Language of document : ECLI:EU:C:2016:970

Cauzele conexate C203/15 și C698/15

Tele2 Sverige ABîmpotrivaPost- och telestyrelsen

și

Secretary of State for the Home DepartmentîmpotrivaTom Watson și alții

[cereri de decizie preliminară formulate de Kammarrätten i Stockholm și de Court of Appeal (England & Wales) (Civil Division)]

„Trimitere preliminară – Comunicații electronice – Prelucrarea datelor cu caracter personal – Confidențialitatea comunicațiilor electronice – Protecție – Directiva 2002/58/CE – Articolele 5, 6 și 9, precum și articolul 15 alineatul (1) – Carta drepturilor fundamentale a Uniunii Europene – Articolele 7, 8 și 11, precum și articolul 52 alineatul (1) – Legislație națională – Furnizori de servicii de comunicații electronice – Obligație de păstrare generalizată și nediferențiată a datelor de transfer și a datelor de localizare – Autorități naționale – Acces la date – Lipsa controlului prealabil de către o instanță sau o autoritate administrativă independentă – Compatibilitate cu dreptul Uniunii”

Sumar – Hotărârea Curții (Marea Cameră) din 21 decembrie 2016

1.        Apropierea legislațiilor – Sectorul telecomunicațiilor – Prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58 – Posibilitatea statelor membre de a limita întinderea anumitor drepturi și obligații – Domeniu de aplicare – Măsură legislativă care impune furnizorilor de servicii de comunicații electronice să păstreze datele de transfer și datele de localizare ale utilizatorilor – Includere

[Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 5 alin. (1) și art. 15 alin (1)]

2.        Apropierea legislațiilor – Sectorul telecomunicațiilor – Prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58 – Posibilitatea statelor membre de a limita întinderea anumitor drepturi și obligații – Interpretare strictă – Motive care pot justifica adoptarea unei limitări – Caracter exhaustiv

[Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 5 alin. (1) și art. 15 alin (1)]

3.        Apropierea legislațiilor – Sectorul telecomunicațiilor – Prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58 – Posibilitatea statelor membre de a limita întinderea anumitor drepturi și obligații – Reglementare națională care prevede o păstrare generalizată și nediferențiată a datelor de transfer și a datelor de localizare ale utilizatorilor, în scopul combaterii infracționalității – Inadmisibilitate – Ingerință gravă în drepturile la respectarea vieții private, a protecției datelor cu caracter personal și a libertății de exprimare

[Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8, 11 și art. 52 alin. (1); Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 15 alin. (1)]

4.        Apropierea legislațiilor – Sectorul telecomunicațiilor – Prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58 – Posibilitatea statelor membre de a limita întinderea anumitor drepturi și obligații – Reglementare națională care permite păstrarea direcționată a datelor de transfer și a datelor de localizare ale utilizatorilor, în scopul combaterii infracționalității grave – Admisibilitate – Condiții

[Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8, 11 și art. 52 alin. (1); Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 15 alin. (1)]

5.        Apropierea legislațiilor – Sectorul telecomunicațiilor – Prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58 – Posibilitatea statelor membre de a limita întinderea anumitor drepturi și obligații – Reglementare națională care guvernează protecția și securitatea datelor de transfer și a datelor de localizare ale utilizatorilor – Posibilitatea autorităților naționale de a avea acces la datele menționate fără un control jurisdicțional sau administrativ prealabil – Inadmisibilitate – Lipsa unei obligații a furnizorilor de servicii de comunicații electronice să păstreze aceste date pe teritoriul Uniunii – Inadmisibilitate

[Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8, 11 și art. 52 alin. (1); Directiva 95/46 a Parlamentului European și a Consiliului, art. 22, și Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 15 alin. (1) și (2)]

6.        Drepturi fundamentale – Convenția europeană a drepturilor omului – Instrument neintegrat formal în ordinea juridică a Uniunii

[art. 6 alin. (3) TUE; Carta drepturilor fundamentale a Uniunii Europene, art. 52 alin. (3)]

7.        Întrebări preliminare – Competența Curții – Limite – Întrebări generale sau ipotetice – Întrebare care prezintă un caracter abstract și pur ipotetic în raport cu obiectul litigiului principal – Inadmisibilitate

(art. 267 TFUE)

1.      Articolul 15 alineatul (1) din Directiva 2002/58 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), astfel cum a fost modificată prin Directiva 2009/136, permite statelor membre să adopte, cu respectarea condițiilor pe care le prevede, măsuri legislative pentru a restrânge sfera de aplicare a drepturilor și obligațiilor prevăzute la articolul 5, la articolul 6, la articolul 8 alineatele (1), (2), (3) și (4) și la articolul 9 din această directivă.

