Pièges de la dépersonnalisation : leçons tirées du CPVP

• Accueil
• Perspectives
• Publications
• Pièges de la dépersonnalisation : leçons tirées du CPVP

Pièges de la dépersonnalisation : leçons tirées du CPVP

Les organisations s'appuient de plus en plus sur la dépersonnalisation comme moyen de tirer parti de la valeur des données tout en réduisant les risques liés à la vie privée. Lorsque la dépersonnalisation est effectuée correctement, elle peut soustraire les ensembles de données du champ d'application des lois canadiennes sur la protection de la vie privée dans le secteur privé, permettant aux organisations de conserver et d'utiliser les données résultantes à des fins d'analyse, de développement de produits et de progrès opérationnels sans les contraintes qui s'appliquent normalement au traitement des renseignements personnels.

Toutefois, comme l'a démontré récemment l'exécution d'une loi par le Commissariat à la protection de la vie privée du Canada (le « CPVP »), le seuil à atteindre pour une dépersonnalisation efficace est élevé et les répercussions d'un échec sont importantes. Dans ce bulletin, nous analysons les récentes conclusions du CPVP concernant les Compagnies Loblaw limitée (« Loblaw ») relativement à la conservation des données provenant des comptes fermés du programme de fidélité PC Optimum, nous discutons du seuil de dépersonnalisation suffisant en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), et nous mettons en évidence les obligations pratiques et juridiques qui persistent même après la dépersonnalisation des données.

Enquête du CPVP sur Loblaw : incitation à la prudence

Dans le cadre des Conclusions en vertu de la LPRPDE no 2026-001, le CPVP a enquêté sur des plaintes contre Loblaw concernant le traitement des demandes de suppression de compte relativement à son programme de fidélité PC Optimum, programme de récompenses volontaire comptant plus de 17 millions de membres au Canada [1]. Lorsque les membres fermaient leur compte PC Optimum, Loblaw supprimait certains identifiants personnels (nom, adresse courriel, numéro de téléphone et adresse), mais conservait d'autres données associées au compte, y compris les données historiques relatives aux transactions, les données du programme de fidélité et les données sur l'utilisation (identifiants de connexion, comportement de navigation, adresses IP et informations liées à l'appareil). Loblaw a soutenu que puisque les identifiants directs avaient été supprimés, les données conservées n'étaient plus associées à une personne identifiable et étaient donc dépersonnalisées.

Le CPVP a évalué si l'approche de Loblaw suffisait pour rendre les données conservées anonymes aux fins du principe 4.5.3 de la LPRPDE, qui exige que les renseignements personnels qui ne sont plus nécessaires aux fins établies soient détruits, effacés ou dépersonnalisés. Le CPVP a conclu que Loblaw n'avait pas démontré une dépersonnalisation suffisante et conservait donc des renseignements personnels en contravention de la LPRPDE.

Le CPVP a relevé plusieurs lacunes dans le processus de dépersonnalisation de Loblaw :

• L'organisation a conservé des adresses IP publiques, qui peuvent servir à localiser de façon approximative l'emplacement physique d'un utilisateur et, lorsque recoupées avec des données relatives aux transactions, à créer un profil détaillé des déplacements d'une personne.
• L'organisation, lorsqu'elle remplaçait les adresses courriel par des valeurs fictives, conservait la partie domaine de l'adresse originale, ce qui pouvait révéler des renseignements permettant d'identifier une personne, comme son employeur ou son affiliation organisationnelle.
• Le CPVP a constaté que les données historiques relatives aux transactions pourraient permettre la réidentification des anciens membres du programme PC Optimum, en particulier des personnes vivant dans de petites communautés dont les habitudes d'achat peuvent être distinctives.
• Le CPVP a recensé des échecs de mise en œuvre, notamment une erreur de traitement manuel dans le cadre de laquelle un employé a inscrit le nom d'un plaignant dans une adresse courriel fictive, erreur qui n'a pas été détectée par les contrôles internes de Loblaw.
• L'organisation n'a pas démontré qu'elle avait tenu compte de l'incidence des autres données en sa possession (comme les identifiants de connexion conservés séparément) qui pourraient être recoupées avec les données conservées pour faciliter la réidentification des personnes concernées.

Le CPVP a observé que Loblaw n'a pas regroupé, embrouillé ou autrement perturbé les données sous-jacentes des comptes fermés : les données historiques relatives aux transactions, les données sur l'utilisation et les données du programme de fidélité sont demeurées associées et ont formé un ensemble de données distinct pour chaque ancien membre. Le CPVP a souligné que lorsqu'une organisation choisit de dépersonnaliser des renseignements personnels plutôt que de les détruire, elle doit s'assurer et démontrer qu'ils sont suffisamment dépersonnalisés.

