Legea 25 din Quebec (Proiectul de lege 64): Ghidul complet privind consimțământul pentru cookie-uri și confidențialitatea pentru editori în 2026
Majoritatea discuțiilor despre confidențialitate din America de Nord încep și se termină cu California. Această perspectivă este depășită. Legea 25 din Quebec, cunoscută anterior ca Proiectul de lege 64, impune acum penalități care depășesc CCPA, CPRA și orice lege a statului american — până la CAD $25 milioane sau 4% din cifra de afaceri globală, oricare este mai mare. Ultima fază a Legii 25 a intrat în vigoare la 22 septembrie 2024, introducând un drept complet de portabilitate a datelor, iar aplicarea s-a intensificat pe parcursul anului 2025 și în 2026. Orice editor, platformă SaaS sau furnizor adtech cu trafic din Quebec se confruntă acum cu obligații la nivelul GDPR — adesea mai solicitante decât GDPR însuși în domenii specifice, cum ar fi transferurile transfrontaliere și notificările privind luarea automată a deciziilor.
Ce impune de fapt Legea 25 din Quebec
Legea 25 modifică legea existentă a sectorului privat din Quebec privind confidențialitatea (Act Respecting the Protection of Personal Information in the Private Sector) și o apropie de GDPR-ul european, păstrând în același timp caracteristici distinctiv canadiene. Cerințele de bază care afectează editorii și operatorii digitali sunt:
- Consimțământ explicit și granular înainte de colectarea sau utilizarea informațiilor personale pentru orice scop dincolo de cel dezvăluit inițial.
- Un Responsabil cu protecția datelor desemnat (executivul de cel mai înalt rang în mod implicit, dacă nu este delegat formal) al cărui nume și date de contact trebuie publicate pe site.
- Evaluări de Impact asupra Vieții Private (PIA) obligatorii înainte de lansarea oricărui proiect care implică informații personale, mai ales transferuri transfrontaliere sau tehnologie nouă.
- Notificarea încălcărilor către Commission d'accès à l'information (CAI) și persoanele afectate atunci când încălcarea prezintă un risc de vătămare gravă.
- Drepturi individuale inclusiv acces, rectificare, ștergere, portabilitate și — în mod unic — dreptul de a fi informat cu privire la luarea automată a deciziilor și de a solicita revizuire umană.
Organul de aplicare este Commission d'accès à l'information du Québec (CAI), care a emis notificări formale de investigare mai multor editori și platforme internaționale de-a lungul anului 2025. Spre deosebire de unii autorități de reglementare, CAI a demonstrat disponibilitatea de a urmări entități non-canadiene care deservesc rezidenți din Quebec.
Specificul consimțământului pentru cookie-uri: mai strict decât GDPR în domenii cheie
Legea 25 nu folosește direct cuvântul "cookie", dar definiția sa referitoare la tehnologia care identifică, localizează sau profilează un individ acoperă cookie-uri, pixeli, amprentare digitală și identificatori mobili bazați pe SDK. Secțiunea 8.1 este dispoziția critică: orice astfel de tehnologie care este activată în mod implicit trebuie dezactivată în mod implicit și necesită consimțământ activ pentru a fi pornită.
Fără căsuțe pre-bifate, fără consimțământ implicit
Acest limbaj este mai strict decât cadrul ePrivacy al GDPR într-un aspect specific: nu numai că consimțământul trebuie să fie opt-in, dar tehnologia de bază trebuie să fie dezactivată tehnic până la acordarea consimțământului. Un banner de cookie-uri care încarcă analize înainte ca utilizatorul să facă clic pe accept încalcă Legea 25 chiar dacă bannerul în sine este tehnic corect. Editorii trebuie să implementeze o adevărată încărcare de scripturi condiționată de consimțământ, similară cu Google Consent Mode v2 în modul avansat — modul de bază este în general insuficient.
Personalizarea bazată pe profil necesită consimțământ separat
Dacă utilizați cookie-uri pentru a construi un profil de utilizator pentru publicitate personalizată, Legea 25 tratează aceasta ca un scop distinct care necesită propriul strat de consimțământ, pe lângă consimțământul de bază pentru plasarea cookie-urilor. Un singur buton „acceptă tot" care grupează stocarea, analiza și personalizarea este expus riscului — autoritatea de reglementare din Quebec a semnalat preferința pentru comutatoare granulare per-scop.
Transferurile transfrontaliere: cerința PIA
Quebec este singura provincie canadiană care impune o Evaluare de Impact asupra Vieții Private formală înainte de transferul informațiilor personale în afara Quebec-ului — inclusiv în restul Canadei, în Statele Unite și în centrele de date europene. PIA trebuie să evalueze:
- Sensibilitatea datelor implicate.
- Scopul și necesitatea transferului.
- Cadrul juridic al jurisdicției de destinație.
- Garanțiile contractuale și tehnice în vigoare.
