Προσωρινό κείμενο
ΑΠΟΦΑΣΗ ΤΟΥ ΔΙΚΑΣΤΗΡΙΟΥ (ολομέλεια)
της 30ής Απριλίου 2024 (*)
Περιεχόμενα
Το νομικό πλαίσιο
Το δίκαιο της Ένωσης
H γενική ρύθμιση περί προστασίας των δεδομένων προσωπικού χαρακτήρα
– Η οδηγία 95/46/ΕΚ
– Ο ΓΚΠΔ
H τομεακή ρύθμιση περί προστασίας των δεδομένων προσωπικού χαρακτήρα
– Η οδηγία 2002/58/ΕΚ
– Η οδηγία (ΕΕ) 2016/680
Η ρύθμιση σχετικά με την προστασία των δικαιωμάτων διανοητικής ιδιοκτησίας
Το γαλλικό δίκαιο
Ο CPI
Το διάταγμα 2010-236
Ο κώδικας ταχυδρομείων και ηλεκτρονικών επικοινωνιών
Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα
Επί των προδικαστικών ερωτημάτων
Προκαταρκτικές παρατηρήσεις
Επί της υπάρξεως δικαιολογητικού λόγου, δυνάμει του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58, για την πρόσβαση δημόσιας αρχής σε δεδομένα σχετικά με την ταυτότητα τα οποία αντιστοιχούν σε διεύθυνση IP και τα οποία διατηρούνται από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών για τον σκοπό της καταπολέμησης της προσβολής δικαιώματος διανοητικής ιδιοκτησίας που διαπράττεται μέσω διαδικτύου
Επί των απαιτήσεων που συνδέονται με τη διατήρηση, από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών, των δεδομένων σχετικά με την ταυτότητα και των αντίστοιχων διευθύνσεων IP
Επί των απαιτήσεων που συνδέονται με την πρόσβαση στα δεδομένα σχετικά με την ταυτότητα τα οποία αντιστοιχούν σε διεύθυνση IP και τα οποία διατηρούνται από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών
Επί της απαιτήσεως ελέγχου από δικαστήριο ή ανεξάρτητη διοικητική οντότητα πριν από την πρόσβαση δημόσιας αρχής σε δεδομένα σχετικά με την ταυτότητα τα οποία αντιστοιχούν σε διεύθυνση IP
Επί των απαιτήσεων που αφορούν τις ουσιαστικές και διαδικαστικές προϋποθέσεις καθώς και τις εγγυήσεις κατά των κινδύνων κατάχρησης και κατά κάθε παράνομης πρόσβασης στα δεδομένα και παράνομης χρήσης των δεδομένων από τις οποίες πρέπει να εξαρτάται η πρόσβαση δημόσιας αρχής σε δεδομένα σχετικά με την ταυτότητα τα οποία αντιστοιχούν σε διεύθυνση IP
Επί των δικαστικών εξόδων
«Προδικαστική παραπομπή – Επεξεργασία των δεδομένων προσωπικού χαρακτήρα και προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών – Οδηγία 2002/58/ΕΚ – Απόρρητο των ηλεκτρονικών επικοινωνιών – Προστασία – Άρθρο 5 και άρθρο 15, παράγραφος 1 – Χάρτης των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης – Άρθρα 7, 8 και 11 και άρθρο 52, παράγραφος 1 – Εθνική νομοθεσία η οποία αποσκοπεί στην καταπολέμηση, μέσω της δράσης δημόσιας αρχής, των προσβολών δικαιωμάτων διανοητικής ιδιοκτησίας οι οποίες διαπράττονται μέσω διαδικτύου – Διαδικασία της “κλιμακούμενης απάντησης” – Συλλογή, σε προγενέστερο στάδιο, από οργανισμούς δικαιούχων, των διευθύνσεων IP που χρησιμοποιούνται για δραστηριότητες οι οποίες προσβάλλουν δικαιώματα πνευματικής ιδιοκτησίας ή συγγενικά δικαιώματα – Πρόσβαση, σε μεταγενέστερο στάδιο, της δημόσιας αρχής που είναι επιφορτισμένη με την προστασία των δικαιωμάτων πνευματικής ιδιοκτησίας και των συγγενικών δικαιωμάτων σε δεδομένα σχετικά με την ταυτότητα που αντιστοιχούν σε αυτές τις διευθύνσεις IP τα οποία διατηρούνται από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών – Αυτοματοποιημένη επεξεργασία – Απαίτηση προηγούμενου ελέγχου από δικαστήριο ή ανεξάρτητη διοικητική οντότητα – Ουσιαστικές και διαδικαστικές προϋποθέσεις – Εγγυήσεις κατά του κινδύνου καταχρήσεων καθώς και κατά οποιασδήποτε παράνομης πρόσβασης σε αυτά τα δεδομένα και οποιασδήποτε παράνομης χρήσης τους»
Στην υπόθεση C-470/21,
με αντικείμενο αίτηση προδικαστικής αποφάσεως δυνάμει του άρθρου 267 ΣΛΕΕ, που υπέβαλε το Conseil d’État (Συμβούλιο της Επικρατείας, Γαλλία) με απόφαση της 5ης Ιουλίου 2021, η οποία περιήλθε στο Δικαστήριο στις 30 Ιουλίου 2021, στο πλαίσιο της δίκης
La Quadrature du Net,
Fédération des fournisseurs d’accès à Internet associatifs,
Franciliens.net,
French Data Network
κατά
Premier ministre,
Ministre de la Culture,
ΤΟ ΔΙΚΑΣΤΗΡΙΟ (ολομέλεια),
συγκείμενο από τους K. Lenaerts, Πρόεδρο, L. Bay Larsen, Αντιπρόεδρο, A. Arabadjiev, A. Prechal (εισηγήτρια), K. Jürimäe, Κ. Λυκούργο, E. Regan, T. von Danwitz, F. Biltgen, N. Piçarra και Z. Csehi, προέδρους τμήματος, M. Ilešič, J.-C. Bonichot, S. Rodin, P. G. Xuereb, L. S. Rossi, I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl, I. Ziemele, J. Passer, Δ. Γρατσία, M. L. Arastey Sahún και M. Gavalec, δικαστές,
γενικός εισαγγελέας: M. Szpunar
γραμματείς: V. Giacobbo και M. Krausenböck, διοικητικές υπάλληλοι,
έχοντας υπόψη την έγγραφη διαδικασία και κατόπιν της επ’ ακροατηρίου συζητήσεως της 5ης Ιουλίου 2022,
λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:
– οι La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net και French Data Network, εκπροσωπούμενες από τον A. Fitzjean Ó Cobhthaigh, avocat,
– η Γαλλική Κυβέρνηση, εκπροσωπούμενη από την A. Daniel, την A.‑L. Desjonquères και τον J. Illouz,
– η Δανική Κυβέρνηση, εκπροσωπούμενη από τις J. F. Kronborg και V. Pasternak Jørgensen,
– η Εσθονική Κυβέρνηση, εκπροσωπούμενη από την M. Kriisa,
– η Φινλανδική Κυβέρνηση, εκπροσωπούμενη από την H. Leppo,
– η Σουηδική Κυβέρνηση, εκπροσωπούμενη από την H. Shev,
– η Νορβηγική Κυβέρνηση, εκπροσωπούμενη από τον F. Bergsjø, τον S.‑E. Dahl, τη J. T. Kaasin και τον P. Wennerås,
– η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τους S. L. Kalėda, H. Kranenborg, P.-J. Loewenthal και F. Wilman,
αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 27ης Οκτωβρίου 2022,
έχοντας υπόψη τη διάταξη περί επαναλήψεως της προφορικής διαδικασίας της 23ης Μαρτίου 2023 και κατόπιν της επ’ ακροατηρίου συζητήσεως της 15ης Μαΐου 2023,
λαμβάνοντας υπόψη τις παρατηρήσεις που υπέβαλαν:
– οι La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net και French Data Network, εκπροσωπούμενες από τον A. Fitzjean Ó Cobhthaigh, avocat,
– η Γαλλική Κυβέρνηση, εκπροσωπούμενη από τους R. Bénard, J. Illouz και T. Stéhelin,
– η Τσεχική Κυβέρνηση, εκπροσωπούμενη από την T. Suchá και τον J. Vláčil,
– η Δανική Κυβέρνηση, εκπροσωπούμενη από τις J. F. Kronborg και C. A.‑S. Maertens,
– η Εσθονική Κυβέρνηση, εκπροσωπούμενη από την M. Kriisa,
– η Ιρλανδία, εκπροσωπούμενη από τη M. Browne, Chief State Solicitor, και από τους A. Joyce και D. O’Reilly, επικουρούμενους από τον D. Fenelly, BL,
– η Ισπανική Κυβέρνηση, εκπροσωπούμενη από την A. Gavela Llopis,
– η Κυπριακή Κυβέρνηση, εκπροσωπούμενη από την Ι. Νεοφύτου,
– η Λεττονική Κυβέρνηση, εκπροσωπούμενη από τις J. Davidoviča και K. Pommere,
– η Ολλανδική Κυβέρνηση, εκπροσωπούμενη από τις E. M. M. Besselink, M. K. Bultermann και A. Hanje,
– η Φινλανδική Κυβέρνηση, εκπροσωπούμενη από τις A. Laine και H. Leppo,
– η Σουηδική Κυβέρνηση, εκπροσωπούμενη από τις F.-D. Göransson και H. Shev,
– η Νορβηγική Κυβέρνηση, εκπροσωπούμενη από τους S.-E. Dahl και P. Wennerås,
– η Ευρωπαϊκή Επιτροπή, εκπροσωπούμενη από τους S. L. Kalėda, H. Kranenborg, P.-J. Loewenthal και F. Wilman,
– ο Ευρωπαίος Επόπτης Προστασίας Δεδομένων, εκπροσωπούμενος από τους V. Bernardo, C.-A. Marnier, D. Nardi και M. Pollmann,
– ο Οργανισμός της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια, εκπροσωπούμενος από την A. Bourka,
αφού άκουσε τον γενικό εισαγγελέα που ανέπτυξε τις προτάσεις του κατά τη συνεδρίαση της 28ης Σεπτεμβρίου 2023,
εκδίδει την ακόλουθη
Απόφαση
1 Η αίτηση προδικαστικής αποφάσεως αφορά την ερμηνεία της οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία [της] ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ 2002, L 201, σ. 37), όπως τροποποιήθηκε με την οδηγία 2009/136/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Νοεμβρίου 2009 (ΕΕ 2009, L 337, σ. 11) (στο εξής: οδηγία 2002/58), ερμηνευόμενη υπό το πρίσμα του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης (στο εξής: Χάρτης).
2 Η εν λόγω αίτηση υποβλήθηκε στο πλαίσιο ένδικης διαφοράς μεταξύ των ενώσεων La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net και French Data Network, αφενός, και του Premier ministre (Πρωθυπουργού, Γαλλία) και του ministre de la Culture (Υπουργού Πολιτισμού, Γαλλία), αφετέρου, σχετικά με τη νομιμότητα του décret no 2010‑236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du code de la propriété intellectuelle dénommé «Système de gestion des mesures pour la protection des œuvres sur internet» (διατάγματος 2010-236, της 5ης Μαρτίου 2010, περί της αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που επιτρέπεται βάσει του άρθρου L. 331-29 του κώδικα διανοητικής ιδιοκτησίας με την ονομασία «Σύστημα διαχείρισης μέτρων προστασίας έργων στο διαδίκτυο») (JORF αριθ. 56 της 7ης Μαρτίου 2010, κείμενο αριθ. 19), όπως τροποποιήθηκε με το décret no 2017-924, du 6 mai 2017, relatif à la gestion des droits d’auteur et des droits voisins par un organisme de gestion de droits et modifiant le code de la propriété intellectuelle (διάταγμα 2017-924, της 6ης Μαΐου 2017, περί διαχειρίσεως των δικαιωμάτων πνευματικής ιδιοκτησίας και των συγγενικών δικαιωμάτων από οργανισμό διαχείρισης δικαιωμάτων και περί τροποποιήσεως του κώδικα διανοητικής ιδιοκτησίας) (JORF αριθ. 109 της 10ης Μαΐου 2017, κείμενο αριθ. 176) (στο εξής: διάταγμα 2010-236).
Το νομικό πλαίσιο
Το δίκαιο της Ένωσης
H γενική ρύθμιση περί προστασίας των δεδομένων προσωπικού χαρακτήρα
– Η οδηγία 95/46/ΕΚ
3 Το άρθρο 7 της οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 31), το οποίο περιλαμβανόταν στο επιγραφόμενο «Βασικές αρχές της νόμιμης επεξεργασίας δεδομένων» τμήμα ΙΙ του κεφαλαίου ΙΙ της εν λόγω οδηγίας, όριζε τα εξής:
«Τα κράτη μέλη προβλέπουν ότι επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να γίνεται μόνον εάν:
[...]
στ) είναι απαραίτητη για την επίτευξη του εννόμου συμφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας ή ο τρίτος ή οι τρίτοι στους οποίους ανακοινώνονται τα δεδομένα, υπό τον όρο ότι δεν προέχει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του προσώπου στο οποίο αναφέρονται τα δεδομένα που χρήζουν προστασίας δυνάμει του άρθρου 1 παράγραφος 1 της παρούσας οδηγίας.»
4 Το άρθρο 13, παράγραφος 1, της εν λόγω οδηγίας όριζε τα εξής:
«Τα κράτη μέλη μπορούν να περιορίζουν με νομοθετικά μέτρα την εμβέλεια των υποχρεώσεων και δικαιωμάτων που προβλέπονται από τις διατάξεις του άρθρου 6 παράγραφος 1, του άρθρου 10, του άρθρου 11 παράγραφος 1 και των άρθρων 12 και 21, όταν ο περιορισμός αυτός απαιτείται για τη διαφύλαξη:
[...]
ζ) της προστασίας του προσώπου στο οποίο αναφέρονται τα δεδομένα ή των δικαιωμάτων και ελευθεριών άλλων προσώπων.»
– Ο ΓΚΠΔ
5 Το επιγραφόμενο «Ουσιαστικό πεδίο εφαρμογής» άρθρο 2 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ 2016, L 119, σ. 1, και διορθωτικό ΕΕ 2021, L 74, σ. 35, στο εξής: ΓΚΠΔ), ορίζει στις παραγράφους 1 και 2 τα εξής.
«1. Ο παρών κανονισμός εφαρμόζεται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης.
2. Ο παρών κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα:
[...]
δ) από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.»
6 Στο άρθρο 4 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Ορισμοί», διευκρινίζονται τα εξής:
«Για τους σκοπούς του παρόντος κανονισμού νοούνται ως:
1) “δεδομένα προσωπικού χαρακτήρα”: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (“υποκείμενο των δεδομένων”)· [...]
2) “επεξεργασία”: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
[...]».
7 Το άρθρο 6 του ως άνω κανονισμού, το οποίο τιτλοφορείται «Νομιμότητα της επεξεργασίας», προβλέπει στην παράγραφο 1 τα εξής:
«Η επεξεργασία είναι σύννομη μόνο εάν και εφόσον ισχύει τουλάχιστον μία από τις ακόλουθες προϋποθέσεις:
[...]
στ) η επεξεργασία είναι απαραίτητη για τους σκοπούς των έννομων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύει το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων που επιβάλλουν την προστασία των δεδομένων προσωπικού χαρακτήρα [...].
Το στοιχείο στ) του πρώτου εδαφίου δεν εφαρμόζεται στην επεξεργασία που διενεργείται από δημόσιες αρχές κατά την άσκηση των καθηκόντων τους.»
8 Το άρθρο 9 («Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα») του εν λόγω κανονισμού προβλέπει στην παράγραφο 2, στοιχεία εʹ και στʹ, ότι η απαγόρευση της επεξεργασίας ορισμένων ειδών δεδομένων προσωπικού χαρακτήρα που αποκαλύπτει, μεταξύ άλλων, δεδομένα σχετικά με τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό φυσικού προσώπου δεν ισχύει όταν η επεξεργασία αφορά δεδομένα προσωπικού χαρακτήρα τα οποία έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων ή είναι, μεταξύ άλλων, απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων.
9 Το άρθρο 23 του ΓΚΠΔ, το οποίο φέρει τον τίτλο «Περιορισμοί», ορίζει στην παράγραφο 1 τα εξής:
«Το δίκαιο της Ένωσης ή του κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία των δεδομένων μπορεί να περιορίζει μέσω νομοθετικού μέτρου το πεδίο εφαρμογής των υποχρεώσεων και των δικαιωμάτων που προβλέπονται στα άρθρα 12 έως 22 και στο άρθρο 34, καθώς και στο άρθρο 5, εφόσον οι διατάξεις του αντιστοιχούν στα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 12 έως 22, όταν ένας τέτοιος περιορισμός σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών και συνιστά αναγκαίο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διασφάλιση:
[...]
θ) της προστασίας του υποκειμένου των δεδομένων ή των δικαιωμάτων και των ελευθεριών τρίτων,
ι) της εκτέλεσης αστικών αξιώσεων.»
H τομεακή ρύθμιση περί προστασίας των δεδομένων προσωπικού χαρακτήρα
– Η οδηγία 2002/58/ΕΚ
10 Οι αιτιολογικές σκέψεις 2, 6, 7, 11, 26 και 30 της οδηγίας 2002/58 έχουν ως εξής:
«(2) Επιδίωξη της παρούσας οδηγίας είναι να σεβαστεί τα θεμελιώδη δικαιώματα, τηρεί δε τις βασικές αρχές που αναγνωρίζονται ιδίως από τον [Χάρτη]. Συγκεκριμένα, η παρούσα οδηγία επιδιώκει να διασφαλισθεί η πλήρης τήρηση των δικαιωμάτων που προβλέπονται στα άρθρα 7 και 8 του [Χ]άρτη αυτού.
[...]
(6) Το Διαδίκτυο ανατρέπει τις παραδοσιακές δομές της αγοράς παρέχοντας ενιαία, παγκόσμια υποδομή για την παροχή ευρέος φάσματος υπηρεσιών ηλεκτρονικών επικοινωνιών. Οι διαθέσιμες στο κοινό υπηρεσίες επικοινωνιών στο Διαδίκτυο δημιουργούν νέες δυνατότητες για τους χρήστες αλλά και νέους κινδύνους για τα προσωπικά τους δεδομένα και την ιδιωτική τους ζωή.
(7) Στην περίπτωση των δημόσιων δικτύων επικοινωνίας, θα πρέπει να θεσπισθούν ειδικές νομοθετικές, κανονιστικές και τεχνικές διατάξεις προκειμένου να προστατευθούν τα θεμελιώδη δικαιώματα και οι ελευθερίες των φυσικών προσώπων, καθώς και τα έννομα συμφέροντα των νομικών προσώπων, ιδίως έναντι των αυξανομένων δυνατοτήτων αυτόματης αποθήκευσης και επεξεργασίας δεδομένων που αφορούν συνδρομητές και χρήστες.
[...]
(11) Η παρούσα οδηγία, όπως και η οδηγία [95/46], δεν υπεισέρχεται σε θέματα προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών που συνδέονται με δραστηριότητες οι οποίες δεν διέπονται από το κοινοτικό δίκαιο. Επομένως, δεν αλλάζει την υφιστάμενη ισορροπία ανάμεσα στο δικαίωμα του ατόμου στην ιδιωτική ζωή και τη δυνατότητα των κρατών μελών να θεσπίζουν μέτρα όπως αυτά που αναφέρονται στο άρθρο 15 παράγραφος 1 της παρούσας οδηγίας, εφόσον είναι αναγκαία για την προστασία της δημόσιας ασφάλειας, της εθνικής άμυνας, της ασφάλειας του κράτους (περιλαμβανομένης της οικονομικής ευημερίας του κράτους εφόσον οι δραστηριότητες συνδέονται με θέματα ασφάλειας του κράτους) και την εφαρμογή του ποινικού δικαίου. Ως εκ τούτου, η παρούσα οδηγία δεν θίγει τη δυνατότητα των κρατών μελών να προβαίνουν σε νόμιμη παρακολούθηση των ηλεκτρονικών επικοινωνιών ή να λαμβάνουν άλλα μέτρα, όταν αυτό είναι αναγκαίο, για οποιονδήποτε από τους προαναφερόμενους σκοπούς και σύμφωνα με την ευρωπαϊκή σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών, [που υπογράφηκε στη Ρώμη στις 4 Νοεμβρίου 1950,] όπως ερμηνεύθηκε από τις αποφάσεις του Ευρωπαϊκού Δικαστηρίου για τα Δικαιώματα του Ανθρώπου. Τα μέτρα αυτά πρέπει να είναι κατάλληλα, αυστηρώς ανάλογα των προς επίτευξη σκοπών και αναγκαία στα πλαίσια μιας δημοκρατικής κοινωνίας και θα πρέπει επίσης να υπόκεινται σε επαρκείς διασφαλίσεις σύμφωνα με την ευρωπαϊκή σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών.
[...]
(26) Τα δεδομένα που αφορούν συνδρομητές και υποβάλλονται σε επεξεργασία σε δίκτυα ηλεκτρονικών επικοινωνιών για την αποκατάσταση συνδέσεων και για τη μετάδοση πληροφοριών περιέχουν πληροφορίες για την ιδιωτική ζωή φυσικών προσώπων, άπτονται δε του δικαιώματος σεβασμού της αλληλογραφίας τους ή των εννόμων συμφερόντων νομικών προσώπων. Τα δεδομένα αυτά επιτρέπεται να αποθηκεύονται μόνον εφόσον είναι απαραίτητο για την παροχή υπηρεσιών για τη χρέωση και την πληρωμή διασυνδέσεων και μόνο για περιορισμένο χρόνο. Κάθε άλλη επεξεργασία [...] επιτρέπεται μόνον εφόσον συμφωνεί με αυτήν ο συνδρομητής, με βάση ακριβείς και πλήρεις πληροφορίες που παρέχει ο φορέας παροχής των διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σχετικά με τα είδη περαιτέρω επεξεργασίας που σκοπεύει να διενεργήσει, καθώς και με το δικαίωμα του συνδρομητή να μην συναινεί ή να αποσύρει τη συναίνεσή του για την εν λόγω επεξεργασία. [...]
[...]
(30) Τα συστήματα για την παροχή ηλεκτρονικών επικοινωνιακών δικτύων και υπηρεσιών θα πρέπει να σχεδιάζονται έτσι ώστε να περιορίζουν την ποσότητα των απαιτούμενων δεδομένων προσωπικού χαρακτήρα στο ελάχιστο δυνατό. [...]»
11 Κατά το άρθρο 2 της οδηγίας 2002/58, το οποίο τιτλοφορείται «Ορισμοί»:
«[...]
Επίσης, ισχύουν και οι ακόλουθοι ορισμοί, βάσει των οποίων νοούνται ως:
α) “χρήστης”, κάθε φυσικό πρόσωπο που χρησιμοποιεί διαθέσιμη στο κοινό υπηρεσία ηλεκτρονικών επικοινωνιών, για προσωπικούς ή επαγγελματικούς σκοπούς, χωρίς να είναι απαραίτητα συνδρομητής της εν λόγω υπηρεσίας·
β) “δεδομένα κίνησης”, τα δεδομένα που υποβάλλονται σε επεξεργασία για τους σκοπούς της διαβίβασης μιας επικοινωνίας σε δίκτυο ηλεκτρονικών επικοινωνιών ή της χρέωσής της·
γ) “δεδομένα θέσης”, τα δεδομένα που υποβάλλονται σε επεξεργασία σε δίκτυο ηλεκτρονικών επικοινωνιών ή από υπηρεσία ηλεκτρονικών επικοινωνιών και που υποδεικνύουν τη γεωγραφική θέση του τερματικού εξοπλισμού του χρήστη μιας διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών·
[...]».
12 Το άρθρο 3 της οδηγίας, το οποίο επιγράφεται «Σχετικές υπηρεσίες», προβλέπει τα εξής:
«Η παρούσα οδηγία εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα επικοινωνιών στην Κοινότητα, περιλαμβανομένων των δημοσίων δικτύων επικοινωνιών που υποστηρίζουν συσκευές συλλογής δεδομένων και ταυτοποίησης.»
13 Κατά το άρθρο 5 της ως άνω οδηγίας, το οποίο φέρει τον τίτλο «Απόρρητο των επικοινωνιών»:
«1. Τα κράτη μέλη κατοχυρώνουν, μέσω της εθνικής νομοθεσίας, το απόρρητο των επικοινωνιών που διενεργούνται μέσω δημόσιου δικτύου επικοινωνιών και των διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, καθώς και των συναφών δεδομένων κίνησης. Ειδικότερα, απαγορεύουν την ακρόαση, υποκλοπή, αποθήκευση ή άλλο είδος παρακολούθησης ή επιτήρησης των επικοινωνιών και των συναφών δεδομένων κίνησης από πρόσωπα πλην των χρηστών, χωρίς τη συγκατάθεση των ενδιαφερομένων χρηστών, εκτός αν υπάρχει σχετική νόμιμη άδεια, σύμφωνα με το άρθρο 15 παράγραφος 1. Η παρούσα παράγραφος δεν εμποδίζει την τεχνική αποθήκευση, η οποία είναι αναγκαία για τη διαβίβαση επικοινωνίας, με την επιφύλαξη της αρχής του απορρήτου.
[...]
3. Τα κράτη μέλη μεριμνούν ώστε η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη επιτρέπεται μόνον εάν ο συγκεκριμένος συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεσή του με βάση σαφείς και εκτενείς πληροφορίες σύμφωνα με την οδηγία [95/46], μεταξύ άλλων για τον σκοπό της επεξεργασίας. [...]»