Pour résoudre le problème, le CPVP a recommandé que Loblaw fasse appel à un tiers indépendant pour évaluer son processus de dépersonnalisation et ainsi veiller à ce qu'il n'existe aucune possibilité sérieuse de réidentification, ou, autrement, de supprimer les renseignements associés à un compte à sa fermeture. Loblaw a accepté de se soumettre à une évaluation par un tiers, et le CPVP a estimé que cet élément de la plainte est fondé et conditionnellement résolu.

Degré suffisant de dépersonnalisation des données

La décision rendue dans cette affaire démontre que le simple fait de supprimer les identifiants directs d'un ensemble de données ne suffit pas, en soi, à assurer la dépersonnalisation en vertu de la LPRPDE. Le CPVP a systématiquement maintenu que les données seront toujours considérées comme des « renseignements personnels » s'il existe une possibilité sérieuse qu'un individu puisse être identifié par leur utilisation, seules ou en combinaison avec d'autres renseignements disponibles. Pour que des données soient considérées comme dépersonnalisées, une organisation doit démontrer qu'il n'existe aucune possibilité sérieuse de réidentification.

En revanche, dans le cadre de son enquête antérieure concernant les données dépersonnalisées sur la mobilité utilisées par l'Agence de la santé publique du Canada (l'« ASPC ») pendant la pandémie de COVID-19, le CPVP a conclu que les mesures de dépersonnalisation et de protection contre la réidentification (dont le vigoureux hachage d'identifiants d'appareil, le regroupement de données avec des tailles de cellules minimales, les interdictions contractuelles liées à la réidentification, les contrôles d'accès et les accès supervisés aux données) ont réduit le risque qu'un individu soit identifié en dessous du seuil de « forte possibilité » [2]. L'affaire de l'ASPC illustre le fait que la dépersonnalisation peut être effectuée grâce à une approche à plusieurs niveaux combinant des mesures techniques et organisationnelles.

Dans l'esprit de ces deux décisions, les organisations qui souhaitent dépersonnaliser des renseignements personnels devraient au moins :

1. appliquer des mesures techniques de dépersonnalisation, comme supprimer ou hacher les identifiants directs;
2. utiliser des techniques supplémentaires, comme le regroupement, la perturbation ou l'embrouillage, pour réduire le risque de cibler des individus;
3. mettre en place des mesures de protection organisationnelles, notamment des contrôles d'accès, des interdictions contractuelles liées à la réidentification ainsi que des capacités de vérification ou de surveillance;
4. mener des évaluations continues du risque de réidentification.

Le contexte est essentiel à toute évaluation de la dépersonnalisation des données. Le risque de réidentification dépend de facteurs inhérents aux données, tels que le caractère unique des dossiers individuels et le niveau de granularité des renseignements conservés, ainsi que de facteurs externes, notamment les personnes qui ont accès aux données, leur motivation à les réidentifier et la disponibilité de données supplémentaires qui pourraient être recoupées. Une approche de dépersonnalisation qui est adéquate dans un contexte peut ne pas être adaptée à un autre.

Enfin, les organisations exerçant leurs activités au Québec doivent savoir que la Loi sur la protection des renseignements personnels dans le secteur privé du Québec contient des exigences supplémentaires régissant le processus de dépersonnalisation, notamment l'obligation d'utiliser les pratiques exemplaires généralement acceptées et de mener une évaluation des risques avant de dépersonnaliser des renseignements personnels. Le processus de dépersonnalisation doit également être supervisé par une personne qualifiée dans ce domaine. Ces exigences vont au-delà des principes généraux énoncés dans la LPRPDE et imposent des obligations procédurales spécifiques qui doivent être suivies soigneusement.

Exigences « inévitables » en matière de protection de la vie privée pour les renseignements dépersonnalisés

Même lorsqu'une organisation a réussi à dépersonnaliser des renseignements personnels, celle-ci ne doit pas présumer que les considérations relatives à la vie privée ne s'appliquent plus. Bien que les renseignements dépersonnalisés puissent ne pas relever du champ d'application des lois canadiennes sur la protection de la vie privée dans le secteur privé, toute augmentation du risque de réidentification, qu'elle soit due à des changements dans les données disponibles, à des progrès dans les techniques de réidentification ou à des divulgations à des tiers, peut faire en sorte que les renseignements soient de nouveau considérés comme des « renseignements personnels », déclenchant ainsi l'application complète des lois sur la protection de la vie privée.

