ChatGPT
Claude
Perplexity
Gemini
GrokLoi 25 et formulaires de candidature : ce que les cégeps et universités québécois doivent savoir
Depuis le 22 septembre 2023, la troisième phase de la Loi 25 — Loi modernisant des dispositions législatives en matière de protection des renseignements personnels est pleinement en vigueur au Québec. Pour les cégeps, les universités et les établissements d'enseignement supérieur privés, cela se traduit par des obligations concrètes qui s'appliquent dès la première page de votre processus d'admission : le formulaire de candidature.
La Loi 25 est, à certains égards, plus prescriptive que la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) — la loi fédérale applicable aux entreprises privées à vocation commerciale interprovinciale. Là où la LPRPDE s'appuie sur un cadre de principes relativement souples, la Loi 25 impose des mécanismes précis : désignation publique d'un Responsable de la protection des renseignements personnels (RPRP), politique de confidentialité accessible en ligne, évaluations des facteurs relatifs à la vie privée (EFVP) pour les projets à risque élevé, droit au déréférencement. La Commission d'accès à l'information du Québec (CAI) en est l'autorité de surveillance et dispose de pouvoirs de sanction réels.
Un point que beaucoup d'établissements méconnaissent : pour le traitement d'une candidature, le consentement n'est souvent pas la base légale à retenir. La Loi 25 permet d'utiliser les renseignements personnels à des fins directement liées à la finalité de la collecte sans exiger un consentement explicite à chaque étape (art. 4 al. 1). Réclamer ce consentement crée de la friction inutile et génère un risque juridique si ce même consentement est retiré en cours de traitement.
La structure d'admission québécoise ajoute une couche de complexité que les établissements hors Québec n'ont pas : les candidatures aux cégeps transitent par des organismes centralisateurs — le SRAM (Service régional d'admission du Montréal métropolitain) pour la région de Montréal, le SRACQ (Service régional d'admission au collégial de Québec) pour la région de Québec, le SRASL (Service régional d'admission du Saguenay–Lac-Saint-Jean) pour sa région — tandis que les universités traitent leurs candidatures directement. À chaque étape, les responsabilités en matière de traitement des renseignements personnels sont distinctes, et le formulaire que votre établissement gère directement engage votre responsabilité propre.
Pour le cadre réglementaire complet, consultez notre guide protection des données étudiantes.
Ce que la Loi 25 exige sur un formulaire de candidature
Voici les éléments à inclure — ou à rendre accessibles — lors de la collecte des renseignements d'un candidat. Ce tableau distingue ce qui est obligatoire par la Loi 25 de ce qui relève des meilleures pratiques recommandées par la CAI.
| Élément | Obligatoire | Format recommandé | Exemple |
|---|---|---|---|
| Identité du responsable | Oui | Texte ou lien | « CÉGEP XYZ, 100, rue du Campus, Montréal (Québec) H1A 1A1 » |
| Finalités de la collecte | Oui | Texte court | « Traitement de votre candidature et communication des résultats d'admission » |
| Moyen d'exercer vos droits | Oui | Courriel ou formulaire | rprp@cegep.qc.ca |
| Politique de confidentialité | Oui (accessible en ligne, Loi 25 art. 3.2) | Lien | Lien « Politique de confidentialité » |
| Durée de conservation | Recommandé | Précise | « 2 ans après la fin de la procédure d'admission » |
| Identité du RPRP | Obligatoire sur le site (pas forcément sur le formulaire) | Nom + courriel | Responsable de la protection : prénom.nom@etablissement.qc.ca |
| Case à cocher pour le traitement de candidature | NON | — | Inutile et contre-productif |
| Case à cocher pour envois promotionnels | Oui, si prévus | Opt-in séparé, non précoché | « J'accepte de recevoir des informations sur les programmes » |
Quelques précisions sur les éléments qui surprennent le plus les responsables des admissions.
L'identité du RPRP n'a pas à figurer sur chaque formulaire, mais elle doit être clairement publiée sur votre site web — généralement dans la politique de confidentialité et dans un registre accessible. Cette exigence est spécifique à la Loi 25 : contrairement au RGPD européen, où la désignation d'un délégué à la protection des données (DPD) n'est obligatoire que dans certains cas précis, la Loi 25 impose à toute organisation de nommer publiquement un RPRP, sans condition de taille ou de volume de traitement.
La case à cocher pour le traitement de la candidature est non seulement inutile mais potentiellement dangereuse. Si un candidat coche puis retire son consentement, vous vous retrouvez sans base légale pour continuer à traiter son dossier. Or la Loi 25 prévoit explicitement que les renseignements fournis dans le cadre d'un processus d'admission peuvent être traités à cette fin sans consentement formel. C'est votre intérêt légitime institutionnel, combiné à la finalité directe de la collecte, qui constitue la base légale.
