ChatGPT
Claude
Perplexity
Gemini
GrokLoi 25, IA et enseignement supérieur : le cadre québécois en 2026
Les CEGEP, universités et établissements d'enseignement supérieur du Québec qui déploient des outils d'intelligence artificielle — chatbot, outil de gestion des admissions, plateforme d'apprentissage adaptatif — ont des obligations de documentation concrètes. Ces obligations découlent principalement de la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels), dont les dernières phases sont entrées en vigueur le 22 septembre 2023.
Parallèlement, l'IA Act européen entre dans sa phase critique le 2 août 2026. Il ne s'applique pas automatiquement aux établissements québécois — mais il peut vous concerner si vous utilisez des fournisseurs d'IA établis dans l'Union européenne ou si vous recrutez activement des étudiants résidant en Europe. Ce guide clarifie les deux cadres et vous donne une checklist de documentation adaptée au contexte québécois.
Un point de vocabulaire important : au Québec, on parle de renseignements personnels (et non de « données personnelles »), de courriel (et non d'« email »), et de baccalauréat pour désigner le diplôme universitaire de premier cycle — équivalent de la licence française, pas du diplôme secondaire. Cette terminologie est utilisée tout au long de cet article. Pour comprendre la classification des risques sous l'IA Act, notre guide de classification IA Act pour établissements complète cette analyse.
Ce que la Loi 25 exige pour vos outils IA
La Loi 25 modifie la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) et la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels pour les organismes publics. Elle introduit plusieurs obligations directement applicables aux systèmes d'IA.
L'Évaluation des facteurs relatifs à la vie privée (EFVP)
C'est l'obligation la plus importante pour tout nouvel outil IA intégrant des renseignements personnels. L'EFVP (équivalent québécois de l'analyse d'impact sur la protection des données) est obligatoire dès lors qu'un projet implique la collecte, l'utilisation ou la communication de renseignements personnels susceptibles de présenter des risques élevés pour la vie privée des personnes concernées.
Un chatbot d'admissions qui collecte le nom, le courriel, le numéro de programme souhaité et l'historique de conversation d'un futur étudiant entre clairement dans ce cadre. Un outil de scoring qui traite le dossier académique d'un candidat au baccalauréat ou à la maîtrise, a fortiori.
L'EFVP doit être réalisée avant la mise en service de l'outil, pas après. Elle doit documenter : les renseignements personnels collectés, les risques pour la vie privée identifiés, les mesures d'atténuation prévues, et le nom de la personne responsable de la protection des renseignements personnels (RPRP) qui a approuvé le déploiement.
La Commission d'accès à l'information du Québec (CAI) est l'autorité compétente pour l'application de la Loi 25. Elle a publié des lignes directrices sur l'EFVP que tout responsable de la protection des renseignements personnels dans un établissement d'enseignement supérieur devrait connaître.
Transparence sur les décisions automatisées
L'article 12.1 de la Loi 25 (LPRPSP) impose que toute personne ayant fait l'objet d'une décision fondée exclusivement sur un traitement automatisé de renseignements personnels soit informée de ce fait et puisse demander une révision humaine de la décision ainsi que des renseignements permettant de comprendre les paramètres utilisés.
Pour un CEGEP ou une université qui utilise un outil IA pour présélectionner les candidatures : si cet outil produit une décision d'admission ou d'exclusion sans intervention humaine, l'étudiant a le droit d'en être informé et d'exiger une révision. Cette procédure doit être documentée et effective.
Désignation d'un responsable de la protection des renseignements personnels
La Loi 25 impose à tout organisme de désigner un responsable de la protection des renseignements personnels (RPRP). Le nom et les coordonnées du RPRP doivent être publiés sur le site Web de l'établissement. Ce RPRP est l'interlocuteur naturel pour piloter la conformité IA.
L'IA Act européen s'applique-t-il à votre CEGEP ou université ?
L'IA Act ne s'applique pas automatiquement au Québec. Mais plusieurs situations créent une exposition partielle.
Vous utilisez un fournisseur d'IA dont le siège ou l'infrastructure est dans l'UE. Les grands fournisseurs de LLMs et de plateformes de chatbot ont souvent des entités européennes et une infrastructure partiellement hébergée en Europe. Votre contrat avec ce fournisseur peut inclure des clauses de conformité IA Act qui créent des obligations indirectes pour vous en tant que déployeur.
