ChatGPT
Claude
Perplexity
Gemini
GrokUn audit Loi 25 école ne se fait pas au feeling — il se fait avec une checklist
Un audit Loi 25 dans une école supérieure, c'est un inventaire méthodique de ce que vous collectez, pourquoi vous le collectez, comment vous le stockez, et ce que vous en faites. Sans checklist structurée, les oublis sont garantis : le fichier Excel du salon que personne n'a anonymisé, le DPA jamais signé avec le prestataire chatbot, les conversations prospects stockées sans durée de rétention.
62 % des écoles n'ont pas de procédure documentée pour le traitement des données prospects (Source : enquête Skolbot auprès de 62 responsables marketing d'écoles, décembre 2025). Cette checklist en 20 points couvre l'intégralité du périmètre Loi 25 d'une école supérieure privée, y compris les obligations IA Act. Chaque point est actionnable et priorisé.
Pour le cadre global, consultez notre guide Loi 25 complet pour les données étudiantes.
Partie 1 — Gouvernance et base légale (points 1 à 5)
1. Vérifier la désignation et l'indépendance du DPO
Le DPO (Délégué à la protection des données) est obligatoire pour toute école traitant des données à grande échelle (Loi 25, article 37). Ce que l'audit vérifie : le DPO est-il formellement désigné ? A-t-il un accès direct à la direction ? Cumule-t-il avec une fonction décisionnelle (directeur IT, directeur juridique) — ce qui crée un conflit d'intérêts ?
Action : vérifier la lettre de mission du DPO, confirmer son indépendance, et s'assurer que sa déclaration CAI du Québec est à jour.
2. Dresser et mettre à jour le registre des traitements
Le registre des traitements (article 30) est le document pivot de la conformité Loi 25. Il doit lister chaque traitement de données personnelles : finalité, catégories de données, base légale, durées de conservation, et destinataires. La [CAI du Québec](https://www.(cai.gouv.qc.ca) fournit un modèle de registre, mais la plupart des écoles ne le tiennent pas à jour.
Action : passer en revue chaque service (admissions, scolarité, marketing, IT, comptabilité) et vérifier que leurs traitements figurent au registre avec une base légale explicite.
3. Valider la base légale de chaque traitement
Quatre bases légales couvrent 95 % des traitements d'une école : exécution du contrat (scolarité, facturation), obligation légale (transmissions rectorat, diplômes), intérêt légitime (marketing, analytics), et consentement (newsletters, cookies). L'erreur classique : tout baser sur le consentement, qui est révocable à tout moment.
Action : pour chaque traitement du registre, vérifier que la base légale est correcte. Migrer les traitements indûment basés sur le consentement vers la bonne base.
4. Vérifier l'existence et la qualité des analyses d'impact (AIPD)
L'article 35 du Loi 25 exige une analyse d'impact pour tout traitement à risque élevé. Pour une école, cela concerne au minimum : le déploiement d'un chatbot IA, l'utilisation d'outils d'IA pour les admissions, la vidéosurveillance campus, et le profilage marketing.
Action : lister les traitements à risque élevé, vérifier qu'une AIPD existe pour chacun, et qu'elle est à jour (moins de 2 ans ou mise à jour après modification du traitement).
5. Documenter les procédures de réponse aux droits des personnes
Le Loi 25 confère huit droits aux personnes (accès, rectification, effacement, limitation, portabilité, opposition, décision automatisée, retrait du consentement). Votre école doit pouvoir répondre à chacun en un mois maximum. Le coût d'acquisition par étudiant varie de 1 500 à 2 200 CAD en France (Source : estimations BCEI, Univcan, EAB, BCI (Bureau de coopération interuniversitaire)) — chaque demande d'effacement représente une perte d'investissement marketing mesurable.
Action : tester la procédure en simulant une demande d'effacement. Mesurer le délai réel de réponse et le nombre de systèmes impliqués (CRM, chatbot, emailing, analytics, backups).
