ChatGPT
Claude
Perplexity
Gemini
GrokPourquoi la conformité à la Loi 25 d'un chatbot est un critère d'achat non négociable
Depuis le 22 septembre 2023, la troisième et dernière phase d'entrée en vigueur de la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est pleinement applicable au Québec. Pour les cégeps, universités (HEC Montréal, Polytechnique, UdeM, Laval, McGill) et établissements d'enseignement supérieur privés, cela signifie que chaque outil technologique collectant des renseignements personnels — y compris un agent conversationnel sur votre site — doit désormais respecter des obligations précises en matière de consentement, d'Évaluation des facteurs relatifs à la vie privée (EFVP), de durées de conservation et de notification en cas d'incident.
La Commission d'accès à l'information du Québec (CAI) dispose de pouvoirs de sanction considérables : jusqu'à 25 millions de dollars CAD ou 4 % du chiffre d'affaires mondial pour les manquements les plus graves. À l'échelle fédérale, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s'applique également aux établissements privés ayant des activités interprovinciales.
L'enjeu opérationnel est réel. Un agent conversationnel répond en 3 secondes, 24h/24 et 7j/7, contre 47 heures en moyenne par courriel (Source : Audit mystery shopping Skolbot, 2025, 80 établissements FR). Cette réactivité ne présente une valeur durable que si elle repose sur un cadre de traitement des renseignements personnels conforme à la Loi 25.
Pour le cadre réglementaire global applicable au Québec, consultez notre guide Loi 25 pour les données étudiantes.
Les 8 critères techniques Loi 25 à exiger de tout fournisseur de chatbot
Un fournisseur de chatbot est un prestataire de services traitant des renseignements personnels pour votre compte. En vertu de la Loi 25 (article 18.3 LPRPSP), vous devez vous assurer par contrat que ce fournisseur offre des garanties de protection adéquates. Si ses pratiques ne respectent pas la Loi 25, la responsabilité de votre établissement est engagée. Ces 8 critères sont la base minimale d'une évaluation sérieuse.
1. Hébergement des données au Canada ou dans un pays offrant une protection adéquate
La Loi 25 exige qu'avant de communiquer des renseignements personnels à l'extérieur du Québec, vous procédiez à une évaluation des facteurs relatifs à la vie privée et vous assuriez que la protection accordée dans le pays de destination soit équivalente à celle offerte par la Loi 25. En pratique, pour les établissements soucieux de sécurité juridique, l'hébergement au Canada (Ontario, Québec) est la solution la plus simple. Les fournisseurs utilisant des serveurs aux États-Unis doivent présenter une analyse de comparabilité documentée.
2. Entente de communication de renseignements personnels (équivalent DPA)
Contrairement au RGPD européen qui nomme explicitement le « contrat de sous-traitance » (article 28), la Loi 25 parle d'« entente » précisant les mesures de protection. Cette entente doit définir : les fins du traitement, les mesures de sécurité appliquées, les conditions de conservation et de destruction, et les modalités de notification en cas d'incident. Votre responsable de la protection des renseignements personnels (RPRP) doit valider cette entente avant tout déploiement.
3. Chiffrement bout-en-bout
La Loi 25 reprend l'obligation de sécurité proportionnelle à la sensibilité des renseignements. Pour un agent conversationnel collectant des courriels, des numéros de téléphone et des données sur les intentions d'inscription de vos futurs étudiants, le chiffrement en transit (TLS 1.3) et au repos (AES-256) est le standard minimal. Demandez les certifications de sécurité disponibles (ISO 27001, SOC 2 Type II) et les politiques de gestion des clés de chiffrement.
4. Gestion des consentements intégrée
La Loi 25 impose un consentement manifeste, libre et éclairé pour la collecte de renseignements personnels, et un consentement exprès pour les renseignements sensibles (données de santé, convictions religieuses, orientation sexuelle). Pour un chatbot d'établissement d'enseignement, la collecte du courriel ou du numéro de cellulaire d'un futur étudiant doit être précédée d'un mécanisme de consentement actif : case à cocher non pré-cochée, description claire de chaque finalité, et possibilité de retrait du consentement à tout moment.
