skolbot.Chatbot IA pour écoles
ProduitTarifs
Démo gratuite
Démo gratuite
Guide opérationnel de protection des données prospects étudiants au Québec
  1. Accueil
  2. /Blog
  3. /Conformité
  4. /Protéger les données de vos prospects étudiants : guide Loi 25 opérationnel
Retour au blog
Conformité11 min read

Protéger les données de vos prospects étudiants : guide Loi 25 opérationnel

Comment collecter, stocker et utiliser les données prospects en conformité avec la Loi 25 du Québec. Liste de vérification opérationnelle pour les équipes d'admission et de marketing.

S

Équipe Skolbot · 12 mars 2026

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Sommaire

  1. 01Vos prospects ont des droits avant même de s'inscrire
  2. 02Les bases légales pour traiter les données de prospects
  3. Le consentement
  4. L'intérêt sérieux et légitime
  5. La nécessité contractuelle
  6. 03Ce que vous collectez — et ce que vous ne devriez pas collecter
  7. Le principe de minimisation
  8. Les données collectées par le chatbot
  9. 04Les durées de conservation : la zone grise
  10. Durées recommandées par type de données
  11. L'erreur du « on garde tout »
  12. 05Les droits des prospects : ce que votre équipe doit savoir répondre
  13. 06Le cas des mineurs
  14. 07Liste de vérification opérationnelle pour les équipes d'admission
  15. Collecte des données
  16. Stockage et accès
  17. Conservation et suppression
  18. Exercice des droits
  19. 08Les 5 erreurs les plus fréquentes en admission
  20. 09L'enjeu de confiance : au-delà de la conformité

Vos prospects ont des droits avant même de s'inscrire

La conformité en matière de protection des données ne commence pas à l'inscription. Elle commence au premier contact. Dès qu'un prospect communique son adresse courriel, son nom ou son numéro de cellulaire — via un formulaire, un chatbot, un salon ou une journée portes ouvertes — l'établissement devient responsable du traitement de ces renseignements personnels au sens de la Loi 25 (Source : Commission d'accès à l'information du Québec (CAI), guide sur les obligations des organismes, mise à jour 2025).

Ce point est crucial parce que les équipes d'admission et de marketing traitent des données de prospects bien avant la phase de candidature formelle. Et ces données de prospects sont souvent les moins protégées de tout le système d'information : fichiers Excel partagés par courriel, listes de contacts exportées depuis un salon sans consentement documenté, conversations chatbot stockées sans politique de conservation.

62 % des établissements d'enseignement interrogés n'ont pas de procédure documentée pour le traitement des données prospects (Source : enquête Skolbot auprès de 62 responsables marketing d'établissements, décembre 2025). Ce guide opérationnel comble cette lacune.

Pour un aperçu global de la conformité en matière de protection des données dans l'enseignement supérieur, consultez notre guide complet sur la protection des données étudiantes.

Les bases légales pour traiter les données de prospects

La Loi 25 du Québec — la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — exige un fondement légitime pour chaque collecte de renseignements personnels. Dans le contexte du recrutement étudiant, trois fondements sont pertinents.

Le consentement

Le consentement est la base la plus utilisée — et la plus mal mise en oeuvre. Pour être valide au sens de la Loi 25, il doit être manifeste (pas de consentement marketing obligatoire pour obtenir une brochure), libre et éclairé (informations visibles au moment de la collecte, pas juste un lien vers la politique de confidentialité), donné à des fins spécifiques (un consentement par finalité, pas un « J'accepte tout ») et demandé pour chaque fin distincte (une case par type de communication).

Erreur fréquente : collecter des courriels sur un salon via une tablette avec un simple « Laissez-nous votre courriel pour plus d'infos » ne constitue pas un consentement valide au sens de la Loi 25.

L'intérêt sérieux et légitime

La Loi 25 permet de traiter des données sans consentement explicite dans certains cas — relance de formulaire abandonné, informations complémentaires sur un programme d'intérêt. Ce fondement ne justifie pas l'envoi de communications non sollicitées, le partage avec des partenaires, ou le profilage comportemental sans transparence. Chaque recours doit être documenté et justifié.

La nécessité contractuelle

Lorsqu'un prospect dépose une candidature, le traitement de son dossier est nécessaire à l'exécution du processus d'admission. Fondement solide, mais limité à la phase de candidature formelle.

Ce que vous collectez — et ce que vous ne devriez pas collecter

Le principe de minimisation

La Loi 25 impose de ne collecter que les renseignements nécessaires à la finalité déclarée. En pratique, cela signifie que chaque champ de formulaire doit pouvoir être justifié.

Données nécessaires pour une demande d'information : nom, prénom, courriel, programme d'intérêt. Quatre champs suffisent.

Données discutables : date de naissance (pourquoi en avez-vous besoin avant la candidature ?), adresse postale (envoyez-vous vraiment des brochures papier ?), numéro de cellulaire (allez-vous réellement appeler ?).

