La Quadrature du Net II (HvJ EU, C-470/21) – Meer ruimte voor bewaarplicht van identificerende gegevens

Inleiding

1. Deze dataretentie-uitspraak van het Hof van Justitie van de Europese Unie (hierna: HvJ EU) gaat over de toegang tot identificerende gegevens en de verwerking daarvan door een Franse toezichthouder (Hadopi) die schendingen van auteursrechten op internet tegengaat. De Franse privacyvoorvechter en non-profit organisatie La Quadrature du Net heeft met een aantal andere belangenorganisaties een zaak tegen de Franse staat aangespannen, omdat zij van mening zijn dat een bewaarplicht voor dit doeleinde een disproportionele inbreuk maakt op de fundamentele rechten van personen. Eerder boekte de belangenorganisatie La Quadrature du Net succes met een soortgelijke procedure.[1] Naar aanleiding van de zojuist genoemde en andere ‘dateretentiezaken’ heeft het HvJ EU vanaf 2014 duidelijk gemaakt dat een algemene, ongedifferentieerde bewaarplicht van verkeersgegevens (waaronder locatiegegevens) voor opsporingsdoeleinden niet toelaatbaar is.[2]

In de daaropvolgende jurisprudentie worden daarbij nuances op dit verbod gemaakt met verwijzing naar de typen gegevens die worden opgeslagen, de ernst van de criminaliteit waarvoor de gegevens worden gebruikt en beperkingen in tijd en gebied. [3]  In het onderhavige arrest La Quadrature du Net II acht het HvJ EU een algemene bewaarplicht van identificerende gegevens van internetgebruikers om auteursrechtinbreuken tegen te gaan onder voorwaarden toelaatbaar. Het gaat daarbij met name om een duidelijke regeling met waarborgen tegen misbruik, voorwaarden voor de verwerking van de gegevens, het toezicht daarop en de rechten van een betrokkene als het tot een procedure komt. Het arrest van de voltallige kamer van het HvJ EU is belangwekkend, omdat het staten en de Europese Commissie meer ruimte biedt voor wetgeving voor een ruimere bewaarplicht van identificerende gegevens van internetgebruikers dan eerdere jurisprudentie.

Aanleiding en prejudiciële vragen

2. In Frankrijk heeft de toezichthouder Hadopi, zeker vergeleken met het stelsel in Nederland, stevige bevoegdheden om auteursrechtinbreuken tegen te gaan.[4] Na een melding van een organisatie van auteursrechthebbenden van een mogelijke inbreuk en de verstrekking van het bijbehorende IP-adres, kan Hadopi dit IP-adres natrekken door de betrokken internetproviders te vragen de betreffende IP-adressen te koppelen aan de bij hen opgeslagen klantgegevens. Deze gegevens worden door de internetprovider bewaard in verband met de Franse bewaarplicht.[5] Als blijkt dat mogelijk een inbreuk op een auteursrechtelijk beschermd werk is gemaakt, kan Hadopi de betrokkene met een bericht waarschuwen en verzoeken de gedraging, waarmee een inbreuk wordt gemaakt op  auteursrechten, te beëindigen (na zes maanden kan een tweede waarschuwing uitgaan). Na twee waarschuwingen kan Hadopi de betrokkene notificeren dat mogelijk sprake is van een overtreding van het auteursrecht die kan worden bestraft met een maximumgeldboete van 1.500 euro of 3.000 euro in geval van recidive.[6] Uiteindelijk kan Hadopi melding doen aan het openbaar ministerie dat mogelijk sprake is van strafbare feiten. Het Franse openbaar ministerie kan, als sprake is van een misdrijf, een straf eisen van maximaal drie jaar gevangenisstraf of een geldboete van 300.000 euro.[7]

