ChatGPT
Claude
Perplexity
Gemini
GrokAvis : cet article est publié à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un·e Responsable de la protection des renseignements personnels (RPRP) ou un·e avocat·e spécialisé·e pour toute mise en œuvre concrète dans votre établissement.
La sélection étudiante par IA : un traitement automatisé à encadrer sous la Loi 25
Le Québec ne dispose pas d'équivalent direct à l'AI Act européen — mais la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, en vigueur depuis le 22 septembre 2023) impose des obligations substantielles sur les décisions automatisées ayant un effet significatif sur les personnes physiques. Cette loi représente la réforme la plus importante du cadre québécois de protection des renseignements personnels depuis son adoption initiale, et elle s'applique directement aux établissements d'enseignement qui utilisent des outils d'intelligence artificielle dans leurs processus d'admission.
L'article 12.1 de la Loi 25 constitue la disposition centrale pour les outils de sélection étudiante : il donne à toute personne le droit d'être informée de toute décision prise à son égard sur le seul fondement d'un traitement automatisé, et d'en connaître les principaux paramètres. Ce droit est directement applicable aux algorithmes de scoring ou de priorisation de dossiers en admission aux cégeps et aux universités. La Commission d'accès à l'information du Québec (CAI) est l'autorité compétente pour surveiller et sanctionner le respect de cette loi.
En parallèle, la LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) s'applique pour les établissements qui opèrent dans d'autres provinces canadiennes ou qui traitent des données interprovinciales. Elle est supervisée par le Commissariat à la protection de la vie privée du Canada (CPVP), dont les lignes directrices sur l'IA et les décisions automatisées constituent une référence complémentaire essentielle.
Au Québec, l'admission aux cégeps se fait principalement via trois services régionaux : le SRAM (Service régional d'admission du Montréal métropolitain), le SRACQ (Service régional d'admission au collégial de Québec) et le SRASL (Service régional d'admission au collégial du Saguenay–Lac-Saint-Jean). L'admission universitaire se fait directement auprès de chaque établissement. Les outils d'IA interviennent principalement dans la priorisation des dossiers, le scoring de la motivation et la recommandation de programme — autant d'usages qui relèvent pleinement de l'article 12.1 de la Loi 25.
Pourquoi les biais sont statistiquement inévitables
Tout modèle d'intelligence artificielle apprend à partir de données historiques d'admission qui reflètent les déséquilibres structurels du système éducatif québécois. Ces déséquilibres sont multiples et enchevêtrés : différences entre cégeps publics et privés en matière de ressources et de population étudiante, écarts entre Montréal et les régions éloignées dans la préparation aux études postsecondaires, distinctions entre élèves provenant du secteur francophone et du secteur anglophone, et différences de trajectoires entre les nouveaux arrivants au Québec et les étudiants qui y sont établis depuis plusieurs générations.
La CAI a rappelé dans ses lignes directrices sur l'application de la Loi 25 que l'absence de biais apparent ne signifie nullement l'absence de discrimination réelle. Des variables comme le code postal, le nom du cégep fréquenté ou la région d'origine du candidat peuvent agir comme proxies de l'origine socio-économique ou ethnique — sans que le modèle mentionne jamais explicitement ces caractéristiques. C'est le mécanisme fondamental du biais indirect, et il est particulièrement difficile à détecter sans une analyse intentionnelle par sous-groupe.
Les données issues de l'activité de Skolbot confirment ce diagnostic sur le terrain. Une classification automatique réalisée sur 12 000 conversations (2025) révèle que 72 % des requêtes relèvent de FAQ simples, 21 % de questions contextuelles moyennes, et 7 % de situations complexes. C'est dans ce 7 % — candidats en situation atypique, première génération à accéder aux études supérieures, adultes en retour aux études, étudiants internationaux en phase d'intégration — que les biais algorithmiques se manifestent avec la plus grande intensité. Ces candidats sont aussi ceux pour qui une erreur d'orientation a les conséquences les plus durables sur leur trajectoire de vie.
Le NIST AI Risk Management Framework reste la référence internationale la plus opérationnelle pour structurer l'identification et la mitigation des biais dans des systèmes d'IA déployés en contexte éducatif, et il est largement utilisé comme guide pratique par les équipes de conformité au Canada.
