Vincent Gautrais

Lola Gregorowius est étudiante dans le cadre du cours DRT6929 (Vie privée + Numérique) (Hiver 2026)  

Nous avons déjà tous adhéré à un compte fidélité d’un magasin ; ils permettent de gagner des points qui peuvent se traduire par des rabais ou encore des offres commerciales. On finit souvent par en accumuler une grande quantité. Mais avez-vous déjà essayé de supprimer un de ces comptes fidélité ? C’est ce qu’ont tenté de faire les détenteurs d’un compte fidélité (aussi appelé PC Optium) offert par les compagnies Loblaw. Certains se sont heurtés à des difficultés techniques et ont donc contacté le service clientèle du magasin ; mais aucune réponse. Après un certain temps d’attente, des plaintes ont été déposées auprès du Commissariat à la protection de la vie privée (CPVP) afin de signaler un potentiel abus.

Presque 2 années d’enquête plus tard, le Commissariat a rendu ses conclusions le 5 mars 2026 qui révèle deux manquements à la LPRPDE.

Quid : Les compagnies Loblaw

Compagnies Loblaw limitée (Loblaw) est une entreprise de grande distribution canadienne dans les domaines de l’alimentation et du pharmaceutique créée en 1919. Avec plus de 2 400 magasins dispersés dans toutes les provinces canadiennes, Loblaw occupe une grande place du marché dans le domaine de la distribution.

Quid : Commissariat à la protection de la vie privée

Le Commissariat à la protection de la vie privée (CPVP) est l’organisme fédéral qui est chargé de veiller à l’application des deux lois fédérales concernant la protection des données personnelles : la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Directement affilié au Parlement fédéral canadien, il mène des enquêtes si des plaintes lui sont soumises et effectue des recherches et vérifications dans le domaine de la protection des renseignements personnels.

1. Le contexte

Comme nous l’avons vu précédemment, les sociétés Loblaw sont très présentes sur le territoire canadien et elles comptent environ 18 millions de membres PC Optium. Toutefois, en raison de l’augmentation des prix des produits alimentaires, Loblaw a fait l’objet d’un mouvement de boycottage lancé au mois de mai 2024. C’est à ce moment que le CPVP a commencé à recevoir des plaintes de clients qui n’arrivaient pas à supprimer leur compte PC Optium. L’enquête s’est donc tournée vers deux questions principales : Est-ce que Loblaw donne suite aux plaintes en matière de protection de la vie privée déposées par les intéressés ?  Est que Loblaw s’assure de ne pas conserver des renseignements personnels aussi longtemps que nécessaire lorsqu’un membre supprime son compte PC Optimum ?

2. Deux manquements fondés

a) L’obligation de fournir un organisme pour recevoir les plaintes

Selon l’article 4.10 de la LPRPDE, toute personne doit pouvoir se plaindre du non-respect des principes prévus par la loi fédérale à l’organisation concernée qui doit prendre les mesures appropriées afin de résoudre le problème.

Pour rappel, la compagnie Loblaw n’a pas répondu à certaines plaintes des utilisateurs qui souhaitaient supprimer leur compte fidélité. La société Loblaw a tenté de se justifier eu égard à l’important flux de demande dont elle devait s’occuper à cette période. Cet argument a été rejeté par le Commissariat qui a considéré qu’au vu du délai déraisonnable qui lui a fallu, les compagnies Loblaw ont contrevenu à l’article 4.10. Ainsi, il considère que pour respecter la loi fédérale, il faut pouvoir traiter les demandes dans un certain temps. On remarque que ce délai reste à l’appréciation discrétionnaire du Commissariat, qui ne donne aucune indication quant à son application.

b) L’obligation de conserver des données à des fins déterminées pas plus longtemps que nécessaire

Selon l’article 4.5 de la LPRPDE, il existe une limite à la conservation des renseignements personnels. Celle-ci doit poursuivre un objectif déterminé et connu. Ensuite, l’article explique ce qu’il faudrait faire des données dont on a plus besoin, c’est-à-dire, les détruire, les effacer ou les dépersonnaliser.

Comme l’expliquent les conclusions du Commissariat, la société Loblaw conserve certaines données après la suppression du compte PC Optium :

“Loblaw a confirmé que, lorsqu’un membre supprime son compte PC Optimum en ligne, ses coordonnées sont supprimées et remplacées par une adresse courriel fictive, mais que Loblaw conserve les données historiques relatives aux transactions, les données du programme de fidélité et les données sur l’utilisation”

L’entreprise a donc opté pour la dépersonnalisation des renseignements personnels dont elle a la charge. Le projet de loi C-27 définit le terme dépersonnaliser comme le fait de :

“modifier des renseignements personnels afin de réduire le risque, sans pour autant l’éliminer, qu’un individu puisse être identifié directement.”

Au-delà de cette définition, le CPVP pose un nouvel avis en ce qui concerne la dépersonnalisation des renseignements personnels. Lorsqu’une entreprise choisit d’opter pour cette méthode, elle doit le faire de “manière continue” et donc prendre en considération les nouvelles technologies qui pourraient permettre la réidentification des personnes. Ainsi, le Commissariat inscrit cet avis dans le contexte plus large d’un monde en perpétuelle évolution technologique.

