ChatGPT
Claude
Perplexity
Gemini
GrokLa règle centrale : définir et documenter une durée de conservation
Au Québec, la gestion des renseignements personnels des prospects est encadrée par la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels), en vigueur depuis septembre 2023. Contrairement au RGPD européen, la Loi 25 ne fixe pas de durée de conservation universelle dans le texte législatif lui-même. Elle impose toutefois quelque chose d'aussi contraignant : chaque organisation doit définir ses règles de conservation dans une politique formelle et les respecter.
La Commission d'accès à l'information du Québec (CAI), autorité de contrôle provinciale, recommande dans ses lignes directrices une durée de 3 ans pour les renseignements de prospection à compter du dernier contact actif avec la personne — alignée avec les bonnes pratiques internationales. Pour un cégep ou une université québécoise, cette recommandation concerne directement tous les prospects qui ont rempli un formulaire sur le site, participé à une journée portes ouvertes, ou posé une question via un agent conversationnel sans aller jusqu'à l'inscription.
La Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP), dans sa version modernisée par la Loi 25, constitue le texte de référence. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s'applique en parallèle pour les activités interprovinciales et internationales — notamment le recrutement d'étudiants d'autres provinces.
L'absence de politique documentée est en elle-même une infraction à la Loi 25. La CAI dispose depuis 2024 d'un pouvoir de sanction allant jusqu'à 25 millions de dollars CAD ou 4 % du chiffre d'affaires mondial — des montants qui ont transformé la priorité accordée à la conformité dans les directions d'établissements.
Pour comprendre l'ensemble du cadre légal applicable, consultez notre guide Loi 25 pour les données étudiantes au Québec.
Tableau complet des durées de conservation par catégorie de renseignements
La durée de conservation varie selon la nature des renseignements et leur finalité. Le tableau suivant intègre les recommandations de la CAI et les obligations légales québécoises :
| Catégorie de renseignements | Durée de conservation active | Base |
|---|---|---|
| Contact prospect non converti (courriel, téléphone) | 3 ans depuis le dernier contact actif | Recommandation CAI — bonnes pratiques Loi 25 |
| Dossier de candidature non retenu | 2 ans depuis la décision de refus | Recommandation CAI — prescription civile |
| Dossier administratif étudiant inscrit | 5 ans après la fin des études | Code civil du Québec — prescription quinquennale |
| Données financières et comptables (droits de scolarité) | 6 ans | Loi sur l'administration fiscale du Québec |
| Données de paiement par carte bancaire | 15 mois | Délai de rétrofacturation CB |
| Données de navigation et témoins (cookies) | 13 mois maximum | Recommandation CAI — bonnes pratiques |
| Conversations d'agent conversationnel sans identifiant | 30 jours | Principe de minimisation — art. 5 LPRPSP |
| Conversations liées à un prospect identifié | 3 ans (rattachées au profil prospect) | Recommandation CAI |
Deux précisions essentielles : premièrement, le délai de 3 ans se remet à zéro à chaque contact actif — une réponse à un courriel de relance, une réinscription à une journée portes ouvertes, un nouveau message via l'agent conversationnel. Deuxièmement, ces durées doivent figurer explicitement dans la politique de confidentialité publiée sur votre site Web, conformément à l'obligation de transparence de la Loi 25.
Ce que la Loi 25 exige formellement
Une politique de confidentialité publiée en termes clairs
La Loi 25 oblige chaque organisation à publier sur son site Web une politique de confidentialité rédigée en termes simples. Cette politique doit inclure : les finalités de collecte, les catégories de renseignements collectés, les durées de conservation, les droits des personnes et les coordonnées du responsable de la protection des renseignements personnels (RPRP). Un cégep ou une université qui collecte des renseignements via un formulaire de portes ouvertes sans politique publiée est en infraction dès le premier formulaire rempli.
