Annonce

Le 16 octobre 2019

Le Commissariat à la protection de la vie privée du Canada termine une enquête sur les pratiques d’authentification et de transfert de données utilisées pour une offre de cartes-cadeaux de Loblaw

Le Commissariat à la protection de la vie privée du Canada (Commissariat) a terminé une enquête sur la collecte de renseignements personnels liée à une offre de cartes-cadeaux des Compagnies Loblaw ltée. Ces cartes-cadeaux étaient proposées dans la foulée d’un examen, par le Bureau de la concurrence du Canada, d’allégations selon lesquelles Loblaw et d’autres détaillants auraient fait payer trop cher aux clients certains produits de boulangerie emballés.

L’enquête du Commissariat a révélé que Loblaw avait recueilli, du moins au départ, une quantité excessive de renseignements personnels, notamment des numéros de permis de conduire et les photos y figurant, dans le but de valider l’identité de certains clients qui demandaient une carte-cadeau de 25 $.

Lors de cette collecte excessive, Loblaw a omis d’expliquer aux individus que le nom et l’adresse étaient nécessaires pour vérifier leur identité, mais qu’il était possible de caviarder d’autres renseignements plus sensibles, par exemple les numéros de permis de conduire, les dates de naissance et les photos numériques (lesquelles constituent une forme de données biométriques).

Au cours de l’enquête, Loblaw a pris des mesures visant à réduire la quantité de renseignements recueillis, à la satisfaction du Commissariat.

L’enquête a aussi porté sur des questions concernant le transfert de données aux fins de traitement, pratique qui a récemment fait l’objet d’une consultation menée par le Commissariat auprès d’intervenants.

Selon la conclusion de l’enquête, Loblaw n’était pas tenue d’obtenir un consentement supplémentaire pour transférer le nom et l’adresse des intéressés aux fins de traitement, car il avait déjà obtenu leur consentement à cette utilisation par le tiers administrant les demandes.

En outre, Loblaw a fait preuve d’une transparence adéquate concernant la circulation transfrontalière des données aux États-Unis et au Salvador dans la politique de confidentialité du programme.

Enfin, les exigences contractuelles détaillées imposées par Loblaw étaient suffisantes pour assurer un niveau de protection comparable à celui qui serait exigé sous le régime de la Loi sur la protection des renseignements personnels et les documents électroniques, loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada. En particulier, le contrat conclu par Loblaw avec le tiers administrant les demandes renfermait une liste de d’exigences particulières en matière de mesures de protection et obligeait l’administrateur à soumettre ces mesures à la surveillance, au contrôle et aux vérifications de sécurité de l’entreprise.

On trouvera plus d’information sur cette enquête dans le Rapport de conclusions d’enquête.