skolbot.Chatbot IA pour écoles
ProduitTarifs
Démo gratuite
Démo gratuite
Illustration chatbot IA Loi 25 collecte de données université québécoise, conformité CAI 2026
  1. Accueil
  2. /Blog
  3. /Conformité
  4. /Chatbot IA et Loi 25 : quelles données peut-on collecter dans un établissement d'enseignement supérieur au Québec ?
Retour au blog
Conformité13 min read

Chatbot IA et Loi 25 : quelles données peut-on collecter dans un établissement d'enseignement supérieur au Québec ?

Chatbot IA Loi 25 données collecte Québec : bases légales, minimisation, durées de conservation et EFVP selon la CAI. Tout ce que les équipes admissions doivent savoir en 2026.

S

Équipe Skolbot · 25 avril 2026

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Sommaire

  1. 01Ce qu'un chatbot IA collecte concrètement sur vos prospects au Québec
  2. 02Les fondements légaux applicables à chaque catégorie de renseignements
  3. 03Le principe de minimisation : ne collecter que le nécessaire
  4. 04Renseignements sensibles : citoyenneté, santé, situation socio-économique
  5. 05Tableau de synthèse : renseignements, fondements légaux et durées de conservation
  6. 06L'EFVP (Évaluation des facteurs relatifs à la vie privée) : quand votre chatbot la déclenche-t-il ?
  7. 07Mettre en œuvre une collecte conforme : l'interface du chatbot
  8. Avis de collecte et transparence
  9. Mécanisme de consentement intégré
  10. Droits des personnes : accès, rectification, retrait du consentement

Ce qu'un chatbot IA collecte concrètement sur vos prospects au Québec

Un chatbot IA de recrutement étudiant collecte des renseignements personnels dès la première interaction — bien avant que le prospect saisisse son nom. Adresse IP, horodatage de session, messages tapés, programme consulté : chacun de ces éléments est un renseignement personnel au sens de la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) et, pour les traitements de portée fédérale, de la LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques).

72 % des questions posées aux chatbots d'établissements sont automatisables (FAQ simple), 21 % nécessitent un contexte institutionnel, 7 % nécessitent un humain. (Source : Classification automatique sur 12 000 conversations Skolbot, 2025.) Chacune de ces 12 000 conversations est un traitement de renseignements soumis à la Loi 25. Et le chatbot a un avantage décisif sur les autres canaux : temps de réponse de 3 secondes, 24/7, contre 47 h par courriel et 72 h par formulaire (Source : Audit mystery shopping Skolbot, 2025, 80 établissements). Saisir cette opportunité nécessite une infrastructure de collecte conforme aux exigences québécoises et fédérales.

Voici les catégories de renseignements qu'un chatbot d'un établissement d'enseignement supérieur québécois collecte typiquement :

  • Données conversationnelles — texte des messages, horodatage, langue utilisée, durée de session
  • Identifiants fournis volontairement — prénom, nom, adresse courriel, numéro de cellulaire (si le prospect les communique pour être recontacté)
  • Données d'intérêt — programme(s) consulté(s), niveau d'études visé (baccalauréat universitaire, maîtrise, DEC technique), modalité recherchée (temps plein, temps partiel, stage coopératif)
  • Données démographiques volontaires — province ou pays de résidence, statut d'étudiant (québécois, hors-Québec, international)
  • Données techniques — adresse IP, type d'appareil, navigateur, identifiant de session

La Commission d'accès à l'information du Québec (CAI) est l'autorité de contrôle pour la Loi 25. Le Commissariat à la protection de la vie privée du Canada (CPVP) supervise la LPRPDE. Les deux autorités rappellent que chaque traitement effectué via un chatbot doit reposer sur un fondement légal valide et que les personnes doivent être informées du traitement dès l'ouverture de la conversation. Pour une cartographie complète des renseignements personnels traités par votre établissement, consultez notre guide complet Loi 25 et données étudiantes au Québec.

Les fondements légaux applicables à chaque catégorie de renseignements

La Loi 25 repose sur le principe du consentement, mais reconnaît des exceptions. Quatre fondements couvrent la quasi-totalité des traitements d'un chatbot d'établissement québécois :

Consentement manifeste, libre et éclairé (art. 12 Loi 25) — La personne a donné son accord de façon manifeste, libre et éclairée. C'est le fondement adapté pour les communications marketing ultérieures (relances, infolettres, invitations aux portes ouvertes) déclenchées à partir d'une interaction chatbot. Le consentement ne peut pas être obtenu comme condition d'accès à l'information — exigence spécifique de la Loi 25 qui va plus loin que la LPRPDE fédérale. Le consentement doit être horodaté et conservé comme preuve.

