ChatGPT
Claude
Perplexity
Gemini
GrokCe qu'un chatbot IA collecte concrètement sur vos prospects au Québec
Un chatbot IA de recrutement étudiant collecte des renseignements personnels dès la première interaction — bien avant que le prospect saisisse son nom. Adresse IP, horodatage de session, messages tapés, programme consulté : chacun de ces éléments est un renseignement personnel au sens de la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) et, pour les traitements de portée fédérale, de la LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques).
72 % des questions posées aux chatbots d'établissements sont automatisables (FAQ simple), 21 % nécessitent un contexte institutionnel, 7 % nécessitent un humain. (Source : Classification automatique sur 12 000 conversations Skolbot, 2025.) Chacune de ces 12 000 conversations est un traitement de renseignements soumis à la Loi 25. Et le chatbot a un avantage décisif sur les autres canaux : temps de réponse de 3 secondes, 24/7, contre 47 h par courriel et 72 h par formulaire (Source : Audit mystery shopping Skolbot, 2025, 80 établissements). Saisir cette opportunité nécessite une infrastructure de collecte conforme aux exigences québécoises et fédérales.
Voici les catégories de renseignements qu'un chatbot d'un établissement d'enseignement supérieur québécois collecte typiquement :
- Données conversationnelles — texte des messages, horodatage, langue utilisée, durée de session
- Identifiants fournis volontairement — prénom, nom, adresse courriel, numéro de cellulaire (si le prospect les communique pour être recontacté)
- Données d'intérêt — programme(s) consulté(s), niveau d'études visé (baccalauréat universitaire, maîtrise, DEC technique), modalité recherchée (temps plein, temps partiel, stage coopératif)
- Données démographiques volontaires — province ou pays de résidence, statut d'étudiant (québécois, hors-Québec, international)
- Données techniques — adresse IP, type d'appareil, navigateur, identifiant de session
La Commission d'accès à l'information du Québec (CAI) est l'autorité de contrôle pour la Loi 25. Le Commissariat à la protection de la vie privée du Canada (CPVP) supervise la LPRPDE. Les deux autorités rappellent que chaque traitement effectué via un chatbot doit reposer sur un fondement légal valide et que les personnes doivent être informées du traitement dès l'ouverture de la conversation. Pour une cartographie complète des renseignements personnels traités par votre établissement, consultez notre guide complet Loi 25 et données étudiantes au Québec.
Les fondements légaux applicables à chaque catégorie de renseignements
La Loi 25 repose sur le principe du consentement, mais reconnaît des exceptions. Quatre fondements couvrent la quasi-totalité des traitements d'un chatbot d'établissement québécois :
Consentement manifeste, libre et éclairé (art. 12 Loi 25) — La personne a donné son accord de façon manifeste, libre et éclairée. C'est le fondement adapté pour les communications marketing ultérieures (relances, infolettres, invitations aux portes ouvertes) déclenchées à partir d'une interaction chatbot. Le consentement ne peut pas être obtenu comme condition d'accès à l'information — exigence spécifique de la Loi 25 qui va plus loin que la LPRPDE fédérale. Le consentement doit être horodaté et conservé comme preuve.
Finalité raisonnable (art. 4 Loi 25 / principe 4.3 LPRPDE) — La collecte est nécessaire à une fin qu'une personne raisonnable estimerait acceptable dans les circonstances. Un prospect qui demande des informations sur les droits de scolarité ou les conditions d'admission : le traitement de son courriel pour lui envoyer la documentation demandée satisfait ce critère.
Exécution d'une obligation légale ou contractuelle — S'applique lorsque les renseignements doivent être traités pour respecter une obligation découlant de la loi ou d'un contrat. Applicable pour certaines obligations imposées par le MES (Ministère de l'Enseignement supérieur du Québec) ou pour les contrats d'admission.