3. Uit de bovenstaande beschrijving van de werkwijze van Hadopi blijkt duidelijk dat een handhavend onderzoek door de toezichthouder, door gebruik te maken van de verstrekkende bevoegdheid identificerende gegevens bij internetserviceproviders op te vragen, een privacy-inbreuk met zich meebrengt. Het gaat hier om een aanzienlijke hoeveelheid verwerkingen van persoonsgegevens. Sinds de oprichting van Hadopi in 2009 zijn meer dan 12,7 miljoen waarschuwingen aan personen verzonden.[8] Om deze reden heeft de belangenorganisatie La Quadrature du Net e.a. een procedure aangespannen. Zij betogen in het bijzonder dat op onevenredige wijze toegang wordt gegeven aan Hadopi tot gevoelige (verkeers)gegevens voor op het internet gepleegde inbreuken op het auteursrecht die niet ernstig zijn, zonder dat er sprake is van voorafgaande toetsing door een rechter of een autoriteit die garanties biedt inzake onafhankelijkheid en onpartijdigheid.[9] Daarbij wordt volgens de organisatie ten eerste in strijd gehandeld met het in de Franse Grondwet vastgelegde recht op eerbiediging van het privéleven en ten tweede met het Unierecht, in het bijzonder artikel 15 van e-Privacyrichtlijn (2002/58) en de artikelen 7, 8, 11 en 52 van het Handvest.[10]

4. De Franse Raad van State (Conseil d’État) heeft in reactie hierop het HvJ EU verzocht antwoord te geven op drie prejudiciële vragen die het Hof uitlegt als de vraag of het EU-recht zich verzet tegen de Franse bewaarregeling, waarbij Hadopi toegang heeft tot de identificerende gegevens die door de bewaarplicht worden opgeslagen. De toezichthouder heeft toegang tot deze gegevens bij internetserviceproviders en mag deze gegevens gebruiken in een van de volgende situaties: (a) het opsporen van activiteiten die inbreuken op auteursrechten kunnen vormen: (b) de identificatie van personen die dergelijke inbreuken zouden maken; en (c) in voorkomend geval optreden tegen deze personen, zonder dat deze toegang/gebruik vooraf door een rechter of een onafhankelijke bestuurlijke entiteit moet worden getoetst.[11]

Gevoeligheid van IP-adressen

5. Het HvJ EU begint de beantwoording van de vragen met een vaststelling over de gevoeligheid van de gevorderde gegevens en stelt dat ‘in deze specifieke context’ de inbreuk op privacyrechten niet ernstig is, omdat een koppeling moet worden gemaakt tussen het IP-adres en de klantgegevens en het enige doel is de houder van een IP-adres te identificeren, dat is gebruikt voor activiteiten die mogelijk inbreuk maken op auteursrechten.[12] Het gaat volgens het HvJ EU hier niet om IP-adressen (verkeersgegevens) die informatie geven over de communicatie van de gebruiker of zijn locatie, maar om identificerende gegevens. In deze context vindt het HvJ EU de inmenging niet ernstig en kan de inmenging in artikel 15 lid 1 van de e-Privacyrichtlijn en de artikelen 7, 8 en 11 van het Handvest worden gerechtvaardigd.[13] Het HvJ EU kwalificeert de IP-adressen in lijn met eerdere jurisprudentie wel als verkeersgegevens, maar onderscheidt deze in dit geval van andere categorieën van verkeersgegevens. In die andere, gevoelige, categorieën van verkeersgegevens kan aan de hand van IP-adressen het internetgebruik van personen in beeld worden gebracht of kunnen locatiegegevens een indringend beeld van het privéleven van personen geven.[14]

