C-470/21 La Quadrature du Net e.a.
Prejudiciële hofzaak
Zie bijlage voor de verwijzingsuitspraak, en klik hier voor het dossier van het Hof van Justitie (voor zover beschikbaar). Termijnen: Motivering departement: 30 september 2021Schriftelijke opmerkingen: 16 november 2021
Trefwoorden : intellectueel eigendom, verwerking persoonsgegevens, AVG
Onderwerp :
- Handvest van de grondrechten van de Europese Unie
- Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie)
- Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming)
Feiten:
De verzoekende partijen verzoeken de Conseil d’État over te gaan tot nietigverklaring, wegens bevoegdheidsoverschrijding, van het stilzwijgende besluit waarbij de Franse eerste minister hun verzoek heeft afgewezen dat strekte tot intrekking van decreet nr. 2010-236. Dit decreet betreft de geautomatiseerde verwerking van persoonsgegevens. Tevens wordt verzocht om de eerste minister te gelasten dit decreet in te trekken. De verzoekers betogen dat het bestreden besluit in strijd is met verordening 2016/679 (de algemene verordening gegevensbescherming), artikel 15 van richtlijn 2002/58/EG en de artikelen 7, 8, 11 en 52 van het Handvest. Zij voeren aan dat het decreet en de bepalingen die er de wettelijke grondslag van vormen de toegang tot verbindingsgegevens op onevenredige wijze toestaan voor niet-ernstige overtredingen, zonder dat voorafgaandelijk een toetsing wordt verricht door een rechter of een autoriteit die waarborgen inzake onafhankelijkheid en onpartijdigheid biedt. Evenmin voorziet het decreet in een rechtsmiddel.
Overweging:
Volgens Frans recht moet degene die toegang heeft tot openbare online communicatiediensten ervoor zorgen dat deze toegang niet wordt gebruikt voor doeleinden van verspreiding en verveelvoudiging in brede zin van door een auteursrecht of naburig recht beschermde werken of voorwerpen zonder toestemming van de betrokken rechthebbenden, wanneer deze toestemming wordt vereist. De commissie voor bescherming van rechten (“CPD”) is onderdeel van de hoge autoriteit voor de verspreiding van de werken en de bescherming van de rechten op het internet (“ Hadopi” ) en ziet toe op nakoming van voornoemde verplichting. De CPD stuurt aanbevelingen aan degenen die de verplichting niet nakomen en gelast hen zo alsnog na te komen, met vermelding van eventuele sancties. Voor deze procedure is het noodzakelijk dat de CPD de betrokken gebruikers kan identificeren om hun de aanbevelingen te doen toekomen. Deze identificatie komt tot stand op basis van de gegevens die bij de exploitanten van elektronischecommunicatiediensten zijn verzameld om zo in het bij decreet nr. 2010-236 vastgestelde systeem te worden opgeslagen. De opgeslagen gegevens hebben volgens dit decreet uitsluitend betrekking op de namen en contactgegevens van abonnees en worden slechts bewaard ten einde te voorkomen dat strafbare feiten in verband met grove nalatigheid en vervalsing worden gepleegd. Hoewel richtlijn 2002/58 zich niet verzet tegen het verzamelen van gegevens betreffende de burgerlijke identiteit van de gebruikers van elektronischecommunicatiemiddelen in het kader van de bestrijding van strafbare feiten, blijkt uit jurisprudentie van het Hof dat voor de toegang van nationale instanties tot verbindingsgegevens een rechterlijke instantie of onafhankelijke bestuurlijke autoriteit een voorafgaande toetsing dient te verrichten. Echter, de CPD dient, voor toepassing van de aanbevelingenprocedure, jaarlijks een aanzienlijke hoeveelheid gegevens betreffende de burgerlijke identiteit van de betrokken gebruikers te verzamelen. Wanneer deze inzameling aan een voorafgaande toetsing wordt onderworpen, dreigt de uitvoering van de aanbevelingen onmogelijk te worden gemaakt.
Prejudiciële vragen:
1) Behoren de met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit tot de verkeers- en locatiegegevens waarvoor een rechterlijke instantie of onafhankelijke bestuurlijke entiteit met dwingende bevoegdheden in beginsel een voorafgaande toetsing moet verrichten?
2) Indien de eerste vraag bevestigend wordt beantwoord, moet [richtlijn 2002/58] van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie, gelezen in het licht van het Handvest van de grondrechten van de Europese Unie, dan gelet op de geringe gevoeligheid van de gegevens betreffende de burgerlijke identiteit van de gebruikers, daaronder begrepen hun contactgegevens, aldus worden uitgelegd dat zij zich verzet tegen een nationale regeling op grond waarvan deze met het IP-adres van de gebruikers overeenkomende gegevens worden verzameld door een administratieve instantie, zonder dat een rechterlijke instantie of onafhankelijke bestuurlijke entiteit met dwingende bevoegdheden een voorafgaande toetsing verricht?
3) Indien de tweede vraag bevestigend wordt beantwoord, staat richtlijn 2002/58 er dan aan in de weg dat deze toetsing op een aangepaste wijze wordt verricht, bijvoorbeeld op geautomatiseerde wijze, in voorkomend geval onder het toezicht van een interne dienst van het orgaan die garanties biedt inzake onafhankelijkheid en onpartijdigheid ten opzichte van de ambtenaren die belast zijn met het verzamelen van de gegevens betreffende de burgerlijke identiteit, een en ander gelet op de geringe gevoeligheid van deze gegevens, op de omstandigheid dat dit de enige gegevens zijn die mogen worden verzameld en dit enkel ter voorkoming van de niet-nakoming van verplichtingen die op nauwkeurige, limitatieve en restrictieve wijze zijn vastgesteld in het nationale recht, en op de omstandigheid dat een systematische toetsing van de toegang tot de gegevens van iedere gebruiker door een rechterlijke instantie of derde bestuurlijke entiteit met dwingende bevoegdheden afbreuk zou kunnen doen aan de vervulling van de openbaredienstverleningstaak die is opgedragen aan de – zelf onafhankelijke – bestuurlijke instantie die deze gegevens verzamelt?
Aangehaalde (recente) jurisprudentie: C-511/18, C-512/18 en C-520/18, C-203/15 en C-698/15; C-746/18
Specifiek beleidsterrein: JenV