ChatGPT
Claude
Perplexity
Gemini
GrokAvis réglementaire — Cet article est fourni à titre informatif et ne constitue pas un avis juridique. Les obligations décrites sont issues de la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) et de la LPRPDE. Consultez votre conseiller juridique ou votre Responsable de la protection des renseignements personnels (RPRP) pour toute décision de conformité propre à votre établissement.
Quels renseignements personnels de vos candidats quittent le Québec
Quand un futur étudiant remplit le formulaire de contact sur le site de votre cégep ou université, au moins trois flux de renseignements personnels quittent le Québec simultanément : la conversation est enregistrée sur les serveurs de votre plateforme d'agent conversationnel (souvent hébergée aux États-Unis), l'événement de conversion est envoyé à Google Analytics et potentiellement à Meta Pixel, et le courriel de confirmation est routé via votre plateforme d'infolettres américaine.
Ce n'est pas un scénario hypothétique. 58 % des candidats en contact avec des établissements québécois sont anglophones ou allophones — les outils de traitement multilingue, souvent hébergés aux États-Unis, sont au cœur du recrutement étudiant au Québec (Source : Détection de langue automatique sur 8 500 conversations Skolbot, 2025-2026). Ces outils — Google Workspace, Meta Ads, OpenAI, Salesforce, HubSpot — traitent des noms, des courriels, des numéros de cellulaire, des intentions de programme, parfois des historiques académiques.
La Loi 25, pleinement en vigueur depuis le 22 septembre 2023, classe chacun de ces transferts comme une communication de renseignements personnels à l'extérieur du Québec — avec les obligations qui en découlent. Contrairement à ce qu'on pourrait croire, il ne suffit pas d'accepter les conditions d'utilisation d'un fournisseur reconnu pour être conforme : la Loi 25 impose des étapes documentées que votre équipe doit compléter avant chaque déploiement.
Pour comprendre le cadre réglementaire global applicable à votre établissement, consultez notre guide Loi 25 et données étudiantes.
Les catégories de renseignements en jeu lors du recrutement
Les renseignements personnels qui quittent le Québec dans le cadre du recrutement étudiant ne se limitent pas aux courriels. Pour chaque candidat, le flux typique comprend des données d'identification (prénom, nom, numéro de téléphone), des données comportementales (pages visitées, temps passé, programme consulté, questions posées à l'agent conversationnel), des données de localisation approximative (IP, ville), et dans certains cas des données de candidature incluant la cote R ou le relevé de notes.
La nature multilingue du recrutement amplifie l'enjeu. Les outils de traduction automatique et de détection de langue — intégrés aux chatbots, aux CRM et aux plateformes d'infolettres — envoient systématiquement les conversations vers des API hébergées aux États-Unis pour traitement. Une question posée en mandarin par un candidat international à l'UdeM ou à McGill, traitée par une API linguistique américaine, constitue une communication hors Québec soumise à la Loi 25.
Loi 25 et transferts hors Québec : les obligations de votre institution
La Loi 25 n'est pas une transposition du RGPD européen. C'est une loi québécoise autonome — la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) dans sa version modernisée — avec ses propres mécanismes et son propre régulateur : la Commission d'accès à l'information du Québec (CAI). Adapter vos processus RGPD sans révision québécoise crée des lacunes réelles.
L'obligation centrale : l'EFVP avant tout transfert (art. 17)
L'article 17 de la Loi 25 impose qu'avant de communiquer des renseignements personnels à l'extérieur du Québec, tout organisme effectue une Évaluation des facteurs relatifs à la vie privée (EFVP). Il n'existe pas au Québec de liste de pays « adéquats » comparable à celle du RGPD européen : même les États-Unis, la France ou l'Allemagne nécessitent une EFVP préalable.
L'EFVP doit analyser quatre éléments : la sensibilité des renseignements communiqués, les fins pour lesquelles le destinataire les utilisera, les mesures de protection disponibles dans le pays de destination, et les engagements contractuels que le prestataire peut prendre. Si l'EFVP conclut que la protection offerte est insuffisante, des mesures supplémentaires — clauses contractuelles renforcées, chiffrement additionnel, limitation des accès — doivent être mises en place avant toute communication.
L'EFVP n'est pas un formulaire rapide. C'est un document daté, signé par votre RPRP, qui doit être conservé et révisé à chaque changement d'architecture chez le fournisseur. La CAI peut le demander lors d'un contrôle ou d'une plainte.
