HOTĂRÂREA CURȚII (Marea Cameră)
10 februarie 2009(*)
„Acțiune în anulare – Directiva 2006/24/CE – Păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice – Alegerea temeiului juridic”
În cauza C‑301/06,
având ca obiect o acțiune în anulare formulată în temeiul articolului 230 CE, introdusă la 6 iulie 2006,
Irlanda, reprezentată de domnul D. O’Hagan, în calitate de agent, asistat de domnii E. Fitzsimons, D. Barniville și A. Collins, SC, cu domiciliul ales în Luxemburg,
reclamantă,
susținută de:
Republica Slovacă, reprezentată de domnul J. Čorba, în calitate de agent,
intervenientă,
împotriva
Parlamentului European, reprezentat inițial de domnul H. Duintjer Tebbens, de doamna M. Dean și de domnul A. Auersperger Matić și ulterior de doamna M. Dean și de domnii A. Auersperger Matić și K. Bradley, în calitate de agenți, cu domiciliul ales în Luxemburg,
Consiliului Uniunii Europene, reprezentat de domnii J.‑C. Piris și J. Schutte, precum și de doamna S. Kyriakopoulou, în calitate de agenți,
pârâte,
susținute de:
Regatul Spaniei, reprezentat de domnii M. A. Sampol Pucurull și J. Rodríguez Cárcamo, în calitate de agenți, cu domiciliul ales în Luxemburg,
Regatul Țărilor de Jos, reprezentat de doamnele C. ten Dam și C. Wissels, în calitate de agenți,
Comisia Comunităților Europene, reprezentată de domnii C. Docksey și R. Troosters, precum și de doamna C. O’Reilly, în calitate de agenți, cu domiciliul ales în Luxemburg,
Autoritatea Europeană pentru Protecția Datelor, reprezentată de domnul H. Hijmans, în calitate de agent,
interveniente,
CURTEA (Marea Cameră),
compusă din domnul V. Skouris, președinte, domnii P. Jann, C. W. A. Timmermans, A. Rosas și K. Lenaerts, președinți de cameră, domnii A. Tizzano, J. N. Cunha Rodrigues (raportor), doamna R. Silva de Lapuerta, domnii K. Schiemann, J. Klučka, A. Arabadjiev, doamna C. Toader și domnul J.‑J. Kasel, judecători,
avocat general: domnul Y. Bot,
grefier: doamna C. Strömholm, administrator,
având în vedere procedura scrisă și în urma ședinței din 1 iulie 2008,
după ascultarea concluziilor avocatului general în ședința din 14 octombrie 2008,
pronunță prezenta
Hotărâre
1 Prin acțiunea formulată, Irlanda solicită Curții anularea Directivei 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE (JO L 105, p. 54, Ediție specială, 13/vol. 53, p. 51), pentru motivul că nu a fost adoptată pe baza unui temei juridic adecvat.
Cadrul juridic
Directiva 95/46/CE
2 Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, p. 31, Ediție specială, 13/vol. 17, p. 10) stabilește normele referitoare la prelucrarea datelor cu caracter personal în scopul de a proteja drepturile persoanelor fizice în această privință, asigurând în același timp libera circulație a acestor date în Comunitatea Europeană.
3 Articolul 3 alineatul (2) din Directiva 95/46 prevede:
„Prezenta directivă nu se aplică prelucrării datelor cu caracter personal:
– puse în practică pentru exercitarea activităților din afara domeniului de aplicare a dreptului comunitar, cum ar fi cele prevăzute în titlurile V și VI din Tratatul privind Uniunea Europeană și, în orice caz, prelucrărilor care au ca obiect siguranța publică, apărarea, securitatea statului (inclusiv bunăstarea economică a statului atunci când aceste prelucrări sunt legate de probleme de securitate a statului) și activitățile statului în domeniul dreptului penal;
– efectuate de către o persoană fizică în cursul unei activități exclusiv personale sau domestice.”
Directiva 2002/58/CE
4 Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, p. 37, Ediție specială, 13/vol. 36, p. 63) a fost adoptată în vederea completării Directivei 95/46 cu dispoziții specifice sectorului telecomunicațiilor.
5 Potrivit articolului 6 alineatul (1) din Directiva 2002/58:
„Datele de transfer referitoare la abonați și utilizatori prelucrate și stocate de către furnizorul rețelei de comunicații publice sau al serviciilor publice de comunicații electronice trebuie șterse sau trecute în anonimat de îndată ce nu mai sunt necesare în scopul transmiterii comunicației, fără a aduce atingere alineatelor (2), (3) și (5) din prezentul articol sau articolului 15 alineatul (1).”
6 Articolul 15 alineatul (1) din aceeași directivă prevede:
„Statele membre pot adopta măsuri legislative pentru a restrânge sfera de aplicare a drepturilor și obligațiilor prevăzute la articolul 5, articolul 6, articolul 8 alineatele (1), (2), (3) și (4) și articolul 9 ale prezentei directive, în cazul în care restrângerea lor constituie o măsură necesară, corespunzătoare și proporțională în cadrul unei societăți democratice pentru a proteja securitatea națională (de exemplu, siguranța statului), apărarea, siguranța publică sau pentru prevenirea, investigarea, detectarea și urmărirea penală a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicații electronice, în conformitate cu articolul 13 alineatul (1) din Directiva 95/46/CE. În acest scop, statele membre pot adopta, inter alia, măsuri legislative care să permită reținerea de date, pe perioadă limitată, pentru motivele arătate anterior în acest alineat. Toate măsurile menționate la acest alineat trebuie să fie conforme cu principiile generale ale legislației comunitare, inclusiv cu cele menționate la articolul 6 alineatele (1) și (2) din Tratatul privind Uniunea Europeană.”
Directiva 2006/24
7 Potrivit considerentelor (5)-(11) ale Directivei 2006/24:
„(5) Mai multe state membre au adoptat legislația care prevede păstrarea datelor de către furnizorii de servicii în vederea prevenirii, cercetării, detectării și urmăririi penale a infracțiunilor. Aceste dispoziții de drept intern variază considerabil.