5. Durées de conservation configurables
La Loi 25 impose que les renseignements personnels soient détruits ou anonymisés dès que les fins pour lesquelles ils ont été collectés sont accomplies. Pour un agent conversationnel, cela signifie des durées de conservation différenciées par type de données : logs de conversation anonymisés (maximum 12 mois), données de prospects identifiés (3 ans après le dernier contact actif), données de candidatures non retenues (selon la politique documentée de l'établissement). La destruction doit être automatisée et documentée.
6. Droit à l'effacement et désinscription opérationnels
La Loi 25 reconnaît le droit à la désinscription et au retrait du consentement. Pour un établissement membre du Bureau de coopération interuniversitaire (BCI), gérant des milliers de prospects par cycle d'admission, la destruction des renseignements personnels sur demande doit être opérationnelle en cascade : agent conversationnel, CRM, outil de courriel marketing, analytiques nominatives. Votre fournisseur doit fournir une procédure documentée avec délai de traitement garanti — 30 jours maximum est la norme attendue par la CAI.
7. Transparence IA : déclaration automatique au prospect
L'IA Act européen ne s'applique pas directement au Québec — mais la Loi 25 exige une politique de confidentialité claire et accessible, et plusieurs établissements québécois appliquent volontairement les standards de transparence de l'IA Act dans leurs pratiques. Plus concrètement, le principe de transparence de la Loi 25 exige que le prospect soit informé du recours à des technologies de traitement automatisé de l'information. Un message d'accueil mentionnant la nature IA de votre agent conversationnel satisfait cette obligation tout en renforçant la confiance de vos futurs étudiants.
8. Journaux d'audit complets
En cas d'enquête de la CAI ou de plainte d'un prospect, votre établissement doit pouvoir démontrer que les renseignements personnels ont été traités conformément à la Loi 25. Les journaux d'audit doivent tracer : chaque collecte de renseignements avec horodatage et fin déclarée, chaque consentement obtenu, chaque demande d'exercice de droits et son traitement, et chaque communication de renseignements à des tiers. Ces journaux doivent être exportables et conservés au minimum 3 ans.
Tableau de comparaison : les critères à valider chez votre fournisseur
| Critère | Niveau requis | Questions à poser au fournisseur |
|---|---|---|
| Hébergement des données | Canada de préférence, ou pays à protection adéquate avec évaluation documentée | « Où vos serveurs sont-ils physiquement situés ? Avez-vous une analyse comparative Loi 25 pour les pays hors Québec ? » |
| Entente de communication (DPA) | Conforme Loi 25, signée avant déploiement, validée par votre RPRP | « Disposez-vous d'une entente standard conforme à la Loi 25 ? » |
| Chiffrement en transit | TLS 1.3 minimum | « Quelle version TLS est utilisée ? Avez-vous une certification ISO 27001 ? » |
| Chiffrement au repos | AES-256 sur bases de données et sauvegardes | « Vos sauvegardes sont-elles également chiffrées ? » |
| Consentement | Manifeste, par finalité, horodaté, retrait possible | « Le mécanisme de consentement est-il natif ou nécessite-t-il un développement personnalisé ? » |
| Durées de conservation | Configurables par catégorie, destruction automatisée documentée | « La destruction automatique des données est-elle native ? Comment est-elle documentée ? » |
| Droit à la désinscription | Cascade complète, délai de 30 jours garanti | « Quels systèmes sont couverts ? Pouvez-vous produire une procédure écrite ? » |
| Transparence IA | Mention automatique dans le message d'accueil | « La nature IA de l'agent est-elle automatiquement déclarée aux utilisateurs ? » |
| Journaux d'audit | Horodatés, exportables, conservés 3 ans minimum | « Vos journaux sont-ils exportables dans un format lisible par votre équipe ? » |
| Sous-traitants ultérieurs | Liste disponible, protection équivalente documentée | « Quels sous-traitants ultérieurs traitent les données ? Sont-ils localisés au Canada ? » |
Ce que doit contenir votre entente de communication : 5 clauses essentielles
Une entente bien rédigée protège votre établissement, vos futurs étudiants, et votre capacité à démontrer la conformité lors d'un contrôle de la CAI.
