ChatGPT
Claude
Perplexity
Gemini
GrokQuand un prospect envoie un courriel pour demander la suppression de tous ses renseignements personnels, l'établissement d'enseignement supérieur québécois a 30 jours pour répondre et agir — délai prévu par la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels), en vigueur depuis le 22 septembre 2023. L'autorité de contrôle est la Commission d'accès à l'information du Québec (CAI), et non un organisme européen. Une absence de réponse ou une réponse hors délai expose l'établissement à des sanctions directes de la CAI et à des amendes administratives pécuniaires pouvant atteindre 25 millions CAD ou 4 % du chiffre d'affaires mondial pour les infractions les plus graves.
La Loi 25 n'est pas une transposition du RGPD européen : c'est une loi québécoise distincte, avec sa propre terminologie, ses propres mécanismes et ses propres spécificités. Le « droit à l'effacement » y est consacré sous la forme du droit à la désindexation et à la suppression (article 31 de la Loi sur la protection des renseignements personnels, version modernisée par la Loi 25). Ce guide est écrit pour les équipes d'admission et de marketing des universités québécoises, des cégeps, et des établissements privés subventionnés ou non, avec la terminologie exacte de la loi québécoise.
Pour comprendre le cadre général de protection des renseignements personnels dans l'enseignement supérieur québécois, consultez notre guide complet Loi 25 et données étudiantes au Québec.
Ce que la Loi 25 prévoit : droit à la désindexation et à la suppression
L'article 31 de la Loi sur la protection des renseignements personnels (version modernisée) consacre le droit à la désindexation et à la suppression. Toute personne peut demander à un organisme ou à une entreprise de désindexer tout hyperlien attaché à son nom qui donne accès à des renseignements qui lui causent un préjudice, ou de supprimer des renseignements qui ont été collectés sans base légale valide ou dont la conservation n'est plus justifiée. Ce droit est distinct du droit d'accès (article 27) et du droit de rectification (article 29) — chacun obéit à ses propres conditions.
Qui peut exercer ce droit ? Toute « personne concernée » au sens de la Loi 25 — terme qui inclut les prospects, c'est-à-dire les personnes dont les renseignements sont détenus par l'établissement sans qu'une relation contractuelle formelle (contrat d'inscription) soit encore établie. Un étudiant potentiel qui a rempli un formulaire de demande d'information sur les droits de scolarité en CAD, participé à une journée portes ouvertes, ou interagi avec le chatbot de l'établissement : tous sont des personnes concernées au sens de la Loi 25.
Quel délai ? La Loi 25 impose de répondre à une demande de suppression « dans les 30 jours suivant la demande ». Ce délai est légèrement différent du RGPD européen qui prévoit « sans tarder excessif et dans un délai d'un mois » : la formulation québécoise est plus stricte car elle part du jour de la demande, sans possibilité d'invoquer une réception tardive. La CAI peut accorder une prorogation sur demande dans des cas complexes.
Quelle forme pour la demande ? Aucune forme écrite n'est imposée par la Loi 25, mais l'établissement doit disposer d'un moyen accessible pour recevoir ces demandes — obligation directe de l'article 8 de la Loi. La Loi 25 exige que la politique de confidentialité de l'établissement indique comment exercer les droits et que cette politique soit accessible et rédigée en termes simples. Une demande reçue par courriel, via un formulaire en ligne ou même verbalement déclenche le délai de 30 jours.
Les trois déclencheurs principaux d'une demande de suppression au Québec
Sous la Loi 25, les demandes de suppression de renseignements personnels par des prospects se produisent dans trois situations récurrentes. Chaque situation a une base légale distincte et appelle un traitement différent.
| Situation | Base légale de la suppression (Loi 25) | Suppression obligatoire |
|---|---|---|
| Le prospect retire son consentement aux communications marketing ou à l'utilisation de ses renseignements | Art. 12 — retrait du consentement | Oui, pour tous les renseignements collectés sur la base de ce consentement |
| Les renseignements ne sont plus nécessaires aux fins déclarées lors de la collecte (ex. candidature non aboutie depuis plus de 3 ans) | Art. 5 — finalité dépassée | Oui, automatiquement par calendrier de conservation, ou sur demande |
| Les renseignements ont été collectés sans le consentement requis ou à des fins non déclarées | Art. 4 — collecte sans fondement valide | Oui, sans délai, indépendamment de toute demande |
| La personne est visée par un hyperlien préjudiciable dans un moteur de recherche lié au site de l'établissement | Art. 31 — droit à la désindexation spécifique | Oui, si le préjudice est démontré |
| Le prospect était mineur au moment de la collecte dans un contexte de service numérique | Loi sur la protection du consommateur + Loi 25 | Oui, renforcement de la protection pour les mineurs |
Dans la pratique des universités, cégeps et établissements privés québécois, le cas le plus fréquent est le retrait du consentement marketing : un prospect qui s'est désabonné d'une infolettre et souhaite aller plus loin en demandant la suppression complète de son profil dans le CRM de l'établissement. Le deuxième cas courant est la collecte sans consentement valide — notamment via des listes achetées auprès de salons étudiants sans que le consentement des personnes ait été correctement recueilli.