Le contrat de service avec protection comparable (art. 18.3)
En parallèle de l'EFVP, l'article 18.3 de la LPRPSP exige que tout contrat de service conclu avec un prestataire traitant des renseignements personnels pour votre compte stipule les mesures de protection que ce prestataire s'engage à respecter. Ce contrat doit prévoir : la limitation des finalités de traitement, les mesures de sécurité techniques et organisationnelles, les modalités de notification en cas d'incident de confidentialité, et les conditions de destruction des renseignements au terme du contrat.
La norme exigée est une protection comparable à celle offerte par la Loi 25 — et non une protection identique. En pratique, aucune loi américaine fédérale de protection des données n'atteint ce seuil sans compensations contractuelles. Les clauses contractuelles de l'UE (CCT) n'ont aucune valeur juridique directe au Québec : ce ne sont pas des instruments reconnus par la Loi 25 ou la CAI.
La LPRPDE : le cadre fédéral complémentaire
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s'applique aux activités commerciales interprovinciales et internationales des organismes privés. Pour un établissement d'enseignement supérieur privé québécois — une école de commerce, une école de technologie, une université à charte fédérale — la LPRPDE peut s'appliquer en parallèle de la Loi 25 lorsque des renseignements de résidents d'autres provinces ou de l'étranger sont traités. Le Commissariat à la protection de la vie privée du Canada (CPVP) en assure la surveillance fédérale.
Il n'existe pas de décision d'adéquation entre le Canada et les États-Unis sous la LPRPDE. La protection doit être assurée contractuellement, et l'organisation canadienne demeure responsable des renseignements qu'elle confie à des prestataires américains. Pour les politiques de conservation des renseignements personnels des prospects, consultez notre guide sur les durées de rétention selon la Loi 25.
Votre RPRP : une obligation, pas un titre honorifique
La Loi 25 (art. 3.1 LPRPSP) impose à tout organisme de désigner un Responsable de la protection des renseignements personnels (RPRP) et de publier ses coordonnées sur son site Web. Ce rôle ne peut pas rester informel. C'est le RPRP qui signe les EFVP, négocie les clauses contractuelles avec les fournisseurs, et répond aux demandes d'exercice de droits des candidats. En cas d'incident de confidentialité, c'est lui qui notifie la CAI dans les délais requis — « sans délai », ce qui signifie généralement 72 heures en pratique.
Google Workspace, Meta Ads, OpenAI — qui est conforme selon la Loi 25
Aucun des grands fournisseurs américains n'est automatiquement conforme à la Loi 25 du seul fait de l'existence d'une DPA (accord de traitement des données) ou d'une certification SOC 2. La conformité dépend des démarches que votre établissement accomplit avant et pendant le déploiement.
| Fournisseur | Renseignements traités | EFVP requise | Accord contractuel disponible | Hébergement Canada disponible | Risque résiduel |
|---|---|---|---|---|---|
| Google Workspace for Education | Courriel, Drive, Forms, Meet | Oui | Oui — DPA Google + addenda Canada | Oui (région northamerica-northeast1) | CLOUD Act — accès potentiel des autorités américaines |
| Meta Ads (Pixel, Conversions API) | Comportement navigation, conversions, profils publicitaires | Oui | Limité — conditions Meta, peu d'engagements LPRPSP | Non | Finalités publicitaires de Meta incompatibles avec limitation d'usage |
| OpenAI (API) | Contenu des conversations, requêtes de vos outils IA | Oui | Oui — DPA Enterprise disponible; résidence de données Europe indirectement | Non par défaut | Modèle entraîné et inféré aux États-Unis; CLOUD Act applicable |
| Salesforce (CRM) | Pipeline admissions, renseignements prospects | Oui | Oui — DPA Salesforce + clauses Canada | Oui (instance Canada) | Intégrations tierces à vérifier séparément |
| HubSpot | Infolettres, marketing, pipeline | Oui | Oui — DPA disponible | Non par défaut | Serveurs principaux aux États-Unis |
| Mailchimp | Envois de masse, listes prospects | Oui | Limité — peu d'engagements spécifiques Loi 25 | Non | Envisager Brevo (Europe) pour réduire l'exposition |
| Skolbot | Conversations agents conversationnels | EFVP facilitée | Oui — entente Loi 25 fournie | Oui — hébergement Canada/UE | Faible |
Google Workspace : le cas le plus commun
Google Workspace for Education est utilisé par la majorité des cégeps et universités québécois. L'accord de traitement des données (DPA) de Google est disponible et contient des clauses de limitation des finalités adaptées. La région d'hébergement northamerica-northeast1 (Montréal) permet d'héberger les données au Canada, ce qui simplifie l'EFVP. La difficulté principale reste le CLOUD Act américain, qui peut obliger Google à divulguer des données hébergées n'importe où dans le monde aux autorités américaines. Votre EFVP doit documenter ce risque et les mesures d'atténuation retenues — dont le chiffrement côté client (Client-Side Encryption) pour les données les plus sensibles.
