skolbot.Chatbot IA pour écoles
ProduitTarifs
Démo gratuite
Démo gratuite
Guide de l'IA Act et de la Loi 25 pour les établissements postsecondaires québécois
  1. Accueil
  2. /Blog
  3. /Conformité
  4. /IA Act et Loi 25 : ce que votre établissement postsecondaire doit savoir
Retour au blog
Conformité12 min read

IA Act et Loi 25 : ce que votre établissement postsecondaire doit savoir

Guide pratique du règlement européen IA Act et de la Loi 25 québécoise pour les universités et cégeps. Classification des risques, obligations, calendrier de conformité.

S

Équipe Skolbot · 7 mars 2026

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Sommaire

  1. 01L'IA Act et la Loi 25 : les établissements postsecondaires sont concernés
  2. 02La classification des risques de l'IA Act : où se situe votre établissement
  3. Risque inacceptable (interdit)
  4. Haut risque (obligations strictes)
  5. Risque limité (obligations de transparence)
  6. Risque minimal (aucune obligation spécifique)
  7. 03La Loi 25 au Québec : les obligations spécifiques
  8. Les obligations clés de la Loi 25 pour les établissements
  9. 04Le calendrier de mise en conformité
  10. IA Act (Union européenne)
  11. Loi 25 (Québec)
  12. 05Les obligations concrètes pour chaque cas d'usage
  13. Chatbot d'admissions (risque limité IA Act + Loi 25)
  14. Outil de présélection des candidatures (haut risque)
  15. Détection de plagiat IA (haut risque si impact sur notation)
  16. 06L'articulation entre l'IA Act, la Loi 25 et la protection des renseignements
  17. 07Liste de contrôle de mise en conformité en 10 points
  18. 08Les sanctions en cas de non-conformité
  19. IA Act
  20. Loi 25
  21. 09Ce que les établissements doivent exiger de leurs fournisseurs IA

L'IA Act et la Loi 25 : les établissements postsecondaires sont concernés

Le règlement européen sur l'intelligence artificielle (IA Act, règlement UE 2024/1689) est le premier cadre juridique au monde à réglementer les systèmes d'IA par niveau de risque. Son application a débuté en février 2025 pour les pratiques interdites, et les obligations concernant les systèmes à haut risque — dont certains utilisés dans l'éducation — entreront en vigueur en août 2026 (Source : Journal Officiel de l'UE, règlement 2024/1689, art. 113).

Au Québec, la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est pleinement en vigueur depuis septembre 2024. Elle impose aux universités, cégeps et tout établissement postsecondaire des obligations strictes en matière de collecte, d'utilisation et de protection des renseignements personnels — y compris ceux traités par des systèmes d'IA.

Pour les établissements postsecondaires québécois, ce n'est pas un sujet abstrait. Dès qu'une université ou un cégep utilise un chatbot d'admissions, un outil de présélection de candidatures, un système de détection de plagiat par IA ou un algorithme de recommandation de formations, il déploie un système d'IA au sens du règlement européen et traite des renseignements personnels au sens de la Loi 25. La question n'est pas de savoir si votre établissement est concerné — il l'est. La question est de savoir dans quelle catégorie de risque tombent vos outils.

La classification des risques de l'IA Act : où se situe votre établissement

L'IA Act classe les systèmes d'IA en quatre niveaux de risque. Chaque niveau implique des obligations différentes.

Risque inacceptable (interdit)

Sont interdits les systèmes de notation sociale généralisée, la manipulation subliminale, et l'exploitation des vulnérabilités des personnes. Dans le contexte éducatif, un système qui noterait les étudiants en fonction de leur comportement social global (assiduité aux événements, participation aux réseaux sociaux de l'établissement) pour décider de leur admission serait interdit (Source : IA Act, art. 5, paragraphe 1).

Ce scénario semble extrême, mais certaines pratiques de scoring « holistique » des candidatures s'en approchent. Si votre outil d'aide à la décision d'admission intègre des données comportementales non liées à l'aptitude académique, faites-le auditer.

Haut risque (obligations strictes)

C'est la catégorie la plus importante pour l'enseignement postsecondaire. L'Annexe III du règlement classe explicitement dans le haut risque les systèmes d'IA utilisés pour « déterminer l'accès ou l'admission à des établissements d'enseignement » (Source : IA Act, Annexe III, point 3a).

