Ediție provizorie
HOTĂRÂREA CURȚII (Plenul)
30 aprilie 2024(*)
Cuprins
Cadrul juridic
Dreptul Uniunii
Reglementarea generală privind protecția datelor cu caracter personal
– Directiva 95/46/CE
– RGPD
Reglementarea sectorială privind protecția datelor cu caracter personal
– Directiva 2002/58
– Directiva (UE) 2016/680
Reglementarea privind protecția drepturilor de proprietate intelectuală
Dreptul francez
CPI
Decretul nr. 2010 236
Codul poștal și al comunicațiilor electronice;
Litigiul principal și întrebările preliminare
Cu privire la întrebările preliminare
Observații introductive
Cu privire la existența unei justificări, în temeiul articolului 15 alineatul (1) din Directiva 2002/58, a accesului unei autorități publice la date referitoare la identitatea civilă care sunt corelative unei adrese IP păstrate de furnizorii de servicii de comunicații electronice în scopul combaterii contrafacerii săvârșite online
Cu privire la cerințele care însoțesc păstrarea datelor referitoare la identitatea civilă și a adreselor IP corelative de către furnizorii de servicii de comunicații electronice
Cu privire la cerințele care însoțesc accesul la datele referitoare la identitatea civilă care sunt corelative unei adrese IP, păstrate de furnizorii de servicii de comunicații electronice
Cu privire la cerința unui control efectuat de o instanță sau de o entitate administrativă independentă înainte ca o autoritate publică să aibă acces la date referitoare la identitatea civilă care sunt corelative unei adrese IP
Cu privire la cerințele referitoare la condițiile materiale și procedurale, precum și la garanțiile împotriva riscurilor de abuz și împotriva oricărui acces și a oricărei utilizări ilicite a acestor date care sunt impuse pentru ca o autoritate publică să aibă acces la date referitoare la identitatea civilă care sunt corelative unei adrese IP
Cu privire la cheltuielile de judecată
„Trimitere preliminară – Prelucrarea datelor cu caracter personal și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58/CE – Confidențialitatea comunicațiilor electronice – Protecție – Articolul 5 și articolul 15 alineatul (1) – Carta drepturilor fundamentale a Uniunii Europene – Articolele 7, 8, 11 și articolul 52 alineatul (1) – Legislație națională care urmărește să combată, prin acțiunea unei autorități publice, contrafacerile săvârșite pe internet – Procedură numită de «răspuns gradual» – Colectarea în amonte, de către organisme ale titularilor de drepturi, a adreselor IP utilizate pentru activități care încalcă drepturile de autor sau drepturile conexe – Accesul în aval al autorității publice responsabile cu protecția drepturilor de autor și a drepturilor conexe la date referitoare la identitatea civilă corelative acestor adrese IP păstrate de furnizorii de servicii de comunicații electronice – Prelucrarea prin mijloace automatizate – Cerința unui control prealabil de către o instanță sau o entitate administrativă independentă – Condiții materiale și procesuale – Garanții împotriva riscurilor de abuz, precum și împotriva oricărui acces la aceste date și a oricărei utilizări ilicite a acestora”
În cauza C‑470/21,
având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Conseil d’État (Franța), prin decizia din 5 iulie 2021, primită de Curte la 30 iulie 2021, în procedura
La Quadrature du Net,
Fédération des fournisseurs d’accès à Internet associatifs,
Franciliens.net,
French Data Network
împotriva
Premier ministre,
Ministre de la Culture,
CURTEA (Plenul),
compusă din domnul K. Lenaerts, președinte, domnul L. Bay Larsen, vicepreședinte, domnul A. Arabadjiev, doamnele A. Prechal (raportoare) și K. Jürimäe, domnii C. Lycourgos, E. Regan, T. von Danwitz, F. Biltgen, N. Piçarra și Z. Csehi, președinți de cameră, domnii M. Ilešič, J.‑C. Bonichot, S. Rodin și P. G. Xuereb, doamna L. S. Rossi, domnii I. Jarukaitis, A. Kumin, N. Jääskinen și N. Wahl, doamna I. Ziemele, domnii J. Passer și D. Gratsias, doamna M. L. Arastey Sahún și domnul M. Gavalec, judecători,
avocat general: domnul M. Szpunar,
grefieri: doamnele V. Giacobbo și M. Krausenböck, administratoare,
având în vedere procedura scrisă și în urma ședinței din 5 iulie 2022,
luând în considerare observațiile prezentate:
– pentru La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net și French Data Network, de A. Fitzjean Ó Cobhthaigh, avocat;
– pentru guvernul francez, de A. Daniel, A.‑L. Desjonquères și J. Illouz, în calitate de agenți;
– pentru guvernul danez, de J. F. Kronborg și V. Pasternak Jørgensen, în calitate de agenți;
– pentru guvernul estonian, de M. Kriisa, în calitate de agent;
– pentru guvernul finlandez, de H. Leppo, în calitate de agent;
– pentru guvernul suedez, de H. Shev, în calitate de agent;
– pentru guvernul norvegian, de F. Bergsjø, S.‑E. Dahl, J. T. Kaasin și P. Wennerås, în calitate de agenți;
– pentru Comisia Europeană, de S. L. Kalėda, H. Kranenborg, P.‑J. Loewenthal și F. Wilman, în calitate de agenți,
după ascultarea concluziilor avocatului general în ședința din 27 octombrie 2022,
având în vedere ordonanța de redeschidere a procedurii orale din 23 martie 2023 și în urma ședinței din 15 mai 2023,
luând în considerare observațiile prezentate:
– pentru La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net și French Data Network, de A. Fitzjean Ó Cobhthaigh, avocat;
– pentru guvernul francez, de R. Bénard, J. Illouz și T. Stéhelin, în calitate de agenți;
– pentru guvernul ceh, de T. Suchá și J. Vláčil, în calitate de agenți;
– pentru guvernul danez, de J. F. Kronborg și C. A.‑S. Maertens, în calitate de agenți;
– pentru guvernul estonian, de M. Kriisa, în calitate de agent;
– pentru Irlanda, de M. Browne, Chief State Solicitor, A. Joyce și D. O’Reilly, în calitate de agenți, asistați de D. Fenelly, BL;
– pentru guvernul spaniol, de A. Gavela Llopis, în calitate de agent;
– pentru guvernul cipriot, de I. Neophytou, în calitate de agent;
– pentru guvernul leton, de J. Davidoviča și K. Pommere, în calitate de agenți;
– pentru guvernul neerlandez, de E. M. M. Besselink, K. Bultermann și A. Hanje, în calitate de agenți;
– pentru guvernul finlandez, de A. Laine și H. Leppo, în calitate de agenți;
– pentru guvernul suedez, de F.‑D. Göransson și H. Shev, în calitate de agenți;
– pentru guvernul norvegian, de S.‑E. Dahl și P. Wennerås, în calitate de agenți;
– pentru Comisia Europeană, de S. L. Kalėda, H. Kranenborg, P.‑J. Loewenthal și F. Wilman, în calitate de agenți;
– pentru Autoritatea Europeană pentru Protecția Datelor, de V. Bernardo, C.‑A. Marnier, D. Nardi și M. Pollmann, în calitate de agenți;
– pentru Agenția Uniunii Europene pentru Securitate Cibernetică, de A. Bourka, în calitate de agent,
după ascultarea concluziilor avocatului general în ședința din 28 septembrie 2023,
pronunță prezenta
Hotărâre
1 Cererea de decizie preliminară privește interpretarea, în lumina Cartei drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”), a Directivei 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO 2002, L 201, p. 37, Ediție specială, 13/vol. 36, p. 63), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009 (JO 2009, L 337, p. 11) (denumită în continuare „Directiva 2002/58”).
2 Această cerere a fost formulată în cadrul unui litigiu între asociațiile La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net și French Data Network, pe de o parte, și Premier ministre (prim‑ministrul, Franța) și ministre de la Culture (ministrul culturii, Franța), pe de altă parte, în legătură cu legalitatea décret no 2010‑236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331‑29 du code de la propriété intellectuelle dénommé „Système de gestion des mesures pour la protection des œuvres sur internet” (Decretul nr. 2010‑236 din 5 martie 2010 privind prelucrarea prin mijloace automatizate a datelor cu caracter personal autorizată prin articolul L. 331‑29 din Codul proprietății intelectuale, intitulat „Sistemul de gestionare a măsurilor pentru protecția operelor pe internet”) (JORF nr. 56 din 7 martie 2010, textul nr. 19), astfel cum a fost modificat prin décret no 2017‑924, du 6 mai 2017, relatif à la gestion des droits d’auteur et des droits voisins par un organisme de gestion de droits et modifiant le code de la propriété intellectuelle (Decretul nr. 2017‑924 din 6 mai 2017 privind gestionarea drepturilor de autor și a drepturilor conexe de către un organism de gestiune a drepturilor și de modificare a Codului proprietății intelectuale) (JORF nr. 109 din 10 mai 2017, textul nr. 176) (denumit în continuare „Decretul nr. 2010‑236”).
