Notes from the IAPP Canada: Key lessons from the OPC's Loblaw decision

A recent finding from the Office of the Privacy Commissioner of Canada on data associated with Loblaw's popular loyalty program, Optimum, offers timely guidance for organizations seeking to retain and use anonymized information for secondary purposes, from analytics to program improvement and other forms of business insight. 

While the finding addresses a range of issues, I wanted to hone in on three key takeaways that are especially relevant to anonymization, because I think this aspect of the finding deserves more attention.

Secondary uses are not off-limits. I was happy to see the OPC clearly acknowledge a practical reality about data: real value can be derived from using data for secondary purposes, to the benefit of both organizations and individuals. 

The finding does not treat secondary use itself as a problem. It recognizes that the Personal Information Protection and Electronic Documents Act allows data that is no longer required for its original purpose to be made anonymous, rather than destroyed or erased. 

That is an important signal that confirms organizations do not have to choose between extracting value from data and acting responsibly. The question becomes whether an organization can support its position that retained information has in fact been sufficiently anonymized. 

Anonymization does not mean zero risk. The finding also gives useful clarity on how the OPC is framing anonymization under PIPEDA. The standard it emphasizes is not some impossible-to-meet, zero-risk threshold. It is whether the organization has taken steps to ensure there is no serious possibility that the retained information may be re-identified, whether on its own or in combination with other available information. 

This gives organizations a workable and credible benchmark. It reinforces that anonymization is not about perfection, but about applying the right measures and managing the risk seriously. 

Independent review of anonymization processes is expected. A remedy in the OPC's finding is also notable. They recommended an independent third-party review of the organization's anonymization process to assess whether standards have been met. 

That signals an expectation that anonymization claims should not just be supported by internal judgment, but by credible and trusted experts to reduce any doubt. All this to say, evidence, documentation and a defensible process are no longer optional. There was actually an interesting webinar this week on how large language models can help automate that. 

This isn't just a private sector issue and it's one reason the government of Canada's newly launched consultation on updating the Privacy Act is worth watching closely — a topic that deserves its own digest article soon. It raises broader questions about how public institutions should approach responsible non-administrative uses of personal information and related data practices.

On deidentification and anonymization, the government's consultation paper proposes putting both concepts directly into the Privacy Act with separate definitions. It proposes defining "de-identify" as modifying personal data so an individual cannot be directly identified, while some risk of re-identification still remains. It proposes defining "anonymize" as the irreversible and permanent modification of personal data in accordance with best practices to ensure there is no reasonably foreseeable risk of re-identification. 

The policy direction is notable: enabling broader lawful reuse of personal data for secondary public-sector purposes, but within a framework grounded in necessity, proportionality and safeguards rather than a consent-first model. I think it's actually one of the more consequential shifts in the paper.

There is another point that will be of interest to anyone working in this space. The government also proposes creating offenses for the intentional re-identification of deidentified data, except in limited circumstances permitted by law or regulation, such as investigations or national security. I think that's a meaningful signal that suggests the government wants to support greater use of deidentified data, but with clearer guardrails around misuse.

On the broader theme of data and transparency, I also wanted to flag that the Information and Privacy Commissioner of Ontario announced this week its Transparency Challenge 3.0. Once again, the IPC is inviting organizations they oversee to submit projects that reflect best practices in open data and transparency. 

This year, it has highlighted interest in initiatives aimed at countering misinformation, improving public access to environmental information and demonstrating how organizations are transparent in their use of artificial intelligence. Selected projects are featured in a virtual 3D gallery that others can browse to learn more. 

For organizations that are doing strong work in this area, I think this is an amazing opportunity to demonstrate leadership and have those efforts publicly recognized.

Notes de l’IAPP Canada : Principales leçons de la décision Loblaw de l’OPC

Une récente conclusion du Commissariat à la protection de la vie privée du Canada (CPVP), dans le cadre d’une enquête sur des données associées au populaire programme de fidélité PC Optimum de Loblaw, offre des indications utiles et opportunes aux organisations qui cherchent à conserver et à utiliser des renseignements anonymisés à des fins secondaires, qu’il s’agisse d’analytique, d’amélioration de programmes ou d’autres formes d’analyse commerciale. Même si le rapport de conclusion traite d’un éventail d’enjeux, je veux m’arrêter à trois points à retenir qui me semblent particulièrement importants en matière d’anonymisation, car je ne pense pas que cet aspect de la conclusion reçoive toute l’attention qu’il mérite.