Concrètement, sont concernés :

  • Les outils de présélection automatisée des candidatures : tout système qui filtre, classe ou attribue un score aux dossiers de candidature sur la base de critères traités par un algorithme
  • Les systèmes de détection de plagiat par IA qui influencent la notation ou l'évaluation
  • Les algorithmes de placement ou d'orientation qui déterminent l'accès à des parcours spécifiques (par exemple, un outil qui analyse la cote R pour recommander un programme)
  • Les systèmes de notation automatisée qui produisent ou influencent une évaluation académique

Les obligations pour ces systèmes sont lourdes : système de gestion des risques, données d'entraînement documentées, transparence technique, contrôle humain, journalisation, et enregistrement dans la base de données européenne.

Risque limité (obligations de transparence)

Les chatbots d'admissions et d'information tombent dans cette catégorie. L'obligation principale est simple mais non négociable : informer l'utilisateur qu'il interagit avec un système d'IA (Source : IA Act, art. 50, paragraphe 1).

Concrètement, votre chatbot doit afficher clairement qu'il est un assistant IA, pas un humain. Un message du type « Je suis un assistant IA de [Nom de l'établissement]. Un conseiller humain est disponible sur demande » remplit cette obligation.

Sont aussi dans cette catégorie :

  • Les systèmes de génération de contenu par IA (courriels automatisés, descriptions de formations)
  • Les systèmes de reconnaissance d'émotions (analyse de ton dans les entretiens vidéo — un sujet en forte croissance)
  • Les outils de traduction automatique des contenus pédagogiques

Risque minimal (aucune obligation spécifique)

Les outils d'IA sans impact sur les droits fondamentaux : correcteurs orthographiques, filtres antipourriel, outils d'optimisation d'horaire de cours. Aucune obligation réglementaire, mais les bonnes pratiques de transparence restent recommandées.

La Loi 25 au Québec : les obligations spécifiques

La Loi 25 du Québec, administrée par la Commission d'accès à l'information (CAI), ajoute des obligations supplémentaires spécifiques au contexte québécois. Tout établissement postsecondaire qui collecte des renseignements personnels — via un chatbot, un formulaire d'admission ou un CRM — doit se conformer à ces exigences.

Les obligations clés de la Loi 25 pour les établissements

Responsable de la protection des renseignements personnels — Chaque établissement doit désigner une personne responsable. Dans les universités et les cégeps, cette fonction est souvent rattachée au secrétariat général ou au bureau juridique.

Évaluation des facteurs relatifs à la vie privée (ÉFVP) — Obligatoire avant tout nouveau projet impliquant des renseignements personnels, incluant le déploiement d'un chatbot IA ou d'un outil de présélection des candidatures.

Consentement manifeste, libre et éclairé — Le consentement doit être obtenu avant toute collecte de renseignements. Pour un chatbot, cela signifie un avis clair avant que la conversation ne commence.

Droit à l'oubli et portabilité — Les étudiants et prospects peuvent demander la suppression de leurs renseignements. Votre système IA doit être en mesure de répondre à cette demande dans un délai de 30 jours.

Décisions automatisées — La Loi 25 exige que toute personne soit informée lorsqu'une décision la concernant est prise exclusivement par un traitement automatisé. Elle doit aussi pouvoir faire réviser cette décision par un être humain.

Le calendrier de mise en conformité

IA Act (Union européenne)

Les échéances sont échelonnées. Voici les dates qui concernent les établissements québécois qui recrutent des étudiants européens ou qui utilisent des outils fournis par des entreprises européennes.

2 février 2025 — Entrée en vigueur des interdictions (pratiques à risque inacceptable). C'est déjà effectif.

2 août 2025 — Obligations pour les modèles d'IA à usage général (GPAI). Concerne les fournisseurs de modèles comme OpenAI, Anthropic, Mistral — pas directement les établissements, mais les fournisseurs de vos outils IA devront se conformer. Exigez une déclaration de conformité de vos prestataires.

2 août 2026 — Obligations pour les systèmes à haut risque (Annexe III). C'est la date critique. Si vous utilisez un outil de présélection des candidatures ou de notation automatisée, il devra être conforme à cette date.

