Tous les articles
conformitequebecloi-25vie-privee

La Loi 25 du Québec pour les tuteurs en ligne : ce que vous devez vraiment faire

Une liste de vérification en langage clair pour les tuteurs indépendants soumis à la Loi 25 du Québec — consentement, minimisation des données, stockage hors frontières, portabilité et suppression.

Par Équipe Classentra

Si vous êtes un tuteur, un coach ou un enseignant indépendant qui exerce à partir du Québec — ou qui sert des élèves résidant au Québec — la Loi 25 s'applique à vous. Peu importe que vous soyez une entreprise individuelle sans service RH et sans équipe juridique. La loi ne prévoit pas d'exemption pour les petites entreprises en matière de protection des renseignements personnels.

Cet article ne constitue pas un avis juridique. C'est une liste de vérification pratique de ce qui compte réellement pour une entreprise de tutorat à une personne soumise à la Loi 25 (formellement, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels).

Qu'est-ce que la Loi 25 au juste

La Loi 25 est la loi québécoise sur la vie privée dans le secteur privé. Elle a modernisé la Loi sur la protection des renseignements personnels dans le secteur privé et a été déployée en trois phases (2022, 2023, 2024). Depuis 2024, elle est pleinement en vigueur.

Pour une entreprise de tutorat, le régulateur qui vous concerne est la Commission d'accès à l'information du Québec (CAI).

Les six obligations qui vous concernent vraiment

S'il fallait résumer la Loi 25 pour un tuteur indépendant en quelques points, voici ceux qui s'appliquent concrètement :

  1. Désigner une personne responsable de la protection des renseignements personnels. Dans une entreprise individuelle, cette personne, c'est vous. Publiez ses coordonnées (les vôtres) sur votre site Web et dans toute entente avec les élèves ou les parents.
  2. Obtenir un consentement spécifique, éclairé et granulaire avant de recueillir des renseignements personnels. Les conditions globales du type « j'accepte tout » sont exclues. Le consentement au service principal (animer les cours) est distinct du consentement au marketing (futures infolettres).
  3. Minimiser ce que vous recueillez. Ne demandez pas l'adresse postale si un courriel suffit. Ne conservez pas les devoirs des années précédentes « au cas où ».
  4. Déclarer les transferts hors frontières. Si des données quittent le Canada — y compris en se trouvant dans un nuage basé aux États-Unis —, vous devez (a) effectuer une évaluation des facteurs relatifs à la vie privée, et (b) en informer l'élève (ou le parent).
  5. Répondre aux demandes d'accès, de portabilité et de suppression dans les 30 jours suivant leur réception. La portabilité signifie précisément fournir les données dans un format structuré, couramment utilisé et technologique. JSON, CSV, PDF conviennent tous.
  6. Signaler les incidents de confidentialité à la CAI et aux personnes concernées s'il existe un risque de préjudice sérieux. Tenez un registre d'incidents même lorsque vous n'avez pas à notifier.

Ce que cela donne en pratique

Consentement

Votre parcours d'inscription (ou votre formulaire d'accueil) doit comporter des cases à cocher distinctes :

  • Une pour la prestation du service : « Je consens à ce que Classentra / mon tuteur recueille les renseignements nécessaires pour animer mes séances. »
  • Une pour le marketing : « Je consens à recevoir des courriels occasionnels au sujet de nouveaux cours et de nouveautés. » (décochée par défaut).
  • Une pour le partage de données avec des tiers s'il y a lieu : analytique, fournisseur vidéo, etc.

Consignez l'horodatage et l'adresse IP de chaque consentement. Vous devrez pouvoir le prouver si on vous le demande.

Minimisation

Ne recueillez pas la date de naissance à moins qu'un type de séance l'exige. Ne recueillez pas d'adresses pour un tutorat exclusivement en ligne. N'archivez pas les conversations d'élèves qui ont annulé il y a deux ans — supprimez-les selon un calendrier.

Transferts hors frontières

Si vous utilisez une plateforme vidéo basée aux États-Unis, un fournisseur de courriel basé aux États-Unis ou un service d'entreposage de fichiers basé aux États-Unis, vos données franchissent la frontière. Vous devez :

  • L'indiquer clairement dans votre politique de confidentialité.
  • Réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) à l'interne. Pour une entreprise individuelle, c'est un document d'une page ; il doit tout de même exister.
  • Vous assurer que le fournisseur offre une protection équivalente à celle exigée par la loi québécoise — c'est la clause qui importe.

Portabilité et suppression

Si un parent vous écrit pour demander le dossier de son enfant, vous avez 30 jours. Développez le réflexe dès maintenant : pouvez-vous, aujourd'hui, exporter tout ce que vous détenez sur un élève donné dans une seule archive ZIP en quelques minutes ? Sinon, vous êtes à une seule demande de vous retrouver hors conformité.

Classentra livre cette fonction comme un bouton libre-service dans les paramètres de compte : l'élève (ou son parent) clique sur Exporter mes données et reçoit un fichier ZIP contenant chaque séance, message, matériel, travail, note et notification. La suppression est un bouton distinct à la même page, et l'effacement se propage dans le système en moins de 24 heures.

Si vous bâtissez votre propre solution, il vous faut l'équivalent. Un courriel du type « on vous revient » n'est pas une stratégie de conformité.

Ce que vous pouvez laisser de côté (en tant que tuteur indépendant)

Ces parties de la Loi 25 existent mais s'appliquent peu à l'échelle d'une seule personne :

  • Les divulgations sur la prise de décision automatisée. Applicables seulement si vous utilisez un système d'IA qui prend une décision sur un élève sans intervention humaine (p. ex. notation automatique qui affecte son statut). Pour un tuteur avec intervention humaine, cela ne s'applique pas.
  • La nomination d'un responsable distinct de vous. Le « responsable » d'une entreprise individuelle, c'est le propriétaire. Aucune deuxième personne requise.
  • Une EFVP écrite obligatoire pour chaque fournisseur. C'est une bonne pratique, mais les orientations de la CAI visent les transferts importants. Une note interne d'une page par fournisseur majeur est le plancher réaliste.

L'essentiel

La Loi 25 n'est pas facultative et elle n'est pas effrayante. Le vrai travail, c'est :

  • Une politique de confidentialité qui reflète la réalité, pas un gabarit.
  • Un parcours d'accueil avec un consentement granulaire et consigné.
  • Une personne responsable nommée (vous), joignable.
  • Un processus — même manuel — pour répondre aux demandes d'accès, de portabilité ou de suppression dans les 30 jours.
  • Un registre d'incidents.

Si vous choisissez une plateforme, choisissez-en une bâtie au Canada ou une qui vous donne les outils pour respecter ces obligations sans travail juridique supplémentaire. Pour voir à quoi cela ressemble en pratique, essayez Classentra — la conformité à la Loi 25 y est intégrée.