(6) Diferențele juridice și tehnice între dispozițiile de drept intern privind păstrarea datelor în scopul prevenirii, cercetării, detectării și urmăririi penale a infracțiunilor ridică obstacole pentru piața internă a comunicațiilor electronice, având în vedere că furnizorii de servicii se confruntă cu diferite cerințe privind tipurile de date de trafic și localizare care urmează să fie păstrate, precum și condițiile și termenele de păstrare.
(7) Concluziile Consiliului de Justiție și Afaceri Interne din 19 decembrie 2002 subliniază faptul că, din cauza creșterii semnificative a posibilităților oferite de comunicațiile electronice, datele referitoare la utilizarea comunicațiilor electronice sunt importante în mod special și, în consecință, reprezintă un instrument valoros în vederea prevenirii, cercetării, detectării și urmăririi penale a infracțiunilor și, în special, a criminalității organizate.
(8) Declarația privind combaterea terorismului, adoptată de Consiliul European la 25 martie 2004, a solicitat Consiliului să examineze măsurile pentru stabilirea normelor privind păstrarea datelor privind traficul de comunicații de către furnizorii de servicii.
(9) În temeiul articolului 8 din Convenția europeană pentru protecția drepturilor și libertăților fundamentale ale omului (denumită în continuare «CEDO»), oricine are dreptul la respectarea vieții sale private și a corespondenței sale. Autoritățile publice pot interveni în exercitarea acestui drept numai în conformitate cu legea și în cazul în care este necesar, într‑o societate democratică, inter alia, în interesele siguranței naționale sau ale siguranței publice, în vederea prevenirii dezordinii sau criminalității sau în vederea protecției drepturilor și libertăților celorlalți. Deoarece păstrarea datelor s‑a dovedit a fi un instrument de investigare atât de necesar și eficace pentru aplicarea legii în mai multe state membre și, în special, în ceea ce privește problemele grave, cum sunt criminalitatea organizată și terorismul, este necesară asigurarea că datele păstrate sunt puse la dispoziția autorităților de aplicare a legii pentru o anumită perioadă, sub rezerva condițiilor prevăzute de prezenta directivă. Adoptarea unui instrument de păstrare a datelor care să respecte cerințele articolului 8 din CEDO este, prin urmare, o măsură necesară.
(10) La 13 iulie 2005, Consiliul a reafirmat în declarația sa prin care condamna atacurile teroriste din Londra necesitatea adoptării, cât mai curând posibil, a unor măsuri comune privind păstrarea datelor de telecomunicații.
(11) Dată fiind importanța datelor de trafic și localizare pentru cercetarea, detectarea și urmărirea penală a infracțiunilor, după cum s‑a demonstrat prin cercetări și experiența practică a mai multor state membre, se înregistrează o necesitate de a asigura la nivel european că datele generate sau prelucrate în cursul furnizării serviciilor de comunicații, de către furnizorii de comunicații electronice accesibile publicului sau de către o rețea de comunicații publice, sunt păstrate pentru o anumită perioadă, sub rezerva condițiilor prevăzute de prezenta directivă.”
8 Considerentul (21) al aceleiași directive arată:
„Întrucât obiectivele prezentei directive, respectiv armonizarea obligațiilor furnizorilor de a păstra anumite date și de a se asigura că datele respective sunt disponibile în scopul cercetării, depistării și urmăririi penale a infracțiunilor grave, după cum au fost definite de fiecare stat membru în dreptul intern, nu pot fi realizate în mod satisfăcător de statele membre și, prin urmare, din cauza proporției și a efectelor prezentei directive, pot fi realizate mai bine la nivel comunitar, Comunitatea poate adopta măsuri, în conformitate cu principiul subsidiarității stabilit la articolul 5 din [T]ratat[ul] [CE]. În conformitate cu principiul proporționalității stabilit la respectivul articol, prezenta directivă nu depășește ceea ce este necesar pentru realizarea acestor obiective.”
9 Considerentul (25) al aceleiași directive are următorul cuprins:
„Prezenta directivă nu aduce atingere competenței statelor membre de a adopta măsuri legislative privind dreptul de acces la și de utilizare a datelor de către autoritățile naționale desemnate de acestea. Chestiunile privind accesul la datele păstrate în temeiul prezentei directive de către autoritățile naționale pentru astfel de activități, menționate la articolul 3 alineatul (2) prima liniuță din Directiva 95/46/CE, nu se încadrează în domeniul de aplicare al dreptului comunitar. Cu toate acestea, ele pot fi supuse legii sau măsurilor de drept intern, în temeiul titlului VI din Tratatul privind Uniunea Europeană. Astfel de legi sau măsuri trebuie să respecte pe deplin drepturile fundamentale, astfel cum decurg din tradițiile constituționale comune ale statelor membre și după cum sunt garantate de CEDO. […]”
10 Articolul (1) alineatul (1) din Directiva 2006/24 prevede:
„Prezenta directivă urmărește să armonizeze dispozițiile statelor membre privind obligațiile furnizorilor de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice cu privire la păstrarea anumitor date generate sau prelucrate de către aceștia, pentru a se asigura că datele sunt disponibile în vederea cercetării, depistării și urmăririi penale a infracțiunilor grave, astfel cum sunt definite de fiecare stat membru în dreptul său intern.”
11 Articolul 3 alineatul (1) din directiva amintită prevede:
„Prin derogare de la articolele 5, 6 și 9 din Directiva 2002/58/CE, statele membre adoptă măsuri pentru a se asigura că datele menționate la articolul 5 din prezenta directivă sunt păstrate în conformitate cu dispozițiile acesteia, în măsura în care acele date sunt generate sau prelucrate de către furnizorii de comunicații electronice accesibile publicului sau de rețele publice de comunicații, de competența acestora, în procesul de furnizare a serviciilor de comunicații respective.”
12 Articolul 4 din aceeași directivă precizează:
„Statele membre adoptă măsuri pentru a se asigura că datele păstrate în conformitate cu prezenta directivă sunt furnizate numai autorităților naționale competente în cazuri specifice și în conformitate cu dreptul intern. Procedurile care trebuie să fie urmate și condițiile care trebuie să fie îndeplinite pentru a obține acces la datele păstrate în conformitate cu cerințele de necesitate și proporționalitate sunt definite de fiecare stat membru, în dreptul intern al fiecăruia, sub rezerva dispozițiilor relevante ale dreptului Uniunii Europene sau ale dreptului internațional public și, în special, a dispozițiilor CEDO, astfel cum au fost interpretate de către Curtea Europeană a Drepturilor Omului.”