Les motifs légitimes de refus — le droit à la suppression a des limites
La Loi 25, à l'instar du RGPD européen, prévoit des situations où la suppression peut être refusée ou restreinte. Ces exceptions s'interprètent strictement : elles ne peuvent pas être invoquées de manière générale pour conserver des renseignements dont l'établissement préférerait ne pas se défaire.
Exception 1 — Conservation nécessaire pour satisfaire à une obligation légale. Si une loi québécoise ou fédérale impose la conservation de certains renseignements (ex. obligations fiscales, obligations comptables imposées par l'Agence du revenu du Québec), l'établissement peut refuser la suppression pour les données couvertes par cette obligation. La conservation doit être strictement limitée aux données nécessaires à l'obligation légale et à la durée imposée — on ne peut pas conserver l'intégralité d'un dossier prospect au motif qu'une facture de 25 CAD doit être archivée 7 ans.
Exception 2 — Défense de droits en justice. Si l'établissement est partie à un litige impliquant le prospect ou si une procédure est raisonnablement prévisible, il peut conserver les renseignements strictement nécessaires à sa défense. Cette exception est temporaire et limitée — dès que le litige est résolu, les données doivent être supprimées.
Exception 3 — Recherche et intérêt public. La Loi 25 reconnaît une exception pour la recherche scientifique et les activités d'intérêt public, à condition que les renseignements soient anonymisés ou qu'il soit impossible d'atteindre la finalité de recherche avec des données anonymes. Cette exception est particulièrement pertinente pour les universités québécoises (UdeM, Laval, UQAM, Concordia, McGill, HEC Montréal) qui mènent des activités de recherche institutionnelle.
Exception 4 — Finalité compatible non contraire à l'intérêt du prospect. La Loi 25 autorise un usage secondaire des renseignements si la nouvelle finalité est compatible avec la finalité originale et ne contrevient pas à l'intérêt de la personne. C'est une exception étroite, et la CAI a précisé qu'elle ne peut pas être utilisée pour justifier le maintien d'un profil marketing après retrait du consentement.
La pratique du refus partiel est possible et recommandée dans certains cas : l'établissement peut supprimer les données marketing d'un prospect tout en conservant un enregistrement minimal (identifiant anonyme, date de la demande, confirmation d'exécution) pour démontrer sa conformité à la CAI lors d'une vérification. Ce registre des demandes traitées est une bonne pratique directement liée à l'obligation de reddition de comptes (accountability) inscrite dans la Loi 25.
Procédure en 5 étapes avec calendrier jour par jour
Une demande de suppression bien traitée suit un processus structuré. Voici la procédure recommandée pour les équipes d'admission et de marketing des établissements québécois, conforme aux attentes de la CAI.
Jour 1 — Réception et accusé de réception. Accusez réception de la demande dans les 24 à 48 heures par courriel. Cet accusé de réception confirme que le délai de 30 jours commence à courir. Consignez la demande dans votre registre des demandes de droits — obligation directe de la Loi 25, qui impose de tenir un registre des incidents de confidentialité et des demandes d'exercice de droits. Si la demande provient d'un canal informel (réseau social, appel téléphonique), demandez une confirmation par courriel pour la traçabilité.
Jours 2 à 5 — Vérification de l'identité et cartographie des renseignements. Vérifiez l'identité du demandeur de manière proportionnée — un courriel depuis l'adresse connue du prospect suffit généralement. Cartographiez tous les renseignements détenus sur cette personne : CRM, outil de courriel marketing, logs du chatbot, analytics, sauvegardes actives, listes de segmentation. Cette étape révèle souvent des renseignements oubliés dans des systèmes secondaires ou chez des sous-traitants.
Jours 6 à 15 — Évaluation et décision. Déterminez si une exception légale s'applique. Consultez le responsable de la protection des renseignements personnels de l'établissement — rôle obligatoire en vertu de la Loi 25 (équivalent québécois du DPO européen). Si une exception partielle s'applique, documentez précisément quels renseignements sont conservés, pour quelle durée, et sous quelle base légale. Si des renseignements ont été collectés sans fondement valide, la suppression est immédiate sans possibilité d'exception.
