Language of document : ECLI:EU:C:2021:940

Foreløbig udgave

FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

M. CAMPOS SÁNCHEZ-BORDONA

fremsat den 18. november 2021(1)

Forenede sager C-339/20 og C-397/20

VD (sag C-339/20)

SR (sag C-397/20)

(anmodning om præjudiciel afgørelse indgivet af Cour de cassation (kassationsdomstol, Frankrig))

»Præjudiciel forelæggelse – insiderhandel og kursmanipulation – direktiv 2003/6/EF – artikel 12, stk. 2, litra a) og d) – forordning (EU) nr. 596/2014 – artikel 23, stk. 2, litra g) og h) – direktiv 2002/58/EF – artikel 15, stk. 1 – de kompetente myndigheders overvågnings- og undersøgelsesbeføjelser – de kompetente myndigheders beføjelse til at kræve foreliggende fortegnelser over telefontrafik og udvekslede oplysninger – national lovgivning, der pålægger operatører inden for elektronisk kommunikation en midlertidig, men generel lagring af forbindelsesdata«






1.        De anmodninger om præjudiciel afgørelse, der er blevet forenet i denne sag, er tæt forbundet med de tilsvarende anmodninger i sag C-793/19, SpaceNet, C-794/19, Telekom Deutschland, og sag C-140/20, Commissioner of the Garda Síochána m.fl., i hvilke sager jeg også afgiver mit forslag til afgørelse i dag (2).

2.        I forslaget til afgørelse i sagen SpaceNet og Telekom Deutschland og i sagen Commissioner of the Garda Síochána har jeg anført grundene til, at jeg har foreslået Domstolen at besvare Bundesverwaltungsgericht (forbundsdomstol i forvaltningsretlige sager, Tyskland) og Supreme Court (øverste domstol, Irland) i tråd med den praksis vedrørende direktiv 2002/58/EF (3), der er blevet »sammenfattet« i dommen i sagen La Quadrature du Net (4).

3.        Det forholder sig imidlertid således, at de to anmodninger om præjudiciel afgørelse, som Cour de cassation (kassationsdomstol, Frankrig) har forelagt Domstolen, ikke direkte vedrører direktiv 2002/58, men derimod direktiv 2003/6/EF (5) og forordning (EU) nr. 596/2014 (6).

4.        Det, som disse to sager omhandler, er imidlertid i det væsentlige det samme som i de to andre nævnte præjudicielle forelæggelser, nærmere bestemt spørgsmålet, om medlemsstaterne kan indføre en forpligtelse til at foretage generel og udifferentieret lagring af trafikdata i forbindelse med elektronisk kommunikation (7).

5.        Selv om denne sag omhandler direktiv 2003/6 og forordning nr. 596/2014 (som har til formål at bekæmpe transaktioner, der kan kvalificeres som markedsmisbrug (8)), er jeg derfor af den opfattelse, at Domstolens praksis, som blev sammenfattet i dommen i sagen La Quadrature du Net, finder anvendelse i denne sammenhæng.

I.      Retsforskrifter

A.      EU-retten

1.      Direktiv 2002/58

6.        Artikel 1 (»Anvendelsesområde og formål«) har følgende ordlyd:

»1.      Dette direktiv tager sigte på en harmonisering af nationale bestemmelser, der er nødvendig for at sikre et ensartet niveau i beskyttelsen af de grundlæggende rettigheder og frihedsrettigheder og navnlig retten til privatliv og fortrolighed i forbindelse med behandling af personoplysninger inden for den elektroniske kommunikationssektor, og for at sikre fri omsætning af sådanne oplysninger og af elektronisk kommunikationsudstyr og elektroniske kommunikationstjenester i [Unionen].

2.      Med henblik på at nå de i stk. 1 omhandlede mål specificerer og supplerer dette direktivs bestemmelser [Europa-Parlamentets og Rådets direktiv 95/46/EF af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31)]. Nærværende bestemmelser beskytter desuden legitime interesser hos abonnenter, der er juridiske personer.

3.      Dette direktiv gælder ikke for aktiviteter, der ikke er omfattet af [EUF-traktaten], som f.eks. de aktiviteter, der er omfattet af afsnit V og VI i traktaten om Den Europæiske Union, og under ingen omstændigheder for aktiviteter, der vedrører den offentlige sikkerhed, forsvaret, statens sikkerhed (herunder statens økonomiske interesser, når disse aktiviteter er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område.«

7.        Artikel 2 (»Definitioner«) bestemmer:

»Medmindre andet angives, gælder i dette direktiv de definitioner, der er fastsat i direktiv 95/46/EF og Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester (rammedirektivet) [(EFT 2002, L 108, s. 33].

Følgende definitioner anvendes også:

[...]

b)      »trafikdata«: data, som behandles med henblik på overføring af kommunikation i et elektronisk kommunikationsnet eller debitering heraf

c)      »lokaliseringsdata«: data, som behandles i et elektronisk kommunikationsnet eller af en elektronisk kommunikationstjeneste og angiver den geografiske placering af det terminaludstyr, som brugeren af en offentligt tilgængelig elektronisk kommunikationstjeneste anvender

[...]«.

8.        Artikel 15, stk. 1, foreskriver:

»Medlemsstaterne kan vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i artikel 5, artikel 6, artikel 8, stk. 1, 2, 3 og 4, og artikel 9, hvis en sådan indskrænkning er nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv 95/46/EF. Med henblik herpå kan medlemsstaterne bl.a. vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke. Alle i dette stykke omhandlede forskrifter skal være i overensstemmelse med fællesskabsrettens generelle principper, herunder principperne i EU-traktatens artikel 6, stk. 1 og 2.«

2.      Direktiv 2003/6

9.        Artikel 11 bestemmer:

»Uden at det påvirker retsmyndighedernes kompetence, udpeger hver medlemsstat en enkelt administrativ myndighed med kompetence til at sikre anvendelsen af bestemmelser vedtaget i medfør af dette direktiv.

[...]«.

10.      Artikel 12 har følgende ordlyd:

»1.      Den kompetente myndighed tillægges alle de nødvendige tilsyns- og undersøgelsesbeføjelser, for at den kan udøve sine funktioner. [...]

2.      Med forbehold af artikel 6, stk. 7, udøves de i denne artikels stk. 1 omhandlede beføjelser i henhold til national ret og omfatter mindst retten til

a)      at få adgang til ethvert dokument i enhver form og at modtage en kopi deraf

[...]

d)      at kræve oplysninger om foreliggende telefonsamtaler og foreliggende datatrafik

[...]«.

3.      Forordning nr. 596/2014

11.      Forordningen indeholder følgende relevante betragtninger:

»(1)      Et egentligt indre marked for finansielle tjenesteydelser er af væsentlig betydning for den økonomiske vækst og jobskabelsen i Unionen.

(2)      Et integreret, effektivt og gennemsigtigt finansielt marked forudsætter markedsintegritet. Det er en betingelse for økonomisk vækst og velstand, at værdipapirmarkederne fungerer gnidningsløst, og at offentligheden har tillid til markederne. Markedsmisbrug skader de finansielle markeders integritet og offentlighedens tillid til værdipapirer og derivater.

[...]

(62)      Det vil sikre et effektivt tilsyn, at de kompetente myndigheder i medlemsstaterne får effektive hjælpemidler og beføjelser og ressourcer. Derfor fastsætter denne forordning navnlig et sæt minimumsbeføjelser vedrørende tilsyn og undersøgelse, som medlemsstaternes kompetente myndigheder bør tillægges efter national ret. Disse beføjelser bør, når den nationale ret kræver det, udøves ved begæring til de kompetente retslige myndigheder. [...]

[...]