13 Articolul 5 din Directiva 2006/24 enunță:
„(1) Statele membre se asigură că, în temeiul prezentei directive, sunt păstrate următoarele categorii de date:
(a) date necesare pentru urmărirea și identificarea sursei unei comunicații:
[…]
(b) date necesare pentru identificarea destinației unei comunicații:
[…]
(c) date necesare pentru identificarea datei, a orei și a duratei unei comunicații:
[…]
(d) date necesare pentru [determinarea tipului de comunicație]:
[…]
(e) date necesare pentru identificarea echipamentului de comunicație al utilizatorilor sau la ce servește echipamentul acestora:
[…]
(f) date necesare pentru identificarea locației echipamentului de comunicație mobilă:
[…]
(2) În temeiul prezentei directive, nu se pot păstra date care dezvăluie conținutul comunicației.”
14 Articolul 6 din directiva menționată prevede:
„Statele membre se asigură că toate categoriile de date specificate la articolul 5 se păstrează pe perioade de cel puțin șase luni și nu mai mult de doi ani de la data efectuării comunicației.”
15 Articolul 7 din aceeași directivă prevede:
„Fără a aduce atingere dispozițiilor adoptate în temeiul Directivei 95/46/CE și al Directivei 2002/58/CE, fiecare stat membru se asigură că furnizorii de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice respectă, cel puțin la nivel minim, următoarele principii de securitate a datelor privind datele păstrate în conformitate cu prezenta directivă:
[…]”
16 Potrivit articolului 8 din Directiva 2006/24:
„Statele membre se asigură că datele specificate la articolul 5 sunt păstrate în conformitate cu prezenta directivă astfel încât datele păstrate sau orice alte informații necesare referitoare la astfel de date să poată fi transmise la cerere, fără întârziere, autorităților competente.”
17 Articolul 11 din aceeași directivă are următorul cuprins:
„La articolul 15 din Directiva 2002/58/CE se inserează următorul alineat:
«(1a) Alineatul (1) nu se aplică datelor solicitate în mod specific de Directiva [2006/24] pentru a fi păstrate în scopurile menționate la articolul 1 alineatul (1) din această directivă.»”
Istoricul cauzei
18 La 28 aprilie 2004, Republica Franceză, Irlanda, Regatul Suediei și Regatul Unit al Marii Britanii și Irlandei de Nord au prezentat Consiliului Uniunii Europene o inițiativă legislativă în vederea adoptării unei decizii‑cadru întemeiate pe articolul 31 alineatul (1) litera (c) UE și pe articolul 34 alineatul (2) litera (b) UE. Acest proiect avea ca obiect păstrarea datelor prelucrate sau stocate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau a datelor transmise prin intermediul rețelelor de comunicații publice, în vederea prevenirii, a cercetării, a depistării și a urmăririi penale a unor fapte penale, inclusiv din domeniul terorismului (documentul 8958/04 al Consiliului).
19 Comisia Comunităților Europene s‑a pronunțat în favoarea temeiului juridic utilizat în acest proiect de decizie‑cadru în ceea ce privește o parte a acestuia. Mai precis, Comisia a amintit că articolul 47 UE nu permite ca un act întemeiat pe Tratatul UE să aducă atingere acquis‑ului comunitar, în speță Directivelor 95/46 și 2002/58. Întrucât a considerat că determinarea categoriilor de date care trebuie să fie păstrate și a perioadei de păstrare a acestora intră în competența legiuitorului comunitar, Comisia și‑a rezervat dreptul de a face o propunere de directivă.
20 La 21 septembrie 2005, Comisia a adoptat o propunere de directivă a Parlamentului European și a Consiliului privind păstrarea datelor prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului și de modificare a Directivei 2002/58/CE [COM(2005) 438 final], propunere care era întemeiată pe articolul 95 CE.
21 În cadrul sesiunii din 1 și 2 decembrie 2005, Consiliul a optat pentru adoptarea mai degrabă a unei directive întemeiate pe Tratatul CE decât pentru continuarea adoptării unei decizii‑cadru.
22 La 14 decembrie 2005, Parlamentul European a emis avizul în cadrul procedurii de codecizie prevăzute la articolul 251 CE.
23 Consiliul a adoptat cu majoritate calificată Directiva 2006/24 în sesiunea din 21 februarie 2006. Irlanda și Republica Slovacă au votat împotriva adoptării acestui text.
Concluziile părților
24 Irlanda solicită Curții:
– anularea Directivei 2006/24 pentru motivul că nu a fost adoptată pe baza unui temei juridic adecvat și
– obligarea Consiliului și a Parlamentului European la plata cheltuielilor de judecată.
25 Parlamentul European solicită Curții:
– în principal, respingerea acțiunii ca neîntemeiată și
– obligarea Irlandei la plata tuturor cheltuielilor de judecată aferente prezentei proceduri;
– în subsidiar, în cazul în care Directiva 2006/24 ar fi anulată de către Curte, să se declare că această directivă va continua să își producă efectele până la intrarea în vigoare a unui nou act.
26 Consiliul solicită Curții:
– respingerea acțiunii introduse de Irlanda și
– obligarea acestui stat membru la plata cheltuielilor de judecată.
27 Prin Ordonanțele președintelui Curții din 1 februarie 2007, s‑a încuviințat ca Republica Slovacă să intervină în susținerea concluziilor Irlandei și ca Regatul Spaniei, Regatul Țărilor de Jos, Comisia și Autoritatea Europeană pentru Protecția Datelor să intervină în susținerea concluziilor Parlamentului European și ale Consiliului.
