Juridische stappen: een nieuwe dynamiek voor collectieve rechtszaken?

Juridische Watch nr. 53 – November 2022

Juridische stappen: een nieuwe dynamiek voor collectieve rechtszaken? In Frankrijk en Europa is het nog steeds zeldzaam om bij een rechtszaak kwesties inzake de bescherming van persoonsgegevens aan te kaarten.

Hoewel de pers regelmatig bericht over sancties tegen techgiganten, zijn deze sancties voornamelijk het werk van de toezichthouders.

Vooral bij zaken van schending van de privacy is de schade vaak moeilijk te begroten vanwege de kosten van juridische procedures.

De situatie zou binnenkort kunnen veranderen, met de omzetting op nationaal niveau van Richtlijn (EU) 2020/1828 betreffende representatieve vorderingen.

Lidstaten hebben tot 25 december van dit jaar de tijd om te voldoen aan deze richtlijn, die gericht is op de bescherming van de collectieve belangen van consumenten.

Collectieve rechtsvorderingen bestaan al in Frankrijk en hun reikwijdte is geleidelijk uitgebreid. Collectieve rechtsvorderingen bestaan al sinds de wet van 17 maart 2014 inzake consumentenzaken.

De wet van 18 november 2016 heeft de bescherming van persoonsgegevens geleidelijk uitgebreid naar andere gebieden, waaronder persoonsgegevens. Deze wet heeft een nieuw artikel 43ter aan de Wet bescherming persoonsgegevens toegevoegd.

De tekst beperkt het recht om een collectieve rechtszaak aan te spannen echter tot erkende consumentenbeschermingsverenigingen, tot verenigingen die ouder zijn dan vijf jaar en waarvan het statutaire doel de bescherming van de privacy is, en tot vakbondsorganisaties die werknemers of ambtenaren vertegenwoordigen.

Dit wettelijk kader voorzag niet in een schadevergoeding voor de betrokken personen.

Dat is nu mogelijk sinds de wet van 20 juni 2018, die de Wet bescherming persoonsgegevens aanpast aan de AVG.

Tegenwoordig is het via collectieve rechtszaken mogelijk om via de rechter een schadevergoeding voor materiële en morele schade te krijgen.

De AVG maakt het ook mogelijk om dergelijke rechtsmiddelen te verkrijgen door instanties, organisaties of verenigingen te verplichten namens hen een klacht in te dienen bij de toezichthoudende autoriteit.

Frankrijk staat er vandaag dus niet slecht voor wat betreft representatieve vorderingen, zoals bijvoorbeeld blijkt uit de acties van organisaties als La Quadrature du Net, die zeer actief zijn op het gebied van gegevensbescherming.

Andere landen gaan echter nog verder.

In Frankrijk is een collectieve rechtszaak gebaseerd op een ‘opt-in’-regeling. en betrekt alleen personen die expliciet aan de procedure deelnemen, in tegenstelling tot de "class action", die a priori alle personen omvat die overeenkomen met het profiel van de benadeelde, en hen de mogelijkheid biedt zich terug te trekken uit de procedure. In dat geval spreken we van een "opt-out".

Hoewel deze twee soorten procedures in Europa nog steeds relatief zeldzaam zijn, is een collectieve actie in de zin van een ‘opt-out’-procedure nog zeldzamer.

In Nederland zijn beide vormen van beroep mogelijk.

In de afgelopen twee jaar zijn daar verschillende stichtingen opgericht die tot doel hebben collectieve rechtszaken aan te spannen.

Deze stichtingen hebben bijvoorbeeld het concurrentiebeperkende gedrag van Apple en Google, de dataverzamelingspraktijken van TikTok, Salesforce en Oracle, en Airbus en Airbnb aangepakt.

Het feit dat de vertegenwoordigende organisatie schadevergoeding kan eisen voor een hele groep eisers, tenzij zij zich terugtrekken, is een belangrijke verandering voor collectieve rechtszaken inzake gegevensbescherming, waarbij de individuele schadevergoedingen over het algemeen laag zijn.

