Apa yang sebenarnya disyaratkan oleh Quebec Law 25

Law 25 mengamendemen undang-undang privasi sektor swasta Quebec yang ada (Act Respecting the Protection of Personal Information in the Private Sector) dan mendekatkannya dengan GDPR Eropa sambil mempertahankan fitur khas Kanada. Persyaratan utama yang mempengaruhi penerbit dan operator digital adalah:

• Persetujuan eksplisit dan terperinci sebelum mengumpulkan atau menggunakan informasi pribadi untuk tujuan apa pun di luar yang awalnya diungkapkan.
• Petugas Privasi yang ditunjuk (eksekutif tertinggi secara default, kecuali didelegasikan secara resmi) yang nama dan kontaknya harus dipublikasikan di situs web.
• Penilaian Dampak Privasi (PIA) wajib sebelum meluncurkan proyek apa pun yang melibatkan informasi pribadi, terutama transfer lintas batas atau teknologi baru.
• Pemberitahuan pelanggaran kepada Commission d'accès à l'information (CAI) dan kepada individu yang terdampak ketika pelanggaran tersebut menimbulkan risiko cedera serius.
• Hak individu termasuk akses, rektifikasi, penghapusan, portabilitas, dan — secara unik — hak untuk mengetahui tentang pengambilan keputusan otomatis dan meminta tinjauan manusia.

Badan penegak adalah Commission d'accès à l'information du Québec (CAI), yang telah mengeluarkan pemberitahuan investigasi resmi kepada beberapa penerbit dan platform internasional sepanjang 2025. Tidak seperti beberapa regulator, CAI telah menunjukkan kesediaan untuk mengejar entitas non-Kanada yang melayani penduduk Quebec.

Spesifik persetujuan cookie: lebih ketat dari GDPR di area kunci

Law 25 tidak menggunakan kata "cookie" secara langsung, tetapi definisinya tentang teknologi yang mengidentifikasi, menemukan, atau membuat profil individu mencakup cookie, piksel, fingerprinting, dan pengidentifikasi mobile berbasis SDK. Pasal 8.1 adalah ketentuan kritis: teknologi semacam itu yang diaktifkan secara default harus dinonaktifkan secara default dan memerlukan persetujuan aktif untuk dihidupkan.

Tidak ada kotak yang sudah dicentang sebelumnya, tidak ada persetujuan tersirat

Bahasa ini lebih ketat dari kerangka ePrivacy GDPR dalam satu cara spesifik: tidak hanya persetujuan yang harus bersifat opt-in, tetapi teknologi yang mendasarinya juga harus dinonaktifkan secara teknis hingga persetujuan diberikan. Banner cookie yang memuat analitik sebelum pengguna mengklik terima melanggar Law 25 meskipun banner itu sendiri secara teknis benar. Penerbit harus menerapkan pemuatan skrip yang dibatasi persetujuan yang sesungguhnya, serupa dengan Google Consent Mode v2 dalam mode lanjutan — mode dasar umumnya tidak cukup.

Personalisasi berbasis profil memerlukan persetujuan terpisah

Jika Anda menggunakan cookie untuk membangun profil pengguna untuk iklan yang dipersonalisasi, Law 25 memperlakukan itu sebagai tujuan yang berbeda yang memerlukan lapisan persetujuannya sendiri, di atas persetujuan dasar untuk penempatan cookie. Satu tombol "terima semua" yang menggabungkan penyimpanan, analitik, dan personalisasi berisiko — regulator Quebec telah memberi sinyal preferensi untuk sakelar per-tujuan yang terperinci.

Transfer lintas batas: persyaratan PIA

Quebec adalah satu-satunya provinsi Kanada yang mensyaratkan Penilaian Dampak Privasi formal sebelum mentransfer informasi pribadi di luar Quebec — termasuk ke seluruh Kanada, Amerika Serikat, dan pusat data Eropa. PIA harus mengevaluasi:

• Sensitivitas data yang terlibat.
• Tujuan dan kebutuhan transfer.
• Kerangka hukum yurisdiksi tujuan.
• Perlindungan kontraktual dan teknis yang ada.

Bagi penerbit, ini paling sering mempengaruhi analitik, manajemen tag, log CDN, dan data server iklan yang mengalir ke infrastruktur AS. PIA kecukupan Quebec tidak memblokir transfer ini, tetapi memerlukan penilaian yang terdokumentasi dan — yang kritis — konfirmasi tertulis dari pihak penerima bahwa data akan dilindungi di bawah prinsip yang setara. Kontrak SaaS yang dihosting di AS standar jarang menyertakan bahasa ini secara default dan harus diubah.