(65)      Eksisterende optagelser af telefonsamtaler og fortegnelser over datatrafik fra investeringsselskaber, kreditinstitutter og finansieringsinstitutter, der gennemfører og dokumenterer gennemførelsen af transaktioner, såvel som eksisterende fortegnelser over telefon- og datatrafik fra telekommunikationsoperatører, udgør yderst vigtigt — og undertiden det eneste — bevismateriale, der kan afsløre og bevise insiderhandel og markedsmanipulation. Fortegnelser over telefon- og datatrafik kan fastslå identiteten af en person, som er ansvarlig for videregivelse af urigtige eller vildledende oplysninger, eller at personer har været i kontakt med hinanden på et bestemt tidspunkt, og at der er en forbindelse mellem to eller flere personer. De kompetente myndigheder bør derfor kunne kræve at få udleveret eksisterende optagelser af telefonsamtaler og fortegnelser over elektronisk kommunikation og datatrafik fra et investeringsselskab, et kreditinstitut eller et finansieringsinstitut i overensstemmelse med direktiv 2014/65/EU. Det er nødvendigt at have adgang til oplysninger om telefonsamtaler og datatrafik for at kunne tilvejebringe dokumentation for og undersøge spor i forbindelse med mulig insiderhandel og markedsmanipulation og dermed kunne afsløre og pålægge sanktioner for markedsmisbrug. [...] Adgangen til fortegnelser over telefon- og datatrafik, der opbevares af en telekommunikationsoperatør, omfatter ikke adgang til indholdet af talekommunikation via telefon.

(66)      Selv om denne forordning specificerer et sæt minimumsbeføjelser, som kompetente myndigheder bør have, skal disse beføjelser udøves inden for et komplet system af national lovgivning, som sikrer respekten for grundlæggende rettigheder, herunder retten til privatlivets fred. Medlemsstaterne bør med henblik på udøvelsen af disse beføjelser, som kan udmønte sig i alvorlige indgreb i retten til respekt for privat- og familieliv, hjemmet og kommunikation, have passende og effektive beskyttelsesmekanismer mod misbrug, for eksempel, hvor det er relevant, et krav om at opnå forudgående tilladelse fra en berørt medlemsstats domstolsmyndigheder. Medlemsstaterne bør give mulighed for, at kompetente myndigheder kan udøve sådanne indgribende beføjelser i det omfang, det er nødvendigt for en ordentlig undersøgelse af alvorlige sager, hvor der ikke findes tilsvarende midler til reelt at opnå samme resultat.

[...]

(77)      Denne forordning respekterer de grundlæggende rettigheder og overholder de principper, der er nedfældet i Den Europæiske Unions charter om grundlæggende rettigheder (charteret). Denne forordning skal følgelig fortolkes og anvendes i overensstemmelse med disse rettigheder og principper. [...]

[...]«.

12.      Artikel 1 (»Genstand«) bestemmer:

»Denne forordning fastsætter et fælles regelsæt for insiderhandel, uretmæssig videregivelse af intern viden og markedsmanipulation samt for foranstaltninger til at forhindre markedsmanipulation (markedsmisbrug) for at sikre de finansielle markeders integritet i Unionen og forbedre investorbeskyttelsen og tilliden til disse markeder.«

13.      Det anføres i artikel 3 (»Definitioner«), nr. 27), at der ved »fortegnelser over datatrafik« forstås »fortegnelser over trafikdata som defineret i artikel 2, stk. 2, litra b), i Europa-Parlamentets og Rådets direktiv 2002/58[...]«.

14.      Artikel 22 (»Kompetente myndigheder«) bestemmer:

»Uden at det påvirker retsmyndighedernes kompetence, udpeger hver medlemsstat en enkelt administrativ kompetent myndighed med henblik på anvendelsen af denne forordning [...].«

15.      Artikel 23 (»De kompetente myndigheders beføjelser«) har følgende ordlyd:

»[...]

2.      »I overensstemmelse med national lovgivning tillægges de kompetente myndigheder som minimum tilsyns- og undersøgelsesbeføjelser til følgende:

a)      at have adgang til ethvert dokument eller andre data i enhver form og få udleveret eller tage en kopi deraf

[...]

g)      at kræve at få udleveret optagelser af telefonsamtaler, elektronisk kommunikation eller fortegnelse over datatrafik hos investeringsselskaber, kreditinstitutter eller finansieringsinstitutter

h)      at kræve, såfremt det er tilladt i henhold til national ret, at få udleveret fortegnelser over datatrafik hos en telekommunikationsoperatør, når der er begrundet mistanke om en overtrædelse, og når sådanne fortegnelser kan være af relevans for undersøgelsen af en overtrædelse af artikel 14, litra a) eller b), eller artikel 15

[...]

3.      Medlemsstaterne sørger for, at der træffes passende foranstaltninger, således at de kompetente myndigheder har alle de tilsyns- og undersøgelsesbeføjelser, der er nødvendige for, at de kan varetage deres opgaver.

[...]

4.      En person, der stiller oplysninger til rådighed for den kompetente myndighed i overensstemmelse med denne forordning, anses ikke for at have overtrådt nogen af de fortrolighedskrav, som måtte være fastlagt ved kontrakter, love eller administrative bestemmelser, og er ikke på nogen måde ansvarspådragende for personen, der foretager indberetningen.«

16.      Artikel 28 (»Databeskyttelse«) bestemmer:

»For så vidt angår medlemsstaternes behandling af personoplysninger inden for rammerne af denne forordning, skal de kompetente myndigheder udføre deres opgaver i forbindelse med denne forordning i overensstemmelse med de nationale love eller administrative bestemmelser, der gennemfører direktiv 95/46/EF. Hvad angår [Den Europæiske Værdipapir- og Markedstilsynsmyndigheds (ESMA)] behandling af personoplysninger inden for rammerne af denne forordning, finder bestemmelserne i [Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (EFT L 8, s. 1)] anvendelse.

Personoplysninger må højst opbevares i fem år.«

B.      National ret

1.      Code monétaire et financier (lov om monetære og finansielle anliggender, herefter »CMF«)

17.      CMF’s artikel L. 621-10, stk. 1, i den affattelse, der fandt anvendelse på tidspunktet for de faktiske omstændigheder, bestemte:

»Efterforskerne og inspektørerne kan til undersøgelsen eller tilsynet kræve alle dokumenter udleveret, uanset hvilket medie de er lagret på. Efterforskerne kan ligeledes indhente data, der er lagret og behandlet af telekommunikationsoperatørerne i henhold til artikel L. 34-1 i code des postes et des communications électroniques (lov om postvæsen og elektronisk kommunikation, herefter »CPCE«) og de i artikel 6, stk. I, nr. 1 og 2, i loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (lov nr. 2004-575 af 21.6.2004 om tillid til den digitale økonomi) omhandlede tjenesteydere, og kræve udleveret en kopi deraf.«

18.      CMF’s artikel L. 621-10-2 i den affattelse, der finder anvendelse på sagen, fastsætter:

»Med efterforskning af markedsmisbrug [...] kan efterforskerne indhente data, der er lagret og behandlet af telekommunikationsoperatørerne i henhold til de i artikel L. 34-1 i [CPCE] fastsatte betingelser og begrænsninger og af de i artikel 6, stk. I, nr. 1 og 2, i [lov nr. 2004-575] nævnte låntagere.

Videregivelse af de i denne artikels stk. 1 nævnte data er genstand for en forudgående tilladelse fra en kontrollør af ansøgninger om adgang til forbindelsesdata.

[...]«.

2.      CPCE

19.      CPCE’s artikel L. 34-1 i den affattelse, der fandt anvendelse på tidspunktet for de faktiske omstændigheder, har følgende ordlyd:

»[...]

II.      Operatørerne inden for elektronisk kommunikation skal slette eller anonymisere samtlige trafikdata, jf. dog bestemmelserne i stk. III [...]

[...]

III.      Med henblik på at efterforske, afsløre og retsforfølge strafbare handlinger [...] kan de transaktioner, der har til formål at slette eller anonymisere bestemte kategorier af tekniske data, udskydes i op til et år. [...]

[...]

VI.      De data, der lagres og behandles under de i stk. III, IV og V fastsatte betingelser, omfatter udelukkende identifikationen af brugerne af de af operatørerne leverede tjenester, de tekniske egenskaber for den kommunikation, der stilles til rådighed af sidstnævnte, og lokaliseringen af terminaludstyret.

