Hva Quebec lov 25 faktisk krever

Lov 25 endrer Quebecs eksisterende personvernlov for privat sektor (Act Respecting the Protection of Personal Information in the Private Sector) og bringer den nærmere den europeiske GDPR, samtidig som den beholder særpregede kanadiske funksjoner. Kravene som berører utgivere og digitale operatører er:

• Eksplisitt, granulert samtykke før innsamling eller bruk av personopplysninger for ethvert formål utover det som opprinnelig ble opplyst.
• En utpekt personvernansvarlig (den høyestrangerte lederen som standard, med mindre formelt delegert) hvis navn og kontaktinformasjon må publiseres på nettstedet.
• Obligatoriske personvernkonsekvensutredninger (PIA) før lansering av ethvert prosjekt som involverer personopplysninger, spesielt grensekryssende overføringer eller ny teknologi.
• Varsel om brudd til Commission d'accès à l'information (CAI) og berørte enkeltpersoner når bruddet utgjør risiko for alvorlig skade.
• Individuelle rettigheter inkludert innsyn, retting, sletting, portabilitet og — unikt — retten til å bli informert om automatisert beslutningstaking og be om menneskelig gjennomgang.

Håndhevingsorganet er Commission d'accès à l'information du Québec (CAI), som har utstedt formelle undersøkelsesvarsel til flere internasjonale utgivere og plattformer gjennom 2025. I motsetning til noen tilsynsmyndigheter har CAI vist vilje til å forfølge ikke-kanadiske enheter som betjener Quebec-innbyggere.

Spesifikasjoner for informasjonskapseltillatelse: strengere enn GDPR på viktige områder

Lov 25 bruker ikke ordet "informasjonskapsel" direkte, men definisjonen av teknologi som identifiserer, lokaliserer eller profilerer en person omfatter informasjonskapsler, piksler, fingeravtrykk og SDK-baserte mobilidentifikatorer. Avsnitt 8.1 er den kritiske bestemmelsen: enhver slik teknologi som er aktivert som standard må deaktiveres som standard og kreve aktivt samtykke for å slås på.

Ingen forhåndsavkryssede bokser, ingen stilltiende samtykke

Dette språket er strengere enn GDPRs ePrivacy-rammeverk på én bestemt måte: ikke bare må samtykke være opt-in, men den underliggende teknologien må være teknisk deaktivert til samtykke er gitt. Et informasjonskapselbanner som laster analyse før brukeren klikker godta, bryter med lov 25 selv om selve banneret er teknisk korrekt. Utgivere må implementere ekte samtykkebasert skriptlasting, tilsvarende Google Consent Mode v2 i avansert modus — grunnleggende modus er generelt utilstrekkelig.

Profilbasert personalisering krever separat samtykke

Hvis du bruker informasjonskapsler til å bygge en brukerprofil for personalisert annonsering, behandler lov 25 det som et distinkt formål som krever sitt eget samtykklag, i tillegg til grunnsamtykket for informasjonskapselplassering. En enkelt «godta alle»-knapp som bundler lagring, analyse og personalisering er i faresonen — Quebecs tilsynsmyndighet har signalisert preferanse for granulerte per-formål-vekslere.

Grensekryssende overføringer: PIA-kravet

Quebec er den eneste kanadiske provinsen som krever en formell personvernkonsekvensutredning før overføring av personopplysninger utenfor Quebec — inkludert til resten av Canada, til USA og til europeiske datasentre. PIA-en må evaluere:

• Sensitiviteten til de involverte dataene.
• Formålet med og nødvendigheten av overføringen.
• Det juridiske rammeverket i destinasjonsjurisdiksjonen.
• Avtalemessige og tekniske sikkerhetstiltak på plass.

For utgivere påvirker dette oftest analyse, tagadministrasjon, CDN-logger og annonseseverdata som flyter til amerikansk infrastruktur. En Quebec-adekvat PIA blokkerer ikke disse overføringene, men krever dokumentert vurdering og — avgjørende — skriftlig bekreftelse fra mottakerparten om at dataene vil bli beskyttet under tilsvarende prinsipper. Standard US-hostede SaaS-kontrakter inkluderer sjelden dette språket som standard og må endres.

