Update over het Franse recht

Fragment uit het boek van Bruno DUMAY: GDPR DECRYPTION – Voor managers, strategische afdelingen en medewerkers van bedrijven en organisaties – Voorwoord door Gaëlle MONTEILLER

De laatste twee regels van de AVG, die artikel 94 van Richtlijn 95/46/EG, oftewel de eerdere referentietekst over gegevensbescherming, intrekken, luiden als volgt: "Deze verordening is van toepassing met ingang van 25 mei 2018. Deze verordening is verbindend in al haar onderdelen en rechtstreeks toepasselijk in elke lidstaat." Er is dus geen noodzaak tot omzetting in nationale wetgeving. Niettemin worden staten uitgenodigd dit te doen, wat overeenkomt met de praktijk van velen van hen. Waar we zien dat Europa nog geen federatie is, verre van dat.

Frankrijk heeft daarom een wetsontwerp opgesteld (een tekst die is ingediend bij het parlement, de enige wetgevende macht, maar door de regering is voorgesteld) waarin de bepalingen van de Europese verordening inzake de bescherming van persoonsgegevens (het zogenaamde "Europese pakket") zijn opgenomen. Deze tekst, medio december 2017 gepresenteerd door minister van Justitie Nicole Belloubet, werd op 13 februari 2018 door de Nationale Vergadering aangenomen met een zeer grote meerderheid (505 stemmen voor, 18 stemmen tegen en 24 onthoudingen). Voor de inwerkingtreding ervan moet het nog worden goedgekeurd door de Senaat, die het vanaf 20 maart zal bestuderen (we kennen de uitslag dus nog niet op het moment van schrijven, begin maart, maar er is geen reden voor senatoren om op dit punt anders te stemmen dan hun collega-parlementsleden).

Gisteren was de Wet bescherming persoonsgegevens van 1978 van toepassing. Deze lange levensduur getuigt van de intelligentie van de initiatiefnemers van deze wet destijds (internet bestond toen nog niet), ook al is deze inmiddels achterhaald. De nieuwe wet vervangt dus die van 1978, net zoals de AVG de richtlijn van 1995 op Europees niveau vervangt. Aan de bepalingen van de verordening die we hebben gezien, worden die van een richtlijn toegevoegd die van toepassing is op strafdossiers (die met name betrekking zouden hebben op het nationale bestand van genetische vingerafdrukken, dat van stadionverboden, of zelfs de verwerking van strafregisters).

"Dit omvat het stroomlijnen van de voorbereidende formaliteiten ten gunste van een proces van verantwoording voor belanghebbenden en het versterken van individuele rechten. In ruil daarvoor worden de bevoegdheden van de CNIL versterkt en worden de straffen aanzienlijk verhoogd", aldus mevrouw Belloubet, die de filosofie van de Europese verordening weerspiegelde.

De wet gaat op twee punten zelfs verder dan de AVG: de leeftijd van "digitale meerderjarigheid" en collectieve rechtszaken. Wat het eerste punt betreft, herinneren we eraan dat de AVG deze leeftijd op 16 jaar stelt, maar staten toestaat deze te verlagen tot 13 jaar. Frankrijk heeft een tussenpositie gekozen: "Een minderjarige mag vanaf 15 jaar alleen toestemming geven voor de verwerking van persoonsgegevens" (deze verlaging met één jaar kwam niet van de regering, maar van de afgevaardigden zelf, in de vorm van een amendement op het oorspronkelijke ontwerp). Tussen 13 en 15 jaar is toestemming van de ouders vereist. Onder de 13 jaar is alle gegevensverzameling verboden. Maar hoe kunnen dergelijke bepalingen worden gehandhaafd als we weten dat, volgens een onderzoek van de CNIL uit juni 2017, 63% van de 11- tot 14-jarigen geregistreerd is op een sociaal netwerk, dat 4 op de 10 liegt over hun leeftijd en dat platforms of sociale netwerken hun eigen regels hanteren (het is mogelijk om je vanaf 13 jaar zonder ouderlijke toestemming op Facebook te registreren)?