14 Το επιγραφόμενο «Δεδομένα κίνησης» άρθρο 6 της ίδιας οδηγίας ορίζει τα εξής:
«1. Τα δεδομένα κίνησης που αφορούν συνδρομητές και χρήστες, τα οποία υποβάλλονται σε επεξεργασία και αποθηκεύονται από τον πάροχο δημόσιου δικτύου ή διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών, πρέπει να απαλείφονται ή να καθίστανται ανώνυμα όταν δεν είναι πλέον απαραίτητα για το σκοπό της μετάδοσης μιας επικοινωνίας, με την επιφύλαξη των παραγράφων 2, 3 και 5 του παρόντος άρθρου και του άρθρου 15 παράγραφος 1.
2. Τα δεδομένα κίνησης που είναι απαραίτητα για τη χρέωση των συνδρομητών και την πληρωμή των διασυνδέσεων μπορούν να υποβάλλονται σε επεξεργασία. Η επεξεργασία αυτή επιτρέπεται μόνον έως το τέλος της χρονικής περιόδου εντός της οποίας δύναται να αμφισβητείται νομίμως ο λογαριασμός ή να επιδιώκεται η πληρωμή.
3. Για την εμπορική προώθηση των υπηρεσιών ηλεκτρονικών επικοινωνιών ή για την παροχή υπηρεσιών προστιθέμενης αξίας, ο πάροχος διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών μπορεί να επεξεργάζεται τα δεδομένα που αναφέρονται στην παράγραφο 1 στην απαιτούμενη έκταση και για την απαιτούμενη διάρκεια για αυτή την υπηρεσία ή την εμπορική προώθηση, εφόσον ο συνδρομητής ή ο χρήστης τον οποίο αφορούν δίδει προηγουμένως τη συγκατάθεσή του. Στους χρήστες ή συνδρομητές πρέπει να δίνεται η δυνατότητα να ανακαλούν οποτεδήποτε τη συγκατάθεσή τους για την επεξεργασία των δεδομένων κίνησης.
[...]
5. Η επεξεργασία των δεδομένων κίνησης, σύμφωνα με τις παραγράφους 1, 2, 3 και 4, πρέπει να περιορίζεται σε πρόσωπα τα οποία ενεργούν υπό την εποπτεία του φορέα παροχής του δημοσίου δικτύου και της διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών και ασχολούνται με τη διαχείριση της χρέωσης ή της κίνησης, τις απαντήσεις σε ερωτήσεις πελατών, την ανίχνευση της απάτης, την εμπορική προώθηση των υπηρεσιών ηλεκτρονικών επικοινωνιών ή την παροχή υπηρεσίας προστιθέμενης αξίας, και πρέπει να περιορίζεται στα απολύτως αναγκαία για την εξυπηρέτηση των σκοπών αυτών.»
15 Το άρθρο 15 της οδηγίας 2002/58, το οποίο φέρει τον τίτλο «Εφαρμογή ορισμένων διατάξεων της οδηγίας [95/46]», προβλέπει τα εξής:
«1. Τα κράτη μέλη δύνανται να λαμβάνουν νομοθετικά μέτρα για να περιορίζουν τα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 5 και 6, στο άρθρο 8 παράγραφοι 1 έως 4 και στο άρθρο 9 της παρούσας οδηγίας, εφόσον ο περιορισμός αυτός αποτελεί αναγκαίο, κατάλληλο και ανάλογο μέτρο σε μια δημοκρατική κοινωνία για τη διαφύλαξη της εθνικής ασφάλειας (δηλαδή της ασφάλειας του κράτους), της εθνικής άμυνας, της δημόσιας ασφάλειας, και για την πρόληψη, διερεύνηση, διαπίστωση και δίωξη ποινικών αδικημάτων ή της άνευ αδείας χρησιμοποίησης του συστήματος ηλεκτρονικών επικοινωνιών, όπως προβλέπεται στο άρθρο 13 παράγραφος 1 της οδηγίας [95/46]. Για το σκοπό αυτό, τα κράτη μέλη δύνανται, μεταξύ άλλων, να λαμβάνουν νομοθετικά μέτρα που θα προβλέπουν τη φύλαξη δεδομένων για ορισμένο χρονικό διάστημα για τους λόγους που αναφέρονται στην παρούσα παράγραφο. Όλα τα μέτρα που προβλέπονται στην παρούσα παράγραφο είναι σύμφωνα με τις γενικές αρχές του κοινοτικού δικαίου, συμπεριλαμβανομένων αυτών που αναφέρονται στο άρθρο 6 παράγραφοι 1 και 2 της [ΣΕΕ].
[...]
2. Οι διατάξεις του κεφαλαίου III της οδηγίας [95/46] περί ενδίκων μέσων, ευθύνης και κυρώσεων, ισχύουν όσον αφορά τις εθνικές διατάξεις που θεσπίζονται δυνάμει της παρούσας οδηγίας και όσον αφορά τα ατομικά δικαιώματα που απορρέουν από την παρούσα οδηγία.
[...]»
– Η οδηγία (ΕΕ) 2016/680
16 Το άρθρο 1 της οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ 2016, L 119, σ. 89), το οποίο φέρει τον τίτλο «Αντικείμενο και στόχοι», προβλέπει στην παράγραφο 1 τα εξής:
«Η παρούσα οδηγία θεσπίζει τους κανόνες που αφορούν στην προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους.»
17 Το τιτλοφορούμενο «Ορισμοί» άρθρο 3 της εν λόγω οδηγίας ορίζει τα εξής:
«Για τους σκοπούς της παρούσας οδηγίας νοούνται ως:
[...]
7. “αρμόδια αρχή”:
α) κάθε δημόσια αρχή αρμόδια για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους· ή
β) κάθε άλλος οργανισμός ή φορέας στον οποίο το δίκαιο κράτους μέλους αναθέτει ρόλο δημόσιας αρχής και την εκτέλεση δημόσιων εξουσιών για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους·
[...]».
Η ρύθμιση σχετικά με την προστασία των δικαιωμάτων διανοητικής ιδιοκτησίας
18 Το επιγραφόμενο «Δικαίωμα ενημέρωσης» άρθρο 8 της οδηγίας 2004/48/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 29ης Απριλίου 2004, σχετικά με την επιβολή των δικαιωμάτων διανοητικής ιδιοκτησίας (ΕΕ 2004, L 157, σ. 45, και διορθωτικό ΕΕ 2004, L 195, σ. 16), ορίζει τα εξής:
«1. Τα κράτη μέλη μεριμνούν ώστε, στο πλαίσιο διαδικασίας που αφορά προσβολή δικαιώματος διανοητικής ιδιοκτησίας και κατόπιν αιτιολογημένου και αναλογικού αιτήματος του προσφεύγοντος, οι αρμόδιες δικαστικές αρχές να δύνανται να διατάσσουν την παροχή πληροφοριών για την προέλευση και για τα δίκτυα διανομής των εμπορευμάτων ή παροχής των υπηρεσιών, που προσβάλλουν δικαίωμα διανοητικής ιδιοκτησίας, από τον παραβάτη [...].
2. Οι πληροφορίες της παραγράφου 1 περιλαμβάνουν, εφόσον ενδείκνυται:
α) τα ονοματεπώνυμα και τις διευθύνσεις των παραγωγών, κατασκευαστών, διανομέων, προμηθευτών και λοιπών προηγούμενων κατόχων του προϊόντος ή της υπηρεσίας, καθώς και των παραληπτών χονδρεμπόρων και των εμπόρων λιανικής·
[...]
3. Οι παράγραφοι 1 και 2 εφαρμόζονται με την επιφύλαξη άλλων κανονιστικών διατάξεων οι οποίες:
α) παρέχουν στον δικαιούχο δικαιώματα πληρέστερης ενημέρωσης·
β) διέπουν τη χρήση, στο πλαίσιο αστικής ή ποινικής διαδικασίας, των πληροφοριών που γνωστοποιούνται βάσει του παρόντος άρθρου·
γ) διέπουν την ευθύνη για καταχρηστική άσκηση του δικαιώματος ενημέρωσης·
δ) παρέχουν τη δυνατότητα άρνησης της παροχής πληροφοριών που θα υποχρέωναν το κατά τις διατάξεις της παραγράφου 1 πρόσωπο να παραδεχθεί τη συμμετοχή του ιδίου ή των στενών συγγενών του στην προσβολή δικαιώματος διανοητικής ιδιοκτησίας· ή
ε) διέπουν την προστασία της εμπιστευτικότητας των πηγών πληροφοριών ή την επεξεργασία προσωπικών δεδομένων.»
Το γαλλικό δίκαιο
Ο CPI
19 Το άρθρο L. 331-12 του code de la propriété intellectuelle (κώδικα διανοητικής ιδιοκτησίας), όπως ίσχυε κατά τον χρόνο της προσβαλλόμενης από τις αιτούσες της κύριας δίκης απόφασης (στο εξής: CPI), ορίζει τα εξής:
«Η Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet [Ανώτατη Αρχή για τη διάδοση των έργων και την προστασία των δικαιωμάτων στο διαδίκτυο, στο εξής: Hadopi] είναι ανεξάρτητη δημόσια αρχή. [...]»
20 Το άρθρο L. 331-13 του CPI προβλέπει τα εξής:
«Η [Hadopi] έχει:
1. ως αποστολή την ενθάρρυνση της ανάπτυξης της νόμιμης προσφοράς και την παρατήρηση της νόμιμης και παράνομης χρήσης των έργων και των αντικειμένων με τα οποία συνδέεται ορισμένο δικαίωμα πνευματικής ιδιοκτησίας ή συγγενικό δικαίωμα στα δίκτυα ηλεκτρονικών επικοινωνιών τα οποία χρησιμοποιούνται για την παροχή υπηρεσιών ηλεκτρονικής επικοινωνίας προς το κοινό·
2. ως αποστολή την προστασία των ως άνω έργων και αντικειμένων έναντι προσβολών των εν λόγω δικαιωμάτων που διαπράττονται στα δίκτυα ηλεκτρονικών επικοινωνιών τα οποία χρησιμοποιούνται για την παροχή υπηρεσιών ηλεκτρονικής επικοινωνίας προς το κοινό·
[...]».
21 Κατά το άρθρο L. 331-15 του CPI:
«Η [Hadopi] απαρτίζεται από ένα συλλογικό όργανο και μια επιτροπή προστασίας δικαιωμάτων. [...]
[...]
Κατά την άσκηση των καθηκόντων που τους ανατίθενται, τα μέλη του συλλογικού οργάνου και της επιτροπής προστασίας δικαιωμάτων δεν λαμβάνουν οδηγίες από οποιαδήποτε αρχή.»
22 Το άρθρο L. 331-17, πρώτο εδάφιο, του CPI προβλέπει τα εξής:
«Η επιτροπή προστασίας δικαιωμάτων είναι επιφορτισμένη με τη λήψη των μέτρων που προβλέπονται στο άρθρο L. 331-25.»
23 Το άρθρο L. 331-21 του CPI ορίζει τα εξής:
«Για την άσκηση των αρμοδιοτήτων της, μέσω της επιτροπής προστασίας δικαιωμάτων, η [Hadopi] διαθέτει ορκωτούς δημόσιους υπαλλήλους, οι οποίοι εξουσιοδοτούνται από τον πρόεδρ[ό της] υπό όρους που καθορίζονται με διάταγμα του Conseil d’État [Συμβουλίου της Επικρατείας, Γαλλία]. [...]
Τα μέλη της επιτροπής προστασίας των δικαιωμάτων και οι υπάλληλοι που αναφέρονται στο πρώτο εδάφιο επιλαμβάνονται των υποθέσεων που παραπέμπονται στην εν λόγω επιτροπή υπό τους όρους που προβλέπονται στο άρθρο L. 331-24. Προχωρούν στην εξέταση των πραγματικών περιστατικών.
Μπορούν, για τις ανάγκες της διαδικασίας, να λάβουν οποιαδήποτε έγγραφα, ανεξάρτητα από το υπόθεμα, συμπεριλαμβανομένων των δεδομένων που αποθηκεύονται και υποβάλλονται σε επεξεργασία από τους φορείς εκμετάλλευσης ηλεκτρονικών επικοινωνιών κατ’ εφαρμογήν του άρθρου L. 34‑1 του code des postes et des communications électroniques [κώδικα ταχυδρομείων και ηλεκτρονικών επικοινωνιών] και τους παρόχους υπηρεσιών που προβλέπονται στο άρθρο 6, στοιχείο Ι, σημεία 1 και 2, του loi no 2004575 du 21 juin 2004 pour la confiance dans l’économie numérique [νόμου 2004-575, της 21ης Ιουνίου 2004, για την εμπιστοσύνη στην ψηφιακή οικονομία].
Μπορούν επίσης να λάβουν αντίγραφο των εγγράφων που αναφέρονται στο προηγούμενο εδάφιο.
Μπορούν, ειδικότερα, να λάβουν από τους φορείς εκμετάλλευσης ηλεκτρονικών επικοινωνιών την ταυτότητα, την ταχυδρομική διεύθυνση, τη διεύθυνση ηλεκτρονικού ταχυδρομείου και τα τηλεφωνικά στοιχεία του συνδρομητή του οποίου η πρόσβαση σε διαθέσιμες στο κοινό υπηρεσίες ηλεκτρονικής επικοινωνίας έχει χρησιμοποιηθεί για σκοπούς αναπαραγωγής, αναπαράστασης, διάθεσης ή κοινοποίησης στο κοινό προστατευόμενων έργων ή αντικειμένων χωρίς την άδεια των δικαιούχων [...] όταν αυτή απαιτείται.»
24 Το άρθρο L. 331-24 του CPI ορίζει τα εξής:
«Η επιτροπή προστασίας δικαιωμάτων ενεργεί κατόπιν παραπομπής υποθέσεων σε ορκωτούς και εξουσιοδοτημένους υπαλλήλους [...] οι οποίοι ορίζονται από:
– τους δεόντως συσταθέντες οργανισμούς προάσπισης επαγγελματικών συμφερόντων·
– τους οργανισμούς συλλογικής διαχείρισης·
– το Centre national du cinéma et de l’image animée [εθνικό κέντρο κινηματογράφου και κινούμενης εικόνας, Γαλλία].
Η επιτροπή προστασίας δικαιωμάτων μπορεί επίσης να ενεργεί βάσει πληροφοριών που της διαβιβάζει ο procureur de la République [εισαγγελέας, Γαλλία].
Δεν επιτρέπεται παραπομπή υποθέσεων στην επιτροπή προστασίας δικαιωμάτων σχετικά με πράξεις από την τέλεση των οποίων έχει παρέλθει διάστημα μεγαλύτερο των έξι μηνών.»
25 Κατά το άρθρο L. 331-25 του CPI, το οποίο ρυθμίζει την καλούμενη διαδικασία «κλιμακούμενης απάντησης»:
«Όταν παραπέμπονται σε αυτήν πράξεις που μπορεί να στοιχειοθετούν παράβαση της προβλεπόμενης στο άρθρο L. 336-3 [του CPI] υποχρέωσης, η επιτροπή προστασίας δικαιωμάτων μπορεί να αποστείλει στον συνδρομητή [...] σύσταση με την οποία του υπενθυμίζει τις διατάξεις του άρθρου L. 336-3, τον παροτρύνει να συμμορφωθεί με την υποχρέωση που ορίζεται σε αυτές και τον προειδοποιεί για τις κυρώσεις που μπορεί να του επιβληθούν κατ’ εφαρμογήν των άρθρων L. 335-7 και L. 335-7-1. Η εν λόγω σύσταση περιέχει επίσης ενημέρωση του συνδρομητή σχετικά με τη νόμιμη προσφορά πολιτιστικού περιεχόμενου στο διαδίκτυο, την ύπαρξη μέσων ασφάλειας που καθιστούν δυνατή την πρόληψη των παραβάσεων της υποχρέωσης που καθορίζεται στο άρθρο L. 336-3 καθώς και τους κινδύνους για την ανανέωση της καλλιτεχνικής δημιουργίας και την οικονομία του πολιτιστικού τομέα τους οποίους ενέχουν πρακτικές που δεν σέβονται τα δικαιώματα πνευματικής ιδιοκτησίας και τα συγγενικά δικαιώματα.
Σε περίπτωση επανάληψης, εντός διαστήματος έξι μηνών από την αποστολή της σύστασης του πρώτου εδαφίου, πράξεων που μπορεί να στοιχειοθετούν παράβαση της υποχρέωσης που καθορίζεται στο άρθρο L. 336-3, η επιτροπή για την προστασία δικαιωμάτων μπορεί να απευθύνει, με ηλεκτρονικό τρόπο, νέα σύσταση η οποία περιλαμβάνει τις ίδιες πληροφορίες με την προηγούμενη σύσταση [...]. Η επιτροπή για την προστασία δικαιωμάτων πρέπει να συνοδεύει την εν λόγω σύσταση με επιστολή που παραδίδεται με υπογεγραμμένη βεβαίωση παραλαβής ή με κάθε άλλο πρόσφορο μέσο που αποδεικνύει την ημερομηνία κοινοποίησης της σύστασης.
Στις συστάσεις που απευθύνονται βάσει του παρόντος άρθρου μνημονεύονται η ημερομηνία και η ώρα κατά τις οποίες διαπιστώθηκαν οι πράξεις που μπορεί να στοιχειοθετούν παράβαση της υποχρέωσης που καθορίζεται στο άρθρο L. 336-3. Αντιθέτως, με τις συστάσεις δεν γνωστοποιείται το περιεχόμενο των προστατευόμενων έργων ή αντικειμένων που αφορά η σχετική παράβαση. Με τις συστάσεις παρέχονται οι αριθμοί τηλεφώνου και οι ταχυδρομικές και ηλεκτρονικές διευθύνσεις στις οποίες ο αποδέκτης των συστάσεων μπορεί να απευθύνει, εφόσον το επιθυμεί, παρατηρήσεις προς την επιτροπή προστασίας δικαιωμάτων και να λάβει, εφόσον υποβάλει ρητό αίτημα, διευκρινίσεις σχετικά με το περιεχόμενο των προστατευόμενων έργων ή αντικειμένων που αφορά η παράβαση η οποία του προσάπτεται.»
26 Το άρθρο L. 331-29 του CPI ορίζει τα εξής:
«Επιτρέπεται η δημιουργία, από την [Hadopi], συστήματος αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αφορούν πρόσωπα που υπόκεινται σε διαδικασίες δυνάμει του παρόντος υποτμήματος.
Σκοπός της εν λόγω επεξεργασίας είναι η εφαρμογή, από την επιτροπή προστασίας δικαιωμάτων, των μέτρων που προβλέπονται στο παρόν υποτμήμα, όλων των σχετικών διαδικαστικών πράξεων και των διαδικασιών ενημέρωσης των οργανισμών προάσπισης επαγγελματικών συμφερόντων και των οργανισμών συλλογικής διαχείρισης για τις υποθέσεις που τυχόν παραπέμπονται στη δικαστική αρχή καθώς και για τις κοινοποιήσεις που προβλέπονται στο πέμπτο εδάφιο του άρθρου L. 335‑7.
Με διάταγμα [...] καθορίζονται οι λεπτομέρειες εφαρμογής του παρόντος άρθρου. Συγκεκριμένα, το διάταγμα ορίζει:
– τις κατηγορίες δεδομένων που καταγράφονται και την περίοδο διατήρησής τους·
– τους αποδέκτες οι οποίοι έχουν εξουσιοδοτηθεί να λαμβάνουν κοινοποίηση των εν λόγω δεδομένων, ιδίως τα πρόσωπα των οποίων η δραστηριότητα συνίσταται στην παροχή στο κοινό πρόσβασης σε υπηρεσίες ηλεκτρονικής επικοινωνίας ·
– τους όρους υπό τους οποίους οι ενδιαφερόμενοι μπορούν να ασκήσουν, ενώπιον της [Hadopi], το δικαίωμα πρόσβασης σε δεδομένα που τους αφορούν [...]».
27 Στο άρθρο L. 335-2, πρώτο και δεύτερο εδάφιο, του CPI διευκρινίζονται τα εξής:
«Κάθε έκδοση κειμένων, μουσικής σύνθεσης, σχεδίου, πίνακα ή οποιασδήποτε άλλης παραγωγής, έντυπης ή εγχάρακτης εν όλω ή εν μέρει, κατά παράβαση των νόμων και των κανονιστικών πράξεων περί πνευματικής ιδιοκτησίας, συνιστά προσβολή δικαιώματος διανοητικής ιδιοκτησίας και κάθε τέτοια προσβολή συνιστά πλημμέλημα.
Η προσβολή στη Γαλλία έργων που έχουν δημοσιευθεί στη Γαλλία ή στην αλλοδαπή τιμωρείται με ποινή φυλάκισης τριών ετών και πρόστιμο ύψους 300 000 ευρώ.»
28 Το άρθρο L. 335-4, πρώτο εδάφιο, του CPI ορίζει τα ακόλουθα:
«Τιμωρείται με ποινή φυλάκισης τριών ετών και πρόστιμο ύψους 300 000 ευρώ κάθε εγγραφή, αναπαραγωγή, κοινοποίηση ή διάθεση στο κοινό, εξ επαχθούς ή χαριστικής αιτίας, ή κάθε ραδιοτηλεοπτική μετάδοση παρουσίασης, φωνογραφήματος, βιντεογραφήματος, προγράμματος ή δημοσίευσης στον Τύπο, που πραγματοποιείται χωρίς την άδεια, εφόσον απαιτείται, του καλλιτέχνη-ερμηνευτή, του παραγωγού φωνογραφημάτων ή βιντεογραφημάτων, της επιχείρησης οπτικοακουστικής επικοινωνίας, του εκδότη Τύπου ή του πρακτορείου Τύπου.»
29 Το άρθρο L. 335-7 του CPI καθορίζει τους κανόνες σχετικά με την επιβολή, στα πρόσωπα που καταδικάστηκαν για τα ποινικά αδικήματα που προβλέπονται, μεταξύ άλλων, στα άρθρα L. 335-2 και L. 335-4 του εν λόγω κώδικα, της παρεπόμενης ποινής της αναστολής της πρόσβασης σε υπηρεσία ηλεκτρονικής επικοινωνίας προς το κοινό για ανώτατο χρονικό διάστημα ενός έτους.
30 Το άρθρο 335-7-1, πρώτο εδάφιο, του CPI έχει ως εξής:
«Για τα πταίσματα της πέμπτης τάξεως που προβλέπονται από τον παρόντα κώδικα, οσάκις προβλέπεται από τον κανονισμό, η παρεπόμενη ποινή που καθορίζεται στο άρθρο L. 335-7 μπορεί να καταγνωσθεί υπό τους ίδιους όρους, σε περίπτωση βαριάς αμέλειας, στο πρόσωπο με δικαίωμα πρόσβασης σε υπηρεσία ηλεκτρονικής επικοινωνίας προς το κοινό, στο οποίο η επιτροπή προστασίας των δικαιωμάτων έχει απευθύνει προηγουμένως σύσταση, κατ’ εφαρμογήν του άρθρου L. 331-25, με επιστολή που παραδόθηκε με υπογεγραμμένη βεβαίωση παραλαβής ή με κάθε άλλο πρόσφορο μέσο που αποδεικνύει την ημερομηνία κοινοποίησης, με την οποία το καλεί να μεριμνήσει για τη θέσπιση μέσου ασφάλειας της πρόσβασής του στο διαδίκτυο.»
31 Κατά το άρθρο L. 336-3 του ίδιου κώδικα:
«Το πρόσωπο με δικαίωμα πρόσβασης σε υπηρεσίες ηλεκτρονικών επικοινωνιών προς το κοινό υποχρεούται να διασφαλίζει ότι η εν λόγω πρόσβαση δεν χρησιμοποιείται για σκοπούς αναπαραγωγής, αναπαράστασης, διάθεσης ή κοινοποίησης στο κοινό έργων ή αντικειμένων που προστατεύονται από δικαίωμα πνευματικής ιδιοκτησίας ή συγγενικό δικαίωμα, χωρίς την άδεια των δικαιούχων [...] όταν αυτή απαιτείται.
Η παράβαση της υποχρέωσης του προσώπου με δικαίωμα πρόσβασης που καθορίζεται στο πρώτο εδάφιο δεν στοιχειοθετεί ποινική ευθύνη του ενδιαφερομένου [...]».
32 Το άρθρο R. 331-37, πρώτο εδάφιο, του CPI προβλέπει τα εξής:
«Οι φορείς εκμετάλλευσης ηλεκτρονικών επικοινωνιών [...] και οι πάροχοι υπηρεσιών [...] οφείλουν να κοινοποιούν, μέσω διασυνδέσεως με το σύστημα αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που προβλέπεται στο άρθρο L. 331-29 ή χρησιμοποιώντας μέσο καταγραφής που διασφαλίζει την ακεραιότητα και την ασφάλειά τους, τα δεδομένα προσωπικού χαρακτήρα και τις πληροφορίες που προβλέπονται στο σημείο 2 του παραρτήματος του διατάγματος [2010–236] ] εντός οκτώ ημερών από τη διαβίβαση, από την επιτροπή προστασίας δικαιωμάτων, των τεχνικών δεδομένων που είναι απαραίτητα για την ταυτοποίηση του συνδρομητή του οποίου η πρόσβαση σε διαθέσιμες προς το κοινό υπηρεσίες ηλεκτρονικής επικοινωνίας έχει χρησιμοποιηθεί για σκοπούς αναπαραγωγής, αναπαράστασης, διάθεσης ή κοινοποίησης στο κοινό προστατευόμενων έργων ή αντικειμένων χωρίς την άδεια των δικαιούχων [...] όταν απαιτείται.»