Clause 1 — Finalités strictement définies et exclusivité d'usage. L'entente doit lister les traitements autorisés et interdire explicitement toute utilisation des renseignements personnels par le fournisseur à ses propres fins. Plusieurs fournisseurs de chatbots s'accordent le droit d'utiliser les conversations de leurs clients pour améliorer leurs modèles d'intelligence artificielle — ce qui constitue une communication de renseignements personnels à un tiers sans le consentement de vos prospects.
Clause 2 — Localisation précise et notification en cas de changement. L'entente doit nommer les pays et provinces où les renseignements sont hébergés, et imposer une notification de 30 jours minimum avant tout changement de localisation. Cette clause est la base de votre évaluation des facteurs relatifs à la vie privée (EFVP) — si la localisation change, l'EFVP doit être mise à jour.
Clause 3 — Notification d'incident sans délai. La Loi 25 impose de notifier la CAI et les personnes concernées en cas d'incident de confidentialité présentant un risque sérieux de préjudice. « Sans délai » est l'expression retenue par la Loi 25 — en pratique, la CAI attend une notification dans les 72 heures. Votre fournisseur doit s'engager contractuellement à vous alerter dans les 24 heures suivant sa propre découverte d'un incident.
Clause 4 — Droit de vérification et d'audit. Votre RPRP doit pouvoir vérifier que le fournisseur respecte ses engagements. Cette clause prévoit le droit de demander des rapports d'audit, des certifications, ou de mandater un vérificateur tiers. La CAI s'attend à ce que les responsables de traitement exercent un contrôle effectif sur leurs fournisseurs — pas uniquement formel.
Clause 5 — Restitution et destruction des renseignements à la fin du contrat. À la résiliation, le fournisseur restitue l'intégralité des données dans un format interopérable et confirme par écrit la destruction de toutes ses copies — y compris les sauvegardes — dans un délai de 30 jours. Sans cette clause, vos données de prospects pourraient résider chez votre ancien fournisseur pendant des années.
72 % des questions posées aux chatbots d'établissements d'enseignement sont automatisables (Source : Classification automatique sur 12 000 conversations Skolbot, 2025). À cette échelle, la conformité à la Loi 25 ne peut être gérée manuellement — elle doit être intégrée dans l'architecture technique du fournisseur.
Pour la liste complète des obligations Loi 25 de votre établissement, consultez notre audit de conformité en 20 points.
Signaux d'alerte : 5 red flags chez un fournisseur de chatbot
Ces signaux doivent déclencher une investigation approfondie avant tout engagement.
-
Pas d'entente de communication conforme à la Loi 25 disponible. Un fournisseur qui ne connaît pas la Loi 25 ou qui propose uniquement une « DPA RGPD européenne » sans adaptation québécoise n'est pas prêt pour le marché des établissements d'enseignement supérieur québécois. La Loi 25 a des spécificités (EFVP obligatoire, droit à la désinscription, index de confidentialité) que le RGPD ne couvre pas à l'identique.
-
Serveurs aux États-Unis sans analyse de comparabilité Loi 25. L'hébergement hors Québec n'est pas interdit, mais il impose une EFVP documentée. Un fournisseur qui affirme que son hébergement américain est « conforme par défaut » vous induit en erreur sur vos obligations légales.
-
Modèle IA hébergé hors Canada non déclaré. De nombreux agents conversationnels utilisent des API de modèles de langage (OpenAI, Anthropic, Google) dont les serveurs sont aux États-Unis. Si cette architecture n'est pas documentée dans l'entente avec une évaluation de comparabilité, votre établissement est en situation de communication non conforme de renseignements personnels.
-
Aucun RPRP dédié accessible. La Loi 25 exige que les organisations nomment un responsable de la protection des renseignements personnels. Un fournisseur qui ne peut pas vous fournir les coordonnées de son propre RPRP n'a probablement pas de gouvernance de protection des données structurée.
