27 okt 2022
Conclusie A-G: La Quadrature du Net
HvJ EU Conclusie A-G 27 oktober 2022, IEF 21055, IEFbe 3565, IT 4131; ECLI:EU:C:2022:838 (La Quadrature du Net) Zie [IEF 20258]. Vier organisaties die zich inzetten voor rechten en vrijheden op het internet, waaronder La Quadrature du Net, hebben bij de Conseil d’État (hoogste bestuursrechter in Frankrijk) verzocht om nietigverklaring van de stilzwijgende beslissing waarbij de Franse eerste minister hun verzoek tot intrekking van nationale regeling heeft afgewezen. De nationale regeling in kwestie staat toe dat een administratieve instantie die belast is met de bescherming van auteursrechten en naburige rechten tegen op het internet gepleegde inbreuken op deze rechten, toegang heeft tot met IP-adressen overeenkomende identiteit, zodat deze instantie de houders van deze adressen die ervan worden verdacht verantwoordelijk te zijn voor de inbreuken kan identificeren en in voorkomend geval tegen hen kan optreden. De toegang wordt niet vooraf door een rechter of een onafhankelijke bestuurlijke entiteit getoetst. Met zijn eerste en tweede prejudiciële vraag wenst de verwijzende rechter te vernemen of het Unierecht zich tegen een dergelijke nationale regeling verzet. A-G Szpunar concludeert dat het Unierecht zich niet tegen een dergelijke nationale regeling verzet wanneer die gegevens het enige onderzoeksmiddel vormen met behulp waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen op het moment waarop het strafbare feit werd gepleegd.
98. Om te waarborgen dat deze voorwaarden in de praktijk ten volle in acht worden genomen, is het volgens de rechtspraak dan ook van wezenlijk belang dat de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens in beginsel wordt onderworpen aan een voorafgaande toetsing door een rechterlijke instantie of door een onafhankelijke bestuurlijke entiteit.(52)
99. Ik merk evenwel op dat het Hof deze noodzaak om de toegang tot persoonsgegevens vooraf te toetsen heeft vastgesteld in specifieke, van de onderhavige zaak verschillende omstandigheden, waarbij het ging om bijzonder ernstige inmenging in het privéleven van gebruikers van elektronischecommunicatiediensten.
100. In elk van de arresten waarin dit vereiste voor het voetlicht is gebracht, betrof het namelijk nationale maatregelen die de toegang toestonden tot alle verkeers- en locatiegegevens van de gebruikers met betrekking tot alle elektronischecommunicatiemiddelen(53) of op zijn minst tot de vaste en mobiele telefonie(54). Meer specifiek ging het om de toegang tot „een reeks [gegevens] die informatie kunnen verschaffen over de communicaties van een gebruiker van een elektronischecommunicatiemiddel of over de locatie van de door hem gebruikte eindapparatuur en waaruit precieze conclusies kunnen worden getrokken over zijn persoonlijke levenssfeer”(55), zodat het vereiste van voorafgaande toetsing van de toegang tot die gegevens door een rechterlijke instantie of onafhankelijke bestuurlijke entiteit mijns inziens alleen onder deze voorwaarden bestaat.
101. Ten eerste is de toegang van Hadopi beperkt: zij kan alleen maar de gegevens betreffende de burgerlijke identiteit koppelen aan het gebruikte IP-adres en aan het op een bepaald moment geraadpleegde bestand, zonder dat de bevoegde autoriteiten kunnen reconstrueren welke websites de gebruiker in kwestie allemaal heeft bezocht, en dus precieze conclusies kunnen trekken over diens privéleven anders dan dat hij op het tijdstip van het strafbare feit een specifiek bestand heeft geraadpleegd. Het gaat er dus niet om de tracering van alle online activiteiten van de betrokken gebruiker mogelijk te maken.
102. Ten tweede hebben deze gegevens enkel betrekking op de gegevens van personen die, zoals in de door de organisaties van rechthebbenden opgestelde processen-verbaal is geconstateerd, handelingen hebben verricht die een geval van niet-nakoming van de verplichting van artikel L. 336‑3 CPI kunnen vormen. De toegang van Hadopi tot aan IP-adressen gekoppelde gegevens betreffende de burgerlijke identiteit is derhalve strikt beperkt tot hetgeen noodzakelijk is om het nagestreefde doel te bereiken, namelijk het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten op het internet waarvoor het IP-adres het enige onderzoeksmiddel is met behulp waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen op het moment waarop het feit werd gepleegd. Het „graduated response”-mechanisme voldoet aan dat doel.
103. In die omstandigheden ben ik van mening dat artikel 15, lid 1, van richtlijn 2002/58 niet vereist dat de toegang van Hadopi tot de aan de IP-adressen van de gebruikers gekoppelde gegevens betreffende de burgerlijke identiteit vooraf wordt getoetst door een rechterlijke instantie of onafhankelijke bestuurlijke entiteit.
104. Voor het overige merk ik op, net als de Franse regering benadrukt, dat de toegang door Hadopi tot die gegevens weliswaar niet is onderworpen aan een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke entiteit, maar niet volledig aan toezicht ontkomt, aangezien het door Hadopi aan de exploitanten van elektronischecommunicatiediensten gezonden bestand dagelijks door een beëdigd ambtenaar wordt samengesteld op basis van ontvangen meldingen van zaken die aan de hand van een willekeurige steekproef worden gevalideerd alvorens aan het bestand te worden toegevoegd.(56) Bovenal moet worden opgemerkt dat de „graduated response”-procedure onder de bepalingen van richtlijn (EU) 2016/680(57) blijft vallen. Uit dien hoofde hebben de natuurlijke personen tot wie Hadopi zich richt, een reeks door die richtlijn geboden materiële en procedurele waarborgen. Deze omvatten het recht op toegang tot en rectificatie en verwijdering van door Hadopi verwerkte persoonsgegevens, alsmede de mogelijkheid om een klacht in te dienen bij een onafhankelijke toezichthoudende autoriteit, in voorkomend geval gevolgd door een beroep op de rechter volgens de regels van het gemene recht.(58)
105. Bijgevolg stel ik het Hof voor om op de eerste en de tweede prejudiciële vraag te antwoorden dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich niet verzet tegen een nationale regeling waarbij er sprake is van bewaring door aanbieders van elektronischecommunicatiediensten en er toegang die beperkt is tot met IP-adressen overeenkomende gegevens betreffende de burgerlijke identiteit wordt verstrekt aan een administratieve instantie die belast is met de bescherming van auteursrechten en naburige rechten tegen op het internet gepleegde inbreuken op deze rechten, zodat deze instantie de houders van deze adressen die ervan worden verdacht verantwoordelijk te zijn voor deze inbreuken kan identificeren en eventueel tegen hen kan optreden, zonder dat de verstrekte toegang vooraf door een rechter of een onafhankelijke bestuurlijke entiteit wordt getoetst, wanneer die gegevens het enige onderzoeksmiddel vormen met behulp waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen op het moment waarop het strafbare feit werd gepleegd.