Données problématiques : citoyenneté (sauf si pertinent pour les conditions d'admission internationales et les droits de scolarité différenciés), situation familiale, revenus des parents. Ces données sont parfois collectées « au cas où » mais constituent un risque sans justification documentée.

Chaque champ supplémentaire dans un formulaire réduit le taux de complétion de 5 à 8 % (Source : analyse Skolbot sur 45 formulaires de contact d'établissements, 2025). La minimisation des données n'est pas seulement une obligation légale — c'est un levier de conversion. Notre article sur les benchmarks de conversion des sites Web d'établissements confirme cette corrélation.

Les données collectées par le chatbot

Un chatbot collecte davantage de données qu'un formulaire. Les prospects partagent spontanément des informations sensibles (situation de handicap, difficultés financières, santé). Trois mesures sont indispensables : information préalable que la conversation est enregistrée, suppression automatique des données sensibles, et accès restreint aux historiques de conversation.

Les durées de conservation : la zone grise

La durée de conservation est le point faible de la plupart des établissements. La CAI recommande que les renseignements personnels soient détruits lorsque la finalité de leur collecte est accomplie, sauf obligation légale de conservation. En pratique, une durée maximale de 3 ans après le dernier contact actif est un plafond raisonnable pour les données de prospects (Source : CAI, guide sur la conservation des renseignements personnels).

Durées recommandées par type de données

Données de premier contact (formulaire, clavardage) : 12 mois après le dernier contact si le prospect n'a pas déposé de candidature. Au-delà, le projet de formation est probablement abandonné.

Données de candidature non aboutie : 24 mois après le dernier contact. Le prospect pourrait représenter une candidature la session suivante.

Données de candidature refusée : 6 mois après la notification de refus. Conserver plus longtemps n'a pas de justification opérationnelle.

Conversations chatbot : 12 mois, avec anonymisation automatique des données sensibles à 30 jours.

Données d'événements (portes ouvertes, salons) : 12 mois après l'événement si le prospect n'a pas engagé de démarche ultérieure.

L'erreur du « on garde tout »

47 % des établissements conservent les données prospects indéfiniment (Source : enquête Skolbot, décembre 2025). Double risque : réglementaire (les amendes prévues par la Loi 25 peuvent atteindre 25 millions $CAD ou 4 % du chiffre d'affaires mondial) et opérationnel (délivrabilité dégradée, métriques faussées, surface d'attaque accrue).

Les droits des prospects : ce que votre équipe doit savoir répondre

La Loi 25 confère plusieurs droits aux personnes concernées. En pratique, quatre sont régulièrement exercés par les prospects étudiants.

Droit d'accès : le prospect peut demander quels renseignements vous détenez à son sujet. Réponse obligatoire sous 30 jours, ce qui implique de savoir où sont stockées les données (CRM, chatbot, fichiers, courriels).

Droit de rectification : correction des renseignements erronés, propagée à tous les systèmes.

Droit à la désindexation et à l'effacement : suppression de tous les renseignements sur demande. La suppression doit être effective dans tous les systèmes : CRM, base de courriels, chatbot, fichiers partagés. La Loi 25 a renforcé ce droit, qui inclut maintenant la désindexation et la cessation de la diffusion.

Droit de retrait du consentement : un prospect peut retirer son consentement en tout temps. Un prospect qui dit « arrêtez de m'envoyer des courriels » doit être désabonné immédiatement.

Le cas des mineurs

Au Québec, le consentement d'un mineur de 14 ans et plus est valide pour les renseignements qui le concernent (Code civil du Québec, article 156). En dessous de 14 ans, le consentement parental est requis. Pour les programmes préuniversitaires au cégep (les étudiants ont typiquement 17 ans au DES), la grande majorité des prospects sont en mesure de consentir de façon autonome. Pour les événements ciblant les élèves de secondaire 3 et 4 (salons d'orientation), intégrez une question sur l'âge dans vos formulaires et prévoyez un parcours de consentement parental si nécessaire.

Liste de vérification opérationnelle pour les équipes d'admission

Collecte des données

  • Chaque formulaire affiche les informations obligatoires (identité du responsable, finalité, durée de conservation, droits)
  • Les cases de consentement ne sont pas précochées
  • Les consentements sont granulaires (un par finalité)
  • Le chatbot s'identifie comme IA et informe que les conversations sont enregistrées
  • Les formulaires de salon incluent les mentions de protection des renseignements personnels
  • Seuls les renseignements nécessaires sont collectés (principe de minimisation)

Stockage et accès

  • Les données prospects sont stockées dans un CRM avec contrôle d'accès par rôle
  • Aucun fichier Excel contenant des renseignements personnels ne circule par courriel
  • Les accès aux données sont journalisés
  • Les données sensibles (situation de handicap, situation financière) sont isolées avec un accès restreint
  • Les mots de passe du CRM sont robustes (12 caractères minimum, authentification multifacteur activée)
  • Un responsable de la protection des renseignements personnels a été désigné (obligation Loi 25)