Les compagnies Loblaw, en faisant ce choix, ont donc une responsabilité importante qui lui incombe de vérifier que la dépersonnalisation des données est opérationnelle. Le CPVP a d’ailleurs rappelé les différents facteurs qui permettent d’évaluer les risques de réidentification qu’il a énoncé dans une Enquête sur la collecte et l’utilisation de données dépersonnalisées sur la mobilité dans le cadre de la pandémie de COVID-19.

Sa conclusion est donc la suivante :

“nous estimons que le simple retrait des noms, des numéros de téléphone et des adresses courriel des comptes ne suffit pas pour permettre à Loblaw de démontrer que les données qu’elle conserve sont dépersonnalisées.” Au vu de son enquête, le Commissariat a considéré que l’entreprise ne dépersonnalisait pas suffisamment les données de ses clients.

c) La confusion de Loblaw dans sa politique en matière de protection des renseignements personnels

Si on regarde les politiques de Loblaw en matière de respect de la vie privée, on peut lire au point 7.0 :

“nous nous engageons à protéger votre vie privée en utilisant un regroupement de mesures […] l’authentification multifactorielle, le masquage, le chiffrement, la journalisation et la surveillance.”.

Si on va dans l’onglet “Plus de détails”, il est décrit les différents types de processus utilisés comme le masquage, la dépersonnalisation et l’anonymisation.

Tous ces termes créent une certaine confusion dans les processus utilisés concrètement par Loblaw. En effet, les termes “dépersonnalisation” et “anonymisation” ne signifient pas la même chose. Je vous renvoie au blogue de Erwan Jonchères et Samy Si Chaib pour une explication complète de la différence entre les deux termes.

Aussi, le terme “masquage”, défini par l’entreprise comme consistant  “à cacher vos renseignements de manière à ce que la structure demeure la même, mais que le contenu ne soit plus identifiable”, ne correspond pas entièrement aux conclusions du Commissariat.

Toujours au point 7.0 D, concernant la durée de la conservation des renseignements on peut lire :

“Nous conserverons vos renseignements personnels aussi longtemps que nécessaire pour remplir les objectifs pour lesquels ils ont été collectés […].”

Ce qui respecte le cadre de la LPRPDE.

Toutefois, on peut lire ensuite : “Une fois que vos renseignements personnels ne seront plus requis, ils seront détruits ou anonymisés (de sorte que les renseignements ne vous identifient plus).” De nouveau, on retrouve le terme “anonymiser” qui n’est pas le même processus que la dépersonnalisation, on en revient à la même confusion.

Aussi, je vous renvoie un blogue de Maître Daniel Fabiano du cabinet FASKEN qui explique en détail les enjeux de ces termes dans le cadre du projet de loi C-27 (qui a été abandonné mais qui offre une bonne piste de réflexion).

A préciser que cette politique a été mise à jour le 6 octobre 2025, et fera peut-être l’objet de modifications au regard des conclusions qui ont été déposées par le Commissariat.

3. Les conclusions finales et recommandations du CPVP

a) Une amélioration de l’organisme de traitement des plaintes

Durant l’enquête du CPVP, Loblaw a pris des mesures afin de corriger les faiblesses de son système interne de traitement de plaintes. Comme par exemple une formation supplémentaire pour le personnel ou encore la correction de problèmes techniques. Les demandes de suppression des comptes PC Optium ont notamment été réglées.

A l’égard de ces améliorations, le Commissariat à la protection de la vie privée a considéré que cet élément de la plainte a été résolu.

On peut alors se demander si ces changements vont suffire et si ces efforts vont se poursuivre. En effet, un tel traitement des plaintes demande d’être révisé en continu afin de rester en conformité avec la loi fédérale.

b) L’appel à un tiers neutre concernant l’effectivité de la dépersonnalisation

Le Commissariat fédéral n’a pas reçu assez de renseignements par Loblaw pour constater qu’elle dépersonnalisait suffisamment les renseignements des anciens détenteurs d’un compte PC Optium pour être conforme à la loi fédérale. L’organisme recommande donc à la compagnie de faire appel à un tiers indépendant pour vérifier que son processus de dépersonnalisation est effectif.

Malgré le fait que l’entreprise a affirmé ne pas être en accord avec les conclusions fédérales, elle a accepté de se soumettre à un tiers pour ensuite fournir un rapport au Commissariat.

Cet élément de la plainte a été considéré comme conditionnellement résolu au fait que le rapport soit conforme aux attentes législatives en matière de protection des données personnelles.

Après 2 années d’enquête, les conclusions sont assez faibles d’effets sur les compagnies Loblaw. Ce manque d’effectivité montre les limites du pouvoir du Commissariat fédéral, qui tente de compenser cette difficulté par un accompagnement sur un plus long terme avec les entreprises.

 

Ce contenu a été mis à jour le 27 mars 2026 à 11 h 12 min.