Hvad Quebecs lov 25 faktisk kræver

Lov 25 ændrer Quebecs eksisterende privatlivslov for den private sektor (Act Respecting the Protection of Personal Information in the Private Sector) og bringer den tættere på den europæiske GDPR, mens den bevarer tydeligt canadiske karakteristika. De centrale krav, der påvirker udgivere og digitale operatører, er:

• Eksplicit, granulært samtykke inden indsamling eller brug af personoplysninger til ethvert formål ud over det, der oprindeligt er oplyst.
• En udpeget databeskyttelsesansvarlig (som standard den øverst rangerende direktør, medmindre formelt delegeret), hvis navn og kontaktoplysninger skal offentliggøres på webstedet.
• Obligatoriske Privacy Impact Assessments (PIA'er) inden igangsætning af ethvert projekt, der involverer personoplysninger, især grænseoverskridende overførsler eller ny teknologi.
• Brudmeddelelse til Commission d'accès à l'information (CAI) og berørte personer, når bruddet udgør en risiko for alvorlig skade.
• Individuelle rettigheder herunder adgang, berigtigelse, sletning, portabilitet og — unikt — retten til at blive informeret om automatiseret beslutningstagning og til at anmode om menneskelig gennemgang.

Håndhævelsesorganet er Commission d'accès à l'information du Québec (CAI), som har udstedt formelle undersøgelsesmeddelelser til adskillige internationale udgivere og platforme i løbet af 2025. I modsætning til nogle regulatorer har CAI vist vilje til at forfølge ikke-canadiske enheder, der betjener Quebec-borgere.

Cookie-samtykkens særlige krav: strengere end GDPR på nøgleområder

Lov 25 bruger ikke direkte ordet "cookie", men dens definition af teknologi, der identificerer, lokaliserer eller profilerer en person, fanger cookies, pixels, fingerprinting og SDK-baserede mobilidentifikatorer. Afsnit 8.1 er den kritiske bestemmelse: enhver sådan teknologi, der er aktiveret som standard, skal deaktiveres som standard og kræve aktivt samtykke for at slå til.

Ingen forhåndsafkrydsede bokse, intet stiltiende samtykke

Denne formulering er strengere end GDPR's ePrivacy-ramme på ét specifikt punkt: ikke alene skal samtykket være opt-in, men den underliggende teknologi skal være teknisk deaktiveret, indtil samtykket gives. Et cookie-banner, der indlæser analyse, inden brugeren klikker på accepter, overtræder lov 25, selvom banneret selv er teknisk korrekt. Udgivere skal implementere ægte samtykkestyret script-indlæsning, svarende til Google Consent Mode v2 i advanced-tilstand — basistilstand er generelt utilstrækkelig.

Profilbaseret personalisering kræver separat samtykke

Hvis du bruger cookies til at opbygge en brugerprofil til personaliseret annoncering, behandler lov 25 det som et særskilt formål, der kræver sit eget samtykklag oven i det grundlæggende samtykke til cookie-placering. En enkelt "accepter alle"-knap, der samler lagring, analyser og personalisering, er i risikozonen — Quebecs regulator har signaleret præference for granulære formålsspecifikke til/fra-knapper.

Grænseoverskridende overførsler: PIA-kravet

Quebec er den eneste canadiske provins, der kræver en formel Privacy Impact Assessment, inden personoplysninger overføres uden for Quebec — herunder til resten af Canada, USA og europæiske datacentre. PIA'en skal vurdere:

• Følsomheden af de involverede data.
• Formålet med og nødvendigheden af overførslen.
• Den juridiske ramme i destinationsjurisdiktionen.
• De kontraktmæssige og tekniske sikkerhedsforanstaltninger.

For udgivere påvirker dette oftest analyser, tag-håndtering, CDN-logs og annonce-serverdata, der strømmer til amerikansk infrastruktur. En Quebec-adækvans-PIA blokerer ikke disse overførsler, men den kræver en dokumenteret vurdering og — afgørende — skriftlig bekræftelse fra den modtagende part om, at dataene vil blive beskyttet under tilsvarende principper. Standard USA-hostede SaaS-kontrakter indeholder sjældent denne formulering som standard og skal ændres.

