CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2014:238

HOTĂRÂREA CURȚII (Marea Cameră)

8 aprilie 2014(*)

„Comunicații electronice – Directiva 2006/24/CE – Servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice – Păstrarea datelor generate sau prelucrate în legătură cu furnizarea unor astfel de servicii – Validitate – Articolele 7, 8 și 11 din Carta drepturilor fundamentale a Uniunii Europene”

În cauzele conexate C‑293/12 și C‑594/12,

având ca obiect cereri de decizie preliminară formulate în temeiul articolului 267 TFUE de High Court (Irlanda) și de Verfassungsgerichtshof (Austria), prin deciziile din 27 ianuarie și, respectiv, din 28 noiembrie 2012, primite de Curte la 11 iunie și la 19 decembrie 2012, în procedurile

Digital Rights Ireland Ltd (C‑293/12)

împotriva

Minister for Communications, Marine and Natural Resources,

Minister for Justice, Equality and Law Reform,

Commissioner of the Garda Síochána,

Irlandei,

The Attorney General,

cu participarea:

Irish Human Rights Commission,

și

Kärntner Landesregierung (C‑594/12),

Michael Seitlinger,

Christof Tschohl și alții,

CURTEA (Marea Cameră),

compusă din domnul V. Skouris, președinte, domnul K. Lenaerts, vicepreședinte, domnul A. Tizzano, doamna R. Silva de Lapuerta, domnii T. von Danwitz (raportor), E. Juhász, A. Borg Barthet, C. G. Fernlund și J. L. da Cruz Vilaça, președinți de cameră, și domnii A. Rosas, G. Arestis, J.‑C. Bonichot, A. Arabadjiev, doamna C. Toader și domnul C. Vajda, judecători,

avocat general: domnul P. Cruz Villalón,

grefier: domnul K. Malacek, administrator,

având în vedere procedura scrisă și în urma ședinței din 9 iulie 2013,

luând în considerare observațiile prezentate:

– pentru Digital Rights Ireland Ltd, de F. Callanan, SC, și de F. Crehan, BL, mandatați de S. McGarr, solicitor;

– pentru domnul Seitlinger, de G. Otto, Rechtsanwalt;

– pentru domnul Tschohl și alții, de E. Scheucher, Rechtsanwalt;

– pentru Irish Human Rights Commission, de P. Dillon Malone, BL, mandatat de S. Lucey, solicitor;

– pentru Irlanda, de E. Creedon și de D. McGuinness, în calitate de agenți, asistați de E. Regan, SC, și de D. Fennelly, JC;

– pentru guvernul austriac, de G. Hesse și de G. Kunnert, în calitate de agenți;

– pentru guvernul spaniol, de N. Díaz Abad, în calitate de agent;

– pentru guvernul francez, de G. de Bergues și de D. Colas, precum și de B. Beaupère‑Manokha, în calitate de agenți;

– pentru guvernul italian, de G. Palmieri, în calitate de agent, asistată de A. De Stefano, avvocato dello Stato;

– pentru guvernul polonez, de B. Majczyna și de M. Szpunar, în calitate de agenți;

– pentru guvernul portughez, de L. Inez Fernandes și de C. Vieira Guerra, în calitate de agenți;

– pentru guvernul Regatului Unit, de L. Christie, în calitate de agent, asistat de S. Lee, barrister;

– pentru Parlamentul European, de U. Rösslein și de A. Caiola, precum și de K. Zejdová, în calitate de agenți;

– pentru Consiliul Uniunii Europene, de J. Monteiro și de E. Sitbon, precum și de I. Šulce, în calitate de agenți;

– pentru Comisia Europeană, de D. Maidani, precum și de B. Martenczuk și de M. Wilderspin, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 12 decembrie 2013,

pronunță prezenta

Hotărâre

1 Cererile de decizie preliminară privesc validitatea Directivei 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE (JO L 105, p. 54, Ediție specială, 13/vol. 53, p. 51).

2 Cererea formulată de High Court (cauza C‑293/12) privește un litigiu între Digital Rights Ireland Ltd. (denumită în continuare „Digital Rights”), pe de o parte, și Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, Commissioner of the Garda Síochána, Irlanda, precum și Attorney General, pe de altă parte, având ca obiect legalitatea măsurilor legislative și administrative naționale referitoare la păstrarea unor date privind comunicațiile electronice.

3 Cererea formulată de Verfassungsgerichtshof (cauza C‑594/12) se referă la acțiuni în materie constituțională introduse în fața acestei instanțe de Kärntner Landesregierung (guvernul landului Carintia), precum și, respectiv, de domnii Seitlinger, Tschohl și de alți 11 128 de reclamanți având ca obiect compatibilitatea legii de transpunere a Directivei 2006/24 în dreptul intern austriac cu Legea constituțională federală (Bundes‑Verfassungsgesetz).

Cadrul juridic

Directiva 95/46/CE

4 Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, p. 31, Ediție specială, 13/vol. 17, p. 10) are, conform articolului 1 alineatul (1), drept obiect asigurarea protecției drepturilor și libertăților fundamentale ale persoanei și în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal.

5 În ceea ce privește securitatea prelucrărilor unor astfel de date, articolul 17 alineatul (1) din directiva menționată prevede:

„Statele membre prevăd aplicarea obligatorie de către operator a unor măsuri tehnice și organizatorice de protecție adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat, în special atunci când prelucrarea presupune transmiterea datelor într‑o rețea, precum și împotriva oricărei alte forme de prelucrare ilegală.

Având în vedere cele mai noi tehnici din sector și costurile punerii lor în aplicare, aceste măsuri trebuie să asigure un nivel de securitate adecvat în ceea ce privește riscurile prezentate de prelucrare și caracterul datelor de protejat.”

Directiva 2002/58/CE

6 Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, p. 37, Ediție specială, 13/vol. 36, p. 63), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009 (JO L 337, p. 11, denumită în continuare „Directiva 2002/58”), are drept obiectiv, conform articolului 1 alineatul (1), armonizarea dispozițiilor din statele membre, necesară în vederea asigurării unui nivel echivalent de protecție a drepturilor și a libertăților fundamentale și în special a dreptului la viața privată și a dreptului la confidențialitate, în ceea ce privește prelucrarea datelor cu caracter personal în sectorul comunicațiilor electronice și în vederea asigurării liberei circulații a acestor date și a echipamentelor și serviciilor de comunicații electronice în cadrul Uniunii Europene. În temeiul alineatului (2) al aceluiași articol, prevederile prezentei directive precizează și completează Directiva 95/46 în scopurile menționate la alineatul (1) sus‑menționat.

7 În ceea ce privește securitatea prelucrării datelor, articolul 4 din Directiva 2002/58 prevede:

„(1) Prestatorul unui serviciu public de comunicații electronice trebuie să ia măsurile tehnice și organizaționale corespunzătoare pentru protejarea securității serviciilor sale, dacă este necesar împreună cu furnizorul rețelei de comunicații electronice, în privința securității rețelei. Având în vedere noutatea și costurile punerii lor în aplicare, aceste măsuri trebuie să asigure un nivel de securitate corespunzător riscurilor.

(1a) Fără a aduce atingere Directivei 95/46/CE, măsurile menționate la alineatul (1) realizează cel puțin următoarele:

– garantează că datele cu caracter personal pot fi accesate exclusiv de personalul autorizat și în scopuri autorizate din punct de vedere juridic;

– protejează datele cu caracter personal stocate sau transmise împotriva distrugerii accidentale sau ilicite, împotriva pierderii sau deteriorării accidentale și împotriva stocării, prelucrării, accesării sau divulgării ilicite și

– asigură punerea în aplicare a unei politici de securitate în ceea ce privește prelucrarea datelor cu caracter personal.

Autoritățile naționale competente pot să auditeze măsurile adoptate de furnizorii de servicii de comunicații electronice accesibile publicului și să emită recomandări cu privire la cele mai bune practici privind nivelul de securitate care trebuie atins de aceste măsuri.

