Loi 25 pour les écoles privées, CPE et garderies du Québec : données d'enfants

Les données personnelles des enfants bénéficient d'une protection renforcée dans la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (L.Q. 2021, c. 25). Pour les écoles privées, les centres de la petite enfance (CPE), les garderies et les services de garde en milieu scolaire, cette réalité crée des obligations concrètes que beaucoup d'établissements n'ont pas encore pleinement intégrées.

Ce guide vous explique comment la Loi 25 s'applique à votre établissement, quelles sont vos obligations spécifiques liées aux données d'enfants, et comment vous mettre en conformité de façon pragmatique.

Pourquoi les données d'enfants sont soumises à des obligations renforcées

Les mineurs, une catégorie vulnérable au sens de la Loi 25

La Loi 25 ne crée pas de catégorie juridique explicite pour les mineurs dans son texte — mais elle s'appuie sur les principes généraux de protection qui s'appliquent avec plus de rigueur lorsque les personnes concernées sont en situation de vulnérabilité. Les enfants, incapables de comprendre ou d'exercer pleinement leurs droits, sont considérés comme une population nécessitant une vigilance accrue.

La Commission d'accès à l'information (CAI) a été claire dans ses lignes directrices : la collecte de renseignements personnels concernant des mineurs doit être traitée avec une prudence particulière, les consentements doivent être recueillis auprès des titulaires de l'autorité parentale, et la transparence envers les parents est une obligation fondamentale.

Les catégories de données collectées dans votre établissement

Un CPE ou une école privée collecte une quantité considérable de renseignements personnels :

• Données d'identification de l'enfant : nom, date de naissance, adresse, code d'identification
• Données de santé : allergies, conditions médicales, médicaments, contacts d'urgence
• Données familiales : coordonnées des parents, modalités de garde, situations judiciaires relatives à la garde
• Données comportementales et pédagogiques : notes, évaluations, rapports d'incident, dossiers d'adaptation scolaire
• Données biométriques : photos, vidéos (activités scolaires, spectacles, communications avec les parents)
• Données de présence : heures d'arrivée et de départ, absences, sorties autorisées

Chacune de ces catégories est soumise aux obligations de la Loi 25. Les données de santé et les données biométriques (photos, vidéos) sont considérées comme particulièrement sensibles.

Photos de classe et de l'établissement : les règles

Le consentement parental est obligatoire

Toute photo ou vidéo où un enfant est identifiable constitue une donnée biométrique ou un renseignement personnel au sens de la Loi 25. Pour publier, partager ou même conserver de telles images, vous devez disposer d'un consentement écrit, explicite et éclairé de chaque titulaire de l'autorité parentale concerné.

Ce consentement doit :

• Identifier précisément les finalités : photos sur le site web de l'école, réseaux sociaux de l'établissement, albums annuels, communications internes aux parents, etc.
• Permettre au parent de donner un consentement partiel (accepter les photos dans les albums internes, refuser les publications sur les réseaux sociaux)
• Être révocable à tout moment et expliquer comment exercer ce droit
• Être conservé dans votre dossier de conformité

Les albums en ligne et les applications parents

De nombreux établissements utilisent des plateformes numériques pour partager des photos avec les parents (Kinderpolis, Storypark, Famly, ou des groupes WhatsApp). Ces outils créent des risques spécifiques :

• Les plateformes américaines ou européennes transfèrent les données hors Québec — ce qui déclenche les obligations de l'article 17 de la Loi 25 (accord écrit, évaluation de la protection adéquate)
• Les groupes WhatsApp ne sont pas une solution de communication sécurisée pour des données d'enfants — les messages peuvent être lus par Meta, les numéros des parents sont visibles de tous les membres, et il n'existe pas de contrôle d'accès par rôle
• Les parents qui reçoivent des photos dans un groupe de classe peuvent les redistribuer, créant un flux incontrôlable d'images d'enfants

Les formulaires d'inscription et d'admission

Ce que vous devez obligatoirement indiquer

Votre formulaire d'inscription — qu'il soit papier ou en ligne — collecte des données parmi les plus sensibles qui soient : état de santé de l'enfant, informations sur la famille, parfois des informations judiciaires (ordonnances de garde). Chaque formulaire doit s'accompagner d'une notice claire expliquant :

• Pourquoi chaque information est demandée (finalité précise, pas vague)
• Qui y aura accès au sein de l'établissement (éducateurs, direction, personnel médical)
• Si ces informations sont partagées avec des tiers (services gouvernementaux, fournisseurs de services, autres établissements)
• Comment les parents peuvent accéder aux informations de leur enfant, les corriger ou demander leur suppression

La conservation des dossiers : obligations légales vs obligations Loi 25

La législation éducative québécoise impose des durées minimales de conservation pour les dossiers scolaires. La Loi 25 ne remplace pas ces obligations — mais elle impose de ne pas conserver les données au-delà de ce qui est nécessaire une fois les délais légaux écoulés. Votre politique de conservation des données doit être documentée et mise à jour régulièrement.

Les applications de communication avec les parents

Communiquer avec les parents via des outils numériques est devenu une norme. Mais ces outils traitent des renseignements personnels et doivent être choisis et configurés en conséquence.

Critères pour choisir une application conforme

• Localisation des serveurs : préférer les plateformes hébergées au Canada ou en Europe (avec DPA conforme)
• Chiffrement des communications : les messages et photos doivent être chiffrés en transit et au repos
• Gestion des accès : les éducateurs ne doivent voir que les enfants de leur groupe, les parents ne doivent voir que les informations concernant leur propre enfant
• Politique de conservation : l'application doit permettre de définir des durées de conservation ou de supprimer les données à la fin de l'année scolaire
• Accord de traitement disponible : le fournisseur doit pouvoir vous fournir un accord écrit adapté à la Loi 25

Votre site web : les obligations spécifiques aux établissements scolaires

Le site web d'une école privée ou d'un CPE contient souvent des informations qui concernent indirectement des enfants : galeries photos de classe, reportages vidéo sur des activités, témoignages d'élèves ou de parents. Ces contenus sont soumis à la Loi 25 de la même façon que tout autre renseignement personnel.

En pratique, votre site doit :

• Avoir une bannière de cookies conforme (si vous utilisez Google Analytics, YouTube pour les vidéos intégrées, ou des pixels de réseaux sociaux)
• Avoir une politique de confidentialité à jour qui couvre spécifiquement la collecte de données via le site
• Ne pas publier de photos d'enfants identifiables sans les consentements parentaux correspondants, archivés
• Désigner un responsable de la protection des renseignements personnels et le rendre visible sur le site

Les 5 actions prioritaires pour votre établissement

1. Révisez vos formulaires d'inscription. Ajoutez les mentions légales obligatoires et vérifiez que vous ne collectez que ce qui est strictement nécessaire.
2. Mettez à jour votre politique de consentement photo. Créez un formulaire de consentement photo distinct, précis, et incluez l'option de refus partiel. Archivez tous les consentements.
3. Évaluez vos applications de communication. Pour chaque outil utilisé pour communiquer avec les parents, vérifiez la localisation des serveurs, obtenez le DPA, et documentez l'évaluation.
4. Nommez et publiez votre responsable de la protection. C'est obligatoire depuis septembre 2022 — et beaucoup d'établissements ne l'ont pas encore fait.
5. Auditez votre site web. Bannière de cookies, politique de confidentialité, photos d'enfants sans consentement archivé : ce sont les premiers points que vérifie la CAI.