalisation des données^{Note de bas de page 7}.
Le risque de réidentification dépend de divers facteurs, notamment de facteurs internes, tels que 1) les caractéristiques intrinsèques des données; 2) les techniques de dépersonnalisation utilisées; et 3) le potentiel d’erreur humaine lors de la dépersonnalisation, et de facteurs externes, tels que 4) la disponibilité de données supplémentaires qui peuvent être utilisées pour la contre-vérification; 5) les personnes qui ont accès, ou qui pourraient avoir accès, à l’ensemble de données, les fins auxquelles elles y ont accès, leur motivation à réidentifier un individu et le fait qu’elles soient au courant que les renseignements d’un individu donné sont inclus dans l’ensemble de données; et 6) l’expertise et les ressources utilisées pour la réidentification^{Note de bas de page 8}.
De plus, le risque de réidentification n’est pas une considération immuable; il peut augmenter au fil du temps avec l’amélioration des techniques de réidentification et la disponibilité de ressources et de données supplémentaires qui peuvent être liées aux données dépersonnalisées^{Note de bas de page 9}.
Par conséquent, pour que les renseignements qu’elle conserve concernant les comptes PC Optimum fermés soient considérés comme dépersonnalisés, Loblaw doit démontrer, en tenant dûment compte des facteurs de risque pertinents, qu’il n’existe aucune possibilité sérieuse que les renseignements puissent être liés à des individus identifiables, soit en les utilisant seuls ou en combinaison avec d’autres renseignements disponibles.
À titre de référence, nous comprenons qu’après la fermeture du compte PC Optimum, Loblaw conserve les renseignements suivants associés au compte de l’ancien membre :
1. les données du programme de fidélité, y compris les données relatives au Programme, comme les points accumulés et échangés, les offres et les remises utilisées;
2. les données sur l’utilisation, y compris :
  1. les informations de connexion (état de connexion [« connecté », « non connecté »], statut d’inscription [« inscrit »], adresse courriel hachée et adresse IP de réseau public, et fréquence, durée et heure des connexions);
  2. le comportement de navigation (pages consultées, liens cliqués, événements de l’utilisateur, identifiant d’épicerie si sélectionné, solde de points, statut du consentement au marketing);
  3. les renseignements sur l’appareil (type, version du navigateur, version de l’application);
3. les données historiques relatives aux transactions, c’est-à-dire les données sur les achats en magasin et en ligne^{Note de bas de page 10}, notamment :
  1. de l’information sur les produits vendus (identifiant du produit, quantité et prix);
  2. de l’information sur le point de vente (numéro de caisse, numéro d’identification de la transaction);
  3. de l’information sur les transactions (en ligne ou en magasin, date, commerçant et numéro d’identification du magasin).
Pour les membres possédant une carte physique seulement, Loblaw ne recueille aucune donnée sur l’utilisation; elle ne conserve donc que les données historiques relatives aux transactions et les données du programme de fidélité.
Loblaw a déclaré qu’à la fermeture d’un compte PC Optimum, les données du programme de fidélité, les données sur l’utilisation et les données historiques relatives aux transactions sont conservées à des fins comme l’analyse des données et la prise de décisions fondées sur les données concernant le fonctionnement du Programme, y compris l’amélioration et le développement de nouvelles offres de produits et de services et l’évaluation des tendances de la clientèle.
Le Commissariat a demandé à Loblaw de lui fournir un échantillon des données historiques relatives aux transactions et des données sur l’utilisation conservées. Loblaw n’a pas fourni d’échantillons de ces données conservées. Selon les points de données décrits par Loblaw, nous estimons que le simple retrait des noms, des numéros de téléphone et des adresses courriel des comptes ne suffit pas pour permettre à Loblaw de démontrer que les données qu’elle conserve sont dépersonnalisées.