(2) În cazul riscului de încălcare a securității rețelei, prestatorul de servicii de comunicații electronice trebuie să informeze abonații despre acest risc și, dacă riscul este în afara sferei măsurilor pe care le poate lua prestatorul de servicii, despre remediile posibile, inclusiv prin indicarea costurilor implicate.”

8 În ceea ce privește confidențialitatea comunicațiilor și a datelor de transfer, articolul 5 alineatele (1) și (3) din directiva menționată prevede:

„(1) Statele membre trebuie să asigure confidențialitatea comunicațiilor și a datelor de transfer aferente transmise prin intermediul unei rețele de comunicații publice sau unor servicii publice de comunicații electronice, prin legislația internă. Acestea interzic astfel în special ascultarea, înregistrarea, stocarea sau alte tipuri de interceptare sau supraveghere a comunicațiilor și a datelor de transfer aferente de către persoane altele decât utilizatorul, fără acordul utilizatorului în cauză, cu excepția cazurilor în care acest lucru este permis în temeiul articolului 15 alineatul (1). Prezentul alineat nu interzice stocarea tehnică necesară pentru transmisia comunicației care nu aduce atingere principiului confidențialității.

[…]

(3) Statele membre se asigură că stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informații clare și complete, în conformitate cu Directiva 95/46/CE, inter alia, cu privire la scopurile prelucrării. Aceasta nu împiedică stocarea sau accesul tehnic cu unicul scop de a efectua transmisia comunicării printr‑o rețea de comunicații electronice sau în cazul în care acest lucru este strict necesar în vederea furnizării de către furnizor a unui serviciu al societății informaționale cerut în mod expres de către abonat sau utilizator.”

9 Potrivit articolului 6 alineatul (1) din Directiva 2002/58:

„Datele de transfer referitoare la abonați și utilizatori prelucrate și stocate de către furnizorul rețelei de comunicații publice sau al serviciilor publice de comunicații electronice trebuie șterse sau trecute în anonimat de îndată ce nu mai sunt necesare în scopul transmiterii comunicației, fără a aduce atingere alineatelor (2), (3) și (5) din prezentul articol sau articolului 15 alineatul (1).”

10 Articolul 15 din Directiva 2002/58 prevede la alineatul (1):

„Statele membre pot adopta măsuri legislative pentru a restrânge sfera de aplicare a drepturilor și obligațiilor prevăzute la articolul 5, articolul 6, articolul 8 alineatele (1), (2), (3) și (4) și articolul 9 ale prezentei directive, în cazul în care restrângerea lor constituie o măsură necesară, corespunzătoare și proporțională în cadrul unei societăți democratice pentru a proteja securitatea națională (de exemplu siguranța statului), apărarea, siguranța publică sau pentru prevenirea, investigarea, detectarea și urmărirea penală a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicații electronice, în conformitate cu articolul 13 alineatul (1) al Directivei 95/46/CE. În acest scop, statele membre pot adopta, inter alia, măsuri legislative care să permită reținerea de date, pe perioadă limitată, pentru motivele arătate anterior în acest alineat. Toate măsurile menționate în acest alineat trebuie să fie conforme cu principiile generale ale legislației comunitare, inclusiv cu cele menționate la articolul 6 alineatele (1) și (2) al Tratatului privind Uniunea Europeană.”

Directiva 2006/24

11 După ce a lansat o consultare cu reprezentanții serviciilor de aplicare a legii, ai sectorului comunicațiilor electronice și ai experților în materia protecției datelor, Comisia a prezentat, la 21 septembrie 2005, o analiză a impactului opțiunilor politice în legătură cu normele privind păstrarea datelor de trafic (denumită în continuare „analiza de impact”). Această analiză a servit ca bază pentru elaborarea Propunerii de directivă a Parlamentului European și a Consiliului privind păstrarea datelor prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului și de modificare a Directivei 2002/58/CE [COM(2005) 438 final, denumită în continuare „propunerea de directivă”], prezentată în aceeași zi, care a condus la adoptarea Directivei 2006/24 în temeiul articolului 95 CE.

12 În considerentul (4) al Directivei 2006/24 se precizează:

„Articolul 15 alineatul (1) din Directiva 2002/58/CE stabilește condițiile în temeiul cărora statele membre pot limita domeniul de aplicare al drepturilor și obligațiilor prevăzute la articolul 5, articolul 6, articolul 8 alineatele (1), (2), (3) și (4) și articolul 9 din această directivă. Orice astfel de restricție este necesară, adecvată și proporționată în cadrul unei societăți democratice pentru scopuri specifice ordinii publice, de exemplu: garantarea siguranței naționale (de exemplu siguranța statului), apărare, siguranță publică sau prevenirea, cercetarea, detectarea și urmărirea penală a infracțiunilor sau a utilizării neautorizate a sistemelor de comunicații electronice.”

13 Conform primei teze a considerentului (5) al Directivei 2006/24, „[m]ai multe state membre au adoptat legislația care prevede păstrarea datelor de către furnizorii de servicii în vederea prevenirii, cercetării, detectării și urmăririi penale a infracțiunilor”.

14 Considerentele (7)-(11) ale Directivei 2006/24 au următorul cuprins:

„(7) Concluziile Consiliului de Justiție și Afaceri Interne din 19 decembrie 2002 subliniază faptul că, din cauza creșterii semnificative a posibilităților oferite de comunicațiile electronice, datele referitoare la utilizarea comunicațiilor electronice sunt importante în mod special și, în consecință, reprezintă un instrument valoros în vederea prevenirii, cercetării, detectării și urmăririi penale a infracțiunilor și, în special, a criminalității organizate.

(8) Declarația privind combaterea terorismului, adoptată de Consiliul European la 25 martie 2004, a solicitat Consiliului să examineze măsurile pentru stabilirea normelor privind păstrarea datelor privind traficul de comunicații de către furnizorii de servicii.

(9) În temeiul articolului 8 din Convenția europeană pentru protecția drepturilor și libertăților fundamentale ale omului (CEDO) [semnată la Roma la 4 noiembrie 1950], oricine are dreptul la respectarea vieții sale private și a corespondenței sale. Autoritățile publice pot interveni în exercitarea acestui drept numai în conformitate cu legea și în cazul în care este necesar, într‑o societate democratică, inter alia, în interesele siguranței naționale sau ale siguranței publice, în vederea prevenirii dezordinii sau criminalității sau în vederea protecției drepturilor și libertăților celorlalți. Deoarece păstrarea datelor s‑a dovedit a fi un instrument de investigare atât de necesar și eficace pentru aplicarea legii în mai multe state membre și, în special, în ceea ce privește problemele grave, cum sunt criminalitatea organizată și terorismul, este necesară asigurarea că datele păstrate sunt puse la dispoziția autorităților de aplicare a legii pentru o anumită perioadă, sub rezerva condițiilor prevăzute de prezenta directivă. […]

(10) La 13 iulie 2005, Consiliul a reafirmat în declarația sa prin care condamna atacurile teroriste din Londra necesitatea adoptării, cât mai curând posibil, a unor măsuri comune privind păstrarea datelor de telecomunicații.

(11) Dată fiind importanța datelor de trafic și localizare pentru cercetarea, detectarea și urmărirea penală a infracțiunilor, după cum s‑a demonstrat prin cercetări și experiența practică a mai multor statelor membre, se înregistrează o necesitate de a asigura la nivel european că datele generate sau prelucrate în cursul furnizării serviciilor de comunicații, de către furnizorii de comunicații electronice accesibile publicului sau de către o rețea de comunicații publice, sunt păstrate pentru o anumită perioadă, sub rezerva condițiilor prevăzute de prezenta directivă.”

15 Considerentele (16), (21) și (22) ale directivei menționate precizează:

„(16) Obligațiile care decurg din articolul 6 din Directiva 95/46/CE, care le revin furnizorilor de servicii privind măsurile de asigurare a calității datelor și obligațiile acestora de asigurare a confidențialității și securității prelucrării datelor, care derivă din articolele 16 și 17 din această directivă, se aplică în întregime datelor păstrate în sensul prezentei directive.”