Cadrul juridic
Dreptul Uniunii
Reglementarea generală privind protecția datelor cu caracter personal
– Directiva 95/46/CE
3 Figurând în secțiunea II, intitulată „Criterii privind legitimitatea prelucrării datelor”, din capitolul II din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10), articolul 7 din aceasta avea următorul cuprins:
„Statele membre prevăd ca datele cu caracter personal să fie prelucrate numai dacă:
[…]
(f) prelucrarea este necesară pentru realizarea interesului legitim urmărit de operator sau de către unul sau mai mulți terți, cu condiția ca acest interes să nu prejudicieze interesul sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protecție în temeiul articolului 1 alineatul (1).”
4 Articolul 13 alineatul (1) din directiva menționată prevedea:
„Statele membre pot adopta măsuri legislative pentru a restrânge domeniul obligațiilor și drepturilor prevăzute la articolul 6 alineatul (1), articolul 10, articolul 11 alineatul (1), articolul 12 și articolul 21, dacă o astfel de restricție constituie o măsură necesară pentru a proteja:
[…]
(g) protecția persoanei vizate sau a drepturilor și libertăților altora.”
– RGPD
5 Articolul 2 din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, denumit în continuare „RGPD”), intitulat „Domeniul de aplicare material”, prevede la alineatele (1) și (2):
„(1) Prezentul regulament se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr‑un sistem de evidență a datelor sau care sunt destinate să facă parte dintr‑un sistem de evidență a datelor.
(2) Prezentul regulament nu se aplică prelucrării datelor cu caracter personal:
[…]
(d) de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.”
6 Articolul 4 din RGPD, intitulat „Definiții”, prevede:
„În sensul prezentului regulament:
1. «date cu caracter personal» înseamnă orice informații privind o persoană fizică identificată sau identificabilă («persoana vizată») […];
2. «prelucrare» înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
[…]”
7 Articolul 6 din acest regulament, intitulat „Legalitatea prelucrării”, prevede la alineatul (1):
„Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:
[…]
(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal […]
Litera (f) din primul paragraf [a se citi «a primului alineat»] nu se aplică în cazul prelucrării efectuate de autorități publice în îndeplinirea atribuțiilor lor.”
8 Articolul 9 din regulamentul menționat, intitulat „Prelucrarea de categorii speciale de date cu caracter personal”, prevede la alineatul (2) literele (e) și (f) că interdicția privind prelucrarea anumitor tipuri de date cu caracter personal care dezvăluie, printre altele, date privind viața sexuală sau orientarea sexuală a unei persoane fizice nu se aplică atunci când prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de persoana vizată sau este necesară printre altele pentru constatarea, exercitarea sau apărarea unui drept în instanță.
9 Articolul 23 din RGPD, intitulat „Restricții”, prevede la alineatul (1):
„Dreptul Uniunii sau dreptul intern care se aplică operatorului de date sau persoanei împuternicite de operator poate restricționa printr‑o măsură legislativă domeniul de aplicare al obligațiilor și al drepturilor prevăzute la articolele 12-22 și 34, precum și la articolul 5 în măsura în care dispozițiile acestuia corespund drepturilor și obligațiilor prevăzute la articolele 12-22, atunci când o astfel de restricție respectă esența drepturilor și libertăților fundamentale și constituie o măsură necesară și proporțională într‑o societate democratică, pentru a asigura:
[…]
(i) protecția persoanei vizate sau a drepturilor și libertăților altora;
(j) punerea în aplicare a pretențiilor de drept civil.”
Reglementarea sectorială privind protecția datelor cu caracter personal
– Directiva 2002/58
10 Considerentele (2), (6), (7), (11), (26) și (30) ale Directivei 2002/58 au următorul cuprins:
„(2) Prezenta directivă dorește respectarea drepturilor fundamentale și a principiilor recunoscute în special de [cartă]. Directiva caută să asigure în special respectarea deplină a drepturilor menționate la articolele 7 și 8 ale cartei.
[…]
(6) Internetul a răsturnat structurile de piață tradiționale furnizând o infrastructură comună la nivel global pentru o gamă foarte largă de servicii de comunicare electronică. Serviciile de comunicare electronică publice prin internet deschid noi posibilități pentru utilizatori, dar reprezintă și noi riscuri pentru datele lor personale și pentru confidențialitatea comunicațiilor lor.
(7) În cazul rețelelor de comunicații publice, ar trebui adoptate acte cu putere de lege, norme administrative și norme tehnice pentru protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și a intereselor legitime ale persoanelor juridice, mai cu seamă în privința capacităților în creștere de stocare automată și de prelucrarea a datelor referitoare la abonați și utilizatori.
[…]
(11) La fel ca Directiva [95/46], prezenta directivă nu se referă la chestiuni de protecție a drepturilor și libertăților fundamentale legate de activități care nu sunt reglementate de legile comunitare. Prin urmare, aceasta nu aduce atingere echilibrului existent între dreptul indivizilor la confidențialitate și posibilitatea ca statele membre să ia măsurile stipulate la articolul 15 alineatul (1) din prezenta directivă, posibilitate necesară în vederea protejării siguranței publice, apărării și siguranței statului (inclusiv bunăstării economice a acestuia, în cazul în care activitățile respective sunt legate de chestiuni de siguranța statului) și întăririi legii penale. În consecință, prezenta directivă nu interzice statelor membre să efectueze interceptări legale ale comunicațiilor electronice sau să ia alte măsuri pentru atingerea scopurilor menționate anterior, dacă acest lucru este necesar și în conformitate cu Convenția Europeană pentru Protecția Drepturilor Omului și a Libertăților Fundamentale, [semnată la Roma la 4 noiembrie 1950,] așa cum este aceasta interpretată de Curtea Europeană a Drepturilor Omului. Aceste măsuri trebuie să fie corespunzătoare, strict proporționale cu scopul urmărit și necesare în cadrul unei societăți democratice și trebuie însoțite de precauțiile corespunzătoare în conformitate cu Convenția Europeană pentru Protecția Drepturilor Omului și a Libertăților Fundamentale.
[…]
(26) Datele referitoare la abonați prelucrate în cadrul rețelei de comunicații electronice pentru a stabili conexiuni sau pentru a transmite informații conțin informații despre viața personală a persoanelor fizice și intră sub incidența dreptului la respectarea confidențialității corespondenței sau a dreptului la protejarea intereselor legitime ale persoanelor juridice. Aceste date pot fi stocate doar pe timpul necesar furnizării serviciului sau facturării și pentru plăți online și numai pentru o perioadă limitată de timp. Orice altă prelucrare a acestor date […] este permisă numai în cazul în care abonatul își dă acordul la aceasta după o informare corectă și completă din partea prestatorului de servicii publice de comunicații electronice cu privire la modul de prelucrare ulterioară a datelor pe care intenționează să o efectueze și la dreptul abonatului de a nu acorda sau de a‑și retrage acordul pentru această prelucrare. […]
[…]
(30) Sistemele de furnizare de servicii și rețele de comunicații electronice trebuie astfel construite încât să limiteze cantitatea de date personale necesare la un minimum strict. […]”
11 Potrivit articolului 2 din Directiva 2002/58, intitulat „Definiții”:
„[…]
Se aplică de asemenea următoarele definiții:
(a) «utilizator» înseamnă orice persoană fizică ce folosește un serviciu public de comunicații electronice, în scopuri profesionale sau personale, fără a fi în mod necesar abonat la serviciul respectiv;
(b) «date de transfer» înseamnă orice date prelucrate în scopul transmiterii comunicației printr‑o rețea de comunicații electronice sau în vederea facturării;
(c) «date de localizare» înseamnă orice date prelucrate într‑o rețea de comunicații electronice sau prin intermediul unui serviciu de comunicații electronice, care indică poziția geografică a echipamentului terminal al unui utilizator al unui serviciu de comunicații electronice destinat publicului;
[…]”
12 Articolul 3 din această directivă, intitulat „Serviciile vizate”, prevede:
„Prezenta directivă se aplică prelucrării de date cu caracter personal legate de furnizarea de servicii de comunicații electronice destinate publicului prin intermediul rețelelor publice de comunicații din cadrul Comunității, inclusiv al rețelelor publice de comunicații care presupun colectarea de date și dispozitive de identificare.”