Meta Ads : le fournisseur le plus problématique
Le pixel Meta et la Conversions API envoient des renseignements comportementaux sur vos visiteurs directement à Meta. Les conditions contractuelles de Meta sont conçues pour ses besoins publicitaires, pas pour la conformité Loi 25 de vos établissements. La finalité secondaire de profilage publicitaire par Meta est difficilement conciliable avec le principe de limitation des finalités de la Loi 25. Si vous utilisez Meta Ads pour le recrutement étudiant — ce que font la grande majorité des établissements québécois — une revue juridique approfondie s'impose, notamment pour l'activation du mode de correspondance avancée (Advanced Matching) qui envoie des données d'identification hachées.
OpenAI : le cas des API d'intelligence artificielle
De nombreux établissements intègrent maintenant des fonctionnalités OpenAI dans leurs outils — via l'API, pas nécessairement ChatGPT directement. OpenAI propose un accord de traitement des données (DPA) pour les utilisateurs entreprises qui interdit l'entraînement des modèles sur vos données et fixe une durée de rétention de 30 jours pour les requêtes API. Ce DPA est la base minimale pour une EFVP documentable. La résidence de données en Europe est disponible via Azure OpenAI Service — une option qui peut réduire le risque CLOUD Act, bien que l'exposition ne soit pas entièrement éliminée. Pour comprendre quel fournisseur de chatbot exiger dans ce contexte, notre article sur les critères techniques Loi 25 pour les chatbots en établissement détaille les clauses à exiger.
5 mesures concrètes pour votre cégep ou université
Ces cinq mesures permettent d'atteindre un niveau de documentation défendable devant la CAI, sans bloquer vos opérations d'admissions ou de marketing.
1. Cartographier tous vos fournisseurs traitant des renseignements personnels hors Québec
Commencez par un inventaire complet : listez chaque outil utilisé en admissions, marketing et communication, identifiez le pays d'hébergement des serveurs, et notez l'existence ou l'absence d'un accord contractuel conforme à la Loi 25. Ce registre est la pièce maîtresse de votre dossier de conformité et la première chose que demandera la CAI en cas de contrôle. Pour les universités membres du BCI (Bureau de coopération interuniversitaire), une collaboration entre établissements pour partager des modèles d'EFVP peut accélérer ce travail.
2. Réaliser ou mettre à jour une EFVP pour chaque fournisseur hors Québec
Pour chaque fournisseur identifié à l'étape 1 sans EFVP documentée, rédigez l'évaluation. La plupart des grands fournisseurs (Google, Microsoft, Salesforce) ont publié de la documentation spécifique à la Loi 25 ou aux lois canadiennes de protection des renseignements personnels qui facilite ce travail. Commencez par les fournisseurs à fort volume — votre CRM d'admissions et votre plateforme d'infolettres — puis progressez vers les outils secondaires. Prévoyez une révision annuelle de chaque EFVP, et une révision immédiate en cas de changement d'architecture chez le fournisseur.
3. Négocier et signer les accords contractuels avant tout déploiement
L'EFVP seule ne suffit pas. L'article 18.3 de la LPRPSP exige un accord contractuel. Pour les grands fournisseurs, cet accord prend la forme d'un DPA standardisé que vous acceptez en ligne — mais qui peut nécessiter des addenda pour satisfaire les exigences spécifiques de la Loi 25 (notification d'incident en 24 heures, destruction documentée à la résiliation, limitation des sous-traitants ultérieurs). Pour les fournisseurs locaux ou spécialisés, une clause contractuelle négociée en bonne et due forme est préférable.
4. Activer l'hébergement canadien partout où c'est possible
Plusieurs fournisseurs majeurs — Google (Montréal), Microsoft Azure (Toronto, Québec), Salesforce (Canada) — offrent désormais des régions d'hébergement canadiennes. Activer l'hébergement canadien ne dispense pas de l'EFVP (le fournisseur reste un tiers hors Québec du point de vue légal), mais elle réduit substantiellement le risque résiduel à documenter et simplifie l'analyse. C'est une mesure que votre RPRP peut défendre concrètement devant la CAI.
