Loi 25 et écoles primaires au Québec : le guide enseignant 2026

La Loi 25 oblige les écoles à protéger les renseignements personnels des élèves selon 10 exigences précises. Voici ce que ça change concrètement dans votre classe. Ce guide est à jour avec la troisième phase, en vigueur depuis le 22 septembre 2024, qui a introduit les obligations les plus importantes pour les enseignant·e·s du primaire.

Qu'est-ce que la Loi 25 ?

La Loi 25 est le nom populaire de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, anciennement le projet de loi 64. L'Assemblée nationale du Québec l'a adoptée à l'unanimité le 21 septembre 2021 ^[1]. Elle a mis à jour plusieurs lois québécoises qui existaient déjà, notamment la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (P-39.1), qui s'applique aux centres de services scolaires.

L'organisme qui en surveille l'application est la Commission d'accès à l'information du Québec (CAI) ^[2]. C'est elle qui reçoit les déclarations d'incidents, qui peut imposer des sanctions, et qui publie les lignes directrices pour les organismes du secteur public.

Les échéances en trois phases (2022-2024)

La Loi 25 n'est pas entrée en vigueur d'un seul coup. Elle est entrée en vigueur en trois étapes :

Depuis le 22 septembre 2024, toutes les obligations de la Loi 25 sont pleinement en vigueur. Il n'y a plus de période de grâce.

Les 10 obligations concrètes pour votre école

Voici les dix obligations que votre CSS doit satisfaire, traduites en gestes concrets. Les deux premières concernent l'administration. Les huit suivantes vous touchent directement ou indirectement comme enseignant·e.

1. Désigner un responsable des renseignements personnels (RPI)
   Votre CSS doit avoir désigné un RPI et publié son nom et ses coordonnées sur son site web. Si vous ne savez pas qui c'est dans votre établissement, c'est la première question à poser à votre direction. Le RPI est la personne à contacter en cas d'incident ou de demande d'un parent.
2. Publier une politique sur la gestion des données personnelles
   Votre CSS doit avoir une règle écrite qui décrit comment les renseignements personnels sont gérés, conservés et détruits. Cette politique doit être accessible au public, généralement sur le site web du CSS.
3. Tenir un registre des incidents de confidentialité
   Chaque incident, même mineur, doit être consigné dans un registre interne. Un incident peut être : une photo d'élève envoyée au mauvais parent, un courriel avec une liste de classe visible par tous les destinataires, un accès non autorisé à un compte de classe numérique.
4. Effectuer une EFVP avant tout nouveau projet technologique
   Avant de commencer à utiliser un nouvel outil numérique qui touche des renseignements personnels d'élèves, votre CSS doit d'abord faire une évaluation des risques pour la vie privée (EFVP). Ce n'est pas votre responsabilité comme enseignant·e, mais si votre CSS n'en a pas fait une pour un outil que vous utilisez, signalez-le par écrit à votre direction.
5. Obtenir un consentement explicite pour chaque type de collecte
   Le consentement doit être clair, libre et éclairé. Pour votre classe : le formulaire de consentement doit nommer l'outil (pas juste « des outils numériques »), décrire ce qui sera collecté, et indiquer qui y aura accès. Un consentement général en début d'année ne suffit plus depuis septembre 2024 pour les collectes de renseignements sensibles.
6. Limiter la collecte au strict nécessaire
   Le principe de minimisation : n'entrez dans un outil numérique que les renseignements qui sont vraiment nécessaires pour la fonction utilisée. Prénom de l'élève ? Nécessaire. Date de naissance ? Généralement non. Numéro de téléphone du parent ? Seulement si l'outil doit envoyer des SMS. Si l'outil vous demande des données inutiles, soit vous ne les entrez pas, soit vous choisissez un autre outil.
7. Détruire les renseignements quand ils ne sont plus nécessaires
   À la fin de l'année scolaire (ou à la fin du mandat de l'élève dans votre classe), les données qui ne servent plus doivent être supprimées ou anonymisées. Cela inclut les comptes de classe dans des applications numériques. Un compte Seesaw ou ClassDojo abandonné avec les données de vos anciens élèves est une violation potentielle de cette obligation.
8. Répondre aux demandes d'accès et de rectification dans les 30 jours
   Un parent peut demander à voir toutes les données que votre école détient sur son enfant, ou en demander la correction. Votre CSS a 30 jours pour répondre. En pratique : si un parent vous fait cette demande directement, redirigez-le vers le RPI de votre CSS. Mais si vous avez créé des comptes dans des applications non approuvées, vous devrez peut-être y répondre vous-même.
9. Déclarer tout incident sérieux à la CAI et aux personnes concernées
   Si un incident de confidentialité présente un risque réel de préjudice pour une personne (par exemple, des données d'élèves accessibles par des inconnus), votre CSS doit le déclarer à la CAI sans délai, et informer les personnes concernées. La CAI recommande de viser 72 heures après la prise de connaissance de l'incident pour la déclaration initiale.
10. Effectuer une EFVP avant tout transfert hors Québec
    Si un outil héberge les données hors du Québec (par exemple, sur des serveurs américains), votre CSS doit avoir effectué une EFVP et conclu que le niveau de protection dans le pays destinataire est adéquat. C'est cette obligation qui crée le plus de friction avec des outils comme Seesaw, ClassDojo, ou même certaines fonctions de Google Workspace.

