Toegang (civielrechtelijk) tot identiteitsgegevens gekoppeld aan IP-adressen is toegestaan indien dergelijke gegevens het enige middel zijn om een persoon te identificeren die wordt verdacht van online inbreuken op het auteursrecht. Dit is de mening van advocaat-generaal Szpunar in zijn conclusie van 27 oktober 2022 in zaak C-470/21 (La Quadrature du Net, Fédération des fournisseurs d'accès à Internet associatifs, Franciliens.net, French Data Network/Eerste minister, Ministère de la Culture).

Feiten van de zaak

Het verzoek om een prejudiciële beslissing van de Conseil d'État (Frankrijk) is gebaseerd op een beroep van verenigingen voor gegevensbescherming tegen een decreet van de Franse premier. Volgens dit decreet heeft de "Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet" (hoge autoriteit voor de verspreiding van werken en de bescherming van rechten op internet - "Hadopi") rechtstreeks toegang tot de persoonsgegevens waarover de operatoren van elektronische communicatie beschikken, en mag zij deze gegevens inzien om de abonnees te waarschuwen voor inbreukmakend gedrag op het auteursrecht op internet. Het doel is de bestrijding van het als "grove nalatigheid" omschreven delict, namelijk het feit dat een persoon niet voorkomt dat zijn toegang tot het internet wordt gebruikt om handelingen te verrichten die een inbreuk op de wet op de intellectuele eigendom vormen. Houders van relevante abonnementen ontvangen aanbevelingen, die deel uitmaken van een "graduele reactieprocedure".

De argumenten van verzoeksters

Verzoekers stelden dat het decreet bepalingen van richtlijn 2002/58 betreffende privacy en elektronische communicatie en van het Handvest van de grondrechten schendt en beriepen zich op de respectieve rechtspraak van het HvJEU over de principiële onrechtmatigheid van gegevensbewaring. Zij voerden in de eerste plaats aan dat het decreet toegang tot verbindingsgegevens verleent op een wijze die onevenredig is, aangezien het slechts om kleine online gepleegde inbreuken op het auteursrecht gaat. Ten tweede is er geen voorafgaande toetsing door een rechter of een autoriteit die garanties voor onafhankelijkheid en onpartijdigheid biedt.

De gestelde vragen

De Conseil d'État wijst er enerzijds op dat volgens het recente arrest van het HvJEU in de zaak La Quadrature du Net e.a. een algemene en ongedifferentieerde regeling voor het bewaren van gegevens betreffende de civiele identiteit van gebruikers van elektronische communicatiesystemen met het oog op misdaadbestrijding niet door het Unierecht wordt uitgesloten. De Franse rechter verwees daarentegen naar het arrest van het HvJEU in de zaak Tele2 Sverige en Watson, waarin voor de toegang tot bewaarde gegevens door de bevoegde autoriteit een voorafgaande toetsing door een rechter of een onafhankelijke administratieve instantie wordt verlangd. De Franse rechter benadrukt echter dat Hadopi jaarlijks duizenden aanbevelingen aan abonnees doet, zodat een voorafgaande toetsing ondoenlijk is.

Bijgevolg wenst de Conseil d'État te vernemen of art. 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en de artikelen 7, 8 en 11 van de richtlijn? 7, 8 en 11 en art. 52, lid 1, CFR, zich verzet tegen de Franse regeling op grond waarvan een administratieve overheid ter bescherming van inbreuken op het auteursrecht toegang kan krijgen tot civiele identiteitsgegevens die overeenkomen met IP-adressen, zonder dat deze toegang vooraf door een rechter of een onafhankelijk administratief orgaan wordt getoetst.

De mening van de AG

AG Szpunar was allereerst van mening dat in het onderhavige geval een algemene en ongedifferentieerde bewaring van IP-adressen die zijn toegewezen aan de bron van een verbinding gerechtvaardigd en verenigbaar is met het EU-recht. Hij voerde aan dat anders het risico bestaat dat het plegen van inbreuken op het auteursrecht op het internet ongestraft blijft. Hij benadrukte echter dat een dergelijke regeling voor het bewaren van gegevens aan evenredigheidseisen moet voldoen.

Ten tweede ontkent AG Szpunar een verplichte voorafgaande controle voor zover de toegang tot de gegevens het niet mogelijk maakt de bezochte internetpagina's te volgen en beperkt blijft tot het doel van rechtshandhaving (namelijk het voorkomen, onderzoeken, opsporen en vervolgen van online strafbare feiten). Hij baseert dit resultaat op de strikte naleving van het evenredigheidsbeginsel bij de bewaring van gegevens volgens de rechtspraak van het HvJEU.

In wezen stelt de AG een "lichte" aanpassing voor van de rechtspraak van het HvJEU over nationale maatregelen voor het bewaren van bepaalde gegevens (hier: IP-adressen). In het licht van het recente arrest van het HvJEU over de Franse wetgeving waarin een algemene en ongedifferentieerde regeling voor het bewaren van gegevens met het oog op de bestrijding van marktmisbruik onverenigbaar met Richtlijn 2002/58 en het CFR wordt geacht (→ apart nieuwsbericht) en rekening houdend met de massale en uitgebreide verzameling van gegevens door de Franse administratieve instantie "Hadopi", is het de vraag of de rechters in Luxemburg de conclusies van de AG zullen volgen. In dit verband moet bovendien worden benadrukt dat eerdere rechtspraak van het HvJEU doeltreffende procedurele waarborgen vereist tegen misbruik van toegang tot bewaarde gegevens in de uitzonderlijke gevallen waarin gegevensbewaring is toegestaan. Daarom moet nader worden onderzocht of de Franse wetgeving dergelijke maatstaven voldoende biedt.