Juridisch overzicht nr. 86 – augustus 2025. 

 

Cookies en internettargeting: de huidige stand van zaken.

Op 1 september legde de CNIL een boete van 325 miljoen euro op aan Google en 150 miljoen euro aan de Ierse dochteronderneming van de Shein-groep. Deze twee bedragen verhogen het gemiddelde van de sancties die de CNIL de afgelopen maanden heeft opgelegd aanzienlijk.

Google kreeg sancties opgelegd voor het weergeven van advertenties tussen de e-mails van Gmail-gebruikers en voor het plaatsen van cookies bij het aanmaken van Google-accounts, zonder de geldige toestemming van Franse gebruikers.

De CNIL verplicht Google bovendien om deze weergave van advertenties binnen zes maanden te verwijderen en om bij het aanmaken van een Google-account geldige toestemming van gebruikers te verkrijgen voor het plaatsen van advertentiecookies, op straffe van een boete van 100.000 euro per dag. 

De boete die aan Shein is opgelegd, heeft ook betrekking op het niet naleven van de regels met betrekking tot cookies die op de apparaten van gebruikers van de website "shein.com" worden geplaatst.

Deze aanzienlijke boetes maken deel uit van de verschillende maatregelen die de Commissie heeft genomen om het volgen en targeten van internetgebruikers te reguleren, en die in 2019 op haar website zijn gepubliceerd.

De CNIL had Google in december 2021 al een boete van 150 miljoen euro opgelegd voor het schenden van de cookie-regelgeving en 50 miljoen euro voor het gebrek aan transparantie en duidelijkheid van het privacybeleid en het ontbreken van een wettelijke basis voor gepersonaliseerde reclame.

Het heeft onlangs ook het bedrijf Orange gesanctioneerd voor soortgelijke praktijken, namelijk het versturen van reclame via e-mail.

Deze uitspraken bieden ons de mogelijkheid om de praktijken rondom het targeten van internetgebruikers en het juridische kader te evalueren.

De regels die van toepassing zijn op specifieke gevallen zijn specifiek: de Commissie herinnert eraan dat activiteiten met betrekking tot het gebruik van trackers en elektronische prospectie niet onder de AVG vallen, maar onder andere regels: de "ePrivacy"-richtlijn, die voor trackers is omgezet in artikel 82 van de Wet bescherming persoonsgegevens, en L. 34-5 van het CPCE voor commerciële prospectie via elektronische middelen.

Praktijken die als niet-conform worden beschouwd, betreffen voornamelijk het plaatsen van trackers zonder toestemming van de gebruiker, maar ook de toenemende praktijk van het gebruik van "cookie walls", waarbij de toegang van de gebruiker tot een dienst afhankelijk wordt gesteld van diens acceptatie van het plaatsen van trackers op het apparaat.

De CNIL beschouwt deze praktijk, in tegenstelling tot sommige andere Europese instanties, niet als op zichzelf illegaal.

Ze benadrukt echter dat toestemming vrijwillig moet worden gegeven en dat de alternatieven die aan de gebruiker worden aangeboden, op een evenwichtige manier moeten worden gepresenteerd, zonder de gebruiker aan te moedigen de ene optie boven de andere te verkiezen (bijvoorbeeld door de ene keuze complexer te maken dan de andere).

Het is ook noodzakelijk dat toestemming geïnformeerd is, wat betekent dat mensen de gevolgen van hun keuzes volledig en duidelijk begrijpen.

Deze beslissingen van de CNIL zijn tevens het resultaat van klachten die de NGO noyb meer dan twee jaar geleden bij diverse gegevensbeschermingsautoriteiten (DPA's) in Europa heeft ingediend, voornamelijk over het fenomeen van cookie walls of 'pay or okay' en de kwestie van transparantie bij gegevensverzameling.