5. Former les équipes des admissions et du marketing
La conformité Loi 25 ne peut pas reposer uniquement sur le RPRP et la direction juridique. Les équipes qui créent des campagnes Meta, configurent des formulaires HubSpot ou déploient de nouveaux outils d'IA doivent comprendre les déclencheurs de l'EFVP et savoir qu'aucun nouveau fournisseur ne peut être activé sans validation préalable. Une session de formation annuelle de deux heures, avec un rappel des cas courants dans votre établissement, est suffisante pour ancrer ces réflexes. Des sanctions atteignant 25 millions de dollars CAD ou 4 % du chiffre d'affaires mondial rendent cette formation rapidement rentable.
Questions fréquentes
La Loi 25 s'applique-t-elle à McGill, Concordia et aux établissements anglophones du Québec ?
Oui, sans exception. La Loi 25 s'applique à tout organisme qui détient des renseignements personnels sur des résidents québécois, indépendamment de la langue d'enseignement ou du statut juridique de l'établissement. McGill, Concordia, l'Université Bishop's, les cégeps anglophones de Montréal et les écoles de formation professionnelle privées anglophones sont tous soumis aux mêmes obligations en matière d'EFVP, de RPRP et d'accords contractuels avec leurs fournisseurs hors Québec.
Les CCT (clauses contractuelles types de l'UE) ont-elles une valeur au Québec ?
Non, pas directement. Les clauses contractuelles types (CCT) sont un mécanisme de transfert reconnu sous le RGPD européen, mais elles ne sont pas mentionnées dans la Loi 25 ou dans les lignes directrices de la CAI. Elles peuvent servir de point de départ pour rédiger un accord contractuel conforme à la Loi 25 — notamment pour les exigences de limitation des finalités et de notification d'incident — mais elles doivent être adaptées au cadre québécois et validées par votre RPRP. Un fournisseur qui vous propose uniquement ses CCT européennes sans adaptation québécoise n'a probablement pas évalué ses obligations au Québec.
Nos candidats internationaux (France, Maroc, Mexique) sont-ils protégés par la Loi 25 ?
La Loi 25 protège les résidents du Québec, pas l'ensemble des personnes dans le monde. Un étudiant résidant en France qui postule à HEC Montréal ou à Polytechnique Montréal n'est pas directement protégé par la Loi 25. Cependant, si ses renseignements sont traités dans les mêmes systèmes que ceux de résidents québécois — le même CRM, la même plateforme d'infolettres — l'ensemble du flux est soumis à l'EFVP. De plus, si vous ciblez activement des résidents de l'UE dans vos campagnes, le RGPD européen peut s'appliquer en parallèle.
Qu'arrive-t-il si notre établissement n'a pas réalisé d'EFVP pour un fournisseur déjà actif ?
L'absence d'EFVP documentée pour un fournisseur actif traitant des renseignements hors Québec constitue un manquement à la Loi 25. La priorité est de régulariser la situation sans attendre : réalisez l'EFVP rétrospectivement, documentez les mesures de protection en place et celles qui restent à mettre en oeuvre, et fixez un calendrier de mise en conformité. La CAI a indiqué publiquement qu'elle tient compte de la bonne foi et de la diligence des organisations dans ses décisions. Une organisation qui découvre un manquement et le corrige proactivement est dans une position nettement meilleure qu'une organisation qui ignore ses obligations.
La Loi 25 québécoise et la LPRPDE fédérale s'appliquent-elles en même temps ?
Oui, pour les établissements privés ayant des activités interprovinciales ou internationales — ce qui inclut la quasi-totalité des universités et de nombreuses écoles de formation professionnelle privées au Québec. La Loi 25 prévaut généralement pour les renseignements de résidents québécois dans un contexte purement provincial, mais la LPRPDE s'active pour les activités qui traversent des frontières provinciales ou nationales. Dans la pratique, satisfaire aux exigences de la Loi 25 répond généralement aussi aux exigences de la LPRPDE — mais votre RPRP doit confirmer l'analyse pour votre situation particulière auprès du Commissariat à la protection de la vie privée du Canada (CPVP).
La Loi 25 représente un changement structurel que les cégeps et universités québécois ne peuvent plus différer. L'obligation d'EFVP avant toute communication de renseignements personnels hors Québec est la mesure la moins appliquée — et celle que la CAI examine en priorité. Les cinq mesures décrites dans cet article permettent d'atteindre un niveau de conformité défendable sans paralyser vos équipes d'admissions ou de marketing. La réalité du recrutement étudiant québécois — multilingue, numérique, appuyé sur des outils américains — rend cette conformité urgente, mais aussi structurable de façon réaliste avec les bons fournisseurs.
Testez Skolbot sur votre établissement en 30 secondes