Intérêt légitime documenté — La Loi 25 ne définit pas explicitement l'intérêt légitime comme la LPRPDE ou le RGPD, mais l'article 12 alinéa 7 autorise certains traitements à des fins raisonnables sans consentement. L'analyse anonymisée des conversations pour améliorer la qualité du chatbot peut s'y inscrire. Attention : la CAI a précisé que toute finalité de traitement doit être documentée avant la collecte.
Pour les renseignements sensibles — voir section suivante —, la Loi 25 exige un consentement exprès (art. 12 al. 2) et, pour tout système automatisé prenant des décisions ayant un effet sur la personne, une divulgation préalable spécifique (art. 22.1 Loi 25).
Le principe de minimisation : ne collecter que le nécessaire
La Loi 25 (article 5) et la LPRPDE (principe 4.4) imposent toutes deux de ne collecter que les renseignements nécessaires à la finalité déclarée. C'est le principe le plus fréquemment violé en pratique dans les chatbots d'établissements québécois.
Ce que cela signifie concrètement pour votre chatbot :
- Le chatbot ne doit pas exiger un courriel pour répondre à une question sur les programmes. Le courriel n'est nécessaire que si le prospect souhaite être recontacté ou recevoir un document.
- Le NAS (numéro d'assurance sociale) ne doit jamais être collecté lors d'une première interaction informative — c'est un identifiant sensible soumis à des obligations particulières en droit québécois et canadien.
- L'âge précis n'est pas nécessaire si le chatbot doit uniquement déterminer si le prospect est en 5e secondaire (avant le cégep) ou titulaire d'un DEC pré-universitaire (avant l'université). Une indication de niveau suffit.
- Les logs de conversation complets ne doivent pas être conservés indéfiniment. La finalité de la conservation (amélioration du service, transfert CRM) doit être définie avant la mise en production du chatbot — exigence directe de la Loi 25 en matière d'EFVP (évaluation des facteurs relatifs à la vie privée).
La CAI a publié des orientations sur l'IA et la protection des renseignements personnels qui renforcent la nécessité d'une approche privacy by design : la minimisation doit être intégrée dès la conception, pas en correctif.
Renseignements sensibles : citoyenneté, santé, situation socio-économique
Certains renseignements collectables via un chatbot d'établissement québécois appellent une protection particulière au sens de la Loi 25 et de la LPRPDE.
Origine et citoyenneté : le statut étudiant (québécois, hors-Québec, international) détermine les droits de scolarité — un étudiant français bénéfice de l'entente France-Québec, unique au monde, lui accordant les droits des étudiants québécois. La collecte de cette information pour orienter le prospect vers la bonne grille tarifaire est légitime, mais doit être documentée. Lorsque la collecte de la nationalité peut révéler une origine ethnique ou raciale, la Loi 25 et la Charte des droits et libertés de la personne (Québec) imposent une vigilance accrue.
Santé et handicap : les prospects cherchant des informations sur les services aux étudiants en situation de handicap, les mesures d'accommodement ou les ressources en santé mentale peuvent communiquer des renseignements médicaux. Le chatbot doit être configuré pour ne pas enregistrer ces informations dans des champs libres non sécurisés. Si une collecte est nécessaire (orientation vers les services adaptés), elle doit reposer sur le consentement exprès (art. 12 Loi 25) avec information préalable complète.
Situation financière : les demandes relatives à l'Aide financière aux études (AFE) du Québec, aux prêts et bourses fédéraux (EDSC), ou aux exemptions de droits de scolarité peuvent révéler la situation socio-économique du prospect. Ces renseignements exigent une base légale solide et des mesures de sécurité appropriées.
Règle pratique : configurez votre chatbot pour détecter les topics sensibles et rediriger vers un humain ou un formulaire sécurisé, plutôt que de collecter ces informations dans l'interface conversationnelle standard.
