Franse decryptieplicht wordt ook toegepast op smartphonelockscreens

| AE 13690 | Regulering | 41 reacties

8385 / Pixabay

Het Franse Hof van Cassatie heeft geoordeeld dat een verdachte in een criminele zaak verplicht kan worden om de lockscreencode van zijn of haar smartphone aan te leveren. Dat meldde Tweakers onlangs. In Frankrijk geldt een absolute decryptieplicht, dus ook voor verdachten. En omdat je lockscreencode ook geldt als decryptiesleutel van alle bestanden op het interne geheugen, valt de lockscreencode daar ook onder. Uiteraard geeft dat de nodige juridische heisa.

Ik zou een boek moeten schrijven over dit soort dingen – oh wacht. Het lijkt erop dat de discussies over encryptie uit de jaren negentig weer helemaal terug zijn, beginnend met het idee dat encryptie door de overheid te kraken zou moeten zijn. Omdat dat technisch niet te doen is, maar je mensen wel kunt dwingen wachtwoorden te vertellen (relevant xkcd) heeft men in Frankrijk gekozen voor een wet die kort gezegd iedereen dwingt op bevel alle data te ontsleutelen waar ze het wachtwoord van weten. Artikel 434-15-2 van de Code Pénal bepaalt (bron vertaling):

A penalty of three years’ imprisonment and a fine of €45,000 are incurred by anyone who, having the key to decipher an encrypted message which may have been used to prepare, facilitate or commit a felony or a misdemeanour, refuses to disclose that key to the judicial authorities or to operate it following instructions issued by the judicial authorities under of title II and III of Book I of the Code of Criminal Procedure.
De kern is dus de sleutel hebben en een redelijk vermoeden dat het bericht bewijs is bij een strafrechtelijke overtreding of misdrijf. De eerste vraag die dan bij iedereen opkomt is hoe de autoriteiten vaststellen dat iemand de sleutel wéét. Dat lijkt nog geen argument in Frankrijk te zijn geweest. Ik zou het ook niet sterk vinden, specifiek bij het lockscreen van je telefoon. Je mag aannemen dat je voorafgaand aan je arrestatie bent geobserveerd, en als een agent dan heeft gezien dat jij je telefoon bediende, en een uur later zeg je “eh sleutel geen idee” dan zou ik dat geheel niet geloven.

Het meer fundamentele argument is natuurlijk waarom je mee zou moeten werken. Je bent immers niet verplicht mee te werken aan je eigen veroordeling? Dat klopt, maar de Europese mensenrechtenjurisprudentie is zodanig dat dat alleen gaat om dingen die afhankelijk van jouw wil zijn. Een vingerafdruk bij iemand nemen is dus geen overtreding van dat verbod, want die vinger die is er los van de wil van de verdachte. Een wachtwoord moeten vertellen is iets dat je weet, dus dat valt dan wel onder die wil van de verdachte. Althans dat vinden we in Nederland, de Franse hoogste rechter dacht daar in 2019 anders over:

Since the right not to incriminate oneself does not extend to data which can be obtained from the data subject by resorting to coercive powers but which exist independently of the will of the person concerned, the Court of Appeal did not disregard any of the legal and conventional provisions referred to in the plea;
Het argument is dus dat de gezochte gegevens bestaan los van jouw wil, en dat die dus wezenlijk anders zijn dan een bekentenis over hoe je de bank beroofd hebt bijvoorbeeld. Het is dan meer een feitelijk complexer verhaal hoe we je dwingen. De sleutel van je fysieke kluis die pakken we van je sleutelbos of we wachten tot je naar de wc geweest bent, dat komt wel goed. Maar een digitale sleutel met fysieke dwang afpakken, dat gaat niet. Daarom juridische dwang. Uiteraard liggen er al vragen bij het EHRM hierover (zaak 23624/20 Minteh).

In deze zaak speelde vooral het argument nog of een lockscreencode van een telefoon wel een decryptie-sleutel is, aangezien hij toegang geeft tot het OS of gebruikersaccount en niet tot opgeslagen data. Maar dat laatste kan heel goed wél het geval zijn: moderne mobiele OS’en slaan data versleuteld op, en pas na ontgrendelen met je lockscreencode wordt de data beschikbaar. Daaarmee is die code dus wél een decryptiesleutel geworden.

Arnoud

 

Franse moet schadevergoeding betalen om prominente negatieve recensie

| AE 6813 | Ondernemingsvrijheid, Uitingsvrijheid | 44 reacties

restaurant-recensie-reviewEen Franse rechtbank heeft een blogger veroordeeld tot een schadevergoeding van 1500 euro omdat een negatieve recensie van een restaurant te hoog in de Google-zoekresultaten verscheen, meldde Tweakers gisteren. De recensie was nogal negatief, maar hoewel mijn Frans wat roestig is kan ik er niet echt smadelijke teksten in ontdekken. Helaas is het vonnis niet online beschikbaar maar het lijkt erop dat de uitspraak met name is gedaan om dat de hoge ranking op de restaurantnaam het bedrijf nogal schade bezorgde. En dat is toch wel een opmerkelijke redenering.

Natuurlijk mag je je mening geven over een etentje in een restaurant, en dat mag je best negatief doen ook. Vrijheid van meningsuiting is een grondrecht, ook in Frankrijk. Er zitten wel grenzen aan: je recensie moet een basis in de feiten hebben, voldoende ergens op gebaseerd zijn. Als je een haar in de soep vindt dan is dat natuurlijk iets om over te schrijven, maar om dan gelijk álles af te kraken met de grofst mogelijke bewoordingen (“en de eigenaar zal wel vreemd gaan want niemand van het personeel had die kleur haar”) zou wel iets te ver gaan.

Maar goed stel even dat de recensie op zich door de beugel kan en dat het puur is dat de recensieblog zó hoog in Google staat. Het restaurant heeft daar last van: mensen zien op link 1 een negatief verhaal, en zijn dan snel klaar met hun conclusie. Is dat dan dom van die mensen of gewoon een gevalletje jammer-dan? Of heb je als hoogingooglerankende blogger een grotere verantwoordelijkheid?

We weten dat als je een belangrijke positie inneemt, je meer moet uitkijken met wat je schrijft. Als de recensent van de Consumentenbond een apparaat ten onrechte afkraakt omdat ‘ie hoofdpijn heeft, dan mag dat de Bond best worden aangewreven. Maar dan gaat het volgens mij nog steeds om fouten in de recensie zelf. Iets dat niet klopt, dat onnodig overdreven is of uit zijn verband wordt gerukt.

Maar is dat wezenlijk anders dan de grond in geschreven worden door een ouderwetse bekende recensent in de krant zoals Johannes van Dam? Weinig restauranthouders zouden bij een dergelijke negatieve recensie naar de rechter zijn gestapt, volgens mij. En de krant rankte best wel hoog als het ging om meningen vormen. Pre-internet dan natuurlijk.

Arnoud