13 Potrivit articolului 5 din directiva menționată, intitulat „Confidențialitatea comunicațiilor”:
(1) Statele membre trebuie să asigure confidențialitatea comunicațiilor și a datelor de transfer aferente transmise prin intermediul unei rețele de comunicații publice sau unor servicii publice de comunicații electronice, prin legislația internă. Acestea interzic astfel în special ascultarea, înregistrarea, stocarea sau alte tipuri de interceptare sau supraveghere a comunicațiilor și a datelor de transfer aferente de către persoane altele decât utilizatorul, fără acordul utilizatorului în cauză, cu excepția cazurilor în care acest lucru este permis în temeiul articolului 15 alineatul (1). Prezentul alineat nu interzice stocarea tehnică necesară pentru transmisia comunicației care nu aduce atingere principiului confidențialității.
[…]
(3) Statele membre se asigură că stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informații clare și complete, în conformitate cu Directiva [95/46], inter alia, cu privire la scopurile prelucrării. […]”
14 Articolul 6 din aceeași directivă, intitulat „Datele de transfer”, prevede:
(1) Datele de transfer referitoare la abonați și utilizatori prelucrate și stocate de către furnizorul rețelei de comunicații publice sau al serviciilor publice de comunicații electronice trebuie șterse sau trecute în anonimat de îndată ce nu mai sunt necesare în scopul transmiterii comunicației, fără a aduce atingere alineatelor (2), (3) și (5) din prezentul articol sau articolului 15 alineatul (1).
(2) Datele de transfer necesare în vederea facturării serviciilor oferite abonatului sau plății conexiunii pot să fie prelucrate. Prelucrarea lor este permisă doar până la sfârșitul perioadei în care factura poate fi contestată prin lege sau plata poate fi urmărită.
(3) În scopul comercializării de servicii de comunicații electronice sau al furnizării de servicii suplimentare, prestatorul de servicii publice de comunicații electronice poate prelucra datele menționate la alineatul (1) în măsura și pe durata de timp necesare promovării sau furnizării acestor servicii, dacă abonatul sau utilizatorul care face subiectul datelor respective și‑a dat acordul în acest sens. Utilizatorii și abonații trebuie să aibă posibilitatea de a‑și retrage acordul pentru prelucrarea datelor de transfer în orice moment.
[…]
(5) Prelucrarea de date de transfer în conformitate cu alineatele (1), (2), (3) și (4) trebuie limitată la persoanele care acționează sub autoritatea furnizorilor de rețele de comunicații publice sau de servicii publice de comunicații electronice în vederea facturării sau pentru gestionarea traficului, serviciul clientelă, detectarea fraudelor, promovarea serviciilor de comunicații electronice sau furnizarea de servicii suplimentare și trebuie să se limiteze la prelucrarea strict necesară scopului respectivei activități.”
15 Articolul 15 alineatul (1) din Directiva 2002/58, intitulat „Aplicarea anumitor dispoziții ale Directivei [95/46]”, prevede:
(1) Statele membre pot adopta măsuri legislative pentru a restrânge sfera de aplicare a drepturilor și obligațiilor prevăzute la articolul 5, articolul 6, articolul 8 alineatele (1), (2), (3) și (4) și articolul 9 ale prezentei directive, în cazul în care restrângerea lor constituie o măsură necesară, corespunzătoare și proporțională în cadrul unei societăți democratice pentru a proteja securitatea națională (de exemplu siguranța statului), apărarea, siguranța publică sau pentru prevenirea, investigarea, detectarea și urmărirea penală a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicații electronice, în conformitate cu articolul 13 alineatul (1) al Directivei [95/46]. În acest scop, statele membre pot adopta, inter alia, măsuri legislative care să permită reținerea de date, pe perioadă limitată, pentru motivele arătate anterior în acest alineat. Toate măsurile menționate în acest alineat trebuie să fie conforme cu principiile generale ale legislației comunitare, inclusiv cu cele menționate la articolul 6 alineatele (1) și (2) [TUE].
[…]
(2) Dispozițiile capitolului III cu privire la măsuri judiciare, responsabilitate și sancțiuni din Directiva [95/46] se aplică în privința dispozițiilor de drept intern adoptate în conformitate cu prezenta directivă și cu privire la drepturile individuale ce decurg din prezenta directivă.
[…]”
– Directiva (UE) 2016/680
16 Articolul 1 din Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei‑cadru 2008/977/JAI a Consiliului (JO 2016, L 119, p. 89), intitulat „Obiect și obiective”, prevede la alineatul (1):
„Prezenta directivă stabilește normele referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora.”
17 Articolul 3 din directiva menționată, intitulat „Definiții”, prevede:
„În sensul prezentei directive:
[…]
(7) «autoritate competentă» înseamnă:
(a) orice autoritate publică competentă în materie de prevenire, depistare, investigare sau urmărire penală a infracțiunilor sau de executare a pedepselor, inclusiv în materie de protejare împotriva amenințărilor la adresa securității publice și de prevenire a acestora; sau
(b) orice alt organism sau entitate împuternicit(ă) de dreptul intern să exercite autoritate publică și competențe publice în scopul în prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa securității publice și al prevenirii acestora;
[…]”
Reglementarea privind protecția drepturilor de proprietate intelectuală
18 Articolul 8 din Directiva 2004/48/CE a Parlamentului European și a Consiliului din 29 aprilie 2004 privind respectarea drepturilor de proprietate intelectuală (JO 2004, L 157, p. 45, rectificare în JO 2004, L 195, p. 16, Ediție specială, 17/vol. 2, p. 56), intitulat „Dreptul la informare”, prevede:
„(1) Statele membre asigură ca, în cadrul unei acțiuni referitoare la încălcarea unui drept de proprietate intelectuală și ca răspuns la o cerere justificată și rezonabilă a reclamantului, autoritățile judecătorești competente să poată ordona ca informațiile privind originea și rețelele de distribuție a mărfurilor sau a serviciilor care încalcă unui drept de proprietate intelectuală să fie furnizate de contravenient […]
(2) Informațiile menționate la alineatul (1) cuprind, după caz:
(a) denumirea și adresele producătorilor, fabricanților, distribuitorilor, furnizorilor și ale celorlalți deținători anteriori ai mărfurilor sau ai serviciilor, precum și ale angrosiștilor destinatari și ale vânzătorilor cu amănuntul;
[…]
(3) Alineatele (1) și (2) se aplică fără a aduce atingere altor acte cu putere de lege și norme administrative care:
(a) acordă titularului dreptul de a primi informații mai extinse;
(b) reglementează utilizarea în cauzele civile sau penale a informațiilor comunicate în conformitate cu prezentul articol;
(c) reglementează răspunderea pentru abuzul de drept la informare;
(d) dau posibilitatea să se refuze furnizarea de informații care ar constrânge persoana menționată la alineatul (1) să admită propria sa participare sau cea a rudelor sale apropiate la încălcarea unui drept de proprietate intelectuală sau
(e) reglementează protecția confidențialității surselor de informare sau prelucrarea datelor cu caracter personal.”
Dreptul francez
CPI
19 Articolul L. 331‑12 din code de la propriété intellectuelle (Codul proprietății intelectuale), în versiunea în vigoare la data deciziei contestate de reclamantele din litigiul principal (denumit în continuare „CPI”), prevede:
„Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet [Înalta autoritate pentru difuzarea operelor și protecția drepturilor pe internet (denumită în continuare «Hadopi»)] este o autoritate publică independentă.”
20 Articolul L. 331‑13 din acest cod prevede:
„[Hadopi] asigură:
1 O misiune de încurajare a dezvoltării ofertei legale și de observare a utilizării legale și ilegale a operelor și obiectelor asupra cărora există un drept de autor sau un drept conex asupra rețelelor de comunicații electronice utilizate pentru furnizarea de servicii de comunicații publice online;
2 O misiune de protecție a acestor opere și obiecte împotriva încălcărilor acestor drepturi în rețelele de comunicații electronice utilizate pentru furnizarea de servicii de comunicații publice online;
[…]”
21 Potrivit articolului L. 331‑15 din codul menționat:
„[Hadopi] este compusă dintr‑un colegiu și o comisie pentru protecția drepturilor. […]
[…]
În exercitarea atribuțiilor lor, membrii colegiului și ai comisiei pentru protecția drepturilor nu primesc instrucțiuni de la nicio autoritate.”
22 Articolul L. 331‑17 primul paragraf din același cod prevede:
„Comisia pentru protecția drepturilor este responsabilă de luarea măsurilor prevăzute la articolul L. 331‑25.”
23 Potrivit articolului L. 331‑21 din CPI:
„Pentru exercitarea de către comisia pentru protecția drepturilor a atribuțiilor sale, [Hadopi] dispune de agenți publici autorizați împuterniciți de președintele [acesteia] în condițiile stabilite printr‑un decret adoptat pe baza avizului Conseil d’État (Consiliul de Stat). […]
Membrii comisiei pentru protecția drepturilor și agenții menționați la primul paragraf primesc sesizările adresate comisiei menționate în condițiile prevăzute la articolul L. 331‑24. Aceștia efectuează o examinare a faptelor.