Pentru editori, aceasta afectează cel mai frecvent analizele, gestionarea tag-urilor, jurnalele CDN și datele serverului de anunțuri care curg spre infrastructura SUA. Un PIA de adecvare pentru Quebec nu blochează aceste transferuri, dar necesită o evaluare documentată și — în mod critic — confirmarea scrisă din partea destinatarului că datele vor fi protejate conform unor principii echivalente. Contractele SaaS standard găzduite în SUA includ rareori acest limbaj în mod implicit și trebuie modificate.
Notificări privind luarea automată a deciziilor
Secțiunea 12.1 a Legii 25 este unică în dreptul nord-american: dacă o companie utilizează informații personale pentru a lua o decizie bazată exclusiv pe procesare automată, trebuie să:
- Informeze persoana la momentul sau înainte de luarea deciziei.
- La cerere, să explice informațiile personale utilizate, motivele și factorii principali care au condus la decizie.
- Ofere oportunitatea de a prezenta observații unui revizor uman.
Pentru adtech, aceasta acoperă deciziile programatice privind solicitările de licitație, stabilirea dinamică a prețurilor, scorarea fraudelor și orice clasificare a conținutului asistată de AI. Editorii controlează rareori direct acești algoritmi — se bazează pe SSP și DSP — dar Legea 25 tratează editorul ca o parte responsabilă în comun atunci când decizia utilizează datele colectate de editor. Adăugarea unei scurte dezvăluiri privind decizia automată la notificarea dvs. de confidențialitate este pasul minim viabil de conformitate.
Lista de verificare practică pentru conformitate în 2026
Pasul 1: Cartografiați traficul din Quebec și fluxurile de date
Utilizați geolocalizarea IP în analizele dvs. pentru a estima volumul vizitatorilor din Quebec. Chiar dacă Quebec reprezintă mai puțin de 5% din audiența dvs., penalitatea de 4% din cifra de afaceri face ca ignorarea să fie disproporționat de riscantă. Cartografiați fiecare cookie, pixel și SDK care se activează pentru utilizatorii din Quebec și unde ajung datele lor.
Pasul 2: Implementați un CMP condiționat de consimțământ
CMP-ul dvs. trebuie să suporte blocarea adevărată la nivelul scripturilor, nu respingerea cosmetică a bannerelor. FlexyConsent și alte CMP-uri certificate de Google oferă reguli geografice specifice Quebec-ului care combină logica Legii 25 cu semnale mai largi Consent Mode v2 și GPP US-national. Modul Quebec pre-configurat ar trebui să seteze toate categoriile neesențiale la dezactivat în mod implicit.
Pasul 3: Numiți și publicați un Responsabil cu protecția datelor
Dacă organizația dvs. nu are prezență canadiană, CEO-ul sau echivalentul dvs. este Responsabilul cu protecția datelor în mod implicit, dacă nu delegați formal în scris. Publicați numele și e-mailul în notificarea dvs. de confidențialitate — CAI verifică aceasta la prima inspecție.
Pasul 4: Finalizați un PIA înainte de proiecte noi
Fiecare furnizor nou, fiecare transfer transfrontalier nou, fiecare tehnologie de urmărire nouă necesită un PIA documentat. PIA-urile șablon de la CAI sunt acceptate; nu aveți nevoie de un aviz juridic personalizat pentru analize de rutină sau contracte CDN.
Pasul 5: Actualizați notificarea dvs. de confidențialitate
Quebec solicită dezvăluiri specifice: contactul Responsabilului cu protecția datelor, categoriile de informații personale colectate, perioadele de retenție, destinatarii terți, destinațiile transferurilor transfrontaliere și practicile de decizie automată. O notificare GDPR generică aproape niciodată nu satisface Legea 25 fără adăugiri materiale.
Cum interacționează Legea 25 din Quebec cu PIPEDA și viitorul Legii 25
PIPEDA, legea federală canadiană privind confidențialitatea, se aplică activității comerciale din toată Canada — dar Legea 25 din Quebec are prioritate în Quebec deoarece provincia a fost declarată substanțial similară în scopuri de confidențialitate a sectorului privat. În practică, aceasta înseamnă că operațiunile din Quebec se supun în mod implicit Legii 25, iar PIPEDA se aplică doar activităților care traversează liniile provinciale.
Canada modernizează, de asemenea, PIPEDA prin intermediul propusei Consumer Privacy Protection Act (CPPA). Dacă CPPA este adoptată în forma sa actuală, va apropia restul Canadei de modelul Quebec-ului — consimțământ explicit, penalități semnificative, un Comisar Federal pentru Confidențialitate cu putere de emitere a ordinelor și transparența deciziilor automate. Editorii care își construiesc stack-ul în jurul Legii 25 din Quebec astăzi vor fi bine poziționați pentru schimbările federale de mâine.
Pe scurt: Legea 25 din Quebec nu este o curiozitate provincială. Este modelul pentru direcția în care se îndreaptă confidențialitatea canadiană și cel mai agresiv regim de confidențialitate din Americi. Editorii, agenții de publicitate și furnizorii SaaS care deservesc trafic canadian ar trebui să trateze conformitatea cu Legea 25 ca pe o prioritate pentru 2026, nu ca pe un proiect viitor.