Het economisch haalbare karakter van dergelijke rechtszaken heeft Nederland tot het belangrijkste Europese rechtsgebied voor collectieve rechtszaken gemaakt.en er is een toename in financiering door derden van dit soort organisaties.

In Nederland wordt Twitter vandaag aangeklaagd voor het volgen van zijn gebruikers.

Hetzelfde geldt voor andere populaire apps, zoals Shazam en Vinted, maar ook voor gevoeligere apps als Grindr en apps om je menstruatiecyclus bij te houden.

De Europese richtlijn biedt EU-landen de keuze tussen het opt-in- en opt-outmodel. Een uitzondering hierop is de verbodsactie, die logischerwijs voorziet in een opt-outmodel.

Opgemerkt dient te worden dat de tekst organisaties de mogelijkheid biedt om grensoverschrijdende rechtsvorderingen in te stellen en hen de keuze biedt tussen verschillende rechtsgebieden. : de rechtsvordering kan worden ingesteld in de lidstaat waar de gedaagde onderneming haar statutaire zetel heeft, maar ook in elke lidstaat waar zij een filiaal heeft en in de staat waar de benadeelde persoon zijn woonplaats heeft.

Frankrijk zal zich dus moeten voorbereiden op de behandeling van pan-Europese oproepen.

Het zal ook zijn juridisch kader moeten aanpassen aan de het principe van ‘de verliezer betaalt’ met betrekking tot de honoraria van advocaten en de proceskosten, en voorzien in een ontdekkingsprocedure, zoals die bestaat in landen met een common law-wetgeving, en die het mogelijk maakt dat, bij een gemotiveerde beslissing van de rechter, documenten worden overgelegd die nuttig zijn voor het geschil (zoals de identiteit van de benadeelde partijen).

Hoewel de komende maanden de voorwaarden voor toepassing van de richtlijn duidelijk zullen worden, lijkt het nu al zeker dat de richtlijn gevolgen zal hebben voor het aantal representatieve vorderingen in Europa.

Het zou goed zijn om ons hierop voor te bereiden en de omzetting ervan in Frankrijk nauwlettend te volgen.

En ook

Frankrijk:

De CNIL heeft DISCORD INC. een boete van 800.000 euro opgelegd omdat niet is voldaan aan een aantal AVG-verplichtingen, met name met betrekking tot de bewaartermijnen van gegevens en de beveiliging van persoonsgegevens.

De CNIL wijst ook op een gebrek aan standaardgegevensbescherming: gebruikers werden er niet van op de hoogte gesteld dat hun gesprekken nog steeds konden worden afgeluisterd, ook al dachten ze dat ze een voicechatroom hadden verlaten.

Ten slotte werd het bedrijf bekritiseerd omdat het geen impactanalyse had uitgevoerd voorafgaand aan de implementatie van de behandelingen.

De Commissie publiceerde op 24 november ook een actieplan dat gericht is op het ondersteunen van de naleving van de regelgeving door mobiele applicaties en het beschermen van de privacy van gebruikers.

Het doel is om de expertise te verdiepen, professionals te ondersteunen en burgers te informeren, bijvoorbeeld in de vorm van gidsen en aanbevelingen.

Tot slot zal zij gerichte controles uitvoeren en indien nodig repressief optreden tegen organisaties die hun verplichtingen niet nakomen.

Naar aanleiding van een groot aantal klachten heeft de CNIL de voorwaarden verduidelijkt waaronder aanvullende zorgverzekeraars gezondheidsgegevens mogen verzamelen.

Zij stelt vast dat de toepasselijke teksten niet nauwkeurig genoeg zijn en beveelt aan een wet aan te nemen.

Vanaf 1 januari 2023 zijn papieren bonnen niet meer nodig.

Deze 'anti-verspillingsmaatregel' roept vragen op over de bescherming van de privacy, omdat retailers hun volledige klantenbestand kunnen identificeren, inclusief degenen die geen klantenkaart hebben.