Loblaw n’a pas démontré qu’elle dépersonnalisait suffisamment les renseignements personnels

Nous avons conclu que Loblaw n’a pas démontré qu’elle dépersonnalisait suffisamment les renseignements personnels pour les raisons suivantes :
Premièrement, Loblaw conserve les données relatives aux adresses IP publiques. Loblaw soutient que l’adresse IP conservée se trouve au « niveau du réseau », ce qui, selon elle, ne fournit pas d’informations précises ou personnelles sur l’emplacement. Nous ne sommes pas d’accord avec cette déclaration, étant donné que l’adresse IP publique d’un individu peut être utilisée pour connaître approximativement son emplacement physique. Lorsque ces informations sont associées à ses données relatives aux transactions, cela pourrait permettre la création d’un profil détaillé de ses déplacements et de ses activités.
Deuxièmement, étant donné que le champ de courriel est obligatoire dans son système de gestion des relations avec la clientèle, Loblaw a déclaré que les agents du service à la clientèle sont tenus de remplacer l’adresse courriel d’un titulaire de compte fermé par une adresse fictive en remplaçant la partie correspondant au nom d’utilisateur dans l’adresse courriel (contenu précédant le symbole @) par une chaîne de caractères aléatoire et unique^{Note de bas de page 11}. Cela concorde avec les éléments de preuve fournis au Commissariat par les parties plaignantes. Ces dernières, qui ont reçu une alerte de sécurité de Loblaw indiquant que leur adresse courriel avait été modifiée, ont découvert que le nom de domaine de leur adresse courriel n’a pas été changé après la fermeture de leur compte. Le nom de domaine d’une adresse courriel (la partie d’une adresse qui vient après le symbole @) peut dans certains cas révéler des renseignements qui pourraient mener à identifier une personne, par exemple des renseignements sur son lieu de travail ou sur une organisation à laquelle elle est affiliée.
Troisièmement, les données historiques relatives aux transactions peuvent, du moins pour certaines personnes, permettre de réidentifier des individus. Prenons, par exemple, un cas où un individu d’une petite collectivité aurait acheté des fournitures pour un événement communautaire, l’histique complet de ses transactions pourrait alors être associé à cet individu par l’entremise de cet achat. Lorsque l’on ajoute à cela les données sur l’utilisation, par exemple le comportement de navigation, le risque devient encore plus important.
Quatrièmement, nous avons constaté que le processus de dépersonnalisation ne comportait pas suffisamment de mesures d’atténuation des risques. Plus précisément :
1. Erreurs liées au traitement manuel – L’une des plaintes que nous avons reçues porte sur le fait que, lors du traitement d’une demande de suppression de l’identifiant PCid de la partie plaignante, un employé a inséré le nom de cette personne dans l’adresse fictive au lieu d’une chaîne de caractères aléatoire. Loblaw n’a fourni aucune indication qu’elle avait détecté cette erreur de manière indépendante dans le processus de dépersonnalisation. La partie plaignante n’a pris connaissance de l’erreur que parce qu’elle a reçu une alerte de sécurité de Loblaw indiquant que son adresse courriel avait été modifiée. Selon Loblaw, l’envoi de l’avis n’aurait pas dû être déclenché dans ce contexte. Nous estimons que des erreurs similaires peuvent donc passer inaperçues.
2. Suppression dans les systèmes de secours – Pour qu’une dépersonnalisation soit efficace, il faut veiller à ce que les renseignements soient également supprimés des systèmes de secours^{Note de bas de page 12}. Cependant, Loblaw n’a pas démontré au Commissariat qu’elle avait mis en place un processus pour veiller à ce que les identifiants associés aux comptes PC Optimum fermés soient supprimés des systèmes de secours.
Enfin, Loblaw n’a pas démontré qu’elle avait tenu compte de l’incidence d’autres facteurs susceptibles d’influer sur le risque de réidentification. Par exemple, bien que Loblaw déclare qu’elle supprime les données d’identification personnelle des membres du système de gestion des relations avec la clientèle, nous comprenons que l’adresse courriel précédente d’un membre peut toujours être conservée (stockée séparément des données du compte PC Optimum) dans le contexte de l’identifiant PCid (voir le paragraphe 20). Comme nous l’avons déjà mentionné (voir le paragraphe 29), la disponibilité de données supplémentaires qui peuvent être utilisées pour la contre-vérification augmente le risque de réidentification. Loblaw a déclaré que des contrôles et des procédures d’accès sont mis en œuvre pour atténuer le risque de réidentification. Cependant, Loblaw n’a pas fourni suffisamment de preuves concernant les mesures de protection visant à réduire les répercussions de ce facteur de risque.

