ChatGPT
Claude
Perplexity
Gemini
GrokL'AI Act européen ne s'applique pas au Québec — mais votre établissement n'est pas sans obligations
Depuis que le Règlement (UE) 2024/1689 sur l'intelligence artificielle (AI Act) est entré en application en Europe, les directions d'établissements d'enseignement supérieur québécois reçoivent des questions de leurs équipes : faut-il s'y conformer ? La réponse courte est non — avec des nuances importantes.
L'AI Act est un règlement de l'Union européenne. Il s'applique aux systèmes d'IA dont les sorties sont utilisées sur le territoire de l'UE. Une université québécoise qui utilise un outil de scoring de candidatures pour des étudiants résidant au Québec n'est pas soumise à l'AI Act. Si ce même établissement recrute activement des candidats résidant en France ou en Belgique via un outil d'IA, la question se pose différemment — mais c'est un cas marginal pour la majorité des institutions.
Ce qui s'applique au Québec, c'est la Loi 25 — et elle crée des obligations réelles sur l'utilisation de l'IA. Le projet de loi fédéral C-27 (Loi sur l'intelligence artificielle et les données — LIAD), non encore adopté en mai 2026, dessine par ailleurs le cadre canadien futur. Ce guide présente les obligations actuelles et anticipe les évolutions à surveiller.
La Loi 25 : le cadre applicable maintenant
La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — dite Loi 25 — est entrée en vigueur en trois phases entre septembre 2022 et septembre 2023. Son application est complète depuis le 22 septembre 2023. L'autorité de contrôle est la Commission d'accès à l'information du Québec (CAI).
La Loi 25 s'applique à toute organisation du secteur privé qui collecte, utilise ou communique des renseignements personnels au Québec. Cela inclut les universités privées, les cégeps privés subventionnés et non subventionnés, les écoles de gestion, les écoles de technologie et l'ensemble des établissements d'enseignement supérieur privés opérant au Québec.
Les 5 obligations de la Loi 25 directement pertinentes pour les outils IA
1. Décision automatisée et droit à l'information (art. 12.1) Toute organisation qui utilise des renseignements personnels pour rendre une décision fondée exclusivement sur un traitement automatisé doit en informer la personne concernée. Elle doit lui permettre de présenter ses observations et de faire corriger les renseignements utilisés. Dans un contexte d'admission, un outil de scoring qui produit automatiquement un résultat d'acceptation ou de refus déclenche cette obligation. La présentation d'un score à un jury humain pour décision finale peut ne pas suffire à écarter l'obligation si le traitement automatisé est prépondérant.
2. Évaluation des facteurs relatifs à la vie privée — EFVP (art. 3.3) Avant de mettre en œuvre tout projet impliquant la collecte de renseignements personnels et faisant appel à des technologies offrant un risque pour la vie privée, l'établissement doit réaliser une EFVP. Les systèmes d'IA appliqués à des données de candidats ou d'étudiants déclenchent cette obligation. L'EFVP doit être complétée avant le déploiement, pas après.
3. Transparence sur les profils (art. 8.1) Lorsqu'un établissement utilise des renseignements personnels pour créer un profil d'une personne à des fins de personnalisation ou de prise de décision, il doit en informer la personne et lui permettre de s'y opposer. Les CRM avec scoring de prospects et les outils de personnalisation des parcours de recrutement entrent dans cette catégorie.
4. Minimisation des renseignements personnels (art. 5) Seuls les renseignements nécessaires à la finalité explicitement déclarée peuvent être collectés. Un chatbot d'admissions qui collecte des données non nécessaires à sa fonction déclaré viole ce principe, même si le consentement a été obtenu.
5. Désignation d'un Responsable de la protection des renseignements personnels — RPRP Toute organisation assujettie à la Loi 25 doit désigner un RPRP. Ce rôle est distinct du DPO européen : il est défini par la loi québécoise et supervisé par la CAI. Son identité doit être publiée sur le site web de l'établissement et communiquée à la CAI sur demande.