(21) Întrucât obiectivele prezentei directive, respectiv armonizarea obligațiilor furnizorilor de a păstra anumite date și de a se asigura că datele respective sunt disponibile în scopul cercetării, depistării și urmăririi penale a infracțiunilor grave, după cum au fost definite de fiecare stat membru în dreptul intern, nu pot fi realizate în mod satisfăcător de statele membre și, prin urmare, din cauza proporției și a efectelor prezentei directive, pot fi realizate mai bine la nivelul comunitar, Comunitatea poate adopta măsuri, în conformitate cu principiul subsidiarității stabilit la articolul 5 din tratat. În conformitate cu principiul proporționalității stabilit la respectivul articol, prezenta directivă nu depășește ceea ce este necesar pentru realizarea acestor obiective.

(22) Prezenta directivă respectă drepturile fundamentale și principiile recunoscute în special de Carta drepturilor fundamentale ale Uniunii Europene. În special, prezenta directivă, împreună cu Directiva 2002/58/CE, urmărește să asigure respectarea deplină a drepturilor fundamentale ale cetățenilor la respectarea vieții private și a comunicațiilor și la protecția datelor cu caracter personal ale acestora, consacrate în articolele 7 și 8 din cartă.”

16 Directiva 2006/24 prevede obligația furnizorilor de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice de a păstra anumite date generate sau prelucrate de către acești furnizori. În această privință, articolele 1-9, 11 și 13 din directiva menționată prevăd:

„Articolul 1

Obiectul și domeniul de aplicare

(1) Prezenta directivă urmărește să armonizeze dispozițiile statelor membre privind obligațiile furnizorilor de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice cu privire la păstrarea anumitor date generate sau prelucrate de către aceștia, pentru a se asigura că datele sunt disponibile în vederea cercetării, depistării și urmăririi penale a infracțiunilor grave, astfel cum sunt definite de fiecare stat membru în dreptul său intern.

(2) Prezenta directivă se aplică datelor de trafic și localizare, atât pentru entități juridice, cât și pentru persoane fizice, precum și datelor necesare pentru identificarea abonatului sau a utilizatorului înregistrat. Nu se aplică pentru conținutul comunicațiilor electronice, inclusiv informațiile consultate prin utilizarea unei rețele de comunicații electronice.

Articolul 2

Definiții

(1) În sensul prezentei directive, se aplică definițiile din Directiva 95/46/CE, din Directiva 2002/21/CE a Parlamentului European și a Consiliului din 7 martie 2002 privind cadrul de reglementare comun pentru serviciile și rețelele de comunicații electronice (Directivă‑cadru) […], și cele din Directiva 2002/58/CE.

(2) În sensul prezentei directive:

(a) «date» înseamnă datele de trafic și localizare, precum și datele necesare pentru identificarea abonatului sau a utilizatorului;

(b) «utilizator» înseamnă orice entitate juridică sau persoană fizică care folosește un serviciu de comunicații electronice accesibil publicului, în scop personal sau profesional, fără să fie necesar ca aceasta să fie abonată la acel serviciu;

(c) «serviciu de telefonie» înseamnă apelurile (inclusiv voce, cutie vocală și conferință și apeluri de date), serviciile suplimentare (inclusiv redirecționarea apelului și transferul apelului) și expedierea de mesaje și servicii multimedia (inclusiv serviciile de mesaje scurte, servicii media și multimedia îmbunătățite);

(d) «identificator de utilizator» înseamnă un identificator unic alocat persoanelor la abonarea sau înregistrarea la un serviciu de accesare a internetului sau la un serviciu de comunicații prin internet;

(e) «identificator de celulă» înseamnă identitatea celulei de la care se inițiază un apel de telefonie mobilă sau cea la care acesta se oprește;

(f) «apel telefonic nereușit» înseamnă o comunicație în care un apel telefonic a fost conectat cu succes, dar nu a primit răspuns, sau a avut loc o intervenție a sistemului de gestionare a rețelei.

Articolul 3

Obligația de păstrare a datelor

(1) Prin derogare de la articolele 5, 6 și 9 din Directiva 2002/58/CE, statele membre adoptă măsuri pentru a se asigura că datele menționate la articolul 5 din prezenta directivă sunt păstrate în conformitate cu dispozițiile acesteia, în măsura în care acele date sunt generate sau prelucrate de către furnizorii de comunicații electronice accesibile publicului sau de rețele publice de comunicații, de competența acestora, în procesul de furnizare a serviciilor de comunicații respective.

(2) Obligația de a păstra datele prevăzute la alineatul (1) include păstrarea datelor specificate la articolul 5 referitoare la încercări nereușite de apeluri telefonice, în cazul în care aceste date sunt generate sau prelucrate și păstrate (în ceea ce privește datele de telefonie), sau înregistrate în jurnal electronic (în ceea ce privește datele de internet) de către furnizorii de servicii de comunicații electronice accesibile publicului sau de rețele publice de comunicații în cadrul competenței statului membru respectiv, în procesul de furnizare a serviciilor de comunicații în cauză. Prezenta directivă nu impune păstrarea datelor referitoare la apelurile care nu se conectează.

Articolul 4

Accesul la date

Statele membre adoptă măsuri pentru a se asigura că datele păstrate în conformitate cu prezenta directivă sunt furnizate numai autorităților naționale competente în cazuri specifice și în conformitate cu dreptul intern. Procedurile care trebuie să fie urmate și condițiile care trebuie să fie îndeplinite pentru a obține acces la datele păstrate în conformitate cu cerințele de necesitate și de proporționalitate sunt definite de fiecare stat membru, în dreptul intern al fiecăruia, sub rezerva dispozițiilor relevante ale dreptului Uniunii Europene sau ale dreptului internațional public și, în special, a dispozițiilor CEDO, astfel cum au fost interpretate de către Curtea Europeană pentru Drepturile Omului.

Articolul 5

Categorii de date care sunt păstrate

(1) Statele membre se asigură că, în temeiul prezentei directive, sunt păstrate următoarele categorii de date:

(a) date necesare pentru urmărirea și identificarea sursei unei comunicații:

1. privind rețeaua de telefonie fixă și de telefonie mobilă:

(i) numărul de telefon de la care se inițiază apelul;

(ii) numele și adresa abonatului sau ale utilizatorului înregistrat;

2. privind accesul la internet, poștă electronică și telefonie prin internet:

(i) identificatorul (identificatorii) alocat (alocați) utilizatorului;

(ii) identificatorul și numărul de telefon alocate oricărei comunicații care pătrunde în rețeaua publică de telefonie;

(iii) numele și adresa abonatului sau ale utilizatorului înregistrat căruia i‑au fost alocate, în momentul comunicației, o adresă internet Protocol (IP), un identificator de utilizator sau un număr de telefon;

(b) date necesare pentru identificarea destinației unei comunicații:

1. privind rețeaua de telefonie fixă și de telefonie mobilă:

(i) numărul (numerele) format(e) [numărul (numerele) de telefon apelat(e)] și, în cazurile care implică servicii suplimentare, precum redirecționarea apelului sau transferul apelului, numărul sau numerele spre care este direcționat apelul;

(ii) numele și adresa (adresele) abonatului (abonaților) sau ale utilizatorului (utilizatorilor) înregistrat (înregistrați);

2. privind accesul la poștă electronică și telefonie prin internet:

(i) identificatorul utilizatorului sau numărul de telefon al primitorului (primitorilor) căruia (cărora) îi (le) este destinat un apel de telefonie prin internet;

(ii) numele și adresa (adresele) abonatului (abonaților) sau ale utilizatorului (utilizatorilor) înregistrat (înregistrați) și identificatorul de utilizator al primitorului căruia i‑a fost destinată comunicația;

1. privind rețeaua de telefonie fixă și cea de telefonie mobilă, data și ora de început și de sfârșit a comunicației;

2. privind accesul la internet, poștă electronică și telefonie prin internet:

(i) data și ora conectării și deconectării din serviciul de accesare a internetului, după un anumit fus orar, împreună cu adresa IP alocată de furnizorul de servicii de accesare a internetului, indiferent dacă aceasta este dinamică sau statică, precum și identificatorul de utilizator al abonatului sau al utilizatorului înregistrat;