Conservation et suppression

  • Une politique de durée de conservation est documentée et appliquée
  • Un processus de suppression automatique est paramétré dans le CRM
  • Les prospects sans interaction depuis 12 mois sont supprimés ou font l'objet d'une séquence de réactivation avant suppression
  • Les données de candidatures refusées sont supprimées à 6 mois

Exercice des droits

  • Un processus de réponse aux demandes d'accès, de rectification et de suppression est documenté
  • L'équipe d'admission sait qui contacter à l'interne pour traiter une demande
  • Le délai de réponse de 30 jours est respecté et suivi
  • Les désabonnements sont traités immédiatement

Les 5 erreurs les plus fréquentes en admission

Erreur 1 : le fichier Excel du salon. Collecter 200 courriels sur un salon, se les envoyer par courriel, puis les importer dans le CRM sans consentement documenté. Triple infraction.

Erreur 2 : le consentement par défaut. Case précochée « J'accepte de recevoir des communications ». Consentement invalide au sens de la Loi 25.

Erreur 3 : la conservation infinie. Données de prospects de 2019 toujours dans le CRM. Infraction + métriques faussées par des contacts morts.

Erreur 4 : la réponse tardive. Une demande de suppression qui circule entre trois services pendant trois semaines. Délai de 30 jours dépassé.

Erreur 5 : le chatbot sans information. Le chatbot collecte nom, courriel, programme d'intérêt sans informer sur le traitement des renseignements. Infraction au principe de transparence.

L'enjeu de confiance : au-delà de la conformité

73 % des étudiants de 18-24 ans déclarent que la protection de leurs données influence leur choix d'établissement (Source : enquête Léger Marketing, 2025). La conformité à la Loi 25 n'est pas qu'une obligation légale — c'est un signal de professionnalisme qui influence directement le recrutement.

Depuis septembre 2023, la Loi 25 est pleinement en vigueur au Québec. Chaque établissement doit avoir désigné un responsable de la protection des renseignements personnels, publié sa politique de confidentialité sur son site Web, et mis en place un processus de gestion des incidents de confidentialité. Ne pas s'y conformer, c'est s'exposer à des sanctions financières substantielles — et surtout, c'est envoyer un mauvais signal à des prospects de plus en plus sensibles à la protection de leur vie privée.

FAQ

Le consentement obtenu sur un salon est-il valide ?

Uniquement s'il est documenté, spécifique et éclairé. Un scan de badge ou une signature sur une tablette sans mention des finalités de traitement ne constitue pas un consentement valide au sens de la Loi 25. Prévoyez un formulaire papier ou numérique avec les mentions obligatoires, et conservez la preuve du consentement.

Peut-on envoyer un courriel de relance sans consentement marketing ?

Oui, dans certains cas. Si le prospect a rempli un formulaire de candidature sans le finaliser, un courriel de relance lié à cette démarche spécifique est justifiable. En revanche, un courriel d'infolettre ou de promotion d'un autre programme nécessite un consentement explicite. La Loi canadienne anti-pourriel (LCAP) s'applique également — elle exige un consentement exprès ou tacite pour tout message électronique commercial.

Que faire en cas d'incident de confidentialité ?

La Loi 25 oblige à évaluer l'incident, à aviser la CAI et les personnes concernées si l'incident présente un risque sérieux de préjudice, et à tenir un registre des incidents. Le délai de notification à la CAI doit être rapide (avec diligence). Documenter l'incident (nature, renseignements concernés, mesures prises). La procédure doit être connue de tout le personnel ayant accès aux données.

Un sous-traitant (CRM, chatbot) est-il responsable en cas de fuite ?

L'établissement reste le premier responsable. Un contrat avec chaque fournisseur doit préciser les mesures de sécurité, les obligations de confidentialité et les procédures de notification d'incident. La Loi 25 exige que toute communication de renseignements à un tiers fasse l'objet d'une entente écrite.

Comment former les équipes sans expert interne ?

Prévoyez une session de sensibilisation de 2 heures par an, centrée sur les cas pratiques (collecte en salon, formulaires, relances). Désignez un responsable de la protection des renseignements personnels (obligation Loi 25) comme point de contact. La CAI met à disposition des guides gratuits et des outils d'accompagnement pour les organismes.

Articles similaires

Illustration isométrique du processus de demande de suppression de données selon la Loi 25, avec bouclier et icônes de documents pour un établissement québécois
Conformité

Droit à l'effacement au Québec : que faire quand un prospect demande la suppression de ses données

Illustration chatbot IA Loi 25 collecte de données université québécoise, conformité CAI 2026
Conformité

Chatbot IA et Loi 25 : quelles données peut-on collecter dans un établissement d'enseignement supérieur au Québec ?

Guide Loi 25 pour la protection des données étudiantes dans l'enseignement supérieur au Québec
Conformité

Loi 25 et données étudiantes : guide complet pour les établissements québécois

Retour au blog

RGPD · IA Act · Hébergement UE

skolbot.

SolutionTarifsBlogÉtudes de casComparatifAI CheckFAQÉquipeMentions légalesPolitique de confidentialité

© 2026 Skolbot