De må i intet tilfælde omfatte indholdet af den udvekslede korrespondance eller de oplysninger, hvorom der er forespurgt – i en hvilken som helst form – i forbindelse med den pågældende kommunikation.

[...]«.

20.      CPCE’s artikel R. 10-13 fastsatte:

»I.      Operatører inden for elektronisk kommunikation har i henhold til artikel L. 34-1, stk. III, pligt til af hensyn til efterforskning, afsløring og retsforfølgning af strafbare handlinger at lagre:

a)      oplysninger, der gør det muligt at fastslå brugerens identitet

b)      oplysninger om det anvendte terminaludstyr

c)      de tekniske kendetegn samt dato, tidspunkt og varighed af hver kommunikation

d)      oplysninger vedrørende de supplerende tjenester, der er anmodet om eller anvendt, samt leverandørerne heraf

e)      oplysninger, der gør det muligt at fastslå identiteten på den eller de modtagere, som kommunikationen er rettet til.

II.      I forbindelse med telefonitjenester skal operatøren lagre de i stk. II nævnte oplysninger og de oplysninger, der kan bidrage til at fastslå kommunikationens oprindelse og lokaliseringen heraf.

III.      De i denne artikel nævnte oplysninger skal lagres i et år, regnet fra den dato, hvor de er blevet registreret.

[...]«.

21.      Den forelæggende ret har præciseret, at disse forbindelsesdata er data, der er genereret eller bearbejdet efter en kommunikation, og som vedrører omstændighederne omkring denne og brugerne af tjenesten, dog ikke oplysninger om kommunikationens indhold.

II.    De faktiske omstændigheder, hovedsagerne og de præjudicielle spørgsmål

22.      De faktiske omstændigheder, der ligger til grund for disse to præjudicielle forelæggelser, er i det væsentlige sammenfaldende.

23.      Ved en begæring om forundersøgelse af 22. maj 2014 blev der iværksat en forundersøgelse vedrørende forholdene insiderhandel og hæleri.

24.      Den 23. og den 25. september 2015 indgav l’Autorité des marchés financiers (det franske finanstilsyn, herefter »AMF«) en anmeldelse til anklagemyndigheden sammen med dokumenter, der hidrørte fra den nævnte myndigheds undersøgelse, som bl.a. omfattede personoplysninger vedrørende anvendelsen af telefontjenester.

25.      De ansvarlige i AMF baserede indsamlingen af dataene vedrørende anvendelsen af disse telefontjenester på CMF’s artikel L. 621-10.

26.      På baggrund af denne anmeldelse blev forundersøgelsen udvidet ved tre supplerende begæringer af 29. september 2015, 22. december 2015 og 23. november 2016 til at omfatte bestemte værdipapirer og andre finansielle instrumenter med forbindelse til disse til samme overtrædelser og til overtrædelserne medvirken, korruption og hvidvask.

27.      VD og SR, som blev sigtet for insiderhandel og hvidvask vedrørende disse værdipapirer, indgav stævninger med påstand om ugyldighed og om annullation af procesakter på grund af en tilsidesættelse af bl.a. chartrets artikel 7, 8, 11 og 52 og af artikel 15 i direktiv 2002/58.

28.      De sigtede, som ikke fik medhold ved dom af henholdsvis 20. december 2018 og 7. marts 2019 afsagt af chambre de l’instruction de la cour d’appel de Paris, 2e section (appeldomstolen i Paris, undersøgelsesafdelingen, 2. afdeling, Frankrig), har iværksat appel til prøvelse af disse domme ved Cour de cassation (kassationsdomstol), som har forelagt Domstolen følgende præjudicielle spørgsmål:

»1)      Indebærer artikel 12, stk. 2, litra a) og d), i [...] direktiv 2003/6[...] samt artikel 23, stk. 2, litra g) og h), i [...] forordning [...] nr. 596/2014 [...], sammenholdt med 65. betragtning til denne forordning, ikke – henset til den omstændighed, at de udvekslede oplysninger er hemmelige, og den store del af offentligheden, der kan blive involveret – at den nationale lovgiver har mulighed for at pålægge operatører inden for elektronisk kommunikation en midlertidig, men generel lagring af forbindelsesdata for at give den i direktivets artikel 11 og forordningens artikel 22 omhandlede administrative myndighed mulighed for, når der i forhold til visse personer er begrundet mistanke om, at de er involveret i insiderhandel eller kursmanipulation, at kræve, at operatøren udleverer de foreliggende fortegnelser over datatrafik, såfremt der er begrundet mistanke om, at disse fortegnelser med tilknytning til genstanden for undersøgelsen kan være relevante for at bevise overtrædelsen, bl.a. ved at give mulighed for at spore de pågældendes kontakter, før mistanken opstod?

2)      Såfremt Domstolens besvarelse af det første spørgsmål måtte foranledige Cour de cassation [kassationsdomstol] til at fastslå, at den franske lovgivning om lagring af forbindelsesdata ikke er i overensstemmelse med EU-retten, kan virkningerne af denne lovgivning da midlertidigt opretholdes for at forhindre retsusikkerhed og give mulighed for, at de data, som tidligere er indsamlet og lagret, anvendes til et af de i denne lovgivning omhandlede formål?

3)       Kan en national domstol midlertidigt opretholde virkningerne af en lovgivning, som giver de ansvarlige i en uafhængig administrativ myndighed, der har til opgave at foretage undersøgelser vedrørende markedsmisbrug, mulighed for at få adgang til forbindelsesdata uden forudgående kontrol foretaget af en domstol eller af en anden uafhængig administrativ myndighed?«

III. Retsforhandlingerne for Domstolen

29.      Anmodningerne om præjudiciel afgørelse indgik til Domstolen henholdsvis den 24. juli 2020 og den 20. august 2020.

30.      VD, SR, den spanske, den estiske og den franske regering, Irland, den polske og den portugisiske regering samt Europa-Kommissionen har afgivet skriftlige indlæg.

31.      VD, SR, den franske, den danske, den estiske og den spanske regering, Irland, Europa-Kommissionen og Den Europæiske Tilsynsførende for Databeskyttelse deltog i retsmødet den 14. september 2021.

IV.    Bedømmelse

A.      Indledende betragtninger

32.      Den relevante nationale lovgivning i disse to sager har været genstand for visse nationale domstolsafgørelser, som bør nævnes.

1.      Conseil constitutionnels (forfatningsråd, Frankrig) dom af 21. juli 2017

33.      Den forelæggende ret har fremhævet, at CMF’s artikel L. 621-10, stk. 1, blev erklæret forfatningsstridig ved Conseil constitutionnels (forfatningsråd) dom af 21. juli 2017 (9).

34.      Conseil constitutionnel (forfatningsråd) udsatte imidlertid virkningerne af erklæringen om forfatningsstridighed til den 31. december 2018.

35.      I mellemtiden tilføjede den nationale lovgiver artikel L. 621-10-2 til CMF, hvorved der indførtes en ordning for forudgående tilladelse fra en uafhængig administrativ myndighed som betingelse for at kunne få adgang til forbindelsesdata.

36.      Den forelæggende ret har anført følgende:

–      På grund af udsættelsen af virkningerne af erklæringen om forfatningsstridighed med hensyn til CMF’s artikel L. 621-10 – som var gældende på tidspunktet for de faktiske omstændigheder i de pågældende sager – kan det ikke fastslås, at den nævnte bestemmelse er ugyldig (10).

–      For så vidt som denne bestemmelse ikke betingede adgangen til forbindelsesdata af en forudgående kontrol foretaget af en domstol eller en anden uafhængig administrativ myndighed, »var [den] derimod ikke i overensstemmelse med kravene i artikel 7, 8 og 11 i [chartret] som fortolket af Domstolen« (11).

37.      I denne situation har Cour de cassation (kassationsdomstol) konkluderet, at »[d]et eneste spørgsmål, som rejses, vedrører muligheden for en tidsmæssig udsættelse af konsekvenserne af, at artikel L. 621-10 i [CMF] er konventionsstridig« (12).