Partie 2 — Collecte et consentement (points 6 à 10)
6. Auditer chaque point de collecte de données
Les données personnelles entrent dans votre système par des dizaines de canaux : formulaires du site, chatbot, inscription Portes ouvertes, salons, SRAM/SRACQ, candidatures spontanées, appels téléphoniques. L'audit doit les inventorier tous.
89 % des prospects posent une question sur les frais de scolarité et 78 % sur l'alternance (Source : analyse de 12 000 conversations chatbot Skolbot, sept. 2025 — fév. 2026). Ces conversations génèrent des données personnelles dès qu'un identifiant est associé.
Action : cartographier chaque formulaire, chatbot, et point de contact physique. Pour chacun, vérifier : quelles données sont collectées ? Le prospect est-il informé ? La base légale est-elle affichée ?
7. Contrôler la conformité des formulaires de consentement
Le consentement Loi 25 doit être libre, spécifique, éclairé et univoque : pas de case pré-cochée, pas de consentement groupé, pas de conditionnement de l'accès à l'information à la fourniture de données.
Action : auditer chaque formulaire. Cases marketing décochées par défaut, texte distinguant chaque finalité, lien vers la politique de confidentialité visible.
8. Vérifier la gestion du consentement cookies
Les [lignes directrices CAI du Québec sur les cookies](https://www.(cai.gouv.qc.ca) imposent un consentement préalable pour tout cookie non essentiel. L'audit vérifie : votre bandeau cookies offre-t-il un refus aussi simple que l'acceptation ? Les cookies sont-ils réellement bloqués avant consentement (pas juste le bandeau affiché) ? La preuve de consentement est-elle conservée ?
Action : tester le site avec un navigateur vierge. Vérifier que Google Analytics, pixels Meta et autres trackers ne se chargent pas avant le clic « Accepter ».
9. Vérifier le traitement des données de mineurs
En France, le seuil de consentement numérique est à 15 ans. Les programmes techniques et certains BTS accueillent des mineurs de 16-17 ans pour lesquels le consentement parental est requis.
Action : vérifier que les formulaires et le chatbot identifient les mineurs et déclenchent un mécanisme de vérification parentale (email parental, double opt-in).
10. Contrôler la minimisation des données collectées
Le principe de minimisation (article 5.1.c) impose de ne collecter que le strict nécessaire. Un chatbot ne devrait pas exiger le nom et l'email pour répondre à une question sur les programmes.
Action : pour chaque formulaire, lister les champs obligatoires et vérifier qu'ils sont justifiés par la finalité déclarée.
Partie 3 — Stockage et sécurité (points 11 à 15)
11. Vérifier les durées de conservation et la purge automatisée
La CAI du Québec recommande 3 ans après le dernier contact pour les prospects, 10 ans pour les données comptables, et la durée légale pour les diplômes. L'audit vérifie que la purge est effective, pas théorique.
Action : interroger la base de données. Des prospects de plus de 3 ans y figurent-ils encore ? Si oui, la purge automatisée ne fonctionne pas.
12. Contrôler le chiffrement en transit et au repos
Chiffrement en transit (TLS 1.3) et au repos (AES-256) sur toute la chaîne : site web, APIs, bases de données, sauvegardes.
Action : vérifier le certificat SSL de chaque endpoint via SSL Labs. Confirmer le chiffrement au repos de la base.
13. Vérifier l'hébergement européen des données
Conformément aux recommandations de l'EDPB (Comité européen de la protection des données), les données personnelles doivent être hébergées dans l'UE. Chaque transfert hors UE nécessite des garanties (clauses contractuelles types, décision d'adéquation).
Action : lister tous les services qui traitent des données personnelles (hébergeur, CRM, emailing, analytics, chatbot). Pour chacun, vérifier la localisation des serveurs et l'existence de clauses contractuelles types si le transfert est hors UE.
14. Auditer les accès et la journalisation
Qui a accès à quelles données, et depuis quand ? L'audit vérifie que les accès sont limités au strict nécessaire (principe du moindre privilège) et que les accès sont tracés.