Zo heeft de Oostenrijkse Federale Administratieve Rechtbank medio augustus het advies van de Oostenrijkse Autoriteit voor Gegevensbescherming gevolgd en geoordeeld dat het bestaan van meerdere doeleinden voor het plaatsen van cookies afzonderlijke toestemming vereist.

Volgens de rechtbank zou het groeperen van verschillende verwerkingsdoeleinden de keuzevrijheid aantasten en de toestemming ongeldig maken.

"Deze gedetailleerdheid hangt nauw samen met de eis dat toestemming moet worden gegeven voor een specifiek doel," aldus de toelichting op het vonnis.

Deze recente ontwikkelingen bevestigen het standpunt van de toezichthoudende autoriteiten dat het wettelijk kader, en met name de ePrivacyrichtlijn, strikt van toepassing is op toestemming, vooral voor niet-essentiële cookies.

De autoriteiten tolereren geen standaardtoestemmingen of vage informatieverstrekking meer.

       

Hij werd deze zomer door de Senaat ondervraagd. Anton Carniaux, directeur publieke en juridische zaken bij Microsoft Frankrijk, gaf toe dat hij niet kon "garanderen" dat de gegevens van Franse burgers die in Europa worden opgeslagen, nooit aan de Amerikaanse overheid zouden worden doorgegeven. onder de Cloud Act, ook al "is dit nog nooit gebeurd".

In deze context van afhankelijkheid van Amerikaanse giganten heeft de Deense overheid de officiële lancering aangekondigd van een initiatief om de integratie van open-source oplossingen in haar publieke diensten te onderzoeken.

Op 9 september publiceerden de DGE en de DGCCRF het ontwerp van de aanwijzing van de nationale autoriteiten die verantwoordelijk zijn voor de uitvoering van de Europese verordening inzake kunstmatige intelligentie.

Het document bevat een schema dat de – talrijke – bevoegde autoriteiten weergeeft, overeenkomstig de relevante artikelen van de verordening en de doeleinden van de AI-verwerking.

Dankzij het werk van het plaatsvervangend hoofd van de juridische missie van DINUM is het nu mogelijk om de kaart met CNIL-inspecties per jaar en sector te raadplegen.

De kaart richt zich op deze controles en omvat niet alle acties van de CNIL, zoals bewustmakingscampagnes, formele kennisgevingen, sancties, enz.

Het is gebaseerd op de gegevens die de CNIL publiceert op data.gouv.

 

Europese instellingen en organen

Het Europese nieuws is in deze tijd van het jaar druk, vanwege de activiteiten van de instellingen en met name het Hof van Justitie van de Europese Unie (HvJEU).

Het voorstel voor een verordening inzake de controle op communicatie ("chatcontrole"), gericht op het voorkomen en bestrijden van seksueel misbruik van kinderen, staat opnieuw op de agenda van de Europese Raad van 12 september 2025 onder het Deense voorzitterschap.

Het herziene voorstel biedt de mogelijkheid om berichten op de terminal van de gebruiker te scannen voordat ze worden verzonden en vormt, in de ogen van veel wetenschappers en het maatschappelijk middenveld, een stap terug ten opzichte van de tekst van het Poolse voorzitterschap.

Op 8 september werd een nieuwe open brief (de vierde over dit onderwerp) gepubliceerd, ondertekend door meer dan 600 wetenschappers uit 34 landen.

Ze benadrukt de inefficiëntie en risico's van dit voorstel op het gebied van encryptie en noemt mogelijke alternatieven.

Op 4 september heeft de Europese Commissie het proces in gang gezet om met Brazilië een adequaatheidsbesluit inzake gegevensbescherming vast te stellen.

Zodra dit besluit is aangenomen, zal het het eerste adequaatheidsbesluit voor Latijns-Amerika zijn sinds de besluiten betreffende Argentinië op 3 juni 2003 en Uruguay op 21 augustus 2012.

De Braziliaanse autoriteiten hebben ook een proces opgestart om een soortgelijk besluit te nemen dat het vrije verkeer van Braziliaanse gegevens naar de EU mogelijk maakt.