Cu privire la acțiune
Argumentele părților
28 Irlanda arată că alegerea articolului 95 CE drept temei juridic pentru Directiva 2006/24 reprezintă o greșeală fundamentală. Nici acest articol și nici vreo altă dispoziție din Tratatul CE nu ar putea să reprezinte temeiul juridic adecvat pentru această directivă. Acest stat membru pretinde, în principal, că unicul obiectiv sau, cel puțin, obiectivul principal sau predominant al directivei respective este facilitarea cercetării, a depistării și a urmăririi penale a unor infracțiuni, inclusiv din domeniul terorismului. Prin urmare, singurul temei juridic pe care s‑ar putea baza în mod valabil măsurile prevăzute de Directiva 2006/24 ar fi titlul VI din Tratatul UE, în special articolul 30, articolul 31 alineatul (1) litera (c) și articolul 34 alineatul (2) litera (b) din acesta.
29 Potrivit Irlandei, analiza, în special, a considerentelor (7)-(11) și (21) ale Directivei 2006/24, precum și a dispozițiilor fundamentale ale acesteia, cu precădere a articolului 1 alineatul (1), demonstrează că reținerea articolului 95 CE drept temei juridic pentru această directivă este inadecvată și nejustificată. Directiva respectivă ar fi în mod clar orientată spre combaterea infracțiunilor.
30 În opinia acestui stat membru, s‑a stabilit că măsurile întemeiate pe articolul 95 CE trebuie să aibă drept „centru de gravitație” apropierea legislațiilor statelor membre în vederea ameliorării funcționării pieței interne (a se vedea în special Hotărârea din 30 mai 2006, Parlamentul European/Consiliul și Comisia, C‑317/04 și C‑318/04, Rec., p. I‑4721). Dispozițiile Directivei 2006/24 ar privi combaterea infracțiunilor și nu ar fi destinate îndreptării disfuncționalităților pieței interne.
31 În cazul în care, contrar pretenției principale formulate de Irlanda, Curtea s‑ar pronunța în sensul că Directiva 2006/24 are drept obiectiv, în special, prevenirea unor denaturări sau a unor obstacole pentru piața internă, acest stat membru susține, cu titlu subsidiar, că acest obiectiv trebuie să fie considerat ca fiind de natură pur secundară în raport cu obiectivul principal sau predominant, respectiv acela al combaterii infracționalității.
32 Irlanda arată în plus că Directiva 2002/58 ar putea fi modificată printr‑o altă directivă, însă legiuitorul comunitar nu ar fi abilitat să recurgă la o directivă de modificare adoptată în temeiul articolului 95 CE pentru a încorpora în Directiva 2002/58 dispoziții care nu intră în competența atribuită Comunității în temeiul primului pilon. Obligațiile destinate să garanteze disponibilitatea datelor în vederea cercetării, a depistării și a urmăririi penale a unor infracțiuni ar face parte dintr‑un domeniu care nu poate să facă obiectul decât al unui instrument întemeiat pe titlul VI din Tratatul UE. Adoptarea unui astfel de instrument legislativ nu ar aduce atingere dispozițiilor directivei respective în sensul articolului 47 UE. Dacă expresia „a aduce atingere”, care este folosită la acest articol, ar fi corect înțeleasă, ar trebui să fie interpretată în sensul că nu interzice posibilitatea ca unele acte comunitare și unele acte ale Uniunii să se suprapună în măsura în care este vorba despre domenii secundare și fără importanță.
33 Republica Slovacă susține poziția Irlandei. Aceasta consideră că articolul 95 CE nu poate servi drept temei juridic pentru Directiva 2006/24, dat fiind că obiectivul principal al acestei directive nu este eliminarea barierelor și a denaturărilor din cadrul pieței interne. Finalitatea acestei directive ar fi armonizarea păstrării datelor într‑un mod care depășește obiectivele comerciale, în vederea facilitării acțiunii statelor membre în domeniul dreptului penal, și, pentru acest motiv, aceasta nu putea să fie adoptată în cadrul competențelor Comunității.
34 Potrivit acestui stat membru, păstrarea datelor cu caracter personal în măsura solicitată prin Directiva 2006/24 determină o ingerință semnificativă în dreptul particularilor la respectarea vieții private, prevăzut la articolul 8 din CEDO. Ar fi îndoielnic că o ingerință atât de importantă poate fi justificată prin motive economice, în cazul de față, funcționarea mai bună a pieței interne. Adoptarea unui act în afara competenței Comunității, al cărui obiectiv principal și nedisimulat ar fi combaterea infracționalității și a terorismului, ar reprezenta o soluție mai potrivită, care ar oferi o justificare mai adecvată ingerinței în dreptul la protecția vieții private.
35 Parlamentul European susține că Irlanda efectuează o lectură selectivă a dispozițiilor Directivei 2006/24. În opinia acestuia, considerentele (5) și (6) precizează că obiectivul principal sau predominant al acestei directive este de a elimina obstacolele pentru piața internă a comunicațiilor electronice, iar considerentul (25) confirmă că accesul la datele păstrate și utilizarea acestora nu intră în cadrul competenței comunitare.
36 Parlamentul European susține că, în urma atentatelor teroriste din 11 septembrie 2001 de la New York (Statele Unite), din 11 martie 2004 de la Madrid (Spania) și din 7 iulie 2005 de la Londra (Regatul Unit), anumite state membre au adoptat norme diferite în domeniul păstrării de date. Potrivit acestei instituții, astfel de diferențe erau susceptibile să constituie un obstacol pentru furnizarea de servicii de comunicații electronice. Parlamentul European consideră că păstrarea de date constituie un element care presupune un cost important din partea furnizorilor de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice (denumiți în continuare „furnizori de servicii”), iar existența unor norme diferite în domeniu poate să denatureze concurența pe piața internă. Acesta adaugă că obiectul principal al Directivei 2006/24 este armonizarea obligațiilor impuse de statele membre furnizorilor de servicii în domeniul păstrării de date. Ar rezulta că articolul 95 constituie temeiul juridic corect pentru această directivă.
37 De asemenea, Parlamentul European susține că importanța conferită combaterii infracționalității nu interzice ca directiva în cauză să fie întemeiată pe articolul 95 CE. Deși combaterea infracționalității a influențat în mod cert deciziile luate în legătură cu această directivă, această influență nu ar vicia alegerea articolului 95 CE drept temei juridic.
