ChatGPT
Claude
Perplexity
Gemini
GrokPourquoi les cégeps et universités québécois communiquent des renseignements personnels hors Québec sans toujours le réaliser
Chaque fois qu'un étudiant ou prospectus remplit un formulaire sur le site d'un cégep ou d'une université québécoise, que l'équipe des admissions enregistre une candidature dans un CRM hébergé aux États-Unis, ou que l'établissement envoie une infolettre via une plateforme américaine, des renseignements personnels sont communiqués à un tiers situé hors du Québec.
Ce constat s'applique à la quasi-totalité des établissements d'enseignement supérieur québécois. La différence, depuis le 22 septembre 2023, c'est que la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) impose des obligations concrètes avant toute communication hors Québec — peu importe que le destinataire soit aux États-Unis, en France ou en Allemagne.
Plus de 60 % des outils SaaS utilisés en admissions et marketing dans les établissements québécois ont leurs serveurs aux États-Unis (estimation basée sur l'analyse des contrats d'un panel de 15 cégeps et universités, 2025). La Loi 25 s'applique à ces communications dès lors que des renseignements personnels de résidents québécois sont en jeu — sans exception pour les prestataires « bien connus » ou pour les usages courants.
Le cadre juridique : Loi 25 et LPRPDE
La Loi 25 : le régime québécois, distinct du RGPD européen
La Loi 25 est la loi québécoise sur la protection des renseignements personnels dans le secteur privé, telle que modernisée en 2021 et entrée entièrement en vigueur le 22 septembre 2023. Elle s'applique à tout organisme qui détient des renseignements personnels sur des résidents québécois — y compris les établissements privés d'enseignement supérieur.
La Loi 25 n'est pas une transposition du RGPD européen. C'est une loi autonome avec ses propres mécanismes, ses propres obligations et son propre régulateur. Utiliser des processus pensés pour le RGPD européen sans adaptation québécoise est une erreur fréquente qui peut laisser des lacunes importantes.
L'obligation centrale pour les communications à l'étranger se trouve à l'article 17 : avant de communiquer des renseignements personnels à l'extérieur du Québec, tout organisme doit effectuer une Évaluation des facteurs relatifs à la vie privée (ÉFVP). Cette évaluation doit analyser :
- La sensibilité des renseignements personnels communiqués
- Les fins pour lesquelles ils seront utilisés par le destinataire
- Les mesures de protection disponibles dans le pays du destinataire
- Les engagements contractuels que le destinataire peut prendre pour protéger les renseignements
Si l'ÉFVP conclut que les renseignements ne bénéficieront pas d'une protection adéquate, des mesures supplémentaires doivent être mises en place avant de procéder à la communication.
Il n'existe pas de liste de pays « adéquats » au sens de la Loi 25. Même les États-Unis, la France ou l'Allemagne requièrent une ÉFVP avant que des renseignements personnels de résidents québécois ne leur soient communiqués.
Autres obligations clés de la Loi 25 pour les établissements :
- Responsable de la protection des renseignements personnels (art. 3.1) : tout organisme doit désigner une personne responsable et publier ses coordonnées sur son site web
- Confidentialité dès la conception (art. 3.3) : toute technologie ou tout système traitant des renseignements personnels doit intégrer des mesures de protection dès sa conception
- Politique de gouvernance (art. 3.2) : adopter et publier une politique encadrant la gouvernance des renseignements personnels
La Commission d'accès à l'information (CAI) supervise l'application de la Loi 25. Les sanctions administratives pécuniaires peuvent atteindre 25 millions de dollars CAD ou 4 % du chiffre d'affaires mondial, selon le montant le plus élevé — un régime plus sévère en valeur absolue que le RGPD européen pour la plupart des organisations.
La LPRPDE : le régime fédéral complémentaire
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s'applique aux activités commerciales qui traversent des frontières provinciales ou nationales. Pour un cégep ou une université québécoise qui envoie des communications promotionnelles à des résidents d'autres provinces, la LPRPDE peut s'appliquer en parallèle de la Loi 25.
Sous la LPRPDE, la règle pour les communications internationales est celle de la protection comparable : l'organisation doit recourir à des moyens contractuels pour assurer une protection comparable à la LPRPDE chez le destinataire étranger, et elle demeure responsable des renseignements communiqués. Le Commissariat à la protection de la vie privée du Canada (CPVP) supervise la LPRPDE au niveau fédéral.