Intră în special în domeniul de aplicare al acestei dispoziții o măsură legislativă care impune furnizorilor de servicii de comunicații electronice să păstreze datele de transfer și datele de localizare, întrucât o astfel de activitate implică în mod necesar o prelucrare de către aceștia a unor date cu caracter personal. Intră de asemenea în respectivul domeniu de aplicare o măsură legislativă privind accesul autorităților naționale la datele păstrate de furnizorii menționați. Astfel, protecția confidențialității comunicațiilor electronice și a datelor de transfer aferente acestora, garantată la articolul 5 alineatul (1) din Directiva 2002/58, se aplică măsurilor adoptate de orice alte persoane decât utilizatorii, indiferent dacă este vorba despre persoane sau entități private ori despre entități statale.

(a se vedea punctele 71 și 75-77)

2.      Articolul 15 alineatul (1) din Directiva 2002/58 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), astfel cum a fost modificată prin Directiva 2009/136, permite statelor membre să introducă excepții de la obligația de principiu, prevăzută la articolul 5 alineatul (1) din această directivă, de garantare a confidențialității datelor cu caracter personal, precum și de la obligațiile corespunzătoare, menționate în special la articolele 6 și 9 din directiva respectivă. Cu toate acestea, în măsura în care articolul 15 alineatul (1) din Directiva 2002/58 permite statelor membre să restrângă sfera de aplicare a obligației de principiu de a asigura confidențialitatea comunicațiilor și a datelor de transfer aferente acestora, acesta este de strictă interpretare. O asemenea dispoziție nu poate, așadar, să justifice ca derogarea de la această obligație de principiu și în special de la interdicția de a stoca aceste date, prevăzută la articolul 5 din directiva menționată, să devină regula, fără a vida semnificativ această din urmă dispoziție de conținutul său.

În această privință, articolul 15 alineatul (1) prima teză din Directiva 2002/58 prevede că măsurile legislative pe care le vizează și care derogă de la principiul confidențialității comunicațiilor și a datelor de transfer aferente acestora trebuie să aibă obiectivul de a proteja securitatea națională (de exemplu siguranța statului), apărarea, siguranța publică sau de a asigura prevenirea, investigarea, detectarea și urmărirea penală a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicații electronice sau trebuie să urmărească unul dintre obiectivele vizate la articolul 13 alineatul (1) din Directiva 95/46 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date. O asemenea enumerare a unor obiective are caracter exhaustiv, astfel cum reiese din articolul 15 alineatul (1) a doua teză din această din urmă directivă, potrivit căruia măsurile legislative trebuie să fie justificate de unul dintre motivele arătate la articolul 15 alineatul (1) prima teză din directiva menționată. Prin urmare, statele membre nu pot adopta astfel de măsuri în alte scopuri decât cele enumerate la această din urmă dispoziție.

(a se vedea punctele 88-90)

3.      Articolul 15 alineatul (1) din Directiva 2002/58 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), astfel cum a fost modificată prin Directiva 2009/136, citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene, trebuie interpretat în sensul că se opune unei reglementări naționale care prevede, în scopul combaterii infracționalității, o păstrare generalizată și nediferențiată a ansamblului datelor de transfer și al datelor de localizare ale tuturor abonaților și utilizatorilor înregistrați în ceea ce privește toate mijloacele de comunicare electronică.

Astfel, considerate în ansamblu, asemenea date pot permite deducerea unor concluzii foarte precise privind viața privată a persoanelor ale căror date au fost păstrate, precum obiceiurile din viața cotidiană, locurile de ședere permanente sau temporare, deplasările zilnice sau alte deplasări, activitățile desfășurate, relațiile sociale ale acestor persoane și mediile sociale frecventate de ele. În special, aceste date furnizează mijloacele de a stabili profilul persoanelor în cauză, informație la fel de sensibilă, din perspectiva dreptului la respectarea vieții private, ca și conținutul însuși al comunicațiilor. Ingerința pe care o implică o astfel de reglementare în drepturile fundamentale consacrate la articolele 7 și 8 din cartă se dovedește a fi de o mare amploare și trebuie considerată deosebit de gravă. Împrejurarea că păstrarea datelor este efectuată fără ca utilizatorii serviciilor de comunicații electronice să fie informați cu privire la aceasta este susceptibilă să genereze în mintea persoanelor vizate sentimentul că viața lor privată face obiectul unei supravegheri constante. Chiar dacă o astfel de reglementare nu permite păstrarea conținutului unei comunicații și, prin urmare, nu este de natură să aducă atingere conținutului esențial al respectivelor drepturi, păstrarea datelor de transfer și a datelor de localizare ar putea avea totuși o incidență asupra utilizării mijloacelor de comunicații electronice și, în consecință, asupra exercitării de către utilizatori a acestor mijloace ale libertății lor de exprimare, garantată la articolul 11 din cartă.

