ציות21 באפר׳ 2026 | FlexyConsent

חוק 25 של קוויבק (הצעת חוק 64): המדריך המלא להסכמת קוקיז ולפרטיות עבור מפרסמים ב-2026

רוב שיחות הפרטיות בצפון אמריקה מתחילות ומסתיימות בקליפורניה. הפרספקטיבה הזו מיושנת. חוק 25 של קוויבק, שהיה ידוע בעבר כהצעת חוק 64, מטיל כיום עונשים שמאפילים על CCPA, CPRA וכל חוק מדינה אמריקאי — עד 25 מיליון דולר קנדי או 4% מהמחזור העולמי, לפי הגבוה ביניהם. השלב האחרון של חוק 25 נכנס לתוקף ב-22 בספטמבר 2024, תוך הכנסת זכות ניידות נתונים מלאה, והאכיפה התחדדה לאורך 2025 ועד 2026. כל מפרסם, פלטפורמת SaaS או ספק adtech עם תנועה מקוויבק עומד כעת בפני חובות ברמת GDPR — לעתים קרובות דורשניות יותר מה-GDPR עצמו בתחומים ספציפיים כמו העברות חוצות גבולות ומתן הודעות על קבלת החלטות אוטומטית.

מה חוק 25 של קוויבק דורש בפועל

חוק 25 משנה את חוק הפרטיות הקיים בסקטור הפרטי של קוויבק (Act Respecting the Protection of Personal Information in the Private Sector) ומקרב אותו ל-GDPR האירופאי תוך שמירה על מאפיינים קנדיים ייחודיים. הדרישות המרכזיות המשפיעות על מפרסמים ומפעילים דיגיטליים הן:

גוף האכיפה הוא Commission d'accès à l'information du Québec (CAI), שהוציא הודעות חקירה רשמיות למספר מפרסמים ופלטפורמות בינלאומיות לאורך 2025. בניגוד לחלק מהרגולטורים, ה-CAI הראה נכונות לרדוף אחרי ישויות שאינן קנדיות המשרתות תושבי קוויבק.

פרטי הסכמת הקוקיז: מחמיר יותר מ-GDPR בתחומים מרכזיים

חוק 25 אינו משתמש ישירות במילה "קוקי", אך הגדרתו של טכנולוגיה המזהה, מאתרת או מייצרת פרופיל של פרט כוללת קוקיז, פיקסלים, טביעת אצבע ומזהים ניידים מבוססי SDK. סעיף 8.1 הוא ההוראה הקריטית: כל טכנולוגיה כזו שמופעלת כברירת מחדל חייבת להיות מושבתת כברירת מחדל ולדרוש הסכמה פעילה להפעלה.

אין תיבות מסומנות מראש, אין הסכמה משתמעת

ניסוח זה מחמיר יותר ממסגרת ePrivacy של GDPR באופן ספציפי אחד: לא רק שההסכמה חייבת להיות opt-in, אלא שהטכנולוגיה הבסיסית חייבת להיות מושבתת טכנית עד שתינתן הסכמה. באנר קוקיז שטוען ניתוחים לפני שהמשתמש לוחץ על אישור מפר את חוק 25 גם אם הבאנר עצמו תקין מבחינה טכנית. על המפרסמים ליישם טעינת סקריפטים מותנית הסכמה אמיתית, בדומה ל-Google Consent Mode v2 במצב מתקדם — המצב הבסיסי אינו מספיק בדרך כלל.

פרסונליזציה מבוססת פרופיל דורשת הסכמה נפרדת

אם אתה משתמש בקוקיז לבניית פרופיל משתמש לפרסום מותאם אישית, חוק 25 מתייחס לכך כמטרה נפרדת הדורשת שכבת הסכמה משלה, על גבי ההסכמה הבסיסית להנחת קוקיז. כפתור "קבל הכל" יחיד המאגד אחסון, ניתוחים ופרסונליזציה נמצא בסיכון — הרגולטור של קוויבק הסמן העדפה לתיבות בחירה פרטניות לכל מטרה.

העברות חוצות גבולות: דרישת ה-PIA

קוויבק היא המחוז הקנדי היחיד הדורש הערכת השפעה על פרטיות רשמית לפני העברת מידע אישי מחוץ לקוויבק — כולל לשאר קנדה, לארצות הברית ולמרכזי נתונים אירופאיים. ה-PIA חייבת להעריך:

עבור מפרסמים, זה משפיע לרוב על ניתוחים, ניהול תגים, יומני CDN ונתוני שרת פרסומות הזורמים לתשתית אמריקאית. PIA של התאמה לקוויבק אינה חוסמת את ההעברות הללו, אך מחייבת הערכה מתועדת ו — באופן קריטי — אישור בכתב מהצד המקבל לכך שהנתונים יוגנו על פי עקרונות שקולים. חוזי SaaS סטנדרטיים המתארחים בארה"ב כמעט אינם כוללים שפה זו כברירת מחדל ויש לתקנם.