33 Κατά το άρθρο R. 331-40 του CPI:
«Οσάκις, εντός προθεσμίας ενός έτους από την κοινοποίηση της σύστασης που μνημονεύεται στο πρώτο εδάφιο του άρθρου L. 335-7-1, παραπέμπονται στην επιτροπή προστασίας των δικαιωμάτων νέες πράξεις που μπορεί να στοιχειοθετούν βαριά αμέλεια κατά το άρθρο R. 335-5, η επιτροπή προστασίας δικαιωμάτων ενημερώνει τον συνδρομητή, με επιστολή που παραδίδεται με υπογεγραμμένη βεβαίωση παραλαβής, ότι για τις εν λόγω πράξεις μπορεί να ασκηθεί δίωξη. Με την εν λόγω επιστολή ο ενδιαφερόμενος καλείται να υποβάλει τις παρατηρήσεις του εντός προθεσμίας δεκαπέντε ημερών. Με την επιστολή διευκρινίζεται ότι, εντός της ίδιας προθεσμίας, ο ενδιαφερόμενος μπορεί να ζητήσει ακρόαση κατ’ εφαρμογήν του άρθρου L. 331-21-1 και ότι έχει το δικαίωμα να επικουρείται από δικηγόρο. Ο ενδιαφερόμενος καλείται επίσης να διευκρινίσει τις οικογενειακές υποχρεώσεις και τους πόρους του.
Η επιτροπή προστασίας δικαιωμάτων μπορεί να καλέσει τον ενδιαφερόμενο σε ακρόαση με δική της πρωτοβουλία. Στην επιστολή κλήτευσης διευκρινίζεται ότι ο ενδιαφερόμενος έχει το δικαίωμα να επικουρείται από δικηγόρο.»
34 Το άρθρο R. 335-5 του CPI ορίζει τα εξής:
«I. – Συνιστά βαριά αμέλεια, η οποία τιμωρείται με το πρόστιμο που προβλέπεται για τα πταίσματα της πέμπτης τάξεως, το γεγονός ότι το πρόσωπο με δικαίωμα πρόσβασης σε υπηρεσίες ηλεκτρονικών επικοινωνιών προς το κοινό, χωρίς να συντρέχει νόμιμος λόγος και εφόσον πληρούνται οι προϋποθέσεις που προβλέπονται υπό το στοιχείο II:
1. είτε δεν έχει θεσπίσει μέσο ασφάλειας της εν λόγω πρόσβασης·
2. είτε δεν επέδειξε επιμέλεια κατά την εφαρμογή του εν λόγω μέσου ασφάλειας.
II. – Οι διατάξεις υπό το στοιχείο I εφαρμόζονται μόνον εφόσον πληρούνται οι δύο ακόλουθες προϋποθέσεις:
1. κατ’ εφαρμογήν του άρθρου L. 331-25 και τηρουμένων των τυπικών διατυπώσεων που προβλέπονται στο εν λόγω άρθρο, η επιτροπή προστασίας δικαιωμάτων συνέστησε στο πρόσωπο με δικαίωμα πρόσβασης να θεσπίσει μέσο ασφάλειας της πρόσβασής του κατά τρόπο ώστε να προλαμβάνεται η εκ νέου χρήση της για σκοπούς αναπαραγωγής, αναπαράστασης ή διάθεσης ή κοινοποίησης στο κοινό έργων ή αντικειμένων που προστατεύονται από δικαίωμα πνευματικής ιδιοκτησίας ή συγγενικό δικαίωμα, χωρίς την άδεια των δικαιούχων [...] όταν αυτή απαιτείται·
2. κατά το έτος που έπεται της κοινοποίησης της εν λόγω σύστασης, η πρόσβαση χρησιμοποιείται εκ νέου για τους σκοπούς που μνημονεύονται στο σημείο 1 υπό το παρόν στοιχείο II.»
35 Από την 1η Ιανουαρίου 2022, κατ’ εφαρμογήν του loi no 2021-1382, du 25 octobre 2021, relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique (νόμου 2021-1382, της 25ης Οκτωβρίου 2021, περί ρυθμίσεως και προστασίας της πρόσβασης στα πολιτιστικά έργα στην ψηφιακή εποχή) (JORF αριθ. 250, της 26ης Οκτωβρίου 2021, κείμενο αριθ. 2), η Hadopi συγχωνεύθηκε με το Conseil supérieur de l’audiovisuel (Ανώτατο Ραδιοτηλεοπτικό Συμβούλιο, Γαλλία, στο εξής: CSA), άλλη ανεξάρτητη δημόσια αρχή, με αποτέλεσμα τη σύσταση της Autorité de régulation de la communication audiovisuelle et numérique (Ρυθμιστικής Αρχής Οπτικοακουστικών και Ψηφιακών Επικοινωνιών, Γαλλία, στο εξής: ARCOM).
36 Εντούτοις, η διαδικασία κλιμακούμενης απάντησης, που μνημονεύθηκε στη σκέψη 25 της παρούσας απόφασης, παρέμεινε κατ’ ουσίαν αμετάβλητη, μολονότι εφαρμόζεται πλέον όχι από την επιτροπή προστασίας των δικαιωμάτων της Hadopi, η οποία απαρτιζόταν από τρία μέλη οριζόμενα από το Conseil d’État (Συμβούλιο της Επικρατείας), το Cour des comptes (Ελεγκτικό Συνέδριο, Γαλλία) και το Cour de cassation (Ανώτατο Ακυρωτικό Δικαστήριο, Γαλλία), αντιστοίχως, αλλά από δύο μέλη του σώματος της ARCOM, εκ των οποίων το ένα ορίζεται από το Conseil d’État (Συμβούλιο της Επικρατείας) και το έτερο από το Cour de cassation (Ανώτατο Ακυρωτικό Δικαστήριο).
Το διάταγμα 2010-236
37 Το διάταγμα 2010-236, το οποίο εκδόθηκε, μεταξύ άλλων, βάσει του άρθρου L. 331-29 του CPI, προβλέπει στο άρθρο 1 τα εξής:
«Σκοπός της επεξεργασίας δεδομένων προσωπικού χαρακτήρα με την ονομασία “Σύστημα διαχείρισης μέτρων προστασίας έργων στο διαδίκτυο” είναι η εφαρμογή, από την επιτροπή προστασίας δικαιωμάτων της [Hadopi]:
1. των μέτρων που προβλέπονται στο βιβλίο III του νομοθετικού μέρους του [CPI] (τίτλος III, κεφάλαιο I, τμήμα 3, υποτμήμα 3) και στο βιβλίο III του κανονιστικού μέρους του [CPI] (τίτλος III, κεφάλαιο I, τμήμα 2, υποτμήμα 2)·
2. των παραπομπών στον procureur de la République [εισαγγελέα] πράξεων που μπορεί να στοιχειοθετούν αδικήματα που προβλέπονται στα άρθρα L. 335-2, L. 335-3, L. 335-4 και R. 335-5 του ίδιου κώδικα, καθώς και της ενημέρωσης των οργανισμών προάσπισης επαγγελματικών συμφερόντων και των οργανισμών συλλογικής διαχείρισης σχετικά με τις εν λόγω παραπομπές·
[...]».
38 Το άρθρο 4 του εν λόγω διατάγματος ορίζει τα εξής:
«I. – Άμεση πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και στις πληροφορίες που μνημονεύονται στο παράρτημα του παρόντος διατάγματος έχουν οι ορκωτοί δημόσιοι υπάλληλοι οι οποίοι εξουσιοδοτούνται από τον πρόεδρο της [Hadopi] κατ’ εφαρμογήν του άρθρου L. 331-21 του [CPI] και τα μέλη της επιτροπής προστασίας των δικαιωμάτων που μνημονεύεται στο άρθρο 1.
II. – Οι φορείς εκμετάλλευσης ηλεκτρονικών επικοινωνιών και οι πάροχοι υπηρεσιών που μνημονεύονται στο σημείο 2 του παραρτήματος του παρόντος διατάγματος είναι αποδέκτες:
– των τεχνικών δεδομένων που είναι απαραίτητα για την αναγνώριση του συνδρομητή·
– των συστάσεων που προβλέπονται στο άρθρο L. 331-25 του [CPI] εν όψει της αποστολής τους με ηλεκτρονικό τρόπο στους συνδρομητές τους·
– των αναγκαίων στοιχείων για την εφαρμογή των παρεπόμενων ποινών της αναστολής της πρόσβασης σε υπηρεσία ηλεκτρονικής επικοινωνίας προς το κοινό τις οποίες ο procureur de la République [εισαγγελέας] γνωστοποιεί στην επιτροπή προστασίας δικαιωμάτων.
III. – Οι οργανισμοί προάσπισης επαγγελματικών συμφερόντων και οι οργανισμοί συλλογικής διαχείρισης είναι αποδέκτες ενημέρωσης σχετικά με την παραπομπή στον procureur de la République [εισαγγελέα].
IV. – Οι δικαστικές αρχές είναι αποδέκτες των εκθέσεων πρακτικών περί διαπιστώσεως πράξεων που μπορεί να στοιχειοθετούν αδικήματα τα οποία προβλέπονται στα άρθρα L. 335-2, L. 335-3, L. 335-4, L. 335-7, R. 331-37, R. 331-38 και R. 335-5 του [CPI].
Το αυτοματοποιημένο ποινικό μητρώο ενημερώνεται για την εκτέλεση της ποινής αναστολής.»
39 Στο παράρτημα του εν λόγω διατάγματος προβλέπονται τα εξής:
«Τα δεδομένα προσωπικού χαρακτήρα και οι πληροφορίες που καταγράφονται κατά την επεξεργασία με την ονομασία “Σύστημα διαχείρισης μέτρων προστασίας έργων στο διαδίκτυο” είναι τα εξής:
1. Δεδομένα προσωπικού χαρακτήρα και πληροφορίες που προέρχονται από δεόντως συσταθέντες οργανισμούς προάσπισης επαγγελματικών συμφερόντων, οργανισμούς συλλογικής διαχείρισης, το Centre national du cinéma et de l’image animée [εθνικό κέντρο κινηματογράφου και κινούμενης εικόνας] καθώς και τον procureur de la République [εισαγγελέα]:
Όσον αφορά πράξεις που μπορεί να στοιχειοθετούν παράβαση της υποχρέωσης που καθορίζεται στο άρθρο L. 336-3 του [CPI]:
Ημερομηνία και ώρα τέλεσης της πράξης·
Διεύθυνση IP των ενδιαφερόμενων συνδρομητών·
Χρησιμοποιηθέν διομότιμο πρωτόκολλο·
Ψευδώνυμο συνδρομητή·
Πληροφορίες σχετικά με τα προστατευόμενα έργα ή αντικείμενα τα οποία αφορούν οι πράξεις·
Όνομα του αρχείου όπως έχει αποθηκευθεί στον υπολογιστή του συνδρομητή (εφόσον συντρέχει περίπτωση)·
Πάροχος πρόσβασης στο διαδίκτυο από τον οποίο αποκτήθηκε πρόσβαση ή ο οποίος παρέσχε τον τεχνικό πόρο IP.
[...]
2. Δεδομένα προσωπικού χαρακτήρα και πληροφορίες σχετικά με τον συνδρομητή που συλλέχθηκαν από τους φορείς εκμετάλλευσης ηλεκτρονικών επικοινωνιών [...] και τους παρόχους υπηρεσιών [...]:
Επώνυμο, ονόματα·
Ταχυδρομική διεύθυνση και ηλεκτρονικές διευθύνσεις·
Αριθμοί τηλεφώνου·
Διεύθυνση της τηλεφωνικής εγκατάστασης του συνδρομητή·
Πάροχος πρόσβασης στο διαδίκτυο, ο οποίος χρησιμοποιεί τους τεχνικούς πόρους του παρόχου πρόσβασης που μνημονεύεται στο σημείο 1, με τον οποίο ο συνδρομητής συνήψε σύμβαση· αριθμός φακέλου·
Ημερομηνία έναρξης της αναστολής της πρόσβασης σε υπηρεσία ηλεκτρονικής επικοινωνίας προς το κοινό.
[...]»
Ο κώδικας ταχυδρομείων και ηλεκτρονικών επικοινωνιών
40 Το άρθρο L. 34-1, II bis, του code des postes et des communications électroniques (κώδικα ταχυδρομείων και ηλεκτρονικών επικοινωνιών) ορίζει τα εξής:
«Οι φορείς εκμετάλλευσης ηλεκτρονικών επικοινωνιών υποχρεούνται να διατηρούν:
1. για τις ανάγκες των ποινικών διαδικασιών, της πρόληψης των απειλών κατά της δημόσιας ασφάλειας και της διαφύλαξης της εθνικής ασφάλειας, τις πληροφορίες που αφορούν την ταυτότητα του χρήστη, για διάστημα πέντε ετών από τη λήξη της ισχύος της σύμβασής του·
2. για τους ίδιους σκοπούς με τους μνημονευόμενους στο σημείο 1 υπό το παρόν στοιχείο II bis, τις λοιπές πληροφορίες που παρέχει ο χρήστης κατά τη σύναψη σύμβασης ή τη δημιουργία λογαριασμού καθώς και τις πληροφορίες σχετικά με την πληρωμή, για διάστημα ενός έτους από τη λήξη της ισχύος της σύμβασής του ή το κλείσιμο του λογαριασμού του·
3. για τις ανάγκες της καταπολέμησης της σοβαρής εγκληματικότητας και παραβατικότητας, της πρόληψης των σοβαρών απειλών κατά της δημόσιας ασφάλειας και της διαφύλαξης της εθνικής ασφάλειας, τα τεχνικά δεδομένα τα οποία καθιστούν δυνατή την ταυτοποίηση της πηγής σύνδεσης ή εκείνα που σχετίζονται με τον χρησιμοποιούμενο τερματικό εξοπλισμό, για διάστημα ενός έτους από τη σύνδεση ή τη χρήση του τερματικού εξοπλισμού.»
Η διαφορά της κύριας δίκης και τα προδικαστικά ερωτήματα
41 Δεδομένου ότι ο Premier ministre (Πρωθυπουργός) απέρριψε σιωπηρώς την αίτησή τους για την κατάργηση του διατάγματος 2010-236, οι αιτούσες της κύριας δίκης άσκησαν, με δικόγραφο της 12ης Αυγούστου 2019, ενώπιον του Conseil d’État (Συμβουλίου της Επικρατείας) αίτηση ακυρώσεως κατά της εν λόγω σιωπηρής απορριπτικής απόφασης. Οι αιτούσες υποστήριξαν κατ’ ουσίαν ότι το άρθρο L. 331-21, τρίτο έως πέμπτο εδάφιο, του CPI, το οποίο αποτελεί μέρος της νομικής βάσης του ως άνω διατάγματος, αφενός, προσβάλλει το δικαίωμα σεβασμού της ιδιωτικής ζωής που κατοχυρώνεται στο γαλλικό Σύνταγμα και, αφετέρου, παραβιάζει το δίκαιο της Ένωσης, και ειδικότερα το άρθρο 15 της οδηγίας 2002/58 και τα άρθρα 7, 8, 11 και 52 του Χάρτη.
42 Όσον αφορά την πτυχή της αίτησης που άπτεται της προβαλλόμενης παράβασης του Συντάγματος, το Conseil d’État (Συμβούλιο της Επικρατείας) υπέβαλε στο Conseil constitutionnel (Συνταγματικό Δικαστήριο, Γαλλία) προκριματικό ζήτημα συνταγματικότητας.
43 Με την απόφαση 2020-841 QPC της 20ής Μαΐου 2020, La Quadrature du Net κ.λπ. [Δικαίωμα γνωστοποίησης στην Hadopi], το Conseil constitutionnel (Συνταγματικό Δικαστήριο) έκρινε μη σύμφωνα προς το Σύνταγμα το τρίτο και το τέταρτο εδάφιο του άρθρου L. 331-21 του CPI, αλλά σύμφωνο προς το Σύνταγμα το πέμπτο εδάφιο του ίδιου άρθρου, πλην του όρου «notamment» [ειδικότερα] που περιέχεται σε αυτό.
44 Όσον αφορά την πτυχή της αίτησης που σχετίζεται με την προβαλλόμενη παραβίαση του δικαίου της Ένωσης, οι αιτούσες της κύριας δίκης υποστήριξαν, ειδικότερα, ότι το διάταγμα 2010-236 και οι διατάξεις που συνιστούν τη νομική του βάση επιτρέπουν την πρόσβαση σε δεδομένα σύνδεσης κατά τρόπο δυσανάλογο για ήσσονος βαρύτητας αδικήματα τα οποία αφορούν τα δικαιώματα πνευματικής ιδιοκτησίας και διαπράττονται στο διαδίκτυο, χωρίς προηγούμενο έλεγχο από δικαστήριο ή αρχή που να περιβάλλεται από εγγυήσεις ανεξαρτησίας και αμεροληψίας. Ειδικότερα, τα ως άνω αδικήματα δεν εμπίπτουν στην έννοια του «σοβαρού εγκλήματος» που μνημονεύεται στην απόφαση της 21ης Δεκεμβρίου 2016, Tele2 Sverige και Watson κ.λπ. (C-203/15 και C-698/15, EU:C:2016:970).
45 Συναφώς, το Conseil d’État (Συμβούλιο της Επικρατείας) υπενθυμίζει, αφενός, ότι με την απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ. (C‑511/18, C-512/18 και C-520/18, EU:C:2020:791), το Δικαστήριο αποφάνθηκε, μεταξύ άλλων, ότι το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, ερμηνευόμενο υπό το πρίσμα των άρθρων 7, 8, και 11 καθώς και του άρθρου 52, παράγραφος 1, του Χάρτη, δεν αντιτίθενται σε νομοθετικά μέτρα τα οποία προβλέπουν, για τη διαφύλαξη της εθνικής ασφάλειας, την καταπολέμηση του σοβαρού εγκλήματος και την πρόληψη των σοβαρών απειλών κατά της δημόσιας ασφάλειας, γενική και χωρίς διάκριση διατήρηση των δεδομένων σχετικά με την ταυτότητα των χρηστών μέσων ηλεκτρονικής επικοινωνίας. Επομένως, όσον αφορά τα δεδομένα σχετικά με την ταυτότητα των χρηστών μέσων ηλεκτρονικής επικοινωνίας, η εν λόγω διατήρηση είναι δυνατή, χωρίς συγκεκριμένο χρονικό όριο, για σκοπούς διερεύνησης, ανίχνευσης και δίωξης ποινικών αδικημάτων εν γένει. Η οδηγία 2002/58 δεν αντιτίθεται επίσης σε πρόσβαση στα εν λόγω δεδομένα για τέτοιους σκοπούς.
46 Από τα προεκτεθέντα το αιτούν δικαστήριο συμπεραίνει ότι, όσον αφορά την πρόσβαση σε δεδομένα σχετικά με την ταυτότητα των χρηστών μέσων ηλεκτρονικών επικοινωνιών, ο λόγος ακυρώσεως που προέβαλαν οι αιτούσες της κύριας δίκης ο οποίος αφορά έλλειψη νομιμότητας του διατάγματος 2010-236, καθόσον εκδόθηκε στο πλαίσιο της καταπολέμησης αδικημάτων ήσσονος βαρύτητας, είναι απορριπτέος.
47 Το αιτούν δικαστήριο υπενθυμίζει, αφετέρου, ότι, με την απόφαση της 21ης Δεκεμβρίου 2016, Tele2 Sverige και Watson κ.λπ. (C-203/15 και C-698/15, EU:C:2016:970), το Δικαστήριο αποφάνθηκε, μεταξύ άλλων, ότι αντιβαίνει στο άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, ερμηνευόμενο υπό το πρίσμα των άρθρων 7, 8, και 11 καθώς και του άρθρου 52, παράγραφος 1, του Χάρτη, εθνική ρύθμιση η οποία καθορίζει τα σχετικά με την προστασία και την ασφάλεια των δεδομένων κίνησης και των δεδομένων θέσης και, ιδίως, την πρόσβαση των αρμόδιων εθνικών αρχών στα διατηρούμενα δεδομένα, χωρίς να προβλέπει ότι η εν λόγω πρόσβαση υπόκειται στον προηγούμενο έλεγχο δικαστηρίου ή ανεξάρτητης διοικητικής οντότητας.
48 Το αιτούν δικαστήριο παραπέμπει, ειδικότερα, στη σκέψη 120 της προμνησθείσας απόφασης, στην οποία το Δικαστήριο διευκρίνισε ότι είναι σημαντικό η εν λόγω πρόσβαση στα διατηρούμενα δεδομένα να εξαρτάται, κατ’ αρχήν, εκτός αν πρόκειται για επείγουσες περιπτώσεις δεόντως αιτιολογημένες, από την απαίτηση προηγούμενου ελέγχου διενεργούμενου είτε από δικαστήριο είτε από ανεξάρτητη διοικητική οντότητα, η δε απόφαση του εν λόγω δικαστηρίου ή της εν λόγω οντότητας να εκδίδεται κατόπιν αιτιολογημένης αίτησης των αρμόδιων εθνικών αρχών υποβληθείσας στο πλαίσιο διαδικασιών για την πρόληψη, τη διαπίστωση ή τη δίωξη ποινικών αδικημάτων.
49 Κατά το αιτούν δικαστήριο, το Δικαστήριο υπενθύμισε την ανωτέρω απαίτηση με την απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ. (C-511/18, C‑512/18 και C-520/18, EU:C:2020:791), όσον αφορά τη συλλογή, σε πραγματικό χρόνο, των δεδομένων σύνδεσης από τις υπηρεσίες πληροφοριών, καθώς και με την απόφαση της 2ας Μαρτίου 2021, Prokuratuur (Προϋποθέσεις πρόσβασης σε δεδομένα σχετιζόμενα με ηλεκτρονικές επικοινωνίες) (C-746/18, EU:C:2021:152), όσον αφορά την πρόσβαση των εθνικών αρχών στα δεδομένα σύνδεσης.
50 Το αιτούν δικαστήριο παρατηρεί επίσης ότι, από την ίδρυσή της το 2009, η Hadopi έχει απευθύνει περισσότερες από 12,7 εκατομμύρια συστάσεις σε συνδρομητές στο πλαίσιο της διαδικασίας κλιμακούμενης απάντησης που προβλέπεται στο άρθρο L. 331-25 του CPI, εκ των οποίων 827 791 συστάσεις κατά τη διάρκεια του 2019 και μόνον. Τούτο συνεπάγεται ότι οι υπάλληλοι της επιτροπής προστασίας δικαιωμάτων της Hadopi συνέλεγαν κατ’ ανάγκην, κάθε χρόνο, σημαντικό αριθμό δεδομένων που σχετίζονται με την ταυτότητα των οικείων χρηστών. Το αιτούν δικαστήριο εκτιμά ότι, λαμβανομένου υπόψη του όγκου των εν λόγω συστάσεων, η υπαγωγή της συλλογής δεδομένων σε προηγούμενο έλεγχο θα κινδύνευε να καταστήσει αδύνατη την εφαρμογή των συστάσεων.
51 Υπό τις συνθήκες αυτές, το Conseil d’État (Συμβούλιο της Επικρατείας) αποφάσισε να αναστείλει την ενώπιόν του διαδικασία και να υποβάλει στο Δικαστήριο τα ακόλουθα προδικαστικά ερωτήματα:
«1) Αποτελούν τα δεδομένα ταυτότητας που αντιστοιχούν σε ορισμένη διεύθυνση IP δεδομένα κίνησης ή τοποθεσίας τα οποία, κατ’ αρχήν, υπόκεινται στην υποχρέωση προκαταρκτικού ελέγχου από δικαστήριο ή ανεξάρτητη διοικητική οντότητα με δεσμευτική εξουσία;
2) Σε περίπτωση καταφατικής απαντήσεως στο πρώτο ερώτημα, και λαμβανομένης υπόψη της χαμηλής ευαισθησίας των δεδομένων που αφορούν την ταυτότητα των χρηστών, συμπεριλαμβανομένων των στοιχείων επικοινωνίας τους, πρέπει η οδηγία [2002/58], ερμηνευόμενη υπό το πρίσμα του [Χάρτη], να ερμηνευθεί υπό την έννοια ότι αντιτίθεται σε εθνικό κανόνα που προβλέπει τη συλλογή τέτοιων δεδομένων που αντιστοιχούν στη διεύθυνση IP των χρηστών από διοικητική αρχή, χωρίς προηγούμενο έλεγχο από δικαστήριο ή ανεξάρτητη διοικητική οντότητα με δεσμευτική εξουσία;
3) Σε περίπτωση καταφατικής απαντήσεως στο δεύτερο ερώτημα, και λαμβανομένων υπόψη της χαμηλής ευαισθησίας των δεδομένων που αφορούν την ταυτότητα, του γεγονότος ότι μόνον αυτά τα δεδομένα μπορούν να συλλεχθούν, μόνο για τις ανάγκες πρόληψης παραβιάσεων υποχρεώσεων που καθορίζονται κατά τρόπο ακριβή, περιοριστικό και αποκλειστικό από την εθνική νομοθεσία, και του γεγονότος ότι ο συστηματικός έλεγχος της πρόσβασης στα δεδομένα κάθε χρήστη από δικαστήριο ή τρίτη διοικητική οντότητα με δεσμευτική εξουσία θα μπορούσε να θέσει σε κίνδυνο την εκπλήρωση της αποστολής δημόσιας υπηρεσίας που έχει ανατεθεί στην ανεξάρτητη διοικητική αρχή η οποία πραγματοποιεί τη συλλογή, αντιβαίνει στην οδηγία [2002/58] η πραγματοποίηση του εν λόγω ελέγχου με κατάλληλες διαδικασίες, όπως είναι ο αυτοματοποιημένος έλεγχος, κατά περίπτωση υπό την επίβλεψη εσωτερικής υπηρεσίας του φορέα που περιβάλλεται από εγγυήσεις ανεξαρτησίας και αμεροληψίας έναντι των υπαλλήλων που είναι υπεύθυνοι για τη διεξαγωγή της συλλογής;»
Επί των προδικαστικών ερωτημάτων
52 Με τα τρία προδικαστικά ερωτήματα, τα οποία πρέπει να εξετασθούν από κοινού, το αιτούν δικαστήριο ζητεί κατ’ ουσίαν να διευκρινισθεί αν το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, ερμηνευόμενο υπό το πρίσμα των άρθρων 7, 8 και 11, καθώς και του άρθρου 52, παράγραφος 1, του Χάρτη, έχει την έννοια ότι αντιτίθεται σε εθνική ρύθμιση η οποία επιτρέπει στη δημόσια αρχή που είναι επιφορτισμένη με την προστασία των δικαιωμάτων πνευματικής ιδιοκτησίας και των συγγενικών δικαιωμάτων από τις προσβολές των εν λόγω δικαιωμάτων οι οποίες διαπράττονται μέσω διαδικτύου να αποκτά πρόσβαση στα δεδομένα τα οποία διατηρούνται από τους παρόχους διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σχετικά με την ταυτότητα και αντιστοιχούν σε διευθύνσεις IP οι οποίες έχουν συλλεγεί προηγουμένως από οργανισμούς δικαιούχων, προκειμένου η δημόσια αρχή να μπορέσει να ταυτοποιήσει τους κατόχους των διευθύνσεων αυτών, οι οποίες χρησιμοποιούνται για δραστηριότητες δυνάμενες να συνιστούν τέτοιες προσβολές, και να μπορέσει να λάβει, κατά περίπτωση, μέτρα εις βάρος τους, χωρίς η εν λόγω πρόσβαση να εξαρτάται από την απαίτηση προηγούμενου ελέγχου από δικαστήριο ή ανεξάρτητη διοικητική οντότητα.
