Vad Quebecs lag 25 faktiskt kräver

Lag 25 ändrar Quebecs befintliga integritetslagstiftning för privat sektor (lagen om skydd av personuppgifter i den privata sektorn) och för den närmare den europeiska GDPR:n, samtidigt som distinkt kanadensiska särdrag behålls. De grundläggande krav som påverkar utgivare och digitala operatörer är:

• Uttryckligt, detaljerat samtycke innan personuppgifter samlas in eller används för något syfte utöver det ursprungligen angivna.
• En utsedd integritetsskyddschef (den högst rankade chefen som standard, om inte formellt delegerat) vars namn och kontaktuppgifter måste publiceras på webbplatsen.
• Obligatoriska konsekvensbedömningar avseende integritet (PIA) innan något projekt med personuppgifter lanseras, särskilt gränsöverskridande överföringar eller ny teknik.
• Anmälan av dataintrång till Commission d'accès à l'information (CAI) och till berörda individer när intrånget innebär en risk för allvarlig skada.
• Individuella rättigheter inklusive tillgång, rättelse, radering, portabilitet och — unikt — rätten att bli informerad om automatiserat beslutsfattande och att begära mänsklig granskning.

Tillsynsmyndigheten är Commission d'accès à l'information du Québec (CAI), som har utfärdat formella utredningsmeddelanden till flera internationella utgivare och plattformar under 2025. Till skillnad från vissa tillsynsmyndigheter har CAI visat vilja att driva ärenden mot icke-kanadensiska enheter som betjänar Quebec-invånare.

Specifika krav för cookie-samtycke: strängare än GDPR på nyckelområden

Lag 25 använder inte ordet "cookie" direkt, men dess definition av teknik som identifierar, lokaliserar eller profilerar en individ fångar upp cookies, pixlar, fingeravtryckstagning och SDK-baserade mobilidentifierare. Avsnitt 8.1 är den kritiska bestämmelsen: all sådan teknik som är aktiverad som standard måste inaktiveras som standard och kräva aktivt samtycke för att aktiveras.

Inga förvalda kryssrutor, inget underförstått samtycke

Denna formulering är strängare än GDPR:s ePrivacy-ramverk på ett specifikt sätt: inte bara måste samtycket vara opt-in, utan den underliggande tekniken måste vara tekniskt inaktiverad tills samtycke ges. En cookie-banner som laddar analys innan användaren klickar på acceptera bryter mot lag 25 även om bannern i sig är tekniskt korrekt. Utgivare måste implementera äkta samtyckesstyrd skriptladdning, liknande Google Consent Mode v2 i avancerat läge — grundläggande läge är i allmänhet otillräckligt.

Profilbaserad personalisering kräver separat samtycke

Om du använder cookies för att bygga en användarprofil för personaliserad annonsering behandlar lag 25 det som ett separat syfte som kräver ett eget samtyckeslager, utöver det grundläggande samtycket för cookie-placering. En enda "acceptera alla"-knapp som kombinerar lagring, analys och personalisering är i riskzonen — Quebecs tillsynsmyndighet har signalerat en preferens för detaljerade, syftesspecifika reglage.

Gränsöverskridande överföringar: PIA-kravet

Quebec är den enda kanadensiska provinsen som kräver en formell konsekvensbedömning avseende integritet innan personuppgifter överförs utanför Quebec — inklusive till resten av Kanada, till USA och till europeiska datacenter. PIA:n måste utvärdera:

• Känsligheten hos de berörda uppgifterna.
• Syftet med och nödvändigheten av överföringen.
• Det rättsliga ramverket i destinationsjurisdiktionen.
• De avtalsmässiga och tekniska skyddsåtgärder som finns på plats.

För utgivare påverkar detta vanligtvis analys, tagghantering, CDN-loggar och annonsserverdata som flödar till amerikansk infrastruktur. En Quebec-adekvans-PIA blockerar inte dessa överföringar, men kräver dokumenterad bedömning och — avgörande — skriftlig bekräftelse från mottagande part att uppgifterna kommer att skyddas under likvärdiga principer. Standardkontrakt för USA-hostad SaaS inkluderar sällan denna formulering som standard och måste ändras.