Finalité raisonnable (art. 4 Loi 25 / principe 4.3 LPRPDE) — La collecte est nécessaire à une fin qu'une personne raisonnable estimerait acceptable dans les circonstances. Un prospect qui demande des informations sur les droits de scolarité ou les conditions d'admission : le traitement de son courriel pour lui envoyer la documentation demandée satisfait ce critère.

Exécution d'une obligation légale ou contractuelle — S'applique lorsque les renseignements doivent être traités pour respecter une obligation découlant de la loi ou d'un contrat. Applicable pour certaines obligations imposées par le MES (Ministère de l'Enseignement supérieur du Québec) ou pour les contrats d'admission.

Intérêt légitime documenté — La Loi 25 ne définit pas explicitement l'intérêt légitime comme la LPRPDE ou le RGPD, mais l'article 12 alinéa 7 autorise certains traitements à des fins raisonnables sans consentement. L'analyse anonymisée des conversations pour améliorer la qualité du chatbot peut s'y inscrire. Attention : la CAI a précisé que toute finalité de traitement doit être documentée avant la collecte.

Pour les renseignements sensibles — voir section suivante —, la Loi 25 exige un consentement exprès (art. 12 al. 2) et, pour tout système automatisé prenant des décisions ayant un effet sur la personne, une divulgation préalable spécifique (art. 22.1 Loi 25).

Le principe de minimisation : ne collecter que le nécessaire

La Loi 25 (article 5) et la LPRPDE (principe 4.4) imposent toutes deux de ne collecter que les renseignements nécessaires à la finalité déclarée. C'est le principe le plus fréquemment violé en pratique dans les chatbots d'établissements québécois.

Ce que cela signifie concrètement pour votre chatbot :

  • Le chatbot ne doit pas exiger un courriel pour répondre à une question sur les programmes. Le courriel n'est nécessaire que si le prospect souhaite être recontacté ou recevoir un document.
  • Le NAS (numéro d'assurance sociale) ne doit jamais être collecté lors d'une première interaction informative — c'est un identifiant sensible soumis à des obligations particulières en droit québécois et canadien.
  • L'âge précis n'est pas nécessaire si le chatbot doit uniquement déterminer si le prospect est en 5e secondaire (avant le cégep) ou titulaire d'un DEC pré-universitaire (avant l'université). Une indication de niveau suffit.
  • Les logs de conversation complets ne doivent pas être conservés indéfiniment. La finalité de la conservation (amélioration du service, transfert CRM) doit être définie avant la mise en production du chatbot — exigence directe de la Loi 25 en matière d'EFVP (évaluation des facteurs relatifs à la vie privée).

La CAI a publié des orientations sur l'IA et la protection des renseignements personnels qui renforcent la nécessité d'une approche privacy by design : la minimisation doit être intégrée dès la conception, pas en correctif.

Renseignements sensibles : citoyenneté, santé, situation socio-économique

Certains renseignements collectables via un chatbot d'établissement québécois appellent une protection particulière au sens de la Loi 25 et de la LPRPDE.

Origine et citoyenneté : le statut étudiant (québécois, hors-Québec, international) détermine les droits de scolarité — un étudiant français bénéfice de l'entente France-Québec, unique au monde, lui accordant les droits des étudiants québécois. La collecte de cette information pour orienter le prospect vers la bonne grille tarifaire est légitime, mais doit être documentée. Lorsque la collecte de la nationalité peut révéler une origine ethnique ou raciale, la Loi 25 et la Charte des droits et libertés de la personne (Québec) imposent une vigilance accrue.

Santé et handicap : les prospects cherchant des informations sur les services aux étudiants en situation de handicap, les mesures d'accommodement ou les ressources en santé mentale peuvent communiquer des renseignements médicaux. Le chatbot doit être configuré pour ne pas enregistrer ces informations dans des champs libres non sécurisés. Si une collecte est nécessaire (orientation vers les services adaptés), elle doit reposer sur le consentement exprès (art. 12 Loi 25) avec information préalable complète.

Situation financière : les demandes relatives à l'Aide financière aux études (AFE) du Québec, aux prêts et bourses fédéraux (EDSC), ou aux exemptions de droits de scolarité peuvent révéler la situation socio-économique du prospect. Ces renseignements exigent une base légale solide et des mesures de sécurité appropriées.

Règle pratique : configurez votre chatbot pour détecter les topics sensibles et rediriger vers un humain ou un formulaire sécurisé, plutôt que de collecter ces informations dans l'interface conversationnelle standard.

