ChatGPT
Claude
Perplexity
Gemini
GrokLa Loi 25 n'impose pas de « registre des traitements » — mais elle impose quelque chose d'équivalent
Lorsque les directions des cégeps privés et des universités québécoises s'interrogent sur l'obligation de tenir un « registre des activités de traitement », la confusion avec le RGPD européen est fréquente. Ce registre formel — obligatoire pour les organisations européennes selon l'article 30 du RGPD — n'existe pas sous cette dénomination dans la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels), en vigueur depuis septembre 2023.
Ce n'est pas pour autant que votre établissement est dispensé de documenter ses traitements. La Loi 25 impose trois obligations distinctes qui, ensemble, remplissent la même fonction de gouvernance :
- L'inventaire des renseignements personnels (art. 3.2 de la Loi sur la protection des renseignements personnels dans le secteur privé, version modernisée) : obligation de connaître et de documenter les renseignements que l'organisation détient, leur localisation et les fins de leur collecte.
- L'évaluation des facteurs relatifs à la vie privée (EFVP) (art. 3.3) : analyse de risques obligatoire avant tout nouveau projet impliquant des renseignements personnels, notamment le déploiement d'un chatbot IA d'admission.
- Le registre des incidents de confidentialité (art. 3.7) : journal des incidents de confidentialité, communicable à la Commission d'accès à l'information du Québec (CAI) sur demande.
Un inventaire interne des activités de traitement — structuré sur le modèle présenté dans cet article — permet à votre responsable de la protection des renseignements personnels (RPRP) de satisfaire ces trois obligations de manière cohérente et de répondre efficacement à toute demande de la CAI. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du gouvernement fédéral s'applique en parallèle pour les activités de recrutement interprovinciales ou internationales.
Pour le cadre général des obligations Loi 25 dans l'enseignement supérieur québécois, consultez notre guide Loi 25 et données étudiantes.
Loi 25 versus RGPD : ce qui change concrètement pour un cégep ou une université privée
Plusieurs établissements québécois utilisent des ressources ou des modèles conçus pour le RGPD européen. Cette approche peut induire des erreurs de conformité importantes. Les différences entre les deux cadres sont substantielles pour un établissement d'enseignement supérieur.
La base légale principale est le consentement. En Europe, le RGPD prévoit six bases légales alternatives (consentement, contrat, obligation légale, intérêt vital, mission d'intérêt public, intérêt légitime). Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé fait du consentement la base légale fondamentale pour la collecte de renseignements personnels dans le secteur privé. La notion d'« intérêt légitime » existe dans une forme limitée (art. 18.2), mais elle ne peut pas se substituer au consentement de la même façon qu'en Europe.
Le délai de notification des incidents est de 30 jours, non 72 heures. Contrairement au RGPD qui impose une notification à l'autorité dans les 72 heures suivant la découverte d'une violation, la Loi 25 prévoit un délai de 30 jours pour notifier la CAI lorsqu'un incident présente un risque de préjudice sérieux. Ce délai ne dispense pas d'une évaluation immédiate du risque — il aménage le temps de préparation de la notification formelle.
Le vocabulaire est différent. La Loi 25 ne parle pas de « données personnelles » (terminologie européenne et française) mais de renseignements personnels. Le responsable de conformité n'est pas le « délégué à la protection des données (DPO) » mais le responsable de la protection des renseignements personnels (RPRP). L'évaluation d'impact n'est pas une « AIPD » mais une EFVP (évaluation des facteurs relatifs à la vie privée). Ces distinctions terminologiques ne sont pas triviales : elles traduisent des différences de régime juridique qui peuvent affecter la validité de vos politiques internes.
Les sanctions au Québec atteignent 25 M$ CAD ou 4 % du chiffre d'affaires mondial. Depuis 2024, la CAI dispose d'un pouvoir de sanction aligné sur les standards internationaux. Pour un cégep privé subventionné ou une université québécoise de taille moyenne, une sanction de cet ordre serait existentiellement grave.
Le RPRP doit être désigné par la plus haute autorité. Loi 25 impose que la désignation provienne du directeur général ou de la rectrice — la responsabilité de gouvernance ne peut pas être confiée à un simple service administratif sans mandat formel. Pour tout ce qui concerne le rôle et l'organisation du RPRP, notre article sur le RPRP externalisé pour école privée détaille les options disponibles.
Les catégories de renseignements personnels d'un cégep ou d'une université québécoise
Avant de construire un inventaire, il faut identifier les catégories de renseignements traitées. Pour un établissement d'enseignement supérieur québécois, elles se répartissent en trois grands blocs.