(ii) data și ora conectării și deconectării din serviciul de poștă electronică sau din serviciul de telefonie prin internet, în baza unui anumit fus orar;

(d) date necesare pentru identificarea destinației unei comunicații:

1. privind rețeaua de telefonie fixă și de telefonie mobilă: serviciul de telefonie utilizat;

2. privind accesul la poștă electronică și telefonie prin internet: serviciul de internet utilizat;

(e) date necesare pentru identificarea echipamentului de comunicație al utilizatorilor sau la ce servește echipamentul acestora:

1. privind rețeaua de telefonie fixă, numerele de telefon apelante și cele apelate;

2. privind telefonia mobilă:

(i) numerele de telefon apelante și cele apelate;

(ii) identificatorul internațional al abonatului mobil (IMSI) al apelantului;

(iii) identificatorul internațional al echipamentului Mobil (IMEI) a apelatului;

(iv) IMSI‑ul apelatului;

(v) IMEI‑ul apelatului;

(vi) în cazul unui serviciu anonim preplătit, atât data și ora primei activări a serviciului, cât și identitatea locației (identificator de celulă) de la care a fost activat serviciul;

3. privind accesul la internet, poștă electronică și telefonie prin internet:

(i) numărul de telefon apelant pentru acces comutat;

(ii) linia abonatului numeric (DSL) sau alt punct terminal al inițiatorului comunicației;

(f) date necesare pentru identificarea locației echipamentului de comunicație mobilă;

1. identitatea locației (identificator celular) la începerea comunicației;

2. date de identificare a locației geografice a celulelor prin trimitere la identitatea locației (identificator celular) în timpul perioadei pentru care sunt păstrate datele de comunicații.

(2) În temeiul prezentei directive, nu se pot păstra date care dezvăluie conținutul comunicației.

Articolul 6

Perioade de păstrare

Statele membre se asigură că toate categoriile de date specificate la articolul 5 se păstrează pe perioade de cel puțin șase luni și nu mai mult de doi ani de la data efectuării comunicației.

Articolul 7

Protecția și securitatea datelor

Fără a aduce atingere dispozițiilor adoptate în temeiul Directivei 95/46/CE și al Directivei 2002/58/CE, fiecare stat membru se asigură că furnizorii de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice respectă, cel puțin la nivel minim, următoarele principii de securitate a datelor privind datele păstrate în conformitate cu prezenta directivă:

(a) datele păstrate sunt de aceeași calitate și sunt supuse aceleiași securități și protecții ca și datele din rețea;

(b) datele sunt supuse măsurilor tehnice și organizaționale adecvate pentru a fi protejate împotriva distrugerii accidentale sau ilegale, pierderii accidentale sau modificării, depozitării, prelucrării, accesării sau divulgării neautorizate sau ilicite;

(c) datele se supun măsurilor tehnice și organizaționale adecvate pentru a se asigura că accesarea acestora poate fi făcută numai de către personal special autorizat

și

(d) datele sunt distruse la finalul perioadei de păstrare, cu excepția celor care au fost accesate și reținute.

Articolul 8

Cerințe de depozitare pentru datele păstrate

Statele membre se asigură că datele specificate la articolul 5 sunt păstrate în conformitate cu prezenta directivă astfel încât datele păstrate sau orice alte informații necesare referitoare la astfel de date să poată fi transmise la cerere, fără întârziere, autorităților competente.

Articolul 9

Autoritatea de supraveghere

(1) Fiecare stat membru desemnează una sau mai multe autorități publice responsabile pentru monitorizarea aplicării pe teritoriul său a dispozițiilor adoptate de către statele membre în temeiul articolului 7 privind securitatea datelor stocate. Aceste autorități pot fi aceleași cu cele menționate la articolul 28 din Directiva 95/46/CE.

(2) Autoritățile menționate la alineatul (1) hotărăsc în mod absolut independent în materie de realizare a monitorizării menționate la respectivul alineat.

[…]

Articolul 11

Modificarea Directivei 2002/58/CE

La articolul 15 din Directiva 2002/58/CE se inserează următorul alineat:

«(1a) Alineatul (1) nu se aplică datelor solicitate în mod specific de [Directiva 2006/24] pentru a fi păstrate în scopurile menționate la articolul 1 alineatul (1) din această directivă.»

[…]

Articolul 13

Căi de atac, răspundere și sancțiuni

(1) Fiecare stat membru ia măsurile necesare pentru a se asigura că măsurile de drept intern de punere în aplicare a capitolului III din Directiva 95/46/CE care prevăd căi de atac judiciare, răspundere și sancțiuni sunt aplicate integral în ceea ce privește prelucrarea datelor în temeiul prezentei directive.

(2) Fiecare stat membru ia, în special, măsurile necesare pentru a se asigura că orice accesare intenționată sau transfer al datelor păstrate în conformitate cu prezenta directivă, care nu sunt permise în conformitate cu dreptul intern adoptat în temeiul prezentei directive, se pedepsesc prin sancțiuni, inclusiv sancțiuni administrative sau penale, care sunt efective, proporționale și cu efect de descurajare.”

Litigiile principale și întrebările preliminare

Cauza C‑293/12

17 Digital Rights a introdus la 11 august 2006 o acțiune la High Court în cadrul căreia susține că este proprietara unui telefon mobil care a fost înregistrat la 3 iunie 2006 și pe care l‑a folosit de la această dată. Aceasta pune în discuție legalitatea măsurilor legislative și administrative naționale referitoare la păstrarea unor date privind comunicațiile electronice și solicită, printre altele, instanței de trimitere să constate nulitatea Directivei 2006/24 și a părții 7 din Legea din 2005 privind justiția penală (infracțiuni de terorism) [Criminal Justice (Terrorist Offences) Act 2005], care prevede că furnizorii de servicii de comunicații telefonice trebuie să păstreze datele aferente acestora din urmă privind traficul și locația pentru o perioadă prevăzută de lege în scopul prevenirii, depistării, cercetării și urmăririi infracțiunilor, precum și al garantării siguranței statului.

18 Întrucât a considerat că, în lipsa examinării validității Directivei 2006/24, nu este în măsură să se pronunțe asupra întrebărilor referitoare la dreptul național cu care a fost sesizată, High Court a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1) Restricția privind drepturile reclamantei cu privire la utilizarea telefoniei mobile rezultată din cerințele prevăzute la articolele 3, 4 și 6 din Directiva 2006/24 este incompatibilă cu articolul 5 alineatul (4) TUE prin faptul că este disproporționată, nu este necesară sau este inadecvată pentru îndeplinirea obiectivelor legitime:

a) de a asigura că datele sunt disponibile în vederea cercetării, depistării și urmăririi penale a infracțiunilor grave?

și/sau

b) de a asigura buna funcționare a pieței interne a Uniunii Europene?

2) În special,

a) Directiva 2006/24 este compatibilă cu dreptul cetățenilor de liberă circulație și ședere pe teritoriul statelor membre, prevăzut la articolul 21 TFUE?

b) Directiva 2006/24 este compatibilă cu dreptul la respectarea vieții private prevăzut la articolul 7 din [Carta drepturilor fundamentale a Uniunii Europene, denumită în continuare «carta»)] și la articolul 8 din [CEDO]?

c) Directiva 2006/24/CE este compatibilă cu dreptul la protecția datelor cu caracter personal prevăzut la articolul 8 din cartă?

d) Directiva 2006/24/CE este compatibilă cu dreptul la libertatea de exprimare prevăzut la articolul 11 din cartă și la articolul 10 din [CEDO]?

e) Directiva 2006/24/CE este compatibilă cu dreptul la bună administrare prevăzut la articolul 41 din cartă?

3) În ce măsură tratatele – și în special principiul cooperării loiale prevăzut la articolul 4 alineatul (3) TUE – impun unei instanțe naționale să cerceteze și să analizeze compatibilitatea măsurilor naționale de transpunere a Directivei 2006/24/CE cu drepturile prevăzute de [cartă], inclusiv articolul 7 din aceasta (astfel cum este inspirat din articolul 8 din [CEDO])?”