-
Destruction des données sur demande uniquement par ticket de support. Si votre équipe des admissions à HEC Montréal ou à l'UdeM doit ouvrir un ticket pour chaque demande de désinscription, les délais de traitement dépasseront systématiquement les attentes de la CAI. La destruction automatisée, ou au minimum accessible en libre-service dans l'interface d'administration, est indispensable à grande échelle.
Pour une évaluation des solutions disponibles sur le marché de l'enseignement supérieur francophone, consultez notre comparatif des chatbots IA pour établissements.
FAQ
Un chatbot hébergé aux États-Unis peut-il être conforme à la Loi 25 ?
Oui, mais à condition d'avoir réalisé une Évaluation des facteurs relatifs à la vie privée (EFVP) démontrant que la protection offerte aux États-Unis est équivalente à celle garantie par la Loi 25. Cette EFVP doit être documentée, accessible à la CAI sur demande, et mise à jour à chaque changement d'architecture. En pratique, les États-Unis ne disposent pas d'une loi fédérale de protection des données équivalente — l'EFVP doit donc s'appuyer sur les mécanismes contractuels (clauses de protection) et les certifications du fournisseur.
Que doit mentionner l'EFVP pour un chatbot de recrutement étudiant au Québec ?
L'Évaluation des facteurs relatifs à la vie privée (EFVP) — équivalent québécois de l'AIPD européenne — doit documenter pour un chatbot de recrutement : la nature des renseignements collectés et leur sensibilité, les fins poursuivies, les personnes ayant accès aux données, les mesures de sécurité techniques et organisationnelles en place, les risques résiduels, et les mesures d'atténuation retenues. Pour tout agent conversationnel traitant des renseignements de futurs étudiants à grande échelle, l'EFVP est obligatoire avant le déploiement. Notre article sur la collecte de données par chatbot détaille les critères déclencheurs.
Le chatbot doit-il afficher un avis d'information dès l'ouverture au Québec ?
Oui. La Loi 25 impose d'informer les personnes concernées des fins pour lesquelles leurs renseignements sont collectés, de l'identité du responsable, et de leurs droits — au moment de la collecte ou avant. Pour un agent conversationnel, cela signifie un message d'accueil automatique comprenant : l'identification comme agent IA (bonne pratique de transparence), la finalité du traitement (répondre à vos questions et orienter votre démarche d'admission), un lien vers la politique de confidentialité complète, et les coordonnées du RPRP de l'établissement.
Quelle est la durée de conservation recommandée des transcriptions de conversation au Québec ?
La Loi 25 ne fixe pas de durées minimales spécifiques : elle impose de détruire ou anonymiser les renseignements dès que les fins de la collecte sont accomplies. Pour un chatbot de recrutement, les pratiques alignées avec la CAI sont : logs anonymisés — jusqu'à 12 mois pour l'amélioration du service ; données de prospects identifiés (courriel, cellulaire) — 3 ans après le dernier contact actif ; données de candidatures complètes — selon la politique documentée de l'établissement (généralement alignée sur les délais de prescription). Ces durées doivent figurer dans votre politique de confidentialité et dans l'EFVP.
En cas d'incident de confidentialité, quel est le délai de notification à la CAI ?
La Loi 25 impose de notifier la CAI « sans délai » dès qu'un incident de confidentialité présente un risque sérieux de préjudice pour les personnes concernées. La CAI considère que « sans délai » signifie généralement dans les 72 heures suivant la prise de connaissance de l'incident. Si l'incident présente un risque sérieux, les personnes concernées doivent également être notifiées. Pour respecter ce délai, votre fournisseur doit s'engager contractuellement à vous alerter dans les 24 heures, avec un rapport d'incident préliminaire.
Choisir un fournisseur de chatbot conforme à la Loi 25 est une décision stratégique pour votre établissement d'enseignement supérieur québécois. Les +62 % de leads qualifiés et les -38 % de coût par lead mesurés sur les établissements utilisant Skolbot (Source : Résultats médians sur 18 écoles, période 2024-2025) ne se concrétisent durablement que si l'infrastructure de collecte de données respecte les droits de vos futurs étudiants — et les obligations de votre établissement envers la CAI.
Demandez une démo personnalisée