38.      Den forelæggende ret ønsker således ikke oplyst, om CMF’s artikel L. 621-10 er forenelig med EU-retten, men derimod blot, om det, på baggrund af den omstændighed, at denne bestemmelse er uforenelig med flere af chartrets bestemmelser, ligesom det er sket i den nationale ret med virkningerne af erklæringen om forfatningsstridighed med hensyn til den nævnte bestemmelse, også er muligt at udsætte retsvirkningerne af, at den er uforenelig med EU-retten. Dette er genstanden for det tredje præjudicielle spørgsmål.

2.      Conseil d’États (øverste domstol i forvaltningsretlige sager, Frankrig) dom af 21. april 2021

39.      Efter forelæggelsen af disse to anmodninger om præjudiciel afgørelse afsagde Conseil d’État (øverste domstol i forvaltningsretlige sager) dom den 21. april 2021 (13) i den sag, i forbindelse med hvilken den anmodning om præjudiciel afgørelse, der gav anledning til dommen i sagen La Quadrature du Net, blev forelagt Domstolen.

40.      I den nævnte dom har Conseil d’État (øverste domstol i forvaltningsretlige sager) valgt at udelukke anvendelsen af CPCE’s artikel L. 34-1 og pålægge regeringen at ophæve CPCE’s artikel R. 10-13 inden for en frist på seks måneder, for så vidt som disse bestemmelser ikke behørigt begrænser formålene for forpligtelsen til at foretage generel og udifferentieret lagring af trafikdata og lokaliseringsdata (14).

41.      Conseil d’État (øverste domstol i forvaltningsretlige sager) har anført, at de i denne sag omtvistede nationale bestemmelser overholder direktiv 2002/58. Efter den nævnte domstols opfattelse fremgår det af Domstolens svar i dommen i sagen La Quadrature du Net, at der enten skulle ses bort fra (écarter) disse bestemmelser (nærmere bestemt CPCE’s artikel L. 34-1) (15) i hovedsagen, eller at disse bestemmelser (nærmere bestemt CPCE’s artikel R. 10-13) skulle ophæves (16).

42.      Den betydning, som dommen i sagen La Quadrature du Net har i forbindelse med besvarelsen af det første præjudicielle spørgsmål i disse præjudicielle forelæggelser, er derfor større, eftersom der i den nævnte dom bl.a. blev taget hensyn til CPCE’s artikel R. 10-13 (17), som sammen med CPCE’s artikel L. 34-I er afgørende for anvendelsen af CMF’s artikel L. 621-10.

43.      Jeg bør fremhæve, at de ansvarlige i den administrative myndighed netop baserede indsamlingen af dataene vedrørende den anvendelse af telefontjenester, som de mistænkte for de overtrædelser, der var genstand for efterforskningen af et muligt markedsmisbrug, havde foretaget, på CMF’s artikel L. 621-10.

3.      Har anmodningerne om præjudiciel afgørelse mistet deres genstand?

44.      Den forelæggende ret ønsker som nævnt oplyst, om den omtvistede nationale lovgivning er forenelig med direktiv 2003/6 og med forordning nr. 596/2014, for så vidt som disse to retsakter kan tilvejebringe et specifikt grundlag for forpligtelsen til at lagre data, der adskiller sig fra det grundlag, der er indeholdt i direktiv 2002/58.

45.      Hvis det forholder sig således, er jeg af den opfattelse, at anmodningerne om præjudiciel afgørelse ikke har mistet deres genstand på trods af den indvirkning, som de ovennævnte domme fra de franske retter kan have på denne nationale lovgivning:

–      Dels kan det ikke afvises, at CPCE’s artikel R. 10-13 i henhold til national ret kan have en indvirkning på hovedsagerne, hvilket det tilkommer den forelæggende ret at afgøre.

–      Dels indebærer det påbud, som Conseil d’État (øverste domstol i forvaltningsretlige sager) har rettet til regeringen, ud over pligten til formelt at ophæve den nævnte bestemmelse, en række retningslinjer for så vidt angår de betingelser, som den lovgivning, der vedtages som erstatning for den, der skal ophæves, skal opfylde (18).

46.      Conseil d’État (øverste domstol i forvaltningsretlige sager) har nærmere bestemt ikke blot pålagt regeringen at ophæve CPCE’s artikel R. 10-13 inden for en frist på seks måneder, men har derimod udtrykkeligt pålagt den at »begrænse de formål, som disse artikler forfølger, og tilpasse regelsættet for lagring af forbindelsesdata« (19).

47.      Domstolens afgørelse med hensyn til realiteten kan således være nyttig for den forelæggende ret, eftersom:

–      Lagring af trafikdata i teorien kan have et retsgrundlag i form af direktiv 2003/6 og forordning nr. 596/2014, der er selvstændigt og anderledes i forhold til det retsgrundlag, som direktiv 2002/58 tilbyder.

–      Direktiv 2003/6 og forordning nr. 596/2014 kan medføre særlige og specifikke betingelser for så vidt angår formålene med lagringen af data.

B.      Det første præjudicielle spørgsmål

48.      Det første præjudicielle spørgsmål vedrører artikel 12, stk. 2, litra a) og d), i direktiv 2003/6 og artikel 23, stk. 2, litra g) og h), i forordning nr. 596/2014.

49.      Disse bestemmelser tillader, at de kompetente administrative myndigheder hos virksomheder inden for elektronisk kommunikation (og i givet fald hos investeringsselskaber, kreditinstitutter eller finansieringsinstitutter) kræver oplysninger om/fortegnelser over (20) foreliggende telefonsamtaler og foreliggende datatrafik, når der er begrundet mistanke om en overtrædelse, og når sådanne oplysninger/fortegnelser kan være af relevans for disse myndigheders undersøgelse.

50.      Det, som den forelæggende ret har lagt til grund, er, at adgangen til disse oplysninger/fortegnelser forudsætter, at »den nationale lovgiver har mulighed for at pålægge operatører inden for elektronisk kommunikation en midlertidig, men generel lagring af forbindelsesdata for at give den [...] administrative myndighed mulighed for [...] at kræve, at operatøren udleverer de foreliggende fortegnelser over datatrafik, [...] bl.a. ved at give mulighed for at spore de pågældendes kontakter, før mistanken opstod«.

51.      Med hensyn til forpligtelsen til at foretage en generel og udifferentieret lagring af forbindelsesdata på andre områder end den nationale sikkerhed (for så vidt som det er relevant her, i forbindelse med kampen mod markedsmisbrug) finder Domstolens praksis, som er sammenfattet i dommen i sagen La Quadrature du Net, imidlertid fuld anvendelse.

1.      Foreligger der et selvstændigt retsgrundlag for forpligtelsen til at lagre data i direktiv 2003/6 og i forordning nr. 596/2014?

52.      Praksis efter dommen i sagen La Quadrature du Net er ganske vist blevet fastlagt i forbindelse med direktiv 2002/58, mens de bestemmelser, som Cour de cassation (kassationsdomstol) har nævnt her, er direktiv 2003/6 og forordning nr. 596/2014.

53.      Direktiv 2002/58 udgør imidlertid referencebestemmelsen for så vidt angår »behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor«, således som dette direktivs titel vidner om.

54.      Såvel direktiv 2003/6 (som omhandler insiderhandel og kursmanipulation) som forordning nr. 596/2014 (om markedsmisbrug) indeholder bestemmelser, der ligesom de i det første spørgsmål i disse præjudicielle forelæggelser nævnte bestemmelser omhandler behandlingen af oplysningerne om/fortegnelserne over datatrafik.

55.      Der er derfor tale om bestemmelser, der i denne specifikke sammenhæng, idet de alene skal anvendes henset til deres hensigt og formål, skal fortolkes inden for rammerne af den ordning, der blev indført ved direktiv 2002/58.