Renseignements liés à l'admission et aux candidatures
Pour les cégeps, les candidatures transitent principalement par le Service régional d'admission du Montréal métropolitain (SRAM) ou le Service régional des admissions des cégeps de Québec (SRACQ), selon la région. Pour les universités privées québécoises (HEC Montréal, Polytechnique, Concordia, Bishop's), les candidatures sont souvent directes ou transitent par le Bureau de coopération interuniversitaire (BCI).
Dans tous les cas, ce bloc comprend : nom, prénom, courriel, numéro de cellulaire, date de naissance, numéro d'assurance sociale (le cas échéant), relevés de notes, cote R, lettre de motivation, pièces d'identité, et pour les étudiants internationaux, les documents d'immigration (permis d'études).
Une précision importante pour les établissements québécois qui accueillent des étudiants d'autres provinces : le terme baccalauréat au Québec désigne un diplôme universitaire de premier cycle (équivalent de la licence française), non le diplôme de fin d'études secondaires. Cette distinction peut sembler évidente pour les équipes locales, mais elle est source d'erreurs dans la documentation partagée avec des partenaires hors-Québec.
Renseignements liés au marketing et à la communication
Ce bloc couvre les renseignements collectés avant et indépendamment d'une candidature formelle : inscriptions aux journées portes ouvertes, téléchargements de brochures, abonnements aux infolettres, clics sur les publicités numériques (Meta Ads, Google Ads), et données analytiques du site Web.
La Loi 25 impose que la collecte de renseignements à des fins de marketing soit clairement identifiée comme telle, avec un consentement distinct de celui donné pour la candidature. Un candidat qui consent à la communication de son dossier d'admission au registrariat n'a pas pour autant consenti à recevoir des communications promotionnelles — ces deux finalités doivent être documentées séparément dans l'inventaire.
Renseignements collectés via un chatbot IA
Les établissements qui déploient un agent conversationnel IA pour les admissions constituent une catégorie distincte dans l'inventaire. Les renseignements collectés incluent : l'historique de conversation, les questions posées sur les programmes, le courriel fourni volontairement pour un suivi, et les métadonnées de session (heure, durée, pages visitées avant l'interaction).
72 % des questions posées par les candidats sont des FAQ automatisables par un chatbot IA ; seulement 7 % nécessitent une intervention humaine (Source : classification Skolbot, 12 000 conversations, 2025). Cette répartition justifie l'investissement dans un agent conversationnel — à condition que la documentation de conformité soit en place dès le déploiement.
Inventaire des activités de traitement : modèle adapté à la Loi 25
Le tableau suivant constitue un modèle d'inventaire interne conforme aux exigences de la Loi 25. Il peut être adapté à la réalité de votre cégep ou de votre université et intégré au programme de gestion de l'information personnelle supervisé par votre RPRP.
| Activité de traitement | Renseignements concernés | Finalité | Base légale (Loi 25) | Durée de conservation | Destinataires | EFVP requise ? | Transfert hors Québec ? |
|---|---|---|---|---|---|---|---|
| Formulaire de contact prospect | Nom, prénom, courriel, cellulaire, programme d'intérêt | Répondre à une demande d'information | Consentement explicite | 3 ans depuis le dernier contact actif | Service des admissions, CRM interne | Non | Selon hébergeur CRM |
| Inscription journée portes ouvertes | Nom, prénom, courriel, cellulaire, niveau scolaire actuel | Organiser l'événement, suivi post-JPO | Consentement explicite | 3 ans | Service des admissions, service marketing | Non | Non (si hébergement CA) |
| Dossier de candidature (SRAM / directe) | Dossier complet : relevés de notes, pièces d'identité, cote R | Évaluation et décision d'admission | Consentement + nécessité contractuelle | 2 ans si refus ; 5 ans si inscription | Registrariat, comités d'admission, SRAM/SRACQ | Non | SRAM/SRACQ (Québec) |
| Agent conversationnel IA admissions | Historique de conversation, courriel (si fourni), métadonnées de session | Répondre aux questions sur les programmes, qualifier les prospects | Consentement + information préalable obligatoire | 30 jours (anonyme) ; 3 ans (lié à un profil identifié) | Fournisseur du chatbot (sous-traitant), service des admissions | Oui — EFVP obligatoire avant déploiement | Selon hébergement du fournisseur |