1. Les utilisations secondaires ne sont pas interdites : J’ai été heureux de voir que le CPVP reconnaît clairement une réalité pratique des données : il est possible de tirer une réelle valeur de l’utilisation de données à des fins secondaires, au bénéfice à la fois des organisations et des personnes. Le rapport de conclusion ne présente pas l’utilisation secondaire en soi comme un problème. Il reconnaît que la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) prévoit que les renseignements personnels dont on n’a plus besoin pour la fin initiale peuvent être dépersonnalisés plutôt que détruits ou effacés. C’est un signal important qui confirme que les organisations n’ont pas à choisir entre tirer de la valeur des données et agir de façon responsable. L’enjeu devient alors de savoir si une organisation peut appuyer sa position selon laquelle les renseignements conservés ont bel et bien été suffisamment anonymisés.
2. L’anonymisation ne veut pas dire risque zéro : Le rapport de conclusion apporte aussi des précisions utiles sur la façon dont le CPVP envisage la dépersonnalisation au regard de la LPRPDE. La norme mise de l’avant n’est pas un seuil impossible à atteindre de risque nul. Il s’agit plutôt de savoir si l’organisation a pris des mesures pour veiller à ce qu’il n’existe aucune possibilité sérieuse que les renseignements conservés puissent permettre la réidentification des personnes concernées, soit en les utilisant seuls ou en combinaison avec d’autres renseignements disponibles. Cela donne aux organisations un critère à la fois praticable et crédible. Cela renforce l’idée que l’anonymisation n’est pas une question de perfection, mais bien d’application des bonnes mesures et de prise au sérieux du risque.
3. On s’attend à un examen indépendant des processus de dépersonnalisation : Une mesure corrective recommandée dans le rapport de conclusion du CPVP mérite aussi d’être soulignée. Le Commissariat a recommandé que l’organisation fasse appel à un tiers indépendant pour examiner et évaluer son processus de dépersonnalisation afin de déterminer si les normes ont été respectées. Cela indique qu’on s’attend à ce que les affirmations en matière d’anonymisation reposent sur plus qu’un simple jugement interne, et qu’elles soient étayées par des experts crédibles et fiables afin de dissiper les doutes. Bref, des preuves, de la documentation et un processus défendable ne sont plus facultatifs. Il y a d’ailleurs eu cette semaine un webinaire intéressant démontrant que les grands modèles de langage (LLMs) peuvent aider à automatiser ce travail.

Ce n’est pas seulement une question pour le secteur privé. C’est aussi l’une des raisons pour lesquelles la nouvelle consultation du gouvernement du Canada sur la modernisation de la Loi sur la protection des renseignements personnels mérite qu’on la suive de près, même si ce sujet mériterait à lui seul un prochain article dans le Dashboard Digest. Elle soulève des enjeux plus larges sur la façon dont les institutions publiques devraient aborder les utilisations responsables non administratives des renseignements personnels et les pratiques connexes en matière de données.

En ce qui concerne la dépersonnalisation et l’anonymisation, le document de consultation propose d’intégrer directement les deux notions à la Loi sur la protection des renseignements personnels, avec des définitions distinctes. Il propose de définir « dépersonnaliser » comme le fait de modifier des données personnelles afin de réduire le risque, sans pour autant l’éliminer, qu’un individu puisse être identifié directement. Il propose de définir « anonymiser » comme le fait de modifier de façon irréversible et permanente les données personnelles, de sorte qu’il n’y ait aucun risque raisonnablement prévisible de rétablissement de leur caractère identificateur. L’orientation stratégique est notable : permettre une réutilisation plus large et licite des données personnelles à des fins secondaires dans le secteur public, mais dans un cadre fondé sur la nécessité, la proportionnalité et des mesures de protection plutôt que sur un modèle axé d’abord sur le consentement. À mon avis, c’est en fait l’un des changements les plus importants du document.

Un autre point du document retiendra l’attention des gens qui travaillent dans ce domaine. Le gouvernement propose aussi de créer des infractions pour le rétablissement intentionnel du caractère identificateur de données dépersonnalisées, sauf dans certaines circonstances précises et limitées prévues par la loi ou la réglementation, comme les enquêtes ou la sécurité nationale. Je pense qu’il s’agit d’un signal important : le gouvernement semble vouloir favoriser une utilisation accrue des données dépersonnalisées, mais avec des garde-fous plus clairs contre les usages abusifs.

Sur le thème plus large des données et de la transparence, je voulais aussi signaler que la commissaire à l’information et à la protection de la vie privée de l’Ontario a annoncé cette semaine la troisième édition de son Défi de la transparence. Encore une fois, les organisations qu’elle surveille sont invitées à soumettre des projets qui reflètent des pratiques exemplaires en matière de données ouvertes, d’accès à l’information et de transparence. Cette année, le CIPVP met notamment en lumière des initiatives visant à lutter contre la mésinformation, à améliorer l’accès du public à des données environnementales et à montrer comment les organisations font preuve de transparence dans leur utilisation de l’intelligence artificielle. Certains projets sélectionnés pourraient être mis en vedette dans la Vitrine de la transparence, une galerie virtuelle 3D que d’autres peuvent parcourir pour en apprendre davantage. Pour les organisations qui font du travail solide dans ce domaine, j’y vois une excellente occasion de démontrer leur leadership et de faire reconnaître publiquement ces efforts.

This French companion article is not meant to be an exact translation, but rather an article that generally covers the same topic as the English article. Thanks to nNovation and Hayden Public Relations Privacy Consultant Anne-Marie Hayden for contributing.