Apa sing sejatine dibutuhake dening Quebec Law 25

Law 25 ngowahi undang-undang privasi sektor swasta Quebec sing ana (Act Respecting the Protection of Personal Information in the Private Sector) lan nyedhakake marang GDPR Eropa karo njaga fitur khas Kanada. Persyaratan inti sing mengaruhi publisher lan operator digital yaiku:

• Idin eksplisit lan terperinci sadurunge ngumpulake utawa nggunakake informasi pribadi kanggo tujuan apa wae ing njabane sing wis diungkapake sadurunge.
• Petugas Privasi sing ditunjuk (eksekutif paling dhuwur kanthi gawan, kajaba didelegasikake kanthi resmi) sing jenenge lan kontake kudu diterbitake ing situs web.
• Penilaian Dampak Privasi (PIA) sing wajib sadurunge ngluncurake proyek apa wae sing nglibatake informasi pribadi, utamane transfer lintas batas utawa teknologi anyar.
• Pemberitahuan pelanggaran marang Commission d'accès à l'information (CAI) lan marang individu sing kena pengaruh nalika pelanggaran kasebut nggawa risiko cedera serius.
• Hak individu kalebu akses, rektifikasi, penghapusan, portabilitas, lan — kanthi unik — hak kanggo diberitahu babagan pengambilan keputusan otomatis lan njaluk tinjauan manungsa.

Badan penegak yaiku Commission d'accès à l'information du Québec (CAI), sing wis ngetokake pemberitahuan penyelidikan resmi marang sawetara publisher lan platform internasional ing sawijining 2025. Beda karo sawetara regulator, CAI wis nuduhake kekarepan kanggo ngoyak entitas non-Kanada sing ngladeni penduduk Quebec.

Spesifik idin cookie: luwih ketat tinimbang GDPR ing wilayah kunci

Law 25 ora nggunakake tembung "cookie" kanthi langsung, nanging definisine babagan teknologi sing ngenali, nemokake, utawa mbuat profil individu nyakup cookie, piksel, fingerprinting, lan pengidentifikasi mobile berbasis SDK. Bagian 8.1 yaiku ketentuan kritis: teknologi kasebut sing diaktifake kanthi gawan kudu dinonaktifake kanthi gawan lan mbutuhake idin aktif kanggo diuripake.

Ora ana kothak sing wis dicenthang sadurunge, ora ana idin tersirat

Basa iki luwih ketat tinimbang kerangka ePrivacy GDPR ing siji cara tartamtu: ora mung idin kudu bersifat opt-in, nanging teknologi sing ndasari uga kudu dinonaktifake kanthi teknis nganti idin diwenehake. Banner cookie sing ngisi analitik sadurunge pangguna ngeklik setuju nglanggar Law 25 sanajan banner kasebut sacara teknis bener. Publisher kudu ngetrapake loading skrip sing digates idin sing nyata, padha karo Google Consent Mode v2 ing mode lanjutan — mode dhasar umumnya ora cukup.

Personalisasi adhedhasar profil mbutuhake idin kapisah

Yen sampeyan nggunakake cookie kanggo mbangun profil pangguna kanggo iklan sing dipersonalisasi, Law 25 nganggep kuwi minangka tujuan sing beda-beda sing mbutuhake lapisan idin dhewe, ing ndhuwur idin dhasar kanggo penempatan cookie. Siji tombol "tampa kabeh" sing nggabungake penyimpanan, analitik, lan personalisasi ana risiko — regulator Quebec wis menehi sinyal preferensi kanggo sakelar per-tujuan sing terperinci.

Transfer lintas batas: syarat PIA

Quebec yaiku siji-sijine provinsi Kanada sing mbutuhake Penilaian Dampak Privasi resmi sadurunge mindahake informasi pribadi ing njabane Quebec — kalebu menyang bagian liya Kanada, Amerika Serikat, lan pusat data Eropa. PIA kudu ngevaluasi:

• Sensitivitas data sing nglibatake.
• Tujuan lan kabutuhane transfer.
• Kerangka hukum yurisdiksi tujuan.
• Perlindungan kontraktual lan teknis sing ana.

Kanggo publisher, iki paling umum mengaruhi analitik, manajemen tag, log CDN, lan data server iklan sing ngalir menyang infrastruktur AS. PIA kecukupan Quebec ora mblokir transfer iki, nanging mbutuhake penilaian sing terdokumentasi lan — sing kritis — konfirmasi tertulis saka pihak penerima yen data bakal dilindungi miturut prinsip sing setara. Kontrak SaaS sing di-host ing AS standar jarang nyertakake basa iki kanthi gawan lan kudu diowahi.