Action : extraire la liste des utilisateurs ayant accès au CRM, à la base étudiants, et aux outils d'emailing. Vérifier que les comptes d'anciens collaborateurs sont désactivés. Confirmer que les logs d'accès sont conservés et exploitables.
15. Tester les sauvegardes et la restauration
Les sauvegardes doivent être chiffrées, régulières, et — surtout — testées. Une sauvegarde qui n'a jamais été restaurée avec succès n'est pas une sauvegarde.
Action : demander la date du dernier test de restauration. S'il date de plus de 6 mois (ou n'a jamais eu lieu), planifier un test immédiatement.
Partie 4 — Sous-traitants et transferts (points 16 à 18)
16. Vérifier les DPA (Data Processing Agreements) avec chaque sous-traitant
L'article 28 impose un DPA avec chaque prestataire traitant des données pour votre compte : hébergeur, CRM, emailing, chatbot, analytics, visioconférence. Le DPA précise : objet, durée, catégories de données, obligations, et sous-traitance ultérieure.
Action : lister tous les sous-traitants. Vérifier l'existence d'un DPA signé et à jour. Prioriser ceux à fort volume (CRM, chatbot) et ceux traitant des données sensibles.
17. Contrôler les transferts internationaux de données
Tout transfert hors de l'EEE exige une base juridique : décision d'adéquation, clauses contractuelles types (CCT), ou règles d'entreprise contraignantes. Les transferts vers les États-Unis nécessitent une vigilance particulière, même sous le Data Privacy Framework.
Action : pour chaque sous-traitant du point 16, vérifier la localisation des serveurs et le mécanisme de transfert. Un SaaS américain sans CCT est un risque de non-conformité.
18. Auditer les sous-traitants de vos sous-traitants
Le Loi 25 impose de connaître les sous-traitants ultérieurs (article 28, paragraphe 2). Votre CRM utilise AWS ? Votre chatbot un modèle IA hébergé chez un tiers ? Ces chaînes doivent être documentées.
Action : demander à chaque sous-traitant sa liste de sous-traitants ultérieurs. Vérifier les garanties équivalentes.
Partie 5 — IA et obligations spécifiques (points 19 à 20)
19. Classifier vos systèmes d'IA selon l'IA Act
L'IA Act (règlement UE 2024/1689) classe les systèmes d'IA par niveau de risque. Pour une école, les principales catégories sont :
- Haut risque — scoring de candidatures, notation automatisée, aide à la décision d'admission. Obligations : gestion des risques, supervision humaine, transparence, enregistrement dans la base européenne.
- Risque limité — chatbot d'information, assistant FAQ. Obligation principale : informer le prospect qu'il interagit avec une IA.
Les obligations pour les systèmes à haut risque entrent en vigueur en août 2026. Les écoles qui utilisent des outils d'IA pour le tri des candidatures doivent se préparer maintenant.
Pour le détail des obligations par catégorie, consultez notre article sur l'IA Act et l'enseignement supérieur.
Action : dresser l'inventaire de tous les systèmes d'IA utilisés dans l'école (chatbot, scoring, anti-plagiat, recommandation). Classifier chacun selon le niveau de risque IA Act. Pour les systèmes à haut risque, vérifier l'existence d'un dossier de conformité.
20. Vérifier la transparence algorithmique et la supervision humaine
L'IA Act et le Loi 25 (article 22) convergent : toute décision automatisée ayant un effet significatif (admission, exclusion, bourse) exige une supervision humaine effective. L'IA recommande, l'humain décide.
Action : pour chaque système d'IA à haut risque, vérifier : (a) supervision humaine documentée, (b) information du prospect/étudiant, (c) procédure de contestation fonctionnelle.
