skolbot.Chatbot IA pour écoles
ProduitTarifs
Démo gratuite
Démo gratuite
Guide Loi 25 pour la protection des données étudiantes dans l'enseignement supérieur au Québec
  1. Accueil
  2. /Blog
  3. /Conformité
  4. /Loi 25 et données étudiantes : guide complet pour les établissements québécois
Retour au blog
Conformité15 min read

Loi 25 et données étudiantes : guide complet pour les établissements québécois

Tout ce que les universités et cégeps doivent savoir sur la Loi 25 et la LPRPSP appliquées aux données étudiantes : obligations légales, consentement, responsable de la protection des renseignements personnels, IA Act et conformité. Guide pratique.

S

Équipe Skolbot · 23 janvier 2026

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Sommaire

  1. 01La Loi 25 s'applique à chaque donnée que votre établissement collecte sur un prospect ou un étudiant
  2. 02Les catégories de renseignements personnels traités par un établissement
  3. Données des prospects (pré-inscription)
  4. Données des étudiants inscrits
  5. Données des anciens étudiants
  6. 03Les bases légales applicables dans l'enseignement supérieur québécois
  7. Le cadre de la LPRPSP et de la Loi 25
  8. Erreur fréquente : la collecte excessive
  9. 04Le consentement dans le contexte éducatif québécois
  10. Consentement des mineurs
  11. Consentement et agent conversationnel IA
  12. 05Les droits des personnes concernées
  13. Les droits que votre établissement doit garantir
  14. La suppression en cascade : un défi technique
  15. 06Le responsable de la protection des renseignements personnels (RPRP)
  16. Une obligation depuis septembre 2022
  17. RPRP interne ou externe ?
  18. 07L'IA Act européen et ses implications pour les établissements québécois
  19. Pourquoi un règlement européen concerne-t-il le Québec ?
  20. Classification des systèmes IA dans l'éducation
  21. Calendrier d'entrée en application
  22. 08Le cadre réglementaire québécois et canadien
  23. Québec — CAI et Loi 25
  24. Canada fédéral — LPRPDE
  25. Comparaison avec le Loi 25 européen
  26. 09Sécurité des données : mesures techniques et organisationnelles
  27. Le principe de minimisation
  28. Mesures techniques indispensables
  29. Évaluation des facteurs relatifs à la vie privée (EFVP)

La Loi 25 s'applique à chaque donnée que votre établissement collecte sur un prospect ou un étudiant

Depuis le 22 septembre 2023, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) et la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) encadrent tout traitement de renseignements personnels au Québec. Pour une université, un cégep ou un établissement d'enseignement supérieur privé, cela couvre un périmètre bien plus large que les dossiers d'inscription : formulaires de contact, interactions avec un agent conversationnel, analytiques du site Web, données de portes ouvertes, résultats académiques, données de santé, et même les photographies prises lors d'événements sur le campus.

La non-conformité n'est pas un risque théorique. La Commission d'accès à l'information du Québec (CAI) dispose désormais de pouvoirs de sanction considérables. Depuis 2024, les amendes peuvent atteindre 25 millions de dollars ou 4 % du chiffre d'affaires mondial — des montants qui concentrent les esprits au sein des directions d'établissements.

Ce guide couvre les obligations concrètes pour les établissements d'enseignement supérieur québécois : types de données, bases légales, consentement, droits des personnes, rôle du responsable de la protection des renseignements personnels (RPRP), et les implications de l'IA Act européen pour les outils d'admission et les agents conversationnels.

Les catégories de renseignements personnels traités par un établissement

Données des prospects (pré-inscription)

Les données collectées avant l'inscription constituent le premier périmètre de la Loi 25 dans un établissement. Elles incluent :

  • Données d'identification — nom, prénom, courriel, numéro de cellulaire, recueillis via formulaires de contact, agent conversationnel, ou inscription aux portes ouvertes
  • Données de navigation — pages visitées, temps passé, source d'acquisition, recueillies par Google Analytics ou équivalent
  • Données conversationnelles — questions posées à l'agent conversationnel, historique de conversation, langue utilisée
  • Données de candidature — CV, lettres de motivation, relevés de notes, cote R, pièces d'identité

89 % des prospects posent une question sur les droits de scolarité et 78 % s'interrogent sur les programmes de DEC-bac ou de stages coopératifs (Source : analyse de 12 000 conversations chatbot Skolbot, sept. 2025 — fév. 2026). Ces échanges constituent des renseignements personnels dès qu'un identifiant (nom, courriel) est associé à la conversation.