הודעות על קבלת החלטות אוטומטית

סעיף 12.1 של חוק 25 ייחודי בחוק צפון אמריקאי: אם עסק משתמש במידע אישי לקבלת החלטה המבוססת אך ורק על עיבוד אוטומטי, הוא חייב:

עבור adtech, זה כולל החלטות תכנותיות על בקשות הצעות מחיר, תמחור דינמי, ניקוד הונאות וכל דירוג תוכן בסיוע AI. מפרסמים לעתים נדירות שולטים ישירות באלגוריתמים אלה — הם מסתמכים על SSPs ו-DSPs — אך חוק 25 מתייחס למפרסם כצד אחראי משותף כאשר ההחלטה משתמשת בנתונים שהמפרסם אסף. הוספת גילוי קצר של החלטה אוטומטית להודעת הפרטיות שלך היא צעד הציות המינימלי הישים.

רשימת תיוג לציות מעשי לשנת 2026

שלב 1: מפה את תנועת קוויבק וזרימות הנתונים

השתמש בגיאולוקציה של IP בניתוחים שלך כדי להעריך את נפח המבקרים מקוויבק. גם אם קוויבק מהווה פחות מ-5% מהקהל שלך, העונש של 4% מהמחזור הופך את ההתעלמות ממנו לסיכון בלתי פרופורציונלי. מפה כל קוקי, פיקסל ו-SDK שמופעל עבור משתמשי קוויבק ולאן הנתונים שלו הולכים.

שלב 2: פרוס CMP מותנה הסכמה

ה-CMP שלך חייב לתמוך בחסימה אמיתית ברמת סקריפט, לא בדחיית באנר קוסמטית. FlexyConsent וה-CMPs המוסמכים על ידי Google האחרים מציעים כללים גיאוגרפיים ספציפיים לקוויבק המשלבים לוגיקה של חוק 25 עם אותות Consent Mode v2 ו-GPP ארציים אמריקאיים רחבים יותר. מצב קוויבק שהוגדר מראש צריך להגדיר ברירת מחדל של כל הקטגוריות שאינן חיוניות לכבוי.

שלב 3: מנה ופרסם קצין פרטיות

אם לארגון שלך אין נוכחות קנדית, המנכ"ל שלך או המקביל לו הוא קצין הפרטיות כברירת מחדל אלא אם כן האצלת רשמית בכתב. פרסם את השם והדוא"ל בהודעת הפרטיות שלך — ה-CAI בודק זאת בבדיקה הראשונה.

שלב 4: השלם PIA לפני פרויקטים חדשים

כל ספק חדש, כל העברה חוצת גבולות חדשה, כל טכנולוגיית מעקב חדשה מחייבת PIA מתועדת. PIA תבניות מה-CAI מתקבלות; אינך צריך חוות דעת משפטית מותאמת אישית לניתוחים שגרתיים או חוזי CDN.

שלב 5: עדכן את הודעת הפרטיות שלך

קוויבק דורשת גילויים ספציפיים: פרטי הקשר של קצין הפרטיות, קטגוריות המידע האישי שנאסף, תקופות שמירה, נמענים צד שלישי, יעדי העברה חוצי גבולות ונהלי החלטה אוטומטית. הודעת GDPR גנרית כמעט אף פעם אינה מספקת את חוק 25 ללא תוספות מהותיות.

כיצד חוק 25 של קוויבק מתקשר עם PIPEDA ועתידות חוק 25

PIPEDA, חוק הפרטיות הפדרלי של קנדה, חל על פעילות מסחרית ברחבי קנדה — אך חוק 25 של קוויבק גובר בתוך קוויבק מכיוון שהמחוז הוכרז כדומה באופן מהותי למטרות פרטיות הסקטור הפרטי. בפועל פירוש הדבר שפעולות קוויבק ברירת מחדל לחוק 25 ו-PIPEDA חל רק על פעילויות החוצות קווים מחוזיים.

קנדה גם מחדשנת את PIPEDA דרך Consumer Privacy Protection Act (CPPA) המוצעת. אם CPPA תעבור בצורתה הנוכחית, היא תקרב את שאר קנדה למודל של קוויבק — הסכמה מפורשת, עונשים משמעותיים, נציב פרטיות פדרלי עם כוח הוצאת צוי וצנעת ההחלטה האוטומטית. מפרסמים הבונים את הסטק שלהם סביב חוק 25 של קוויבק היום יהיו ממוקמים היטב לשינויים פדרליים של מחר.

בקצרה: חוק 25 של קוויבק אינו סקרנות מחוזית. הוא התבנית לאן הפרטיות הקנדית הולכת ומשטר הפרטיות האגרסיבי ביותר ביבשת אמריקה. מפרסמים, מפרסמי פרסומות וספקי SaaS המשרתים תנועה קנדית צריכים לטפל בציות לחוק 25 כעדיפות של 2026, לא כפרויקט עתידי.

← בdelays delays קרא הכל →