Varsler om automatisert beslutningstaking

Avsnitt 12.1 i lov 25 er unik i nord-amerikansk lov: hvis en virksomhet bruker personopplysninger til å ta en beslutning utelukkende basert på automatisert behandling, må den:

• Informere enkeltpersonen ved eller før beslutningen tas.
• På forespørsel forklare personopplysningene som ble brukt, grunnene og de viktigste faktorene som førte til beslutningen.
• Gi mulighet til å fremlegge observasjoner for en menneskelig anmelder.

For adtech fanger dette opp programmatisk beslutningstaking om budforespørsler, dynamisk prising, svindelscoring og AI-assistert innholdsrangering. Utgivere kontrollerer sjelden disse algoritmene direkte — de er avhengige av SSP-er og DSP-er — men lov 25 behandler utgiveren som en felles ansvarlig part når beslutningen bruker data utgiveren har samlet inn. Å legge til en kort automatisk-beslutningsavsløring i personvernmeldingen din er det minimalt levedyktige overholdelsestrinnet.

Praktisk samsvarsliste for 2026

Trinn 1: Kartlegg Quebec-trafikk og datastrømmer

Bruk IP-geolokasjon i analyseverktøyet ditt for å anslå volumet av Quebec-besøkende. Selv om Quebec er mindre enn 5 % av publikummet ditt, gjør 4 %-av-omsetningen-straffen det uforholdsmessig risikabelt å ignorere. Kartlegg alle informasjonskapsler, piksler og SDK-er som utløses for Quebec-brukere og hvor dataene deres havner.

Trinn 2: Implementer en samtykkebasert CMP

CMP-en din må støtte ekte blokkering på skriptnivå, ikke kosmetisk bannerfjerning. FlexyConsent og andre Google-sertifiserte CMP-er tilbyr Quebec-spesifikke georegler som kombinerer lov 25-logikk med bredere Consent Mode v2 og GPP US-national signaler. Forhåndskonfigurert Quebec-modus bør sette alle ikke-essensielle kategorier til av som standard.

Trinn 3: Utnevn og publiser en personvernansvarlig

Hvis organisasjonen din ikke har kanadisk tilstedeværelse, er administrerende direktør eller tilsvarende personvernansvarlig som standard med mindre du formelt delegerer skriftlig. Publiser navn og e-post i personvernmeldingen din — CAI sjekker dette ved første inspeksjon.

Trinn 4: Gjennomfør PIA før nye prosjekter

Hver ny leverandør, hver nye grensekryssende overføring, hver nye sporingsteknologi krever en dokumentert PIA. Mal-PIA-er fra CAI aksepteres; du trenger ikke en tilpasset juridisk uttalelse for rutineanalyse eller CDN-kontrakter.

Trinn 5: Oppdater personvernmeldingen din

Quebec krever spesifikke opplysninger: kontaktinformasjonen til personvernansvarlig, kategoriene for innsamlede personopplysninger, oppbevaringsperioder, tredjeparts mottakere, destinasjoner for grensekryssende overføringer og automatiserte beslutningspraksiser. En generisk GDPR-melding tilfredsstiller nesten aldri lov 25 uten vesentlige tillegg.

Hvordan Quebec lov 25 samhandler med PIPEDA og fremtiden for lov 25

PIPEDA, Canadas føderale personvernlov, gjelder for kommersiell aktivitet i hele Canada — men Quebecs lov 25 har forrang innen Quebec fordi provinsen er erklært vesentlig lik for private sektor personvernformål. I praksis betyr dette at Quebec-operasjoner standard faller under lov 25 og PIPEDA kun gjelder aktiviteter som krysser provinsgrenser.

Canada moderniserer også PIPEDA gjennom den foreslåtte Consumer Privacy Protection Act (CPPA). Hvis CPPA vedtas i sin nåværende form, vil det bringe resten av Canada nærmere Quebecs modell — eksplisitt samtykke, meningsfulle straffer, en føderal personvernkommissær med myndighet til å gi pålegg og transparens om automatisert beslutningstaking. Utgivere som bygger stabelen sin rundt Quebec lov 25 i dag, vil være godt posisjonert for føderale endringer i morgen.

Kortversjonen: Quebec lov 25 er ikke en provinsiell kuriositet. Det er malen for hvor kanadisk personvern er på vei og det mest aggressive personvernregimet i Amerika. Utgivere, annonsører og SaaS-leverandører som betjener kanadisk trafikk, bør behandle lov 25-overholdelse som en prioritet for 2026, ikke et fremtidig prosjekt.