| Infolettre et communications marketing | Courriel, préférences de programme, historique d'ouverture | Prospection et nurturing étudiant | Consentement explicite (opt-in) | Durée de l'abonnement actif + 3 ans | Service marketing, plateforme courriel | Non | Selon hébergeur (ex. Mailchimp : hors CA) |
| Analytiques du site Web | Adresse IP (pseudonymisée), pages visitées, durée de session | Amélioration du site, mesure des campagnes | Intérêt sérieux et légitime (si anonymisé) ; consentement si nominatif | 13 mois maximum | Équipe marketing, prestataire analytics | Non (si anonymisé) | Oui (Google Analytics : USA) — EFVP recommandée |
| Dossier étudiant inscrit | Dossier académique complet, données financières, données de santé (si applicable) | Gestion de la scolarité, facturation des droits de scolarité (dès ~3 000 $ CAD/session pour les Québécois) | Consentement + nécessité contractuelle + obligation légale | 5 ans après fin des études (dossier admin) ; 6 ans (données financières) | Registrariat, direction, Ministère de l'Enseignement supérieur, AFE | Non | Non (obligation réglementaire localisation CA) |
| Registre des incidents de confidentialité | Détails de l'incident, personnes concernées, mesures prises | Conformité Loi 25 — obligation légale art. 3.7 | Obligation légale | Durée de conservation minimale 5 ans | RPRP, CAI (sur demande), personnes concernées | N/A | Non |
Pour les durées de conservation applicables à chaque catégorie de renseignements, consultez notre article sur la durée de conservation des renseignements personnels des prospects selon la Loi 25.
Le RPRP et l'inventaire : une responsabilité de gouvernance
La Loi 25 impose que la désignation du responsable de la protection des renseignements personnels (RPRP) émane de la plus haute autorité de l'établissement — le directeur général pour un cégep privé, la rectrice ou le recteur pour une université. Cette désignation au sommet institutionnel signifie que l'inventaire des activités de traitement n'est pas un document technique réservé à l'équipe des technologies de l'information : c'est un instrument de gouvernance dont la direction est imputable.
Le RPRP est responsable de la mise à jour de l'inventaire, de la supervision des EFVP, et de la communication avec la CAI. Dans un cégep privé subventionné ou une université privée de taille intermédiaire, ce rôle est souvent externalisé à un cabinet spécialisé en droit québécois de la vie privée — une option expressément autorisée par la Loi 25, à condition que la délégation soit formalisée par écrit et que la haute direction reste imputable.
Trois déclencheurs doivent conduire à une mise à jour immédiate de l'inventaire :
- Déploiement d'un nouvel outil ou d'une nouvelle plateforme collectant des renseignements personnels (nouveau CRM, nouveau chatbot, nouveau système de vidéosurveillance sur le campus).
- Modification d'une finalité de traitement — par exemple, utiliser les données de prospects collectées lors des portes ouvertes à des fins de profilage ou de notation prédictive.
- Changement de prestataire ou de localisation des serveurs — un transfert vers un hébergeur dont les serveurs sont situés hors du Québec déclenche une obligation d'EFVP et de vérification contractuelle en vertu de l'art. 17 de la Loi 25.
Chatbot IA et Loi 25 : les obligations spécifiques
Le déploiement d'un agent conversationnel IA pour les admissions — levier de performance démontré puisque les établissements utilisant un chatbot IA voient +62 % de leads qualifiés et -38 % de coût par lead (Source : résultats médians Skolbot, 18 établissements, 2024-2025) — impose des vérifications spécifiques dans le cadre de la Loi 25.
Contrat avec le fournisseur (art. 18.3). Tout fournisseur à qui votre établissement communique des renseignements personnels doit s'engager contractuellement à protéger ces renseignements avec un niveau de protection équivalent à celui de la Loi 25. Ce contrat doit prévoir : les finalités autorisées du traitement, les mesures de sécurité, les durées de conservation, et les obligations en cas d'incident de confidentialité. Un contrat de service standard d'un fournisseur SaaS étranger ne satisfait généralement pas ces exigences sans un avenant de protection des renseignements personnels spécifique au Québec.
EFVP obligatoire avant le déploiement. L'art. 3.3 de la Loi 25 impose une évaluation des facteurs relatifs à la vie privée avant la mise en œuvre de tout projet impliquant des renseignements personnels. Un chatbot IA qui collecte des courriels, des questions personnelles sur les programmes, et des métadonnées de session relève clairement de cette obligation. L'EFVP doit être conduite avant le lancement — pas six mois après.