Jours 16 à 25 — Exécution de la suppression. Supprimez les renseignements dans tous les systèmes identifiés. Notifiez les sous-traitants de l'établissement (plateforme d'envoi de courriels, fournisseur de chatbot, CRM en mode SaaS hébergé hors Québec) de procéder à la suppression dans leurs propres systèmes — obligation directe découlant des contrats de sous-traitance conformes à la Loi 25. Si le sous-traitant est établi hors du Québec, l'article 17 Loi 25 impose que le contrat prévoit des protections équivalentes. Conservez une confirmation écrite de l'exécution par chaque sous-traitant.
Jours 26 à 30 — Réponse au demandeur. Répondez par courriel en confirmant la suppression, en listant les systèmes concernés, et en expliquant tout refus partiel avec sa base légale précise. Informez le demandeur de son droit de contester la décision auprès de la CAI si vous avez refusé tout ou partie de la demande. Archivez cette réponse dans votre registre des demandes de droits. La Loi 25 impose que ce registre soit accessible au responsable de la protection des renseignements personnels et communicable à la CAI sur demande.
Durées de conservation des données prospects au Québec
La durée de conservation des renseignements personnels est l'un des piliers de la Loi 25. L'article 5 impose de conserver les renseignements uniquement « le temps nécessaire à la réalisation des fins pour lesquelles ils ont été recueillis ». La CAI recommande explicitement aux organisations d'adopter un calendrier de conservation formalisé et documenté — non seulement pour les dossiers d'étudiants, mais aussi pour les données de prospects.
Pour les établissements d'enseignement supérieur québécois, les durées suivantes constituent une pratique de référence conforme à la Loi 25 :
- Coordonnées (courriel, cellulaire, nom) — 3 ans après le dernier contact actif, puis suppression automatisée. Le « contact actif » s'entend d'une interaction réelle : ouverture d'un courriel, réponse à un message, présence à une journée portes ouvertes. Un prospect qui n'a eu aucune interaction depuis 3 ans ne justifie plus une conservation active.
- Profil d'intérêt (programme, baccalauréat visé, DEC technique) — Lié à la durée du profil prospect, même règle des 3 ans.
- Logs de conversation chatbot (anonymisés) — 12 mois maximum pour l'amélioration du service ; les logs nominatifs n'ont aucune raison d'exister au-delà de 30 jours après la fin de la session.
- Interactions marketing (clics, ouvertures, participations aux portes ouvertes) — 3 ans après le dernier contact actif, associées au profil prospect.
- Renseignements collectés sans consentement valide — Suppression sans délai, indépendamment de toute demande.
L'un des apports spécifiques de la Loi 25 est l'obligation pour les grandes organisations de produire un rapport annuel sur la mise en œuvre de leur politique de confidentialité et de le communiquer à la CAI. Les universités québécoises et les grandes écoles (HEC Montréal, ÉTS, ENAP) entrent dans ce périmètre. Ce rapport doit documenter non seulement les durées de conservation prévues, mais aussi les mécanismes de purge effectivement mis en place. Pour l'ensemble du dispositif de protection des données prospects, notre guide opérationnel Loi 25 pour les équipes d'admission détaille les bases légales par canal de collecte.
Chatbot IA, CRM et droit à la suppression : les implications concrètes
Les établissements qui combinent un chatbot IA de recrutement et un CRM font face à un défi de cohérence lors d'une demande de suppression : les renseignements personnels sont répartis dans plusieurs systèmes, souvent gérés par des sous-traitants dont les serveurs sont situés hors du Québec.
Les établissements partenaires de Skolbot traitent en médiane 195 leads qualifiés par mois (Source : Benchmark Skolbot 2024-2025, panel de 18 établissements). Sur une année, cela représente plus de 2 300 nouveaux profils. Sur 3 ans, un établissement typique accumule un stock de l'ordre de 7 000 profils actifs — auxquels s'ajoutent les prospects inactifs non purgés. Sans processus automatisé de suppression sur demande et de purge périodique, ce volume génère un risque réglementaire croissant.
Dans le chatbot IA, une demande de suppression doit couvrir : les logs de conversation nominatifs, le profil créé dans l'interface du chatbot, et les renseignements transmis au CRM via l'intégration. Vérifiez que votre contrat avec le fournisseur du chatbot prévoit explicitement l'obligation de suppression sur instruction et que le fournisseur peut l'exécuter dans les 30 jours. Si le chatbot est hébergé hors Québec, l'article 17 Loi 25 impose en outre une évaluation des facteurs relatifs à la vie privée (EFVP) et des protections contractuelles spécifiques.