De CNIL benadrukte in haar witboek dat een e-mailadres dat is verzameld om een ontvangstbewijs of een elektronische betaling te versturen, niet gebruikt mag worden voor commerciële prospectiedoeleinden. Deze twee doeleinden zijn duidelijk verschillend.

Het is belangrijk om de toestemming van de betrokkene te verkrijgen of, in geval van prospectie met betrekking tot producten of diensten die vergelijkbaar zijn met die welke reeds door het bedrijf worden aangeboden, hem voorafgaand op het moment van verzameling te informeren over de doeleinden en de mogelijkheid om bezwaar te maken.

Het Hof van Cassatie overwoog in zijn arrest van 7 november dat de ontgrendelcode van het startscherm van een telefoon een ‘decryptiesleutel’ kan zijn.

Als het waarschijnlijk is dat de gegevens zijn gebruikt bij de voorbereiding of het plegen van een misdaad of overtreding, moet de houder de ontgrendelcode voor het startscherm aan de onderzoekers verstrekken.

Indien hij weigert deze code te verstrekken, begaat hij het misdrijf van ‘weigering om een geheime ontcijferingsovereenkomst te overhandigen’, wat bestraft wordt met een boete en een gevangenisstraf.

Europa:

Op 16 november 2022 is de Digital Services Regulation (DSA) in werking getreden.

Deze verordening legt nieuwe verantwoordelijkheden op aan digitale platforms om de verspreiding van illegale inhoud en producten te beperken, minderjarigen beter te beschermen en gebruikers meer keuze en betere informatie te geven.

De Europese Raad voor Gegevensbescherming (EDPB) heeft aanbevelingen gepubliceerd over de goedkeuringsprocedure en elementen die moeten worden opgenomen in bindende bedrijfsvoorschriften (BCR's) voor gegevensbeheerders.

Het document ligt tot 10 januari 2023 ter inzage voor openbaar overleg.

De Europese Toezichthouder voor gegevensbescherming (EDPS) heeft zijn advies gepubliceerd over de voorgestelde verordening over cyberveiligheid.

De tekst heeft tot doel EU-brede cyberbeveiligingsvereisten te definiëren voor een breed scala aan hardware- en softwareproducten, zoals browsers, besturingssystemen, firewalls, netwerkbeheersystemen, slimme meters en routers.

De EDPS adviseert om de beginselen van gegevensbescherming in deze tekst te integreren, zowel qua ontwerp als qua standaardinstellingen.

Hij benadrukte ook dat een Europees cybersecuritycertificaat de AVG-certificering niet kan vervangen.

De EDPS heeft ook commentaar geleverd op het voorstel voor een verordening tot vaststelling van een gemeenschappelijk kader voor mediadiensten: In zijn advies van 14 november benadrukt het Comité dat de beoogde maatregelen ter bescherming van journalisten, hun bronnen en aanbieders van mediadiensten ontoereikend zijn.

Er wordt aanbevolen om duidelijk te maken dat alle journalisten baat hebben bij deze bescherming. Ook wordt er aangedrongen op verdere beperking van de uitzonderingen die het onderscheppen van communicatie door middel van spyware of andere vormen van toezicht toestaan.

Na twee jaar onderhandelen met Microsoft heeft het gezamenlijke comité van de Duitse federale autoriteit voor gegevensbescherming en 16 toezichthouders van de deelstaatregeringen een verklaring uitgegeven die waarschijnlijk verstrekkende gevolgen zal hebben: gegevensbeheerders kunnen MS365 op dit moment niet legaal gebruiken onder de AVG.

De Nederlandse Autoriteit Persoonsgegevens heeft op 14 november een waarschuwing afgegeven aan de overheid, waarin zij het gebruik van Amerikaanse clouddiensten afraadt. Ze dringt er bij de regering op aan om Europese alternatieven te gebruiken.

De Hongaarse gegevensbeschermingsautoriteit heeft de beheerder van een website over weersvoorspellingen opgedragen te stoppen met het overdragen van gegevens via Google naar de Verenigde Staten.