38 În plus, articolul 4 din Directiva 2006/24 ar dispune, în spiritul dispozițiilor cuprinse în considerentul (25) al acesteia, că statele membre trebuie să prevadă condițiile de acces și de prelucrare a datelor păstrate sub rezerva dispozițiilor relevante ale dreptului Uniunii Europene sau ale dreptului internațional public și, în special, a dispozițiilor CEDO. Această abordare ar fi diferită de cea reținută în privința măsurilor care fac obiectul Hotărârii Parlamentul European/Consiliul și Comisia, citată anterior, cauză în care companiile aeriene au fost obligate să acorde acces la datele pasagerilor unei autorități de aplicare a legii dintr‑un stat terț. Astfel, directiva în cauză ar respecta repartizarea competențelor între primul și cel de al treilea pilon.
39 Potrivit Parlamentului European, deși este adevărat că stocarea unor date cu caracter personal ale unui particular poate, în principiu, să constituie o ingerință în sensul articolului 8 din CEDO, această ingerință poate fi justificată, în temeiul aceluiași articol, prin raportare la siguranța publică și la prevenirea faptelor penale. Ar trebui să se facă o diferențiere între problema justificării unei astfel de ingerințe și aceea a alegerii temeiului juridic corect în cadrul ordinii juridice a Uniunii, între aceste două probleme neexistând niciun raport.
40 Consiliul susține că, în anii ulteriori adoptării Directivei 2002/58, autoritățile naționale de aplicare a legii s‑au arătat din ce în ce mai îngrijorate de exploatarea inovațiilor din domeniul serviciilor de comunicații electronice pentru comiterea de acte infracționale. În opinia Consiliului, aceste preocupări noi au determinat statele membre să adopte măsuri care să împiedice ștergerea datelor referitoare la aceste comunicații și care să garanteze disponibilitatea acestora pentru autoritățile de aplicare a legii. Potrivit acestei instituții, caracterul divergent al acestor măsuri începea să perturbe buna funcționare a pieței interne. Considerentele (5) și (6) ale Directivei 2006/24 ar fi explicite în această privință.
41 Această situație ar fi obligat legiuitorul comunitar să se asigure că furnizorilor de servicii le sunt impuse norme uniforme în ceea ce privește condițiile de exercitare a activităților lor.
42 Tocmai pentru aceste motive, în cursul anului 2006, legiuitorul comunitar a considerat necesar să elimine obligația ștergerii datelor impusă prin articolele 5, 6 și 9 din Directiva 2002/58 și să prevadă că, pe viitor, datele prevăzute la articolul 5 din Directiva 2006/24 ar trebui să fie păstrate în mod obligatoriu pentru o perioadă determinată. Această modificare ar obliga statele membre să asigure păstrarea datelor respective pe perioade de cel puțin șase luni și de cel mult doi ani de la data efectuării comunicației. Scopul acestei modificări ar fi fost de a stabili unele condiții precise și armonizate pe care furnizorii de servicii trebuie să le respecte în ceea ce privește ștergerea datelor cu caracter personal prevăzute la articolul 5 din Directiva 2006/24, instituind astfel norme comune în Comunitate în vederea asigurării unicității pieței interne.
43 Consiliul concluzionează că, deși necesitatea combaterii infracționalității, inclusiv a terorismului, a reprezentat un factor determinant în decizia de modificare a întinderii drepturilor și obligațiilor prevăzute la articolele 5, 6 și 9 din Directiva 2002/58, această împrejurare nu se opune ca Directiva 2006/24 să fi trebuit să fie adoptată în temeiul articolului 95 CE.
44 Nici articolele 30 UE, 31 UE și 34 UE, nici vreun alt articol din Tratatul UE nu ar putea reprezenta temeiul juridic al unui act care ar avea, în principal, drept obiectiv modificarea condițiilor de exercitare a activităților furnizorilor de servicii sau de a determina ca regimul stabilit prin Directiva 2002/58 să nu se aplice în privința acestor furnizori.
45 O reglementare referitoare la categorii de date care trebuie să fie păstrate de furnizorii de servicii și la perioada de păstrare a acestor date care ar modifica obligațiile impuse acestora din urmă prin Directiva 2002/58 nu ar putea să facă obiectul unui act întemeiat pe titlul VI din Tratatul UE. Într‑adevăr, adoptarea unui astfel de act ar aduce atingere dispozițiilor acestei directive, fapt care ar constitui o încălcare a articolului 47 UE.
46 Potrivit Consiliului, drepturile protejate prin articolul 8 din CEDO nu sunt absolute și pot face obiectul unor limitări în condițiile prevăzute la alineatul 2 al acestui articol. Păstrarea datelor, astfel cum este prevăzută prin Directiva 2006/24, ar servi unui interes general legitim, recunoscut la articolul 8 alineatul 2 din CEDO, și ar constitui un mijloc adecvat de protejare a acestui interes.
47 Regatul Spaniei și Regatul Țărilor de Jos susțin că, astfel cum reiese din considerentele (1), (2), (5) și (6) ale Directivei 2006/24, aceasta are în principal ca obiect eliminarea obstacolelor pentru piața internă pe care le‑ar determina diferențele juridice și tehnice dintre dispozițiile de drept intern ale statelor membre. Potrivit intervenientelor menționate, directiva în cauză reglementează păstrarea datelor în scopul eliminării acestui gen de obstacole, pe de o parte, prin armonizarea obligației de păstrare a datelor și, pe de altă parte, prin precizarea aspectelor la care se referă această obligație, precum categoriile de date care trebuie păstrate și perioada de păstrare a acestora.
48 Împrejurarea că, potrivit articolului 1, Directiva 2006/24 efectuează această armonizare „pentru a se asigura că datele sunt disponibile în vederea cercetării, depistării și urmăririi penale a infracțiunilor grave, astfel cum sunt definite de fiecare stat membru în dreptul său intern” ar reprezenta un alt aspect. Această directivă nu ar reglementa prelucrarea datelor de către autoritățile publice sau de poliție ale statelor membre. Dimpotrivă, armonizarea s‑ar referi numai la aspectele de păstrare a datelor care aduc direct atingere activităților comerciale ale furnizorilor de servicii.