Dans le CRM, la suppression doit couvrir le contact principal, les activités associées (courriels envoyés, notes d'admission, interactions aux portes ouvertes), les listes et segments d'appartenance, et les sauvegardes actives dans la mesure du possible. Un CRM qui propose uniquement une « archivation » sans suppression réelle ne satisfait pas aux exigences de la Loi 25 pour une demande de suppression.
Dans l'outil de courriel, la désinscription ne suffit pas : le courriel doit être supprimé de la base, et non conservé avec un statut « désabonné ». La CAI a confirmé que conserver une adresse courriel à des fins de « gestion des exclusions » constitue toujours un traitement de renseignements personnels soumis à la Loi 25.
Pour les consentements et cookies liés au widget chatbot, notre article sur la conformité Loi 25 et cookies pour les établissements québécois détaille les obligations spécifiques. Notre checklist d'audit Loi 25 pour les établissements québécois vous permet d'évaluer votre niveau de conformité global.
FAQ
La CAI peut-elle sanctionner un établissement québécois pour une seule demande de suppression mal traitée ?
Oui. La Loi 25 prévoit des amendes administratives pécuniaires (AAP) pour les infractions, dont le défaut de donner suite à une demande d'exercice de droits dans les 30 jours. En pratique, la CAI commence souvent par une demande de renseignements ou une recommandation formelle avant d'infliger une amende pour un premier manquement isolé. Cependant, l'absence de procédure documentée, l'absence de responsable de la protection des renseignements personnels désigné, ou un refus non motivé exposent l'établissement à des sanctions plus directes. Une plainte déposée auprès de la CAI déclenche systématiquement une vérification de la conformité globale de l'établissement — pas seulement du cas signalé.
Le droit à la suppression s'applique-t-il aux données de prospects recrutés via le Bureau de coopération interuniversitaire (BCI) ou les services d'admission SRAM/SRACQ ?
Les demandes d'admission traitées par le BCI ou les services centralisés comme le SRAM (Service régional d'admission du Montréal métropolitain) impliquent plusieurs responsables de traitement distincts. Chaque responsable est tenu de répondre aux demandes relatives aux renseignements qu'il détient directement. Un prospect qui demande la suppression de ses données à une université doit adresser une demande séparée au SRAM ou au SRACQ si ces organismes détiennent également ses renseignements. L'établissement ne peut pas refuser de traiter la demande au motif que « les données viennent du SRAM » — il doit agir sur les données qu'il détient lui-même.
Le droit à la suppression couvre-t-il les renseignements présents dans les sauvegardes informatiques ?
La Loi 25 n'exclut pas explicitement les sauvegardes, mais la CAI admet qu'un effacement immédiat dans les sauvegardes de routine peut être techniquement impossible. La position recommandée est de documenter que les sauvegardes sont isolées du traitement actif, que les renseignements du demandeur seront écrasés lors du prochain cycle de rotation des sauvegardes, et d'informer le demandeur de cette situation dans votre réponse. Cette approche doit être formalisée dans votre politique de conservation — un engagement oral ne suffit pas en cas de vérification par la CAI.
Comment distinguer le droit à la suppression du droit à la désindexation prévu à l'article 31 Loi 25 ?
Le droit à la désindexation vise spécifiquement les hyperliens accessibles dans des moteurs de recherche ou sur internet qui associent le nom de la personne à des informations lui causant un préjudice. Pour les prospects d'un établissement, ce droit est rarement pertinent (leurs données sont dans un CRM, pas indexées sur le web). Le droit à la suppression, quant à lui, porte sur les renseignements détenus dans les systèmes internes de l'établissement. Les deux droits peuvent être exercés simultanément — si un établissement a publié des noms de candidats dans un document accessible en ligne, la désindexation et la suppression sont deux étapes distinctes à traiter.
Un étudiant international qui n'est plus résident du Québec peut-il invoquer la Loi 25 ?
Oui. La Loi 25 s'applique à toute personne dont les renseignements sont détenus par un organisme ou une entreprise assujetti à la loi québécoise, indépendamment du lieu de résidence actuel de la personne. Un étudiant international qui a candidaté à l'UQAM ou à Concordia et dont les données sont dans le CRM de l'établissement peut exercer ses droits sous la Loi 25, même s'il réside maintenant à l'étranger. Les droits de scolarité internationaux au Québec se situant entre CAD 20 000 et CAD 35 000 par an, les établissements traitent des volumes significatifs de renseignements de prospects internationaux — autant de personnes susceptibles d'exercer leurs droits.
Découvrez comment les établissements québécois améliorent leur recrutement avec Skolbot