Skolbot Bias Risk Matrix : 6 sources de biais dans l'admission québécoise
Le framework ci-dessous a été élaboré à partir des catégories de biais du NIST AI RMF, puis adapté au contexte réglementaire québécois — Loi 25 et LPRPDE — et aux spécificités du système d'admission collégial et universitaire. Chaque source de biais est évaluée selon quatre dimensions : probabilité d'occurrence dans le contexte québécois, sévérité de l'impact potentiel sur les candidats, exposition réglementaire, et difficulté de détection avant qu'un préjudice ne soit subi.
| Source de biais | Probabilité | Sévérité | Exposition (Loi 25 / LPRPDE) | Détection |
|---|---|---|---|---|
| Biais historique (données reflétant des admissions passées inégales) | Très haute | Haute | Loi 25 art. 12.1 / LPRPDE | Moyenne |
| Biais de sélection (étiquettes incomplètes, cégeps régionaux sous-représentés) | Haute | Haute | Loi 25 art. 12 | Difficile |
| Biais d'agrégation (modèle unique pour DEC pré-universitaire et adultes) | Moyenne | Moyenne | Loi 25 | Moyenne |
| Biais de déploiement (modèle entraîné sur cégeps montréalais, utilisé en région) | Moyenne | Haute | LPRPDE | Difficile |
| Biais de mesure (proxies : code postal, nom du cégep, langue maternelle) | Très haute | Très haute | Loi 25 art. 12.1 | Très difficile |
| Biais de rétroaction (décisions alimentant les données futures) | Haute | Très haute | Loi 25 | Très difficile |
La colonne « Exposition » indique le régime réglementaire principal sous lequel chaque biais est susceptible d'engager la responsabilité de l'établissement ou du fournisseur. Un biais de mesure ayant un impact sur un candidat québécois engage d'abord la Loi 25, art. 12.1 — mais si les données circulent entre provinces, la LPRPDE s'applique en couche supplémentaire.
Deux cas documentés
Les exemples suivants ne relèvent pas de la théorie : ce sont des incidents documentés qui ont directement informé l'évolution du cadre réglementaire canadien et québécois.
Amazon (2018) : l'entreprise a développé un outil de tri automatisé de CV qui pénalisait systématiquement les candidatures féminines. Le mécanisme reposait sur des proxies lexicaux : des termes statistiquement plus fréquents dans les CV féminins recevaient un poids négatif, car le modèle avait appris sur dix ans de recrutements majoritairement masculins. Ce cas est régulièrement cité par le CPVP dans ses publications sur l'IA et les droits individuels, et il illustre comment un biais historique peut être invisibilisé dans des variables apparemment neutres.
Service Canada / EDSC (2018) : l'algorithme utilisé pour le traitement des demandes d'assurance-emploi a fait l'objet d'une enquête du CPVP pour manque de transparence et absence de contrôle humain effectif sur les décisions automatisées. La Commission a exigé des correctifs substantiels. Ce précédent public — issu du secteur public fédéral canadien — fonde directement les obligations d'explication et de supervision humaine que la Loi 25 impose désormais aux organisations privées, collégiales et universitaires qui déploient des systèmes automatisés de traitement des dossiers.
Le dénominateur commun à ces deux cas est identique : aucune métrique d'équité par sous-groupe n'avait été mesurée avant le déploiement. Les biais étaient détectables avec les outils disponibles à l'époque — ils n'ont été détectés qu'après avoir causé des préjudices réels à des personnes réelles.
Framework de mitigation en 4 étapes
Le framework suivant traduit les obligations de la Loi 25 et de la LPRPDE en procédures opérationnelles concrètes pour les équipes techniques et les responsables de conformité des établissements québécois. Il est compatible avec la norme ISO/IEC 42001:2023 sur les systèmes de management de l'intelligence artificielle.
| Étape | Responsable | Artefact produit |
|---|---|---|
| 1. Audit du jeu de données d'entraînement | Équipe données + RPRP | Fiche de données : origine, représentativité par sous-groupe, proxies identifiés |
| 2. Mesure des métriques d'équité | Équipe données | Rapport : parité démographique, égalité des chances, impact disparate par sous-groupe |
| 3. Supervision humaine sur décisions sensibles | Direction de l'admission | Procédure écrite de validation humaine pour dossiers en zone d'incertitude |
| 4. Monitorage continu en production | Équipe données + RPRP | Tableau de bord mensuel : dérive des métriques, alertes, registre d'incidents |
L'étape 3 n'est pas optionnelle dans le cadre québécois : la Loi 25, article 12.1, exige que la personne puisse demander une révision humaine de toute décision automatisée la concernant, et connaître les « principaux paramètres » ayant conduit à cette décision. L'établissement doit donc être en mesure de répondre à cette demande dans un délai raisonnable, avec une procédure écrite et une personne désignée pour la traiter.
À l'horizon fédéral, le projet de loi C-27 (Loi sur l'intelligence artificielle et les données, LIAD), s'il est adopté dans sa forme actuelle, étendra des obligations comparables à l'ensemble du Canada avec des sanctions significativement plus élevées. Les établissements qui se mettent en conformité avec la Loi 25 dès maintenant seront mieux positionnés pour absorber cette évolution réglementaire.
Checklist du RPRP : 10 points avant mise en production
Cette checklist est adressée au Responsable de la protection des renseignements personnels (RPRP) ou au service de conformité de l'établissement. Elle ne remplace pas une Évaluation des facteurs relatifs à la vie privée (ÉFVP), obligatoire pour tout projet impliquant des renseignements personnels susceptibles de présenter un risque élevé pour les personnes concernées.