Pour les communications promotionnelles — invitations à des journées portes ouvertes, information sur d'autres programmes, sollicitations marketing —, le consentement explicite et séparé est, lui, requis. La case doit être décochée par défaut, et son refus ne peut conditionner le traitement de la candidature.
Les 3 erreurs que font les établissements québécois
1. Le sur-consentement : cocher pour tout, même ce qui n'en a pas besoin.
C'est l'erreur la plus répandue. Par précaution, certains services des admissions imposent une case à cocher pour chaque finalité — y compris le traitement de la candidature elle-même. Résultat : des formulaires à cinq cases qui font fuir les candidats, et une base légale fragile si l'un d'eux retire son consentement en cours de procédure. 91 % des visiteurs quittent un site sans déposer de premier contact (Source : Skolbot, analyse du funnel prospect, 2025-2026). Chaque case inutile aggrave ce taux d'abandon.
Le remède : cartographier chaque finalité et identifier la base légale appropriée avant de concevoir le formulaire. Réserver le consentement aux seules finalités qui le requièrent effectivement.
2. La politique de confidentialité absente, inaccessible ou non mise à jour.
La Loi 25 (art. 3.2) exige que toute organisation publie et rende accessible en ligne sa politique de confidentialité. Cette politique doit couvrir les finalités de collecte, les droits des personnes, les coordonnées du RPRP, les pratiques de conservation, et les conditions de communication à des tiers. Un lien en bas de page vers un document PDF non daté, rédigé en 2019 et qui ne mentionne pas la Loi 25, n'est pas conforme. La CAI l'a rappelé dans ses lignes directrices : la politique doit être compréhensible par les personnes concernées, pas seulement par les juristes de l'établissement.
3. Le consentement global conditionnel : « Si vous n'acceptez pas, nous ne pouvons pas traiter votre dossier ».
C'est le scénario le plus risqué sur le plan légal. Conditionner le traitement d'une candidature — une démarche à laquelle le candidat n'a souvent pas d'alternative raisonnable dans le cadre du SRAM ou SRACQ — à un consentement « global » qui englobe des communications marketing constitue un consentement obtenu sous contrainte. Il n'est ni libre ni spécifique, donc nul au sens de la Loi 25. La CAI a été claire sur ce point : le refus de consentement à des fins secondaires (marketing, recherche institutionnelle) ne peut entraîner de conséquence sur le traitement principal.
La solution Loi 25 minimale pour votre formulaire de candidature
Voici un avis de confidentialité court que vos équipes peuvent adapter et intégrer directement sous le formulaire de candidature, avant le bouton de soumission.
Les renseignements personnels que vous fournissez dans ce formulaire sont collectés par [Nom de l'établissement], situé au [adresse complète], aux fins exclusives du traitement de votre candidature d'admission et de la communication de ses résultats. Ces renseignements seront conservés pendant deux (2) ans suivant la clôture de la procédure d'admission, puis détruits conformément à notre politique de conservation.
Vous pouvez exercer vos droits d'accès, de rectification et de retrait en communiquant avec notre Responsable de la protection des renseignements personnels à l'adresse rprp@[etablissement].qc.ca. Notre Politique de confidentialité complète est disponible en ligne.
Si vous souhaitez recevoir des informations sur nos autres programmes et événements, vous pouvez cocher la case ci-dessous — ce choix n'a aucune incidence sur le traitement de votre candidature.
☐ J'accepte de recevoir des informations sur les programmes et les événements de [Nom de l'établissement].
Cet avis satisfait aux exigences minimales de la Loi 25 : identification du responsable, finalité précise, durée de conservation, droits des personnes, lien vers la politique complète, et séparation nette entre le traitement de la candidature (sans consentement) et les communications promotionnelles (avec consentement opt-in).
Note importante pour les établissements québécois desservant des candidats d'autres provinces : si vous recrutez activement hors Québec — en Ontario, en Alberta, en Colombie-Britannique — la LPRPDE s'applique en parallèle à la Loi 25 pour ces candidats. Le Commissariat à la protection de la vie privée du Canada (CPVP) en est l'autorité fédérale de surveillance. Dans la majorité des cas, la conformité à la Loi 25 entraîne une conformité substantielle à la LPRPDE, mais il convient de le vérifier avec votre RPRP ou un RPRP externalisé pour établissement privé.
Pour les pratiques de conservation des renseignements à chaque étape du cycle étudiant, consultez notre guide sur la durée de conservation des renseignements personnels.
Candidature SRAM/SRACQ vs. admission universitaire directe : deux responsabilités distinctes
Le système d'admission québécois répartit les responsabilités de traitement des renseignements personnels de façon qui n'est pas toujours claire pour les équipes des admissions.
Pour les cégeps desservis par le SRAM, le SRACQ ou le SRASL : les organismes centralisateurs agissent comme responsables du traitement pour les données collectées sur leur portail de candidature. Votre cégep reçoit ensuite un dossier structuré. Mais dès que votre équipe des admissions ouvre ce dossier, le consulte, prend une décision, envoie un accusé de réception ou demande des pièces complémentaires par courriel, c'est votre établissement qui est responsable de traitement pour ces opérations-là. La politique de confidentialité du SRAM ne vous couvre pas pour vos propres traitements.
