Що насправді вимагає Закон 25 Квебеку

Закон 25 вносить зміни до чинного закону Квебеку про конфіденційність у приватному секторі (Закон про захист персональної інформації у приватному секторі) і наближає його до європейського GDPR, зберігаючи при цьому виразно канадські риси. Основні вимоги, що стосуються видавців та цифрових операторів:

• Явна, деталізована згода до збору або використання персональної інформації для будь-якої мети, що виходить за межі спочатку оголошеної.
• Призначений уповноважений із питань конфіденційності (за замовчуванням — керівник найвищого рангу, якщо офіційно не делеговано), ім'я та контакти якого мають бути оприлюднені на веб-сайті.
• Обов'язкові оцінки впливу на конфіденційність (PIA) перед запуском будь-якого проєкту, що передбачає персональну інформацію, особливо транскордонні передачі або нові технології.
• Повідомлення про порушення Commission d'accès à l'information (CAI) та постраждалим особам, якщо порушення несе ризик серйозної шкоди.
• Індивідуальні права, включаючи доступ, виправлення, видалення, перенесення та — унікально — право бути поінформованим про автоматизоване прийняття рішень і вимагати перевірки людиною.

Правозастосувальним органом є Commission d'accès à l'information du Québec (CAI), який протягом 2025 року надсилав офіційні повідомлення про розслідування численним міжнародним видавцям і платформам. На відміну від деяких регуляторів, CAI виявив готовність переслідувати не-канадські організації, що обслуговують мешканців Квебеку.

Особливості згоди на файли cookie: суворіше за GDPR у ключових сферах

Закон 25 безпосередньо не використовує слово «cookie», але його визначення технології, що ідентифікує, встановлює місцезнаходження або складає профіль особи охоплює файли cookie, пікселі, зняття цифрових відбитків та мобільні ідентифікатори на основі SDK. Розділ 8.1 є ключовим положенням: будь-яка така технологія, що активована за замовчуванням, має бути вимкнена за замовчуванням і вимагати активної згоди для вмикання.

Без попередньо встановлених прапорців, без мовчазної згоди

Це формулювання є суворішим за рамки ePrivacy GDPR в одному конкретному аспекті: недостатньо, щоб згода була opt-in — основна технологія також має бути технічно вимкнена до отримання згоди. Банер файлів cookie, що завантажує аналітику до того, як користувач натисне «прийняти», порушує Закон 25, навіть якщо сам банер технічно правильний. Видавці повинні впровадити справжнє завантаження скриптів, заблоковане до отримання згоди, подібно до Google Consent Mode v2 у розширеному режимі — базовий режим здебільшого недостатній.

Персоналізація на основі профілю вимагає окремої згоди

Якщо ви використовуєте файли cookie для формування профілю користувача з метою персоналізованої реклами, Закон 25 розглядає це як окрему мету, що потребує власного рівня згоди понад базову згоду на розміщення файлів cookie. Єдина кнопка «прийняти все», що об'єднує зберігання, аналітику та персоналізацію, перебуває під ризиком — регулятор Квебеку сигналізував про перевагу детальних перемикачів для кожної мети.

Транскордонні передачі: вимога PIA

Квебек є єдиною канадською провінцією, що вимагає формальної оцінки впливу на конфіденційність перед передачею персональної інформації за межі Квебеку — включаючи решту Канади, Сполучені Штати та європейські центри обробки даних. PIA має оцінювати:

• Чутливість даних, що передаються.
• Мету та необхідність передачі.
• Правову базу юрисдикції призначення.
• Наявні договірні та технічні гарантії.

Для видавців це найчастіше стосується аналітики, управління тегами, журналів CDN і даних рекламного сервера, що надходять до інфраструктури США. PIA відповідності вимогам Квебеку не блокує ці передачі, однак вимагає задокументованої оцінки і — що критично — письмового підтвердження від сторони-отримувача про захист даних за рівнозначними принципами. Стандартні договори SaaS, розміщених у США, рідко містять це формулювання за замовчуванням і мають бути змінені.

Повідомлення про автоматизоване прийняття рішень

Розділ 12.1 Закону 25 є унікальним у праві Північної Америки: якщо бізнес використовує персональну інформацію для прийняття рішення виключно на основі автоматизованої обробки, він зобов'язаний:

• Повідомити особу під час або до прийняття рішення.
• На запит пояснити використану персональну інформацію, підстави та основні чинники, що призвели до рішення.
• Надати можливість подати зауваження людині-рецензенту.