Vous recrutez activement des étudiants résidant dans l'UE. Les universités québécoises attirent de nombreux étudiants français, belges ou d'autres pays européens. Si votre site web et votre chatbot ciblent délibérément ces personnes, l'article 50 de l'IA Act — obligation d'identification du chatbot comme système d'IA — peut s'appliquer.
La règle pratique : si votre site web et votre chatbot sont accessibles depuis la France ou la Belgique et que vous avez des étudiants provenant de ces pays, l'identification du chatbot comme système d'IA est à la fois une obligation IA Act probable et une bonne pratique que la CAI encouragerait.
Checklist de documentation : Loi 25 en priorité, IA Act en complément
Pour un chatbot d'information et d'admissions
72 % des questions posées aux chatbots d'établissements sont des FAQ simples automatisables (Source : analyse de 12 000 conversations Skolbot, 2025-2026). Un chatbot bien configuré gère cet usage courant — questions sur les programmes, les conditions d'admission, les dates limites de dépôt de dossier — sans exposer l'établissement à des risques de conformité disproportionnés, à condition que la documentation soit en ordre.
| Document | Loi 25 (obligatoire) | IA Act (si applicable) |
|---|---|---|
| EFVP réalisée avant déploiement | Obligatoire | Obligatoire (Annexe III haut risque) |
| Politique de confidentialité mentionnant le chatbot | Obligatoire | Obligatoire |
| Identification du chatbot comme système IA dans l'interface | Bonne pratique (art. 12.1) | Obligatoire (art. 50) |
| Contrat de sous-traitance avec le fournisseur | Obligatoire (art. 18.3) | Obligatoire si fournisseur UE |
| Procédure d'escalade vers un conseiller humain | Bonne pratique | Bonne pratique (art. 26) |
| Publication du nom du RPRP sur le site Web | Obligatoire | Non applicable |
Un chatbot IA répond en 3 secondes 24h/24, contre 72h pour un formulaire de contact (Source : audit Skolbot 2025). Pour un CEGEP ou une université avec des milliers d'étudiants potentiels qui posent des questions à toute heure, ce gain est structurant. Une identification IA visible — « Je suis l'assistant virtuel de [Nom de l'établissement]. Pour rejoindre un conseiller, cliquez ici. » — remplit simultanément la bonne pratique Loi 25 et l'obligation IA Act si applicable.
Pour un outil de sélection ou de présélection des candidatures
| Document | Loi 25 (obligatoire) | IA Act (si applicable) |
|---|---|---|
| EFVP complète avec analyse des risques | Obligatoire | Obligatoire |
| Procédure de révision humaine documentée | Obligatoire (art. 12.1) | Obligatoire (art. 26 §2) |
| Information aux candidats sur le traitement automatisé | Obligatoire (art. 12.1) | Obligatoire (art. 26 §6) |
| Documentation technique du système (fournisseur) | Bonne pratique | Obligatoire (Annexe IV) |
| Politique de journalisation des traitements | Recommandé par CAI | Obligatoire |
| Déclaration de conformité du fournisseur (IA Act) | Non applicable | Obligatoire si fournisseur UE |
Le projet de loi C-27 (LIAD) : où en est-on au niveau fédéral ?
Le projet de loi C-27 (Loi sur l'intelligence artificielle et les données — LIAD), déposé en 2022, visait à créer un cadre fédéral canadien de réglementation de l'IA. À la date de publication de cet article, ce projet de loi n'a pas été adopté et demeure en étude au Parlement. Il n'est pas en vigueur.
Pour les établissements québécois soumis à la Loi 25, la LIAD aurait une portée principalement sur les systèmes IA à incidence élevée dans un contexte interprovincial ou international. Le Commissariat à la protection de la vie privée du Canada (CPVP) suit également les développements en IA.
Pour les CEGEP et universités québécois, la Loi 25 est le cadre réglementaire applicable en premier lieu. La LIAD, si elle est adoptée, viendra s'y ajouter — mais ne la remplacera pas pour les aspects de protection des renseignements personnels.
Qui fait quoi dans votre établissement : répartition des responsabilités
Responsable de la protection des renseignements personnels (RPRP) Pilote l'EFVP, approuve le déploiement de tout nouvel outil IA, reçoit les demandes d'accès et de correction des personnes concernées, et est l'interlocuteur de la CAI en cas d'enquête.
Direction des technologies de l'information Met en place les mesures de sécurité techniques, configure l'identification IA dans l'interface du chatbot, assure la journalisation des traitements, et gère les contrats avec les fournisseurs tiers.