Ei pot obține, în măsura în care este necesar pentru desfășurarea procedurii, toate documentele, indiferent de suportul lor, inclusiv datele păstrate și prelucrate de operatorii de comunicații electronice în temeiul articolului L. 34‑1 din code des postes et des communications électroniques (Codul poștal și al comunicațiilor electronice) și de prestatorii de servicii menționați la punctele 1 și 2 ale alineatului I al articolului 6 din loi no 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique (Legea nr. 2004‑575 din 21 iunie 2004 privind încrederea în economia digitală).
De asemenea, pot obține copii ale documentelor menționate la paragraful precedent.
În special, pot obține din partea operatorilor de comunicații electronice identitatea, adresa poștală, adresa electronică și datele de contact telefonic ale abonatului al cărui acces la servicii de comunicații publice online a fost utilizat în scopul reproducerii, al reprezentării, al punerii la dispoziție sau al comunicării publice de opere sau de obiecte protejate fără autorizarea titularilor drepturilor […] în cazul în care aceasta este necesară.”
24 Articolul L. 331‑24 din acest cod prevede:
„Comisia pentru protecția drepturilor acționează la sesizarea agenților autorizați și acreditați […] care sunt desemnați de:
– organismele de apărare a intereselor profesionale constituite periodic;
– organismele de gestiune colectivă;
– Centrul național al cinematografiei și al imaginii animate.
Comisia pentru protecția drepturilor poate acționa și pe baza informațiilor care îi sunt transmise de procurorul Republicii.
Aceasta nu poate fi sesizată cu privire la fapte care datează de mai mult de șase luni.”
25 Potrivit articolului L. 331‑25 din acest cod, dispoziție care reglementează așa‑numita procedură de „răspuns gradual”:
„Atunci când este sesizată cu privire la fapte care pot constitui o neîndeplinire a obligației definite la articolul L. 336‑3 [din CPI], comisia pentru protecția drepturilor poate trimite abonatului […] o recomandare prin care îi amintește dispozițiile articolului L. 336‑3, îi solicită să respecte obligația pe care acestea o definesc și îl avertizează cu privire la sancțiunile aplicabile în temeiul articolelor L. 335‑7 și L. 335‑7‑4. Această recomandare conține de asemenea o informare a abonatului cu privire la oferta legală de conținuturi culturale online, cu privire la existența unor mijloace de securizare care permit prevenirea încălcării obligației definite la articolul L. 336‑3, precum și cu privire la pericolele pentru reînnoirea creației artistice și pentru economia sectorului cultural pe care le prezintă practicile care nu respectă dreptul de autor și drepturile conexe.
În cazul repetării unor fapte care pot constitui o neîndeplinire a obligației definite la articolul L. 336‑3, comisia poate adresa, în termen de șase luni de la trimiterea recomandării menționate la primul paragraf, o nouă recomandare care conține aceleași informații ca precedenta trimisă pe cale electronică […]. Această recomandare trebuie trimisă printr‑o scrisoare predată sub semnătură sau prin orice alt mijloc de natură să facă dovada datei aducerii la cunoștință a acestei recomandări.
Recomandările adresate în temeiul prezentului articol menționează data și ora la care au fost constatate faptele care pot constitui o neîndeplinire a obligației definite la articolul L. 336‑3. În schimb, ele nu divulgă conținutul operelor sau al obiectelor protejate care fac obiectul acestei neîndepliniri a obligațiilor. Ele precizează coordonatele telefonice, poștale și electronice la care destinatarul lor poate, dacă dorește, să adreseze observații comisiei pentru protecția drepturilor și să obțină, dacă formulează o cerere expresă, precizări cu privire la conținutul operelor sau al obiectelor protejate care fac obiectul neîndeplinirii obligațiilor care îi este imputată.”
26 Articolul L. 331‑29 din CPI prevede:
„Este autorizată crearea de către [Hadopi] a unei prelucrări automatizate a datelor cu caracter personal referitoare la persoanele care fac obiectul unei proceduri în cadrul prezentei subsecțiuni.
Această prelucrare are drept scop punerea în aplicare de către comisia pentru protecția drepturilor a măsurilor prevăzute în prezenta subsecțiune, a tuturor actelor de procedură aferente și a modalităților de informare a organismelor de apărare a intereselor profesionale și a organismelor de gestiune colectivă cu privire la eventualele sesizări ale autorității judiciare, precum și a notificărilor prevăzute la al cincilea paragraf al articolului L. 335‑7.
Un decret […] stabilește normele de aplicare a prezentului articol. El precizează în special:
– categoriile de date înregistrate și perioada de păstrare a acestora;
– destinatarii abilitați să obțină comunicarea datelor respective, în special persoanele a căror activitate este aceea de a oferi acces la servicii de comunicații publice online;
– condițiile în care persoanele interesate își pot exercita, la [Hadopi], dreptul de acces la datele care le vizează […].”
27 Articolul L. 335‑2 primul și al doilea paragraf din acest cod precizează:
„Orice editare de înscrisuri, de compoziție muzicală, de desen, de pictură sau de orice altă producție, imprimată sau gravată integral sau parțial, cu încălcarea legilor și a reglementărilor privind proprietatea autorilor, reprezintă o contrafacere și orice contrafacere constituie o faptă delictuală.
Contrafacerea, în Franța, de lucrări publicate în Franța sau în străinătate se pedepsește cu trei ani de închisoare și cu o amendă de 300 000 de euro.”
28 Articolul L. 335‑4 primul paragraf din codul menționat prevede:
„Se pedepsește cu trei ani de închisoare și cu o amendă de 300 000 de euro orice fixare, reproducere, comunicare sau punere la dispoziția publicului, cu titlu oneros sau gratuit, sau orice difuzare prin televiziune a unei prestații, a unei fonograme, a unei videograme, a unui program sau a unei publicații de presă, realizată fără autorizarea artistului interpret, a producătorului de fonograme sau de videograme, a întreprinderii de comunicații audiovizuale, a editorului de presă sau a agenției de presă, atunci când autorizarea este necesară.”
29 Articolul L. 335‑7 din CPI prevede normele referitoare la aplicarea pedepsei complementare a suspendării accesului la un serviciu de comunicații publice online, pentru o durată maximă de un an, persoanelor vinovate de infracțiunile prevăzute în special la articolele L. 335‑2 și L. 335‑4 din acest cod.
30 Articolul L. 335‑7‑1 primul paragraf din codul menționat are următorul cuprins:
„Pentru contravențiile din clasa a cincea prevăzute de prezentul cod, atunci când regulamentul prevede acest lucru, pedeapsa complementară stabilită la articolul L. 335‑7 poate fi aplicată în aceleași condiții, în caz de neglijență gravă, titularului accesului la un serviciu de comunicații publice online căruia comisia pentru protecția drepturilor i‑a adresat în prealabil, în temeiul articolului L. 331‑25, o recomandare printr‑o scrisoare predată sub semnătură sau prin orice alt mijloc de natură să facă dovada datei aducerii la cunoștință a acestei recomandări prin care a fost invitat să pună în aplicare un mijloc de securizare a accesului său la internet.”
31 Potrivit articolului L. 336‑3 din același cod:
„Persoana titulară a accesului la servicii de comunicații publice online are obligația de a se asigura că acest acces nu face obiectul unei utilizări în scopul reproducerii, al reprezentării, al punerii la dispoziție sau al comunicării publice a unor opere sau obiecte protejate printr‑un drept de autor sau un drept conex, fără autorizarea titularilor […] atunci când autorizarea este necesară.
Neîndeplinirea obligației definite la primul paragraf de către persoana titulară a accesului nu are ca efect angajarea răspunderii penale a persoanei în cauză […]”
32 Articolul L. 331‑37 primul paragraf din CPI prevede:
„Operatorii de comunicații electronice […] și prestatorii de servicii […] sunt obligați să comunice, printr‑o interconectare la prelucrarea prin mijloace automatizate a datelor cu caracter personal menționată la articolul L. 331‑29 sau prin utilizarea unui suport de înregistrare care asigură integritatea și securitatea lor, datele cu caracter personal și informațiile menționate la punctul 2 din anexa la décret [no 2010‑236] [Decretul nr. 2010‑236] în termen de opt zile de la transmiterea de către comisia pentru protecția drepturilor a datelor tehnice necesare pentru identificarea abonatului al cărui acces la serviciile de comunicații publice online a fost utilizat în scopul reproducerii, al reprezentării, al punerii la dispoziție sau al comunicării publice de opere sau de obiecte protejate fără autorizarea titularilor drepturilor […] atunci când autorizarea este necesară.”