Protection efficace contre la réidentification

Nos conclusions ci-dessus ne signifient pas que les organisations ne peuvent jamais tirer profit des renseignements personnels dépersonnalisés. Diverses stratégies d’atténuation des risques peuvent, conjointement avec une évaluation minutieuse et périodique, être utilisées pour veiller à ce qu’il n’existe aucune possibilité sérieuse de réidentification.
Comme il est mentionné au paragraphe 28, l’évaluation et l’atténuation efficaces du risque de réidentification sont des concepts en pleine expansion et en rapide évolution. Les approches d’atténuation des risques actuellement disponibles comprennent à la fois des mesures techniques, comme le regroupement (combinaison des données de plusieurs individus de sorte que les données propres à un individu soient obscurcies), l’embrouillage ou la perturbation (ajout de caractère aléatoire aux données), et des mesures organisationnelles, comme la limitation de l’accès, l’interdiction de la réidentification et l’offre d’une formation appropriée.
Nous comprenons que Loblaw ne regroupe pas, n’embrouille pas et ne perturbe pas les données sous-jacentes conservées provenant de comptes fermés; les données historiques relatives aux transactions, les données sur l’utilisation et les données du programme de fidélité demeurent associées et forment un ensemble de données distinct pour chaque ancien membre.
Les mesures organisationnelles ayant pour but de réduire le risque de réidentification peuvent inclure la mise en place d’interdictions contraignantes visant à empêcher les tentatives de réidentification, par exemple au moyen de clauses contractuelles ou de codes de conduite des employés, ainsi que la limitation de l’accès aux données. Cela réduit le risque de réidentification en limitant le nombre d’individus pour lesquels il serait possible de tenter une réidentification et en limitant la probabilité que ceux-ci tentent de le faire. Loblaw a affirmé que l’accès aux données qu’elle conserve à partir des comptes PC Optimum n’est accordé qu’à certains membres du personnel. À titre d’exemple, les agents du soutien à la clientèle qui continuent d’avoir accès aux correspondances et aux journaux conservés et qui peuvent être au courant du justificatif de connexion original de l’individu associé au Programme n’ont pas accès aux données dépersonnalisées. L’entreprise a également noté qu’elle s’efforçait d’améliorer la formation offerte au personnel concerné.

Conclusion sur l’enjeu 2 et recommandation

Comme expliqué précédemment, le Commissariat n’a pas reçu suffisamment de renseignements de la part de Loblaw pour établir que l’entreprise veille à ce que les renseignements qu’elle conserve soient bien dépersonnalisés. Par conséquent, nous concluons que Loblaw conserve les renseignements personnels dont elle n’a plus besoin aux fins auxquelles ils ont été recueillis, ce qui contrevient à l’article 4.5 figurant au cinquième principe de la LPRPDE.
Pour résoudre le problème, le Commissariat a recommandé que Loblaw fasse appel à un tiers indépendant pour examiner et évaluer son processus de dépersonnalisation et ainsi veiller à ce qu’il n’existe aucune possibilité sérieuse de réidentification à partir des renseignements personnels conservés associés à un compte PC Optimum fermé ou, autrement, qu’elle supprime les renseignements associés à un compte PC Optimum dès la fermeture du compte, ou peu de temps après.
Bien que Loblaw ne soit pas d’accord avec notre conclusion et affirme que les renseignements personnels liés à un compte PC Optimum fermé sont conservés sous une forme qui n’est plus associée à une personne identifiable, elle a accepté de se soumettre à une évaluation par un tiers, de fournir au Commissariat un rapport sommaire de l’évaluation effectuée par le tiers et de s’engager à mettre en œuvre toutes les mesures d’atténuation des risques nécessaires recommandées dans les 12 mois suivant la publication du rapport du Commissariat. Nous estimons donc que cet élément de la plainte est fondé et conditionnellement résolu.

Conclusion

Enjeu 1 : Loblaw a pris un temps déraisonnable pour traiter les demandes de suppression et n’a pas donné suite à certaines demandes de renseignements liées à la protection de la vie privée. Par conséquent, nous concluons que Loblaw a contrevenu à l’article 4.10 figurant au dixième principe de la LPRPDE et nous estimons que cet élément de la plainte est fondé. Compte tenu des améliorations apportées par Loblaw décrites ci-dessus, nous estimons que cet élément de la plainte est résolu.
Enjeu 2 : Étant donné que Loblaw n’a pas démontré au Commissariat que les renseignements qu’elle conserve sont bien dépersonnalisés, nous concluons que Loblaw conserve les renseignements personnels plus longtemps que nécessaire pour atteindre les fins auxquelles ils ont été recueillis, ce qui contrevient à l’article 4.5.3 figurant au cinquième principe de la LPRPDE. Étant donné que Loblaw a accepté notre recommandation de faire évaluer son processus de dépersonnalisation par un tiers et de mettre en œuvre toutes les mesures recommandées pour atténuer les risques, nous estimons que cet élément de la plainte est fondé et conditionnellement résolu.