De volgende stappen omvatten het ter beoordeling voorleggen van het ontwerpbesluit aan het Europees Comité voor gegevensbescherming (EDPB) en aan de Raad van Ministers die de EU-lidstaten vertegenwoordigt.

Het Europees Parlement zal het voorstel ook bestuderen.

Op 5 september, De Europese Commissie heeft aangekondigd dat ze Google een boete van 2,95 miljard euro zal opleggen. voor het schenden van de EU-mededingingsregels door de concurrentie in de sector van reclametechnologie ("adtech") te vervalsen.

Google zou zijn eigen online advertentietechnologie hebben bevoordeeld ten koste van concurrerende aanbieders van advertentietechnologie, adverteerders en online uitgevers.

De Commissie heeft Google opgedragen een einde te maken aan deze praktijken van zelfbevoordeling en maatregelen te implementeren om de belangenconflicten in de toeleveringsketen van advertentietechnologie te elimineren.

Google heeft nu 60 dagen de tijd om de Commissie te laten weten hoe het van plan is verder te gaan.

Deze sanctie lokte een onmiddellijke reactie uit van de Verenigde Staten, waarbij Donald Trump aangaf vergeldingsmaatregelen tegen de EU te willen nemen.

Op 3 september heeft de rechtbank in haar uitspraak T-553/23 | Latombe v Commissie, de Het Hof van Justitie van de Europese Unie heeft het beroep van Europarlementariër Philippe Latombe verworpen, waarin hij de nietigverklaring van de derde versie van de overeenkomst inzake gegevensoverdracht tussen de EU en de Verenigde Staten eiste. het Data Protection Framework (DPF), ervan uitgaande dat de Verenigde Staten "een adequaat niveau van bescherming van persoonsgegevens garanderen".

De heer benadrukte met name dat het Amerikaanse orgaan voor beroepszaken, het "Data Protection Review Court" (DPRC), niet onpartijdig is en afhankelijk is van de uitvoerende macht.

Hij wees er ook op dat inlichtingendiensten grote hoeveelheden persoonsgegevens verzamelen die vanuit de Europese Unie worden doorgegeven, zonder voorafgaande toestemming van een rechter of een onafhankelijke bestuursinstantie, en dus zonder voldoende duidelijke en precieze richtlijnen.

De rechtbank wijst het verzoek tot nietigverklaring af.

Hij benadrukt dat de werking van de DPRC onderworpen is aan een reeks waarborgen, dat de Europese Commissie toezicht houdt op de toepassing van het DPF, en dat het voldoende is dat inlichtingenactiviteiten uitgevoerd door Amerikaanse agentschappen onderworpen zijn aan een achteraf gerechtelijke toetsing door de DPRC.

Tegen een uitspraak van het Hof van Justitie van de EU kan beroep worden ingesteld bij het Hof van Justitie van de EU, en parlementslid Philippe Latombe heeft reeds aangegeven dat hij van plan is een dergelijk beroep in te dienen.

Op 4 september heeft het Hof van Justitie van de EU in een belangrijke uitspraak (zaak C-413/23 P | EDPB/CRU) een beslissing van het EU-hof met betrekking tot het begrip persoonsgegevens vernietigd.

Het Hof doet uitspraak in het beroep van de Europese Toezichthouder voor Gegevensbescherming (EDPS) tegen de uitspraak van het EU-hof dat zijn besluit uit 2020 vernietigde.

In deze uitspraak concludeerde de EDPS dat de Europese Single Resolution Board (SRB) de AVG van Europese instellingen had overtreden door de opmerkingen van schuldeisers en aandeelhouders over de faillissementsprocedure van een Spaanse bank aan een accountantskantoor door te geven.

Het Hof van Justitie van de EU is van mening dat persoonlijke meningen van individuen persoonsgegevens vormen en dat het Hof deze als zodanig had moeten behandelen.