33 Potrivit articolului L. 331‑40 din acest cod:
„În cazul în care, în termen de un an de la aducerea la cunoștință a recomandării menționate la primul paragraf al articolului L. 335‑7‑1, comisia pentru protecția drepturilor este sesizată cu privire la noi fapte care pot constitui o neglijență gravă definită la articolul L. 335‑5, aceasta informează abonatul, prin scrisoare predată sub semnătură, că aceste fapte pot face obiectul urmăririi penale. Prin această scrisoare, persoana în cauză este invitată să își prezinte observațiile în termen de 15 zile. Se mai precizează că persoana în cauză poate, în același termen, să solicite o audiere în temeiul articolului L. 331‑21‑1 și că are dreptul să fie asistată de un consilier. De asemenea, este invitată să precizeze obligațiile familiale și resursele de care dispune.
Comisia poate convoca din proprie inițiativă persoana în cauză pentru a fi audiată. Prin scrisoarea de convocare, se precizează că aceasta are dreptul să fie asistată de un consilier.”
34 Articolul L. 335‑5 din CPI prevede:
„I. – Constituie o neglijență gravă, care se pedepsește cu amenda prevăzută pentru contravențiile din clasa a cincea, atunci când sunt îndeplinite condițiile prevăzute la alineatul II, faptul că, fără un motiv legitim, persoana titulară a unui acces la servicii de comunicații publice online:
1° fie nu a implementat un mijloc de securizare a acestui acces;
2° fie nu a exercitat diligența necesară în punerea în aplicare a acestui mijloc.
II. – Dispozițiile alineatului I sunt aplicabile numai atunci când sunt îndeplinite următoarele două condiții:
1° în temeiul articolului L. 331‑25 și în modalitățile prevăzute la acest articol, comisia pentru protecția drepturilor i‑a recomandat titularului accesului să pună în aplicare un mijloc de securizare a accesului său care să permită prevenirea repetării utilizării acestuia în scopul reproducerii, al reprezentării, al punerii la dispoziție sau al comunicării publice a unor opere sau obiecte protejate printr‑un drept de autor sau un drept conex fără autorizarea titularilor drepturilor […], atunci când autorizarea este necesară;
2° în anul următor aducerii la cunoștință a acestei recomandări, acest acces este din nou utilizat în scopurile menționate la punctul 1 al prezentului alineat II.”
35 Începând cu 1 ianuarie 2022, în temeiul loi no 2021‑1382, du 25 octobre 2021, relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique [Legea nr. 2021‑1382 din 25 octombrie 2021 privind reglementarea și protecția accesului la operele culturale în era digitală] (JORF nr. 250 din 26 octombrie 2021, textul nr. 2), Hadopi a fuzionat cu Conseil supérieur de l’audiovisuel [Consiliul Superior al Audiovizualului] (CSA), o altă autoritate publică independentă, în vederea constituirii Autorité de régulation de la communication audiovisuelle et numérique [Autoritatea de reglementare a comunicațiilor audiovizuale și digitale] (ARCOM).
36 Procedura de răspuns gradual, menționată la punctul 25 din prezenta hotărâre, a rămas însă în esență neschimbată, chiar dacă în prezent nu mai este pusă în aplicare de comisia pentru protecția drepturilor din cadrul Hadopi, care era compusă din trei membri, desemnați de Conseil d’État, de Curtea de Conturi și, respectiv, de Cour de cassation (Curtea de Casație), ci de doi membri ai colegiului ARCOM, dintre care unul este desemnat de Consiliul de Stat, iar celălalt de Cour de cassation (Curtea de Casație).
Decretul nr. 2010‑236
37 Decretul nr. 2010‑236, adoptat în special în temeiul articolului L. 331‑29 din CPI, prevede la articolul 1:
„Prelucrarea datelor cu caracter personal, denumită «Sistemul de gestionare a măsurilor pentru protecția operelor pe internet», are ca scop punerea în aplicare de către comisia pentru protecția drepturilor din cadrul [Hadopi]:
1° a măsurilor prevăzute în volumul III din partea legislativă din [CPI] (titlul III capitolul I secțiunea 3 subsecțiunea 3) și în volumul III din partea administrativă din același cod (titlul III capitolul I secțiunea 2 subsecțiunea 2);
2° a sesizărilor procurorului Republicii cu privire la fapte care pot constitui infracțiunile prevăzute la articolele L. 335‑2, L. 335‑3, L. 335‑4 și L. 335‑5 din același cod, precum și a informării organismelor de apărare a intereselor profesionale și a organismelor de gestiune colectivă cu privire la aceste sesizări;
[…]”
38 Articolul 4 din acest decret prevede:
„I. – Au acces direct la datele cu caracter personal și la informațiile menționate în anexa la prezentul decret angajații publici autorizați, împuterniciți de președintele [Hadopi] în temeiul articolului L. 331‑21 din [CPI], și membrii comisiei pentru protecția drepturilor, menționată la articolul 1.
II. – Operatorii de comunicații electronice și prestatorii de servicii menționați la punctul 2 din anexa la prezentul decret sunt destinatari:
– ai datelor tehnice necesare pentru identificarea abonatului;
– ai recomandărilor prevăzute la articolul L. 331‑25 din [CPI] în vederea transmiterii pe cale electronică a acestora către abonații lor;
– ai elementelor necesare pentru punerea în aplicare a pedepselor complementare de suspendare a accesului la serviciul de comunicații publice online, aduse la cunoștința comisiei pentru protecția drepturilor de către procurorul Republicii.
III. – Organismele de apărare a intereselor profesionale și organismele de gestiune colectivă sunt destinatare ale informării referitoare la sesizarea procurorului Republicii.
IV. – Autoritățile judiciare sunt destinatare ale proceselor verbale de constatare a faptelor care pot constitui infracțiunile prevăzute la articolele L. 335‑2, L. 335‑3, L. 335‑4, L. 335‑7, L. 331‑37, R. 331-38 și R. 335‑5 din [CPI].
În cazierul judiciar automatizat este menționată informația cu privire la executarea pedepsei de suspendare.”
39 Anexa la decretul menționat prevede:
„Datele cu caracter personal și informațiile înregistrate în prelucrarea denumită «Sistemul de gestionare a măsurilor pentru protecția operelor pe internet» sunt următoarele:
1° Datele cu caracter personal și informațiile provenite de la organismele de apărare a intereselor profesionale constituite periodic, de la organismele de gestiune colectivă, de la Centrul național al cinematografiei și al imaginii animate, precum și cele provenite de la procurorul Republicii:
În ceea ce privește faptele care pot constitui o neîndeplinire a obligației definite la articolul L. 336‑3 din [CPI]:
Data și ora faptelor;
Adresa IP a abonaților în cauză;
Protocolul peer‑to‑peer utilizat;
Pseudonimul utilizat de abonat;
Informații referitoare la operele sau la obiectele protejate care fac obiectul faptelor;
Denumirea fișierului, astfel cum se regăsește pe calculatorul abonatului (dacă este cazul);
Furnizorul de acces la internet de la care a fost achiziționat accesul sau care a furnizat resursa tehnică IP.
[…]
2° Datele cu caracter personal și informațiile referitoare la abonat colectate de la operatorii de comunicații electronice […] și de la prestatorii de servicii […]:
Numele de familie, prenumele;
Adresa poștală și adresele electronice;
Coordonatele telefonice;
Adresa postului telefonic al abonatului;
Furnizorul de acces la internet, care utilizează resursele tehnice ale furnizorului de acces menționat la punctul 1, cu care abonatul a încheiat contractul; numărul de dosar;
Data de la care începe suspendarea accesului la serviciul de comunicații publice online.
[…]”
Codul poștal și al comunicațiilor electronice;
40 Articolul L. 34‑1 alineatul II bis din Codul poștal și al comunicațiilor electronice prevede:
„Operatorii de comunicații electronice sunt obligați să păstreze:
1° în scopul desfășurării procedurilor penale, al prevenirii amenințărilor împotriva siguranței publice și al apărării securității naționale, informațiile referitoare la identitatea civilă a utilizatorului, până la împlinirea unui termen de cinci ani de la încetarea validității contractului său;
2° în aceleași scopuri precum cele enunțate la punctul 1 al prezentului alineat II bis, celelalte informații furnizate de utilizator la momentul încheierii unui contract sau al creării unui cont, precum și informațiile referitoare la plată până la împlinirea unui termen de un an de la încetarea validității contractului său sau de la închiderea contului său;
3° în scopul combaterii criminalității și infracționalității grave, al prevenirii amenințărilor grave împotriva siguranței publice și al apărării securității naționale, datele tehnice care permit identificarea sursei de conectare sau cele referitoare la echipamentele terminale utilizate, până la expirarea unui termen de un an de la conectare sau de la utilizarea echipamentelor terminale.”