Notes de bas de page

Note de bas de page 1

One month into Loblaw boycott what effect has it had on grocery store giant? (en anglais seulement), City News Everywhere, 2 juin 2024.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Reddit est une plateforme de médias sociaux où les utilisateurs partagent du contenu lié à des intérêts précis et en discutent.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Pour en savoir plus sur le programme de fidélité de Loblaw, voir le site Web de PC Optimum.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

L’article 4.5.2 figurant au cinquième principe de la Loi précise notamment que les « organisations devraient élaborer des lignes directrices et mettre en œuvre des procédures pour la conservation des renseignements personnels. Ces lignes directrices devraient préciser les périodes minimales et maximales de conservation. »

Retour à la référence de la note de bas de page 4

Note de bas de page 5

De plus, le Commissariat a recommandé à Loblaw de supprimer, lors de ces examens, les identifiants PCid lorsqu’un compte PC Optimum a été fermé et que tout autre compte non fermé associé à l’identifiant n’a pas été utilisé pendant une période donnée (de sorte qu’il est raisonnable de présumer que le ou les comptes sont inactifs). Cette recommandation a été acceptée.

Retour à la référence de la note de bas de page 5

Note de bas de page 6

Voir le site Web du Commissariat, Bulletin d’interprétation : Renseignements personnels, citant Gordon c. Canada (Ministre de la Santé), 2008 CF 258 (CanLII).

Retour à la référence de la note de bas de page 6

Note de bas de page 7

Pour de plus amples renseignements sur la dépersonnalisation, voir la page Réduire l’identifiabilité dans la perspective internationale : définitions législatives et politiques relatives à l’anonymisation, la pseudonymisation et la dépersonnalisation dans les pays du G7 (11 octobre 2024) du site Web du Commissariat, ainsi que la page Guidance on Anonymization (en anglais seulement) du site Web de l’Information Commissioner’s Office du Royaume-Uni.

Retour à la référence de la note de bas de page 7

Note de bas de page 8

Enquête sur la collecte et l’utilisation de données dépersonnalisées sur la mobilité dans le cadre de la pandémie de COVID-19, CPVP, 19 mai 2023, paragraphe 15.

Retour à la référence de la note de bas de page 8

Note de bas de page 9

Enquête sur la collecte et l’utilisation de données dépersonnalisées sur la mobilité dans le cadre de la pandémie de COVID-19, CPVP, 19 mai 2023, paragraphe 18.

Retour à la référence de la note de bas de page 9

Note de bas de page 10

Les données relatives aux transactions sont recueillies par Loblaw en sa qualité de commerçant, que le client ait un compte PC Optimum ou non. Toutefois, lorsqu’un client a un compte PC Optimum, ces renseignements sont recueillis et associés à son compte PC Optimum.

Retour à la référence de la note de bas de page 10

Note de bas de page 11

Loblaw a par la suite déclaré que, dans le cadre de son processus de fermeture de compte, son personnel remplaçait l’ensemble de l’adresse courriel, et pas seulement la partie correspondant au nom d’utilisateur. Cependant, elle n’a pas fourni d’explication quant aux preuves démontrant le contraire dans les cas susmentionnés ni quant à ses déclarations antérieures selon lesquelles sa politique consiste à remplacer la partie correspondant au nom d’utilisateur dans les adresses courriel. Nous concluons donc qu’au moins une partie du temps, les parties relatives au nom de domaine des adresses courriel sont conservées.

Retour à la référence de la note de bas de page 11

Note de bas de page 12

Les organisations peuvent réduire au minimum les risques d’atteintes à la vie privée et à la sécurité en éliminant les renseignements lorsqu’ils ne sont plus nécessaires. L’élimination ou la destruction de renseignements s’applique aux originaux ainsi qu’aux copies et aux documents archivés, y compris les journaux des systèmes qui peuvent contenir des renseignements permettant d’établir l’identité d’une personne. Voir Security and Privacy Controls for Information Systems and Organizations (en anglais seulement), contrôle SI-12, sous-alinéa 3, page 352.

Retour à la référence de la note de bas de page 12

Date de modification :: 2026-03-05

Sélection de la langue

Recherche et menus

Recherche