De DPA heeft vastgesteld dat de exploitant van de website Google Analytics gebruikte zonder passende waarborgen te implementeren voor gegevensoverdracht naar de Verenigde Staten.

Op 17 november wees de Ierse Raad voor Burgerrechten in een brief aan de Europese Commissie erop dat Meta de AVG overtrad en niet kon voldoen aan de Verordening Digitale Markten (DMA).

De ICCL citeert onlangs openbaar gemaakte gerechtelijke documenten in Californië waaruit blijkt dat Meta niet heeft gereageerd op een verzoek om informatie over de werking van 149 van zijn gegevensverwerkingssystemen. Dit zou erop wijzen dat de werking van die systemen niet begrijpelijk was voor mensen.

De Ierse Commissie voor gegevensbescherming heeft op 25 november haar besluit bekendgemaakt in haar onderzoek naar data scraping door Facebook, dat betrekking heeft op de online beschikbaarheid van persoonlijke gegevens van meer dan 530 miljoen gebruikers.

De beginselen die hierbij in het geding zijn, hebben betrekking op gegevensbescherming door ontwerp en door standaardinstellingen, zoals vastgelegd in de AVG.

Het besluit legt bestuurlijke boetes op van in totaal € 265 miljoen, alsmede corrigerende maatregelen.

Meta wordt in Europa met nog eens drie andere AVG-inbreukprocedures geconfronteerd.

Het gaat hierbij om de algemene voorwaarden van Facebook, maar ook om Instagram en WhatsApp.

De bevindingen van de EDPB over dit laatste onderwerp worden naar verwachting op 5 december gepubliceerd en worden met spanning afgewacht. 

Ze gaan over de wettelijke basis voor het verzamelen van gegevens van gebruikers van sociale media.

Meta heeft deze rechtsgrondslag gewijzigd van toestemming naar de noodzaak van verwerking op grond van een contract, met juridische gevolgen die, indien goedgekeurd door gegevensbeschermingsautoriteiten, veel verder zouden reiken dan de context van deze zaak.

Op 17 november publiceerde het Bureau van de Informatiecommissaris een update van zijn richtlijnen over internationale overdrachten.

Deze update bevat een nieuw gedeelte over Transfer Risk Assessments (TRA) en een tool voor controllers.

Het Verenigd Koninkrijk heeft een overeenkomst gesloten met Korea over de overdracht van persoonsgegevens. Deze overeenkomst treedt op 19 december in werking.

Volgens het bedrijf is de overeenkomst "breder" dan die van de EU en staat het bedrijven toe om gegevens met betrekking tot kredietinformatie over te dragen.

Internationaal :

Google heeft een recordbedrag van 391,5 miljoen dollar schikking getroffen vanwege privacyschendingen in 40 Amerikaanse staten.

De zaak heeft betrekking op de geolokalisatiepraktijken van het bedrijf: volgens de procureurs-generaal werden gebruikers misleid over de voorwaarden voor het deactiveren van hun geolokalisatie in hun accountinstellingen.

Europese autoriteiten voor gegevensbescherming hebben gewaarschuwd dat de twee apps Ehteraz en Hayya, die door de Qatarese autoriteiten zijn opgelegd voor toegang tot het land, enorme schendingen van de privacy opleveren. door uitgebreide toegang tot gebruikersgegevens te bieden, waaronder locatiegegevens en oproepgegevens.

De CNIL adviseert mensen die naar Qatar reizen om een lege of geresette telefoon te gebruiken.

De Global Privacy Control, die in oktober 2020 werd ontwikkeld, wordt steeds vaker gebruikt dankzij de adoptie ervan door grote uitgevers en online platforms voor toestemmingsbeheer.

Met de GPC kunnen gebruikers zich met één klik afmelden voor de verkoop van persoonlijke informatie op browserniveau, voor alle of sommige websites.

In tegenstelling tot opt-out handlers, die vaak content laden en gegevens beginnen te verzamelen voordat de gebruiker de kans heeft om zich af te melden, respecteert GPC de keuze van de gebruiker voordat de site wordt geladen.

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.