49 În măsura în care directiva în cauză modifică Directiva 2002/58 și prezintă o legătură cu Directiva 95/46, modificările pe care le conține nu ar fi putut să fie efectuate în mod corespunzător decât prin intermediul unui act comunitar, iar nu prin intermediul unui act care ține de Tratatul UE.
50 Comisia amintește că, anterior adoptării Directivei 2006/24, mai multe state membre adoptaseră, în temeiul articolului 15 alineatul (1) din Directiva 2002/58, măsuri naționale referitoare la păstrarea datelor. Comisia subliniază diferențele semnificative care existau între aceste măsuri. De exemplu, perioada de păstrare ar fi variat de la trei luni în Țările de Jos la patru ani în Irlanda. În opinia Comisiei, obligațiile privind păstrarea de date au implicații economice importante pentru furnizorii de servicii. O diferență între aceste obligații ar putea antrena denaturări pe piața internă. În acest context, ar fi fost legitimă adoptarea Directivei 2006/24 în temeiul articolului 95 CE.
51 Pe de altă parte, această din urmă directivă ar limita, în mod armonizat la nivel comunitar, obligațiile prevăzute prin Directiva 2002/58. Întrucât aceasta este întemeiată pe articolul 95 CE, temeiul juridic al Directivei 2006/24 nu poate fi diferit.
52 Menționarea cercetării, a depistării și a urmăririi penale a infracțiunilor grave la articolul 1 alineatul (1) din Directiva 2006/24 ar intra în domeniul de aplicare al dreptului comunitar, întrucât ar servi la indicarea obiectivului legitim al limitărilor pe care această directivă le aduce drepturilor persoanelor în domeniul protecției datelor. O astfel de indicație ar fi necesară atât în vederea respectării exigențelor Directivelor 95/46 și 2002/58, cât și pentru a se conforma articolului 8 din CEDO.
53 Autoritatea Europeană pentru Protecția Datelor susține că obiectul Directivei 2006/24 ține de articolul 95 CE, întrucât, pe de o parte, această directivă are o incidență directă asupra activităților economice ale furnizorilor de servicii și poate, așadar, să contribuie la instituirea și la funcționarea pieței interne, iar pe de altă parte, dacă legiuitorul comunitar nu ar fi intervenit, s‑ar fi putut produce o denaturare a concurenței pe această piață internă. Obiectivul privind combaterea infracțiunilor nu ar reprezenta nici unicul obiectiv și nici măcar obiectivul preponderent al directivei în cauză. Dimpotrivă, aceasta ar viza în primul rând să contribuie la instituirea și la funcționarea pieței interne și să elimine denaturările concurenței. Această directivă ar armoniza dispozițiile naționale referitoare la păstrarea anumitor date de către întreprinderile private în cadrul activității lor economice obișnuite.
54 În plus, Directiva 2006/24 ar modifica Directiva 2002/58, care a fost adoptată în temeiul articolului 95 CE, și ar trebui, prin urmare, să fie adoptată pe baza aceluiași temei juridic. Potrivit articolului 47 UE, numai legiuitorul comunitar ar avea competența de a modifica obligațiile născute dintr‑o directivă întemeiată pe Tratatul CE.
55 În opinia Autorității Europene pentru Protecția Datelor, în cazul în care Tratatul CE nu ar putea servi drept temei juridic pentru Directiva 2006/24, dispozițiile de drept comunitar referitoare la protecția datelor nu ar proteja cetățenii în situația în care prelucrarea datelor lor cu caracter personal facilitează combaterea infracționalității. Într‑o astfel de ipoteză, regimul general al protecției datelor în temeiul dreptului comunitar s‑ar aplica prelucrării de date în scopuri comerciale, însă nu și prelucrării acelorași date în scopuri represive. Ar rezulta de aici o serie de distincții dificile pentru furnizorii de servicii și o diminuare a nivelului de protecție pentru persoana vizată. Ar trebui evitată o astfel de situație. Această nevoie de coerență a justificat adoptarea Directivei 2006/24 în temeiul Tratatului CE.
Aprecierea Curții
56 Cu titlu introductiv, trebuie subliniat că problema competențelor Uniunii Europene se prezintă în mod diferit în funcție de împrejurarea dacă respectiva competență a fost deja recunoscută Uniunii Europene în sens larg sau nu a fost încă recunoscută acesteia. În primul caz trebuie să se statueze asupra repartizării competențelor în cadrul Uniunii Europene și, mai precis, asupra chestiunii dacă trebuie să se legifereze prin directivă în temeiul Tratatului CE sau prin decizie‑cadru în temeiul Tratatului UE. În schimb, în cel de al doilea caz trebuie să se statueze asupra repartizării competențelor între Uniunea Europeană și statele membre și, mai precis, asupra chestiunii dacă Uniunea Europeană a adus atingere competențelor statelor membre. Prezenta cauză se circumscrie primului dintre aceste cazuri.
57 De asemenea, trebuie precizat că acțiunea introdusă de Irlanda se referă în exclusivitate la alegerea temeiului juridic, iar nu la o eventuală încălcare a drepturilor fundamentale care ar decurge din ingerințele în exercitarea dreptului la respectarea vieții private pe care le‑ar presupune Directiva 2006/24.
58 Irlanda, susținută de Republica Slovacă, susține că Directiva 2006/24 nu poate fi întemeiată pe articolul 95 CE, dat fiind că „centrul de gravitație” al acesteia nu privește funcționarea pieței interne. Unicul obiectiv sau, cel puțin, obiectivul principal al acestei directive ar fi cercetarea, depistarea și urmărirea penală a infracțiunilor.
59 Această poziție nu poate fi reținută.
60 Potrivit unei jurisprudențe constante a Curții, alegerea temeiului juridic al unui act comunitar trebuie să fie fondată pe elemente obiective care pot fi supuse controlului jurisdicțional, printre care figurează în special scopul și conținutul actului (a se vedea Hotărârea din 23 octombrie 2007, Comisia/Consiliul, C‑440/05, Rep., p. I‑9097, punctul 61 și jurisprudența citată).