6. In de voorliggende omstandigheden beschikt Hadopi via rechthebbende organisaties over IP-adressen die mogelijk inbreuk op auteursrechten maken en vraagt Hadopi aan de betrokken internetserviceproviders om de betreffende IP-adressen te koppelen aan bij hen opgeslagen gebruikersgegevens (naam- en adresgegevens). Op grond hiervan kan Hadopi volgens het HvJ EU nog geen precieze conclusies trekken over het privéleven van gebruikers. Daarmee hebben de IP-adressen in deze omstandigheden een identificerend karakter – ondanks dat het naar hun kern verkeersgegevens zijn – en zijn ze minder gevoelig dan wanneer ze worden gebruikt om iemands’ internetgebruik in kaart brengen en zo een nauwkeurig beeld van iemands’ privéleven ontstaat.[15] In dit laatste geval is volgens het HvJ EU sprake van gevoelige verkeersgegevens die een ernstige inbreuk op fundamentele rechten kunnen maken en is op basis van eerdere jurisprudentie een onafhankelijke voorafgaande toets noodzakelijk.[16] Volgens het HvJ EU is daarvan in de getrapte aanpak van Hadopi geen sprake in de eerste fasen van het proces (d.w.z. de waarschuwingen die verzonden worden), maar mogelijk wel in de laatste fase waarin een melding kan worden gedaan bij het Openbaar Ministerie. In die fase kan door het tijdsverloop en de verkregen informatie over de gebruiker een min of meer volledig beeld van bepaalde aspecten van het internetgebruik van een gebruiker bij Hadopi zijn ontstaan; bijvoorbeeld door een analyse van welke auteursrechtelijk beschermde door de betrokkene worden bekeken, waardoor een risico bestaat van een zwaardere inbreuk op het privéleven.[17] Daarbij merkt het HvJ EU ook op dat de voorafgaande toetsing van de verkregen gegevens van de rechthebbende organisaties over vermeende schendingen van het auteursrecht in geen geval volledig geautomatiseerd mag zijn en een menselijke afweging van de verschillende legitieme belangen door de tussenkomst van een natuurlijk persoon is vereist, mede gelet op het automatische karakter en de grote schaal van de gegevensverwerking die risico’s voor de persoonlijke levenssfeer van betrokkenen met zich meebrengen.[18] Het HvJ EU acht overigens het analyseren van ‘sporen’ of sociale netwerken, zoals gebruikte inloggegevens of contactgegevens als ingrijpender alternatieven.[19]

Bewaarplicht identificerende gegevens mogelijk onder voorwaarden

7. Kort gezegd, kan volgens het HvJ EU de inmenging met artikel 15 van de e-Privacyrichtlijn en de artikelen 7, 8, 11 en 52 lid 1 van het Handvest door een dergelijke bewaarplicht ter bescherming van intellectuele eigendomsrechten of voor het tegengaan van strafbare feiten onder voorwaarden worden gerechtvaardigd.[20] Een lidstaat kan dus een verplichting tot algemene en ongedifferentieerde bewaring van IP-adressen opleggen met het oog op de bestrijding van strafbare feiten in het algemeen.[21] Het HvJ EU overweegt daarbij dat een IP-adres het enige aanknopingspunt kan zijn om strafbare feiten op het internet te onderzoeken en daders te identificeren. Straffeloosheid dreigt wanneer de toegang tot identificerende gegevens van internetgebruikers op basis van de e-Privacyrichtlijn en het Handvest verboden zouden zijn.[22]

8. Staten die een beperkte bewaarplicht van identificerende gegevens mogelijk maken, moeten daarbij voldoen aan de door het HvJ EU in het arrest gestelde voorwaarden. Volgens het Hof moeten de identificerende gegevens strikt gescheiden worden van eventueel andere opgeslagen verkeersgegevens, zodat bij het combineren daarvan geen nauwkeurige gevolgtrekkingen zijn te maken over het privéleven van de betrokken persoon.[23] In de technische systemen moet een volledige scheiding (“genuinely watertight”) van de verschillende categorieën bewaarde gegevens worden gegarandeerd en dit moet regelmatig worden gecontroleerd door een publieke autoriteit (die niet dezelfde is als de vorderende autoriteit).[24] De bewaringstermijn moet daarbij tot het strikt noodzakelijke zijn beperkt. Door het gebruik van duidelijke en nauwkeurige regels moet worden verzekerd dat de betrokken personen beschikken over effectieve waarborgen tegen het risico van misbruik en tegen onrechtmatige toegang tot en onrechtmatig gebruik van die gegevens. Ook moet de betrokkene in een procedure bepaalde materiële en procedurele waarborgen genieten die de richtlijn voor het verwerken van persoonsgegevens voor opsporingsinstanties[25] voorschrijft, zoals 1) het recht om opmerkingen te maken; 2) het recht om preciseringen te verkrijgen over de hem verweten inbreuken op intellectuele eigendomsrechten; 3) toegang hebben tot door Hadopi verwerkte persoonsgegevens (inzagerecht); 4) het recht rectificatie en verwijdering te vragen van door Hadopi verwerkte persoonsgegevens; en 5) alsmede de mogelijkheid om een klacht in te dienen bij een onafhankelijke toezichthoudende autoriteit.[26] Het is aan de nationale rechter om te beoordelen of een nationale wet aan deze voorwaarden voldoet.[27]