Tableau de synthèse : renseignements, fondements légaux et durées de conservation

Type de renseignementFondement légalDurée de conservationNotes
Messages de la conversation (anonymisés)Finalité raisonnable (Loi 25 / LPRPDE)<12 moisPour amélioration du service — anonymisation obligatoire
Courriel + nom (prospect qualifié)Consentement ou finalité contractuelle3 ans après dernier contact actifPurge automatisée obligatoire
Téléphone cellulaireConsentement exprès3 ans après dernier contact actifConsentement distinct pour prospection
Programme(s) d'intérêtFinalité raisonnableLié au profil prospectÀ documenter dans le registre des traitements
Statut / citoyennetéConsentement ou finalité contractuelleLié au profil prospectVérifier l'absence d'inférence sur l'origine ethnique
Âge / niveau d'étudesFinalité raisonnableLié au profil prospectNécessaire pour orienter vers le bon programme
Adresse IP (non anonymisée)Finalité raisonnable<13 moisAnonymisation recommandée par la CAI
Données de santé ou handicapConsentement exprès (art. 12 Loi 25)Strictement nécessaireNe pas collecter dans l'interface standard du chatbot
Logs techniques de sessionFinalité raisonnable<3 moisSécurité et débogage uniquement

L'EFVP (Évaluation des facteurs relatifs à la vie privée) : quand votre chatbot la déclenche-t-il ?

La Loi 25 (article 3.3) rend l'EFVP obligatoire avant tout projet technologique impliquant des renseignements personnels, y compris le déploiement ou la modification substantielle d'un chatbot. Cette obligation s'applique à tout organisme québécois soumis à la Loi 25 — c'est une condition préalable, pas une mesure réservée aux cas à risque élevé.

Au-delà du plancher de l'EFVP, des analyses plus approfondies s'imposent si l'un des critères suivants est réuni :

  • Traitement à grande échelle : un chatbot traitant des milliers de conversations mensuellement dans un établissement d'enseignement supérieur québécois atteint rapidement le seuil retenu par la CAI
  • Profilage automatisé : si le chatbot qualifie le prospect (chaud/froid, programme recommandé, probabilité d'inscription), l'article 22.1 Loi 25 impose une divulgation spécifique avant toute décision automatisée ayant un effet sur la personne
  • Renseignements sensibles : traitement de renseignements pouvant révéler l'origine ethnique, l'état de santé ou la situation socio-économique
  • Communication hors Québec ou hors Canada : l'article 17 Loi 25 impose une EFVP et des protections contractuelles spécifiques pour toute communication de renseignements à un tiers situé hors Québec, et a fortiori hors Canada

Si l'EFVP conclut à un risque élevé que vous ne pouvez pas atténuer, vous devez consulter la CAI avant de mettre le traitement en œuvre. Pour les autres obligations, notre checklist d'audit Loi 25 pour les établissements québécois couvre les 20 points à vérifier.

Mettre en œuvre une collecte conforme : l'interface du chatbot

La conformité Loi 25 d'un chatbot se joue à trois niveaux : la politique de confidentialité et l'avis de collecte, le mécanisme de consentement, et les droits des personnes.

Avis de collecte et transparence

Avant la première question, le chatbot doit afficher un message d'accueil incluant :

  • L'identité du responsable de la collecte (l'établissement)
  • La finalité du traitement (répondre aux questions, qualifier le prospect)
  • Un lien vers la politique de confidentialité complète
  • La mention que l'interlocuteur est une intelligence artificielle — exigée par la Loi 25 (article 22.1) pour tout traitement automatisé pouvant avoir un effet sur la personne, et recommandée par la CAI pour tous les chatbots

Exemple conforme : « Je suis [Nom du chatbot], l'assistant IA de [Établissement]. Vos échanges sont traités selon notre [politique de confidentialité]. Pour exercer vos droits, écrivez à confidentialite@[etablissement].qc.ca. »

Mécanisme de consentement intégré

Si le chatbot collecte le courriel ou le numéro de cellulaire, un mécanisme de consentement actif doit précéder cette collecte :

  • Case à cocher non pré-cochée pour les communications marketing
  • Libellé distinct pour chaque finalité (relance prospect, infolettre, invitation aux portes ouvertes)
  • Horodatage et conservation de la preuve du consentement — obligation expresse de la Loi 25

Droits des personnes : accès, rectification, retrait du consentement

La personne doit pouvoir exercer ses droits via une voie simple. La Loi 25 impose un délai de réponse de 30 jours à toute demande d'accès ou de rectification, et la réponse à une demande d'effacement (retrait du consentement) doit couvrir tous les systèmes : logs du chatbot, CRM, outil de courriel, analytics nominatives, sauvegardes.