Données des étudiants inscrits

Une fois inscrit, l'étudiant génère un volume de données nettement plus important :

  • Données académiques — notes, assiduité, progression, DEC, baccalauréat, maîtrise
  • Données financières — droits de scolarité (de 3 000 $ à 10 000 $ CAD selon le programme), échéanciers de paiement, bourses de l'AFE (Aide financière aux études)
  • Données de vie campus — accès bâtiments (carte étudiante), restauration, résidences
  • Données sensibles — handicap, situation sociale, données de santé (services de santé du campus, plan d'intervention)

Les données sensibles exigent des protections renforcées selon la LPRPSP : consentement explicite, limitation stricte de l'accès, et interdiction de traitement automatisé pour la prise de décision sauf exceptions explicites.

Données des anciens étudiants

Le traitement des données des diplômés (annuaire, dons, événements réseau) nécessite une base légale distincte de celle utilisée pendant la scolarité. Le consentement donné pour l'inscription ne couvre pas automatiquement le suivi post-diplôme.

Les bases légales applicables dans l'enseignement supérieur québécois

Le cadre de la LPRPSP et de la Loi 25

La LPRPSP, telle que modernisée par la Loi 25, encadre la collecte et l'utilisation des renseignements personnels dans le secteur privé au Québec. Pour les établissements d'enseignement supérieur, les bases légales suivantes s'appliquent :

  • Consentement — La base légale principale au Québec. Contrairement au Loi 25 européen, la LPRPSP fait du consentement la pierre angulaire de la conformité. Le consentement doit être manifeste, libre, éclairé et donné à des fins spécifiques. Pour les établissements publics (universités, cégeps), la Loi sur l'accès aux documents des organismes publics s'applique en complément.

  • Nécessité contractuelle — Les renseignements nécessaires à l'exécution du contrat de formation (inscription, facturation, scolarité) peuvent être collectés sans consentement supplémentaire, à condition que la finalité soit clairement déclarée.

  • Intérêt sérieux et légitime — Depuis la Loi 25, les organisations peuvent utiliser des renseignements sans consentement pour des fins compatibles avec celles pour lesquelles ils ont été recueillis, à condition qu'il existe un lien pertinent et que l'utilisation ne soit pas incompatible avec l'intérêt de la personne.

  • Obligation légale — Concerne la transmission de données au ministère de l'Enseignement supérieur du Québec, au SRAM (Service régional d'admission du Montréal métropolitain), au SRACQ, ou au BCI (Bureau de coopération interuniversitaire).

Erreur fréquente : la collecte excessive

Beaucoup d'établissements collectent des renseignements personnels au-delà de ce qui est nécessaire à la finalité déclarée. La Loi 25 renforce le principe de minimisation : seuls les renseignements nécessaires à l'objet du dossier doivent être recueillis. Un formulaire de demande d'information qui exige la date de naissance, le NAS ou le numéro de cellulaire alors que seul le courriel suffit constitue une collecte excessive.

La bonne approche : définir clairement la finalité de chaque collecte, limiter les champs de formulaire au strict nécessaire, et documenter la justification de chaque donnée collectée dans le registre des activités de traitement.

Le consentement dans le contexte éducatif québécois

Consentement des mineurs

Au Québec, le Code civil fixe la majorité à 18 ans, mais un mineur de 14 ans et plus peut consentir seul à la collecte de ses renseignements personnels dans certaines circonstances. Pour les cégeps, la majorité des étudiants sont au-dessus de 16 ans, mais certains programmes accueillent des étudiants dès 16 ou 17 ans.

Pour les prospects mineurs de moins de 14 ans : le consentement des parents ou tuteurs légaux est requis pour tout traitement. Entre 14 et 17 ans, l'étudiant peut généralement consentir lui-même, sauf pour les données sensibles où le consentement parental reste recommandé.