Loi 25 (Québec)

Pleinement en vigueur depuis le 22 septembre 2024. Toutes les obligations (ÉFVP, consentement, droit à l'oubli, transparence des décisions automatisées, politique de confidentialité mise à jour) sont exigibles immédiatement.

Restent 5 mois avant l'entrée en vigueur des obligations à haut risque de l'IA Act. Si votre établissement n'a pas encore audité ses outils IA, le délai est serré mais pas insurmontable. Pour la Loi 25, vous devriez déjà être en conformité.

Les obligations concrètes pour chaque cas d'usage

Chatbot d'admissions (risque limité IA Act + Loi 25)

Les obligations sont proportionnées et réalistes.

Obligation 1 — Transparence : le chatbot doit s'identifier comme IA. Un bandeau permanent ou un message d'accueil clair suffit. Les utilisateurs ne doivent pas croire qu'ils échangent avec un humain.

Obligation 2 — Consentement et ÉFVP : conformément à la Loi 25, une évaluation des facteurs relatifs à la vie privée doit être réalisée avant le déploiement. Le consentement doit être obtenu avant toute collecte de renseignements personnels. Notre guide de protection des renseignements pour les données étudiantes détaille ces obligations.

Obligation 3 — Possibilité de contact humain : le prospect doit pouvoir demander à parler à un humain à tout moment. Un bouton « Parler à un conseiller » doit être visible en permanence.

Coût de mise en conformité estimé : quasi nul si votre chatbot est déjà transparent. Comptez 2 à 5 jours de travail pour auditer, documenter et ajuster l'interface si nécessaire.

Outil de présélection des candidatures (haut risque)

Les obligations sont significativement plus lourdes.

Les six obligations IA Act : (1) gestion des risques documentée (biais, discrimination, erreurs de classification), (2) qualité des données d'entraînement (représentativité, absence de biais historiques), (3) documentation technique complète, (4) contrôle humain — aucune décision d'admission ne peut être entièrement automatisée, (5) journalisation des entrées/sorties (minimum 6 mois), (6) enregistrement dans la base de données européenne.

Obligation Loi 25 supplémentaire : l'étudiant ou le prospect doit être informé que ses renseignements sont traités par un système automatisé et peut demander une révision humaine de toute décision.

Coût de mise en conformité estimé : 15 000 à 50 000 $CAD pour un audit complet, la documentation technique et la mise en place des processus de contrôle humain. Ce coût est principalement supporté par le fournisseur de l'outil, mais l'établissement (en tant que « déployeur ») a aussi des obligations.

Détection de plagiat IA (haut risque si impact sur notation)

Si l'outil influence directement la notation ou la décision académique, il tombe dans le haut risque. Les détecteurs d'IA affichent un taux de faux positifs de 5 à 15 % (Source : Stanford HAI, 2025). Le contrôle humain n'est pas une option — c'est une obligation légale, tant sous l'IA Act que sous les principes de la Loi 25.

L'articulation entre l'IA Act, la Loi 25 et la protection des renseignements

L'IA Act ne remplace ni la Loi 25 ni le Loi 25 européen — il s'y ajoute. Pour les établissements québécois, la Loi 25 est le cadre principal de protection des renseignements personnels. Si l'établissement traite des données d'étudiants européens (recrutement international), le Loi 25 s'applique également. L'IA Act ajoute une couche supplémentaire spécifique aux systèmes d'IA.

La Loi 25 interdit déjà les décisions automatisées sans transparence ni possibilité de révision humaine. L'IA Act renforce cette protection avec des exigences de transparence et de contrôle humain plus détaillées. Les trois réglementations se complètent — une conformité Loi 25 ne dispense pas d'une conformité IA Act, et réciproquement.

Pour approfondir la conformité spécifique aux données étudiantes, consultez notre guide dédié.