Meddelelser om automatiseret beslutningstagning

Afsnit 12.1 i lov 25 er unikt i nordamerikansk ret: hvis en virksomhed bruger personoplysninger til at træffe en beslutning udelukkende baseret på automatiseret behandling, skal den:

• Underrette den berørte person ved eller inden beslutningen træffes.
• På anmodning forklare de anvendte personoplysninger, årsagerne og de vigtigste faktorer, der førte til beslutningen.
• Give mulighed for at indgive bemærkninger til en menneskelig revisor.

For adtech fanger dette programmatisk beslutningstagning i budanmodninger, dynamisk prissætning, svindelbedømmelse og enhver AI-assisteret indholdsrangering. Udgivere kontrollerer sjældent disse algoritmer direkte — de er afhængige af SSP'er og DSP'er — men lov 25 behandler udgiveren som en fælles ansvarlig part, når beslutningen bruger data, udgiveren har indsamlet. At tilføje en kort automatiseret beslutningsoplysning til din privatlivspolitik er det minimale levedygtige overholdelsestrin.

Praktisk compliance-tjekliste for 2026

Trin 1: Kortlæg Quebec-trafik og datastrømme

Brug IP-geolokation i din analyse til at estimere mængden af Quebec-besøgende. Selv hvis Quebec udgør under 5 % af dit publikum, gør bøden på 4 % af omsætningen det uforholdsmæssigt risikabelt at ignorere. Kortlæg hver cookie, pixel og SDK, der udløses for Quebec-brugere, og hvor deres data ender.

Trin 2: Implementer en samtykke-styret CMP

Din CMP skal understøtte ægte blokering på script-niveau, ikke kosmetisk lukning af bannere. FlexyConsent og andre Google-certificerede CMP'er tilbyder Quebec-specifikke geo-regler, der parrer lov 25-logik med bredere Consent Mode v2 og GPP US-nationale signaler. Forudkonfigureret Quebec-tilstand bør som standard sætte alle ikke-essentielle kategorier til fra.

Trin 3: Udpeg og offentliggør en databeskyttelsesansvarlig

Hvis din organisation ikke har canadisk tilstedeværelse, er din CEO eller tilsvarende databeskyttelsesansvarlig som standard, medmindre du formelt delegerer skriftligt. Offentliggør navn og e-mail i din privatlivspolitik — CAI kontrollerer dette ved første inspektion.

Trin 4: Gennemfør en PIA inden nye projekter

Enhver ny leverandør, enhver ny grænseoverskridende overførsel, enhver ny sporteknologi kræver en dokumenteret PIA. Skabelon-PIA'er fra CAI accepteres; du behøver ikke en skræddersyet juridisk udtalelse til rutinemæssige analyser eller CDN-kontrakter.

Trin 5: Opdater din privatlivspolitik

Quebec kræver specifikke oplysninger: databeskyttelsesansvarliges kontaktoplysninger, kategorier af indsamlede personoplysninger, opbevaringsperioder, tredjepartsmodtagere, destinationer for grænseoverskridende overførsler og praksis for automatiseret beslutningstagning. En generisk GDPR-meddelelse opfylder næsten aldrig lov 25 uden væsentlige tilføjelser.

Hvordan Quebecs lov 25 interagerer med PIPEDA og lov 25's fremtid

PIPEDA, Canadas føderale privatlivslov, gælder for kommerciel aktivitet i hele Canada — men Quebecs lov 25 har forrang inden for Quebec, fordi provinsen er erklæret i det væsentlige lig for private sektorers privatlivsformål. I praksis betyder dette, at Quebec-operationer som standard følger lov 25, og PIPEDA kun gælder for aktiviteter, der krydser provinsgrænser.

Canada moderniserer også PIPEDA gennem det foreslåede Consumer Privacy Protection Act (CPPA). Hvis CPPA vedtages i sin nuværende form, vil den bringe resten af Canada tættere på Quebecs model — eksplicit samtykke, meningsfulde sanktioner, en føderal databeskyttelseskommissær med bemyndigelse til at udstede pålæg og gennemsigtighed i automatiseret beslutningstagning. Udgivere, der i dag bygger deres stack op omkring Quebecs lov 25, vil være godt positioneret til morgendagens føderale ændringer.

Kort sagt: Quebecs lov 25 er ikke en provinsiel kuriositet. Det er skabelonen for, hvad canadisk privatliv bevæger sig hen imod, og det mest aggressive privatlivsregime på det amerikanske kontinent. Udgivere, annoncører og SaaS-leverandører, der betjener canadisk trafik, bør behandle overholdelse af lov 25 som en 2026-prioritet, ikke et fremtidigt projekt.