Cauza C‑594/12

19 La originea cererii de decizie preliminară formulate în cauza C‑594/12 se află mai multe acțiuni introduse în fața Verfassungsgerichtshof de Kärntner Landesregierung, precum și, respectiv, de domnii Seitlinger, Tschohl și de alți 11 128 de reclamanți care solicită anularea articolului 102 bis din Legea din 2003 privind telecomunicațiile (Telekommunikationsgesetz 2003), care a fost introdus în legea menționată prin Legea federală de modificare a acesteia (Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG 2003 geändert wird, BGBl. I, 27/2011) în vederea transpunerii Directivei 2006/24 în dreptul intern austriac. Părțile respective consideră printre altele că acest articol 102 bis încalcă dreptul fundamental al particularilor la protecția datelor lor.

20 Verfassungsgerichtshof solicită în special să se stabilească dacă Directiva 2006/24 este compatibilă cu carta în măsura în care permite stocarea a numeroase tipuri de date referitoare la un număr nelimitat de persoane pentru o perioadă îndelungată. Păstrarea datelor ar afecta aproape exclusiv persoane al căror comportament nu justifică în niciun fel stocarea datelor care le privesc. Aceste persoane ar fi expuse unui risc ridicat ca autoritățile să investigheze datele lor, să ia cunoștință despre conținutul datelor, să se informeze cu privire la viața lor privată și să utilizeze datele respective în scopuri multiple, ținând seama în special de numărul necuantificabil de persoane care au acces la date într‑o perioadă de cel puțin șase luni. Potrivit instanței de trimitere, există îndoieli, pe de o parte, cu privire la aspectul dacă această directivă este în măsură să atingă obiectivele pe care le urmărește și, pe de altă parte, cu privire la caracterul proporțional al ingerinței în drepturile fundamentale vizate.

21 În aceste condiții, Verfassungsgerichtshof a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1) Cu privire la validitatea actelor instituțiilor Uniunii:

Articolele 3-9 din Directiva 2006/24 sunt compatibile cu articolele 7, 8 și 11 din [cartă]?

2) Cu privire la interpretarea tratatelor:

a) În lumina explicațiilor cu privire la articolul 8 din cartă care, conform articolului 52 alineatul (7) din cartă, au fost redactate în vederea orientării interpretării [acesteia] și de care Verfassungsgerichtshof trebuie să țină seama în mod corespunzător, Directiva 95/46 și Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date [(JO L 8, p. 1, Ediție specială, 13/vol. 30, p. 142)] trebuie luate în considerare la aprecierea legitimității ingerințelor în același mod precum condițiile prevăzute la articolul 8 alineatul (2) și la articolul 52 alineatul (1) din cartă?

b) Care este raportul dintre «dreptul Uniunii» menționat la articolul 52 alineatul (3) ultima teză din cartă și directivele în materia protecției datelor?

c) Având în vedere condițiile și restricțiile pe care le conțin Directiva 95/46 și Regulamentul […] nr. 45/2001 în ceea ce privește exercitarea dreptului fundamental la protecția datelor prevăzut de cartă, la interpretarea articolului 8 din [aceasta] trebuie să se țină seama de modificările care decurg din dreptul derivat adoptat ulterior?

d) Ținând seama de articolul 52 alineatul (4) din cartă, principiul respectării nivelului mai ridicat de protecție prevăzut la articolul 53 din cartă are drept consecință faptul că trebuie avute în vedere criterii mai restrictive decât cele prevăzute [de aceasta din urmă] la aprecierea legitimității limitărilor stabilite prin dreptul derivat?

e) Având în vedere articolul 52 alineatul (3) din cartă, al cincilea paragraf din preambul și explicațiile cu privire la articolul 7 din [aceasta], conform cărora drepturile garantate de articolul 7 menționat corespund drepturilor consacrate la articolul 8 din CEDO, se pot reține din jurisprudența Curții Europene a Drepturilor Omului referitoare la articolul 8 din CEDO criterii pentru interpretarea articolului 8 din cartă care influențează interpretarea acestui din urmă articol?”

22 Prin Ordonanța președintelui Curții din 11 iunie 2013, cauzele C‑293/12 și C‑594/12 au fost conexate pentru buna desfășurare a procedurii orale și în vederea pronunțării hotărârii.

Cu privire la întrebările preliminare

Cu privire la a doua întrebare literele (b)-(d) formulată în cauza C‑293/12 și la prima întrebare formulată în cauza C‑594/12

23 Prin intermediul celei de a doua întrebări literele (b)-(d) formulate în cauza C‑293/12 și al primei întrebări formulate în cauza C‑594/12, care trebuie analizate împreună, instanțele de trimitere solicită în esență Curții să examineze validitatea Directivei 2006/24 în lumina articolelor 7, 8 și 11 din cartă.

Cu privire la relevanța articolelor 7, 8 și 11 din cartă în ceea ce privește problema validității Directivei 2006/24

24 Din articolul 1 și din considerentele (4), (5), (7)-(11), (21) și (22) ale Directivei 2006/24 rezultă că aceasta are drept obiectiv principal armonizarea dispozițiilor statelor membre privind obligațiile furnizorilor de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice cu privire la păstrarea anumitor date generate sau prelucrate de către acești furnizori, pentru a se asigura că datele sunt disponibile în vederea prevenirii, cercetării, depistării și urmăririi penale a infracțiunilor grave, cum sunt criminalitatea organizată și terorismul, cu respectarea drepturilor consacrate la articolele 7 și 8 din cartă.

25 Obligația furnizorilor de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice, prevăzută la articolul 3 din Directiva 2006/24, de a păstra datele enumerate la articolul 5 din aceasta în scopul de a le pune, dacă este cazul, la dispoziția autorităților naționale competente ridică probleme cu privire la protecția vieții private și a comunicațiilor consacrată la articolul 7 din cartă, la protecția datelor cu caracter personal prevăzută la articolul 8 din aceasta, precum și cu privire la respectarea libertății de exprimare garantate de articolul 11 din cartă.

26 În această privință, trebuie arătat că datele pe care trebuie să le păstreze furnizorii de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice, în temeiul articolelor 3 și 5 din Directiva 2006/24, sunt printre altele datele necesare pentru urmărirea și identificarea sursei unei comunicații și a destinației acesteia, pentru identificarea datei, a orei, a duratei și a tipului unei comunicații, pentru identificarea echipamentului de comunicație al utilizatorilor, precum și pentru localizarea echipamentului de comunicație mobilă, date care includ printre altele numele și adresa abonatului sau ale utilizatorului înregistrat, numărul de telefon al apelantului și numărul apelat, precum și o adresă IP pentru serviciile de internet. Aceste date permit în special stabilirea persoanei cu care a comunicat un abonat sau un utilizator înregistrat și prin ce mijloace, precum și stabilirea duratei comunicației și a locului de unde a fost inițiată aceasta. În plus, cu ajutorul datelor în cauză se poate cunoaște frecvența comunicațiilor abonatului sau ale utilizatorului înregistrat cu anumite persoane într‑o perioadă determinată.

27 Considerate în ansamblu, datele respective pot permite deducerea unor concluzii foarte precise privind viața privată a persoanelor ale căror date au fost păstrate, precum obiceiurile din viața cotidiană, locurile de ședere permanente sau temporare, deplasările zilnice sau alte deplasări, activitățile desfășurate, relațiile sociale ale acestor persoane și mediile sociale frecventate de ele.

28 În astfel de împrejurări, chiar dacă, astfel cum decurge din articolul 1 alineatul (2) și din articolul 5 alineatul (2), Directiva 2006/24 nu autorizează păstrarea conținutului comunicației și a informațiilor consultate prin utilizarea unei rețele de comunicații electronice, nu este exclusă posibilitatea ca păstrarea datelor în cauză să aibă un efect asupra utilizării de către abonați sau de către utilizatorii înregistrați a mijloacelor de comunicare prevăzute de această directivă și, în consecință, asupra exercitării de către aceștia din urmă a libertății lor de exprimare, garantată de articolul 11 din cartă.