Litigiul principal și întrebările preliminare
41 Întrucât Premier ministre (Franța) le‑a respins implicit cererea de abrogare a Decretului nr. 2010‑236, reclamantele din litigiul principal au sesizat, prin cererea introductivă din 12 august 2019, Conseil d’État (Consiliul de Stat, Franța) cu o acțiune având ca obiect anularea acestei decizii implicite de respingere. Acestea au arătat în esență că articolul L. 331‑21 al treilea‑al cincilea paragraf din CPI, care constituie baza legală a acestui decret, încalcă, pe de o parte, dreptul la respectarea vieții private consacrat de Constituția franceză și, pe de altă parte, dreptul Uniunii, cu precădere articolul 15 din Directiva 2002/58, precum și articolele 7, 8, 11 și 52 din cartă.
42 În ceea ce privește aspectul acțiunii referitor la pretinsa încălcare a Constituției, Conseil d’État a sesizat Conseil constitutionnel (Consiliul Constituțional, Franța) cu o întrebare prealabilă de constituționalitate.
43 Prin Decizia nr. 2020‑841 QPC din 20 mai 2020, La Quadrature du Net și alții [Dreptul de comunicare la Hadopi], Conseil constitutionnel a declarat neconstituționale al treilea și al patrulea paragraf ale articolului L. 331‑21 din CPI, dar a declarat al cincilea paragraf al articolului menționat ca fiind conform cu Constituția, mai puțin sintagma „în special” din cuprinsul acestuia.
44 În ceea ce privește nerespectarea dreptului Uniunii invocată de reclamantele din litigiul principal, acestea au susținut mai ales că Decretul nr. 2010‑236 și dispozițiile care constituie baza sa legală permit accesul la datele de conectare într‑un mod disproporționat în cazul săvârșirii pe internet a unor încălcări ale drepturilor de autor care sunt lipsite de gravitate, fără să existe un control prealabil al unui judecător sau al unei autorități, care să prezinte garanții de independență și de imparțialitate. În special, aceste încălcări nu s‑ar încadra la „infracționalitatea gravă” avută în vedere în Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții (C‑203/15 și C‑698/15, EU:C:2016:970).
45 În această privință, Conseil d’État, amintește, pe de o parte, că, prin Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), Curtea a declarat printre altele că articolul 15 alineatul (1) din Directiva 2002/58, interpretat în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din cartă, nu se opune unor măsuri legislative care prevăd, în scopul protejării securității naționale, al combaterii infracționalității și al protejării siguranței publice, o păstrare generalizată și nediferențiată a datelor referitoare la identitatea civilă a utilizatorilor de mijloace de comunicații electronice. Astfel, în ceea ce privește datele referitoare la identitatea civilă a utilizatorilor de mijloace de comunicații electronice, o asemenea stocare ar fi posibilă, fără un termen specific, în scopul cercetării, al depistării și al urmăririi penale a infracțiunilor în general. Directiva 2002/58 nu s‑ar opune nici accesului la aceste date în astfel de scopuri.
46 Instanța de trimitere deduce de aici că, în ceea ce privește accesul la datele referitoare la identitatea civilă a utilizatorilor de mijloace de comunicații electronice, ar trebui înlăturat motivul formulat de reclamantele din litigiul principal pe baza faptului că Decretul nr. 2010‑236 este nelegal întrucât a fost adoptat în cadrul combaterii încălcărilor lipsite de gravitate.
47 Aceasta amintește, pe de altă parte, că, în Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții (C‑203/15 și C‑698/15, EU:C:2016:970), Curtea a declarat printre altele că articolul 15 alineatul (1) din Directiva 2002/58 trebuie interpretat, prin raportare la articolele 7, 8 și 11, precum și a articolului 52 alineatul (1) din cartă, în sensul că se opune unei legislații naționale care reglementează protecția și securitatea datelor de transfer și a datelor de localizare, în special accesul autorităților naționale competente la datele păstrate, fără ca accesul respectiv să facă obiectul unui control prealabil exercitat de o instanță sau de o entitate administrativă independentă.
48 Instanța de trimitere face trimitere mai precis la punctul 120 din această hotărâre, în care Curtea a precizat că este esențial ca un astfel de acces la datele păstrate să fie, în principiu, cu excepția unor situații de urgență justificate corespunzător, condiționat de un control prealabil efectuat fie de o instanță, fie de o entitate administrativă independentă și ca decizia acestei instanțe sau a acestei entități să intervină în urma unei cereri motivate formulate de autoritățile respective, printre altele, în cadrul unor proceduri de prevenire, de detectare sau de urmărire penală.
49 Curtea ar fi amintit această cerință în Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), în ceea ce privește colectarea în timp real a datelor de conectare de către serviciile de informații, precum și în Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice) (C‑746/18, EU:C:2021:152), în ceea ce privește accesul autorităților naționale la datele de conectare.
50 Această instanță remarcă în final că, de la înființarea sa în anul 2009, Hadopi a adresat mai mult de 12,7 milioane de recomandări titularilor de abonamente în temeiul procedurii de răspuns gradual prevăzute la articolul L. 331‑25 din CPI, dintre care 827 791 numai în cursul anului 2019. Acest lucru a avut drept implicație faptul că agenții comisiei pentru protecția drepturilor din cadrul Hadopi au fost nevoiți să colecteze anual un număr considerabil de date referitoare la identitatea civilă a utilizatorilor în cauză. Aceasta apreciază că, ținând seama de numărul acestor recomandări, un control prealabil al acestei colectări ar risca să facă imposibilă aplicarea recomandărilor.
51 În aceste condiții, Conseil d’État (Consiliul de Stat) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
„1) Datele de identitate civilă corelative unei adrese IP se numără printre datele de transfer sau de localizare supuse, în principiu, obligației efectuării unui control prealabil de către o instanță sau o entitate administrativă independentă care dispune de putere de constrângere?
2) În cazul unui răspuns afirmativ la prima întrebare și având în vedere sensibilitatea redusă a datelor referitoare la identitatea civilă a utilizatorilor, inclusiv a datelor de contact ale acestora, Directiva [2002/58], din perspectiva [cartei], trebuie interpretată, în sensul că se opune unei reglementări naționale care prevede colectarea datelor respective care corespund adresei IP a utilizatorilor de către o autoritate administrativă, fără un control prealabil din partea unei instanțe sau a unei entități administrative independente care dispune de putere de constrângere?
3) În cazul unui răspuns afirmativ la a doua întrebare și având în vedere sensibilitatea redusă a datelor referitoare la identitatea civilă, împrejurarea că numai datele menționate pot fi colectate, exclusiv în scopul prevenirii neîndeplinirii unor obligații stabilite în mod precis, limitativ și restrictiv de dreptul național, precum și împrejurarea că un control sistematic al accesului la datele fiecărui utilizator din partea unei instanțe sau a unei entități administrative terțe care dispune de putere de constrângere ar fi de natură să compromită îndeplinirea misiunii de serviciu public încredințate autorității administrative care este de asemenea independentă și care realizează această colectare, Directiva [2002/58] se opune efectuării controlului respectiv în condiții adaptate, de exemplu prin control automat, dacă este cazul sub supravegherea unui serviciu intern al organismului care prezintă garanții de independență și de imparțialitate în raport cu agenții însărcinați să realizeze colectarea în cauză?”
Cu privire la întrebările preliminare
52 Prin intermediul celor trei întrebări preliminare, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă articolul 15 alineatul (1) din Directiva 2002/58, prin raportare la articolele 7, 8 și 11, precum și la articolul 52 alineatul (1) din cartă, trebuie interpretat în sensul că se opune unei reglementări naționale care permite autorității publice însărcinate cu protecția drepturilor de autor și a drepturilor conexe împotriva încălcărilor acestor drepturi săvârșite pe internet să aibă acces la datele păstrate de furnizorii de servicii de comunicații electronice, referitoare la identitatea civilă ce corespund adreselor IP colectate în prealabil de organisme ale titularilor de drepturi, pentru ca această autoritate publică să poată identifica titularii acestor adrese utilizate pentru activități susceptibile să constituie astfel de încălcări și să poată lua, dacă este cazul, măsuri în privința lor, fără ca acest acces să fie condiționat de efectuarea unui control prealabil de către o instanță sau de către o entitate administrativă independentă.
Observații introductive
53 În cauza principală sunt în discuție două prelucrări de date cu caracter personal distincte și succesive, efectuate în cadrul activităților Hadopi, o autoritate publică independentă a cărei misiune constă, printre altele, conform articolului L. 331‑13 din CPI, în protecția operelor și a obiectelor protejate printr‑un drept de autor sau un drept conex împotriva încălcărilor acestor drepturi în rețelele de comunicații electronice utilizate pentru furnizarea de servicii de comunicații publice online.