L'ÉFVP en pratique : ce qu'elle implique pour un cégep ou une université
L'ÉFVP n'est pas un formulaire de vérification rapide. C'est une analyse documentée et datée qui doit être conservée et révisée périodiquement. Pour un cégep qui utilise Salesforce pour son CRM d'admissions, une ÉFVP type couvre :
1. Identification du flux de renseignements. Quels renseignements sont communiqués (nom, courriel, numéro de téléphone, programme d'intérêt, historique des interactions), vers quel destinataire (Salesforce, Inc., San Francisco, Californie), pour quelles fins (gestion des candidatures, suivi des prospectes, campagnes de relance).
2. Analyse du cadre juridique du pays destinataire. La CAI considère généralement que les États-Unis n'offrent pas une protection comparable à la Loi 25 sans mesures contractuelles supplémentaires, notamment en raison de l'accès possible des autorités américaines aux données hébergées sur le territoire américain.
3. Garanties contractuelles. Vérification des clauses du contrat avec Salesforce : limitation des finalités de traitement, mesures de sécurité techniques et organisationnelles, obligation de notification en cas d'incident, engagement de suppression des renseignements au terme du contrat ou sur demande.
4. Conclusion et décision documentée. L'ÉFVP documente la décision de procéder à la communication, les mesures compensatoires mises en place, et la date de la prochaine révision.
Outils courants dans les établissements québécois : état de conformité Loi 25
| Outil | Renseignements traités | ÉFVP requise | Clauses contractuelles Loi 25 | Hébergement Canada/Québec disponible |
|---|---|---|---|---|
| Google Workspace for Education | Courriel, Drive, Meet, formulaires | Oui — serveurs hors QC par défaut | Disponible (DPA Google — vérifier addenda Loi 25) | Oui (région Canada disponible) |
| Microsoft 365 / Teams | Courriel, SharePoint, Teams | Oui | Disponible (OST + clauses supplémentaires) | Oui (centre de données Canada) |
| Zoom | Appels vidéo, enregistrements | Oui | Disponible | Non par défaut — option résidence à activer |
| Salesforce (CRM) | Pipeline admissions, prospectes | Oui | Disponible | Oui (instance Canada disponible) |
| HubSpot | Marketing, infolettres | Oui | Disponible | Non (États-Unis par défaut) |
| Mailchimp | Infolettres de masse | Oui | Limité — envisager Brevo (serveurs UE) | Non |
| Plateformes SRAM / SRACQ | Admissions aux cégeps | Non — traitement au Québec | N/A — système québécois | Oui |
| Skolbot | Chatbot prospectes | Non — hébergement UE/CA | N/A | Oui |
Note sur les plateformes SRAM et SRACQ : le Service régional d'admission du Montréal métropolitain (SRAM) et le Service régional d'admission au collégial de Québec (SRACQ) sont des organismes québécois dont les systèmes d'information sont hébergés au Québec. Les candidatures déposées via SRAM ou SRACQ ne déclenchent pas l'obligation d'ÉFVP. En revanche, si votre établissement intègre les données SRAM dans un CRM américain, cette intégration constitue bien une communication hors Québec soumise à l'article 17 de la Loi 25.
Recrutement international et Loi 25 : une subtilité importante
La Loi 25 protège les renseignements personnels des résidents québécois — pas l'ensemble des personnes dans le monde. Cela signifie que les renseignements d'un étudiant résidant en France ou au Mexique qui postule à HEC Montréal ne tombent pas directement sous la Loi 25 (il n'est pas résident québécois). Cependant, si ces renseignements sont traités dans les mêmes systèmes que ceux des résidents québécois — le même CRM Salesforce, le même outil de marketing — la communication hors Québec de l'ensemble du flux CRM est soumise à l'ÉFVP.
Pour les établissements qui recrutent activement en Europe, le RGPD européen peut également s'appliquer si l'établissement cible des résidents de l'UE. L'entente France-Québec facilite la mobilité étudiante et accorde des droits de scolarité équivalents aux étudiants français — elle ne dispense pas des obligations RGPD pour le traitement des renseignements de candidats résidant en France.
Plan d'action en 90 jours
Jours 1 à 30 : inventaire et cartographie
Listez tous les outils SaaS utilisés dans votre établissement qui traitent des renseignements personnels. Pour chacun : identifiez le pays d'hébergement des serveurs, vérifiez l'existence d'un contrat de service incluant des clauses de confidentialité conformes à la Loi 25, et déterminez si une ÉFVP a déjà été réalisée.
Résultat attendu : un registre des prestataires avec statut Loi 25 (ÉFVP existante, ÉFVP à compléter, traitement intra-Québec) — la base documentaire pour toute éventuelle vérification par la CAI.