29 Păstrarea datelor în scopul de a asigura eventualul acces al autorităților naționale competente la acestea, astfel cum este prevăzută de Directiva 2006/24, privește în mod direct și specific viața privată și, astfel, drepturile garantate de articolul 7 din cartă. În plus, o astfel de păstrare a datelor intră de asemenea sub incidența articolului 8 din cartă întrucât constituie o prelucrare a datelor cu caracter personal în sensul acestui articol și trebuie, prin urmare, să îndeplinească în mod necesar cerințele de protecție a datelor care decurg din articolul menționat (Hotărârea Volker und Markus Schecke și Eifert, C‑92/09 și C‑93/09, EU:C:2010:662, punctul 47).

30 Deși întrebările preliminare formulate în prezentele cauze ridică în special problema de principiu dacă datele abonaților și ale utilizatorilor înregistrați pot sau nu pot fi păstrate în lumina articolului 7 din cartă, acestea privesc în egală măsură problema dacă Directiva 2006/24 îndeplinește cerințele de protecție a datelor cu caracter personal care decurg din articolul 8 din cartă.

31 Având în vedere considerațiile care precedă, pentru a răspunde la a doua întrebare literele (b)-(d) formulată în cauza C‑293/12 și la prima întrebare formulată în cauza C‑594/12, este necesar să se examineze validitatea directivei în lumina articolelor 7 și 8 din cartă.

Cu privire la existența unei ingerințe în drepturile consacrate la articolele 7 și 8 din cartă

32 Prin faptul că impune păstrarea datelor enumerate la articolul 5 alineatul (1) din Directiva 2006/24 și prin faptul că permite accesul autorităților naționale competente la acestea, directiva menționată derogă, astfel cum a arătat avocatul general în special la punctele 39 și 40 din concluzii, de la regimul de protecție al dreptului la respectarea vieții private, instituit de Directivele 95/46 și 2002/58, în ceea ce privește prelucrarea datelor cu caracter personal în sectorul comunicațiilor electronice, întrucât aceste din urmă directive prevăd confidențialitatea comunicațiilor și a datelor de trafic, precum și obligația de a șterge sau de a trece în anonimat datele respective atunci când ele nu mai sunt necesare pentru transmiterea unei comunicații, cu excepția cazului în care datele sunt necesare facturării și doar atât timp cât persistă această necesitate.

33 Pentru a stabili existența unei ingerințe în dreptul fundamental la respectarea vieții private, are puțină relevanță dacă informațiile vizate referitoare la viața privată prezintă sau nu prezintă un caracter sensibil sau dacă persoanele interesate au suferit sau nu au suferit eventuale dezavantaje ca urmare a acestei ingerințe (a se vedea în acest sens Hotărârea Österreichischer Rundfunk și alții, C‑465/00, C‑138/01 și C‑139/01, EU:C:2003:294, punctul 75).

34 Rezultă de aici că obligația impusă de articolele 3 și 6 din Directiva 2006/24 furnizorilor de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice de a păstra pentru o anumită perioadă date referitoare la viața privată a unei persoane și la comunicațiile sale precum cele prevăzute la articolul 5 din această directivă constituie per se o ingerință în drepturile garantate de articolul 7 din cartă.

35 În plus, accesul autorităților naționale competente la date constituie o ingerință suplimentară în acest drept fundamental (a se vedea, în ceea ce privește articolul 8 din CEDO, Hotărârea Curții EDO din 26 martie 1987, Leander împotriva Suediei, seria A nr. 116, § 48, Hotărârea Rotaru împotriva României [GC], nr. 28341/95, § 46, CEDO 2000‑V, precum și Hotărârea Weber și Saravia împotriva Germaniei (dec.), nr. 54934/00, § 79, CEDO 2006-XI). Astfel, articolele 4 și 8 din Directiva 2006/24, care prevăd norme privind accesul autorităților naționale competente la date, constituie de asemenea o ingerință în drepturile garantate de articolul 7 din cartă.

36 În mod similar, Directiva 2006/24 constituie o ingerință în dreptul fundamental la protecția datelor cu caracter personal garantat de articolul 8 din cartă întrucât prevede o prelucrare a datelor cu caracter personal.

37 Trebuie să se constate că ingerința în drepturile fundamentale consacrate la articolele 7 și 8 din cartă cauzată de Directiva 2006/24 este, astfel cum a arătat și avocatul general în special la punctele 77 și 80 din concluzii, de o mare amploare și trebuie considerată ca fiind deosebit de gravă. În plus, împrejurarea că păstrarea datelor și utilizarea lor ulterioară sunt efectuate fără ca abonatul sau utilizatorul înregistrat să fie informați cu privire la aceasta este susceptibilă să genereze în mintea persoanelor vizate, astfel cum a arătat avocatul general la punctele 52 și 72 din concluzii, sentimentul că viața lor privată face obiectul unei supravegheri constante.

Cu privire la justificarea ingerinței în drepturile garantate de articolele 7 și 8 din cartă

38 Conform articolului 52 alineatul (1) din cartă, orice restrângere a exercițiului drepturilor și libertăților consacrate de aceasta trebuie să fie prevăzută de lege, să respecte substanța lor și, prin respectarea principiului proporționalității, pot fi impuse restrângeri privind aceste drepturi și libertăți numai în cazul în care acestea sunt necesare și numai dacă răspund efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți.

39 În ceea ce privește substanța dreptului fundamental la respectarea vieții private și a celorlalte drepturi consacrate la articolul 7 din cartă, trebuie constatat că, chiar dacă păstrarea datelor impusă de Directiva 2006/24 constituie o ingerință deosebit de gravă în aceste drepturi, ea nu este de natură să aducă atingere substanței menționate, dat fiind faptul că, astfel cum rezultă din articolul 1 alineatul (2), această directivă nu permite cunoașterea conținutului comunicațiilor electronice ca atare.

40 Această păstrare a datelor nu este nici de natură să aducă atingere substanței dreptului fundamental la protecția datelor cu caracter personal, consacrat la articolul 8 din cartă, întrucât Directiva 2006/24 prevede la articolul 7 o normă privind protecția și securitatea datelor potrivit căreia, fără a aduce atingere dispozițiilor adoptate în temeiul Directivelor 95/46 și 2002/58, furnizorii de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice trebuie să respecte anumite principii de protecție și de securitate a datelor, principii în temeiul cărora statele membre asigură adoptarea de măsuri tehnice și organizaționale adecvate împotriva distrugerii accidentale sau ilegale, a pierderii sau a modificării accidentale a datelor.

41 În ceea ce privește problema dacă ingerința menționată răspunde unui obiectiv de interes general, trebuie arătat că, deși Directiva 2006/24 urmărește armonizarea dispozițiilor statelor membre privind obligațiile furnizorilor menționați cu privire la păstrarea anumitor date generate sau prelucrate de către aceștia, obiectivul material al acestei directive vizează, după cum rezultă din articolul 1 alineatul (1), garantarea disponibilității datelor în cauză în vederea cercetării, depistării și urmăririi penale a infracțiunilor grave, astfel cum sunt definite de fiecare stat membru în dreptul său intern. Prin urmare, obiectivul material al acestei directive este de a contribui la combaterea criminalității grave și astfel, în final, la siguranța publică.

42 Reiese din jurisprudența Curții că combaterea terorismului internațional pentru menținerea păcii și a securității internaționale constituie un obiectiv de interes general al Uniunii (a se vedea în acest sens Hotărârea Kadi și Al Barakaat International Foundation/Consiliul și Comisia, C‑402/05 P și C‑415/05 P, EU:C:2008:461, punctul 363, precum și Hotărârea Al‑Aqsa/Consiliul, C‑539/10 P și C‑550/10 P, EU:C:2012:711, punctul 130). Același lucru este valabil în ceea ce privește combaterea criminalității grave în scopul garantării siguranței publice (a se vedea în acest sens Hotărârea Tsakouridis, C‑145/09, EU:C:2010:708, punctele 46 și 47). Pe de altă parte, trebuie arătat în această privință că articolul 6 din cartă prevede dreptul oricărei persoane nu doar la libertate, ci și la siguranță.