Προκαταρκτικές παρατηρήσεις
53 Η υπόθεση της κύριας δίκης αφορά δύο διακριτές και διαδοχικές επεξεργασίες δεδομένων προσωπικού χαρακτήρα οι οποίες πραγματοποιούνται στο πλαίσιο των δραστηριοτήτων της Hadopi, ανεξάρτητης δημόσιας αρχής, η αποστολή της οποίας συνίσταται, μεταξύ άλλων, κατά το άρθρο L. 331-13 του CPI, στην προστασία των έργων και αντικειμένων που καλύπτονται από δικαίωμα πνευματικής ιδιοκτησίας ή συγγενικό δικαίωμα από προσβολές των εν λόγω δικαιωμάτων που διαπράττονται στα δίκτυα ηλεκτρονικών επικοινωνιών τα οποία χρησιμοποιούνται για την παροχή υπηρεσιών ηλεκτρονικής επικοινωνίας προς το κοινό.
54 Η πρώτη επεξεργασία, η οποία πραγματοποιείται σε προγενέστερο στάδιο από ορκωτούς και εξουσιοδοτημένους υπαλλήλους οργανισμών δικαιούχων, περιλαμβάνει δύο στάδια. Κατά το πρώτο στάδιο, συλλέγονται στα διομότιμα δίκτυα διευθύνσεις IP που προκύπτει ότι έχουν χρησιμοποιηθεί για δραστηριότητες δυνάμενες να συνιστούν προσβολή δικαιώματος πνευματικής ιδιοκτησίας ή συγγενικού δικαιώματος. Κατά το δεύτερο στάδιο, ένα σύνολο δεδομένων προσωπικού χαρακτήρα και πληροφοριών τίθεται στη διάθεση της Hadopi, υπό μορφή εκθέσεων. Βάσει του καταλόγου που περιέχεται στο σημείο 1 του παραρτήματος του διατάγματος 2010-236, τα εν λόγω δεδομένα περιλαμβάνουν την ημερομηνία και την ώρα τέλεσης της πράξης, τη διεύθυνση IP των ενδιαφερόμενων συνδρομητών, το χρησιμοποιηθέν διομότιμο πρωτόκολλο, το ψευδώνυμο του συνδρομητή, τις πληροφορίες σχετικά με τα προστατευόμενα έργα ή αντικείμενα τα οποία αφορούν οι πράξεις, το όνομα του αρχείου όπως έχει αποθηκευθεί στον υπολογιστή του συνδρομητή (εφόσον συντρέχει περίπτωση) και τον πάροχο πρόσβασης στο διαδίκτυο από τον οποίο αποκτήθηκε πρόσβαση ή ο οποίος παρέσχε τον τεχνικό πόρο IP.
55 Η δεύτερη επεξεργασία, η οποία πραγματοποιείται σε μεταγενέστερο στάδιο από τους παρόχους πρόσβασης στο διαδίκτυο κατόπιν αιτήματος της Hadopi, περιλαμβάνει επίσης δύο στάδια. Κατά το πρώτο στάδιο, οι διευθύνσεις IP που συλλέχθηκαν σε προγενέστερο στάδιο αντιστοιχίζονται με τους κατόχους των εν λόγω διευθύνσεων. Κατά το δεύτερο στάδιο, ένα σύνολο δεδομένων προσωπικού χαρακτήρα και πληροφοριών σχετικά με τους εν λόγω κατόχους, που αφορούν κατ’ ουσίαν την ταυτότητά τους, τίθεται στη διάθεση της προμνησθείσας δημόσιας αρχής. Βάσει του καταλόγου που περιέχεται στο σημείο 2 του παραρτήματος του διατάγματος 2010-236, τα εν λόγω δεδομένα περιλαμβάνουν, κατ’ ουσίαν, το επώνυμο και τα ονόματα, την ταχυδρομική διεύθυνση και τις ηλεκτρονικές διευθύνσεις, τους αριθμούς τηλεφώνου και τη διεύθυνση της τηλεφωνικής εγκατάστασης του συνδρομητή.
56 Ως προς το τελευταίο ζήτημα, το άρθρο L. 331-21 του CPI προβλέπει, στο πέμπτο εδάφιο, όπως διαμορφώθηκε μετά την απόφαση του Conseil constitutionnel (Συνταγματικού Δικαστηρίου) που μνημονεύθηκε στη σκέψη 43 της παρούσας απόφασης, ότι τα μέλη της επιτροπής προστασίας των δικαιωμάτων της Hadopi και οι εξουσιοδοτημένοι από τον πρόεδρό της ορκωτοί δημόσιοι υπάλληλοι μπορούν να λάβουν από τους φορείς εκμετάλλευσης ηλεκτρονικών επικοινωνιών την ταυτότητα, την ταχυδρομική διεύθυνση, τη διεύθυνση ηλεκτρονικού ταχυδρομείου και τα τηλεφωνικά στοιχεία του συνδρομητή η πρόσβαση του οποίου σε διαθέσιμες στο κοινό υπηρεσίες ηλεκτρονικής επικοινωνίας έχει χρησιμοποιηθεί για σκοπούς αναπαραγωγής, αναπαράστασης, διάθεσης ή κοινοποίησης στο κοινό προστατευόμενων έργων ή αντικειμένων χωρίς την άδεια των δικαιούχων, όταν αυτή απαιτείται.
57 Σκοπός των ως άνω διαφορετικών επεξεργασιών δεδομένων προσωπικού χαρακτήρα είναι να μπορέσει η Hadopi να λάβει, έναντι των προσδιοριζόμενων κατ’ αυτόν τον τρόπο κατόχων διευθύνσεων IP, τα μέτρα που προβλέπονται στο πλαίσιο της καλούμενης διοικητικής διαδικασίας «κλιμακούμενης απάντησης» που διέπεται από το άρθρο L. 331-25 του CPI. Τα εν λόγω μέτρα είναι, κατ’ αρχάς, η αποστολή «συστάσεων», οι οποίες ισοδυναμούν με προειδοποιήσεις, εν συνεχεία, σε περίπτωση παραπομπής της υπόθεσης στην επιτροπή προστασίας των δικαιωμάτων της Hadopi, εντός χρονικού διαστήματος ενός έτους από την αποστολή δεύτερης σύστασης, για πράξεις που μπορεί να συνιστούν επανάληψη της διαπιστωθείσας παράβασης, η ενημέρωση του συνδρομητή, κατά το άρθρο R. 331-40 του CPI, ότι οι πράξεις μπορεί να στοιχειοθετούν το από «βαριά αμέλεια» διαπραττόμενο αδίκημα που ορίζεται στο άρθρο R. 335-5 του CPI, πταίσμα το οποίο τιμωρείται με πρόστιμο έως 1 500 ευρώ και έως 3 000 ευρώ σε περίπτωση υποτροπής, τέλος, κατόπιν διάσκεψης, η παραπομπή στην εισαγγελική αρχή των πράξεων που μπορεί να συνιστούν τέτοιο πταίσμα ή, ενδεχομένως, το πλημμέλημα της προσβολής δικαιώματος διανοητικής ιδιοκτησίας του άρθρου L. 335-2 του CPI ή του άρθρου L. 335-4 του ίδιου κώδικα, που τιμωρείται με ποινή φυλάκισης τριών ετών και πρόστιμο ύψους 300 000 ευρώ.
58 Τούτου λεχθέντος, τα προδικαστικά ερωτήματα που υποβάλλει το αιτούν δικαστήριο αφορούν αποκλειστικά και μόνον την επεξεργασία μεταγενέστερου σταδίου η οποία εκτέθηκε στη σκέψη 55 της παρούσας απόφασης και όχι την επεξεργασία προγενέστερου σταδίου τα βασικά χαρακτηριστικά της οποίας εκτέθηκαν στη σκέψη 54 της παρούσας απόφασης.
59 Επισημαίνεται, εντούτοις, ότι, εάν η προηγούμενη συλλογή των διευθύνσεων IP από τους οικείους οργανισμούς δικαιούχων είναι αντίθετη προς το δίκαιο της Ένωσης, το εν λόγω δίκαιο θα αντιτίθεται επίσης στην αξιοποίηση των εν λόγω δεδομένων στο πλαίσιο της επακόλουθης επεξεργασίας από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών η οποία συνίσταται στην αντιστοίχιση των ως άνω διευθύνσεων με τα δεδομένα σχετικά με την ταυτότητα των κατόχων των ίδιων διευθύνσεων.
60 Στο πλαίσιο αυτό, υπενθυμίζεται εκ προοιμίου ότι, κατά τη νομολογία του Δικαστηρίου, οι διευθύνσεις IP συνιστούν τόσο δεδομένα κίνησης για τους σκοπούς της οδηγίας 2002/58 όσο και δεδομένα προσωπικού χαρακτήρα για τους σκοπούς του ΓΚΠΔ (πρβλ. απόφαση της 17ης Ιουνίου 2021, M.I.C.M., C-597/19, EU:C:2021:492, σκέψεις 102 και 113 και εκεί μνημονευόμενη νομολογία).
61 Εντούτοις, η συλλογή, από τους υπαλλήλους οργανισμών δικαιούχων, δημόσιων και εμφανών σε όλους διευθύνσεων IP δεν εμπίπτει στο πεδίο εφαρμογής της οδηγίας 2002/58, δεδομένου ότι είναι πρόδηλο ότι η εν λόγω επεξεργασία δεν πραγματοποιείται «στο πλαίσιο της παροχής […] υπηρεσιών ηλεκτρονικών επικοινωνιών», κατά την έννοια του άρθρου 3 της εν λόγω οδηγίας.
62 Αντιθέτως, τέτοια συλλογή διευθύνσεων IP, η οποία, όπως προκύπτει από τη δικογραφία ενώπιον του Δικαστηρίου, επιτρέπεται εντός ορισμένων ποσοτικών ορίων και υπό ορισμένες προϋποθέσεις, από την Commission nationale de l’informatique et des libertés (Εθνική Επιτροπή για την Πληροφορική και τις Ελευθερίες, στο εξής: CNIL, Γαλλία), με σκοπό τη διαβίβασή τους στην Hadopi για την ενδεχόμενη χρήση τους σε μεταγενέστερες διοικητικές ή ένδικες διαδικασίες που αποσκοπούν στην καταπολέμηση των δραστηριοτήτων που προσβάλλουν τα δικαιώματα πνευματικής ιδιοκτησίας και τα συγγενικά δικαιώματα, συνιστά «επεξεργασία», κατά την έννοια του άρθρου 4, σημείο 2, του ΓΚΠΔ, η νομιμότητα της οποίας εξαρτάται από τις προϋποθέσεις που τίθενται στο άρθρο 6, παράγραφος 1, πρώτο εδάφιο, στοιχείο στʹ, του εν λόγω κανονισμού, υπό το πρίσμα της νομολογίας του Δικαστηρίου που απορρέει, μεταξύ άλλων, από τις αποφάσεις της 17ης Ιουνίου 2021,M.I.C.M. (C-597/19, EU:C:2021:492, σκέψεις 102 και 103), και της 4ης Ιουλίου 2023, Meta Platforms κ.λπ. (Γενικοί όροι χρήσης κοινωνικού δικτύου) (C-252/21, EU:C:2023:537, σκέψεις 106 έως 112 και εκεί μνημονευόμενη νομολογία).
63 Η δε επεξεργασία σε μεταγενέστερο στάδιο η οποία εκτέθηκε στη σκέψη 55 της παρούσας απόφασης εμπίπτει στο πεδίο εφαρμογής της οδηγίας 2002/58, δεδομένου ότι πραγματοποιείται «στο πλαίσιο της παροχής […] υπηρεσιών ηλεκτρονικών επικοινωνιών», κατά την έννοια του άρθρου 3 της εν λόγω οδηγίας, καθόσον τα επίμαχα δεδομένα λαμβάνονται από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών σύμφωνα με το άρθρο L. 331-21 του CPI.
Επί της υπάρξεως δικαιολογητικού λόγου, δυνάμει του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58, για την πρόσβαση δημόσιας αρχής σε δεδομένα σχετικά με την ταυτότητα τα οποία αντιστοιχούν σε διεύθυνση IP και τα οποία διατηρούνται από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών για τον σκοπό της καταπολέμησης της προσβολής δικαιώματος διανοητικής ιδιοκτησίας που διαπράττεται μέσω διαδικτύου
64 Λαμβανομένων υπόψη των προκαταρκτικών παρατηρήσεων που προεκτέθηκαν, τίθεται το ζήτημα αν, όπως διερωτάται το αιτούν δικαστήριο, ο περιορισμός των θεμελιωδών δικαιωμάτων που κατοχυρώνονται στα άρθρα 7, 8 και 11 του Χάρτη, τον οποίο συνεπάγεται η πρόσβαση δημόσιας αρχής, όπως η Hadopi, σε δεδομένα σχετικά με την ταυτότητα τα οποία αντιστοιχούν σε διεύθυνση IP που η Hadopi έχει ήδη στη διάθεσή της, μπορεί να δικαιολογείται δυνάμει του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58.
65 Πάντως, η πρόσβαση σε τέτοια δεδομένα προσωπικού χαρακτήρα μπορεί να παρασχεθεί μόνον εφόσον τα δεδομένα έχουν διατηρηθεί κατά τρόπο σύμφωνο προς την οδηγία 2002/58 [πρβλ. απόφαση της 2ας Μαρτίου 2021, Prokuratuur (Προϋποθέσεις πρόσβασης σε δεδομένα σχετιζόμενα με ηλεκτρονικές επικοινωνίες), C-746/18, EU:C:2021:152, σκέψη 29].
Επί των απαιτήσεων που συνδέονται με τη διατήρηση, από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών, των δεδομένων σχετικά με την ταυτότητα και των αντίστοιχων διευθύνσεων IP
66 Το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58 επιτρέπει στα κράτη μέλη να εισάγουν εξαιρέσεις από την υποχρέωση διασφάλισης του απορρήτου των δεδομένων προσωπικού χαρακτήρα, την οποία υπέχουν κατ’ αρχήν από το άρθρο 5, παράγραφος 1, της οδηγίας, καθώς και από τις αντίστοιχες υποχρεώσεις που μνημονεύονται ιδίως στα άρθρα 6 και 9 της εν λόγω οδηγίας, όταν ο περιορισμός αυτός αποτελεί αναγκαίο, κατάλληλο και αναλογικό μέτρο σε μια δημοκρατική κοινωνία για τη διαφύλαξη της εθνικής ασφάλειας, της εθνικής άμυνας και της δημόσιας ασφάλειας, και για την πρόληψη, διερεύνηση, διαπίστωση και δίωξη ποινικών αδικημάτων ή της άνευ αδείας χρησιμοποίησης του συστήματος ηλεκτρονικών επικοινωνιών. Για τον σκοπό αυτόν, τα κράτη μέλη δύνανται, μεταξύ άλλων, να λαμβάνουν νομοθετικά μέτρα που προβλέπουν τη διατήρηση δεδομένων για ορισμένο χρονικό διάστημα όταν τούτο δικαιολογείται από έναν εκ των ανωτέρω λόγων. Τούτου δοθέντος, η δυνατότητα παρέκκλισης από τα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 5, 6 και 9 της οδηγίας 2002/58 δεν μπορεί να δικαιολογήσει το να καταστεί κανόνας η παρέκκλιση από την κατ’ αρχήν υποχρέωση διασφάλισης του απορρήτου των ηλεκτρονικών επικοινωνιών και των συναφών δεδομένων και, ειδικότερα, από την απαγόρευση αποθήκευσης των δεδομένων αυτών, η οποία προβλέπεται ρητώς στο άρθρο 5 της οδηγίας (απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C-511/18, C-512/18 και C-520/18, EU:C:2020:791, σκέψεις 110 και 111).
67 Επομένως, νομοθετικό μέτρο που θεσπίζεται δυνάμει της διάταξης αυτής πρέπει όντως να ανταποκρίνεται σε κάποιον από τους σκοπούς που μνημονεύθηκαν στην προηγούμενη σκέψη και μόνον, δεδομένου ότι η απαρίθμησή τους στο άρθρο 15, παράγραφος 1, πρώτο εδάφιο, της οδηγίας 2002/58 έχει εξαντλητικό χαρακτήρα, καθώς και να τηρεί τις γενικές αρχές του δικαίου της Ένωσης, στις οποίες καταλέγεται η αρχή της αναλογικότητας, και να σέβεται τα θεμελιώδη δικαιώματα που κατοχυρώνονται στον Χάρτη. Συναφώς, το Δικαστήριο έχει κρίνει ότι η υποχρέωση την οποία επιβάλλει ένα κράτος μέλος στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών, βάσει εθνικής ρύθμισης, να διατηρούν τα δεδομένα κίνησης προκειμένου οι αρμόδιες εθνικές αρχές να έχουν πρόσβαση σε αυτά, εφόσον παρίσταται ανάγκη, εγείρει ζητήματα σχετικά με την τήρηση όχι μόνον των άρθρων 7 και 8 του Χάρτη, τα οποία αφορούν, αντιστοίχως, την προστασία της ιδιωτικής ζωής και την προστασία των δεδομένων προσωπικού χαρακτήρα, αλλά και του άρθρου 11 του Χάρτη, σχετικά με την ελευθερία έκφρασης (πρβλ. απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C-511/18, C-512/18 και C-520/18, EU:C:2020:791, σκέψεις 112 και 113).
68 Επομένως, κατά την ερμηνεία του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58 πρέπει να λαμβάνεται υπόψη η σημασία τόσο του δικαιώματος στον σεβασμό της ιδιωτικής ζωής, το οποίο κατοχυρώνεται στο άρθρο 7 του Χάρτη, όσο και του δικαιώματος στην προστασία των δεδομένων προσωπικού χαρακτήρα, το οποίο κατοχυρώνεται στο άρθρο 8 του Χάρτη, όπως προκύπτει από τη νομολογία του Δικαστηρίου, καθώς και του δικαιώματος στην ελευθερία έκφρασης, το οποίο κατοχυρώνεται στο άρθρο 11 του Χάρτη, αποτελεί ένα από τα ουσιώδη θεμέλια μιας δημοκρατικής και πλουραλιστικής κοινωνίας και περιλαμβάνεται στις αξίες επί των οποίων στηρίζεται, κατά το άρθρο 2 ΣΕΕ, η Ένωση (απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C‑511/18, C-512/18 και C-520/18, EU:C:2020:791, σκέψη 114 και εκεί μνημονευόμενη νομολογία).
69 Υπογραμμίζεται συναφώς ότι η διατήρηση των δεδομένων κίνησης και των δεδομένων θέσης συνιστά αφ’ εαυτής, αφενός, παρέκκλιση από την απαγόρευση αποθήκευσης των δεδομένων αυτών την οποία επιβάλλει το άρθρο 5, παράγραφος 1, της οδηγίας 2002/58 σε κάθε πρόσωπο πλην των χρηστών και, αφετέρου, επέμβαση στα θεμελιώδη δικαιώματα σεβασμού της ιδιωτικής ζωής και προστασίας των δεδομένων προσωπικού χαρακτήρα, τα οποία κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη, ανεξαρτήτως του αν οι σχετικές με την ιδιωτική ζωή πληροφορίες έχουν ευαίσθητο χαρακτήρα ή του αν οι ενδιαφερόμενοι υπέστησαν τυχόν δυσμενείς συνέπειες λόγω της επέμβασης αυτής. Δεν ασκεί επίσης επιρροή το αν τα διατηρούμενα δεδομένα χρησιμοποιούνται στη συνέχεια ή όχι, δεδομένου ότι η πρόσβαση σε τέτοια δεδομένα συνιστά, ανεξαρτήτως της μεταγενέστερης χρήσης τους, χωριστή επέμβαση στα θεμελιώδη δικαιώματα που μνημονεύθηκαν στην προηγούμενη σκέψη (απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C‑511/18, C-512/18 και C-520/18, EU:C:2020:791, σκέψεις 115 και 116).
70 Τούτου λεχθέντος, το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, καθόσον επιτρέπει στα κράτη μέλη να λαμβάνουν ορισμένα μέτρα παρέκκλισης, όπως υπομνήσθηκε στη σκέψη 66 της παρούσας απόφασης, απηχεί το γεγονός ότι τα δικαιώματα που κατοχυρώνονται στα άρθρα 7, 8 και 11 του Χάρτη δεν αποτελούν απόλυτα προνόμια, αλλά πρέπει να λαμβάνονται υπόψη σε σχέση με τη λειτουργία τους εντός της κοινωνίας. Συγκεκριμένα, όπως προκύπτει από το άρθρο του 52, παράγραφος 1, ο Χάρτης δέχεται περιορισμούς στην άσκηση των εν λόγω δικαιωμάτων υπό την προϋπόθεση ότι οι περιορισμοί αυτοί προβλέπονται από τον νόμο, ότι συνάδουν με το βασικό περιεχόμενο των εν λόγω δικαιωμάτων και ότι, τηρουμένης της αρχής της αναλογικότητας, είναι αναγκαίοι και ανταποκρίνονται πραγματικά σε σκοπούς γενικού συμφέροντος τους οποίους αναγνωρίζει η Ένωση ή στην ανάγκη προστασίας των δικαιωμάτων και ελευθεριών των τρίτων (απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ, C-511/18, C-512/18 και C-520/18, EU:C:2020:791, σκέψεις 120 και 121).
71 Εν προκειμένω επισημαίνεται ότι, μολονότι, τυπικώς, επιτρέπεται στην Hadopi να έχει πρόσβαση μόνον στα δεδομένα σχετικά με την ταυτότητα τα οποία αντιστοιχούν σε διεύθυνση IP, η εν λόγω πρόσβαση εμφανίζει την ιδιαιτερότητα ότι απαιτεί, προηγουμένως, αντιστοίχιση, από τους οικείους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών, της διεύθυνσης IP και των δεδομένων σχετικά με την ταυτότητα του κατόχου της. Επομένως, η επίμαχη πρόσβαση προϋποθέτει κατ’ ανάγκην ότι οι πάροχοι έχουν στη διάθεσή τους τις διευθύνσεις IP καθώς και τα δεδομένα σχετικά με την ταυτότητα των κατόχων των εν λόγω διευθύνσεων.
72 Επιπλέον, η εν λόγω δημόσια αρχή επιδιώκει να αποκτήσει πρόσβαση στα επίμαχα δεδομένα με αποκλειστικό σκοπό την ταυτοποίηση του κατόχου διεύθυνσης IP η οποία χρησιμοποιήθηκε για δραστηριότητες δυνάμενες να προσβάλουν τα δικαιώματα πνευματικής ιδιοκτησίας ή τα συγγενικά δικαιώματα, δεδομένου ότι ο κάτοχος διεύθυνσης IP διέθεσε παρανόμως στο διαδίκτυο προστατευόμενα έργα, με σκοπό την τηλεφόρτωσή τους από άλλα πρόσωπα. Υπό τις συνθήκες αυτές, πρέπει να θεωρηθεί ότι τα δεδομένα σχετικά με την ταυτότητα συνδέονται στενά τόσο με τη διεύθυνση IP όσο και με τις πληροφορίες σχετικά με το έργο που διατίθεται στο διαδίκτυο τις οποίες έχει στη διάθεσή της η Hadopi.
73 Ένα τέτοιο ιδιαίτερο πλαίσιο δεν μπορεί, όμως, να μη συνεκτιμηθεί κατά την εξέταση του ενδεχόμενου δικαιολογητικού λόγου μέτρου διατήρησης δεδομένων προσωπικού χαρακτήρα δυνάμει του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58, ερμηνευόμενου υπό το πρίσμα των άρθρων 7, 8 και 11 του Χάρτη (βλ., κατ’ αναλογίαν, απόφαση του ΕΔΔΑ της 24ης Απριλίου 2018, Benedik κατά Σλοβενίας, CE:ECHR:2018:0424JUD006235714, § 109).
74 Επομένως, ενδεχόμενος δικαιολογητικός λόγος της επέμβασης στα θεμελιώδη δικαιώματα που κατοχυρώνονται στα άρθρα 7, 8 και 11 του Χάρτη, την οποία συνεπάγεται η διατήρηση, από τους παρόχους διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, των δεδομένων στα οποία η Hadopi έχει εξουσία πρόσβασης, πρέπει να εξεταστεί υπό το πρίσμα των απαιτήσεων που απορρέουν, όσον αφορά τη διατήρηση διευθύνσεων IP, από το προμνησθέν άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, ερμηνευόμενο υπό το πρίσμα των ανωτέρω άρθρων του Χάρτη.
75 Στο πλαίσιο αυτό, επισημαίνεται ότι, κατά τη νομολογία του Δικαστηρίου, μολονότι, όπως υπομνήσθηκε στη σκέψη 60 της παρούσας απόφασης, οι διευθύνσεις IP συνιστούν δεδομένα κίνησης για τους σκοπούς της οδηγίας 2002/58, οι εν λόγω διευθύνσεις διαφοροποιούνται από τις λοιπές κατηγορίες δεδομένων κίνησης και από τα δεδομένα θέσης.