Meddelanden om automatiserat beslutsfattande

Avsnitt 12.1 i lag 25 är unikt i nordamerikansk lagstiftning: om ett företag använder personuppgifter för att fatta ett beslut uteslutande baserat på automatiserad behandling, måste det:

• Informera individen vid eller innan beslutet fattas.
• På begäran förklara de personuppgifter som använts, skälen och de viktigaste faktorerna som ledde till beslutet.
• Ge möjlighet att lämna synpunkter till en mänsklig granskare.

Inom adtech fångar detta upp programmatiskt beslutsfattande om budförfrågningar, dynamisk prissättning, bedrägeribedömning och all AI-assisterad innehållsrankning. Utgivare kontrollerar sällan dessa algoritmer direkt — de förlitar sig på SSP:er och DSP:er — men lag 25 behandlar utgivaren som en gemensamt ansvarig part när beslutet använder data som utgivaren samlat in. Att lägga till ett kort meddelande om automatiserat beslutsfattande i din integritetsnotis är det minimalt genomförbara steget för efterlevnad.

Praktisk checklista för efterlevnad 2026

Steg 1: Kartlägg Quebec-trafik och dataflöden

Använd IP-geolokalisering i din analys för att uppskatta Quebec-besökarvolym. Även om Quebec utgör mindre än 5 % av din publik gör böter på 4 % av omsättningen det oproportionerligt riskabelt att ignorera. Kartlägg varje cookie, pixel och SDK som aktiveras för Quebec-användare och var dess data hamnar.

Steg 2: Driftsätt en samtyckesstyrd CMP

Din CMP måste stödja äkta blockering på skriptnivå, inte kosmetisk bannerstängning. FlexyConsent och andra Google-certifierade CMP:er erbjuder Quebec-specifika georegler som kombinerar lag 25-logik med bredare Consent Mode v2- och GPP US-nationella signaler. Förkonfigurerat Quebec-läge bör som standard ställa alla icke-väsentliga kategorier på av.

Steg 3: Utse och publicera en integritetsskyddschef

Om din organisation inte har någon kanadensisk närvaro är din VD eller motsvarande integritetsskyddschef som standard om du inte formellt delegerar skriftligen. Publicera namn och e-post i din integritetsnotis — CAI kontrollerar detta vid första inspektion.

Steg 4: Slutför en PIA innan nya projekt

Varje ny leverantör, varje ny gränsöverskridande överföring, varje ny spårningsteknologi kräver en dokumenterad PIA. Mall-PIA:er från CAI accepteras; du behöver inte ett skräddarsytt juridiskt yttrande för rutinanalys eller CDN-kontrakt.

Steg 5: Uppdatera din integritetsnotis

Quebec kräver specifika uppgifter: integritetsskyddschefens kontaktuppgifter, kategorier av insamlade personuppgifter, lagringsperioder, tredjepartsmottagare, destinationer för gränsöverskridande överföringar och praxis för automatiserat beslutsfattande. En generisk GDPR-notis uppfyller nästan aldrig lag 25 utan väsentliga tillägg.

Hur Quebecs lag 25 samverkar med PIPEDA och lag 25:s framtid

PIPEDA, Kanadas federala integritetslag, gäller kommersiell verksamhet i hela Kanada — men Quebecs lag 25 har företräde inom Quebec eftersom provinsen har förklarats i väsentliga delar likvärdig för integritetssyften i den privata sektorn. I praktiken innebär detta att Quebec-verksamheter som standard regleras av lag 25 och att PIPEDA endast gäller verksamheter som korsar provinsgränser.

Kanada moderniserar också PIPEDA genom den föreslagna Consumer Privacy Protection Act (CPPA). Om CPPA antas i sin nuvarande form kommer det att föra resten av Kanada närmare Quebecs modell — uttryckligt samtycke, meningsfulla påföljder, en federal integritetsskyddskommissionär med befogenhet att utfärda förelägganden och transparens kring automatiserat beslutsfattande. Utgivare som bygger sin stack kring Quebecs lag 25 idag kommer att vara väl positionerade för federala förändringar imorgon.

Kortversionen: Quebecs lag 25 är inte en provinsiell kuriositet. Det är mallen för vart kanadensisk integritet är på väg och det mest aggressiva integritetsregelverket i Amerika. Utgivare, annonsörer och SaaS-leverantörer som betjänar kanadensisk trafik bör behandla efterlevnad av lag 25 som en prioritet för 2026, inte ett framtida projekt.