Consentement et agent conversationnel IA

Un agent conversationnel IA qui collecte des renseignements personnels doit informer le prospect avant le début de la conversation :

  • Qu'il interagit avec une intelligence artificielle (obligation de transparence)
  • Quels renseignements sont collectés et pourquoi
  • Comment exercer ses droits (accès, rectification, suppression)
  • La durée de conservation des conversations

Un bandeau d'information au lancement de l'agent conversationnel, avec lien vers la politique de confidentialité, remplit cette obligation. L'agent conversationnel ne doit pas conditionner l'accès à l'information à la fourniture de renseignements personnels : un prospect doit pouvoir poser des questions sur les programmes sans donner son nom ou son courriel.

Les droits des personnes concernées

Les droits que votre établissement doit garantir

La Loi 25 et la LPRPSP confèrent aux personnes concernées (prospects, étudiants, anciens) des droits fondamentaux. Votre établissement doit disposer de procédures opérationnelles pour répondre à chacun dans un délai de 30 jours :

  • Droit d'accès — L'étudiant peut demander une copie de tous les renseignements que vous détenez sur lui.
  • Droit de rectification — Correction des renseignements inexacts ou incomplets.
  • Droit à la suppression — Le droit de demander la suppression de ses renseignements personnels lorsque la collecte n'est pas conforme à la loi ou lorsque les fins de la collecte ont été atteintes.
  • Droit à la désinscription — Droit de retirer son consentement aux communications commerciales (infolettres, courriels marketing).
  • Droit à la portabilité — Depuis septembre 2024, transfert des renseignements dans un format technologique structuré et couramment utilisé vers un autre établissement.
  • Droit de ne pas être soumis à une décision automatisée — Fondamental pour les outils d'admission qui utilisent l'IA. La Loi 25 exige que la personne soit informée de l'utilisation de systèmes automatisés et puisse demander une révision humaine.
  • Droit de retirer son consentement — À tout moment, sans justification.

La suppression en cascade : un défi technique

Quand un prospect exerce son droit à la suppression, tous les renseignements le concernant doivent être supprimés de tous les systèmes : CRM, agent conversationnel, outil de courriel, analytiques nominatives, sauvegardes. Le coût d'acquisition par étudiant varie de 1 800 à 3 000 $ CAD au Québec (Source : estimations basées sur données BCI, Affaires universitaires, EAB). Chaque demande de suppression représente donc une perte d'investissement marketing — raison de plus pour minimiser les renseignements collectés dès le départ.

La suppression doit être effective dans un délai de 30 jours. Un processus de suppression en cascade documenté, testé régulièrement, est indispensable.

Le responsable de la protection des renseignements personnels (RPRP)

Une obligation depuis septembre 2022

La Loi 25 impose à toute organisation de désigner un responsable de la protection des renseignements personnels (RPRP). Par défaut, c'est la personne ayant la plus haute autorité au sein de l'organisme. Cette fonction peut être déléguée par écrit à un membre de la direction.

Pour une université ou un cégep, la désignation d'un RPRP est obligatoire — sans exception liée à la taille de l'établissement. La CAI exige que les coordonnées du RPRP soient publiées sur le site Web de l'organisation.

RPRP interne ou externe ?

Les deux options sont légitimes. Un RPRP interne connaît mieux les processus de l'établissement mais risque le conflit d'intérêts s'il cumule avec une fonction décisionnelle (direction des TI, direction juridique). Un consultant externe apporte une expertise spécialisée et une indépendance garantie, mais nécessite un temps d'acculturation aux spécificités de l'enseignement supérieur québécois.

Le RPRP doit avoir accès direct à la direction, disposer de moyens suffisants (budget, temps, outils), et superviser les évaluations des facteurs relatifs à la vie privée (EFVP).

L'IA Act européen et ses implications pour les établissements québécois

Pourquoi un règlement européen concerne-t-il le Québec ?

L'IA Act européen (Règlement 2024/1689) a une portée extraterritoriale : il s'applique à tout système d'IA utilisé au sein de l'Union européenne, même si le fournisseur est situé hors UE. Un établissement québécois qui recrute des étudiants européens ou qui utilise un outil développé en Europe est potentiellement concerné. De plus, le gouvernement du Québec travaille sur son propre encadrement de l'IA, et l'IA Act sert de modèle de référence.