Pemberitahuan pengambilan keputusan otomatis

Bagian 12.1 Law 25 unik ing hukum Amerika Utara: yen bisnis nggunakake informasi pribadi kanggo nggawe keputusan adhedhasar pemrosesan otomatis kanthi eksklusif, bisnis kasebut kudu:

• Menehi tahu individu nalika utawa sadurunge keputusan kasebut digawe.
• Atas panjaluk, nerangake informasi pribadi sing digunakake, alasan-alasane, lan faktor-faktor utama sing nyebabake keputusan kasebut.
• Nyediyakake kesempatan kanggo ngirimake observasi marang peninjau manungsa.

Kanggo adtech, iki nyakup pengambilan keputusan programatik ing permintaan penawaran, penetapan harga dinamis, penilaian penipuan, lan peringkat konten berbantuan AI. Publisher jarang ngontrol algoritma iki kanthi langsung — dheweke gumantung marang SSP lan DSP — nanging Law 25 nganggep publisher minangka pihak sing tanggung jawab bebarengan nalika keputusan nggunakake data sing dikumpulake publisher. Nambahake pernyataan keputusan-otomatis sing singkat marang pemberitahuan privasi sampeyan yaiku langkah kepatuhan minimum sing bisa dilakoni.

Daftar periksa kepatuhan praktis kanggo 2026

Langkah 1: Peta lalu lintas Quebec lan aliran data

Gunakake geolokasi IP ing analitik sampeyan kanggo njajagi volume pengunjung Quebec. Sanajan Quebec kurang saka 5% penonton sampeyan, penalti 4% saka omzet nggawe risike ora proporsional kanggo diabaikan. Peta saben cookie, piksel, lan SDK sing aktif kanggo pangguna Quebec lan menyang endi datane.

Langkah 2: Deploy CMP sing digates idin

CMP sampeyan kudu ndhukung pemblokiran tingkat skrip sing nyata, ora mung nutup banner kanthi kosmetik. FlexyConsent lan CMP bersertifikat Google liyane nawakake aturan geo khusus Quebec sing nggabungake logika Law 25 karo sinyal Consent Mode v2 lan GPP US-national sing luwih amba. Mode Quebec sing wis dikonfigurasi sadurunge kudu kanthi gawan mateni kabeh kategori sing ora penting.

Langkah 3: Tunjuk lan terbitake Petugas Privasi

Yen organisasi sampeyan ora duwe kehadiran ing Kanada, CEO utawa sing setara yaiku Petugas Privasi kanthi gawan kajaba sampeyan delegasikan kanthi resmi kanthi tertulis. Terbitake jeneng lan email ing pemberitahuan privasi sampeyan — CAI mriksa iki ing inspeksi pertama.

Langkah 4: Rampungake PIA sadurunge proyek anyar

Saben vendor anyar, saben transfer lintas batas anyar, saben teknologi pelacakan anyar mbutuhake PIA sing terdokumentasi. Template PIA saka CAI ditampa; sampeyan ora mbutuhake pendapat hukum khusus kanggo analitik rutin utawa kontrak CDN.

Langkah 5: Perbarui pemberitahuan privasi sampeyan

Quebec mbutuhake pengungkapan tartamtu: kontak Petugas Privasi, kategori informasi pribadi sing dikumpulake, periode retensi, penerima pihak ketiga, tujuan transfer lintas batas, lan praktik pengambilan keputusan otomatis. Pemberitahuan GDPR generik meh ora tau nyukupi Law 25 tanpa tambahan material.

Carane Quebec Law 25 sesambungan karo PIPEDA lan masa depan Law 25

PIPEDA, undang-undang privasi federal Kanada, ditrapake kanggo aktivitas komersial ing saindenge Kanada — nanging Law 25 Quebec luwih diutamakake ing Quebec amarga provinsi kasebut wis dinyatakake sacara substansial padha kanggo tujuan privasi sektor swasta. Ing prakteke iki tegese operasi Quebec kanthi gawan ngetutake Law 25 lan PIPEDA mung ditrapake kanggo aktivitas sing ngliwati wates provinsi.

Kanada uga nganyarake PIPEDA liwat Consumer Privacy Protection Act (CPPA) sing diusulake. Yen CPPA lulus ing wujud saiki, iki bakal nyedhakake bagian liya Kanada marang model Quebec — idin eksplisit, penalti sing bermakna, Komisioner Privasi federal kanthi wewenang ngetokake perintah, lan transparansi keputusan otomatis. Publisher sing mbangun tumpukane ing sekitar Quebec Law 25 saiki bakal ana ing posisi sing apik kanggo owahan federal sesuk.

Versi singkate: Quebec Law 25 ora mung kekhasan provinsi. Iki yaiku template menyang ngendi privasi Kanada arep menyang lan rezim privasi paling agresif ing Amerika. Publisher, pengiklan, lan vendor SaaS sing ngladeni lalu lintas Kanada kudu nganggep kepatuhan Law 25 minangka prioritas 2026, dudu proyek ing mangsa.