Quelles sont les sanctions prévues ?

La CAI dispose de deux types de sanctions :

Les centres de services scolaires sont des organismes publics. En pratique, les amendes maximales s'appliquent plutôt aux entreprises privées. Mais les CSS font face à d'autres conséquences : obligation de divulgation publique des incidents, audits de la CAI, et pression politique. Le vrai risque pour votre CSS n'est pas l'amende, c'est d'avoir son nom dans les nouvelles pour un incident impliquant des données d'élèves.

Qu'est-ce que ça change concrètement dans votre classe ?

Le choix de vos outils numériques

Avant d'utiliser un outil numérique avec vos élèves, posez-vous trois questions :

1. Mon CSS a-t-il approuvé cet outil ? (Vérifiez auprès de la direction ou du technicien informatique.)
2. Les données de mes élèves sont-elles hébergées au Canada ? (Vérifiez la politique de confidentialité de l'outil.)
3. Les parents ont-ils donné un consentement explicite pour cet outil spécifique ?

Si vous répondez « oui » aux trois : vous êtes en règle. Si vous répondez « non » ou « je ne sais pas » à l'une de ces questions, signalez-le à votre direction avant de continuer à utiliser l'outil.

La communication avec les parents

Plusieurs outils de communication parents-enseignants populaires (notamment ceux analysés dans notre comparaison documentée de Seesaw, ClassDojo et Google Classroom) posent des questions de conformité. La règle pratique : si l'outil demande l'adresse courriel des parents pour créer un compte, les données de contact des parents sont aussi concernées par la Loi 25, pas seulement celles des élèves.

Les photos et vidéos de classe

Une photo reconnaissable d'un élève dans un contexte scolaire est un renseignement personnel. Cela inclut :

• Les photos publiées sur le site web ou le compte Instagram de l'école
• Les photos envoyées par courriel aux parents dans un bulletin numérique
• Les photos téléversées dans un portfolio numérique partagé
• Les vidéos de spectacles ou de sorties scolaires publiées en ligne

Pour chacun de ces usages, un consentement parental explicite et spécifique est requis. Un formulaire général de début d'année est insuffisant si les usages spécifiques ne sont pas nommés.

Pour aller plus loin

La CAI publie des guides et des lignes directrices spécifiques pour le milieu scolaire. Le guide le plus utile pour les enseignant·e·s est la Série Jeunes et vie privée, disponible sur le site de la CAI ^[3].