Având în vedere gravitatea ingerinței în drepturile fundamentale în cauză pe care o constituie o asemenea reglementare națională, numai combaterea infracționalității grave poate justifica o asemenea măsură. Totuși, deși eficacitatea combaterii infracționalității grave, în special combaterea crimei organizate și a terorismului, poate să depindă în mare măsură de utilizarea tehnicilor moderne de investigație, un astfel de obiectiv de interes general, oricât de fundamental ar fi, nu poate, în sine, să justifice ca o reglementare națională care prevede păstrarea generalizată și nediferențiată a datelor de transfer și a datelor de localizare să fie considerată necesară în scopul acestei combateri. Pe de o parte, o astfel de reglementare are ca efect că păstrarea datelor de transfer și a datelor de localizare este regula, în timp ce sistemul instituit de Directiva 2002/58 impune ca această conservare a datelor să fie excepția. Pe de altă parte, o asemenea reglementare națională, care acoperă în mod generalizat toți abonații și utilizatorii înregistrați și privește toate mijloacele de comunicare electronică, precum și toate datele de transfer, nu prevede nicio diferențiere, limitare sau excepție în funcție de obiectivul urmărit. Ea se aplică chiar și acelor persoane în privința cărora nu există niciun indiciu de natură să sugereze că comportamentul lor poate avea o legătură, chiar indirectă sau îndepărtată, cu infracțiuni grave. O asemenea reglementare depășește, așadar, limitele strictului necesar și nu poate fi considerată justificată, într‑o societate democratică, astfel cum se prevede la articolul 15 alineatul (1) din Directiva 2002/58, interpretat în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din cartă.

(a se vedea punctele 99-105, 107 și 112 și dispozitiv 1)

4.      Articolul 15 alineatul (1) din Directiva 2002/58 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), astfel cum a fost modificată prin Directiva 2009/136, interpretat în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene, nu se opune ca un stat membru să adopte o reglementare care să permită, cu titlu preventiv, păstrarea direcționată a datelor de transfer și a datelor de localizare, în scopul combaterii infracționalității grave, cu condiția ca păstrarea datelor să fie, în ceea ce privește categoriile de date care trebuie păstrate, mijloacele de comunicare vizate, persoanele în cauză, precum și durata de păstrare reținută, limitată la strictul necesar.

Pentru a îndeplini cerințele respective, această reglementare națională trebuie, în primul rând, să prevadă norme clare și precise care să reglementeze conținutul și aplicarea unei astfel de măsuri de păstrare a datelor și să impună un minim de cerințe, astfel încât persoanele ale căror date au fost păstrate să dispună de garanții suficiente care să le permită să protejeze în mod eficient datele lor cu caracter personal împotriva riscurilor de abuz. Aceasta trebuie în special să indice în ce împrejurări și în ce condiții poate fi luată, cu titlu preventiv, o măsură de păstrare a datelor, garantând astfel că o asemenea măsură este limitată la strictul necesar.

În al doilea rând, în ceea ce privește condițiile materiale pe care trebuie să le îndeplinească o asemenea reglementare națională pentru a garanta că este limitată la strictul necesar, deși aceste condiții pot varia în funcție de măsurile adoptate pentru prevenirea, investigarea, detectarea și urmărirea penală a infracțiunilor grave, păstrarea datelor trebuie să răspundă întotdeauna unor criterii obiective, care să stabilească un raport între datele care trebuie păstrate și obiectivul urmărit. În special, astfel de condiții trebuie să se dovedească, în practică, de natură să delimiteze în mod efectiv amploarea măsurii și, în consecință, publicul în cauză. Referitor la această delimitare, reglementarea națională trebuie să se întemeieze pe elemente obiective care să permită să fie vizat un public ale cărui date pot prezenta o legătură, cel puțin indirectă, cu acte de infracționalitate gravă, să contribuie într‑un mod sau altul la combaterea infracționalității grave sau să prevină un risc grav pentru securitatea publică. O astfel de delimitare poate fi asigurată prin intermediul unui criteriu geografic în cazul în care autoritățile naționale competente consideră pe baza unor elemente obiective că există, într‑una sau în mai multe zone geografice, un risc ridicat privind pregătirea sau comiterea unor asemenea acte.