56.      Dette følger efter min opfattelse af artikel 12, stk. 2, litra d), i direktiv 2003/6 og artikel 23, stk. 2, litra g) og h), i forordning nr. 596/2014:

–      Den første af disse bestemmelser omhandler retten til »at kræve oplysninger om [...] foreliggende datatrafik« (21)

–      Artikel 23, stk. 2, litra g), i forordning nr. 596/2014 vedrører »[foreliggende] optagelser af telefonsamtaler, elektronisk kommunikation eller fortegnelse over datatrafik hos investeringsselskaber, kreditinstitutter eller finansieringsinstitutter« (22)

–      endelig nævner samme artikel 23, litra h), også »[foreliggende] fortegnelser over datatrafik hos en telekommunikationsoperatør« (23).

57.      Efter min opfattelse giver ingen af disse bestemmelser særlige beføjelser – ud over de i direktiv 2002/58 omhandlede – til at lagre data. De tillader blot, at de kompetente myndigheder får adgang til de lagrede (foreliggende) data i overensstemmelse med den lovgivning, der generelt regulerer behandlingen af disse personoplysninger inden for den elektroniske kommunikationssektor, dvs. direktiv 2002/58.

58.      Heller ikke artikel 28 i forordning nr. 596/2014 (som den forelæggende ret i øvrigt ikke ønsker fortolket) kan anføres som et angiveligt selvstændigt retsgrundlag for at pålægge forpligtelsen til at lagre data på dette område.

59.      Under overskriften »Databeskyttelse« fremgår nedenstående af denne artikel, atter med hensyn til »behandling af personoplysninger«:

–      Denne artikel bekræfter retten og samtidig forpligtelsen hos de kompetente myndigheder til at udføre »deres opgaver i forbindelse med denne forordning i overensstemmelse med de nationale love eller administrative bestemmelser, der gennemfører direktiv 95/46/EF«.

–      Den nævner ikke den forpligtelse til at lagre data (24), som virksomheder inden for elektronisk kommunikation er pålagt, men henviser blot til direktiv 95/46 (25) med hensyn til beskyttelsen af disse.

60.      Den omstændighed, at direktiv 2003/6 og forordning nr. 596/2014 ikke indeholder bestemmelser om den lagring af data, som operatører inden for elektronisk kommunikation er pålagt, er forståelig i betragtning af den tidsmæssige nærhed mellem disse retsakter og direktiv 2002/58. EU-lovgiver rådede allerede over sidstnævnte direktiv som en udtømmende referenceramme til at præcisere rammerne for (og undtagelserne fra) den nævnte forpligtelse, hvilket bevirkede, at der ikke var behov for en selvstændig ordning for lagring med henblik på bekæmpelsen af markedsmisbrug.

61.      Heraf følger, at den af Domstolen anlagte fortolkning i direktiv 2002/58 naturligvis skal overføres på lagring af data, der, idet operatører inden for elektronisk kommunikation råder over dem, kan anvendes af efterforskningsmyndighederne i forbindelse med bekæmpelsen af markedsmisbrug.

62.      De »foreliggende oplysninger/fortegnelser«, der er nævnt i direktiv 2003/6 og i forordning nr. 596/2014, kan kun være »lovligt foreliggende oplysninger/fortegnelser«, dvs. oplysninger/fortegnelser, der er i overensstemmelse med direktiv 2002/58. Det er dette direktiv, der i EU-retten »bl.a. tager sigte på en harmonisering af nationale bestemmelser, der er nødvendig for at sikre et ensartet niveau i beskyttelsen af de grundlæggende rettigheder og frihedsrettigheder og navnlig retten til privatliv og fortrolighed i forbindelse med behandling af personoplysninger inden for den elektroniske kommunikationssektor« (26).

63.      Det kan kun begrundes, at de »foreliggende oplysninger/fortegnelser« er lovlige, når deres eksistens endelig understøttes af bestemmelserne i direktiv 2002/58.

64.      Dette synspunkt bestrides af den franske regering. Den franske regering har anført, at Domstolens svar bør begrænses til en fortolkning af direktiv 2003/6 og af forordning nr. 596/2014. Disse retsakter giver implicit medlemsstaterne tilladelse at indføre en forpligtelse til at foretage generel og udifferentieret lagring. I modsat fald ville direktivets effektive virkning i betydelig grad blive bragt i fare.

65.      Jeg kan ikke tilslutte mig den franske regerings argumentation, men, selv hvis jeg kunne, forholder det sig således, at denne angivelige »implicitte tilladelse« fortsat vil være underlagt de betingelser, som medlemsstaterne ifølge Domstolens praksis er underlagt, når de benytter sig af muligheden for at pålægge forpligtelsen til at foretage en generel og udifferentieret lagring af data i henhold til direktiv 2002/58.

66.      Hvis det i teorien accepteres, at direktiv 2003/6 og forordning nr. 596/2014 udgør et selvstændigt grundlag for lagringen af data (hvilket ikke er tilfældet), vil denne lagring med andre ord være underlagt de samme betingelser, som hvis den var støttet på enhver anden EU-retlig bestemmelse.

67.      Det forholder sig således, da disse betingelser i sidste ende følger af beskyttelsen af de grundlæggende rettigheder, der er sikret ved chartret, hvis overholdelse direktiv 2003/6 og forordning nr. 596/2014 nævner. Det er netop disse rettigheder, som Domstolen har henvist til i dommen i sagen La Quadrature du Net.

68.      Den franske regering – og andre, der har afgivet indlæg i denne sag – har ikke kunnet undgå at henvise til den praksis, der blev fastlagt i sidstnævnte dom. Nogle (såsom den portugisiske regering eller Kommissionen) har fremhævet, at den nævnte dom indeholder retningslinjer til at besvare disse præjudicielle spørgsmål; andre (som f.eks. Irland) har udtrykkeligt anmodet om en revidering af denne praksis.

69.      Den debat, som denne sag har givet anledning til, har således haft fokus på spørgsmålet, om Domstolens praksis med hensyn til lovligheden af generel og udifferentieret lagring af trafikdata og lokaliseringsdata på området for elektronisk kommunikation skal bekræftes eller revideres.

2.      Forbuddet mod generel og udifferentieret lagring af trafikdata og lovgivningsmæssige foranstaltninger til beskyttelse af den nationale sikkerhed eller til bekæmpelse af grov kriminalitet

70.      Som jeg har anført i mit forslag til afgørelse i sagen Commissioner of the Garda Síochána og i sagen SpaceNet og Telekom Deutschland af samme dato, er det efter min opfattelse ikke nødvendigt at revidere Domstolens praksis vedrørende artikel 15, stk. 1, i direktiv 2002/58.

71.      I denne forbindelse fremgår de elementer, der er nødvendige for at besvare den forelæggende ret, efter min opfattelse direkte af Domstolens praksis, som er blevet sammenfattet i dommen i sagen La Quadrature du Net.

72.      Jeg bør således især fremhæve Domstolens praksis efter denne dom, hvis præmis 168 opsummerer denne praksis således:

»[A]rtikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for lovgivningsmæssige foranstaltninger, der med henblik på de formål, der er fastsat i denne artikel 15, stk. 1, i forebyggende øjemed foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata. Den nævnte artikel 15, stk. 1, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, er derimod ikke til hinder for lovgivningsmæssige foranstaltninger:

–      der med henblik på beskyttelse af den nationale sikkerhed gør det muligt at pålægge udbydere af elektroniske kommunikationstjenester et påbud om at foretage generel og udifferentieret lagring af trafikdata og lokaliseringsdata i de situationer, hvor den pågældende medlemsstat står over for en alvorlig trussel mod den nationale sikkerhed, som må anses for at være reel og aktuel eller forudsigelig, når den afgørelse, der fastsætter dette påbud, kan gøres til genstand for en effektiv prøvelse enten ved en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser, med henblik på at kontrollere, om en af disse situationer foreligger, samt om de betingelser og garantier, der skal være fastsat, er overholdt, og når det nævnte påbud kun kan udstedes for en periode, der er tidsmæssigt begrænset til det strengt nødvendige, men som kan forlænges i tilfælde af, at denne trussel består