Testez Skolbot sur votre établissement en 30 secondes

FAQ

La Loi 25 impose-t-elle une EFVP même si le chatbot ne collecte pas de courriel ?

Oui. L'article 3.3 de la Loi 25 impose une EFVP avant tout projet technologique impliquant des renseignements personnels, indépendamment du type de données collectées. Un chatbot qui traite des adresses IP et des logs de session est soumis à cette obligation, même s'il ne collecte pas de courriel. La CAI a précisé que l'EFVP doit être réalisée avant le déploiement, et que ses conclusions doivent être documentées et accessibles sur demande. C'est la première chose que la CAI demande en cas d'inspection.

Quelle durée de conservation pour les conversations chatbot au Québec ?

La Loi 25 impose de ne conserver les renseignements personnels que le temps nécessaire à la réalisation des fins auxquelles ils ont été collectés. Pour l'amélioration du service : les logs anonymisés peuvent être conservés jusqu'à 12 mois. Pour les prospects qualifiés (courriel fourni) : 3 ans après le dernier contact actif, conformément à la pratique générale encadrée par la CAI. Les logs techniques (débogage, sécurité) n'ont aucune raison d'être conservés au-delà de 3 mois. Ces durées doivent figurer dans votre registre des traitements et être appliquées par une purge automatisée — la Loi 25 exige que les politiques de conservation soient applicables et appliquées.

Le chatbot peut-il transférer des données au CRM sans consentement supplémentaire ?

Cela dépend de la finalité originale de la collecte et de l'usage prévu dans le CRM. Si la collecte avait pour finalité le suivi de la candidature, le transfert au CRM à cet effet est généralement compatible avec les fins déclarées. En revanche, l'utilisation de ces données pour des campagnes marketing non directement liées à la demande initiale nécessite un consentement spécifique — qui doit avoir été recueilli avant le transfert. L'article 17 Loi 25 impose en outre une EFVP et des protections contractuelles spécifiques si le CRM est hébergé hors Québec. Documentez explicitement la finalité du transfert CRM dans votre politique de confidentialité.

Comment informer le prospect qu'il interagit avec une IA au Québec ?

L'article 22.1 de la Loi 25 impose que toute personne faisant l'objet d'une décision fondée exclusivement sur un traitement automatisé en soit informée et puisse demander un examen par une personne physique. Pour un chatbot d'information, la divulgation que l'interlocuteur est une IA est une bonne pratique fortement recommandée par la CAI, même lorsqu'aucune décision automatisée au sens strict de l'article 22.1 n'est en jeu. Un nom de chatbot explicite (ex. « Skolbot, assistant IA »), un message d'accueil mentionnant la nature IA, et un visuel distinctif suffisent à satisfaire l'obligation. Ce message peut couvrir simultanément l'avis de collecte de la Loi 25.

Que faire si un prospect révèle spontanément des informations de santé ou financières ?

Configurez votre chatbot pour détecter les sujets sensibles (mots-clés liés à la santé, au handicap, aux difficultés financières) et déclencher une réponse de redirection : « Pour vous accompagner au mieux sur ce point, notre service d'aide aux étudiants communiquera directement avec vous. Souhaitez-vous laisser vos coordonnées ? » Ne stockez pas le renseignement sensible dans les logs standard du chatbot. Si un stockage est techniquement inévitable (log de session complet), ce champ doit être masqué ou supprimé avant archivage. L'enjeu : éviter que des renseignements médicaux ou financiers se retrouvent dans un CRM marketing sans le consentement exprès requis par la Loi 25 — une infraction directement sanctionnable par la CAI.

Articles similaires

Guide opérationnel de protection des données prospects étudiants au Québec
Conformité

Protéger les données de vos prospects étudiants : guide Loi 25 opérationnel

Flux de renseignements personnels entre le Québec et les États-Unis avec cadenas Loi 25 et symbole CAI pour les cégeps et universités québécois
Conformité

Communication hors Québec : guide Loi 25 pour cégeps et universités

Guide de l'IA Act et de la Loi 25 pour les établissements postsecondaires québécois
Conformité

IA Act et Loi 25 : ce que votre établissement postsecondaire doit savoir

Retour au blog

RGPD · IA Act · Hébergement UE

skolbot.

SolutionTarifsBlogÉtudes de casComparatifAI CheckFAQÉquipeMentions légalesPolitique de confidentialité

© 2026 Skolbot