En pratique, cela signifie que de nombreuses exigences des lois sur la protection de la vie privée restent effectivement applicables aux ensembles de données dépersonnalisées. Par exemple, si une organisation ne parvient pas à maintenir des contrôles d'accès adéquats et des protections contractuelles contre la réidentification, l'augmentation du risque qui en résulte pourrait suffire à ramener les données dans le champ d'application de la législation sur la protection de la vie privée. De même, l'identité et les capacités de toute partie à qui les données sont divulguées sont pertinentes : des renseignements dépersonnalisés par une organisation peuvent ne pas être considérés comme anonymisés par une autre qui possède des données supplémentaires susceptibles de faciliter la réidentification de la personne concernée.

Par exemple, la divulgation d'un ensemble de données dépersonnalisées contenant des identifiants d'appareil à une entreprise technologique comme Apple ou Google (des entités qui détiennent probablement d'importantes informations à propos d'appareils de millions d'utilisateurs) pourrait créer un risque sérieux de réidentification par recoupement. Toute divulgation de cette nature devrait probablement être accompagnée de mesures de protection rigoureuses, telles que des interdictions contractuelles liées à la réidentification, des droits de vérification et des contrôles d'accès techniques.

De même, un ensemble de données dépersonnalisées contenant des adresses IP ne peut pas constituer des renseignements personnels lorsqu'il est détenu par une organisation commerciale. Cela dit, cette évaluation pourrait changer si les données sont mises à la disposition des forces de l'ordre qui disposent de moyens et de motivations supplémentaires pour associer les renseignements à des personnes identifiables dans le cadre d'une enquête.

Ces dynamiques rendent certaines exigences en matière de lois sur la protection de la vie privée (mesures de protection, limites à la divulgation, gestion des tiers, etc.) inéluctables pour tout ensemble de données dépersonnalisées auquel est associé un risque résiduel de réidentification.

Impossibilité d'atteindre le seuil de dépersonnalisation : que faire?

Si une organisation ne peut pas atteindre le seuil de dépersonnalisation, l'effort n'est pas vain. Les mesures de dépersonnalisation réduisent les risques pour la vie privée et peuvent favoriser le respect d'autres obligations découlant des lois sur la protection de la vie privée, même si elles ne permettent pas une véritable anonymisation. Cependant, les organisations doivent reconnaître le fait que les renseignements qui ne sont pas entièrement dépersonnalisés sont assujettis à toutes les exigences de la législation sur la protection de la vie privée applicable. En vertu de la LPRPDE, par exemple, l'organisation doit s'assurer qu'elle a obtenu un consentement valide pour traiter les renseignements (sauf si une exception reconnue s'applique), qu'elle traite les renseignements uniquement à des fins appropriées et qu'elle détruit ou efface les renseignements lorsqu'ils ne sont plus nécessaires aux fins pour lesquelles ils ont été recueillis.

Points à retenir

Le contexte juridique régissant l'anonymisation et la dépersonnalisation au Canada est complexe et continue d'évoluer. Les normes varient d'un territoire à l'autre : la LPRPDE, la législation québécoise sur la protection de la vie privée dans le secteur privé et les lois provinciales sur les renseignements relatifs à la santé imposent toutes des exigences distinctes.

Des décisions récentes du CPVP mettent en évidence que le seuil à atteindre pour une dépersonnalisation efficace est élevé, que le fardeau de la preuve incombe entièrement à l'organisation qui doit démontrer le caractère suffisant de la dépersonnalisation et que l'évaluation doit être constante plutôt qu'un exercice ponctuel.

Les organisations qui recueillent, conservent ou traitent des renseignements personnels devraient obtenir des conseils juridiques pour s'assurer que leurs pratiques d'anonymisation et de dépersonnalisation respectent les exigences légales applicables et sont appuyées par des mesures de protection techniques et organisationnelles appropriées.

[1] Conclusions en vertu de la LPRPDE no 2026-001 du CPVP (5 mars 2026), que vous pouvez consulter ici.
[2] CPVP, Enquête sur la collecte et l'utilisation de données dépersonnalisées sur la mobilité dans le cadre de la pandémie de COVID-19 (29 mai 2023), que vous pouvez consulter ici. Bien que cette enquête ait été menée en vertu de la Loi sur la protection des renseignements personnels du gouvernement fédéral, celle-ci contient une définition similaire du terme « renseignement personnel ».

Par Robbie Grant

Mise en garde

Le contenu du présent document ne fournit qu'un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2026