54 Prima prelucrare, efectuată în amonte de agenți autorizați și agreați de organisme ale titularilor de drepturi, se desfășoară în două etape. Într‑o primă etapă, adresele IP identificate că au fost utilizate pentru activități ce pot constitui o încălcare a unui drept de autor sau a unui drept conex sunt colectate pe rețelele peer‑to‑peer. Într‑o a doua etapă, un set de date cu caracter personal și de informații sunt puse la dispoziția Hadopi sub formă de procese‑verbale. Aceste date sunt, potrivit listei de la punctul 1 din anexa la Decretul nr. 2010‑236, data și ora faptelor, adresa IP a abonaților în cauză, protocolul peer‑to‑peer utilizat, pseudonimul utilizat de abonat, informații referitoare la operele sau la obiectele protejate care fac obiectul faptelor, denumirea fișierului, astfel cum se regăsește pe calculatorul abonatului (dacă este cazul), și furnizorul de acces la internet de la care a fost achiziționat accesul sau care a furnizat resursa tehnică IP.
55 A doua prelucrare, efectuată în aval de furnizorii de acces la internet la cererea Hadopi, se desfășoară tot în două etape. Într‑o primă etapă se stabilește corespondența dintre adresele IP, colectate în amonte, și titularii acestor adrese. Într‑o a doua etapă, un set de date cu caracter personal și de informații referitoare la titularii menționați, care privesc în esență identitatea lor civilă, sunt puse la dispoziția acestei autorități publice. Potrivit listei de la punctul 2 din anexa la Decretul nr. 2010‑236, aceste date sunt în esență numele de familie și prenumele, adresa poștală și adresele electronice, coordonatele telefonice, precum și adresa postului telefonic al abonatului.
56 În această ultimă privință, articolul L. 331‑21 din CPI prevede, la al cincilea paragraf, în versiunea care rezultă din decizia Conseil constitutionnel menționată la punctul 43 din prezenta hotărâre, că membrii Comisiei pentru protecția drepturilor din cadrul Hadopi și agenții publici autorizați de această autoritate împuterniciți de președintele său pot obține de la operatorii de comunicații electronice identitatea, adresa poștală, adresa electronică și coordonatele telefonice ale abonatului al cărui acces la serviciile de comunicații publice online a fost utilizat pentru reproducerea, reprezentarea, punerea la dispoziție sau comunicarea publică a operelor sau a obiectelor protejate fără autorizarea titularilor drepturilor, atunci când aceasta este necesară.
57 Aceste diferite prelucrări de date cu caracter personal urmăresc să permită Hadopi să ia, față de titularii de adrese IP astfel identificați, măsurile prevăzute în cadrul procedurii administrative denumite de „răspuns gradual” reglementate la articolul L. 331‑25 din CPI. Aceste măsuri sunt, mai întâi, trimiterea de „recomandări”, care se aseamănă cu avertismentele, apoi, în cazul sesizării comisiei pentru protecția drepturilor din cadrul Hadopi în termen de un an de la trimiterea unei a doua recomandări pentru fapte care pot constitui o repetare a neîndeplinirii constatate, informarea abonatului prevăzută la articolul R. 331‑40 din CPI cu privire la împrejurarea că faptele pot constitui încălcarea denumită „neglijență gravă”, definită la articolul L. 335‑5 din CPI, contravenție sancționată cu o amendă maximă de 1 500 de euro și de 3 000 de euro în caz de recidivă, iar în final, după deliberare, sesizarea Ministerului Public cu privire la fapte care pot constitui o astfel de contravenție sau, după caz, infracțiunea de contrafacere prevăzută la articolul L. 335‑2 din CPI sau la articolul L. 335‑4 din acest cod, pedepsită cu trei ani de închisoare și cu 300 000 de euro amendă.
58 Întrebările adresate de instanța de trimitere privesc însă numai prelucrarea efectuată în aval, descrisă la punctul 55 din prezenta hotărâre, nu și prelucrarea în amonte, ale cărei caracteristici esențiale au fost expuse la punctul 54 din hotărâre.
59 Cu toate acestea, trebuie arătat că, în cazul în care colectarea prealabilă a adreselor IP de către organismele titularilor de drepturi în cauză ar fi contrară dreptului Uniunii, acest drept s‑ar opune și exploatării acestor date în cadrul prelucrării ulterioare de către furnizorii de servicii de comunicații electronice care constă în stabilirea corespondenței între adresele menționate și datele referitoare la identitatea civilă a titularilor acestor adrese.
60 În acest context, trebuie amintit de la bun început că, potrivit jurisprudenței Curții, adresele IP constituie atât date de transfer în sensul Directivei 2002/58, cât și date cu caracter personal în sensul RGPD (a se vedea în acest sens Hotărârea din 17 iunie 2021, M.I.C.M., C‑597/19, EU:C:2021:492, punctele 102 și 113, precum și jurisprudența citată).
61 Totuși, colectarea de adrese IP publice și vizibile pentru toată lumea de către agenți ai organismelor titularilor de drepturi nu intră în domeniul de aplicare al Directivei 2002/58 întrucât o astfel de prelucrare nu este în mod evident „legat[ă] de furnizarea de servicii de comunicații electronice”, în sensul articolului 3 din această directivă.
62 În schimb, o asemenea colectare de adrese IP, pe care Commission nationale de l’informatique et des libertés (Comisia Națională pentru Informatică și Libertăți) (CNIL) (Franța) a autorizat‑o în anumite limite cantitative și în anumite condiții, după cum reiese din dosarul de care dispune Curtea, pentru a fi transmise Hadopi în scopul eventualei lor utilizări în proceduri administrative sau jurisdicționale ulterioare prin care se intenționează combaterea activităților care aduc atingere drepturilor de autor și drepturilor conexe, constituie o „prelucrare” în sensul articolului 4 punctul 2 din RGPD, a cărei legalitate depinde de condițiile prevăzute la articolul 6 alineatul (1) primul paragraf litera (f) din același regulament, în lumina jurisprudenței Curții rezultate în special din Hotărârea din 17 iunie 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punctele 102 și 103), precum și din Hotărârea din 4 iulie 2023, Meta Platforms și alții (Condițiile generale de utilizare a unei rețele sociale) (C‑252/21, EU:C:2023:537, punctele 106-112 și jurisprudența citată).
63 În ceea ce privește prelucrarea în aval descrisă la punctul 55 din prezenta hotărâre, aceasta intră, la rândul său, în domeniul de aplicare al Directivei 2002/58, întrucât este „legat[ă] de furnizarea de servicii de comunicații electronice” în sensul articolului 3 din această directivă în măsura în care datele în cauză sunt obținute de la furnizorii de servicii de comunicații electronice în conformitate cu articolul L. 331‑21 din CPI.
Cu privire la existența unei justificări, în temeiul articolului 15 alineatul (1) din Directiva 2002/58, a accesului unei autorități publice la date referitoare la identitatea civilă care sunt corelative unei adrese IP păstrate de furnizorii de servicii de comunicații electronice în scopul combaterii contrafacerii săvârșite online
64 Având în vedere observațiile introductive care precedă, se ridică întrebarea dacă, astfel cum pune problema instanța de trimitere, limitarea drepturilor fundamentale consacrate la articolele 7, 8 și 11 din cartă pe care o implică accesul unei autorități publice, cum este Hadopi, la date referitoare la identitatea civilă care sunt corelative unei adrese IP de care aceasta dispune deja poate fi justificată în temeiul articolului 15 alineatul (1) din Directiva 2002/58.
65 Or, accesul la astfel de date cu caracter personal nu poate fi acordat decât în măsura în care acestea au fost păstrate în conformitate cu Directiva 2002/58 [a se vedea în acest sens Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice) C‑746/18, EU:C:2021:152, punctul 29].
Cu privire la cerințele care însoțesc păstrarea datelor referitoare la identitatea civilă și a adreselor IP corelative de către furnizorii de servicii de comunicații electronice
66 Articolul 15 alineatul (1) din Directiva 2002/58 permite statelor membre să introducă excepții de la obligația de principiu, prevăzută la articolul 5 alineatul (1) din această directivă, de garantare a confidențialității datelor cu caracter personal, precum și de la obligațiile corespunzătoare, prevăzute în special la articolele 6 și 9 din directiva menționată, în cazul în care o astfel de limitare constituie o măsură necesară, adecvată și proporțională în cadrul unei societăți democratice pentru a proteja securitatea națională, apărarea, siguranța publică sau pentru a asigura prevenirea, investigarea, detectarea și urmărirea penală a unor infracțiuni sau a utilizării neautorizate a sistemelor de comunicații electronice. În acest scop, statele membre pot, între altele, să adopte măsuri legislative care să permită păstrarea de date, pentru o perioadă limitată, atunci când acest lucru este justificat de unul dintre aceste motive. În aceste condiții, posibilitatea de a deroga de la drepturile și obligațiile prevăzute la articolele 5, 6 și 9 din Directiva 2002/58 nu poate servi drept justificare astfel încât derogarea de la obligația de principiu de a garanta confidențialitatea comunicațiilor electronice și a datelor aferente acestora și în special de la interdicția de a stoca aceste date, prevăzută la articolul 5 din directiva menționată, să devină o regulă (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, punctele 110 și 111).