–      der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver målrettet lagring af de trafikdata og lokaliseringsdata, som på grundlag af objektive og ikke-diskriminerende forhold er afgrænset ud fra kategorier af berørte personer eller ved hjælp af et geografisk kriterium, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige, men som kan forlænges

–      der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed foreskriver generel og udifferentieret lagring af de IP-adresser, der er tildelt kilden til en forbindelse, i en periode, der er tidsmæssigt begrænset til det strengt nødvendige

–      der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af grov kriminalitet og beskyttelse af den offentlige sikkerhed foreskriver generel og udifferentieret lagring af de data, der vedrører identiteten på brugerne af elektroniske kommunikationsmidler, og

–      der med henblik på bekæmpelse af grov kriminalitet og a fortiori med henblik på beskyttelsen af den nationale sikkerhed, gør det muligt ved en afgørelse fra den kompetente myndighed, som er underlagt en effektiv domstolsprøvelse, at pålægge udbydere af elektroniske kommunikationstjenester et påbud om i en begrænset periode at foretage hurtig lagring af de trafikdata og lokaliseringsdata, som disse tjenesteudbydere råder over

–      for så vidt som disse foranstaltninger ved klare og præcise regler sikrer, at lagringen af de omhandlede data er underlagt overholdelsen af de dermed forbundne materielle og proceduremæssige betingelser, og at de berørte personer råder over effektive garantier mod risikoen for misbrug.«

73.      Grundtanken bag Domstolens praksis med hensyn til direktiv 2002/58 er, at brugerne af elektroniske kommunikationsmidler principielt med rette kan forvente, at deres kommunikation og de dermed forbundne data forbliver anonyme, så længe de ikke har givet deres samtykke, og ikke kan gøres til genstand for registrering (27).

74.      I henhold til artikel 15, stk. 1, i direktiv 2002/58 tillades undtagelser til forpligtelsen til at sikre fortroligheden og til de tilsvarende forpligtelser. Dommen i sagen La Quadrature du Net omfatter en undersøgelse af, hvorvidt sådanne undtagelser er forenelige med de grundlæggende rettigheder, hvis udøvelse kan blive berørt (28).

75.      Generel og udifferentieret lagring af trafikdata kan ifølge Domstolen kun begrundes i formålet om beskyttelse af den nationale sikkerhed, som »[vejer] tungere end de andre formål, der er indeholdt i artikel 15, stk. 1, i direktiv 2002/58« (29).

76.      I denne forbindelse (national sikkerhed) har Domstolen fastslået, at denne bestemmelse, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, »principielt ikke [er] til hinder for en lovgivningsmæssig foranstaltning, der giver de kompetente myndigheder mulighed for at pålægge udbydere af elektroniske kommunikationstjenester at foretage lagring af trafikdata og lokaliseringsdata, der vedrører alle de brugere, som anvender elektroniske kommunikationsmidler i en begrænset periode, når der foreligger tilstrækkeligt konkrete omstændigheder, der gør det muligt at antage, at den berørte medlemsstat står over for en alvorlig trussel mod den nationale sikkerhed [...] som må anses for at være reel og aktuel eller forudsigelig« (30).

77.      Domstolen er navnlig af den opfattelse, at »formålet om beskyttelse af den nationale sikkerhed« »omfatter forebyggelse og bekæmpelse af aktiviteter, der alvorligt kan destabilisere et lands grundlæggende forfatningsmæssige, politiske, økonomiske eller sociale strukturer og navnlig direkte true samfundet, befolkningen eller staten som sådan« (31).

78.      Der tages imidlertid ikke hensyn til dommen i sagen La Quadrature du Net, hvis Domstolens bemærkninger heri med hensyn til den nationale sikkerhed kan overføres på forbrydelser, herunder grov kriminalitet, som ikke truer den nationale sikkerhed, men derimod den offentlige sikkerhed eller andre retligt beskyttede interesser.

79.      Derfor har Domstolen sondret nøje mellem nationale lovgivningsmæssige foranstaltninger, der i forebyggende øjemed foreskriver generel og udifferentieret lagring af trafikdata og lokaliseringsdata med henblik på beskyttelse af den nationale sikkerhed (præmis 134-139 i dommen i sagen La Quadrature du Net), og tilsvarende foranstaltninger, der vedrører bekæmpelsen af kriminalitet og beskyttelsen af den offentlig sikkerhed (den nævnte doms præmis 140-151). De forskellige foranstaltninger kan ikke have den samme rækkevidde, da denne sondring i så fald ville miste enhver betydning.

80.      Foranstaltningerne til lagring af trafikdata og lokaliseringsdata med henblik på bekæmpelsen af grov kriminalitet fremgår som nævnt af præmis 140-151 i dommen i sagen La Quadrature du Net. Hertil skal med henblik på det samme formål tilføjes foranstaltninger, der tillader forebyggende lagring af IP-adresser, og oplysninger om identiteten på en person (den nævnte doms præmis 152-159) samt »hurtig lagring« af trafikdata og lokaliseringsdata (den nævnte doms præmis 160-166).

81.      Markedsmisbrug er uden tvivl yderst forkasteligt, eftersom det »skader de finansielle markeders integritet og offentlighedens tillid til værdipapirer og derivater«. I samme retning kan markedsmisbrug, afhængig af det enkelte tilfælde, kvalificeres som strafbare lovovertrædelser og i særlige tilfælde som grove lovovertrædelser (32).

82.      Eftersom bilag I til forordning (EU) 2016/794 (33) henviser til det indbyrdes samarbejde mellem medlemsstaternes kompetente myndigheder om at forebygge og bekæmpe grov kriminalitet, der berører to eller flere medlemsstater, eller til en fælles interesse, som er omfattet af en EU-politik, lader denne forordning således dette begreb omfatte »insiderhandel og kursmanipulation på finansmarkederne« sammen med andre former for strafbar adfærd.

83.      Disse fænomeners karakter af en strafbar lovovertrædelse, og i visse tilfælde af en grov lovovertrædelse, er imidlertid den samme karakter, som mange andre lovovertrædelser, der berører relevante offentlige og politiske interesser i Unionen, kan have. Bilag I til forordning 2016/794 nævner bl.a. følgende eksempler på grov kriminalitet: narkotikahandel, hvidvaskning af penge, menneskesmugling, menneskehandel, bortførelse, frihedsberøvelse og gidseltagning, kriminalitet, der skader Unionens finansielle interesser, efterligninger og fremstilling af piratudgaver af produkter, IT-kriminalitet, bestikkelse og miljøkriminalitet, herunder forurening fra skibe.

84.      De offentlige interesser, der er beskyttet ved kriminaliseringen af nogle af disse former for adfærd, kan have lige så stor eller større relevans end de interesser, der forsvares i forbindelse med bekæmpelsen af markedsmisbrug. Dette betyder imidlertid ikke, at sådan adfærd medfører en trussel mod den nationale sikkerhed, som omhandlet i dommen i sagen La Quadrature du Net (34).

85.      Som Kommissionen anførte i retsmødet, vedrører formålene med direktiv 2003/6 og forordning nr. 596/2014 opnåelsen af et indre marked (navnlig med hensyn til de finansielle markeder), men ikke beskyttelsen af den nationale sikkerhed (35).

86.      En udvidelse af begrebet »trussel mod den nationale sikkerhed«, således at det omfatter markedsmisbrugsovertrædelser, ville åbne døren for at gøre det samme med mange andre overtrædelser af lige så væsentlige offentlige interesser, som en domstol i straffesager imidlertid næppe ville lade omfatte af dette begreb, som er langt mere restriktivt. Hvis Domstolen tillader, at denne dør åbnes, vil den hårfine balance, der ligger til grund for dommen i sagen La Quadrature du Net, være overflødig.

87.      De »foreliggende« oplysninger/fortegnelser eller optagelser, der er nævnt i artikel 12, stk. 2, litra d), i direktiv 2003/6 og artikel 23, stk. 2, litra g) og h), i forordning nr. 596/2914 kan kun være dem, som direktiv 2002/58, ifølge Domstolens praksis, tillader at lagre med henblik på at bekæmpe grov kriminalitet og beskytte den offentlige sikkerhed. Disse oplysninger/fortegnelser eller optagelser kan under ingen omstændigheder sidestilles med dem, der i forebyggende øjemed lagres generelt og udifferentieret med henblik på at beskytte den nationale sikkerhed.