Classification des systèmes IA dans l'éducation

Risque élevé (Annexe III) — Les systèmes d'IA utilisés pour l'admission, l'évaluation des candidatures, ou la notation automatisée des examens sont classés à haut risque. Ils exigent :

  • Un système de gestion des risques documenté
  • Des jeux de données d'entraînement de qualité, représentatifs et sans biais
  • Une supervision humaine effective (l'IA recommande, l'humain décide)
  • Une transparence complète envers les personnes concernées
  • Un enregistrement dans la base de données européenne des systèmes IA à haut risque

Risque limité — Les agents conversationnels d'information pré-admission relèvent du risque limité. L'obligation principale est la transparence : le prospect doit savoir qu'il interagit avec une IA. Pas d'évaluation de conformité, pas d'enregistrement, mais une obligation d'information claire.

Calendrier d'entrée en application

L'IA Act entre en application progressivement. Les interdictions concernant les systèmes à risque inacceptable sont effectives depuis février 2025. Les obligations pour les systèmes à haut risque s'appliquent pleinement à partir d'août 2026. Les établissements québécois qui utilisent des outils d'IA pour le tri des candidatures doivent se préparer dès maintenant.

Le cadre réglementaire québécois et canadien

Québec — CAI et Loi 25

La CAI (Commission d'accès à l'information du Québec) est l'autorité de contrôle québécoise. La Loi 25 impose des obligations spécifiques :

  • Désignation obligatoire d'un RPRP avec publication des coordonnées sur le site Web
  • Évaluation des facteurs relatifs à la vie privée (EFVP) obligatoire avant tout projet impliquant des renseignements personnels
  • Registre des incidents de confidentialité obligatoire, avec signalement à la CAI dans les 72 heures pour les incidents à risque sérieux
  • Droit à la portabilité des renseignements en format structuré (depuis septembre 2024)
  • Politique de confidentialité publiée en termes simples et clairs sur le site Web

Canada fédéral — LPRPDE

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s'applique aux organisations du secteur privé fédéral. Au Québec, la LPRPSP est reconnue comme essentiellement similaire à la LPRPDE, ce qui signifie que la conformité à la loi québécoise couvre généralement les obligations fédérales pour les activités intra-provinciales. Pour le recrutement interprovincial ou international, la LPRPDE s'applique en complément.

Comparaison avec le Loi 25 européen

Plusieurs universités québécoises recrutent activement en Europe. Pour ces établissements, le Loi 25 s'applique en parallèle de la Loi 25. Les principaux écarts à surveiller : le Loi 25 prévoit six bases légales (contre le consentement comme base principale au Québec), les délais de réponse diffèrent (30 jours Québec vs 1 mois Loi 25), et les sanctions maximales sont différentes (25 M$ ou 4 % au Québec vs 20 M CAD ou 4 % pour le Loi 25).

Sécurité des données : mesures techniques et organisationnelles

Le principe de minimisation

La LPRPSP impose de ne collecter que les renseignements nécessaires à la finalité déclarée. Pour un agent conversationnel, cela signifie : ne pas exiger le nom, le courriel ou le numéro de cellulaire pour répondre à une question sur les programmes. La collecte d'identifiants ne se justifie que lorsque le prospect souhaite être recontacté.

Mesures techniques indispensables

  • Chiffrement — En transit (TLS 1.3) et au repos (AES-256) pour tous les renseignements personnels
  • Hébergement au Canada — Serveurs au Canada, conformément aux recommandations de la CAI sur la localisation des données. La Loi 25 exige une évaluation des facteurs relatifs à la vie privée avant tout transfert hors Québec
  • Pseudonymisation — Séparation des identifiants directs et des données comportementales
  • Journalisation des accès — Traçabilité de qui accède à quels renseignements, quand
  • Sauvegardes chiffrées — Avec test de restauration régulier
  • Suppression automatisée — Purge des données au-delà de la durée de conservation définie

Évaluation des facteurs relatifs à la vie privée (EFVP)

La Loi 25 exige une EFVP avant tout projet impliquant la collecte, l'utilisation ou la communication de renseignements personnels. Pour un établissement, cela concerne :

  • Le déploiement d'un agent conversationnel IA collectant des renseignements personnels
  • L'utilisation d'outils d'IA pour l'évaluation des candidatures
  • La vidéosurveillance du campus
  • Le profilage des prospects à des fins marketing

L'EFVP doit décrire le traitement, évaluer sa nécessité et sa proportionnalité, identifier les risques, et proposer des mesures d'atténuation. La CAI peut exiger la communication de l'EFVP à tout moment.

