Conclusie AG HvJ: Autoriteit moet toegang hebben tot aan IP-adressen gekoppelde gegevens
02-11-2022 Print this page
Uit het perscommuniqué: Een nationale autoriteit moet toegang hebben tot aan IP-adressen gekoppelde gegevens betreffende de burgerlijke identiteit wanneer deze gegevens het enige onderzoeksmiddel zijn om de houders van deze adressen die worden verdacht van online inbreuken op het auteursrecht, te identificeren. Volgens hem is de voorgestelde zienswijze volledig in overeenstemming met het evenredigheidsbeginsel en garandeert zij ook dat de grondrechten van het Handvest worden nageleefd.
Vier organisaties die zich inzetten voor rechten en vrijheden op het internet (La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net en French Data Network) hebben bij de Conseil d’État (hoogste bestuursrechter, Frankrijk) verzocht om nietigverklaring van de stilzwijgende beslissing waarbij de Franse eerste minister hun verzoek tot intrekking van een decreet heeft afgewezen. Dat decreet voorziet in de automatische verwerking van persoonsgegevens om bepaalde intellectuele eigendom online te beschermen. Het doel van die verwerking is om personen de in het wetboek van intellectuele eigendom vermelde waarschuwing te sturen. Met die waarschuwing wordt opgetreden tegen het strafbaar feit „grove nalatigheid”. Daarvan is sprake als een persoon er niet op toeziet dat zijn internetaansluiting niet wordt gebruikt voor inbreukmakende handelingen. Als onderdeel van een zogenoemde stapsgewijze reactie („graduated response”) worden er aanbevelingen gestuurd naar de betrokken abonnementhouders. De genoemde organisaties stellen dat het decreet op onevenredige wijze toegang verleent tot verbindingsgegevens voor op het internet gepleegde inbreuken op het auteursrecht die niet ernstig zijn, zonder dat er vooraf een toetsing plaatsvindt door een rechter of een autoriteit die garanties biedt inzake onafhankelijkheid en onpartijdigheid, hoewel dit volgens de rechtspraak van het Hof1 vereist is.
De Conseil d’État constateert dat ambtenaren van de Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi, hoge autoriteit voor de verspreiding van werken en de bescherming van rechten op het internet) elk jaar een aanzienlijke hoeveelheid gegevens over de burgerlijke identiteit van de betrokken gebruikers verzamelen om die aanbevelingen te kunnen geven. Gezien het grote aantal aanbevelingen dreigt de uitvoering daarvan onmogelijk te worden indien deze gegevens slechts na toetsing kunnen worden ingezameld. De verwijzende rechter stelt het Hof dan ook vragen over de reikwijdte van een dergelijke voorafgaande toetsing en wenst in het bijzonder te vernemen of die toetsing ook moet worden verricht voor de met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit.
Volgens hem vereist het Unierecht niet dat de toegang van Hadopi tot de aan de IP-adressen van de gebruikers gekoppelde gegevens betreffende de burgerlijk identiteit vooraf wordt getoetst door een rechterlijke instantie of onafhankelijke bestuurlijke entiteit. Daar zijn twee redenen voor. Ten eerste is de toegang van Hadopi beperkt: zij kan alleen maar de gegevens betreffende de burgerlijke identiteit koppelen aan het gebruikte IP-adres en aan het op een bepaald moment geraadpleegde bestand, zonder dat de bevoegde autoriteiten kunnen reconstrueren welke websites de gebruiker in kwestie allemaal heeft bezocht, en dus precieze conclusies kunnen trekken over diens privéleven anders dan dat hij op het tijdstip van het strafbare feit een specifiek bestand heeft geraadpleegd. Ten tweede is de toegang van Hadopi tot aan IP-adressen gekoppelde gegevens betreffende de burgerlijke identiteit strikt beperkt tot hetgeen noodzakelijk is om het nagestreefde doel te bereiken, namelijk het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten op het internet waarvoor het IP-adres het enige onderzoeksmiddel is ter identificatie van de persoon aan wie dat adres was toegewezen op het moment waarop het feit werd gepleegd. Het „graduated response”-mechanisme voldoet aan dat doel.