76 Συναφώς, το Δικαστήριο έχει επισημάνει ότι οι διευθύνσεις IP δημιουργούνται χωρίς να συνδέονται με συγκεκριμένη επικοινωνία και χρησιμεύουν κυρίως για την ταυτοποίηση, μέσω των παρόχων υπηρεσιών ηλεκτρονικών επικοινωνιών, του ιδιοκτήτη τερματικού εξοπλισμού από τον οποίο πραγματοποιείται επικοινωνία μέσω του διαδικτύου. Επομένως, στον τομέα του ηλεκτρονικού ταχυδρομείου και της τηλεφωνίας μέσω διαδικτύου, στο μέτρο που διατηρούνται μόνον οι διευθύνσεις IP της πηγής της επικοινωνίας και όχι αυτές του αποδέκτη της, οι διευθύνσεις αυτές δεν αποκαλύπτουν, αυτές καθεαυτές, καμία πληροφορία σχετικά με τα τρίτα πρόσωπα που επικοινώνησαν με το πρόσωπο από το οποίο προέρχεται η επικοινωνία. Στο μέτρο αυτό, η συγκεκριμένη κατηγορία δεδομένων παρουσιάζει μικρότερο βαθμό ευαισθησίας σε σχέση με τα λοιπά δεδομένα κίνησης (πρβλ. απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C-511/18, C-512/18 και C-520/18, EU:C:2020:791, σκέψη 152).
77 Είναι αληθές ότι, στη σκέψη 156 της απόφασης της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ. (C-511/18, C-512/18 και C-520/18, EU:C:2020:791), το Δικαστήριο έκρινε ότι, παρά τη διαπίστωση μικρότερου βαθμού ευαισθησίας των διευθύνσεων IP όταν χρησιμεύουν αποκλειστικά και μόνον για την ταυτοποίηση του χρήστη υπηρεσίας ηλεκτρονικών επικοινωνιών, το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58 αντιτίθεται σε γενική και χωρίς διάκριση διατήρηση μόνον των διευθύνσεων IP που χορηγούνται στην πηγή της σύνδεσης για σκοπούς άλλους πλην της καταπολέμησης των σοβαρών εγκλημάτων, της πρόληψης σοβαρών απειλών κατά της δημόσιας ασφάλειας ή της διαφύλαξης της εθνικής ασφάλειας. Εντούτοις, προκειμένου να καταλήξει στο συγκεκριμένο συμπέρασμα, το Δικαστήριο βασίστηκε ρητώς στη σοβαρότητα της επέμβασης στα θεμελιώδη δικαιώματα που κατοχυρώνονται στα άρθρα 7, 8 και 11 του Χάρτη την οποία μπορεί να συνεπάγεται τέτοια διατήρηση των διευθύνσεων IP.
78 Συγκεκριμένα, στη σκέψη 153 της ως άνω απόφασης, το Δικαστήριο εκτίμησε ότι, στο μέτρο που οι διευθύνσεις IP μπορούν, μεταξύ άλλων, όταν χρησιμοποιούνται για την «πλήρη ιχνηλάτηση […] της διαδρομής πλοήγησης του χρήστη του διαδικτύου» και, ως εκ τούτου, της διαδικτυακής δραστηριότητάς του, να καταστήσουν δυνατό τον «λεπτομερ[ή] προσδιορισμ[ό] του προφίλ» του χρήστη, οι απαιτούμενες για την ιχνηλάτηση αυτή διατήρηση και ανάλυση των εν λόγω διευθύνσεων IP συνιστούν σοβαρές επεμβάσεις στα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη, δυνάμενες επίσης να έχουν αποτρεπτικά αποτελέσματα για την άσκηση, από τους χρήστες των μέσων ηλεκτρονικών επικοινωνιών, της ελευθερίας τους έκφρασης η οποία κατοχυρώνεται στο άρθρο 11 του Χάρτη.
79 Υπογραμμίζεται, εντούτοις, ότι κάθε γενική και χωρίς διάκριση διατήρηση ενός, ενδεχομένως ευρέος, συνόλου στατικών και δυναμικών διευθύνσεων IP τις οποίες το πρόσωπο χρησιμοποιεί εντός ορισμένου χρονικού διαστήματος δεν συνιστά κατ’ ανάγκην σοβαρή επέμβαση στα θεμελιώδη δικαιώματα που κατοχυρώνονται στα άρθρα 7, 8 και 11 του Χάρτη.
80 Συναφώς, κατ’ αρχάς, οι υποθέσεις επί των οποίων εκδόθηκε η απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ. (C-511/18, C-512/18 και C-520/18, EU:C:2020:791), αφορούσαν εθνικές ρυθμίσεις που συνεπάγονταν υποχρέωση διατήρησης ενός συνόλου δεδομένων αναγκαίων για τον καθορισμό της ημερομηνίας, της ώρας, της διάρκειας και του είδους της επικοινωνίας, για τον προσδιορισμό του χρησιμοποιούμενου υλικού επικοινωνίας, καθώς και για τον γεωγραφικό εντοπισμό του τερματικού εξοπλισμού και των επικοινωνιών, στα οποία περιλαμβάνονταν, ιδίως, το όνομα και η διεύθυνση του χρήστη, οι αριθμοί τηλεφώνου του καλούντος και του καλουμένου, καθώς και η διεύθυνση IP για τις υπηρεσίες του διαδικτύου. Επιπλέον, σε δύο από τις ως άνω υποθέσεις, φαινόταν ότι οι επίμαχες εθνικές ρυθμίσεις κάλυπταν επίσης τα δεδομένα σχετικά με τη διαβίβαση των ηλεκτρονικών επικοινωνιών από τα δίκτυα, καθιστώντας επίσης δυνατό τον προσδιορισμό της φύσης των πληροφοριών στις οποίες υπήρξε πρόσβαση μέσω διαδικτύου (πρβλ. απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C-511/18, C-512/18 και C-520/18, EU:C:2020:791, σκέψεις 82 και 83).
81 Επομένως, η διατήρηση των διευθύνσεων IP στο πλαίσιο των προμνησθεισών εθνικών ρυθμίσεων μπορούσε, λαμβανομένων υπόψη των άλλων δεδομένων για τα οποία οι ρυθμίσεις επέβαλλαν υποχρέωση διατήρησης και της δυνατότητας συνδυασμού των διαφόρων εν λόγω δεδομένων, να καταστήσει δυνατή τη συναγωγή επακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή των υποκειμένων των δεδομένων και, ως εκ τούτου, να συνεπάγεται σοβαρή επέμβαση στα θεμελιώδη δικαιώματα που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη, σχετικά με την προστασία της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα των εν λόγω προσώπων, καθώς και στο άρθρο 11 του Χάρτη, σχετικά με την ελευθερία έκφρασής τους.
82 Αντιθέτως, η υποχρέωση που επιβάλλεται στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών, μέσω νομοθετικού μέτρου ληφθέντος δυνάμει του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58, να διασφαλίζουν τη γενική και χωρίς διάκριση διατήρηση των διευθύνσεων IP μπορεί, ενδεχομένως, να δικαιολογείται από τον σκοπό της καταπολέμησης των ποινικών αδικημάτων εν γένει, όταν αποκλείεται πράγματι το ενδεχόμενο η εν λόγω διατήρηση να μπορεί να συνεπάγεται σοβαρές επεμβάσεις στην ιδιωτική ζωή του υποκειμένου των δεδομένων λόγω της δυνατότητας συναγωγής επακριβών συμπερασμάτων σχετικά με αυτήν μέσω, μεταξύ άλλων, συσχέτισης των επίμαχων διευθύνσεων ΙΡ και ενός συνόλου δεδομένων κίνησης ή θέσης που επίσης διατήρησαν οι πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών.
83 Ως εκ τούτου, κράτος μέλος το οποίο επιθυμεί να επιβάλει στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών υποχρέωση γενικής και χωρίς διάκριση διατήρησης των διευθύνσεων IP, για την επίτευξη σκοπού που συνδέεται με την καταπολέμηση των ποινικών αδικημάτων εν γένει, οφείλει να μεριμνήσει ώστε ο τρόπος διατήρησης των εν λόγω δεδομένων να είναι ικανός να διασφαλίσει ότι αποκλείεται κάθε συνδυασμός των εν λόγω διευθύνσεων IP με άλλα δεδομένα που διατηρούνται τηρουμένης της οδηγίας 2002/58, από τον οποίον θα μπορούσαν να αντληθούν ακριβή συμπεράσματα σχετικά με την ιδιωτική ζωή των υποκειμένων των κατά τα ανωτέρω διατηρούμενων δεδομένων.
84 Προκειμένου να διασφαλιστεί ο αποκλεισμός τέτοιου συνδυασμού δεδομένων από τον οποίο θα μπορούσαν να αντληθούν ακριβή συμπεράσματα σχετικά με την ιδιωτική ζωή του υποκειμένου των δεδομένων, ο τρόπος διατήρησης πρέπει να αφορά την ίδια τη δομή της διατήρησης η οποία πρέπει, κατ’ ουσίαν, να είναι οργανωμένη κατά τρόπο ώστε να διασφαλίζει πραγματικά στεγανό διαχωρισμό των διαφόρων κατηγοριών διατηρούμενων δεδομένων.
85 Συναφώς, είναι αληθές ότι απόκειται στο κράτος μέλος που επιθυμεί να επιβάλει στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών υποχρέωση γενικής και χωρίς διάκριση διατήρησης των διευθύνσεων IP, για την επίτευξη σκοπού που συνδέεται με την καταπολέμηση των ποινικών αδικημάτων εν γένει, να προβλέψει, με τη νομοθεσία του, σαφείς και ακριβείς κανόνες σχετικά με τον εν λόγω τρόπο διατήρησης, ο οποίος θα πρέπει να ανταποκρίνεται σε αυστηρές απαιτήσεις. Το Δικαστήριο μπορεί, εντούτοις, να παράσχει διευκρινίσεις σχετικά με τον εν λόγω τρόπο διατήρησης.
86 Κατά πρώτον, οι εθνικοί κανόνες που μνημονεύθηκαν στην προηγούμενη σκέψη πρέπει να διασφαλίζουν ότι κάθε κατηγορία δεδομένων, περιλαμβανομένων των δεδομένων σχετικά με την ταυτότητα και των διευθύνσεων IP, διατηρείται πλήρως διαχωρισμένη από τις λοιπές κατηγορίες διατηρούμενων δεδομένων.
87 Κατά δεύτερον, οι ως άνω κανόνες πρέπει να διασφαλίζουν ότι, από τεχνικής απόψεως, ο διαχωρισμός των διαφόρων κατηγοριών διατηρούμενων δεδομένων, μεταξύ άλλων των δεδομένων σχετικά με την ταυτότητα, των διευθύνσεων IP, των διαφόρων δεδομένων κίνησης πλην των διευθύνσεων IP και των διαφόρων δεδομένων θέσης, είναι πραγματικά στεγανός, μέσω ασφαλούς και αξιόπιστου συστήματος πληροφορικής.
88 Κατά τρίτον, στο μέτρο που οι προμνησθέντες κανόνες προβλέπουν τη δυνατότητα συσχέτισης των διατηρούμενων διευθύνσεων IP και της ταυτότητας του υποκειμένου των δεδομένων, τηρουμένων των απαιτήσεων που απορρέουν από το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, ερμηνευόμενο υπό το πρίσμα των άρθρων 7, 8 και 11 του Χάρτη, η εν λόγω συσχέτιση πρέπει να καθίσταται δυνατή μόνον με τη χρήση τεχνικής μεθόδου υψηλών επιδόσεων που δεν κλονίζει την αποτελεσματικότητα του στεγανού διαχωρισμού των εν λόγω κατηγοριών δεδομένων.
89 Κατά τέταρτον, η αξιοπιστία του στεγανού διαχωρισμού πρέπει να ελέγχεται τακτικά από δημόσια αρχή διαφορετική από αυτήν που επιδιώκει να αποκτήσει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που διατηρούν οι πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών.
90 Εφόσον η εφαρμοστέα εθνική νομοθεσία προβλέπει τέτοιες αυστηρές απαιτήσεις σχετικά με τον τρόπο γενικής και χωρίς διάκριση διατήρησης των διευθύνσεων IP και των λοιπών δεδομένων που διατηρούν οι πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών, η επέμβαση την οποία συνεπάγεται η διατήρηση των διευθύνσεων IP δεν μπορεί, λόγω της ίδιας της δομής της διατήρησης, να χαρακτηριστεί ως «σοβαρή».
91 Συγκεκριμένα, σε περίπτωση θέσπισης τέτοιας νομοθετικής ρύθμισης, ο προβλεπόμενος με αυτήν τρόπος διατήρησης των διευθύνσεων IP αποκλείει τη δυνατότητα συνδυασμού των εν λόγω δεδομένων με άλλα δεδομένα που διατηρούνται σύμφωνα με την οδηγία 2002/58, συνδυασμού από τον οποίο θα μπορούσαν να αντληθούν ακριβή συμπεράσματα σχετικά με την ιδιωτική ζωή του υποκειμένου των δεδομένων.
92 Ως εκ τούτου, όταν υπάρχει νομοθετική ρύθμιση που ανταποκρίνεται στις απαιτήσεις που εκτέθηκαν στις σκέψεις 86 έως 89 της παρούσας απόφασης, με την οποία διασφαλίζεται ότι από κανέναν συνδυασμό δεδομένων δεν θα μπορέσουν να αντληθούν ακριβή συμπεράσματα σχετικά με την ιδιωτική ζωή του υποκειμένου των δεδομένων, το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, ερμηνευόμενο υπό το πρίσμα των άρθρων 7, 8 και 11 του Χάρτη, δεν αντιτίθεται στην επιβολή, από το οικείο κράτος μέλος, υποχρέωσης γενικής και χωρίς διάκριση διατήρησης των διευθύνσεων IP για τον σκοπό της καταπολέμησης των ποινικών αδικημάτων εν γένει.
93 Τέλος, τέτοια νομοθετική ρύθμιση πρέπει, όπως προκύπτει από τη σκέψη 168 της απόφασης της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ. (C-511/18, C‑512/18 και C-520/18, EU:C:2020:791), να προβλέπει διάρκεια διατήρησης η οποία περιορίζεται στην απολύτως αναγκαία και να διασφαλίζει, με σαφείς και ακριβείς κανόνες, ότι η διατήρηση των επίμαχων δεδομένων εξαρτάται από την τήρηση των σχετικών ουσιαστικών και διαδικαστικών προϋποθέσεων και ότι τα υποκείμενα των δεδομένων αυτών διαθέτουν αποτελεσματικές εγγυήσεις έναντι των κινδύνων κατάχρησης, καθώς και έναντι κάθε παράνομης πρόσβασης στα εν λόγω δεδομένα και κάθε παράνομης χρήσης τους.
94 Απόκειται στο αιτούν δικαστήριο να εξακριβώσει αν η επίμαχη στην κύρια δίκη εθνική ρύθμιση τηρεί τις απαιτήσεις που υπομνήσθηκαν στις σκέψεις 85 έως 93 της παρούσας απόφασης.
Επί των απαιτήσεων που συνδέονται με την πρόσβαση στα δεδομένα σχετικά με την ταυτότητα τα οποία αντιστοιχούν σε διεύθυνση IP και τα οποία διατηρούνται από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών
95 Από τη νομολογία του Δικαστηρίου προκύπτει ότι, στον τομέα της καταπολέμησης των ποινικών αδικημάτων, μόνον οι σκοποί της καταπολέμησης του σοβαρού εγκλήματος ή της πρόληψης σοβαρών απειλών για τη δημόσια ασφάλεια είναι ικανοί να δικαιολογήσουν τη σοβαρή επέμβαση στα θεμελιώδη δικαιώματα που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη την οποία συνεπάγεται η πρόσβαση των δημόσιων αρχών σε σύνολο δεδομένων κίνησης ή δεδομένων θέσης, από τα οποία μπορούν να αντληθούν πληροφορίες σχετικά με τις επικοινωνίες που πραγματοποίησε χρήστης μέσου ηλεκτρονικής επικοινωνίας ή σχετικά με τον γεωγραφικό εντοπισμό του τερματικού εξοπλισμού που χρησιμοποιεί, καθώς και ακριβή συμπεράσματα σχετικά με την ιδιωτική ζωή των υποκειμένων των δεδομένων, χωρίς η πρόσβαση αυτή να μπορεί, βάσει άλλων παραμέτρων που αφορούν τον αναλογικό χαρακτήρα της αίτησης πρόσβασης, όπως είναι η διάρκεια του χρονικού διαστήματος για το οποίο ζητείται η πρόσβαση στα δεδομένα, να δικαιολογηθεί από τον σκοπό της πρόληψης, της διερεύνησης, της διαπίστωσης και της δίωξης των ποινικών αδικημάτων εν γένει [απόφαση της 2ας Μαρτίου 2021, Prokuratuur (Προϋποθέσεις πρόσβασης σε δεδομένα σχετιζόμενα με ηλεκτρονικές επικοινωνίες), C-746/18, EU:C:2021:152, σκέψη 35].
96 Αντιθέτως, όταν η επέμβαση στα θεμελιώδη δικαιώματα που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη, την οποία συνεπάγεται η πρόσβαση των δημόσιων αρχών στα δεδομένα σχετικά με την ταυτότητα τα οποία διατηρούν οι πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών, χωρίς τα εν λόγω δεδομένα να μπορούν να συνδεθούν με πληροφορίες σχετικές με τις πραγματοποιηθείσες επικοινωνίες, δεν έχει σοβαρό χαρακτήρα, δεδομένου ότι τα εν λόγω δεδομένα, συνολικώς θεωρούμενα, δεν παρέχουν τη δυνατότητα να συναχθούν ακριβή συμπεράσματα σχετικά με την ιδιωτική ζωή των υποκειμένων των δεδομένων, η εν λόγω πρόσβαση μπορεί να δικαιολογείται από σκοπό πρόληψης, διερεύνησης, διαπίστωσης και δίωξης ποινικών αδικημάτων εν γένει (πρβλ. απόφαση της 2ας Οκτωβρίου 2018, Ministerio Fiscal, C-207/16, EU:C:2018:788, σκέψεις 54, 57 και 60).
97 Επισημαίνεται επιπλέον ότι, σύμφωνα με αρχή που καθιερώθηκε με πάγια νομολογία του Δικαστηρίου, η πρόσβαση σε δεδομένα κίνησης και σε δεδομένα θέσης μπορεί να δικαιολογηθεί δυνάμει του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58 μόνον από τον σκοπό γενικού συμφέροντος για τον οποίο η διατήρησή τους επιβλήθηκε στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών, εκτός εάν η εν λόγω πρόσβαση δικαιολογείται από σκοπό γενικού συμφέροντος μεγαλύτερης σημασίας. Από την εν λόγω αρχή προκύπτει, μεταξύ άλλων, ότι τέτοια πρόσβαση για τον σκοπό της καταπολέμησης των ποινικών αδικημάτων εν γένει δεν μπορεί σε καμία περίπτωση να επιτραπεί όταν η διατήρηση των εν λόγω δεδομένων δικαιολογήθηκε από τον σκοπό της καταπολέμησης της σοβαρής εγκληματικότητας ή, κατά μείζονα λόγο, της διαφύλαξης της εθνικής ασφάλειας (πρβλ. απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C-511/18, C-512/18 και C-520/18, EU:C:2020:791, σκέψη 166).
98 Αντιθέτως, τέτοιος σκοπός καταπολέμησης των ποινικών αδικημάτων εν γένει μπορεί να δικαιολογήσει την παροχή πρόσβασης στα δεδομένα κίνησης και θέσης που αποθηκεύθηκαν και, επομένως, διατηρούνται, στο μέτρο και για το χρονικό διάστημα που είναι αναγκαία για την εμπορική προώθηση των υπηρεσιών, την τιμολόγησή τους και την παροχή υπηρεσιών προστιθέμενης αξίας, όπως επιτρέπεται από το άρθρο 6 της οδηγίας 2002/58 (πρβλ. απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C-511/18, C-512/18 και C-520/18, EU:C:2020:791, σκέψεις 108 και 167).
99 Εν προκειμένω, κατά πρώτον, από την επίμαχη στην κύρια δίκη εθνική ρύθμιση προκύπτει ότι η Hadopi δεν έχει πρόσβαση σε «σύνολο δεδομένων κίνησης και δεδομένων θέσης», κατά την έννοια της νομολογίας που υπομνήσθηκε στη σκέψη 95 της παρούσας απόφασης, και, επομένως, δεν μπορεί, κατ’ αρχήν, να αντλήσει ακριβή συμπεράσματα σχετικά με την ιδιωτική ζωή των υποκειμένων των δεδομένων. Πρόσβαση η οποία δεν καθιστά δυνατή τη συναγωγή τέτοιων συμπερασμάτων δεν συνιστά, όμως, σοβαρή επέμβαση στα θεμελιώδη δικαιώματα που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη.
100 Συγκεκριμένα, κατά την ως άνω ρύθμιση και τις σχετικές επεξηγήσεις της Γαλλικής Κυβέρνησης, η πρόσβαση που παρέχεται στην προμνησθείσα δημόσια αρχή περιορίζεται αυστηρά σε ορισμένα δεδομένα σχετικά με την ταυτότητα του κατόχου διεύθυνσης IP και επιτρέπεται με αποκλειστικό σκοπό να καταστεί δυνατή η ταυτοποίηση του εν λόγω κατόχου για τον οποίο υπάρχουν υπόνοιες ότι επιδόθηκε σε δραστηριότητα που προσβάλλει τα δικαιώματα πνευματικής ιδιοκτησίας ή τα συγγενικά δικαιώματα δεδομένου ότι διέθεσε παρανόμως στο διαδίκτυο προστατευόμενα έργα με σκοπό την τηλεφόρτωσή τους από άλλα πρόσωπα. Σκοπός της εν λόγω πρόσβασης είναι, ενδεχομένως, η λήψη έναντι του εν λόγω κατόχου ενός εκ των εκπαιδευτικών ή κατασταλτικών μέτρων που προβλέπονται στο πλαίσιο της διαδικασίας κλιμακούμενης απάντησης, όπως είναι η αποστολή της πρώτης και της δεύτερης σύστασης και, εν συνεχεία, επιστολής με την οποία γνωστοποιείται στον κάτοχο της διεύθυνσης IP ότι η επίμαχη δραστηριότητα ενδέχεται να στοιχειοθετεί το από βαριά αμέλεια διαπραττόμενο αδίκημα και, τέλος, η παραπομπή της υπόθεσης στην εισαγγελική αρχή με σκοπό τη δίωξη του συγκεκριμένου πταίσματος ή του πλημμελήματος της προσβολής δικαιώματος διανοητικής ιδιοκτησίας.
101 Η εν λόγω εθνική ρύθμιση πρέπει να προβλέπει επίσης σαφείς και ακριβείς κανόνες δυνάμενους να διασφαλίσουν ότι οι διευθύνσεις IP που διατηρούνται σύμφωνα με την οδηγία 2002/58 μπορούν να χρησιμοποιηθούν αποκλειστικά και μόνον για την ταυτοποίηση του προσώπου στο οποίο έχει χορηγηθεί συγκεκριμένη διεύθυνση IP, αποκλειομένης συγχρόνως κάθε χρήσεως η οποία καθιστά δυνατή την παρακολούθηση, μέσω μίας ή πλειόνων εκ των διευθύνσεων IP, της διαδικτυακής δραστηριότητας του προσώπου. Όταν μια διεύθυνση IP χρησιμοποιείται τοιουτοτρόπως με αποκλειστικό σκοπό την ταυτοποίηση του κατόχου της στο πλαίσιο ειδικής διοικητικής διαδικασίας η οποία μπορεί να καταλήξει στην άσκηση ποινικής δίωξης κατά του εν λόγω κατόχου και όχι με σκοπό, για παράδειγμα, την αποκάλυψη των επικοινωνιών ή της θέσης του εν λόγω κατόχου, η πρόσβαση στη συγκεκριμένη διεύθυνση IP για τον σκοπό αυτόν και μόνο αφορά την εν λόγω διεύθυνση ως δεδομένο σχετικό με την ταυτότητα και όχι ως δεδομένο κίνησης.
102 Επιπλέον, από την αρχή που καθιερώθηκε με την υπομνησθείσα στη σκέψη 97 της παρούσας απόφασης πάγια νομολογία προκύπτει ότι πρόσβαση όπως αυτή που επιτρέπεται στην Hadopi, δυνάμει της επίμαχης στην κύρια δίκη εθνικής ρύθμισης, εφόσον επιδιώκει τον σκοπό της καταπολέμησης των ποινικών αδικημάτων εν γένει, μπορεί να δικαιολογείται μόνον εάν αφορά διευθύνσεις IP τις οποίες οι πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών πρέπει να διατηρούν για τον συγκεκριμένο σκοπό και όχι για σκοπό μεγαλύτερης σημασίας, όπως είναι η καταπολέμηση της σοβαρής εγκληματικότητας, με την επιφύλαξη εντούτοις της πρόσβασης που δικαιολογείται από τέτοιο σκοπό καταπολέμησης των ποινικών αδικημάτων εν γένει όταν αφορά διευθύνσεις IP που αποθηκεύονται και, επομένως, διατηρούνται υπό τις προϋποθέσεις που προβλέπονται στο άρθρο 6 της οδηγίας 2002/58.