Slotbeschouwing

9. Het arrest leidde direct tot kritiek van belangenorganisatie La Quadrature du Net en andere organisaties. Zij maken zich zorgen dat de uitspraak de deur openzet voor andere nationale bewaarplichten voor de identificatie van internetgebruikers om gedigitaliseerde criminaliteit en inbreuken op intellectuele eigendomsrechten tegen te gaan.[28] Omdat wij in Nederland het Franse systeem met een toezichthouder als Hadopi niet kennen, lijkt de uitspraak op het eerste gezicht vergaand: het is alsof het HvJ EU plotseling ruim baan geeft aan staten en aan de Europese Commissie om nieuwe dataretentiewetgeving in te voeren.[29] Toch was ook al in het eerste La Quadrature du Net-arrest te lezen dat het HvJ EU een algemene en ongedifferentieerde opslag van identificerende gegevens van internetgebruikers niet als een bijzonder grote inmenging op privacyrechten ziet en een bewaarplicht onder voorwaarden mogelijk acht.[30] De realiteit is dat zonder deze gegevens bepaalde vormen van cybercriminaliteit bijzonder lastig zijn op te sporen en dit volgens het HvJ EU een beperkte bewaarplicht (zonder verkeersgegevens en inhoudelijke gegevens) kan rechtvaardigen.[31] Het HvJ EU bevestigt daarmee deze lijn uit eerdere jurisprudentie en biedt daarbij nieuwe mogelijkheden voor een vorm van dataretentie. Wij signaleren daarbij wel dat het HvJ EU wederom zeer gedetailleerde vereisten voor een dergelijke regeling stelt, bijvoorbeeld met betrekking tot de ‘volledige scheiding van gegevens’, de materiële en procedurele waarborgen in procedures en het verbod op geautomatiseerde besluitvorming. Ondanks deze nuancering op het verbod van een algemene en ongedifferentieerde bewaarplicht, wordt de spanning met de soevereiniteit van staten om hun eigen wetgeving in te richten met deze uitspraak slechts in beperkte mate weggenomen.

J.J. Oerlemans & M. Hagens
Prof. mr. dr. J.J. Oerlemans is bijzonder hoogleraar Inlichtingen en Recht bij de Universiteit Utrecht en universitair docent Strafrecht bij de Universiteit Leiden.
Mr. dr. M. Hagens is senior toezichthouder bij de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). Deze annotatie is op persoonlijke titel geschreven.

[1] La Quadrature du Net, HvJ EU 6 oktober 2020, gev. zaken C-511/18, C-512/18 en C-520/18, ECLI:EU:C:2020:791, EHRC Updates, m.nt. J. Schoers; JBP 2021/1-2, m.nt. J.J. Oerlemans & M. Hagens

[2] Digital Rights Ireland, HvJ EU (GK) 8 april 2014, zaken C-293/12 en C-594/12, ECLI:EU:C:2014:238, «EHRC» 2014/140 m.nt. M.E. Koning.

[3] Tele2 Sverige, HvJ EU (GK) 21 december 2016, zaken C-203/15 en C-698/15, ECLI:EU:C:2016:970, «EHRC» 2017/79 m.nt. M.E. Koning; Ministerio Fiscal, HvJ EU (GK) 2 oktober 2018, C‑207/16, ECLI:EU:C:2018:788, «EHRC» 2019/18 m.nt. B. van der Sloot; Spacenet en VD, HvJ EU 20 september 2022, gev. zaken C-339/20 en C-397/20, ECLI:EU:C:2022:703, EHRC Updates, m.nt. D.A.G. van Toor; G.D. t. the Commissioner of the Garda Síochána e.a., HvJ EU 5 april 2022, ECLI:EU:C:2022:258, m.nt. R.H.T. Jansen en R.M. te Molder en het overzichtsartikel J.J. Oerlemans & M. Hagens, ‘De dataretentie-uitspraken: is er licht aan het einde van de tunnel?’, in: F.C. van der Jagt-Vink, A.M. Klinkenberg & H.R. Kranenborg (red.), JBP Select. Tien jaar Jurisprudentie Bescherming Persoonsgegevens, Sdu 2023, p. 199-232.