Tableau de synthèse : renseignements, fondements légaux et durées de conservation
| Type de renseignement | Fondement légal | Durée de conservation | Notes |
|---|---|---|---|
| Messages de la conversation (anonymisés) | Finalité raisonnable (Loi 25 / LPRPDE) | <12 mois | Pour amélioration du service — anonymisation obligatoire |
| Courriel + nom (prospect qualifié) | Consentement ou finalité contractuelle | 3 ans après dernier contact actif | Purge automatisée obligatoire |
| Téléphone cellulaire | Consentement exprès | 3 ans après dernier contact actif | Consentement distinct pour prospection |
| Programme(s) d'intérêt | Finalité raisonnable | Lié au profil prospect | À documenter dans le registre des traitements |
| Statut / citoyenneté | Consentement ou finalité contractuelle | Lié au profil prospect | Vérifier l'absence d'inférence sur l'origine ethnique |
| Âge / niveau d'études | Finalité raisonnable | Lié au profil prospect | Nécessaire pour orienter vers le bon programme |
| Adresse IP (non anonymisée) | Finalité raisonnable | <13 mois | Anonymisation recommandée par la CAI |
| Données de santé ou handicap | Consentement exprès (art. 12 Loi 25) | Strictement nécessaire | Ne pas collecter dans l'interface standard du chatbot |
| Logs techniques de session | Finalité raisonnable | <3 mois | Sécurité et débogage uniquement |
L'EFVP (Évaluation des facteurs relatifs à la vie privée) : quand votre chatbot la déclenche-t-il ?
La Loi 25 (article 3.3) rend l'EFVP obligatoire avant tout projet technologique impliquant des renseignements personnels, y compris le déploiement ou la modification substantielle d'un chatbot. Cette obligation s'applique à tout organisme québécois soumis à la Loi 25 — c'est une condition préalable, pas une mesure réservée aux cas à risque élevé.
Au-delà du plancher de l'EFVP, des analyses plus approfondies s'imposent si l'un des critères suivants est réuni :
- Traitement à grande échelle : un chatbot traitant des milliers de conversations mensuellement dans un établissement d'enseignement supérieur québécois atteint rapidement le seuil retenu par la CAI
- Profilage automatisé : si le chatbot qualifie le prospect (chaud/froid, programme recommandé, probabilité d'inscription), l'article 22.1 Loi 25 impose une divulgation spécifique avant toute décision automatisée ayant un effet sur la personne
- Renseignements sensibles : traitement de renseignements pouvant révéler l'origine ethnique, l'état de santé ou la situation socio-économique
- Communication hors Québec ou hors Canada : l'article 17 Loi 25 impose une EFVP et des protections contractuelles spécifiques pour toute communication de renseignements à un tiers situé hors Québec, et a fortiori hors Canada
Si l'EFVP conclut à un risque élevé que vous ne pouvez pas atténuer, vous devez consulter la CAI avant de mettre le traitement en œuvre. Pour les autres obligations, notre checklist d'audit Loi 25 pour les établissements québécois couvre les 20 points à vérifier.
Mettre en œuvre une collecte conforme : l'interface du chatbot
La conformité Loi 25 d'un chatbot se joue à trois niveaux : la politique de confidentialité et l'avis de collecte, le mécanisme de consentement, et les droits des personnes.
Avis de collecte et transparence
Avant la première question, le chatbot doit afficher un message d'accueil incluant :
- L'identité du responsable de la collecte (l'établissement)
- La finalité du traitement (répondre aux questions, qualifier le prospect)
- Un lien vers la politique de confidentialité complète
- La mention que l'interlocuteur est une intelligence artificielle — exigée par la Loi 25 (article 22.1) pour tout traitement automatisé pouvant avoir un effet sur la personne, et recommandée par la CAI pour tous les chatbots
Exemple conforme : « Je suis [Nom du chatbot], l'assistant IA de [Établissement]. Vos échanges sont traités selon notre [politique de confidentialité]. Pour exercer vos droits, écrivez à confidentialite@[etablissement].qc.ca. »
Mécanisme de consentement intégré
Si le chatbot collecte le courriel ou le numéro de cellulaire, un mécanisme de consentement actif doit précéder cette collecte :
- Case à cocher non pré-cochée pour les communications marketing
- Libellé distinct pour chaque finalité (relance prospect, infolettre, invitation aux portes ouvertes)
- Horodatage et conservation de la preuve du consentement — obligation expresse de la Loi 25
Droits des personnes : accès, rectification, retrait du consentement
La personne doit pouvoir exercer ses droits via une voie simple. La Loi 25 impose un délai de réponse de 30 jours à toute demande d'accès ou de rectification, et la réponse à une demande d'effacement (retrait du consentement) doit couvrir tous les systèmes : logs du chatbot, CRM, outil de courriel, analytics nominatives, sauvegardes.