3.      Det andet præjudicielle spørgsmål

88.      Den forelæggende ret ønsker med sit andet præjudicielle spørgsmål oplyst, om den, såfremt den franske lovgivning om lagring af forbindelsesdata ikke er i overensstemmelse med EU-retten, midlertidigt kan opretholde virkningerne af denne lovgivning.

89.      På grund af tidspunktet for den forelæggende rets anmodninger om præjudiciel afgørelse kunne den ikke tage højde for den omstændighed, at svaret på dette tvivlsspørgsmål findes i dommen (af 6.10.2020) i sagen La Quadrature du Net (navnlig i denne doms præmis 213-228), som i denne henseende har henholdt sig til den faste praksis.

90.      Ifølge Domstolen, der fastslog, at der forelå en overtrædelse af artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, »[kan] [d]en forelæggende ret [...] ikke anvende en bestemmelse i den nationale lovgivning, der giver den bemyndigelse til tidsmæssigt at begrænse virkningerne af en afgørelse om ulovlighed, som det i medfør af denne lovgivning påhviler denne ret at træffe, med hensyn til den i hovedsagen omhandlede nationale lovgivning« (36).

91.      Dette skyldes, at »[d]et [...] alene [er] Domstolen, der undtagelsesvis og af tvingende retssikkerhedsmæssige hensyn kan træffe bestemmelse om en midlertidig udsættelse af den fortrængende virkning, som en EU-bestemmelse har i forhold til national ret, der er i strid hermed« (37). »Der kan alene træffes bestemmelse om en [...] tidsmæssig begrænsning af virkningerne af Domstolens fortolkning af EU-retten i selve den dom, der afgør fortolkningsspørgsmålet« (38), hvilket ikke var tilfældet i dom af 8. april 2014, Digital Rights (39).

92.      Eftersom Domstolen ikke har anset det for relevant at træffe bestemmelse om en tidsmæssig begrænsning af virkningerne af sin fortolkning af direktiv 2002/58, kan den forelæggende ret således ikke vælge at forlænge virkningen af en national lovgivning, der er uforenelig med de EU-retlige bestemmelser, der, således som det er tilfældet med direktiv 2003/6 og forordning nr. 596/2014, skal fortolkes i betragtning af det førstnævnte direktiv.

4.      Det tredje præjudicielle spørgsmål

93.      I tråd med det foregående spørgsmål ønsker Cour de cassation (kassationsdomstol) med sit tredje præjudicielle spørgsmål oplyst, om en national domstol midlertidigt kan opretholde virkningerne af en lovgivning, »som giver de ansvarlige i en uafhængig administrativ myndighed, der har til opgave at foretage undersøgelser vedrørende markedsmisbrug, mulighed for at få adgang til forbindelsesdata uden forudgående kontrol foretaget af en domstol eller af en anden uafhængig administrativ myndighed«.

94.      Forudsætningen for dette spørgsmål er atter, at denne lovgivning, i sig selv, er uforenelig med EU-retten (40). Dette har den forelæggende ret selv fastslået: selv om AMF er en uafhængig administrativ myndighed, »var AMF’s efterforskeres mulighed for at få adgang til forbindelsesdata uden en forudgående kontrol foretaget af en domstol eller en anden uafhængig administrativ myndighed [...] ikke i overensstemmelse med kravene i artikel 7, 8 og 11 i [chartret] som fortolket af Domstolen« (41).

95.      Den samme løsning fremkommer som følge af Domstolens dom af 2. marts 2021, Prokuratuur (Betingelser for adgang til oplysninger om elektronisk kommunikation) (42), hvor det i præmis 51 ff. fremhæves, at de kompetente nationale myndigheders adgang til de lagrede data skal være undergivet en forudgående kontrol, der foretages af enten en domstol eller en uafhængig administrativ enhed, der skal være »udenforstående« i forhold til den myndighed, der anmoder om adgang til disse data.

96.      På denne baggrund skal det tredje præjudicielle spørgsmål besvares på samme måde som det andet.

V.      Forslag til afgørelse

97.      På baggrund af det ovenstående foreslår jeg, at Domstolen svarer Cour de cassation (kassationsdomstol, Frankrig) på følgende måde:

»1)      Artikel 12, stk. 2, litra a) og d), i Europa-Parlamentets og Rådets direktiv 2003/6/EF af 28. januar 2003 om insiderhandel og kursmanipulation (markedsmisbrug) samt artikel 23, stk. 2, litra g) og h), i Europa-Parlamentets og Rådets forordning (EU) nr. 596/2014 af 16. april 2014 om markedsmisbrug (forordningen om markedsmisbrug) og om ophævelse af Europa-Parlamentets og Rådets direktiv 2003/6/EF og Kommissionens direktiv 2003/124/EF, 2003/125/EF og 2004/72/EF skal fortolkes således, at disse bestemmelser er til hinder for en national lovgivning, der pålægger operatører inden for elektronisk kommunikation en forpligtelse til at foretage generel og udifferentieret lagring af trafikdata i forbindelse med efterforskningen af insiderhandel, kursmanipulation eller markedsmisbrug.

2)      En national ret kan ikke tidsmæssigt begrænse virkningerne af uforeneligheden med EU-retten med hensyn til en national lovgivning, der pålægger udbydere af elektroniske kommunikationstjenester en forpligtelse til at foretage generel og udifferentieret lagring af trafikdata, som er uforenelig med artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation), sammenholdt med artikel 7, 8, 11 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder, og som giver den uafhængige administrative myndighed, der har til opgave at foretage undersøgelser vedrørende markedsmisbrug, mulighed for at få adgang til forbindelsesdata uden en forudgående kontrol foretaget af en domstol eller af en uafhængig administrativ myndighed.«


1 –      Originalsprog: spansk.


2 –      Herefter henholdsvis »forslaget til afgørelse i sagen SpaceNet og Telekom Deutschland« og »forslaget til afgørelse i sagen Commissioner of the Garda Síochána«.


3 –      Europa-Parlamentets og Rådets direktiv af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37).


4–      Dom af 6.10.2020, La Quadrature du Net m.fl. (C‑511/18, C‑512/18 y C‑520/18, EU:C:2020:791), herefter »dommen i sagen La Quadrature du Net«.


5 –      Europa-Parlamentets og Rådets direktiv af 28.1.2003 om insiderhandel og kursmanipulation (markedsmisbrug) (EUT 2003, L 96, s. 16).


6 –      Europa-Parlamentets og Rådets forordning af 16.4.2014 om markedsmisbrug (forordningen om markedsmisbrug) og om ophævelse af Europa-Parlamentets og Rådets direktiv 2003/6/EF og Kommissionens direktiv 2003/124/EF, 2003/125/EF og 2004/72/EF (EUT 2014, L 173, s. 1).


7 –      I dette tilfælde synes lokaliseringsdata ikke at være omfattet, selv om grænsen mellem de forskellige data ikke fremgår klart.


8 –      Den brede betydning af markedsmisbrug, som jeg vil anvende i dette forslag til afgørelse, omfatter »ulovlig adfærd på de finansielle markeder, og i denne forordning bør det forstås som insiderhandel, uretmæssig videregivelse af intern viden og markedsmanipulation« (syvende betragtning til forordning nr. 596/2014).


9 –      Conseil constitutionnel (forfatningsråd) fastslog, at proceduren for AMF’s adgang til forbindelsesdata ikke var i overensstemmelse med retten til respekt for privatlivets fred, som er beskyttet ved menneske- og borgerrettighedserklæringens artikel 2.


10 –      Præmis 28 i forelæggelsesafgørelsen i sag C-339/20 og præmis 43 i forelæggelsesafgørelsen i sag C-397/20.


11 –      Ibidem.