103 Επιπροσθέτως, όπως προκύπτει από τις σκέψεις 85 έως 92 της παρούσας απόφασης, η διατήρηση διευθύνσεων IP, η οποία βασίζεται σε νομοθετικό μέτρο που λήφθηκε δυνάμει του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58, με σκοπό την καταπολέμηση των ποινικών αδικημάτων εν γένει, μπορεί να δικαιολογείται όταν οι τρόποι της εν λόγω διατήρησης οι οποίοι θεσπίστηκαν με την οικεία νομοθετική ρύθμιση ανταποκρίνονται σε ένα σύνολο απαιτήσεων με σκοπό να διασφαλίζεται, κατ’ ουσίαν, πραγματικά στεγανός διαχωρισμός των διαφόρων κατηγοριών διατηρούμενων δεδομένων, με αποτέλεσμα να αποκλείεται πράγματι ο συνδυασμός δεδομένων διαφορετικών κατηγοριών. Συγκεκριμένα, στο μέτρο που τέτοιος τρόπος διατήρησης επιβάλλεται στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών, γενική και χωρίς διάκριση διατήρηση των διευθύνσεων IP δεν συνιστά σοβαρή επέμβαση στην ιδιωτική ζωή των κατόχων τους, δεδομένου ότι τα εν λόγω δεδομένα δεν παρέχουν τη δυνατότητα να συναχθούν ακριβή συμπεράσματα σχετικά με την ιδιωτική ζωή τους.
104 Επομένως, λαμβανομένης υπόψη της νομολογίας που υπομνήσθηκε στις σκέψεις 95 έως 97 της παρούσας απόφασης, σε περίπτωση θέσπισης τέτοιας νομοθετικής ρύθμισης, η πρόσβαση στις διευθύνσεις IP που διατηρούνται για τον σκοπό της καταπολέμησης των ποινικών αδικημάτων εν γένει μπορεί να δικαιολογείται υπό το πρίσμα του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58 όταν η εν λόγω πρόσβαση επιτρέπεται αποκλειστικά και μόνον για τον σκοπό της ταυτοποίησης του προσώπου για το οποίο υπάρχουν υπόνοιες ότι εμπλέκεται σε τέτοια αδικήματα.
105 Κατά τα λοιπά, η παροχή, σε δημόσια αρχή όπως η Hadopi, της εξουσίας πρόσβασης σε δεδομένα σχετικά με την ταυτότητα τα οποία αντιστοιχούν σε δημόσια διεύθυνση IP που διαβιβάστηκε στην Hadopi από οργανισμούς δικαιούχων με αποκλειστικό σκοπό την ταυτοποίηση του κατόχου της εν λόγω διεύθυνσης που χρησιμοποιήθηκε για διαδικτυακές δραστηριότητες δυνάμενες να προσβάλουν τα δικαιώματα πνευματικής ιδιοκτησίας ή τα συγγενικά δικαιώματα, με σκοπό τη λήψη, έναντι του εν λόγω κατόχου, ενός εκ των μέτρων που προβλέπονται στο πλαίσιο της διαδικασίας κλιμακούμενης απάντησης, συνάδει με τη νομολογία του Δικαστηρίου σχετικά με το «δικαίωμα ενημέρωσης» στο πλαίσιο διαδικασίας που αφορά προσβολή δικαιώματος διανοητικής ιδιοκτησίας, όπως η προβλεπόμενη στο άρθρο 8 της οδηγίας 2004/48 (πρβλ. απόφαση της 29ης Ιανουαρίου 2008, Promusicae, C-275/06, EU:C:2008:54, σκέψεις 47 επ.).
106 Συγκεκριμένα, στο πλαίσιο της ως άνω νομολογίας, το Δικαστήριο, υπογραμμίζοντας ότι η εφαρμογή των μέτρων που προβλέπονται από την οδηγία 2004/48 δεν μπορεί να θίγει ούτε τον ΓΚΠΔ ούτε την οδηγία 2002/58, έκρινε ότι το άρθρο 8, παράγραφος 3, της οδηγίας 2004/48, σε συνδυασμό με το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58 και το άρθρο 7, στοιχείο στʹ, της οδηγίας 95/46, δεν απαγορεύει στα κράτη μέλη να προβλέπουν υποχρέωση των παρόχων υπηρεσιών ηλεκτρονικών επικοινωνιών να διαβιβάζουν σε ιδιώτες δεδομένα προσωπικού χαρακτήρα για να καταστεί δυνατή η άσκηση, ενώπιον των πολιτικών δικαστηρίων, αγωγών κατά προσβολών του δικαιώματος πνευματικής ιδιοκτησίας, αλλά ομοίως δεν υποχρεώνει τα κράτη μέλη να προβλέπουν μια τέτοια υποχρέωση (πρβλ. απόφαση της 17ης Ιουνίου 2021, M.I.C.M., C-597/19, EU:C:2021:492, σκέψεις 124 και 125 και εκεί μνημονευόμενη νομολογία).
107 Τούτου λεχθέντος, κατά δεύτερον, για τη συγκεκριμένη εκτίμηση του βαθμού επέμβασης στην ιδιωτική ζωή την οποία συνεπάγεται η πρόσβαση δημόσιας αρχής σε δεδομένα προσωπικού χαρακτήρα, δεν μπορεί να μη ληφθούν υπόψη οι ιδιαιτερότητες του πλαισίου εντός του οποίου πραγματοποιήθηκε η εν λόγω πρόσβαση και, ειδικότερα, το σύνολο των δεδομένων και των πληροφοριών που γνωστοποιήθηκαν στη δημόσια αρχή δυνάμει της εφαρμοστέας εθνικής ρύθμισης, περιλαμβανομένων των προϋφιστάμενων δεδομένων και πληροφοριών που αποκαλύπτουν στοιχεία του περιεχομένου (βλ., κατ’ αναλογίαν, απόφαση του ΕΔΔΑ της 24ης Απριλίου 2018, Benedik κατά Σλοβενίας, CE:ECHR:2018:0424JUD006235714, § 109).
108 Επομένως, εν προκειμένω, για την εν λόγω εκτίμηση, πρέπει να ληφθεί υπόψη το γεγονός ότι, πριν από τη χορηγηθείσα πρόσβαση στα επίμαχα δεδομένα σχετικά με την ταυτότητα, η Hadopi έλαβε από οργανισμούς δικαιούχων, μεταξύ άλλων, «πληροφορίες σχετικά με τα προστατευόμενα έργα ή αντικείμενα τα οποία αφορούν οι πράξεις» και, «εφόσον συντρέχει περίπτωση», το «όνομα του αρχείου όπως έχει αποθηκευθεί στον υπολογιστή του συνδρομητή», κατά τα προβλεπόμενα στο σημείο 1 του παραρτήματος του διατάγματος 2010-236.
109 Από τη δικογραφία ενώπιον του Δικαστηρίου, αλλά με την επιφύλαξη της σχετικής εξακρίβωσης από το αιτούν δικαστήριο, προκύπτει ότι οι πληροφορίες σχετικά με το οικείο έργο, όπως καταγράφηκαν σε έκθεση της οποίας το περιεχόμενο καθορίστηκε από τις διασκέψεις της CNIL της 10ής Ιουνίου 2010, περιορίζονται, κατ’ ουσίαν, στον τίτλο του έργου και σε απόσπασμα καλούμενο «chunk», το οποίο έχει τη μορφή αλφαριθμητικής ακολουθίας και όχι ακουστικής ή βιντεοσκοπικής καταγραφής του έργου.
110 Συναφώς, είναι αληθές ότι δεν μπορεί να αποκλειστεί, γενικώς, το ενδεχόμενο η πρόσβαση δημόσιας αρχής σε περιορισμένο αριθμό δεδομένων σχετικά με την ταυτότητα του κατόχου διεύθυνσης IP η οποία γνωστοποιήθηκε στην εν λόγω αρχή από πάροχο υπηρεσιών ηλεκτρονικών επικοινωνιών με αποκλειστικό σκοπό την ταυτοποίηση του εν λόγω κατόχου σε περίπτωση που η διεύθυνση IP χρησιμοποιήθηκε για δραστηριότητες δυνάμενες να προσβάλουν τα δικαιώματα πνευματικής ιδιοκτησίας ή τα συγγενικά δικαιώματα, εάν συνδυαστεί με την ανάλυση πληροφοριών, έστω περιορισμένων, σχετικά με το περιεχόμενο του έργου που διατέθηκε παρανόμως στο διαδίκτυο, οι οποίες διαβιβάστηκαν στη δημόσια αρχή προηγουμένως από τους οργανισμούς δικαιούχων, να μπορεί να παράσχει στην εν λόγω δημόσια αρχή πληροφορίες σχετικά με ορισμένες πτυχές της ιδιωτικής ζωής του κατόχου, περιλαμβανομένων ευαίσθητων πληροφοριών, όπως ο γενετήσιος προσανατολισμός, τα πολιτικά φρονήματα, οι θρησκευτικές, φιλοσοφικές, κοινωνικές ή άλλες πεποιθήσεις, καθώς και η κατάσταση της υγείας, ενώ τα δεδομένα αυτά τυγχάνουν, επιπλέον, ειδικής προστασίας στο δίκαιο της Ένωσης.
111 Εντούτοις, εν προκειμένω, λαμβανομένης υπόψη της φύσης και του περιορισμένου χαρακτήρα των δεδομένων και πληροφοριών που η Hadopi έχει στη διάθεσή της, τα εν λόγω δεδομένα και οι εν λόγω πληροφορίες θα μπορούσαν μόνον σε ιδιάζουσες περιπτώσεις να αποκαλύψουν στοιχεία, ενδεχομένως ευαίσθητα, σχετικά με πτυχές της ιδιωτικής ζωής του υποκειμένου των δεδομένων, τα οποία, θεωρούμενα ως σύνολο, θα μπορούσαν να παράσχουν στη δημόσια αρχή τη δυνατότητα να αντλήσει ακριβή συμπεράσματα σχετικά με την ιδιωτική ζωή του υποκειμένου των δεδομένων, για παράδειγμα, μέσω λεπτομερούς προσδιορισμού του προφίλ του.
112 Τέτοια ιδιάζουσα περίπτωση θα μπορούσε να είναι η περίπτωση προσώπου η διεύθυνση IP του οποίου χρησιμοποιήθηκε για δραστηριότητες που προσβάλλουν τα δικαιώματα πνευματικής ιδιοκτησίας ή τα συγγενικά δικαιώματα σε διομότιμα δίκτυα επανειλημμένως, ακόμη και σε μεγάλη κλίμακα, σε συνάρτηση με προστατευόμενα έργα συγκεκριμένων ειδών που μπορούν να ομαδοποιηθούν βάσει των όρων του τίτλου τους και που είναι δυνατόν να αποκαλύπτουν πληροφορίες, ενδεχομένως ευαίσθητες, σχετικά με πτυχές της ιδιωτικής ζωής του εν λόγω προσώπου.
113 Τούτου λεχθέντος, διάφορα στοιχεία οδηγούν στην εκτίμηση ότι, εν προκειμένω, η επέμβαση στην ιδιωτική ζωή προσώπου, για το οποίο υπάρχουν υπόνοιες ότι επιδόθηκε σε δραστηριότητα που προσβάλλει τα δικαιώματα πνευματικής ιδιοκτησίας ή τα συγγενικά δικαιώματα, η οποία επιτρέπεται βάσει ρύθμισης όπως η επίμαχη στην κύρια δίκη, δεν είναι κατ’ ανάγκην ιδιαιτέρως σοβαρή. Κατ’ αρχάς, κατά την εν λόγω ρύθμιση, η πρόσβαση της Hadopi στα επίμαχα δεδομένα προσωπικού χαρακτήρα πραγματοποιείται μόνον από περιορισμένο αριθμό ορκωτών και εξουσιοδοτημένων υπαλλήλων της εν λόγω δημόσιας αρχής, οργάνου που απολαύει εξάλλου καθεστώτος ανεξαρτησίας, κατά το άρθρο L. 331-12 του CPI. Εν συνεχεία, αποκλειστικός σκοπός της εν λόγω πρόσβασης είναι η ταυτοποίηση προσώπου για το οποίο υπάρχουν υπόνοιες ότι επιδόθηκε σε δραστηριότητα που προσβάλλει τα δικαιώματα πνευματικής ιδιοκτησίας ή τα συγγενικά δικαιώματα, όταν διαπιστώνεται ότι το συγκεκριμένο πρόσωπο έθεσε παρανόμως, μέσω της πρόσβασής του στο διαδίκτυο, προστατευόμενο έργο στη διάθεση άλλων προσώπων. Τέλος, η πρόσβαση της Hadopi στα επίμαχα δεδομένα προσωπικού χαρακτήρα περιορίζεται αυστηρά στα δεδομένα τα οποία είναι αναγκαία για τον ως άνω σκοπό (βλ., κατ’ αναλογίαν, απόφαση του ΕΔΔΑ της 17ης Οκτωβρίου 2019, López Ribalda κ.λπ. κατά Ισπανίας, CE:ECHR:2019:1017JUD000187413, § 126 και 127).
114 Ένα ακόμη στοιχείο ικανό να μειώσει περαιτέρω τον βαθμό επέμβασης στα θεμελιώδη δικαιώματα προστασίας της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα που απορρέει από την ως άνω πρόσβαση της Hadopi, το οποίο φαίνεται να προκύπτει από τη δικογραφία ενώπιον του Δικαστηρίου αλλά απόκειται στο αιτούν δικαστήριο να εξακριβώσει, αφορά το γεγονός ότι, δυνάμει της εφαρμοστέας εθνικής ρύθμισης, οι υπάλληλοι της Hadopi που έχουν πρόσβαση στα επίμαχα δεδομένα και στις επίμαχες πληροφορίες υπέχουν υποχρέωση διασφάλισης του απορρήτου βάσει της οποίας απαγορεύεται η αποκάλυψη των εν λόγω δεδομένων και πληροφοριών, υπό οποιαδήποτε μορφή, εκτός εάν η υπόθεση πρόκειται να παραπεμφθεί στην εισαγγελική αρχή, και η χρησιμοποίησή τους για άλλο σκοπό πέραν της ταυτοποίησης του κατόχου διεύθυνσης IP για τον οποίο υπάρχουν υπόνοιες ότι επιδόθηκε σε δραστηριότητα που προσβάλλει τα δικαιώματα πνευματικής ιδιοκτησίας ή τα συγγενικά δικαιώματα, ώστε να ληφθεί εις βάρος του ένα από τα προβλεπόμενα στο πλαίσιο της διαδικασίας κλιμακούμενης απάντησης μέτρα (βλ., κατ’ αναλογίαν, απόφαση του ΕΔΔΑ της 17ης Δεκεμβρίου 2009, Gardel κατά Γαλλίας, CE:ECHR:2009:1217JUD001642805, § 70).
115 Επομένως, εφόσον εθνική ρύθμιση πληροί τις προϋποθέσεις που υπομνήσθηκαν στη σκέψη 101 της παρούσας απόφασης, οι διευθύνσεις IP που γνωστοποιούνται σε δημόσια αρχή όπως η Hadopi δεν καθιστούν δυνατή την ιχνηλάτηση της διαδρομής πλοήγησης του κατόχου τους, τούτο δε τείνει να επιβεβαιώσει τη διαπίστωση ότι η επέμβαση την οποία συνεπάγεται η πρόσβαση της εν λόγω αρχής στα επίμαχα στην κύρια δίκη δεδομένα ταυτοποίησης δεν μπορεί να χαρακτηριστεί ως σοβαρή.
116 Κατά τρίτον, υπενθυμίζεται ότι, για τον αναγκαίο συγκερασμό των εμπλεκόμενων δικαιωμάτων και συμφερόντων τον οποίο επιτάσσει η απαίτηση αναλογικότητας που προβλέπεται στο άρθρο 15, παράγραφος 1, πρώτη περίοδος, της οδηγίας 2002/58, μολονότι η ελευθερία έκφρασης και το απόρρητο των δεδομένων προσωπικού χαρακτήρα είναι πρωταρχικής σημασίας μελήματα και μολονότι ο σεβασμός της ιδιωτικής ζωής και της ελευθερίας έκφρασης των χρηστών των τηλεπικοινωνιών και των υπηρεσιών του διαδικτύου πρέπει να διασφαλίζεται, εντούτοις τα εν λόγω θεμελιώδη δικαιώματα δεν είναι απόλυτα. Συγκεκριμένα, στο πλαίσιο στάθμισης των εμπλεκόμενων δικαιωμάτων και συμφερόντων, τα δικαιώματα αυτά πρέπει ενίοτε να υποχωρούν έναντι άλλων θεμελιωδών δικαιωμάτων και επιτακτικών λόγων γενικού συμφέροντος, όπως η προάσπιση της δημόσιας τάξης και η πρόληψη των ποινικών αδικημάτων ή η προστασία των δικαιωμάτων και των ελευθεριών των τρίτων. Τούτο συμβαίνει, ειδικότερα, όταν η πρωτοκαθεδρία που αναγνωρίζεται στα ως άνω πρωταρχικής σημασίας μελήματα είναι ικανή να παρακωλύσει την αποτελεσματικότητα ποινικής έρευνας, μεταξύ άλλων καθιστώντας αδύνατη ή υπέρμετρα δυσχερή την αποτελεσματική ταυτοποίηση του δράστη ποινικού αδικήματος και την επιβολή κύρωσης εις βάρος του (βλ., κατ’ αναλογίαν, απόφαση του ΕΔΔΑ της 2ας Μαρτίου 2009, K.U. κατά Φινλανδίας, CE:ECHR:2008:1202JUD000287202, § 49).
117 Στο πλαίσιο αυτό, πρέπει να ληφθεί δεόντως υπόψη το γεγονός ότι, όπως έχει αποφανθεί το Δικαστήριο, σε σχέση με αδικήματα που διαπράττονται μέσω διαδικτύου, η πρόσβαση στις διευθύνσεις IP μπορεί να συνιστά το μόνο μέσο έρευνας που καθιστά δυνατή την πραγματική ταυτοποίηση του προσώπου στο οποίο είχε χορηγηθεί η εν λόγω διεύθυνση κατά τον χρόνο τέλεσης του αδικήματος (πρβλ. απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C-511/18, C-512/18 και C-520/18, EU:C:2020:791, σκέψη 154).
118 Όπως επισήμανε επίσης κατ’ ουσίαν ο γενικός εισαγγελέας, στο σημείο 59 των προτάσεών του της 28ης Σεπτεμβρίου 2023, το γεγονός αυτό αποδεικνύει ότι η διατήρηση των διευθύνσεων IP και η πρόσβαση σε αυτές είναι, όσον αφορά την καταπολέμηση των ποινικών αδικημάτων, όπως αυτά τα οποία προσβάλλουν τα δικαιώματα πνευματικής ιδιοκτησίας ή τα συγγενικά δικαιώματα και διαπράττονται μέσω του διαδικτύου, απολύτως αναγκαίες για την επίτευξη του επιδιωκόμενου σκοπού και, επομένως, ανταποκρίνονται στην απαίτηση αναλογικότητας που τίθεται με το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, ερμηνευόμενο υπό το πρίσμα της αιτιολογικής σκέψης 11 της εν λόγω οδηγίας και του άρθρου 52, παράγραφος 2, του Χάρτη.
119 Εξάλλου, όπως υπογράμμισε κατ’ ουσίαν ο γενικός εισαγγελέας στα σημεία 78 έως 80 των προτάσεών του της 27ης Οκτωβρίου 2022 και στα σημεία 80 και 81 των προτάσεών του της 28ης Σεπτεμβρίου 2023, το να μην επιτραπεί τέτοια πρόσβαση θα συνεπαγόταν πραγματικό κίνδυνο συστημικής ατιμωρησίας όχι μόνον ποινικών αδικημάτων που προσβάλλουν τα δικαιώματα πνευματικής ιδιοκτησίας ή συγγενικά δικαιώματα, αλλά και άλλων ειδών ποινικών αδικημάτων που διαπράττονται μέσω του διαδικτύου ή των οποίων η τέλεση ή η προετοιμασία διευκολύνεται από τα ιδιαίτερα χαρακτηριστικά του διαδικτύου. Η ύπαρξη τέτοιου κινδύνου συνιστά, όμως, κρίσιμη περίσταση προκειμένου να εκτιμηθεί, στο πλαίσιο στάθμισης των διαφόρων εμπλεκόμενων δικαιωμάτων και συμφερόντων, εάν επέμβαση στα δικαιώματα που κατοχυρώνονται στα άρθρα 7, 8 και 11 του Χάρτη είναι αναλογικό μέτρο σε σχέση με τον σκοπό της καταπολέμησης των ποινικών αδικημάτων.
120 Είναι αληθές ότι η πρόσβαση δημόσιας αρχής, όπως η Hadopi, σε δεδομένα σχετικά με την ταυτότητα τα οποία αντιστοιχούν στη διεύθυνση IP από την οποία διαπράχθηκε το αδίκημα μέσω του διαδικτύου δεν είναι κατ’ ανάγκην το μόνο δυνατό μέσο έρευνας για την ταυτοποίηση του κατόχου της εν λόγω διεύθυνσης κατά τον χρόνο τέλεσης του επίμαχου αδικήματος. Συγκεκριμένα, η εν λόγω ταυτοποίηση θα μπορούσε επίσης να είναι a priori δυνατή με εξέταση του συνόλου των διαδικτυακών δραστηριοτήτων του υποκειμένου των δεδομένων, μεταξύ άλλων με ανάλυση αφορώσα τα «ίχνη» που το εν λόγω πρόσωπο μπορεί να άφησε στα μέσα κοινωνικής δικτύωσης, όπως είναι ο αναγνωριστικός κωδικός που χρησιμοποίησε στα σχετικά δίκτυα ή τα στοιχεία του.
121 Εντούτοις, όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 83 των προτάσεών του της 28ης Σεπτεμβρίου 2023, ένα τέτοιο μέσο έρευνας θα ήταν ιδιαιτέρως παρεμβατικό καθόσον θα μπορούσε να αποκαλύψει ακριβείς πληροφορίες σχετικά με την ιδιωτική ζωή των υποκειμένων των δεδομένων. Επομένως, για τα συγκεκριμένα πρόσωπα, θα συνεπαγόταν επέμβαση στα δικαιώματα που κατοχυρώνονται στα άρθρα 7, 8 και 11 του Χάρτη σοβαρότερη από αυτήν που προκύπτει από ρύθμιση όπως η επίμαχη στην κύρια δίκη.
122 Από τα προεκτεθέντα προκύπτει ότι το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, ερμηνευόμενο υπό το πρίσμα των άρθρων 7, 8 και 11 καθώς και του άρθρου 52, παράγραφος 1, του Χάρτη, έχει την έννοια ότι δεν αντιτίθεται, κατ’ αρχήν, σε εθνική ρύθμιση η οποία επιτρέπει την πρόσβαση, εκ μέρους δημόσιας αρχής επιφορτισμένης με την προστασία των δικαιωμάτων πνευματικής ιδιοκτησίας και των συγγενικών δικαιωμάτων από τις προσβολές των εν λόγω δικαιωμάτων που διαπράττονται μέσω του διαδικτύου, σε δεδομένα σχετικά με την ταυτότητα τα οποία αντιστοιχούν σε διευθύνσεις IP που συλλέχθηκαν προηγουμένως από οργανισμούς δικαιούχων και διατηρήθηκαν από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών χωριστά και με τρόπο πραγματικά στεγανό, με αποκλειστικό σκοπό η εν λόγω αρχή να μπορέσει να ταυτοποιήσει τους κατόχους των διευθύνσεων IP για τους οποίους υπάρχουν υπόνοιες ότι ευθύνονται για τις εν λόγω προσβολές και να μπορέσει να λάβει, ενδεχομένως, μέτρα έναντι αυτών. Σε τέτοια περίπτωση, η εφαρμοστέα εθνική ρύθμιση πρέπει να απαγορεύει στους υπαλλήλους που διαθέτουν τέτοια πρόσβαση, πρώτον, να αποκαλύπτουν υπό οποιαδήποτε μορφή πληροφορίες σχετικές με το περιεχόμενο των αρχείων που συμβουλεύονται οι κάτοχοι των διευθύνσεων IP, εκτός αν πρόθεση των εν λόγω υπαλλήλων είναι αποκλειστικώς να επιληφθεί συναφώς η εισαγγελική αρχή, δεύτερον, να εντοπίζουν τη διαδρομή πλοήγησης των εν λόγω κατόχων των διευθύνσεων IP και, τρίτον, να χρησιμοποιούν τις εν λόγω διευθύνσεις IP για σκοπό άλλο πλην της λήψης των εν λόγω μέτρων.
Επί της απαιτήσεως ελέγχου από δικαστήριο ή ανεξάρτητη διοικητική οντότητα πριν από την πρόσβαση δημόσιας αρχής σε δεδομένα σχετικά με την ταυτότητα τα οποία αντιστοιχούν σε διεύθυνση IP
123 Τίθεται, εντούτοις, το ζήτημα του αν η πρόσβαση της δημόσιας αρχής σε δεδομένα σχετικά με την ταυτότητα τα οποία αντιστοιχούν σε διεύθυνση IP πρέπει να εξαρτάται, επιπλέον, από προηγούμενο έλεγχο δικαστηρίου ή ανεξάρτητης διοικητικής οντότητας.
124 Συναφώς, προκειμένου να διασφαλιστεί, στην πράξη, η πλήρης τήρηση των προϋποθέσεων τις οποίες τα κράτη μέλη οφείλουν να προβλέπουν προκειμένου να εξασφαλίζεται ότι η πρόσβαση περιορίζεται στο απολύτως αναγκαίο μέτρο, το Δικαστήριο έχει κρίνει ότι είναι «ουσιώδες» η πρόσβαση των αρμόδιων εθνικών αρχών στα δεδομένα κίνησης και στα δεδομένα θέσης να υπόκειται σε προηγούμενο έλεγχο από δικαστήριο ή από ανεξάρτητη διοικητική οντότητα [πρβλ. αποφάσεις της 21ης Δεκεμβρίου 2016, Tele2 Sverige και Watson κ.λπ., C‑203/15 και C-698/15, EU:C:2016:970, σκέψη 120, της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C-511/18, C-512/18 και C-520/18, EU:C:2020:791, σκέψη 189, της 2ας Μαρτίου 2021, Prokuratuur (Προϋποθέσεις πρόσβασης σε δεδομένα σχετιζόμενα με ηλεκτρονικές επικοινωνίες), C-746/18, EU:C:2021:152, σκέψη 51, και της 5ης Απριλίου 2022, Commissioner of An Garda Síochána κ.λπ., C-140/20, EU:C:2022:258, σκέψη 106].