Le responsable de la protection des renseignements personnels (RPRP)
Depuis septembre 2022, la Loi 25 exige la désignation d'un RPRP dans toute organisation. Pour un cégep de 800 étudiants comme pour une université de 30 000 inscriptions, l'obligation est identique. Le RPRP supervise la politique de conservation, valide le registre des activités de traitement et répond aux demandes d'exercice de droits dans les 30 jours.
L'évaluation des facteurs relatifs à la vie privée (EFVP)
Avant tout nouveau projet impliquant des renseignements personnels — déploiement d'un agent conversationnel, migration CRM, nouveau programme de nurturing par courriel — une EFVP est obligatoire. L'EFVP doit notamment documenter les durées de conservation envisagées et justifier leur proportionnalité.
Loi 25 vs RGPD : différences importantes pour les établissements qui recrutent à l'international
Plusieurs universités québécoises — HEC Montréal, UdeM, Laval, UQAM — recrutent activement en France, en Belgique et en Suisse. Pour ces établissements, les deux cadres s'appliquent en parallèle.
| Aspect | Loi 25 (Québec) | RGPD (UE) |
|---|---|---|
| Base légale principale | Consentement (pierre angulaire) | Six bases légales dont intérêt légitime |
| Durée de conservation | Définie par politique interne + recommandation CAI | Principe de limitation — recommandations EDPB |
| Délai de réponse aux droits | 30 jours | 1 mois (prolongeable) |
| Droit à la portabilité | Depuis septembre 2024 | Depuis mai 2018 |
| Sanctions maximales | 25 M$ CAD ou 4 % du CA mondial | 20 M EUR ou 4 % du CA mondial |
| Autorité de contrôle | CAI (Québec) + CPVP (fédéral) | Autorité nationale (CNIL, APD, etc.) |
La distinction la plus importante pour les équipes admissions : au Québec, le consentement est la base légale principale pour la prospection. L'intérêt légitime, largement utilisé en Europe, est reconnu dans la Loi 25 sous la notion d'« intérêt sérieux et légitime », mais son application aux communications marketing est plus restreinte qu'en Europe.
Le droit à l'oubli selon la Loi 25 (article 28 LPRPSP)
L'article 28 de la Loi sur la protection des renseignements personnels dans le secteur privé, tel que modifié par la Loi 25, consacre le droit d'une personne à exiger la suppression de ses renseignements personnels lorsque leur collecte n'était pas autorisée ou lorsque les fins de collecte ont été atteintes. Pour un prospect non inscrit après 3 ans, les fins de la collecte (la prospection) sont atteintes — et la demande de suppression ne peut être refusée.
L'établissement dispose de 30 jours pour traiter la demande. La suppression doit être effective dans tous les systèmes : CRM, outil de courriel, agent conversationnel, analytiques, sauvegardes. Notre guide sur le droit à l'effacement pour les prospects détaille la procédure de suppression en cascade et les réponses types à adresser aux prospects.
Les données des agents conversationnels : un angle mort fréquent
72 % des questions posées par les prospects aux agents conversationnels de cégeps et d'universités sont des FAQ simples automatisables, 7 % nécessitent une intervention humaine (Source : Classification automatique sur 12 000 conversations Skolbot, 2025 — content/zpd-bank.json#question-complexity-distribution). Ce volume de données conversationnelles est rarement documenté dans les politiques de conservation.
La règle applicable selon la Loi 25 :
- Sans identifiant collecté : les journaux de conversation peuvent être conservés 30 jours à des fins d'amélioration du service, puis supprimés ou dépersonnalisés.
- Avec identifiant associé (courriel ou numéro fourni par le prospect pour être recontacté) : les données de conversation font partie du profil prospect et suivent la règle des 3 ans.
La Loi 25 impose l'obligation d'informer le prospect avant que l'agent conversationnel collecte des renseignements personnels : qu'il interagit avec une IA, quels renseignements sont collectés, et comment exercer ses droits. Un bandeau d'information au lancement de l'agent, avec lien vers la politique de confidentialité, remplit cette obligation.