Jours 31 à 60 : ÉFVP et mise à jour des contrats
Pour chaque prestataire hors Québec sans ÉFVP documentée, réalisez l'évaluation. La plupart des grands prestataires (Google, Microsoft, Salesforce, Zoom) ont publié de la documentation spécifique à la Loi 25 pour faciliter l'ÉFVP. Mettez à jour les contrats avec les fournisseurs pour inclure les clauses requises par l'article 17 Loi 25 : limitation des finalités, mesures de sécurité, notification des incidents de confidentialité, suppression des renseignements sur demande.
Jours 61 à 90 : gouvernance et formation
Désignez votre Responsable de la protection des renseignements personnels et publiez ses coordonnées sur votre site web — la Loi 25 l'exige. Adoptez et publiez votre politique de gouvernance des renseignements personnels. Formez les équipes d'admissions et de marketing aux droits des personnes sous la Loi 25 : droit d'accès, rectification, retrait du consentement, désinscription — et aux délais de réponse applicables (30 jours pour la plupart des demandes).
Un point souvent omis dans les établissements québécois : les stages coopératifs (COOP). Si des renseignements sur des étudiants sont partagés avec des employeurs situés hors Québec dans le cadre d'un programme coopératif, ces communications doivent également être couvertes par une ÉFVP et des clauses contractuelles appropriées.
FAQ
La Loi 25 s'applique-t-elle aux universités anglophones comme McGill et Concordia ?
Oui. La Loi 25 s'applique à tout organisme qui détient des renseignements personnels sur des résidents québécois, indépendamment de la langue d'enseignement ou de la structure juridique. McGill, Concordia, l'Université Bishop's et tous les cégeps anglophones au Québec sont soumis aux mêmes obligations que les établissements francophones.
Doit-on réaliser une ÉFVP distincte pour chaque mise à jour d'un outil existant ?
Pas systématiquement. L'ÉFVP est requise avant une nouvelle communication hors Québec. Pour un outil déjà en place avec une ÉFVP documentée, une révision est nécessaire si : les catégories de renseignements communiqués changent, le pays de destination change, ou les pratiques du prestataire changent de manière significative. Une révision annuelle de vos ÉFVP existantes est une bonne pratique, particulièrement pour les outils à fort volume comme le CRM d'admissions.
Quelle est la différence entre la Loi 25 et le RGPD européen pour un établissement québécois ?
La Loi 25 est une loi québécoise qui protège les résidents québécois. Le RGPD est un règlement européen qui protège les résidents de l'UE. Les deux peuvent s'appliquer simultanément si votre établissement recrute des résidents européens. Différences principales : la Loi 25 impose une ÉFVP pour toute communication hors Québec sans liste de pays « adéquats », alors que le RGPD reconnaît des pays adéquats (dont le Canada pour les flux UE → Canada). La Loi 25 parle de « Responsable de la protection des renseignements personnels » — pas de DPO — et les pénalités maximales de la Loi 25 ($25M CAD ou 4 % du CA mondial) dépassent en valeur absolue les seuils du RGPD pour la plupart des organisations.
Quelles sont les sanctions en cas de non-conformité à la Loi 25 pour une communication hors Québec ?
La CAI peut imposer des sanctions administratives pécuniaires allant jusqu'à 25 millions de dollars CAD ou 4 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé, pour les manquements graves — dont le défaut d'ÉFVP avant communication hors Québec et le défaut de clauses contractuelles adéquates avec les prestataires. Des sanctions pénales peuvent s'ajouter pour les infractions intentionnelles. La CAI a rendu ses premières décisions sanctionnatrices en 2024 ; la jurisprudence est en cours de construction et son orientation est activement surveillée par les directions juridiques des établissements d'enseignement supérieur québécois.
La Loi 25 représente un changement structurel pour les cégeps et universités québécois qui géraient jusqu'ici leurs obligations de protection de la vie privée sous la LPRPDE. L'obligation d'ÉFVP avant toute communication hors Québec est la plus opérationnellement significative — et la moins bien documentée dans les pratiques actuelles de la majorité des établissements. L'approche en 90 jours présentée ici permet d'atteindre un niveau de documentation défendable devant la CAI sans bloquer les opérations d'admissions ou de marketing.
Testez Skolbot sur votre cégep ou université — 30 secondes, sans engagementÀ lire aussi : Guide RGPD et données étudiantes · Recruter plus d'étudiants dans l'enseignement supérieur