Для adtech це охоплює програматичне прийняття рішень щодо запитів на ставки, динамічне ціноутворення, оцінку шахрайства та будь-яке ранжування контенту за допомогою AI. Видавці рідко безпосередньо керують цими алгоритмами — вони покладаються на SSP та DSP — але Закон 25 розглядає видавця як спільно відповідальну сторону, коли рішення використовує дані, зібрані видавцем. Додавання короткого розкриття інформації про автоматизоване прийняття рішень до вашого повідомлення про конфіденційність є мінімальним кроком для забезпечення відповідності.

Практичний перелік дій для відповідності вимогам у 2026 році

Крок 1: Нанесіть на карту трафік із Квебеку та потоки даних

Скористайтесь геолокацією IP в аналітиці, щоб оцінити обсяг відвідувачів із Квебеку. Навіть якщо Квебек становить менш ніж 5% вашої аудиторії, штраф у 4% обороту робить ігнорування непропорційно ризикованим. Нанесіть на карту кожен файл cookie, піксель і SDK, що спрацьовують для користувачів із Квебеку, і визначте, куди потрапляють їхні дані.

Крок 2: Розгорніть CMP, заблоковану до отримання згоди

Ваша CMP має підтримувати справжнє блокування на рівні скриптів, а не косметичне закриття банера. FlexyConsent та інші CMP, сертифіковані Google, пропонують геоправила, специфічні для Квебеку, що поєднують логіку Закону 25 з ширшими сигналами Consent Mode v2 та GPP US-national. Попередньо налаштований режим Квебеку має за замовчуванням вимикати всі не-необхідні категорії.

Крок 3: Призначте та оприлюдніть уповноваженого з питань конфіденційності

Якщо ваша організація не має представництва в Канаді, ваш генеральний директор або еквівалент є уповноваженим із питань конфіденційності за замовчуванням, якщо ви не делегуєте це письмово. Опублікуйте ім'я та електронну адресу в повідомленні про конфіденційність — CAI перевіряє це під час першої перевірки.

Крок 4: Виконайте PIA перед новими проєктами

Кожен новий постачальник, кожна нова транскордонна передача, кожна нова технологія відстеження вимагає задокументованої PIA. Шаблонні PIA від CAI прийнятні; вам не потрібна індивідуальна юридична думка для рутинної аналітики або договорів CDN.

Крок 5: Оновіть своє повідомлення про конфіденційність

Квебек вимагає конкретних розкриттів: контактів уповноваженого з питань конфіденційності, категорій зібраної персональної інформації, строків зберігання, одержувачів-третіх осіб, місць призначення транскордонних передач та практик автоматизованого прийняття рішень. Загальне повідомлення GDPR майже ніколи не задовольняє Закон 25 без суттєвих доповнень.

Як Закон 25 Квебеку взаємодіє з PIPEDA та майбутнім Закону 25

PIPEDA, федеральний закон Канади про конфіденційність, застосовується до комерційної діяльності по всій Канаді — але Закон 25 Квебеку має пріоритет у межах Квебеку, оскільки провінція оголошена суттєво подібною для цілей конфіденційності у приватному секторі. На практиці це означає, що операції Квебеку за замовчуванням підпадають під Закон 25, а PIPEDA застосовується лише до діяльності, що перетинає провінційні кордони.

Канада також модернізує PIPEDA через запропонований Consumer Privacy Protection Act (CPPA). Якщо CPPA буде прийнятий у нинішньому вигляді, він наблизить решту Канади до моделі Квебеку — явна згода, значущі санкції, федеральний комісар із питань конфіденційності з повноваженнями видавати приписи та прозорість автоматизованого прийняття рішень. Видавці, які сьогодні будують свій стек навколо Закону 25 Квебеку, будуть добре підготовлені до федеральних змін завтра.

Коротко: Закон 25 Квебеку — це не провінційна цікавинка. Це шаблон того, куди прямує канадська конфіденційність, і найагресивніший режим конфіденційності в Америці. Видавці, рекламодавці та постачальники SaaS, що обслуговують канадський трафік, мають розглядати відповідність вимогам Закону 25 як пріоритет 2026 року, а не майбутній проєкт.