61 Directiva 2006/24 a fost adoptată în temeiul Tratatului CE și, mai precis, al articolului 95 din acesta.
62 Potrivit articolului 95 alineatul (1) CE, Consiliul adoptă măsurile privind apropierea actelor cu putere de lege și a actelor administrative ale statelor membre care au ca obiect instituirea și funcționarea pieței interne.
63 Legiuitorul comunitar poate recurge la articolul 95 CE, printre altele, în cazul existenței unor diferențe între reglementările naționale, atunci când aceste diferențe sunt de natură să îngrădească libertățile fundamentale sau să dea naștere unor denaturări ale concurenței și să aibă astfel o incidență directă asupra funcționării pieței interne (a se vedea în acest sens Hotărârea din 12 decembrie 2006, Germania/Parlamentul European și Consiliul, C‑380/03, Rec., p. I‑11573, punctul 37 și jurisprudența citată).
64 În plus, deși este posibilă recurgerea la articolul 95 CE drept temei juridic în vederea prevenirii unor obstacole viitoare privind schimburile, care ar rezulta din evoluția eterogenă a legislațiilor naționale, apariția unor astfel de obstacole trebuie să fie probabilă, iar măsura în cauză trebuie să aibă ca obiect prevenirea lor (Hotărârea Germania/Parlamentul European și Consiliul, citată anterior, punctul 38 și jurisprudența citată).
65 Este necesar să se verifice dacă situația care a condus la adoptarea Directivei 2006/24 întrunește condițiile descrise la ultimele două puncte.
66 Astfel cum rezultă din considerentele (5) și (6) ale directivei în cauză, legiuitorul comunitar a plecat de la constatarea că existau diferențe juridice și tehnice între reglementările naționale referitoare la păstrarea de date de către furnizorii de servicii.
67 În această privință, probele prezentate Curții confirmă că, în urma atentatelor teroriste menționate la punctul 36 din prezenta hotărâre, mai multe state membre, conștientizând că datele referitoare la comunicațiile electronice reprezintă un mijloc eficace pentru depistarea și pentru combaterea infracțiunilor, inclusiv a terorismului, au adoptat unele măsuri în temeiul articolului 15 alineatul (1) din Directiva 2002/58 pentru a impune furnizorilor de servicii obligații privind păstrarea unor astfel de date.
68 De asemenea, din dosar rezultă că obligațiile privind păstrarea de date au implicații economice substanțiale pentru furnizorii de servicii, în măsura în care ele pot antrena investiții și costuri de exploatare importante.
69 Pe de altă parte, probele prezentate Curții atestă că măsurile naționale adoptate până în 2005 în temeiul articolului 15 alineatul (1) din Directiva 2002/58 ar prezenta diferențe importante, în special în ceea ce privește natura datelor păstrate și perioada de păstrare a acestora.
70 În sfârșit, era oricum previzibil că statele membre care nu adoptaseră încă o reglementare în domeniul păstrării de date urmau să introducă norme în acest domeniu, susceptibile să accentueze și mai mult diferențele dintre diversele măsuri naționale existente.
71 Având în vedere aceste elemente, reiese că diferențele dintre reglementările naționale adoptate în domeniul păstrării datelor referitoare la comunicațiile electronice erau de natură să aibă incidență directă asupra funcționării pieței interne și că era previzibil că această incidență urma să fie din ce în ce mai gravă.
72 O astfel de situație justifica urmărirea de către legiuitorul comunitar a obiectivului de a proteja buna funcționare a pieței interne prin adoptarea unor norme armonizate.
73 Pe de altă parte, trebuie subliniat că, prevăzând un nivel armonizat în privința păstrării datelor referitoare la comunicațiile electronice, Directiva 2006/24 a modificat dispozițiile Directivei 2002/58.
74 Această din urmă directivă este întemeiată pe articolul 95 CE.
75 În temeiul articolului 47 UE, niciuneia dintre dispozițiile Tratatului CE nu i se poate aduce atingere printr‑o dispoziție din Tratatul UE. Aceeași cerință figurează în primul paragraf al articolului 29 UE, care introduce titlul VI din acest tratat, intitulat „Dispoziții privind cooperarea polițienească și judiciară în materie penală” (Hotărârea Comisia/Consiliul, citată anterior, punctul 52).
76 Atunci când prevede că nicio dispoziție din Tratatul UE nu aduce atingere tratatelor de instituire a Comunităților Europene și nici tratatelor sau actelor ulterioare care le‑au modificat sau completat, articolul 47 UE urmărește, potrivit articolului 2 a cincea liniuță UE și articolului 3 primul paragraf UE, să mențină și să dezvolte acquis‑ul comunitar (Hotărârea din 20 mai 2008, Comisia/Consiliul, C‑91/05, Rep., p. I‑3651, punctul 59).
77 Revine Curții sarcina de a se asigura că actele cu privire la care o parte susține că se încadrează în domeniul de aplicare al titlului VI din Tratatul UE și care, prin natura lor, pot produce efecte juridice nu afectează competențele pe care dispozițiile Tratatului CE le atribuie Comunității (Hotărârea din 20 mai 2008, Comisia/Consiliul, citată anterior, punctul 33 și jurisprudența citată).
78 În măsura în care modificarea Directivei 2002/58 efectuată prin Directiva 2006/24 intră în domeniul competențelor comunitare, aceasta nu putea să fie întemeiată pe o dispoziție a Tratatului UE fără să se încalce articolul 47 din acesta.
79 Pentru a determina dacă legiuitorul a ales temeiul juridic adecvat pentru adoptarea Directivei 2006/24, este necesar în plus, astfel cum rezultă de la punctul 60 din prezenta hotărâre, să se examineze conținutul material al dispozițiilor acesteia.
80 În această privință, este necesar să se constate că dispozițiile acestei directive se limitează, în esență, la activitățile furnizorilor de servicii și nu reglementează nici accesul la date și nici exploatarea acestora de către autoritățile de poliție sau judiciare ale statelor membre.
81 Mai precis, dispozițiile Directivei 2006/24 urmăresc apropierea legislațiilor naționale privind obligația de păstrare a datelor (articolul 3), categoriile de date care trebuie să fie păstrate (articolul 5), perioada de păstrare a datelor (articolul 6), protecția și securitatea datelor (articolul 7), precum și condițiile de stocare a acestora (articolul 8).