Het Hof is tevens van mening dat het risico op heridentificatie in verband met de verwerking en overdracht van persoonsgegevens per geval moet worden beoordeeld op het moment van verzameling, en dat het Hof een fout heeft gemaakt door de oorspronkelijke beslissing van het Europees Comité voor gegevensbescherming (EDPB) te vernietigen, mede omdat het niet had vastgesteld of de inhoud van de gepseudonimiseerde opmerkingen daadwerkelijk persoonsgegevens bevatte.

Het Hof van Justitie van de EU gaf het Hof van Beroep echter gelijk wat betreft de vraag onder welke voorwaarden gepseudonimiseerde gegevens ook als persoonsgegevens kunnen worden beschouwd, en schreef in zijn uitspraak dat "Gepseudonimiseerde gegevens mogen niet in alle gevallen en voor elke persoon worden beschouwd als persoonsgegevens in de zin van de toepassing (van de AVG)." voor zover pseudonimisering, afhankelijk van de omstandigheden van het geval, effectief kan voorkomen dat andere personen dan de verwerkingsverantwoordelijke de betrokkene zodanig identificeren dat de betrokkene voor hen niet of niet langer identificeerbaar is.

In een ander arrest, eveneens gedateerd 4 september (arrest C 655/23, IP tegen Quirin Privatbank AG), heeft het Hof uitspraak gedaan over het bestaan van een recht op een preventief bevel om de verwerkingsverantwoordelijke te verbieden de verwerking te staken, en over de omvang van de morele schade.

Het Hof is van mening dat de AVG geen preventief rechtsmiddel biedt tegen toekomstige onrechtmatige verwerking, maar dat lidstaten hierin wel kunnen voorzien.

Ze verduidelijkte tevens dat gevoelens zoals vernedering of bezorgdheid voldoende kunnen zijn om morele schade vast te stellen, mits daarvoor bewijs wordt geleverd.

Ze voegt eraan toe dat de ernst van de fout van de gegevensbeheerder of het verkrijgen van een gerechtelijk bevel geen invloed mag hebben op de hoogte van de schadevergoeding, die uitsluitend compenserend van aard blijft.

 

Nieuws uit de lidstaten van de Europese Unie.

In Duitsland heeft de Federale Arbeidsrechtbank geoordeeld dat een werkgever onrechtmatig de gezondheidsgegevens van een werknemer heeft verwerkt door hem te monitoren om te controleren of hij zijn arbeidsongeschiktheid veinsde.

Ze kende de werknemer ook €1500 toe aan immateriële schadevergoeding.

De Belgische Autoriteit voor Gegevensbescherming (APD) heeft een politicus berispt die iemands e-mailadres uit een openbare bron had verzameld en daarmee politieke berichten verstuurde, in strijd met de beginselen van rechtmatigheid, doelbinding en transparantie van de AVG.

In Spanje kreeg Loro Parque, een bedrijf dat een dierentuin en een waterpark beheert, een boete van € 250.000 van de APD (Australian Police Department) voor het verzamelen van vingerafdrukken zonder voorafgaande kennisgeving of toestemming: de betrokkenen moesten hun vingerafdrukken afgeven als ze in het bezit waren van promotietickets die hen met één ticket toegang gaven tot beide parken.

Daarnaast heeft de APD de Spaanse Kamer van Koophandel een boete van 500.000 euro opgelegd voor het zonder wettelijke grondslag overdragen van de belastingidentificatienummers van zelfstandigen aan particuliere bedrijven.

In Italië heeft de APD een automobielbedrijf een boete van €50.000 opgelegd.

Het bedrijf had "terugkeergesprekken" georganiseerd met werknemers die afwezig waren geweest, wat resulteerde in een buitensporige verzameling van gegevens, waaronder gevoelige gegevens.

De APD wijst ook op een schending van de principes van transparantie en de geldigheid van de toestemming van de werknemer.

De Litouwse Autoriteit voor Gegevensbescherming (DPA) heeft Vinted bevolen te stoppen met het verzamelen van telefoonnummers van klanten voor accountverificatie.