Liste de contrôle de mise en conformité en 10 points

  1. Inventaire : lister tous les outils IA (chatbot, CRM, scoring, plagiat, recommandation)
  2. Classification : risque minimal, limité, haut ou inacceptable pour chaque outil
  3. Audit fournisseurs : exiger déclaration de conformité IA Act et Loi 25 avec calendrier
  4. Transparence chatbots : identification IA + option contact humain
  5. Contrôle humain : aucune décision d'admission entièrement automatisée
  6. Documentation technique : dossier complet pour les systèmes à haut risque
  7. Analyse des biais : tests sur genre, origine géographique, type d'établissement d'origine (cégep, école secondaire)
  8. Politique de confidentialité : intégrer les traitements IA et se conformer à la Loi 25 et au Loi 25
  9. Formation : équipes d'admission et pédagogiques sur leurs obligations
  10. Revue annuelle : audit IA Act et Loi 25 aligné sur la revue de conformité

Les sanctions en cas de non-conformité

IA Act

L'IA Act prévoit des amendes graduées : jusqu'à 35 millions CAD (7 % du CA) pour les pratiques interdites, 15 millions CAD (3 %) pour la non-conformité haut risque, et 7,5 millions CAD (1 %) pour les informations inexactes.

Loi 25

La CAI peut imposer des sanctions administratives pécuniaires allant jusqu'à 10 millions $CAD ou 2 % du chiffre d'affaires mondial. Pour les organismes publics (universités, cégeps), les sanctions prennent plutôt la forme d'ordonnances de conformité, mais le risque réputationnel est au moins aussi préoccupant : un établissement sanctionné pour non-conformité en matière de renseignements personnels ou d'IA perd de la crédibilité sur sa capacité à former aux métiers du numérique.

Ce que les établissements doivent exiger de leurs fournisseurs IA

En tant que « déployeurs » au sens du règlement européen et responsables du traitement au sens de la Loi 25, les établissements partagent la responsabilité. Exigez de chaque fournisseur : une déclaration de conformité IA Act datée, la classification du risque avec justification, la documentation technique accessible, un engagement contractuel sur le contrôle humain et la transparence, un audit de biais documenté, une politique de confidentialité conforme à la Loi 25, et un plan de mise à jour réglementaire.

Pour comprendre comment l'IA influence la visibilité des établissements au-delà de la conformité, notre article sur les critères IA de recommandation des établissements explore le sujet en profondeur.

FAQ

Mon chatbot d'admissions est-il à haut risque ?

Non, sauf s'il prend des décisions d'admission autonomes. Un chatbot qui informe, répond aux questions et qualifie les prospects est classé « risque limité ». Il doit s'identifier comme IA et offrir un accès humain, mais n'est pas soumis aux obligations lourdes du haut risque. En revanche, si le chatbot décide automatiquement d'accepter ou de refuser une candidature, il bascule dans le haut risque.

L'IA Act s'applique-t-il aux établissements québécois ?

Oui, dans deux cas : si l'établissement utilise un outil IA fourni par une entreprise européenne, ou si les sorties du système d'IA concernent des personnes résidant dans l'UE (par exemple, des candidats européens au recrutement international). La Loi 25 s'applique dans tous les cas pour tout renseignement personnel collecté au Québec.

La Loi 25 couvre-t-elle les chatbots IA ?

Oui. Tout chatbot qui collecte des renseignements personnels (nom, courriel, programme d'intérêt) est soumis à la Loi 25. L'établissement doit obtenir le consentement avant la collecte, informer l'utilisateur de la finalité du traitement, et permettre la suppression des renseignements sur demande.

Combien de temps et de budget prévoir pour la mise en conformité ?

Pour un établissement utilisant un chatbot (risque limité) et un CRM avec score basique : 2 à 4 semaines de travail et 3 000 à 8 000 $CAD en audit et ajustements. Pour un établissement utilisant un système de présélection automatisée (haut risque) : 2 à 4 mois et 15 000 à 50 000 $CAD, dont une part significative facturée par le fournisseur de l'outil.

Articles similaires

Illustration chatbot IA Loi 25 collecte de données université québécoise, conformité CAI 2026
Conformité

Chatbot IA et Loi 25 : quelles données peut-on collecter dans un établissement d'enseignement supérieur au Québec ?

Ce que la génération Z attend du site Web d'un établissement postsecondaire en 2026
Expérience prospect

Ce que la Gen Z attend du site Web d'un établissement postsecondaire en 2026

Audit Loi 25 pour école supérieure : checklist en 20 points
Conformité

Audit Loi 25 pour école supérieure : checklist en 20 points

Retour au blog

RGPD · IA Act · Hébergement UE

skolbot.

SolutionTarifsBlogÉtudes de casComparatifAI CheckFAQÉquipeMentions légalesPolitique de confidentialité

© 2026 Skolbot