Automatiser la suppression dans votre CRM
La purge manuelle des renseignements périmés est impossible à tenir dans la durée. Les équipes admissions gèrent les cycles de recrutement — elles ne consacrent pas de ressources à vérifier que les fiches CRM de 2022 ont bien été supprimées. Les solutions opérationnelles :
Paramétrer une règle d'archivage automatique : les CRM modernes (HubSpot, Salesforce, Dynamics) permettent de créer des règles basées sur la date du dernier contact. Une règle « supprimer ou anonymiser les prospects sans interaction depuis 3 ans » s'exécute automatiquement, sans intervention humaine.
Créer un champ « date de dernier contact actif » mis à jour à chaque interaction entrante ou sortante. L'ouverture d'un courriel sans clic n'est pas un contact actif. Une réponse à un courriel, un clic sur un lien, une participation à une journée portes ouvertes, un nouveau message via l'agent conversationnel — oui.
Planifier un audit semestriel des volumes de renseignements par tranche d'ancienneté. Un tableau de bord indiquant le nombre de fiches par tranche (0-1 an, 1-2 ans, 2-3 ans, >3 ans) donne une vue immédiate du risque de non-conformité.
Documenter la politique de conservation dans le registre des activités de traitement : pour chaque traitement (formulaires de contact, inscription aux portes ouvertes, agent conversationnel), documenter la durée de conservation active, le déclencheur de suppression et le responsable de l'action.
FAQ — Durée de conservation des renseignements prospects selon la Loi 25
La CAI a-t-elle publié une durée officielle de 3 ans pour la prospection ? La CAI ne fixe pas de durée légale impérative dans un texte réglementaire. Elle recommande dans ses lignes directrices de conserver les renseignements de prospection au maximum 3 ans depuis le dernier contact actif, et d'aligner cette durée avec les bonnes pratiques internationales. Votre politique interne doit documenter cette durée et sa justification — c'est ce que la CAI vérifiera lors d'un contrôle.
La durée de 3 ans s'applique-t-elle aux données collectées lors du SRAM ou du SRACQ ? Les données transmises au Service régional d'admission du Montréal métropolitain (SRAM) ou au Service régional d'admission au collégial du Québec (SRACQ) dans le cadre d'une candidature sont soumises aux politiques de conservation de ces organismes, distinctes des vôtres. Les données de prospection que vous avez collectées en amont de la candidature (formulaires de contact, portes ouvertes) restent sous votre responsabilité et suivent la règle des 3 ans.
Peut-on conserver les renseignements d'un prospect si on les dépersonnalise ? Des renseignements véritablement dépersonnalisés — dont la réidentification est impossible avec des moyens raisonnables — ne relèvent plus de la Loi 25 ni de la LPRPSP. Ils peuvent être conservés à des fins statistiques. La dépersonnalisation doit être réelle : supprimer uniquement le courriel tout en conservant le prénom, le programme d'intérêt et la date de la portes ouvertes n'est pas une dépersonnalisation suffisante si ces éléments permettent une réidentification indirecte.
Notre cégep utilise un outil CRM hébergé aux États-Unis. Est-ce conforme ? La Loi 25 exige une EFVP avant tout transfert de renseignements personnels hors Québec. Pour un hébergement aux États-Unis, l'EFVP doit évaluer les risques liés au USA CLOUD Act et aux demandes d'accès gouvernementales américaines. La CAI recommande l'hébergement au Canada. Si le transfert est maintenu, des clauses contractuelles de protection adéquates et une EFVP documentée sont obligatoires.
Un étudiant diplômé peut-il demander la suppression de tous ses renseignements ? Non intégralement. L'établissement a l'obligation légale de conserver les preuves de délivrance du diplôme (DEC, baccalauréat, maîtrise). Les données financières sont soumises à une durée légale de 6 ans (Loi sur l'administration fiscale du Québec). En revanche, les données de navigation, de communication marketing et les conversations de l'agent conversationnel doivent être supprimées. La réponse à la demande doit préciser par écrit quels renseignements sont supprimés et lesquels sont conservés avec leur base légale.
Découvrez comment les cégeps et universités améliorent leur recrutement