Aanvankelijk was zij van mening dat de door Vinted aangevoerde redenen, namelijk de verificatie van gebruikersaccounts en de garantie van de platformbeveiliging, geen essentieel aspect vormden van het contract tussen de gegevensverwerker en de betrokkene.

Ze merkte ook op dat in de gebruiksvoorwaarden andere mogelijke manieren werden genoemd om de identiteit van een gebruiker te verifiëren, en dat de verwerking van persoonsgegevens daarom niet voldeed aan het noodzakelijkheidscriterium van artikel 6, lid 1, onder b), van de AVG.

De Hoge Raad voor Bestuursrecht van Nederland heeft geoordeeld dat een psychiatrische instelling niet verplicht is om te voldoen aan een verzoek tot verwijdering van gegevens.

Het bewaren van gegevens was noodzakelijk op grond van het contract voor medische behandeling en voor het beheer van de diensten van de instelling.

In Polen kreeg ING Bank Śląski een boete van €4.300.000 opgelegd voor het scannen van identiteitsdocumenten zonder legitieme reden of risicobeoordeling..

De APD constateerde dat de bank onnodig gevoelige gegevens had verwerkt, waaronder PESEL-nummers en documentgegevens, en daarmee de risicogebaseerde aanpak had overtreden die vereist is door de anti-witwasregelgeving.

 

China verscherpt de regels rondom gegevensoverdracht naar het buitenland.

De Chinese veiligheidsautoriteiten beschuldigen het filiaal van Dior in Shanghai ervan dat het illegaal klantgegevens heeft overgedragen naar het hoofdkantoor in Frankrijk, zonder te voldoen aan de verplichte veiligheidscontroles, gebruikersnotificaties en versleutelingsregels.

Het filiaal werd onderworpen aan een administratieve sanctie.

In de Verenigde Staten stuurden 44 procureurs-generaal een brief naar 13 AI-bedrijven, waaronder OpenAI, CharacterAI, Replika en Meta, waarin ze hen meedeelden dat ze verantwoordelijk zouden worden gehouden als ze kinderen schade zouden berokkenen.

De brief belicht recente onthullingen met betrekking tot Meta's technische richtlijnen voor Meta AI en de chatbots van Facebook, WhatsApp en Instagram.

Dit document, goedgekeurd door de juridische, politieke en technische teams van het bedrijf, gaf chatbots toestemming om kinderen uit te nodigen tot romantische of verleidelijke gesprekken met de chatbot, inclusief opmerkingen over het uiterlijk van de kinderen en rollenspelscenario's.

Het "Tech Community"-blog van Microsoft kondigde eind augustus aan dat de nieuwste update van MS Word voor Windows de Word-bestanden van gebruikers standaard automatisch opslaat in de cloud (OneDrive).

Microsoft presenteert deze update als een verbetering op het gebied van beveiliging, toegang, samenwerking en het gebruik van AI.

Hoewel het mogelijk is deze instellingen in de voorkeuren van Word aan te passen, roept het standaard uploaden van documenten naar een Amerikaanse cloud vragen op met betrekking tot de AVG, met name over de vertrouwelijkheid van gegevens en de toegankelijkheid van deze gegevens voor Amerikaanse overheidsinstanties.

De slimme brillen van "Halo" baren AI-experts zorgen.

L. Jarosvsky meldt dat deze nieuwe brillen altijd aan staan, alles opnemen en geen enkele indicator hebben om mensen te waarschuwen dat ze worden opgenomen.

In een interview met TechCrunch hebben de oprichters van Halo naar verluidt elke verantwoordelijkheid afgewezen. Ze verklaarden dat in Amerikaanse staten waar het illegaal is om gesprekken heimelijk op te nemen zonder toestemming van de andere persoon, het aan de gebruiker is om die toestemming te verkrijgen voordat hij of zij de bril gebruikt.