Pemberitahuan pengambilan keputusan otomatis

Pasal 12.1 Law 25 unik dalam hukum Amerika Utara: jika bisnis menggunakan informasi pribadi untuk membuat keputusan berdasarkan pemrosesan otomatis secara eksklusif, bisnis tersebut harus:

• Memberitahu individu pada saat atau sebelum keputusan dibuat.
• Atas permintaan, menjelaskan informasi pribadi yang digunakan, alasan-alasannya, dan faktor-faktor utama yang mengarah pada keputusan tersebut.
• Menyediakan kesempatan untuk mengajukan observasi kepada peninjau manusia.

Untuk adtech, ini mencakup pengambilan keputusan programatik pada permintaan penawaran, penetapan harga dinamis, penilaian penipuan, dan peringkat konten berbantuan AI. Penerbit jarang mengendalikan algoritma ini secara langsung — mereka bergantung pada SSP dan DSP — tetapi Law 25 memperlakukan penerbit sebagai pihak yang bertanggung jawab bersama ketika keputusan menggunakan data yang dikumpulkan penerbit. Menambahkan pengungkapan keputusan-otomatis singkat ke pemberitahuan privasi Anda adalah langkah kepatuhan minimum yang layak.

Daftar periksa kepatuhan praktis untuk 2026

Langkah 1: Petakan lalu lintas Quebec dan aliran data

Gunakan geolokasi IP dalam analitik Anda untuk memperkirakan volume pengunjung Quebec. Bahkan jika Quebec kurang dari 5% audiens Anda, penalti 4% dari omzet menjadikannya berisiko tidak proporsional untuk diabaikan. Petakan setiap cookie, piksel, dan SDK yang aktif untuk pengguna Quebec dan ke mana datanya pergi.

Langkah 2: Terapkan CMP yang dibatasi persetujuan

CMP Anda harus mendukung pemblokiran tingkat skrip yang sesungguhnya, bukan pembuangan banner kosmetik. FlexyConsent dan CMP bersertifikat Google lainnya menawarkan aturan geo khusus Quebec yang memadukan logika Law 25 dengan sinyal Consent Mode v2 dan GPP US-national yang lebih luas. Mode Quebec yang telah dikonfigurasi sebelumnya harus secara default menonaktifkan semua kategori non-esensial.

Langkah 3: Tunjuk dan publikasikan Petugas Privasi

Jika organisasi Anda tidak memiliki kehadiran di Kanada, CEO atau yang setara adalah Petugas Privasi secara default kecuali Anda mendelegasikan secara resmi secara tertulis. Publikasikan nama dan email di pemberitahuan privasi Anda — CAI memeriksa ini pada inspeksi pertama.

Langkah 4: Selesaikan PIA sebelum proyek baru

Setiap vendor baru, setiap transfer lintas batas baru, setiap teknologi pelacakan baru memerlukan PIA yang terdokumentasi. Template PIA dari CAI diterima; Anda tidak memerlukan pendapat hukum khusus untuk analitik rutin atau kontrak CDN.

Langkah 5: Perbarui pemberitahuan privasi Anda

Quebec mensyaratkan pengungkapan spesifik: kontak Petugas Privasi, kategori informasi pribadi yang dikumpulkan, periode retensi, penerima pihak ketiga, tujuan transfer lintas batas, dan praktik pengambilan keputusan otomatis. Pemberitahuan GDPR generik hampir tidak pernah memenuhi Law 25 tanpa tambahan material.

Bagaimana Quebec Law 25 berinteraksi dengan PIPEDA dan masa depan Law 25

PIPEDA, undang-undang privasi federal Kanada, berlaku untuk aktivitas komersial di seluruh Kanada — tetapi Law 25 Quebec lebih diutamakan di dalam Quebec karena provinsi tersebut telah dinyatakan secara substansial serupa untuk tujuan privasi sektor swasta. Dalam praktiknya ini berarti operasi Quebec default ke Law 25 dan PIPEDA hanya berlaku untuk aktivitas yang melewati batas provinsi.

Kanada juga memodernisasi PIPEDA melalui Consumer Privacy Protection Act (CPPA) yang diusulkan. Jika CPPA lulus dalam bentuknya saat ini, itu akan membawa seluruh Kanada lebih dekat ke model Quebec — persetujuan eksplisit, penalti yang bermakna, Komisioner Privasi federal dengan kekuasaan pembuatan perintah, dan transparansi keputusan otomatis. Penerbit yang membangun tumpukan mereka di sekitar Quebec Law 25 hari ini akan berada dalam posisi yang baik untuk perubahan federal di masa depan.

Versi singkatnya: Quebec Law 25 bukan sekadar keunikan provinsi. Ini adalah template ke mana privasi Kanada menuju dan rezim privasi paling agresif di Amerika. Penerbit, pengiklan, dan vendor SaaS yang melayani lalu lintas Kanada harus memperlakukan kepatuhan Law 25 sebagai prioritas 2026, bukan proyek masa depan.