43 În această privință, din considerentul (7) al Directivei 2006/24 reiese că, din cauza creșterii semnificative a posibilităților oferite de comunicațiile electronice, Consiliul de Justiție și Afaceri Interne din 19 decembrie 2002 a considerat că datele referitoare la utilizarea comunicațiilor electronice sunt importante în mod special și, în consecință, reprezintă un instrument valoros în vederea prevenirii infracțiunilor și a combaterii criminalității, mai ales a criminalității organizate.

44 Trebuie să se constate, așadar, că păstrarea datelor pentru a permite autorităților naționale competente să dispună de un eventual acces la acestea, astfel cum este impusă de Directiva 2006/24, răspunde efectiv unui obiectiv de interes general.

45 În aceste condiții, este necesar să se verifice proporționalitatea ingerinței constatate.

46 În această privință, trebuie amintit că principiul proporționalității impune, potrivit unei jurisprudențe constante a Curții, ca actele instituțiilor Uniunii să fie de natură să atingă obiectivele legitime urmărite de reglementarea în cauză și să nu depășească limitele a ceea ce este adecvat și necesar pentru realizarea acestor obiective (a se vedea în acest sens Hotărârea Afton Chemical, C‑343/09, EU:C:2010:419, punctul 45, Hotărârea Volker und Markus Schecke și Eifert, EU:C:2010:662, punctul 74, Hotărârea Nelson și alții, C‑581/10 și C‑629/10, EU:C:2012:657, punctul 71, Hotărârea Sky Österreich, C‑283/11, EU:C:2013:28, punctul 50, precum și Hotărârea Schaible, C‑101/12, EU:C:2013:661, punctul 29).

47 În ceea ce privește controlul jurisdicțional al respectării acestor condiții, întrucât sunt în discuție ingerințe în drepturile fundamentale, întinderea puterii de apreciere a legiuitorului Uniunii poate fi limitată în funcție de un anumit număr de elemente, printre care figurează în special domeniul vizat, natura dreptului în cauză garantat de cartă, natura și gravitatea ingerinței, precum și finalitatea acesteia (a se vedea prin analogie, în ceea ce privește articolul 8 din CEDO, Hotărârea Curții EDO S și Marper împotriva Regatului Unit [GC], nr. 30562/04 și 30566/04, § 102, CEDO 2008‑V).

48 În speță, ținând seama, pe de o parte, de rolul important pe care îl are protecția datelor cu caracter personal în lumina dreptului fundamental la respectarea vieții private și, pe de altă parte, de amploarea și de gravitatea ingerinței în acest drept cauzate de Directiva 2006/24, puterea de apreciere a legiuitorului Uniunii este redusă, astfel încât este necesară efectuarea unui control strict.

49 În ceea ce privește problema dacă păstrarea datelor este de natură să atingă obiectivul urmărit de Directiva 2006/24, trebuie constatat că, având în vedere importanța în creștere a mijloacelor de comunicare electronică, datele care trebuie păstrate în temeiul acestei directive permit autorităților naționale competente în materia urmăririi penale să dispună de posibilități suplimentare de elucidare a infracțiunilor grave și, în această privință, ele reprezintă, așadar, un instrument util pentru desfășurarea anchetelor penale. Astfel, păstrarea unor astfel de date poate fi considerată ca fiind de natură să realizeze obiectivul urmărit de directiva menționată.

50 Această apreciere nu poate fi repusă în discuție de circumstanța, invocată în special de domnii Tschohl și Seitlinger, precum și de guvernul portughez, în observațiile lor scrise prezentate Curții, că există mai multe modalități de comunicații electronice care nu intră în domeniul de aplicare al Directivei 2006/24 sau care permit o comunicare anonimă. Deși este adevărat că această împrejurare este de natură să limiteze capacitatea măsurii de păstrare a datelor de a atinge obiectivul urmărit, ea nu poate totuși să facă această măsură inaptă, astfel cum a arătat avocatul general la punctul 137 din concluzii.

51 În ceea ce privește caracterul necesar al păstrării datelor impuse de Directiva 2006/24, trebuie constatat că, desigur, combaterea criminalității grave, în special a criminalității organizate și a terorismului, prezintă o importanță primordială pentru garantarea siguranței publice, iar eficacitatea sa poate depinde într‑o mare măsură de utilizarea tehnicilor moderne de anchetă. Cu toate acestea, un astfel de obiectiv de interes general, oricât de fundamental ar fi, nu poate justifica per se faptul de a considera o măsură de păstrare precum cea instituită de Directiva 2006/24 ca fiind necesară în scopul combaterii menționate.

52 În ceea ce privește dreptul la respectarea vieții private, potrivit unei jurisprudențe constante a Curții, protecția acestui drept fundamental impune, în orice caz, ca derogările de la protecția datelor cu caracter personal și limitările acesteia să fie efectuate în limitele strictului necesar (Hotărârea IPI, C‑473/12, EU:C:2013:715, punctul 39 și jurisprudența citată).

53 În această privință, trebuie amintit că protecția datelor cu caracter personal, care rezultă din obligația explicită prevăzută la articolul 8 alineatul (1) din cartă, prezintă o importanță deosebită pentru dreptul la respectarea vieții private consacrat la articolul 7 din aceasta.

54 Astfel, reglementarea Uniunii în cauză trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurii respective și să impună o serie de cerințe minime astfel încât persoanele ale căror date au fost păstrate să dispună de garanții suficiente care să permită protejarea în mod eficient a datelor lor cu caracter personal împotriva riscurilor de abuz, precum și împotriva oricărui acces și a oricărei utilizări ilicite a acestor date (a se vedea prin analogie, în ceea ce privește articolul 8 din CEDO, Hotărârea Curții EDO din 1 iulie 2008, Liberty și alții împotriva Regatului Unit, nr. 58243/00, § 62 și 63, Hotărârea Rotaru împotriva României, citată anterior, § 57-59, precum și Hotărârea S și Marper împotriva Regatului Unit, citată anterior, § 99).

55 Necesitatea de a dispune de asemenea garanții este cu atât mai importantă în cazul în care, astfel cum prevede Directiva 2006/24, datele cu caracter personal sunt supuse unei prelucrări automate și există un risc important privind un acces ilicit la aceste date (a se vedea prin analogie, în ceea ce privește articolul 8 din CEDO, Hotărârea Curții EDO S și Marper împotriva Regatului Unit, citată anterior, § 103, precum și Hotărârea din 18 aprilie 2013, M. K. împotriva Franței, nr. 19522/09, § 35).

56 În ceea ce privește problema dacă ingerința cauzată de Directiva 2006/24 este limitată la strictul necesar, trebuie arătat că această directivă impune, conform articolului 3 coroborat cu articolul 5 alineatul (1), păstrarea tuturor datelor de trafic referitoare la telefonia fixă, telefonia mobilă, accesul la internet, poșta electronică prin internet, precum și telefonia prin internet. Astfel, ea vizează toate mijloacele de comunicare electronică a căror utilizare este foarte răspândită și prezintă o importanță tot mai mare în viața cotidiană a fiecărei persoane. În plus, conform articolului 3, directiva menționată acoperă toți abonații și utilizatorii înregistrați. Directiva conține, așadar, o ingerință în drepturile fundamentale ale cvasitotalității populației europene.

57 În această privință, este necesar să se constate în primul rând că Directiva 2006/24 acoperă în mod generalizat toate persoanele și toate mijloacele de comunicare electronică, precum și ansamblul datelor de trafic, fără a face vreo diferențiere, limitare sau excepție în funcție de obiectivul combaterii infracțiunilor grave.

58 Astfel, pe de o parte, Directiva 2006/24 privește în mod global ansamblul persoanelor care utilizează servicii de comunicații electronice, fără însă ca persoanele ale căror date sunt păstrate să se regăsească, fie și în mod indirect, într‑o situație susceptibilă să declanșeze începerea urmăririi penale. Directiva se aplică, așadar, chiar și acelor persoane în privința cărora nu există niciun indiciu de natură să sugereze că comportamentul lor poate avea o legătură, chiar indirectă sau îndepărtată, cu infracțiuni grave. În plus, directiva menționată nu prevede nicio excepție, astfel încât ea se aplică chiar și acelor persoane ale căror comunicații sunt supuse, potrivit normelor dreptului național, secretului profesional.