82 În schimb, măsurile prevăzute prin Directiva 2006/24 nu implică, prin ele însele, o intervenție represivă din partea autorităților statelor membre. Astfel cum rezultă în special din articolul 3 din această directivă, se prevede că furnizorii de servicii trebuie să păstreze numai datele care sunt generate sau prelucrate cu ocazia furnizării serviciilor de comunicații vizate. Aceste date sunt în exclusivitate acelea care sunt strâns legate de exercitarea activității comerciale a acestor furnizori.
83 Directiva 2006/24 reglementează astfel operațiuni care sunt independente de punerea în aplicare a vreunei eventuale acțiuni de cooperare polițienească și judiciară în materie penală. Aceasta nu armonizează nici chestiunea accesului la date al autorităților naționale competente în materie de aplicare a legii, nici pe aceea referitoare la utilizarea și la schimbul acestor date între aceste autorități. Aceste chestiuni, care intră, în principiu, în domeniul de aplicare al titlului VI din Tratatul UE, au fost excluse din dispozițiile acestei directive, astfel cum se arată în special în considerentul (25) și la articolul 4 din aceasta.
84 Prin urmare, conținutul material al Directivei 2006/24 are în vedere în principal activitățile furnizorilor de servicii în sectorul vizat al pieței interne, cu excluderea activităților statale care intră în domeniul de aplicare al titlului VI din Tratatul UE.
85 Având în vedere acest conținut material, trebuie concluzionat că Directiva 2006/24 vizează în mod preponderent funcționarea pieței interne.
86 Împotriva unei astfel de concluzii, Irlanda arată că, prin Hotărârea Parlamentul European/Consiliul și Comisia, citată anterior, Curtea a anulat Decizia 2004/496/CE a Consiliului din 17 mai 2004 privind încheierea unui acord între Comunitatea Europeană și Statele Unite ale Americii cu privire la prelucrarea și la transferul datelor PNR de către transportatorii aerieni către Biroul vamal și de protecție la frontieră din cadrul ministerului american pentru securitate internă (JO L 183, p. 83, rectificare în JO 2005, L 255, p. 168).
87 La punctul 68 din Hotărârea Parlamentul European/Consiliul și Comisia, citată anterior, Curtea a apreciat că acordul respectiv viza același transfer de date ca și Decizia 2004/535/CE a Comisiei din 14 mai 2004 privind protecția adecvată a datelor cu caracter personal din registrele nominale ale pasagerilor aerieni transferate către Biroul vamal și de protecție la frontieră al Statelor Unite ale Americii (JO L 235, p. 11).
88 Această din urmă decizie avea legătură cu transferul datelor pasagerilor care proveneau din sistemele de rezervare ale transportatorilor aerieni situați pe teritoriul statelor membre către Biroul vamal și de protecție la frontieră din cadrul ministerului pentru securitate internă al Statelor Unite. Curtea a constatat că obiectul acestei decizii era o prelucrare de date care nu era necesară pentru realizarea unei prestări de servicii de către transportatorii aerieni, dar care era considerată necesară pentru garantarea siguranței publice și în scopuri represive. La punctele 57-59 din Hotărârea Parlamentul European/Consiliul și Comisia, citată anterior, Curtea s‑a pronunțat în sensul că o astfel de prelucrare de date intră în domeniul de aplicare al articolului 3 alineatul (2) din Directiva 95/46, potrivit căruia această directivă nu se aplică, printre altele, prelucrării datelor cu caracter personal care au ca obiect siguranța publică și activitățile statului în domeniul dreptului penal. Prin urmare, Curtea a concluzionat că Decizia 2004/535 nu intra în domeniul de aplicare al Directivei 95/46.
89 Întrucât acordul care făcea obiectul Deciziei 2004/496 viza, asemănător Deciziei 2004/535, o prelucrare de date care era exclusă din domeniul de aplicare al Directivei 95/46, Curtea a decis că Decizia 2004/496 nu a putut fi adoptată în mod valabil în temeiul articolului 95 CE (Hotărârea Parlamentul European/Consiliul și Comisia, citată anterior, punctele 68 și 69).
90 Astfel de considerații nu pot fi transpuse în privința Directivei 2006/24.
91 Într‑adevăr, spre deosebire de Decizia 2004/496, care privea un transfer de date cu caracter personal care se integra într‑un cadru instituit de puterile publice în vederea garantării siguranței publice, Directiva 2006/24 vizează activitățile furnizorilor de servicii pe piața internă și nu cuprinde nicio reglementare a activităților puterilor publice în scopuri represive.
92 Rezultă că argumentele pe care Irlanda le întemeiază pe anularea Deciziei 2004/496 prin Hotărârea Parlamentul European/Consiliul și Comisia, citată anterior, nu pot fi reținute.
93 Având în vedere toate considerațiile care precedă, trebuie să se aprecieze că era necesar ca Directiva 2006/24 să fie adoptată în temeiul articolului 95 CE.
94 Prin urmare, prezenta acțiune trebuie respinsă.
Cu privire la cheltuielile de judecată
95 În temeiul articolului 69 alineatul (2) din Regulamentul de procedură, partea care cade în pretenții este obligată, la cerere, la plata cheltuielilor de judecată. Întrucât Parlamentul European și Consiliul au solicitat obligarea Irlandei la plata cheltuielilor de judecată, iar Irlanda a căzut în pretenții, se impune obligarea acesteia la plata cheltuielilor de judecată. În conformitate cu alineatul (4) primul paragraf din același articol, intervenientele în prezentul litigiu suportă propriile cheltuieli de judecată.
Pentru aceste motive, Curtea (Marea Cameră) declară și hotărăște:
1) Respinge acțiunea.
2) Obligă Irlanda la plata cheltuielilor de judecată.
3) Regatul Spaniei, Regatul Țărilor de Jos, Republica Slovacă, Comisia Comunităților Europene și Autoritatea Europeană pentru Protecția Datelor suportă propriile cheltuieli de judecată.
Semnături