Synthèse : tableau récapitulatif de la checklist
| # | Point d'audit | Domaine | Priorité | Fréquence |
|---|---|---|---|---|
| 1 | Désignation et indépendance du DPO | Gouvernance | Critique | Annuelle |
| 2 | Registre des traitements à jour | Gouvernance | Critique | Semestrielle |
| 3 | Base légale par traitement | Gouvernance | Critique | À chaque nouveau traitement |
| 4 | Analyses d'impact (AIPD) | Gouvernance | Haute | Annuelle ou à chaque modification |
| 5 | Procédures de droits des personnes | Gouvernance | Haute | Annuelle + test simulé |
| 6 | Cartographie des points de collecte | Collecte | Haute | Semestrielle |
| 7 | Conformité des formulaires de consentement | Collecte | Critique | Trimestrielle |
| 8 | Gestion du consentement cookies | Collecte | Critique | Trimestrielle |
| 9 | Traitement des données de mineurs | Collecte | Haute | Annuelle |
| 10 | Minimisation des données collectées | Collecte | Moyenne | Semestrielle |
| 11 | Durées de conservation et purge | Stockage | Critique | Semestrielle |
| 12 | Chiffrement en transit et au repos | Sécurité | Critique | Annuelle |
| 13 | Hébergement européen des données | Sécurité | Haute | À chaque nouveau prestataire |
| 14 | Accès et journalisation | Sécurité | Haute | Trimestrielle |
| 15 | Sauvegardes et restauration | Sécurité | Haute | Semestrielle |
| 16 | DPA avec sous-traitants | Sous-traitance | Critique | Annuelle |
| 17 | Transferts internationaux | Sous-traitance | Haute | À chaque nouveau prestataire |
| 18 | Sous-traitants ultérieurs | Sous-traitance | Moyenne | Annuelle |
| 19 | Classification IA Act | IA | Haute | Annuelle |
| 20 | Transparence algorithmique | IA | Haute | Annuelle |
Comment organiser l'audit en pratique
L'audit mobilise quatre acteurs minimum : le DPO, la direction des admissions, la DSI, et la direction marketing. Calendrier : audit complet annuel (20 points) + vérifications trimestrielles sur les points critiques (consentement, cookies, accès). Chaque point audité produit une fiche : résultat (conforme / non conforme / partiel), preuve, et action corrective. C'est la première chose que la [CAI du Québec](https://www.(cai.gouv.qc.ca) demandera en cas de contrôle.
Pour les mesures techniques de protection des données prospects, consultez notre guide dédié.
FAQ
Combien de temps dure un audit Loi 25 complet pour une école ?
Entre 3 et 6 semaines selon la taille de l'établissement et la maturité du dispositif. Les écoles qui ont déjà un registre à jour et un DPO actif gagnent du temps. La phase la plus longue est l'audit des sous-traitants (points 16 à 18), car elle dépend du délai de réponse des prestataires.
Faut-il un audit spécifique si l'école utilise un chatbot IA ?
Oui. Un chatbot IA constitue un traitement distinct qui doit figurer au registre. Si le modèle de langage est hébergé hors UE, les points 13 et 17 sont directement impactés. L'IA Act ajoute l'obligation d'informer le prospect qu'il interagit avec une IA. 91 % des visiteurs d'un site d'école quittent sans premier contact (Source : analyse entonnoir Skolbot, 30 écoles, cohorte 2025-2026) — le chatbot est souvent le seul point de collecte avant la candidature, ce qui rend sa conformité critique.
Quelles sont les sanctions en cas de non-conformité Loi 25 pour une école ?
Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. En 2025, la CAI du Québec a sanctionné des organismes de formation pour défaut de base légale et collecte excessive. Au-delà de l'amende, une mise en demeure publique ternit la réputation auprès des prospects et de leurs parents.
L'audit Loi 25 couvre-t-il aussi les obligations IA Act ?
Pas nativement. Les points 19 et 20 de cette checklist étendent le périmètre à la classification IA et à la transparence algorithmique. Loi 25 et IA Act sont complémentaires : l'un protège les données, l'autre encadre les systèmes qui les traitent. Un audit intégré évite les doublons. Pour le détail, consultez notre guide IA Act.
Cette checklist en 20 points est le socle de chaque cycle d'audit. Les écoles qui l'intègrent dans leur gouvernance annuelle réduisent leur exposition aux sanctions et renforcent la confiance des prospects.
À lire aussi : Comparatif des chatbots IA pour l'éducation