FAQ

Un agent conversationnel IA est-il conforme à la Loi 25 ?

Oui, à condition de respecter quatre obligations : informer le prospect qu'il interagit avec une IA (transparence), ne collecter que les renseignements strictement nécessaires (minimisation), proposer un accès, une rectification et une suppression faciles (droits des personnes), et héberger les données au Canada. Un agent conversationnel conforme informe avant de collecter, et ne conditionne pas l'accès à l'information à la fourniture de renseignements personnels.

Combien de temps peut-on conserver les données d'un prospect non inscrit ?

La CAI recommande de ne pas conserver les renseignements personnels au-delà du temps nécessaire à la finalité de la collecte. Pour un prospect qui n'a jamais donné suite : suppression après la fin du cycle de recrutement en cours (12 mois maximum est une pratique courante). Pour un candidat dont le dossier a été refusé : conservation du dossier pendant 1 an (contentieux éventuel), puis suppression. Ces durées doivent figurer dans la politique de confidentialité de l'établissement.

L'IA Act interdit-il l'utilisation de l'IA pour les admissions ?

Non. L'IA Act européen ne l'interdit pas, mais la classe comme système à haut risque (Annexe III). Pour les établissements québécois qui recrutent en Europe, cela impose des obligations renforcées : gestion des risques, qualité des données d'entraînement, supervision humaine effective, transparence envers les candidats, et enregistrement. L'IA peut recommander, mais la décision finale d'admission doit rester humaine — un principe que la Loi 25 renforce également au Québec.

Faut-il désigner un RPRP dans un cégep de 500 étudiants ?

Oui. La Loi 25 rend la désignation d'un responsable de la protection des renseignements personnels obligatoire pour toute organisation, sans seuil minimal. Le RPRP peut être mutualisé entre plusieurs établissements ou externalisé, mais ses coordonnées doivent être publiées sur le site Web de l'établissement.

Comment gérer une demande de suppression d'un étudiant diplômé ?

La suppression ne peut pas être totale : l'établissement a l'obligation légale de conserver les preuves de délivrance du diplôme (baccalauréat, maîtrise, DEC). Les données financières sont soumises à des durées de conservation comptable et fiscale (6 ans au Québec selon la Loi sur l'administration fiscale). En revanche, les données de vie campus, de navigation, et de communication marketing doivent être supprimées. Documentez la réponse par écrit en détaillant les renseignements supprimés et ceux conservés avec leur base légale.

La conformité à la Loi 25 n'est pas un projet ponctuel. C'est un processus continu qui touche chaque service de votre établissement — admissions, registrariat, marketing, TI, direction. Les établissements qui l'intègrent dès la conception de leurs outils (protection de la vie privée par défaut) protègent leurs étudiants et se protègent eux-mêmes.

Pour comprendre comment l'IA Act modifie spécifiquement les obligations des établissements, consultez notre article sur l'IA Act et l'enseignement supérieur. Pour les mesures techniques de protection, découvrez notre guide sur la protection des données des prospects.

Articles similaires

Illustration chatbot IA Loi 25 collecte de données université québécoise, conformité CAI 2026
Conformité

Chatbot IA et Loi 25 : quelles données peut-on collecter dans un établissement d'enseignement supérieur au Québec ?

Illustration isométrique du processus de demande de suppression de données selon la Loi 25, avec bouclier et icônes de documents pour un établissement québécois
Conformité

Droit à l'effacement au Québec : que faire quand un prospect demande la suppression de ses données

Audit Loi 25 pour école supérieure : checklist en 20 points
Conformité

Audit Loi 25 pour école supérieure : checklist en 20 points

Guide opérationnel de protection des données prospects étudiants au Québec
Conformité

Protéger les données de vos prospects étudiants : guide Loi 25 opérationnel

Illustration bandeau consentement cookies RGPD école sur un site d'inscription étudiante, formulaires JPO et chatbot IA
Conformité

Consentement cookies et formulaires d'école : guide RGPD 2026

Retour au blog

RGPD · IA Act · Hébergement UE

skolbot.

SolutionTarifsBlogÉtudes de casComparatifAI CheckFAQÉquipeMentions légalesPolitique de confidentialité

© 2026 Skolbot