59 Pe de altă parte, deși urmărește să contribuie la combaterea criminalității grave, directiva menționată nu impune existența unei relații între datele a căror păstrare este prevăzută și o amenințare pentru siguranța publică și în special aceasta nu se limitează la păstrarea fie a unor date aferente unei perioade temporale și/sau unei zone geografice determinate și/sau unui cerc de persoane determinate care ar putea fi implicate, într‑un mod sau altul, în săvârșirea unei infracțiuni grave, fie a unor date referitoare la persoane care ar putea contribui, pentru alte motive, prin păstrarea datelor lor, la prevenirea, la detectarea sau la urmărirea penală a infracțiunilor grave.

60 În al doilea rând, la această lipsă generală de limite se adaugă faptul că Directiva 2006/24 nu prevede niciun criteriu obiectiv care să permită delimitarea accesului autorităților naționale competente la date și utilizarea lor ulterioară în scopul prevenirii, detectării sau urmăririi penale în legătură cu infracțiuni care, având în vedere amploarea și gravitatea ingerinței în drepturile fundamentale consacrate la articolele 7 și 8 din cartă, pot fi considerate ca fiind suficient de grave pentru a justifica o astfel de ingerință. Dimpotrivă, Directiva 2006/24 se limitează la a face trimitere în general, la articolul 1 alineatul (1), la infracțiunile grave, astfel cum sunt definite de fiecare stat membru în dreptul său intern.

61 În plus, în ceea ce privește accesul autorităților naționale competente la date și utilizarea lor ulterioară, Directiva 2006/24 nu conține condițiile materiale și procedurale aferente. Articolul 4 din această directivă, care reglementează accesul acestor autorități la datele păstrate, nu prevede în mod expres că accesul respectiv și utilizarea ulterioară a datelor în cauză trebuie să fie restricționate în mod strict la scopul prevenirii și al detectării infracțiunilor delimitate precis sau al desfășurării urmăririi penale aferente acestora, ci se limitează să prevadă că fiecare stat membru definește procedurile care trebuie să fie urmate și condițiile care trebuie să fie îndeplinite pentru a obține acces la datele păstrate în conformitate cu cerințele de necesitate și proporționalitate.

62 În special, Directiva 2006/24 nu prevede niciun criteriu obiectiv care să permită limitarea numărului de persoane ce dispun de autorizația de acces și de utilizare ulterioară a datelor păstrate la strictul necesar în lumina obiectivului urmărit. Mai ales, accesul la datele păstrate de autoritățile naționale competente nu este condiționat de un control prealabil efectuat fie de o instanță, fie de o entitate administrativă independentă prin a căror decizie se urmărește limitarea accesului la date și a utilizării lor la ceea ce este strict necesar în vederea atingerii obiectivului urmărit și care este adoptată în urma unei cereri motivate a acestor autorități formulate în cadrul procedurilor de prevenire, de detectare sau de urmărire penală. În directivă nu s‑a prevăzut nici o obligație precisă a statelor membre privind stabilirea unor astfel de limitări.

63 În al treilea rând, în ceea ce privește durata de păstrare a datelor, Directiva 2006/24 impune, la articolul 6, păstrarea acestora pentru o perioadă de cel puțin șase luni, fără a se face vreo distincție între categoriile de date prevăzute la articolul 5 din această directivă în funcție de utilitatea lor eventuală în scopul realizării obiectivului urmărit sau în funcție de persoanele vizate.

64 În plus, durata respectivă este de minimum șase luni și maximum 24 de luni, fără a se preciza că stabilirea duratei de păstrare trebuie să fie întemeiată pe criterii obiective pentru a garanta limitarea acesteia la strictul necesar.

65 Din cele ce precedă rezultă că Directiva 2006/24 nu prevede norme clare și precise care reglementează întinderea ingerinței în drepturile fundamentale consacrate la articolele 7 și 8 din cartă. Prin urmare, trebuie să se constate că această directivă conține o ingerință în aceste drepturi fundamentale, care este de o mare amploare și de o gravitate deosebită în ordinea juridică a Uniunii, fără ca o astfel de ingerință să fie încadrată în mod precis de dispoziții care să permită garantarea faptului că ea este limitată efectiv la strictul necesar.

66 În plus, în ceea ce privește normele privind securitatea și protecția datelor păstrate de furnizorii de comunicații electronice accesibile publicului sau de rețele publice de comunicații, trebuie constatat că Directiva 2006/24 nu prevede garanții suficiente, astfel cum sunt impuse de articolul 8 din cartă, care să permită asigurarea unei protecții eficiente a datelor păstrate împotriva riscurilor de abuz, precum și împotriva oricărui acces și a oricărei utilizări ilicite a acestor date. Astfel, în primul rând, articolul 7 din Directiva 2006/24 nu prevede norme specifice și care să fie adaptate la vasta cantitate de date a căror păstrare este impusă de directiva menționată, la caracterul sensibil al datelor respective, precum și la riscul privind accesul ilicit la acestea, norme care ar fi destinate în special să reglementeze în mod clar și strict protecția și securitatea datelor în cauză, pentru a garanta deplina lor integritate și confidențialitate. În plus, nu s‑a prevăzut nici o obligație precisă a statelor membre privind adoptarea unor astfel de norme.

67 Articolul 7 din Directiva 2006/24 coroborat cu articolul 4 alineatul (1) din Directiva 2002/58 și cu articolul 17 alineatul (1) al doilea paragraf din Directiva 95/46 nu garantează aplicarea de către furnizorii menționați a unui nivel deosebit de ridicat de protecție și de securitate prin măsuri tehnice și organizaționale, ci autorizează acești furnizori ca la stabilirea nivelului de securitate pe care îl aplică să țină seama în special de considerații economice în ceea ce privește costurile punerii în aplicare a măsurilor de securitate. În special, Directiva 2006/24 nu garantează distrugerea iremediabilă a datelor la sfârșitul duratei de păstrare a acestora.

68 În al doilea rând, trebuie adăugat că directiva menționată nu impune ca datele în cauză să fie păstrate pe teritoriul Uniunii, astfel încât nu se poate considera că controlul exercitat de o autoritate independentă, impus în mod expres la articolul 8 alineatul (3) din cartă, al respectării cerințelor de protecție și de securitate, astfel cum sunt menționate la cele două puncte precedente, este garantat în totalitate. Or, un astfel de control efectuat în temeiul dreptului Uniunii constituie un element esențial al respectării protecției persoanelor în ceea ce privește prelucrarea datelor cu caracter personal (a se vedea în acest sens Hotărârea Comisia/Austria, C‑614/10, EU:C:2012:631, punctul 37).

69 Având în vedere ansamblul considerațiilor care precedă, trebuie să se considere că, prin adoptarea Directivei 2006/24, legiuitorul Uniunii a depășit limitele impuse de respectarea principiului proporționalității în lumina articolelor 7 și 8 și a articolului 52 alineatul (1) din cartă.

70 În aceste condiții, nu mai este necesară examinarea validității Directivei 2006/24 în lumina articolului 11 din cartă.

71 În consecință, trebuie să se răspundă la a doua întrebare literele (b)-(d) formulată în cauza C‑293/12 și la prima întrebare formulată în cauza C‑594/12 că Directiva 2006/24 este nevalidă.

Cu privire la prima întrebare și la a doua întrebare literele (a) și (e), precum și cu privire la a treia întrebare formulată în cauza C‑293/12 și cu privire la a doua întrebare formulată în cauza C‑594/12

72 Din ceea ce s‑a statuat la punctul precedent rezultă că nu este necesar să se răspundă la prima întrebare, la a doua întrebare literele (a) și (e) și la a treia întrebare formulată în cauza C‑293/12 și nici la a doua întrebare formulată în cauza C‑594/12.

Cu privire la cheltuielile de judecată

73 Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Marea Cameră) declară:

Directiva 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE este nevalidă.

Semnături

* Limbile de procedură: engleza și germana.