-
Portée réglementaire documentée : l'établissement traite-t-il des renseignements personnels de résidents québécois via cet outil ? Si oui, la Loi 25 s'applique. Y a-t-il des activités interprovinciales ? Si oui, la LPRPDE s'applique en parallèle.
-
Base légale documentée : le consentement ou l'intérêt légitime est-il identifié et documenté ? Les candidats sont-ils informés de la collecte et du traitement via un avis clair, accessible et rédigé en langage simple ?
-
Fiche de données produite : origine des données d'entraînement, période couverte, sous-groupes représentés (ou absents), proxies connus — code postal, nom du cégep, langue maternelle, région d'origine.
-
Renseignements sensibles identifiés : origine ethnique ou nationale, condition de handicap, statut socio-économique — sont-ils exclus du modèle, ou leur traitement est-il explicitement justifié et encadré ?
-
Métriques d'équité mesurées avant déploiement : par sous-groupe protégé, avec seuil d'impact disparate documenté — un ratio > 0,8 est généralement retenu comme seuil minimal acceptable dans la pratique internationale.
-
Supervision humaine effective : procédure écrite opérationnelle, zones d'incertitude définies avec des seuils de score précis, droit de révision humaine effectivement opérationnel et pas seulement mentionné dans une politique interne (Loi 25 art. 12.1).
-
Logs horodatés conservés : durée conforme au calendrier de conservation de l'établissement ; en cas d'incident de confidentialité, notification à la CAI et aux personnes concernées dans les 72 heures (Loi 25 art. 3.5).
-
Information du candidat : le candidat sait-il qu'un système automatisé intervient dans le traitement de son dossier ? Dispose-t-il d'informations claires sur comment exercer son droit de révision humaine ?
-
Monitorage de dérive : fréquence mensuelle minimum ; métriques comparées à la base de référence initiale ; alertes configurées en cas de dépassement des seuils ; registre d'incidents maintenu et accessible au RPRP.
-
Plan de retrait documenté : si un biais grave est détecté en production — qui prend la décision de suspension, dans quel délai, qui est prévenu (CAI, candidats concernés, direction de l'établissement) ?
Pour approfondir la protection des données dans l'enseignement supérieur québécois :
- Guide RGPD et Loi 25 pour les données étudiantes
- Chatbot IA et recrutement étudiant : bonnes pratiques
- AI Act et enseignement supérieur : ce que les établissements doivent savoir
- Protéger les données des prospects étudiants
FAQ
Un outil de scoring de dossiers SRAM est-il soumis à la Loi 25 ?
Oui, dès lors que le SRAM ou l'établissement traite des renseignements personnels de candidats québécois à travers cet outil. L'article 12.1 de la Loi 25 s'applique dès que le traitement automatisé a un effet significatif sur la personne — ce qui est le cas pour tout scoring influençant l'admission à un programme d'études collégiales ou universitaires.
Faut-il refaire une ÉFVP à chaque mise à jour du modèle ?
Non à chaque version technique, mais à chaque changement substantiel : nouveau jeu de données d'entraînement, nouvelle finalité de traitement, extension à une nouvelle population de candidats, modification significative de l'architecture du modèle. La CAI recommande une revue annuelle et la traçabilité des versions pour permettre un audit rétrospectif en cas de plainte ou d'incident.
Peut-on utiliser le code postal ou le nom du cégep comme variable d'entrée du modèle ?
Ces variables ne constituent pas des renseignements sensibles au sens strict, mais elles agissent comme proxies de l'origine socio-économique ou géographique dans le contexte québécois. Leur usage doit être justifié par une nécessité documentée, soumis à des tests d'impact disparate avant déploiement, et revu régulièrement en production. Si l'impact disparate dépasse le seuil admissible, les variables doivent être retirées du modèle ou le jeu de données rééquilibré avant toute nouvelle mise en production.
Qui répond devant la CAI en cas de biais avéré : l'établissement ou le fournisseur ?
L'établissement est le responsable du traitement au sens de la Loi 25 et porte la responsabilité principale devant la CAI. Le fournisseur peut être qualifié de sous-traitant au sens de l'article 18.3 de la Loi 25 — ce qui ne l'exonère pas de toute responsabilité, mais déplace le point d'entrée réglementaire. Il est impératif d'exiger des garanties contractuelles claires et une déclaration de conformité de votre fournisseur, et de documenter vos propres mesures de contrôle interne.
Quel est le coût de la conformité pour un cégep ou une université de taille moyenne ?
Il varie selon le périmètre des outils concernés et la maturité interne de l'établissement. Un audit initial représente généralement deux à quatre semaines de travail pour deux ou trois outils en scope. Un budget annuel de monitorage se situe généralement entre 15 000 $ et 40 000 $ CAD selon les ressources internes disponibles et le degré d'automatisation du tableau de bord. Pour calibrer l'investissement : la sanction maximale sous la Loi 25 peut atteindre 25 millions de dollars CAD ou 4 % du chiffre d'affaires mondial — le montant le plus élevé étant retenu.
Découvrez comment Skolbot audite ses modèles d'admission pour les biais