Pour les universités, l'admission directe — via les portails institutionnels de l'UdeM, de McGill, de l'Université Laval, de l'UQAM ou des autres membres du Bureau de coopération interuniversitaire (BCI) — place l'université en position de responsable unique du traitement dès la première saisie du candidat. La responsabilité est totale et l'avis de confidentialité sur le formulaire doit être complet dès l'entrée dans le processus.
Dans les deux configurations, la communication claire de l'identité du responsable de traitement est essentielle — non seulement pour satisfaire la Loi 25, mais pour maintenir la confiance des candidats dans un contexte où les données d'admission sont particulièrement sensibles.
Sur le plan de la conversion, cette clarté paie : 18,4 % des prospects s'inscrivent à une journée portes ouvertes via le chatbot, contre 6,2 % via le formulaire classique (Source : benchmark interne Skolbot, 2025-2026). Un parcours transparent et respectueux des renseignements personnels — que ce soit par chatbot ou par formulaire — est aussi un parcours qui convertit mieux. Pour explorer comment déployer un chatbot conforme protection des données pour établissements, notre guide technique détaille les critères à exiger d'un fournisseur.
FAQ — Loi 25 et formulaire de candidature au Québec
La Loi 25 est-elle très différente du RGPD pour les formulaires de candidature ?
La Loi 25 partage de nombreux principes avec le RGPD (finalités, droits des personnes, sécurité), mais elle a des spécificités québécoises importantes : l'obligation de nommer publiquement un RPRP (et non seulement un DPD comme en Europe, qui n'est requis que dans certains cas), des exigences de politique de confidentialité accessible en ligne, et un cadre sur le droit au déréférencement. La CAI publie des guides adaptés aux organisations québécoises, distincts des lignes directrices du CEPD européen.
Quelle mention mettre sur le formulaire de candidature d'un établissement québécois ?
La mention minimale doit comporter : l'identification de l'établissement collecteur (nom complet et adresse), la finalité de la collecte (« traitement de votre demande d'admission »), les coordonnées du RPRP ou du service responsable pour l'exercice des droits, un lien vers la politique de confidentialité complète, et — si des communications promotionnelles sont prévues — une case d'opt-in distincte, non pré-cochée, dont le refus n'a aucune incidence sur le traitement de la candidature. Utilisez « renseignements personnels » et non « données personnelles » : c'est le terme retenu par la Loi 25 et par l'usage québécois.
Puis-je envoyer des courriels de relance aux candidats sans consentement explicite ?
Oui, à condition que la collecte initiale soit directement liée à la candidature et que vos communications se limitent à des démarches directement en lien avec le processus d'admission : accusé de réception, demande de pièces manquantes, communication du résultat, invitation à confirmer l'inscription. Pour les communications promotionnelles — information sur d'autres programmes, événements, actualités de l'établissement — un consentement explicite et séparé est requis, et son absence ne peut bloquer le traitement du dossier.
Combien de temps conserver les renseignements d'un candidat non admis ?
Deux ans après la clôture de la procédure d'admission est la durée généralement recommandée, cohérente avec les orientations de la CAI et les délais de prescription du droit civil québécois. Cette durée doit être documentée dans votre politique de confidentialité et dans votre registre des traitements. Passé ce délai, les renseignements doivent être détruits ou anonymisés de façon irréversible. Pour les candidats admis mais non inscrits, la durée peut varier selon vos obligations institutionnelles — votre RPRP peut vous guider sur la politique adaptée à votre contexte.
Quelles sanctions risque un établissement québécois non conforme ?
La CAI peut imposer des sanctions administratives pécuniaires (SAP) pouvant atteindre 10 millions de dollars CAD ou 2 % du chiffre d'affaires mondial pour certaines violations de la Loi 25, et jusqu'à 25 millions de dollars CAD ou 4 % pour les infractions graves — notamment le défaut de notification d'un incident de confidentialité, la communication non autorisée de renseignements personnels, ou le non-respect des droits des personnes. Au-delà des amendes, la CAI peut ordonner des mesures correctives, publier ses décisions, et recommander des poursuites pénales dans les cas les plus sérieux. Pour les établissements d'enseignement supérieur dont la réputation repose sur la confiance des futurs étudiants et de leurs familles, l'impact réputationnel d'une décision publique de la CAI peut dépasser largement le coût de la sanction financière.
La conformité à la Loi 25 sur un formulaire de candidature n'est pas une contrainte qui s'oppose à la performance de recrutement : c'est un cadre qui clarifie les responsabilités, réduit le risque juridique, et — quand il est bien conçu — simplifie le parcours candidat en éliminant les cases inutiles qui alimentent le taux d'abandon.
Testez Skolbot sur votre établissement en 30 secondes