125 Ο προηγούμενος αυτός έλεγχος απαιτεί, πρώτον, το δικαστήριο ή η ανεξάρτητη διοικητική οντότητα που είναι επιφορτισμένη με τη διενέργειά του να διαθέτει όλες τις αρμοδιότητες και να παρέχει όλες τις αναγκαίες εγγυήσεις ώστε να διασφαλίζεται ο συγκερασμός των επίμαχων εμπλεκομένων εννόμων συμφερόντων και δικαιωμάτων. Όσον αφορά ειδικότερα την ποινική έρευνα, ο έλεγχος αυτός απαιτεί το εν λόγω δικαστήριο ή η εν λόγω οντότητα να είναι σε θέση να διασφαλίσει δίκαιη ισορροπία μεταξύ, αφενός, των έννομων συμφερόντων που συνδέονται με τις ανάγκες της διερεύνησης αξιόποινων πράξεων στο πλαίσιο της καταπολέμησης του εγκλήματος και, αφετέρου, των θεμελιωδών δικαιωμάτων του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα των προσώπων των οποίων τα δεδομένα αφορά η πρόσβαση (απόφαση της 5ης Απριλίου 2022, Commissioner of An Garda Síochána κ.λπ., C-140/20, EU:C:2022:258, σκέψη 107 και εκεί μνημονευόμενη νομολογία].
126 Δεύτερον, όταν ο έλεγχος αυτός διενεργείται όχι από δικαστήριο, αλλά από ανεξάρτητη διοικητική οντότητα, η οντότητα αυτή πρέπει να απολαύει καθεστώτος που να της επιτρέπει να ενεργεί κατά την άσκηση των καθηκόντων της κατά τρόπο αντικειμενικό και αμερόληπτο και πρέπει, προς τούτο, να μην υπόκειται σε καμία εξωτερική επιρροή. Επομένως, η απαίτηση περί ανεξαρτησίας την οποία πρέπει να πληροί η οντότητα η οποία είναι επιφορτισμένη με τη διενέργεια του προηγούμενου ελέγχου επιβάλλει να έχει η οντότητα αυτή την ιδιότητα τρίτου σε σχέση με την αρχή που ζητεί την πρόσβαση στα δεδομένα, ώστε να είναι σε θέση να ασκεί τον έλεγχο αυτόν κατά τρόπο αντικειμενικό και αμερόληπτο, χωρίς καμία εξωτερική επιρροή. Ειδικότερα, στον ποινικό τομέα, η απαίτηση περί ανεξαρτησίας συνεπάγεται ότι η επιφορτισμένη με τον εν λόγω προηγούμενο έλεγχο αρχή πρέπει, αφενός, να μην εμπλέκεται στη διεξαγωγή της συγκεκριμένης ποινικής έρευνας και, αφετέρου, να έχει ουδέτερη θέση έναντι των μετεχόντων στην ποινική δίκη (απόφαση της 5ης Απριλίου 2022, Commissioner of An Garda Síochána κ.λπ., C-140/20, EU:C:2022:258, σκέψη 108, καθώς και εκεί μνημονευόμενη νομολογία).
127 Τρίτον, ο ανεξάρτητος έλεγχος που απαιτείται κατά το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58 πρέπει να διενεργείται πριν από κάθε πρόσβαση στα οικεία δεδομένα, εκτός αν συντρέχει δεόντως αιτιολογημένη επείγουσα περίπτωση, οπότε ο έλεγχος αυτός πρέπει να διενεργείται εντός σύντομου χρονικού διαστήματος. Πράγματι ένας μεταγενέστερος έλεγχος δεν θα καθιστούσε δυνατή την επίτευξη του σκοπού ενός προηγούμενου ελέγχου, ο οποίος συνίσταται στο να εμποδίζεται η παροχή πρόσβασης στα επίμαχα δεδομένα πέραν των ορίων του απολύτως αναγκαίου (απόφαση της 5ης Απριλίου 2022, Commissioner of An Garda Síochána κ.λπ., C-140/20, EU:C:2022:258, σκέψη 110].
128 Τούτου λεχθέντος, μολονότι, όπως προκύπτει από τη νομολογία που υπομνήσθηκε στη σκέψη 124 της παρούσας απόφασης, το Δικαστήριο έκρινε ότι είναι «ουσιώδες» η πρόσβαση των αρμόδιων εθνικών αρχών στα δεδομένα κίνησης και στα δεδομένα θέσης να υπόκειται σε προηγούμενο έλεγχο από δικαστήριο ή ανεξάρτητη διοικητική οντότητα, η εν λόγω νομολογία διαμορφώθηκε στο πλαίσιο εθνικών μέτρων τα οποία επιτρέπουν, για την επίτευξη σκοπού που συνδέεται με την καταπολέμηση της σοβαρής εγκληματικότητας, γενική πρόσβαση σε όλα τα διατηρούμενα δεδομένα κίνησης και θέσης, ανεξαρτήτως αν αυτά συνδέονται, έστω έμμεσα, με τον επιδιωκόμενο σκοπό, και τα οποία συνεπάγονται, επομένως, σοβαρές, ακόμη και «ιδιαιτέρως σοβαρές», επεμβάσεις στα σχετικά θεμελιώδη δικαιώματα.
129 Αντιθέτως, όταν το εξεταζόμενο ζήτημα αφορούσε τις προϋποθέσεις υπό τις οποίες η πρόσβαση στα δεδομένα σχετικά με την ταυτότητα μπορούσε να δικαιολογηθεί κατά το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, ερμηνευόμενο υπό το πρίσμα των άρθρων 7, 8 και 11 του Χάρτη, το Δικαστήριο δεν μνημόνευσε ρητώς την απαίτηση τέτοιου προηγούμενου ελέγχου [πρβλ. αποφάσεις της 2ας Οκτωβρίου 2018, Ministerio Fiscal, C-207/16, EU:C:2018:788, σκέψεις 59, 60 και 62, της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C-511/18, C-512/18 και C-520/18, EU:C:2020:791, σκέψεις 157 και 158, και της 2ας Μαρτίου 2021, Prokuratuur (Προϋποθέσεις πρόσβασης σε δεδομένα σχετιζόμενα με ηλεκτρονικές επικοινωνίες), C-746/18, EU:C:2021:152, σκέψη 34].
130 Από τη νομολογία του Δικαστηρίου σχετικά με την αρχή της αναλογικότητας, την τήρηση της οποίας επιτάσσει το άρθρο 15, παράγραφος 1, πρώτη περίοδος, της οδηγίας 2002/58, ειδικότερα από τη νομολογία κατά την οποία για την εκτίμηση της δυνατότητας των κρατών μελών να δικαιολογήσουν περιορισμό των δικαιωμάτων και υποχρεώσεων που προβλέπονται, μεταξύ άλλων, στα άρθρα 5, 6 και 9 της εν λόγω οδηγίας, πρέπει να λαμβάνεται υπόψη η σοβαρότητα της επέμβασης που συνεπάγεται ο περιορισμός αυτός στα θεμελιώδη δικαιώματα που κατοχυρώνονται στα άρθρα 7, 8 και 11 του Χάρτη και να ελέγχεται αν η σημασία του σκοπού γενικού συμφέροντος που επιδιώκεται με τον εν λόγω περιορισμό τελεί σε συνάρτηση με τη σοβαρότητα αυτή (απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C-511/18, C-512/18 και C-520/18, EU:C:2020:791, σκέψη 131), προκύπτει ότι ο βαθμός επέμβασης στα σχετικά θεμελιώδη δικαιώματα την οποία συνεπάγεται η πρόσβαση στα επίμαχα δεδομένα προσωπικού χαρακτήρα καθώς και το επίπεδο ευαισθησίας των εν λόγω δεδομένων πρέπει επίσης να ασκούν επιρροή στις ουσιαστικές και διαδικαστικές εγγυήσεις που πρέπει να περιβάλλουν την εν λόγω πρόσβαση, στις οποίες περιλαμβάνεται η απαίτηση προηγούμενου ελέγχου από δικαστήριο ή ανεξάρτητη διοικητική οντότητα.
131 Επομένως, λαμβανομένης υπόψη της αρχής της αναλογικότητας, πρέπει να γίνει δεκτό ότι η απαίτηση προηγούμενου ελέγχου από δικαστήριο ή από ανεξάρτητη διοικητική οντότητα επιβάλλεται όταν, στο πλαίσιο εθνικής ρύθμισης η οποία προβλέπει την πρόσβαση δημόσιας αρχής σε δεδομένα προσωπικού χαρακτήρα, η εν λόγω πρόσβαση συνεπάγεται τον κίνδυνο σοβαρής επέμβασης στα θεμελιώδη δικαιώματα του υποκειμένου των δεδομένων υπό την έννοια ότι θα μπορούσε να παράσχει στην εν λόγω δημόσια αρχή τη δυνατότητα να αντλήσει ακριβή συμπεράσματα σχετικά με την ιδιωτική ζωή του εν λόγω προσώπου και, ενδεχομένως, να προσδιορίσει λεπτομερώς το προφίλ του.
132 Αντιστρόφως, η απαίτηση προηγούμενου ελέγχου δεν εφαρμόζεται όταν η επέμβαση στα σχετικά θεμελιώδη δικαιώματα την οποία συνεπάγεται η πρόσβαση δημόσιας αρχής σε δεδομένα προσωπικού χαρακτήρα δεν μπορεί να χαρακτηριστεί ως σοβαρή.
133 Τούτο συμβαίνει στην περίπτωση της πρόσβασης σε δεδομένα σχετικά με την ταυτότητα των χρηστών των μέσων ηλεκτρονικών επικοινωνιών με αποκλειστικό σκοπό την ταυτοποίηση του οικείου χρήστη, και χωρίς τα εν λόγω δεδομένα να μπορούν να συνδεθούν με πληροφορίες σχετικές με τις πραγματοποιηθείσες επικοινωνίες, δεδομένου ότι, κατά τη νομολογία του Δικαστηρίου, η επέμβαση την οποία συνεπάγεται τέτοια επεξεργασία των εν λόγω δεδομένων δεν μπορεί, κατ’ αρχήν, να χαρακτηριστεί ως σοβαρή (πρβλ. απόφαση της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C-511/18, C-512/18 και C-520/18, EU:C:2020:791, σκέψεις 157 και 158).
134 Ως εκ τούτου, σε περίπτωση που θεσπίζεται ρύθμιση διατήρησης όπως η εκτεθείσα στις σκέψεις 86 έως 89 της παρούσας απόφασης, η πρόσβαση της δημόσιας αρχής στα δεδομένα σχετικά με την ταυτότητα τα οποία αντιστοιχούν στις διευθύνσεις IP που διατηρούνται με τον τρόπο αυτό δεν εξαρτάται, κατ’ αρχήν, από την απαίτηση προηγούμενου ελέγχου από δικαστήριο ή από ανεξάρτητη διοικητική οντότητα.
135 Τούτου λεχθέντος, όπως επισημάνθηκε στις σκέψεις 110 και 111 της παρούσας απόφασης, δεν μπορεί να αποκλειστεί το ενδεχόμενο, σε ιδιάζουσες περιπτώσεις, τα περιορισμένα δεδομένα και οι περιορισμένες πληροφορίες που τίθενται στη διάθεση δημόσιας αρχής στο πλαίσιο διαδικασίας όπως η επίμαχη στην κύρια δίκη διαδικασία κλιμακούμενης απάντησης να μπορούν να αποκαλύψουν στοιχεία, ενδεχομένως ευαίσθητα, σχετικά με πτυχές της ιδιωτικής ζωής του υποκειμένου των δεδομένων, τα οποία, θεωρούμενα ως σύνολο, θα μπορούσαν να παράσχουν στη δημόσια αρχή τη δυνατότητα να αντλήσει ακριβή συμπεράσματα σχετικά με την ιδιωτική ζωή του συγκεκριμένου προσώπου και, ενδεχομένως, να προσδιορίσει λεπτομερώς το προφίλ του.
136 Όπως προκύπτει από τη σκέψη 112 της παρούσας απόφασης, τέτοιος κίνδυνος για την ιδιωτική ζωή μπορεί να παρουσιαστεί, μεταξύ άλλων, όταν ένα πρόσωπο επιδίδεται σε δραστηριότητες που προσβάλλουν τα δικαιώματα πνευματικής ιδιοκτησίας ή τα συγγενικά δικαιώματα σε διομότιμα δίκτυα επανειλημμένως, ή ακόμη και σε μεγάλη κλίμακα, σε συνάρτηση με προστατευόμενα έργα συγκεκριμένων ειδών που μπορούν να ομαδοποιηθούν βάσει των όρων του τίτλου τους, αποκαλύπτοντας πληροφορίες, ενδεχομένως ευαίσθητες, σχετικά με την ιδιωτική ζωή του εν λόγω προσώπου.
137 Επομένως, εν προκειμένω, στο πλαίσιο της διοικητικής διαδικασίας κλιμακούμενης απάντησης, ο κάτοχος διεύθυνσης IP μπορεί να εκτίθεται ιδιαιτέρως σε τέτοιο κίνδυνο για την ιδιωτική ζωή του, όταν η εν λόγω διαδικασία φθάνει στο στάδιο στο οποίο η Hadopi καλείται να αποφασίσει αν θα παραπέμψει ή όχι την υπόθεση στην εισαγγελική αρχή για την άσκηση δίωξης εις βάρος του κατόχου της διεύθυνσης IP για πράξεις που μπορεί να στοιχειοθετούν το από βαριά αμέλεια διαπραττόμενο πταίσμα ή το πλημμέλημα της προσβολής δικαιώματος διανοητικής ιδιοκτησίας.
138 Συγκεκριμένα, η ως άνω παραπομπή προϋποθέτει ότι ο κάτοχος διεύθυνσης IP έχει ήδη λάβει δύο συστάσεις και μία επιστολή ενημέρωσης που τον πληροφορεί ότι οι δραστηριότητές του μπορεί να αποτελέσουν αντικείμενο ποινικής δίωξης, μέτρα τα οποία συνεπάγονται ότι, κάθε φορά, η Hadopi είχε πρόσβαση σε δεδομένα σχετικά με την ταυτότητα του εν λόγω προσώπου του οποίου η διεύθυνση IP χρησιμοποιήθηκε για δραστηριότητες που προσβάλλουν τα δικαιώματα πνευματικής ιδιοκτησίας ή τα συγγενικά δικαιώματα, καθώς και σε αρχείο σχετικό με το επίμαχο έργο το οποίο περιέχει κυρίως τον τίτλο του.
139 Δεν μπορεί, όμως, να αποκλειστεί το ενδεχόμενο τα δεδομένα που παρασχέθηκαν με τον τρόπο αυτόν, θεωρούμενα ως σύνολο και καθώς εξελίσσεται η διοικητική διαδικασία της κλιμακούμενης απάντησης, να μπορούν, κατά τα διάφορα στάδια της εν λόγω διαδικασίας, να αποκαλύπτουν συγκλίνουσες και, ενδεχομένως, ευαίσθητες πληροφορίες σχετικά με πτυχές της ιδιωτικής ζωής του υποκειμένου των δεδομένων οι οποίες καθιστούν ενδεχομένως δυνατό τον λεπτομερή προσδιορισμό του προφίλ του.
140 Επομένως, η ένταση της προσβολής του δικαιώματος σεβασμού της ιδιωτικής ζωής μπορεί να αυξάνεται καθώς διανύονται τα διάφορα στάδια που απαρτίζουν τη διαδικασία κλιμακούμενης απάντησης, η οποία περιλαμβάνει διαδοχικές ενέργειες.
141 Εν προκειμένω, η πρόσβαση της Hadopi στο σύνολο των δεδομένων τα οποία αφορούν το υποκείμενο των δεδομένων και συγκεντρώθηκαν κατά τα διάφορα στάδια της προμνησθείσας διαδικασίας μπορεί, μέσω της συσχέτισης των δεδομένων, να καταστήσει δυνατή τη συναγωγή επακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή του υποκειμένου των δεδομένων. Επομένως, στο πλαίσιο διαδικασίας όπως η επίμαχη στην κύρια δίκη διαδικασία κλιμακούμενης απάντησης, η εθνική ρύθμιση πρέπει να προβλέπει επίσης, σε κάποιο στάδιο της εν λόγω διαδικασίας, προηγούμενο έλεγχο από δικαστήριο ή από ανεξάρτητη διοικητική οντότητα, ο οποίος να ανταποκρίνεται στις προϋποθέσεις που υπομνήσθηκαν στις σκέψεις 125 έως 127 της παρούσας απόφασης, προκειμένου να αποκλεισθεί ο κίνδυνος δυσανάλογων επεμβάσεων στα θεμελιώδη δικαιώματα της προστασίας της ιδιωτικής ζωής και των δεδομένων προσωπικού χαρακτήρα του υποκειμένου των δεδομένων. Τούτο συνεπάγεται ότι, στην πράξη, ο εν λόγω έλεγχος πρέπει να διενεργείται προτού η Hadopi μπορέσει να συσχετίσει δεδομένα σχετικά με την ταυτότητα ενός προσώπου –στο οποίο έχουν ήδη αποσταλεί δυο συστάσεις–, τα οποία αντιστοιχούν σε διεύθυνση IP και τα οποία λήφθηκαν από πάροχο υπηρεσιών ηλεκτρονικών επικοινωνιών, και το αρχείο σχετικά με το έργο το οποίο διατέθηκε στο διαδίκτυο με σκοπό την τηλεφόρτωσή του από άλλα πρόσωπα. Επομένως, ο εν λόγω έλεγχος πρέπει να διενεργείται πριν από την ενδεχόμενη αποστολή της επιστολής ενημέρωσης του άρθρου R-331-40 του CPI, με την οποία διαπιστώνεται ότι το πρόσωπο τέλεσε πράξεις που μπορεί να στοιχειοθετούν το από βαριά αμέλεια διαπραττόμενο αδίκημα. Μόνον μετά από έναν τέτοιο προηγούμενο έλεγχο από δικαστήριο ή ανεξάρτητη διοικητική οντότητα και τη σχετική άδειά τους θα μπορεί η Hadopi να απευθύνει τέτοια επιστολή και εν συνεχεία, ενδεχομένως, να παραπέμψει την υπόθεση στην εισαγγελική αρχή για την άσκηση δίωξης σε σχέση με το εν λόγω αδίκημα.
142 Πρέπει να παρέχεται στην Hadopi η δυνατότητα να εντοπίζει τις περιπτώσεις στις οποίες ο κάτοχος της επίμαχης διεύθυνσης IP φθάνει στο ανωτέρω τρίτο στάδιο της διαδικασίας κλιμακούμενης απάντησης. Επομένως, η εν λόγω διαδικασία πρέπει να οργανώνεται και να διαρθρώνεται κατά τρόπο ώστε τα δεδομένα σχετικά με την ταυτότητα ενός προσώπου τα οποία αντιστοιχούν σε διευθύνσεις IP που συλλέχθηκαν προηγουμένως στο διαδίκτυο, και τα οποία λήφθηκαν από παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών, να μη μπορούν να συσχετιστούν αυτομάτως, από τα πρόσωπα που είναι επιφορτισμένα, εντός της Hadopi, με την εξέταση των πραγματικών περιστατικών, με τα αρχεία που περιέχουν στοιχεία τα οποία καθιστούν δυνατή την αναγνώριση των τίτλων των προστατευόμενων έργων η διάθεση των οποίων στο διαδίκτυο δικαιολόγησε την προμνησθείσα συλλογή.
143 Συνεπώς, η ανωτέρω συσχέτιση για τον σκοπό του τρίτου σταδίου της κλιμακούμενης απάντησης πρέπει να αναστέλλεται όταν η συλλογή των εν λόγω δεδομένων σχετικά με την ταυτότητα, σε περίπτωση ενδεχόμενης δεύτερης επανάληψης δραστηριότητας που προσβάλλει τα δικαιώματα πνευματικής ιδιοκτησίας ή τα συγγενικά δικαιώματα, συνεπάγεται την απαίτηση διενέργειας προηγούμενου ελέγχου από δικαστήριο ή από ανεξάρτητη διοικητική οντότητα, όπως εκτέθηκε στη σκέψη 141 της παρούσας απόφασης.
144 Εξάλλου, η ρύθμιση της απαίτησης του προηγούμενου ελέγχου που εκτέθηκε στις σκέψεις 141 έως 143 της παρούσας απόφασης, καθόσον ο έλεγχος περιορίζεται στο τρίτο στάδιο της διαδικασίας κλιμακούμενης απάντησης και δεν εφαρμόζεται στα προηγούμενα στάδια της εν λόγω διαδικασίας, καθιστά επίσης δυνατή τη συνεκτίμηση του επιχειρήματος ότι πρέπει να διασφαλίζεται η δυνατότητα πρακτικής εφαρμογής της εν λόγω διαδικασίας η οποία χαρακτηρίζεται, κυρίως στα στάδια προ της ενδεχόμενης αποστολής της επιστολής ενημέρωσης και, ενδεχομένως, της παραπομπής της υπόθεσης στην εισαγγελική αρχή, από τον μαζικό χαρακτήρα των αιτήσεων πρόσβασης της δημόσιας αρχής που οφείλεται στον εξίσου μεγάλο αριθμό εκθέσεων που της υποβάλλουν οι οργανισμοί δικαιούχων.
145 Όσον αφορά επίσης το αντικείμενο του προηγούμενου ελέγχου που μνημονεύθηκε στις σκέψεις 141 έως 143 της παρούσας απόφασης, από τη νομολογία που υπομνήσθηκε στις σκέψεις 95 και 96 της ίδιας απόφασης προκύπτει ότι, στις περιπτώσεις στις οποίες υπάρχουν υπόνοιες ότι το υποκείμενο των δεδομένων τέλεσε το από «βαριά αμέλεια» διαπραττόμενο αδίκημα που ορίζεται στο άρθρο R. 335-5 του CPI, το οποίο εμπίπτει στα ποινικά αδικήματα εν γένει, το δικαστήριο ή η ανεξάρτητη διοικητική οντότητα που είναι επιφορτισμένα με τον εν λόγω έλεγχο πρέπει να αρνηθούν την πρόσβαση όταν αυτή θα παρείχε στη δημόσια αρχή που τη ζήτησε τη δυνατότητα να αντλήσει ακριβή συμπεράσματα σχετικά με την ιδιωτική ζωή του υποκειμένου των δεδομένων.
146 Αντιθέτως, ακόμη και πρόσβαση η οποία καθιστά δυνατή τη συναγωγή τέτοιων επακριβών συμπερασμάτων θα πρέπει να επιτρέπεται σε περιπτώσεις στις οποίες τα στοιχεία που γνωστοποιούνται στο δικαστήριο ή στην ανεξάρτητη διοικητική οντότητα γεννούν υπόνοιες ότι το υποκείμενο των δεδομένων διέπραξε το πλημμέλημα της προσβολής δικαιώματος διανοητικής ιδιοκτησίας του άρθρου L. 335-2 του CPI ή του άρθρου L. 335-4 του CPI, δεδομένου ότι ένα κράτος μέλος μπορεί να θεωρεί ότι τέτοιο πλημμέλημα, καθόσον θίγει θεμελιώδες συμφέρον της κοινωνίας, εμπίπτει στις σοβαρές μορφές εγκληματικότητας.
147 Τέλος, όσον αφορά τον τρόπο διενέργειας του προηγούμενου ελέγχου, η Γαλλική Κυβέρνηση εκτιμά ότι, λαμβανομένων υπόψη των ιδιαίτερων χαρακτηριστικών της πρόσβασης της Hadopi στα επίμαχα δεδομένα, ειδικότερα του μαζικού χαρακτήρα της, θα ήταν πρόσφορο ο προηγούμενος έλεγχος, εφόσον απαιτούνταν, να είναι πλήρως αυτοματοποιημένος. Συγκεκριμένα, ο σκοπός ενός τέτοιου ελέγχου, ο οποίος έχει αμιγώς αντικειμενικό χαρακτήρα, θα ήταν, κατ’ ουσίαν, να εξακριβωθεί ότι η έκθεση παραπομπής της υπόθεσης στην Hadopi περιέχει όλες τις πληροφορίες και όλα τα δεδομένα που απαιτούνται χωρίς η εν λόγω αρχή να καλείται να προβεί σε εκτίμησή τους.
148 Εντούτοις, ο προηγούμενος έλεγχος δεν θα μπορούσε σε καμία περίπτωση να είναι πλήρως αυτοματοποιημένος δεδομένου ότι, όπως προκύπτει από τη νομολογία που υπομνήσθηκε στη σκέψη 125 της παρούσας απόφασης, όσον αφορά την ποινική έρευνα, ο έλεγχος αυτός απαιτεί, εν πάση περιπτώσει, να είναι σε θέση το οικείο δικαστήριο ή η οικεία ανεξάρτητη διοικητική οντότητα να διασφαλίσει δίκαιη ισορροπία μεταξύ, αφενός, των έννομων συμφερόντων που συνδέονται με τις ανάγκες της έρευνας στο πλαίσιο της καταπολέμησης του εγκλήματος και, αφετέρου, των θεμελιωδών δικαιωμάτων του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων προσωπικού χαρακτήρα των προσώπων των οποίων τα δεδομένα αφορά η πρόσβαση.
149 Συγκεκριμένα, τέτοια στάθμιση των διαφόρων εμπλεκόμενων έννομων συμφερόντων και δικαιωμάτων απαιτεί την παρέμβαση φυσικού προσώπου, η οποία είναι κατά μείζονα λόγο αναγκαία δεδομένου ότι η αυτοματοποίηση και η μεγάλη κλίμακα της επίμαχης επεξεργασίας δεδομένων συνεπάγονται κινδύνους για την ιδιωτική ζωή.