Een ander sterk punt van de nieuwe wet op gegevensbescherming is de mogelijkheid van collectieve rechtszaken, die al werden ingesteld door de wetten van 2014 en 2016, maar die dit keer compensatie mogelijk zouden maken voor schade van "materiële of morele aard", terwijl tot nu toe alleen economische schade in aanmerking werd genomen. Ondanks de moeilijkheid om een dergelijke procedure te implementeren, is het een extra middel om bedrijven onder druk te zetten dat door de nieuwe Franse wet wordt gecreëerd.

De Franse tekst handhaaft, conform de AVG, die uitzonderingen voor veiligheidsgerelateerde gebieden bevat, voorafgaande toestemming voor de verwerking van "biometrische gegevens die noodzakelijk zijn voor de identificatie of verificatie van de identiteit van personen". Evenzo is het Europese recht niet van toepassing op een tiental zogenaamde "soevereiniteits"-bestanden, zoals het bestand met waarschuwingen ter voorkoming van radicalisering van terroristische aard (FSPRT).

Eén verrassend aspect van de wet lijkt nauwelijks aandacht te hebben gekregen: het wetsvoorstel geeft de regering de bevoegdheid om de gehele Wet bescherming persoonsgegevens binnen zes maanden te herschrijven, in de vorm van een verordening (artikel 38 van de Grondwet, de regering treedt op op een terrein dat met name het parlement is). Deze nieuwe wet inzake gegevensbescherming zou dus een beperkte geldigheidsduur hebben. Dit lijkt niet alleen verrassend, aangezien de belangrijkste inhoud van de wet de omzetting is van een belangrijke Europese verordening, die bedoeld is om lang mee te gaan. Maar bovendien vraagt men zich af waarom het parlement zijn bevoegdheid over zo'n fundamenteel onderwerp zou opgeven. Tot slot, hoe kunnen we van bedrijven eisen dat ze zich vóór 25 mei 2018 aan de regels houden, als de spelregels de komende maanden worden gewijzigd?

De zeldzame consensus in ons land over de nieuwe maatregelen ten gunste van gegevensbescherming mag ons er niet van weerhouden om kritiek te horen, zelfs niet als die afkomstig is van mensen met onmiskenbare expertise op dit gebied. We noemen er slechts twee.

De eerste is van Yann Padova, voormalig secretaris-generaal van de CNIL en nu advocaat bij Baker McKenzie, die op 29 januari in Les Échos schreef: "Onze wereld ervaart een stortvloed aan data, waarvan de omvang elke vierentwintig maanden verdubbelt. Het vergemakkelijken van de analyse ervan, het zoeken naar nieuwe correlaties en het stimuleren van de opkomst van innovatieve diensten – dat is de uitdaging van Big Data vandaag en kunstmatige intelligentie morgen. Door deze mogelijkheid te weigeren te benutten, kiest het wetsvoorstel voor conservatisme. Gezien de sterke punten van onze Franse industrie en onze wiskundige school is deze keuze betreurenswaardig. Het toont eens te meer aan dat er onvoldoende rekening wordt gehouden met het verband tussen innovatie, gegevensbescherming en industriële ontwikkeling."

De tweede is van Laurent Alexandre, een specialist in kunstmatige intelligentie (onder andere), wiens verhelderende analyses ons al jaren informeren over de impact van NBIC-technologieën (nano, bio, computerwetenschappen, cognitiewetenschappen) op ons leven. In zijn column van 24 januari 2018, getiteld "Moet de CNIL worden afgeschaft?", schrijft hij: "... AI vindt onverwachte correlaties tussen data, die a priori oninteressant lijken. Elke beperking op dataverzameling belemmert zeker alle operatoren, maar stelt vooral Chinese of Amerikaanse bedrijven in staat te floreren zonder Europese concurrentie." En verder: "In Brussel hebben we een Thatcher van data nodig om de technologische oorlog te leiden. Op Franse schaal moeten we de CNIL revolutioneren, die wordt geleid door een opmerkelijk team, maar die het verkeerde doel nastreeft. We moeten haar missie verrijken door de technologische belangen van ons land te integreren."

Dit is niet de plaats om een debat te openen. Maar deze twee wijze perspectieven laten ons zien dat de legitieme bescherming van persoonsgegevens niet ten koste mag gaan van innovatie en economische ontwikkeling, anders worden we geknecht.