Testez Skolbot sur votre établissement en 30 secondes
FAQ
La Loi 25 impose-t-elle une EFVP même si le chatbot ne collecte pas de courriel ?
Oui. L'article 3.3 de la Loi 25 impose une EFVP avant tout projet technologique impliquant des renseignements personnels, indépendamment du type de données collectées. Un chatbot qui traite des adresses IP et des logs de session est soumis à cette obligation, même s'il ne collecte pas de courriel. La CAI a précisé que l'EFVP doit être réalisée avant le déploiement, et que ses conclusions doivent être documentées et accessibles sur demande. C'est la première chose que la CAI demande en cas d'inspection.
Quelle durée de conservation pour les conversations chatbot au Québec ?
La Loi 25 impose de ne conserver les renseignements personnels que le temps nécessaire à la réalisation des fins auxquelles ils ont été collectés. Pour l'amélioration du service : les logs anonymisés peuvent être conservés jusqu'à 12 mois. Pour les prospects qualifiés (courriel fourni) : 3 ans après le dernier contact actif, conformément à la pratique générale encadrée par la CAI. Les logs techniques (débogage, sécurité) n'ont aucune raison d'être conservés au-delà de 3 mois. Ces durées doivent figurer dans votre registre des traitements et être appliquées par une purge automatisée — la Loi 25 exige que les politiques de conservation soient applicables et appliquées.
Le chatbot peut-il transférer des données au CRM sans consentement supplémentaire ?
Cela dépend de la finalité originale de la collecte et de l'usage prévu dans le CRM. Si la collecte avait pour finalité le suivi de la candidature, le transfert au CRM à cet effet est généralement compatible avec les fins déclarées. En revanche, l'utilisation de ces données pour des campagnes marketing non directement liées à la demande initiale nécessite un consentement spécifique — qui doit avoir été recueilli avant le transfert. L'article 17 Loi 25 impose en outre une EFVP et des protections contractuelles spécifiques si le CRM est hébergé hors Québec. Documentez explicitement la finalité du transfert CRM dans votre politique de confidentialité.
Comment informer le prospect qu'il interagit avec une IA au Québec ?
L'article 22.1 de la Loi 25 impose que toute personne faisant l'objet d'une décision fondée exclusivement sur un traitement automatisé en soit informée et puisse demander un examen par une personne physique. Pour un chatbot d'information, la divulgation que l'interlocuteur est une IA est une bonne pratique fortement recommandée par la CAI, même lorsqu'aucune décision automatisée au sens strict de l'article 22.1 n'est en jeu. Un nom de chatbot explicite (ex. « Skolbot, assistant IA »), un message d'accueil mentionnant la nature IA, et un visuel distinctif suffisent à satisfaire l'obligation. Ce message peut couvrir simultanément l'avis de collecte de la Loi 25.
Que faire si un prospect révèle spontanément des informations de santé ou financières ?
Configurez votre chatbot pour détecter les sujets sensibles (mots-clés liés à la santé, au handicap, aux difficultés financières) et déclencher une réponse de redirection : « Pour vous accompagner au mieux sur ce point, notre service d'aide aux étudiants communiquera directement avec vous. Souhaitez-vous laisser vos coordonnées ? » Ne stockez pas le renseignement sensible dans les logs standard du chatbot. Si un stockage est techniquement inévitable (log de session complet), ce champ doit être masqué ou supprimé avant archivage. L'enjeu : éviter que des renseignements médicaux ou financiers se retrouvent dans un CRM marketing sans le consentement exprès requis par la Loi 25 — une infraction directement sanctionnable par la CAI.