Transparence obligatoire dès le premier message. Le prospect doit être informé, avant de fournir tout renseignement personnel, qu'il interagit avec une intelligence artificielle, quels renseignements sont collectés, dans quel but, et comment exercer ses droits (accès, rectification, suppression). Un bandeau d'information en début de conversation, avec lien vers la politique de confidentialité, satisfait cette obligation. L'agent conversationnel ne doit jamais conditionner l'accès aux informations sur les programmes à la fourniture d'un courriel ou d'un numéro de cellulaire.
Hébergement et transferts hors Québec. Si le fournisseur du chatbot héberge les données sur des serveurs situés aux États-Unis ou dans un autre pays hors Canada, une EFVP spécifique aux transferts transfrontaliers est requise. La CAI recommande de privilégier l'hébergement au Canada. Les établissements qui recrutent des étudiants internationaux doivent également vérifier la conformité à la LPRPDE fédérale pour les activités interprovinciales et internationales.
Foire aux questions — Inventaire des traitements, Loi 25 et Québec
La Loi 25 oblige-t-elle les cégeps et universités à tenir un registre des traitements comme le RGPD européen ?
Non, pas sous cette dénomination. La Loi 25 n'utilise pas le terme « registre des activités de traitement » (qui vient de l'art. 30 du RGPD européen). Elle impose cependant trois obligations fonctionnellement équivalentes : l'inventaire des renseignements personnels détenus (art. 3.2), l'EFVP avant tout nouveau projet (art. 3.3), et le registre des incidents de confidentialité (art. 3.7). Un inventaire interne structuré — comme le modèle présenté dans cet article — permet de satisfaire ces obligations de manière cohérente.
La Loi 25 s'applique-t-elle aux cégeps publics ou seulement aux établissements privés ?
Les deux secteurs sont couverts, mais par des lois distinctes. La Loi sur la protection des renseignements personnels dans le secteur privé (modernisée par la Loi 25) s'applique aux établissements privés. La Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels encadre les établissements publics (cégeps du réseau collégial public, universités du réseau UQ, etc.). Les obligations sont similaires dans leur contenu, mais relèvent de régimes distincts. La CAI supervise les deux. Cet article traite principalement des établissements privés.
Faut-il une EFVP pour chaque nouveau logiciel utilisé dans l'administration d'un cégep ou d'une université ?
Pas nécessairement pour chaque logiciel, mais pour tout projet impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels. Un nouveau CRM d'admissions, un chatbot IA, une plateforme de vidéosurveillance du campus, ou un outil d'analytique comportementale déclenchent l'obligation d'EFVP. Un logiciel de comptabilité interne n'impliquant pas de renseignements personnels d'étudiants ou de prospects n'en requiert pas. La règle pratique : si la mise en œuvre du projet peut toucher à la vie privée de personnes physiques, une EFVP est requise.
Qui peut agir comme RPRP pour un petit cégep privé ou une université de taille intermédiaire ?
La Loi 25 autorise expressément la délégation à un tiers externe (art. 3.1). Le RPRP peut donc être un cabinet juridique spécialisé en droit québécois de la vie privée, un consultant indépendant, ou un service mutualisé entre plusieurs établissements. La délégation doit être formalisée par écrit. Les coordonnées du RPRP (ou un courriel dédié, par exemple : protection.renseignements@moncegep.qc.ca) doivent être publiées sur le site Web de l'établissement. La haute direction (directeur général, rectrice) reste imputable devant la CAI même en cas d'externalisation.
Le RPRP doit-il notifier la CAI en cas de brèche de données ? Dans quel délai ?
Oui, lorsque l'incident de confidentialité présente un risque de préjudice sérieux pour les personnes concernées. Le délai est de 30 jours suivant la prise de connaissance de l'incident — non 72 heures comme dans le RGPD européen. Le RPRP doit également notifier les personnes concernées si elles font face à un risque de préjudice sérieux. Tout incident doit être consigné dans le registre des incidents de confidentialité, même s'il ne présente pas de risque sérieux et ne nécessite donc pas de notification à la CAI.
La conformité à la Loi 25 pour un cégep ou une université privée québécoise n'est pas réductible à la production d'un document. C'est un programme continu — inventaire, EFVP, registre des incidents, formation du personnel, mise à jour des politiques — dont le RPRP est le pivot et la direction générale, le garant. Un inventaire des activités de traitement bien structuré n'est pas seulement une réponse aux obligations de la CAI : c'est l'outil qui permet à votre établissement de déployer des technologies comme les chatbots IA d'admission avec la confiance que la vie privée de vos candidats est protégée à chaque étape du parcours.
Demandez une démo personnalisée