(a se vedea punctele 108-111)

5.      Articolul 15 alineatul (1) din Directiva 2002/58 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), astfel cum a fost modificată prin Directiva 2009/136, citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene, trebuie interpretat în sensul că se opune unei reglementări naționale care guvernează protecția și securitatea datelor de transfer și a datelor de localizare și în special accesul autorităților naționale competente la datele păstrate, fără a limita acest acces, în cadrul combaterii infracționalității, numai la combaterea infracționalității grave, fără a supune respectivul acces unui control prealabil din partea unei instanțe sau a unei autorități administrative independente și fără a impune ca datele în cauză să fie păstrate pe teritoriul Uniunii.

În această privință, pentru a garanta că accesul autorităților naționale competente la datele păstrate este limitat la strictul necesar, revine, desigur, dreptului național sarcina de a stabili condițiile în care furnizorii de servicii de comunicații electronice trebuie să acorde un astfel de acces. Cu toate acestea, reglementarea națională în cauză nu se poate limita la a impune ca accesul să urmărească unul dintre obiectivele menționate la articolul 15 alineatul (1) din Directiva 2002/58, chiar dacă acesta constă în combaterea infracționalității grave. Astfel, o asemenea reglementare națională trebuie să prevadă și condițiile materiale și procedurale care guvernează accesul autorităților naționale competente la datele păstrate. Prin urmare, întrucât un acces general la toate datele păstrate, independent de orice legătură, chiar indirectă, cu scopul urmărit, nu poate fi considerat limitat la strictul necesar, reglementarea națională în cauză trebuie să se întemeieze pe criterii obiective pentru a defini împrejurările și condițiile în care trebuie să se acorde autorităților naționale competente accesul la datele abonaților sau ale utilizatorilor înregistrați. În această privință, accesul nu poate fi acordat, în principiu, în raport cu obiectivul de combatere a infracționalității, decât la datele persoanelor bănuite că ar pregăti, că ar săvârși sau că ar fi săvârșit o infracțiune gravă ori că ar fi implicate în orice mod într‑o astfel de infracțiune. Cu toate acestea, în situații speciale, precum cele în care interese vitale privind securitatea națională, apărarea sau securitatea publică sunt amenințate prin activități teroriste, ar putea de asemenea să fie permis accesul la datele altor persoane în cazul în care există elemente obiective care permit să se considere că aceste date ar putea aduce, într‑un caz concret, o contribuție efectivă la combaterea unor asemenea activități.

În scopul de a garanta, în practică, deplina respectare a acestor condiții, este esențial ca accesul autorităților naționale competente la datele păstrate să fie, în principiu, cu excepția unor situații de urgență justificate corespunzător, condiționat de un control prealabil efectuat fie de o instanță, fie de o entitate administrativă independentă și ca decizia acestei instanțe sau a acestei entități să intervină în urma unei cereri motivate formulate de autoritățile respective, printre altele în cadrul unor proceduri de prevenire, de detectare sau de urmărire penală. De asemenea, se impune ca autoritățile naționale competente cărora le‑a fost acordat accesul la datele păstrate să informeze persoanele în cauză, în cadrul procedurilor naționale aplicabile, din momentul în care această comunicare nu poate compromite anchetele desfășurate de autoritățile respective. Astfel, această informație este, de fapt, necesară pentru a le permite să își exercite printre altele dreptul de a introduce acțiunea, prevăzut expres la articolul 15 alineatul (2) din Directiva 2002/58 coroborat cu articolul 22 din Directiva 95/46 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, în cazul încălcării drepturilor lor.

În plus, ținând seama de cantitatea datelor păstrate, de caracterul sensibil al respectivelor date, precum și de riscul de acces ilicit la acestea, furnizorii de servicii de comunicații electronice trebuie, în scopul de a asigura deplina integritate și confidențialitate a datelor menționate, să garanteze un nivel deosebit de ridicat de protecție și de securitate prin măsuri tehnice și organizatorice adecvate. În special, reglementarea națională trebuie să prevadă păstrarea pe teritoriul Uniunii, precum și distrugerea iremediabilă a datelor la finalul duratei de păstrare a acestora.

(a se vedea punctele 118-122 și 125 și dispozitiv 2)

6.      A se vedea textul deciziei.

(a se vedea punctele 127-129)

7.      A se vedea textul deciziei.

(a se vedea punctul 130)