EU-Hof: een algemene en ongedifferentieerde bewaring van IP-adressen vormt niet noodzakelijkerwijs een ernstige inmenging in de grondrechten en is onder voorwaarden toegestaan
Nieuwsbericht | 07-05-2024
Het gaat om het arrest van het EU-Hof van 30 april 2024 in zaak C-470/21 (La Quadrature du Net e.a.).
Achtergrond Bij een Frans decreet zijn twee soorten verwerkingen van persoonsgegevens ingevoerd met het doel om werken, waarop auteursrechten of naburige rechten rusten, te beschermen tegen online gepleegde strafbare feiten. De eerste verwerking bestaat erin dat organisaties die de auteurs vertegenwoordigen IP-adressen verzamelen die op peer-to-peerwebsites blijken te zijn gebruikt om dergelijke strafbare feiten te plegen, en die adressen ter beschikking stellen van de Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi ; de hoge autoriteit voor de verspreiding van werken en de bescherming van rechten op het internet). Bij de tweede verwerking wordt, op verzoek van de Hadopi, het IP-adres door de internetproviders gekoppeld aan de gegevens betreffende de burgerlijke identiteit van de houder van dat adres. Door deze gegevensverwerkingen kan deze autoriteit tegen de geïdentificeerde personen een procedure instellen waarin pedagogische en repressieve maatregelen worden gecombineerd en in de meest ernstige gevallen het openbaar ministerie kan worden ingeschakeld.
Vier organisaties voor de bescherming van rechten en vrijheden op internet hebben bij de Conseil d’État (de hoogste Franse bestuursrechter) beroep tot nietigverklaring van het betreffende decreet ingesteld. Deze Franse rechter wenst van het EU-Hof te vernemen of de genoemde gegevensverwerkingen verenigbaar zijn met het Unierecht, meer specifiek met artikel 15 van richtlijn 2002/58 betreffende privacy en elektronische communicatie en met de artikelen 7, 8, 11 en 52 van het EU-Handvest voor de grondrechten.
EU-Hof Het EU-Hof is van oordeel dat de algemene en ongedifferentieerde bewaring van IP-adressen niet noodzakelijkerwijs een ernstige inmenging in de grondrechten vormt. Een dergelijke bewaring is toegestaan wanneer de nationale regelgeving een wijze van bewaring verplicht stelt die waarborgt dat de verschillende categorieën persoonsgegevens daadwerkelijk hermetisch van elkaar zijn gescheiden en uitsluit dat er nauwkeurige conclusies kunnen worden getrokken over het privéleven van de betrokkene.
Het EU-Hof verduidelijkt ook dat het Unierecht zich niet verzet tegen nationale regelgeving die de bevoegde overheidsinstantie, met het enkele doel om de persoon die wordt verdacht van het plegen van een strafbaar feit te identificeren, toegang geeft tot de gegevens betreffende de burgerlijke identiteit die aan een IP-adres zijn gekoppeld en die afzonderlijk en daadwerkelijk hermetisch van elkaar gescheiden door internetproviders worden bewaard. De EU-lidstaten moeten niettemin waarborgen dat door deze toegang geen nauwkeurige conclusies kunnen worden getrokken over het privéleven van de houders van de betrokken IP-adressen. Dit houdt in dat het ambtenaren die deze toegang hebben moet worden verboden om informatie over de inhoud van de geraadpleegde bestanden openbaar te maken, aan de hand van de IP-adressen de zoekgeschiedenis te traceren en deze adressen voor andere doeleinden te gebruiken dan het identificeren van de houders ervan om maatregelen vast te stellen.
Wanneer de toegang tot gegevens betreffende de burgerlijke identiteit van de gebruikers van elektronische communicatiemiddelen louter tot doel heeft om de betrokken gebruiker te identificeren, hoeft deze toegang volgens het EU-Hof niet vooraf door een rechterlijke instantie of een onafhankelijke administratieve instantie te worden gecontroleerd, aangezien deze toegang een inmenging in de grondrechten inhoudt die niet als ernstig kan worden aangemerkt. Deze controle moet echter wel plaatsvinden in het geval dat het door de bijzonderheden van een nationale procedure die een dergelijke toegang regelt mogelijk is om – door de verzamelde gegevens en informatie geleidelijk aan tijdens de verschillende stappen van deze procedure aan elkaar te koppelen – nauwkeurige conclusies te trekken over het privéleven van de betrokkene en deze toegang dan ook een ernstige inmenging in de grondrechten kan inhouden. In een dergelijk geval moet de controle door een rechterlijke instantie of een onafhankelijke administratieve instantie worden verricht voordat deze gegevens worden gekoppeld. Daarbij moet tegelijkertijd de doelmatigheid van de procedure worden behouden door het in het bijzonder mogelijk te maken om de gevallen te identificeren waarin het betrokken inbreuk makende gedrag opnieuw begint. Meer informatie: Persbericht Curia ECER-dossier: Privacy- AVG ECER-EU-essentieel: Handvest voor de grondrechten