150 Επιπλέον, ένας πλήρως αυτοματοποιημένος έλεγχος δεν είναι, κατ’ αρχήν, ικανός να διασφαλίσει ότι η πρόσβαση δεν υπερβαίνει τα όρια του απολύτως αναγκαίου και ότι παρέχονται στα υποκείμενα των οικείων δεδομένων προσωπικού χαρακτήρα αποτελεσματικές εγγυήσεις κατά των κινδύνων κατάχρησης καθώς και κατά κάθε παράνομης πρόσβασης στα εν λόγω δεδομένα και παράνομης χρήσης αυτών.
151 Επομένως, μολονότι οι αυτοματοποιημένοι έλεγχοι μπορούν να καταστήσουν δυνατή την εξακρίβωση ορισμένων πληροφοριών που περιέχονται στις εκθέσεις των οργανισμών δικαιούχων, οι εν λόγω έλεγχοι πρέπει, εν πάση περιπτώσει, να συνδυάζονται με ελέγχους από φυσικά πρόσωπα που ανταποκρίνονται πλήρως στις απαιτήσεις που υπομνήσθηκαν στις σκέψεις 125 έως 127 της παρούσας απόφασης.
Επί των απαιτήσεων που αφορούν τις ουσιαστικές και διαδικαστικές προϋποθέσεις καθώς και τις εγγυήσεις κατά των κινδύνων κατάχρησης και κατά κάθε παράνομης πρόσβασης στα δεδομένα και παράνομης χρήσης των δεδομένων από τις οποίες πρέπει να εξαρτάται η πρόσβαση δημόσιας αρχής σε δεδομένα σχετικά με την ταυτότητα τα οποία αντιστοιχούν σε διεύθυνση IP
152 Από τη νομολογία του Δικαστηρίου προκύπτει ότι η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα μπορεί να είναι σύμφωνη προς την απαίτηση αναλογικότητας που επιβάλλει το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58 μόνον εάν το νομοθετικό μέτρο που την επιτρέπει προβλέπει, με σαφείς και ακριβείς κανόνες, ότι η εν λόγω πρόσβαση εξαρτάται από την τήρηση των σχετικών ουσιαστικών και διαδικαστικών προϋποθέσεων και ότι τα υποκείμενα των δεδομένων έχουν στη διάθεσή τους αποτελεσματικές εγγυήσεις κατά των κινδύνων καταχρηστικής ή παράνομης πρόσβασης στα εν λόγω δεδομένα και καταχρηστικής ή παράνομης χρήσης των εν λόγω δεδομένων [πρβλ. αποφάσεις της 6ης Οκτωβρίου 2020, La Quadrature du Net κ.λπ., C-511/18, C-512/18 και C‑520/18, EU:C:2020:791, σκέψεις 132 και 173, και της 2ας Μαρτίου 2021, Prokuratuur (Προϋποθέσεις πρόσβασης σε δεδομένα σχετιζόμενα με ηλεκτρονικές επικοινωνίες), C-746/18, EU:C:2021:152, σκέψη 49 και εκεί μνημονευόμενη νομολογία].
153 Όπως έχει υπογραμμίσει το Δικαστήριο, η ανάγκη να παρέχονται τέτοιες εγγυήσεις είναι ακόμη πιο επιτακτική όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε αυτοματοποιημένη επεξεργασία (απόφαση της 16ης Ιουλίου 2020, Facebook Ireland και Schrems, C-311/18, EU:C:2020:559, σκέψη 176 και εκεί μνημονευόμενη νομολογία).
154 Συναφώς, απαντώντας σε ερώτηση που έθεσε το Δικαστήριο εν όψει της επ’ ακροατηρίου συζητήσεως της 5ης Ιουλίου 2022, η Γαλλική Κυβέρνηση επιβεβαίωσε ότι, όπως άλλωστε προκύπτει από το άρθρο L. 331-29 του CPI, η πρόσβαση της Hadopi στα δεδομένα σχετικά με την ταυτότητα στο πλαίσιο της διαδικασίας κλιμακούμενης απάντησης είναι απόρροια κατ’ ουσίαν αυτοματοποιημένης επεξεργασίας δεδομένων, η οποία εξηγείται λόγω του μαζικού χαρακτήρα των προσβολών δικαιωμάτων διανοητικής ιδιοκτησίας που διαπιστώνονται από τους οργανισμούς δικαιούχων στα διομότιμα δίκτυα, των σχετικών διαπιστώσεων διαβιβαζομένων στην Hadopi υπό μορφή εκθέσεων.
155 Συγκεκριμένα, από τη δικογραφία ενώπιον του Δικαστηρίου προκύπτει ότι, κατά την εν λόγω επεξεργασία δεδομένων, οι υπάλληλοι της Hadopi εξακριβώνουν, με τρόπο κατ’ ουσίαν αυτοματοποιημένο και χωρίς να εκτιμούν τις επίμαχες πράξεις αυτές καθεαυτές, αν οι εκθέσεις που της υποβλήθηκαν περιέχουν όλες τις πληροφορίες και τα δεδομένα που μνημονεύονται στο σημείο 1 του παραρτήματος του διατάγματος 2010-236, ειδικότερα τις επίμαχες πράξεις της παράνομης διάθεσης στο διαδίκτυο και τις διευθύνσεις IP που χρησιμοποιήθηκαν προς τούτο. Τέτοια επεξεργασία πρέπει να συνδυάζεται, όμως, με ελέγχους εκ μέρους φυσικών προσώπων.
156 Δεδομένου ότι μια τέτοια αυτοματοποιημένη επεξεργασία μπορεί να συνεπάγεται έναν αριθμό ψευδώς θετικών αποτελεσμάτων και, κυρίως, τον κίνδυνο ένας δυνητικώς πολύ μεγάλος αριθμός δεδομένων προσωπικού χαρακτήρα να υποκλαπεί από τρίτους για σκοπούς κατάχρησης ή για παράνομους σκοπούς, είναι σημαντικό, δυνάμει νομοθετικού μέτρου, το σύστημα επεξεργασίας δεδομένων που χρησιμοποιεί δημόσια αρχή να ελέγχεται, ανά τακτά χρονικά διαστήματα, από ανεξάρτητο οργανισμό ο οποίος έχει την ιδιότητα τρίτου ως προς την εν λόγω αρχή, με σκοπό να εξακριβώνεται η ακεραιότητα του συστήματος, περιλαμβανομένων των αποτελεσματικών εγγυήσεων κατά των κινδύνων κατάχρησης καθώς και κατά κάθε παράνομης πρόσβασης στα εν λόγω δεδομένα και κάθε παράνομης χρήσης αυτών που το εν λόγω σύστημα πρέπει να διασφαλίζει, καθώς και η αποτελεσματικότητα και η αξιοπιστία του για τον εντοπισμό των παραβάσεων που, σε περίπτωση επανάληψης, ενδέχεται να χαρακτηριστούν ως βαριά αμέλεια ή ως προσβολή δικαιώματος διανοητικής ιδιοκτησίας.
157 Τέλος, πρέπει να προστεθεί ότι επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία πραγματοποιείται από δημόσια αρχή, όπως αυτή στην οποία προβαίνει η Hadopi στο πλαίσιο της διαδικασίας κλιμακούμενης απάντησης, πρέπει να τηρεί τους ειδικούς κανόνες προστασίας των εν λόγω δεδομένων που προβλέπει η οδηγία 2016/680, η οποία έχει ως αντικείμενο, κατά το άρθρο της 1, να θεσπίσει τους κανόνες που αφορούν την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους.
158 Συγκεκριμένα, εν προκειμένω, μολονότι, δυνάμει της εφαρμοστέας εθνικής νομοθεσίας, δεν διαθέτει ίδιες εξουσίες λήψης αποφάσεως, η Hadopi, όταν επεξεργάζεται, στο πλαίσιο της διαδικασίας κλιμακούμενης απάντησης, δεδομένα προσωπικού χαρακτήρα και λαμβάνει μέτρα, όπως είναι η σύσταση ή η ενημέρωση του υποκειμένου των δεδομένων ότι οι επίμαχες πράξεις μπορεί να συνεπάγονται ποινική δίωξη, πρέπει να χαρακτηρίζεται ως «δημόσια αρχή», κατά την έννοια του άρθρου 3 της οδηγίας 2016/680, η οποία εμπλέκεται στην πρόληψη και τη διερεύνηση των ποινικών αδικημάτων, ήτοι του από βαριά αμέλεια διαπραττόμενου πταίσματος ή του πλημμελήματος της προσβολής δικαιώματος διανοητικής ιδιοκτησίας, και, επομένως, εμπίπτει στο πεδίο εφαρμογής της εν λόγω οδηγίας σύμφωνα με το άρθρο 1 αυτής.
159 Συναφώς, απαντώντας σε ερώτηση που έθεσε το Δικαστήριο εν όψει της επ’ ακροατηρίου συζητήσεως της 5ης Ιουλίου 2022, η Γαλλική Κυβέρνηση επισήμανε ότι, δεδομένου ότι τα μέτρα που η Hadopi λαμβάνει στο πλαίσιο της εφαρμογής της διαδικασίας κλιμακούμενης απάντησης «έχουν προκαταρκτικό ποινικό χαρακτήρα ο οποίος συνδέεται άμεσα με την ένδικη διαδικασία», το σύστημα διαχείρισης των μέτρων για την προστασία των έργων στο διαδίκτυο, το οποίο υλοποιεί η Hadopi, υπόκειται, όπως προκύπτει από τη νομολογία του αιτούντος δικαστηρίου, στις διατάξεις του εθνικού δικαίου περί μεταφοράς της οδηγίας 2016/680 στην εθνική έννομη τάξη.
160 Αντιθέτως, η εν λόγω επεξεργασία δεδομένων από την Hadopi δεν εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ. Συγκεκριμένα, το άρθρο 2, παράγραφος 2, στοιχείο δʹ, του ΓΚΠΔ ορίζει ότι ο εν λόγω κανονισμός δεν εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που πραγματοποιείται από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, συμπεριλαμβανομένης της προστασίας και πρόληψης έναντι κινδύνων που απειλούν τη δημόσια ασφάλεια.
161 Όπως επισήμανε ο γενικός εισαγγελέας στο σημείο 104 των προτάσεών του της 27ης Οκτωβρίου 2022, δεδομένου ότι η Hadopi υποχρεούται, επομένως, να τηρεί την οδηγία 2016/680 στο πλαίσιο της διαδικασίας κλιμακούμενης απάντησης, τα πρόσωπα που αφορά η εν λόγω διαδικασία πρέπει να απολαύουν ενός συνόλου ουσιαστικών και διαδικαστικών εγγυήσεων οι οποίες περιλαμβάνουν το δικαίωμα πρόσβασης, διόρθωσης και διαγραφής των δεδομένων προσωπικού χαρακτήρα που επεξεργάζεται η Hadopi, καθώς και τη δυνατότητα άσκησης προσφυγής ενώπιον ανεξάρτητης αρχής ελέγχου και, ενδεχομένως, εν συνεχεία, ένδικης προσφυγής υπό τις προϋποθέσεις του κοινού δικαίου.
162 Στο πλαίσιο αυτό, από την επίμαχη στην κύρια δίκη εθνική νομοθεσία προκύπτει ότι, στο πλαίσιο της διαδικασίας κλιμακούμενης απάντησης, και ειδικότερα κατά την αποστολή της δεύτερης σύστασης και κατά την επακόλουθη ενημέρωση ότι οι διαπιστωθείσες πράξεις μπορεί να χαρακτηριστούν ως ποινικό αδίκημα, ο αποδέκτης των εν λόγω κοινοποιήσεων απολαύει ορισμένων διαδικαστικών εγγυήσεων, όπως το δικαίωμα να υποβάλει παρατηρήσεις, το δικαίωμα να ζητήσει διευκρινίσεις σχετικά με την παράβαση που του προσάπτεται, καθώς και, όσον αφορά την ενημέρωση, το δικαίωμα να ζητήσει να τύχει ακρόασης και να επικουρείται από δικηγόρο.
163 Εν πάση περιπτώσει, απόκειται στο αιτούν δικαστήριο να εξακριβώσει αν η επίμαχη εθνική ρύθμιση προβλέπει το σύνολο των ουσιαστικών και διαδικαστικών εγγυήσεων που απαιτούνται από την οδηγία 2016/680.
164 Λαμβανομένου υπόψη του συνόλου των ανωτέρω παρατηρήσεων, στα τρία προδικαστικά ερωτήματα πρέπει να δοθεί η απάντηση ότι το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58, ερμηνευόμενο υπό το πρίσμα των άρθρων 7, 8 και 11 καθώς και του άρθρου 52, παράγραφος 1, του Χάρτη, έχει την έννοια ότι δεν αντιτίθεται σε εθνική ρύθμιση η οποία επιτρέπει στη δημόσια αρχή που είναι επιφορτισμένη με την προστασία των δικαιωμάτων πνευματικής ιδιοκτησίας και των συγγενικών δικαιωμάτων από τις προσβολές των εν λόγω δικαιωμάτων οι οποίες διαπράττονται μέσω διαδικτύου να αποκτά πρόσβαση στα δεδομένα τα οποία διατηρούνται από τους παρόχους διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σχετικά με την ταυτότητα και αντιστοιχούν σε διευθύνσεις IP οι οποίες έχουν συλλεγεί προηγουμένως από οργανισμούς δικαιούχων, προκειμένου η δημόσια αρχή να μπορέσει να ταυτοποιήσει τους κατόχους των διευθύνσεων αυτών, οι οποίες χρησιμοποιούνται για δραστηριότητες δυνάμενες να συνιστούν τέτοιες προσβολές, και να μπορέσει να λάβει, κατά περίπτωση, μέτρα εις βάρος τους, υπό την προϋπόθεση ότι, δυνάμει της ρύθμισης αυτής,
– τα εν λόγω δεδομένα διατηρούνται υπό συνθήκες και με τεχνικές μεθόδους που διασφαλίζουν ότι αποκλείεται το ενδεχόμενο η διατήρηση αυτή να παρέχει τη δυνατότητα συναγωγής επακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή των εν λόγω κατόχων, για παράδειγμα μέσω λεπτομερούς προσδιορισμού του προφίλ τους, όπερ μπορεί να επιτευχθεί, ειδικότερα, με την επιβολή στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών της υποχρέωσης διατήρησης των διαφόρων κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως είναι τα στοιχεία ταυτότητας, οι διευθύνσεις IP καθώς και τα δεδομένα κίνησης και θέσης, κατά τρόπο ώστε να διασφαλίζεται ο πράγματι στεγανός διαχωρισμός των διαφόρων αυτών κατηγοριών δεδομένων, εμποδιζομένης, στο στάδιο της διατήρησης, οποιασδήποτε συνδυασμένης αξιοποίησης των διαφόρων κατηγοριών δεδομένων, και για χρονικό διάστημα που δεν υπερβαίνει το απολύτως αναγκαίο,
– η πρόσβαση της εν λόγω δημόσιας αρχής σε τέτοια δεδομένα, τα οποία διατηρούνται χωριστά και με τρόπο πραγματικά στεγανό, χρησιμεύει αποκλειστικά για την ταυτοποίηση του προσώπου ως προς το οποίο υπάρχουν υπόνοιες ότι έχει διαπράξει ποινικό αδίκημα και περιβάλλεται από τις αναγκαίες εγγυήσεις ώστε να αποκλείεται, πλην ιδιαζουσών περιπτώσεων, το ενδεχόμενο η πρόσβαση αυτή να παρέχει τη δυνατότητα συναγωγής επακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή των κατόχων των διευθύνσεων IP, για παράδειγμα μέσω λεπτομερούς προσδιορισμού του προφίλ τους, όπερ συνεπάγεται, ειδικότερα, ότι πρέπει να απαγορεύεται στους υπαλλήλους της δημόσιας αρχής που είναι εξουσιοδοτημένοι να αποκτούν τέτοια πρόσβαση να αποκαλύπτουν, υπό οποιαδήποτε μορφή, πληροφορίες σχετικές με το περιεχόμενο των αρχείων που συμβουλεύονται οι κάτοχοι αυτοί, εκτός αν πρόθεση των εν λόγω υπαλλήλων είναι αποκλειστικώς να επιληφθεί συναφώς η εισαγγελική αρχή, να εντοπίζουν τη διαδρομή πλοήγησης των ως άνω κατόχων και, γενικότερα, να χρησιμοποιούν τις εν λόγω διευθύνσεις IP για άλλο σκοπό πλην αυτού της ταυτοποίησης των κατόχων τους ενόψει της ενδεχόμενης λήψης μέτρων εναντίον τους,
– η δυνατότητα των προσώπων που είναι επιφορτισμένα, εντός της εν λόγω δημόσιας αρχής, με την εξέταση των πραγματικών περιστατικών να συσχετίζουν τα δεδομένα αυτά με τα αρχεία που περιέχουν στοιχεία από τα οποία μπορεί να καταστεί γνωστός ο τίτλος προστατευόμενων έργων, των οποίων η διάθεση στο διαδίκτυο δικαιολόγησε τη συλλογή των διευθύνσεων IP από τους οργανισμούς δικαιούχων, υπόκειται, σε περιπτώσεις περαιτέρω επανάληψης δραστηριότητας που προσβάλλει τα δικαιώματα πνευματικής ιδιοκτησίας ή τα συγγενικά δικαιώματα από το ίδιο πρόσωπο, σε έλεγχο εκ μέρους ανεξάρτητου δικαστηρίου ή ανεξάρτητης διοικητικής οντότητας, ο οποίος δεν μπορεί να είναι πλήρως αυτοματοποιημένος και πρέπει να διενεργείται πριν από την εν λόγω συσχέτιση, δεδομένου ότι, σε τέτοιες περιπτώσεις, η συσχέτιση αυτή ενδέχεται να καταστήσει δυνατή τη συναγωγή επακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή του εν λόγω προσώπου του οποίου η διεύθυνση IP χρησιμοποιήθηκε για δραστηριότητες δυνάμενες να προσβάλουν τα δικαιώματα πνευματικής ιδιοκτησίας ή τα συγγενικά δικαιώματα,
– το σύστημα επεξεργασίας δεδομένων που χρησιμοποιείται από τη δημόσια αρχή ελέγχεται τακτικά από ανεξάρτητο φορέα που έχει την ιδιότητα τρίτου σε σχέση με την εν λόγω δημόσια αρχή, με σκοπό την εξακρίβωση της ακεραιότητας του συστήματος, συμπεριλαμβανομένων των αποτελεσματικών εγγυήσεων κατά των κινδύνων καταχρηστικής ή παράνομης πρόσβασης και χρήσης των δεδομένων αυτών, καθώς και την εξακρίβωση της αποτελεσματικότητας και της αξιοπιστίας του για τον εντοπισμό τυχόν παραβάσεων.
Επί των δικαστικών εξόδων
165 Δεδομένου ότι η παρούσα διαδικασία έχει ως προς τους διαδίκους της κύριας δίκης τον χαρακτήρα παρεμπίπτοντος που ανέκυψε ενώπιον του αιτούντος δικαστηρίου, σ’ αυτό εναπόκειται να αποφανθεί επί των δικαστικών εξόδων. Τα έξοδα στα οποία υποβλήθηκαν όσοι υπέβαλαν παρατηρήσεις στο Δικαστήριο, πλην των ως άνω διαδίκων, δεν αποδίδονται.
Για τους λόγους αυτούς, το Δικαστήριο (ολομέλεια) αποφαίνεται:
Το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία [της] ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες), όπως τροποποιήθηκε με την οδηγία 2009/136/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Νοεμβρίου 2009, ερμηνευόμενο υπό το πρίσμα των άρθρων 7, 8 και 11, καθώς και του άρθρου 52, παράγραφος 1, του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης,
έχει την έννοια ότι:
δεν αντιτίθεται σε εθνική ρύθμιση η οποία επιτρέπει στη δημόσια αρχή που είναι επιφορτισμένη με την προστασία των δικαιωμάτων πνευματικής ιδιοκτησίας και των συγγενικών δικαιωμάτων από τις προσβολές των εν λόγω δικαιωμάτων οι οποίες διαπράττονται μέσω διαδικτύου να αποκτά πρόσβαση στα δεδομένα τα οποία διατηρούνται από τους παρόχους διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σχετικά με την ταυτότητα και αντιστοιχούν σε διευθύνσεις IP οι οποίες έχουν συλλεγεί προηγουμένως από οργανισμούς δικαιούχων, προκειμένου η δημόσια αρχή να μπορέσει να ταυτοποιήσει τους κατόχους των διευθύνσεων αυτών, οι οποίες χρησιμοποιούνται για δραστηριότητες δυνάμενες να συνιστούν τέτοιες προσβολές, και να μπορέσει να λάβει, κατά περίπτωση, μέτρα εις βάρος τους, υπό την προϋπόθεση ότι, δυνάμει της ρύθμισης αυτής,
– τα εν λόγω δεδομένα διατηρούνται υπό συνθήκες και με τεχνικές μεθόδους που διασφαλίζουν ότι αποκλείεται το ενδεχόμενο η διατήρηση αυτή να παρέχει τη δυνατότητα συναγωγής επακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή των εν λόγω κατόχων, για παράδειγμα μέσω λεπτομερούς προσδιορισμού του προφίλ τους, όπερ μπορεί να επιτευχθεί, ειδικότερα, με την επιβολή στους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών της υποχρέωσης διατήρησης των διαφόρων κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως είναι τα στοιχεία ταυτότητας, οι διευθύνσεις IP καθώς και τα δεδομένα κίνησης και θέσης, κατά τρόπο ώστε να διασφαλίζεται ο πράγματι στεγανός διαχωρισμός των διαφόρων αυτών κατηγοριών δεδομένων, εμποδιζομένης, στο στάδιο της διατήρησης, οποιασδήποτε συνδυασμένης αξιοποίησης των διαφόρων κατηγοριών δεδομένων, και για χρονικό διάστημα που δεν υπερβαίνει το απολύτως αναγκαίο,
– η πρόσβαση της εν λόγω δημόσιας αρχής σε τέτοια δεδομένα, τα οποία διατηρούνται χωριστά και με τρόπο πραγματικά στεγανό, χρησιμεύει αποκλειστικά για την ταυτοποίηση του προσώπου ως προς το οποίο υπάρχουν υπόνοιες ότι έχει διαπράξει ποινικό αδίκημα και περιβάλλεται από τις αναγκαίες εγγυήσεις ώστε να αποκλείεται, πλην ιδιαζουσών περιπτώσεων, το ενδεχόμενο η πρόσβαση αυτή να παρέχει τη δυνατότητα συναγωγής επακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή των κατόχων των διευθύνσεων IP, για παράδειγμα μέσω λεπτομερούς προσδιορισμού του προφίλ τους, όπερ συνεπάγεται, ειδικότερα, ότι πρέπει να απαγορεύεται στους υπαλλήλους της δημόσιας αρχής που είναι εξουσιοδοτημένοι να αποκτούν τέτοια πρόσβαση να αποκαλύπτουν, υπό οποιαδήποτε μορφή, πληροφορίες σχετικές με το περιεχόμενο των αρχείων που συμβουλεύονται οι κάτοχοι αυτοί, εκτός αν πρόθεση των εν λόγω υπαλλήλων είναι αποκλειστικώς να επιληφθεί συναφώς η εισαγγελική αρχή, να εντοπίζουν τη διαδρομή πλοήγησης των ως άνω κατόχων και, γενικότερα, να χρησιμοποιούν τις εν λόγω διευθύνσεις IP για άλλο σκοπό πλην αυτού της ταυτοποίησης των κατόχων τους ενόψει της ενδεχόμενης λήψης μέτρων εναντίον τους,
– η δυνατότητα των προσώπων που είναι επιφορτισμένα, εντός της εν λόγω δημόσιας αρχής, με την εξέταση των πραγματικών περιστατικών να συσχετίζουν τα δεδομένα αυτά με τα αρχεία που περιέχουν στοιχεία από τα οποία μπορεί να καταστεί γνωστός ο τίτλος προστατευόμενων έργων, των οποίων η διάθεση στο διαδίκτυο δικαιολόγησε τη συλλογή των διευθύνσεων IP από τους οργανισμούς δικαιούχων, υπόκειται, σε περιπτώσεις περαιτέρω επανάληψης δραστηριότητας που προσβάλλει τα δικαιώματα πνευματικής ιδιοκτησίας ή τα συγγενικά δικαιώματα από το ίδιο πρόσωπο, σε έλεγχο εκ μέρους ανεξάρτητου δικαστηρίου ή ανεξάρτητης διοικητικής οντότητας, ο οποίος δεν μπορεί να είναι πλήρως αυτοματοποιημένος και πρέπει να διενεργείται πριν από την εν λόγω συσχέτιση, δεδομένου ότι, σε τέτοιες περιπτώσεις, η συσχέτιση αυτή ενδέχεται να καταστήσει δυνατή τη συναγωγή επακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή του εν λόγω προσώπου του οποίου η διεύθυνση IP χρησιμοποιήθηκε για δραστηριότητες δυνάμενες να προσβάλουν τα δικαιώματα πνευματικής ιδιοκτησίας ή τα συγγενικά δικαιώματα,
– το σύστημα επεξεργασίας δεδομένων που χρησιμοποιείται από τη δημόσια αρχή ελέγχεται τακτικά από ανεξάρτητο φορέα που έχει την ιδιότητα τρίτου σε σχέση με την εν λόγω δημόσια αρχή, με σκοπό την εξακρίβωση της ακεραιότητας του συστήματος, συμπεριλαμβανομένων των αποτελεσματικών εγγυήσεων κατά των κινδύνων καταχρηστικής ή παράνομης πρόσβασης και χρήσης των δεδομένων αυτών, καθώς και την εξακρίβωση της αποτελεσματικότητας και της αξιοπιστίας του για τον εντοπισμό τυχόν παραβάσεων.
(υπογραφές)