[4] Nederland kent op het moment van schrijven geen bewaarplicht om criminaliteit of intellectuele eigendomsrechten tegen te gaan. Bovendien hebben Nederlandse handhavers van auteursrechten geen wettelijk vastgelegde bevoegdheden om deze gegevens te vorderen.

[5] La Quadrature du Net II, par. 55. De klantgegevens betreffen de achternaam en voornamen, het postadres en de e-mailadressen, de telefoongegevens en het adres van de telefooninstallatie van de abonnee.

[6] La Quadrature du Net II, par. 25 en par. 57.

[7] La Quadrature du Net II, par. 57 en par. 145 en par. 147.

[8] La Quadrature du Net II, par. 50.

[9] Concl. AG Szpunar, HvJ EU 27 oktober 2022, C-470/21, ECLI:EU:C:2022:838, par. 28. Zie over de gevoeligheid van verkeersgegevens (waaronder locatiegegevens) en het vereiste van voorafgaande toestemming ook Prokuratuur, HvJ EU 2 maart 2021, C-476/18, ECLI:EU:C:2021:152, EHRC Updates, m.nt. D.A.G. van Toor.

[10] La Quadrature du Net II, par. 41-50

[11] La Quadrature du Net II, par. 52.

[12] La Quadrature du Net II, par. 71-73.

[13] La Quadrature du Net II, par. 74 en 90.

[14] La Quadrature du Net II, par. 75-81.

[15] La Quadrature du Net II, par. 113-115.

[16] La Quadrature du Net II, par. 135-143.

[17] La Quadrature du Net II, par. 141-143 en 145.

[18] La Quadrature du Net II, par. 144-151.

[19] La Quadrature du Net II, par. 120-121.

[20] Zie ook La Quadrature du Net II, par. 164.

[21] La Quadrature du Net II, par. 90 en 92.

[22] La Quadrature du Net II, par. 117 en par. 119 met verwijzing naar concl. AG Szpunar, HvJ EU 27 oktober 2022, C-470/21, ECLI:EU:C:2022:838, par. 80-81.

[23] La Quadrature du Net II, par. 83.

[24] La Quadrature du Net II, par. 84, par. 86-87 en par. 89. Zie ook de overwegingen over onafhankelijkheid in par. 125-127.

[25] Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad.

[26] La Quadrature du Net II, par. 160-163.

[27] La Quadrature du Net II, par. 93 en 94.

[28] ‘Surveillance and Hadopi: EU court buries online anonymity a little further’, laquadrature.net, 30 april 2024.

[29] Zie ook La Quadrature du Net II, HvJ EU (GK) 30 april 2024, ECLI:EU:C:2024:370, Computerrecht 2024/142, m.nt. D. Verhulst.

[30] Zie La Quadrature du Net, par. 152 en 155-159; Commissioner of the Garda Síochána, p. 73; Spacenet en VD, par. 97; Breyer, EHRM 20 januari 2020, nr. 50001/12, ECLI:CE:ECHR:2020:0130JUD005000112, par. 92 en 94, ECHR Updates 2020/78, m.nt. H.R. Kranenborg en JBP 2020/29, m.nt. Kranenborg en J.J. Oerlemans & M. Hagens, ‘De dataretentie-uitspraken: is er licht aan het einde van de tunnel?’, in: F.C. van der Jagt-Vink, A.M. Klinkenberg & H.R. Kranenborg (red.), JBP Select. Tien jaar Jurisprudentie Bescherming Persoonsgegevens, Sdu 2023, p. 231.

[31] Zie ook J.J. Oerlemans, M. Hagens & S. Royer, ‘Tijd voor een nieuwe bewaarplicht?’, Computerrecht 2021/59, nr. 2, p. 151-159 en.