Le projet de loi C-27 (LIAD) : ce qui pourrait changer
Le projet de loi C-27 fédéral comprend la Loi sur l'intelligence artificielle et les données (LIAD). À la date de rédaction de cet article (mai 2026), la LIAD n'est pas encore adoptée. Elle est en discussion parlementaire depuis 2022 et a fait l'objet de plusieurs amendements.
La LIAD, si elle est adoptée dans sa version actuelle, créerait les obligations suivantes pour les systèmes d'IA « à incidence élevée » :
- Identifier et documenter les risques de préjudice ou de résultat biaisé
- Mettre en place des mesures d'atténuation de ces risques
- Tenir et conserver des registres des systèmes déployés
- Notifier le Commissaire à l'IA et aux données (rôle à créer) en cas d'incident
Les universités et collèges utilisant des outils de sélection automatisée de candidatures tomberaient probablement dans la catégorie « incidence élevée » telle que définie dans les projets de réglementation secondaire associés à la LIAD.
Recommandation pratique : n'attendez pas l'adoption de la LIAD pour auditer vos outils IA. La Loi 25 crée dès maintenant des obligations suffisantes pour justifier cet exercice. Les établissements qui auront documenté leurs systèmes et processus dans le cadre de la Loi 25 seront mieux positionnés pour se conformer rapidement à la LIAD une fois adoptée.
Tableau comparatif : EU AI Act, Loi 25 et LIAD
| Critère | EU AI Act (UE) | Loi 25 (Québec, en vigueur) | LIAD (Canada, projet) |
|---|---|---|---|
| Application au Québec | Non (sauf recrutement actif en UE) | Oui — toutes organisations privées | Non encore adopté |
| Classification des risques | 4 niveaux (inacceptable / haut / limité / minimal) | Pas de classification formelle — évaluation cas par cas (EFVP) | « Incidence élevée » à définir par règlement secondaire |
| Décision automatisée | Haut risque si admission / évaluation | Art. 12.1 : information et droit à correction | Mesures d'atténuation obligatoires |
| Transparence IA | Art. 50 : identification obligatoire pour chatbots | Art. 8.1 : information sur le profilage | Transparence prévue dans obligations incidence élevée |
| Évaluation d'impact | AIPD si haut risque (art. 26 + RGPD) | EFVP obligatoire avant déploiement de toute technologie à risque vie privée | Évaluation des risques prévue |
| Sanctions | Jusqu'à 35 M€ ou 7 % du CA mondial | Jusqu'à 25 M$ CAD ou 4 % du CA mondial annuel | Amendes administratives, jusqu'à 25 M$ CAD (projetées) |
| Autorité de contrôle | APD nationale (selon État membre) | CAI — Commission d'accès à l'information du Québec | Commissaire à l'IA et aux données (à créer) |
| Rôle obligatoire | DPO (déployeur haut risque) | RPRP (toute organisation) | À définir |
Ce que les établissements québécois doivent faire maintenant
La conformité à la Loi 25 pour les usages IA n'est pas optionnelle. Voici les actions prioritaires pour les universités, CEGEP et écoles supérieures.
1. Inventaire des outils IA Listez tous les systèmes d'IA en usage : chatbot, CRM avec scoring de prospects, outils de sélection des candidatures, systèmes de détection de plagiat, outils de personnalisation du parcours de recrutement. Incluez les outils des prestataires tiers qui traitent des renseignements personnels de vos candidats.
2. EFVP pour chaque outil à risque Pour tout outil d'IA traitant des renseignements personnels et pouvant affecter une personne, complétez une Évaluation des facteurs relatifs à la vie privée. La CAI a publié un guide méthodologique sur son site. Le Commissariat à la protection de la vie privée du Canada (CPVP) offre également des ressources complémentaires au niveau fédéral. Si votre établissement n'a pas encore réalisé d'EFVP pour son chatbot ou son CRM, cette démarche est prioritaire.