12 –      Præmis 29 og 44 i de respektive forelæggelsesafgørelser.


13 –      Dom nr. 393099 (ECLI:FR:CEASS:2021:393099 20210421). I forbindelse med denne sag kan jeg naturligvis ikke udtale mig om indholdet af denne dom for så vidt angår spørgsmålet, om visse passager eller konklusioner heri (navnlig vedrørende adgangen, med henblik på andre formål, til data, der lagres af hensyn til den nationale sikkerhed) er forenelige med EU-retten, eller om den fortolkning, der i den nævnte dom anlægges af dommen i sagen La Quadrature du Net. I retsmødet anførte Kommissionen, at den overvejede, om den skulle reagere på den nævnte dom, men at den endnu ikke var nået frem til en afgørelse desangående.


14 –      Parterne har på Domstolens anmodning haft lejlighed til at udtale sig om denne dom i retsmødet.


15 –      Præmis 58 i Conseil d’États (øverste domstol i forvaltningsretlige sager) dom.


16 –      Artikel 2 i domskonklusionen i Conseil d’États (øverste domstol i forvaltningsretlige sager) dom.


17 –      Dommen i sagen La Quadrature du Net, præmis 70: »Hvad angår CPCE’s artikel R. 10-13 og den deri fastsatte forpligtelse til at foretage generel og udifferentieret lagring af kommunikationsdata har den forelæggende ret [...] nævnt, at en sådan lagring gør det muligt for den retslige myndighed at få adgang til data om kommunikation, som en person har taget del i, før vedkommende er blevet mistænkt for at have begået en strafbar handling, hvilket indebærer, at nytten af denne lagring med henblik på at efterforske, fastslå og retsforfølge strafbare handlinger savner modstykke.«


18 –      Den franske regering oplyste i retsmødet, at Loi n° 2021-998 du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement (lov nr. 2021-998 af 31.7.2021 om forebyggelse af terrorhandlinger og informationstjenester) (JORF nr. 187 af 31.7.2021) var blevet vedtaget. Denne lovs artikel 17 ændrer CPCE’s artikel L. 34-1. Et senere dekret skal »afhængigt af operatørernes virksomhed og kommunikationernes karakter fastlægge de oplysninger og kategorier af data, der skal lagres i overensstemmelse med CPCE’s artikel L. 34, stk. IIa og II«, med senere ændringer.


19 –      Præmis 59 i Conseil d’États (øverste domstol i forvaltningsretlige sager) dom. Det fremgår navnlig af artikel 1 i domskonklusionen i denne dom, at den krævede tilpasning skal fastsætte »en periodisk revurdering af, hvorvidt der foreligger en trussel mod den nationale sikkerhed, som er reel og aktuel eller forudsigelig«.


20 –      I henhold til artikel 3 i forordning nr. 596/2004 forstås der ved »fortegnelser over datatrafik« de i artikel 2, stk. 2, litra b), i direktiv 2002/58 definerede data, dvs. »data, som behandles med henblik på overføring af kommunikation i et elektronisk kommunikationsnet eller debitering heraf«.


21 –      Min fremhævelse.


22 –      Min fremhævelse.


23 –      Min fremhævelse.


24 –      Den fastsætter dog en periode på fem år for lagring heraf.


25 –      Hvilket direktiv blev ophævet ved Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1). Jeg bør nævne, at Domstolen i præmis 210 i dommen i sagen La Quadrature du Net fastslog, at »den beføjelse, som medlemsstaterne er tildelt i medfør af artikel 23, stk. 1, i forordning 2016/679, i lighed med, hvad der gælder for artikel 15, stk. 1, i direktiv 2002/58, kun [kan] udøves under iagttagelse af kravet om proportionalitet, ifølge hvilket undtagelserne fra og begrænsningerne af beskyttelsen af personoplysninger skal holdes inden for det strengt nødvendige (jf. analogt for så vidt angår direktiv 95/46 dom af 7.11.2013, IPI, C-473/12, EU:C:2013:715, præmis 39 og den deri nævnte retspraksis)«.


26 –      Dommen i sagen La Quadrature du Net, præmis 91.


27 –      Dommen i sagen La Quadrature du Net, præmis 109.


28–      Ibidem, præmis 111-133.


29 –      Ibidem, præmis 136.


30 –      Ibidem, præmis 137 (min fremhævelse). Domstolen fastslog, at det forholder sig således, »[s]elv om en sådan foranstaltning uden forskel omfatter alle brugere af elektroniske kommunikationsmidler, uden at disse umiddelbart synes at have en forbindelse [...] til en trussel mod denne medlemsstats nationale sikkerhed«, idet det skulle »fastslås, at den omstændighed, at der foreligger en sådan trussel, i sig selv kan godtgøre, at der består en sådan forbindelse« (ibidem).


31 –      Dommen i sagen La Quadrature du Net, præmis 135. Således som jeg har fremhævet i punkt 39 i forslaget til afgørelse SpaceNet og Telekom Deutschland, medfører disse forskrifter ganske vist en strengere og hårdere ordning end den, der følger af Den Europæiske Menneskerettighedsdomstols praksis med hensyn til artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder. Dette fremgår tydeligt af chartrets artikel 52, stk. 3, in fine. Således som jeg anførte i punkt 40 i det nævnte forslag til afgørelse, berører dette ikke den omstændighed, at Menneskerettighedsdomstolens praksis efter domme af 25.5.2021, Big Brother Watch m.fl. mod Det Forenede Kongerige (CE:ECHR:2021:0525JUD005817013), og Centrum för Rättvisa mod Sverige (CE:ECHR:2021:0525JUD003525208), samt dom af 4.12.2015, Zakharov mod Rusland (CE:ECHR:2015:1204JUD004714306), vedrører situationer, som ikke kan sidestilles med de i disse præjudicielle forelæggelser omtvistede situationer. Løsningen bør endelig findes ved at anvende nationale lovgivninger, der anses for at være forenelige med den udtømmende regulering i direktiv 2002/58 som fortolket af Domstolen.


32 –      Jf. Europa-Parlamentets og Rådets direktiv 2014/57/EU af 16.4.2014 om strafferetlige sanktioner for markedsmisbrug (direktivet om markedsmisbrug) (EUT 2014, L 173, s. 179).


33 –      Europa-Parlamentets og Rådets forordning af 11.5.2016 om Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol) og om erstatning og ophævelse af Rådets afgørelse 2009/371/RIA, 2009/934/RIA, 2009/935/RIA, 2009/936/RIA og 2009/968/RIA (EUT 2016, L 135, s. 53).


34 –      For så vidt angår muligheden for at indføre en tertium genus af lovovertrædelser mellem national sikkerhed og grov kriminalitet henviser jeg til punkt 51 og 52 i mit forslag til afgørelse i sagen Commissioner of the Garda Síochána.


35 –      VD’s forsvarer, som var mere kritisk, mindede i sit mundtlige indlæg om, at den nationale sikkerhed er blevet knyttet til adskillige kategorier af strafbare lovovertrædelser i totalitære politiske systemer, som finder trusler mod statens sikkerhed overalt.


36 –      Dommen i sagen La Quadrature du Net, præmis 220.


37 –      Ibidem, præmis 216.


38 –      Ibidem.


39–      Sag C-293/12 og sag C-594/12 (EU:C:2014:238).


40 –      Conseil constitutionnel (forfatningsråd) ophævede som allerede nævnt CMF’s artikel L. 621-10. Conseil d’États (øverste domstol i forvaltningsretlige sager) dom af 21.4.2021 anerkender i forskellige passager, at der forud for adgangen til dataene skal foretages en kontrol af en domstol eller af en uafhængig myndighed, som har bindende karakter.


41 –      Henholdsvis præmis 28 og 43 i de respektive forelæggelsesafgørelser. Den retspraksis, der henvises til, kan spores tilbage til dom af 21.12.2016, Tele2 Sverige og Watson m.fl. (C-203/15 og C-698/15, EU:C:2016:970, præmis 120).


42 –      Sag C-746/18, EU:C:2021:152.