Direction des admissions Documente la procédure de révision humaine pour les outils de scoring, informe les candidats du traitement automatisé dans les communications d'admission, et identifie les cas nécessitant une intervention humaine.
Juristes ou conseillers en conformité Rédigent et mettent à jour la politique de confidentialité, vérifient les contrats avec les fournisseurs tiers (clauses de sous-traitance, responsabilité en cas de violation), et assurent la veille réglementaire (Loi 25, éventuellement LIAD, IA Act pour les établissements exposés).
Plan d'action pour un établissement québécois
Étape 1 — Inventaire des outils IA en usage (2 semaines) Recensez tous les systèmes IA déployés : chatbot sur le site de l'établissement, plateforme de gestion des candidatures avec fonctionnalités IA, outils d'apprentissage adaptatif, générateurs de contenu utilisés par les équipes de communication, outils RH si dans le périmètre.
Au Québec, le Bureau de coopération interuniversitaire (BCI) et la Commission d'évaluation de l'enseignement collégial (CEEC) publient des orientations sur la gouvernance numérique dans l'enseignement supérieur.
Étape 2 — Priorisation des EFVP à réaliser (2 semaines) Priorisez selon la criticité : les outils qui traitent des renseignements personnels sensibles ou qui produisent des décisions automatisées affectant l'accès à un programme sont en tête de liste.
Étape 3 — Mise en conformité du chatbot (2-3 semaines) La mise à jour de l'interface pour identifier le chatbot comme système IA, la mise à jour de la politique de confidentialité, et la vérification ou signature d'un contrat de sous-traitance avec le fournisseur sont les interventions les plus rapides.
Étape 4 — Documentation des outils de sélection (4-6 semaines) Pour chaque outil de scoring ou de présélection, documentez : la procédure de révision humaine, les informations transmises aux candidats, la politique de journalisation, et — si le fournisseur est dans l'UE — obtenez la documentation technique IA Act.
Pour le choix de vos fournisseurs de chatbot, notre article sur les fournisseurs de chatbot conformes donne des critères de sélection adaptés au contexte canadien. Pour les obligations de protection des renseignements personnels des étudiants au sens large, notre guide données étudiantes et Loi 25 complète cette checklist.
Testez Skolbot sur votre établissement en 30 secondesFAQ
La Loi 25 s'applique-t-elle aux universités québécoises et aux CEGEP ?
Oui. Les universités et CEGEP québécois — qu'ils soient publics ou privés — sont soumis aux dispositions de la Loi 25. Les organismes publics sont couverts par la Loi sur l'accès modifiée par la Loi 25 ; les établissements privés par la LPRPSP. Dans les deux cas, les obligations relatives à l'EFVP, à la désignation d'un RPRP, et à la transparence sur les décisions automatisées s'appliquent.
Un CEGEP doit-il réaliser une EFVP pour son chatbot existant déjà en service ?
La Loi 25 impose l'EFVP pour tout projet qui collecte, utilise ou communique des renseignements personnels. Si votre chatbot a été déployé avant l'entrée en vigueur complète de la Loi 25 sans EFVP, il est fortement recommandé d'en réaliser une maintenant. La CAI peut demander à consulter cette documentation en cas d'enquête.
Quelle est la différence entre l'EFVP (Loi 25) et l'analyse d'impact (RGPD ou IA Act) ?
Ces trois instruments servent le même objectif — documenter les risques d'un traitement pour les droits des personnes — mais leurs exigences formelles diffèrent. L'EFVP québécoise est définie par la CAI dans ses lignes directrices publiées sur cai.gouv.qc.ca. Si vous devez également produire une DPIA pour un fournisseur UE, les deux documents se recouvrent en grande partie — un seul processus d'évaluation peut alimenter les deux.
Quelles sanctions risque-t-on en cas de non-conformité à la Loi 25 ?
La CAI peut imposer des amendes administratives pécuniaires allant jusqu'à 25 millions de dollars canadiens ou 4 % du chiffre d'affaires mondial de l'organisation pour les violations les plus graves. Des sanctions pénales sont également prévues. Au-delà des amendes, la CAI peut ordonner des mesures correctives et publier ses décisions, ce qui représente un risque réputationnel significatif pour les établissements dont la réputation est un facteur de recrutement.
Cet article a une visée informative générale et ne constitue pas un avis juridique. Pour toute décision relative à vos obligations spécifiques au titre de la Loi 25 ou d'autres textes applicables à votre établissement, consultez un professionnel du droit ou votre responsable de la protection des renseignements personnels.
Testez Skolbot sur votre établissement en 30 secondes