3. Vérification de l'article 12.1 pour vos outils de sélection Si votre établissement utilise un outil produisant automatiquement une décision ou un score influençant directement une décision d'admission, vérifiez que vos candidats sont informés de cette pratique et qu'un mécanisme leur permet de présenter leurs observations.
4. Transparence du chatbot Même si l'article 50 de l'AI Act ne s'applique pas au Québec, la transparence sur le caractère automatisé des interactions est une bonne pratique et s'inscrit dans le principe de transparence de la Loi 25. 72 % des questions prospects sont automatisables par FAQ, 7 % seulement nécessitent une intervention humaine (Source : Classification automatique sur 12 000 conversations Skolbot, 2025). Identifier clairement les interactions IA et offrir un accès humain pour les 7 % restants est à la fois conforme à la Loi 25 et efficace opérationnellement.
5. Publication des coordonnées du RPRP Le nom et les coordonnées du RPRP doivent être publiés sur le site web de l'établissement. Vérifiez que cette information est à jour et accessible.
Pour les implications spécifiques de la Loi 25 sur les données des prospects étudiants, consultez notre guide sur les données étudiantes et RGPD. Sur les biais dans les outils IA de sélection — une préoccupation directement adressée par l'article 12.1 — notre article sur les biais IA dans le recrutement étudiant est directement applicable au contexte québécois.
FAQ
Une université québécoise doit-elle se conformer à l'AI Act si elle recrute des étudiants internationaux français ?
Potentiellement oui, mais uniquement pour les traitements qui affectent directement des personnes résidant dans l'UE. Si l'université utilise un outil de scoring de candidatures pour traiter automatiquement les dossiers de candidats résidant en France, cet usage spécifique tombe dans le champ d'application extraterritorial de l'AI Act. En pratique, la plupart des universités québécoises n'ont pas de processus de sélection automatisée distincts pour leurs candidats internationaux européens — la Loi 25 reste le cadre primaire.
La Loi 25 oblige-t-elle à informer les candidats de l'utilisation d'un algorithme de scoring ?
Oui, si l'algorithme produit une décision fondée exclusivement sur un traitement automatisé au sens de l'article 12.1. Si un jury humain examine chaque dossier indépendamment du score produit, l'obligation s'applique de manière atténuée, mais la bonne pratique est d'informer les candidats de l'utilisation de tels outils dans tous les cas.
Les CEGEP publics sont-ils assujettis à la Loi 25 ?
Les CEGEP publics relèvent de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi sur l'accès), pas de la Loi 25. Les obligations sur les décisions automatisées et l'EFVP sont présentes dans les deux lois, avec des modalités légèrement différentes. Ce guide se concentre sur le secteur privé, mais les CEGEP publics ont des obligations analogues au titre de la Loi sur l'accès.
La LIAD sera-t-elle adoptée avant la fin de 2026 ?
Au rythme des travaux parlementaires observés depuis 2022, l'adoption de la LIAD avant fin 2026 reste incertaine. Plusieurs amendements substantiels ont été proposés et les consultations se poursuivent. Il est prudent de se préparer à son adoption sans en dépendre pour structurer votre conformité actuelle — la Loi 25 fournit un cadre suffisant pour agir maintenant.
Un établissement québécois utilisant un chatbot doit-il le déclarer à la CAI ?
Non, il n'existe pas d'obligation de déclaration des chatbots à la CAI. L'obligation est de réaliser une EFVP avant le déploiement si le chatbot traite des renseignements personnels et présente un risque pour la vie privée — ce qui est généralement le cas d'un chatbot d'admissions. La CAI peut examiner l'EFVP dans le cadre d'un contrôle, mais elle n'est pas déposée proactivement.
Cet article a une visée informative générale. Il ne constitue pas un avis juridique. Pour toute décision relative à vos obligations spécifiques au titre de la Loi 25 ou d'autres lois applicables au Québec ou au Canada, consultez un professionnel du droit des technologies ou votre RPRP.
Testez Skolbot sur votre école en 30 secondes