67 O măsură legislativă adoptată în temeiul acestei dispoziții trebuie, prin urmare, să răspundă în mod efectiv și strict unuia dintre obiectivele menționate la punctul anterior, enumerarea acestora la articolul 15 alineatul (1) prima teză din Directiva 2002/58 fiind exhaustivă, și să respecte principiile generale ale dreptului Uniunii, printre care figurează principiul proporționalității, și drepturile fundamentale garantate de cartă. În această privință, Curtea a statuat deja că obligația impusă prin legislația națională de un stat membru furnizorilor de servicii de comunicații electronice de a păstra datele de transfer în scopul de a le pune, dacă este cazul, la dispoziția autorităților naționale competente ridică probleme cu privire la respectarea nu numai a articolelor 7 și 8 din cartă, referitoare la protecția vieții private și, respectiv, la protecția datelor cu caracter personal, ci și a articolului 11 din cartă, referitor la libertatea de exprimare (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 112 și 113).
68 Astfel, interpretarea articolului 15 alineatul (1) din Directiva 2002/58 trebuie să țină seama de importanța atât a dreptului la respectarea vieții private, garantat la articolul 7 din cartă, cât și a dreptului la protecția datelor cu caracter personal, garantat la articolul 8 din aceasta, așa cum reiese din jurisprudența Curții, precum și de importanța dreptului la libertatea de exprimare, acest drept fundamental garantat la articolul 11 din cartă constituind unul dintre fundamentele esențiale al unei societăți democratice și pluraliste și făcând parte din valorile pe care se întemeiază Uniunea, conform articolului 2 TUE (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 114, precum și jurisprudența citată).
69 Este necesar să se sublinieze în această privință că păstrarea datelor de transfer și a datelor de localizare constituie, prin ea însăși, pe de o parte, o derogare de la interdicția prevăzută la articolul 5 alineatul (1) din Directiva 2002/58 de a stoca aceste date, aplicată oricărei alte persoane decât utilizatorii, și, pe de altă parte, o ingerință în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal, consacrate la articolele 7 și 8 din cartă, nefiind important să se stabilească dacă informațiile referitoare la viața privată avute în vedere au sau nu caracter sensibil ori dacă persoanele interesate au suferit sau nu eventuale inconveniente ca urmare a acestei ingerințe. Este de asemenea lipsit de relevanță dacă datele păstrate sunt sau nu utilizate ulterior, accesul la astfel de date constituind, indiferent de modul în care sunt utilizate ulterior, o ingerință distinctă în drepturile fundamentale menționate la punctul anterior (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 115 și 116).
70 Cu toate acestea, articolul 15 alineatul (1) din Directiva 2002/58, în măsura în care permite statelor membre să introducă anumite măsuri derogatorii, după cum s‑a amintit la punctul 66 din prezenta hotărâre, reflectă împrejurarea că drepturile consacrate la articolele 7, 8 și 11 din cartă nu sunt prerogative absolute, ci trebuie luate în considerare în raport cu funcția lor în societate. Astfel, așa cum reiese din articolul 52 alineatul (1) din cartă, aceasta admite restrângeri ale exercițiului drepturilor respective în măsura în care restrângerile sunt prevăzute de lege, respectă substanța drepturilor menționate și, respectând principiul proporționalității, sunt necesare și răspund efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 120 și 121).
71 În speță, este necesar să se arate că, deși, în mod formal, Hadopi este autorizată să aibă acces numai la datele referitoare la identitatea civilă care sunt corelative unei adrese IP, acest acces prezintă particularitatea că necesită ca furnizorii de servicii de comunicații electronice vizați să stabilească în prealabil corespondența între adresa IP și datele de identitate civilă ale titularului. Prin urmare, accesul menționat presupune în mod necesar ca furnizorii să dispună de adresele IP și de datele referitoare la identitatea titularilor lor.
72 În plus, această autoritate publică urmărește să obțină acces la aceste date doar cu scopul de a identifica titularul unei adrese IP care a fost utilizată pentru desfășurarea de activități susceptibile să aducă atingere drepturilor de autor sau drepturilor conexe, din moment ce au fost puse la dispoziție în mod nelegal pe internet opere protejate în vederea descărcării lor de către alte persoane. În aceste condiții, datele referitoare la identitatea civilă trebuie considerate ca fiind strâns legate atât de adresa IP, cât și de informațiile de care dispune Hadopi referitoare la opera pusă la dispoziție pe internet.
73 Or, nu se poate face abstracție de un asemenea context special în cadrul examinării eventualei justificări a unei măsuri de păstrare a datelor cu caracter personal în temeiul articolului 15 alineatul (1) din Directiva 2002/58, interpretat în lumina articolelor 7, 8 și 11 din cartă (a se vedea prin analogie Curtea EDO, 24 aprilie 2018, Benedik împotriva Sloveniei, CE:ECHR:2018:0424JUD006235714, § 109).
74 Prin urmare, tocmai în raport cu cerințele care decurg, în materie de păstrare a adreselor IP, din articolul 15 alineatul (1) menționat, interpretat în lumina articolelor 7, 8 și 11 din cartă, trebuie să se examineze o eventuală justificare a ingerinței în drepturile fundamentale consacrate de aceste articole din cartă pe care o presupune păstrarea de către furnizorii de servicii de comunicații electronice a datelor la care Hadopi are puterea de a avea acces.
75 În acest context, trebuie subliniat că, potrivit jurisprudenței Curții, deși, astfel cum s‑a amintit la punctul 60, adresele IP constituie date de transfer în sensul Directivei 2002/58, aceste adrese se disting de celelalte categorii de date de transfer și de datele de localizare.
76 În această privință, Curtea a arătat că adresele IP sunt generate fără a fi legate de o anumită comunicare și sunt menite în principal să identifice, prin intermediul furnizorilor de servicii de comunicații electronice, proprietarul unui echipament terminal de la care este efectuată o comunicare prin internet. Astfel, în materie de e‑mail, precum și de telefonie prin internet, dat fiind că se păstrează doar adresele IP ale sursei comunicațiilor, nu și cele ale destinatarului acesteia, aceste adrese nu dezvăluie, ca atare, nicio informație cu privire la terții care s‑au aflat în contact cu persoana care s‑a aflat la originea comunicațiilor. În această măsură, această categorie de date prezintă un grad de sensibilitate mai redus decât celelalte date de transfer (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 152).
77 Desigur, la punctul 156 din Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), Curtea a statuat că, în pofida constatării unui caracter sensibil mai redus al adreselor IP atunci când servesc exclusiv pentru identificarea utilizatorului unui serviciu de comunicații electronice, articolul 15 alineatul (1) din Directiva 2002/58 se opune unei păstrări generalizate și nediferențiate exclusiv a adreselor IP atribuite sursei unei conexiuni pentru alte obiective decât combaterea infracționalității grave, prevenirea amenințărilor grave la adresa siguranței publice sau apărarea securității naționale. Pentru a ajunge la această concluzie, Curtea s‑a întemeiat însă în mod expres pe caracterul grav al ingerinței în drepturile fundamentale consacrate la articolele 7, 8 și 11 din cartă pe care o poate presupune o asemenea păstrare a adreselor IP.
78 Astfel, Curtea a considerat, la punctul 153 din aceeași hotărâre, că, întrucât adresele IP pot permite, mai ales atunci când sunt utilizate pentru a se realiza „reconstituirea exhaustivă a parcursului de navigare al unui utilizator de internet” și, prin urmare, a activității sale online, să se întocmească „profilul detaliat” al acestuia din urmă, păstrarea și analiza adreselor IP menționate, pe care le impune o asemenea reconstituire, constituie ingerințe grave în drepturile fundamentale ale persoanei vizate, consacrate la articolele 7 și 8 din cartă, care pot avea totodată efecte disuasive asupra exercitării de către utilizatori, prin intermediul mijloacelor de comunicații electronice, a libertății lor de exprimare garantate la articolul 11 din cartă.
79 Cu toate acestea, trebuie subliniat că orice păstrare generalizată și nediferențiată a unui set, eventual vast, de adrese IP statice și dinamice utilizate de o persoană într‑o anumită perioadă nu constituie neapărat o ingerință gravă în drepturile fundamentale garantate la articolele 7, 8 și 11 din cartă.
80 În această privință, mai întâi, cauzele care au stat la baza pronunțării Hotărârii din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), priveau reglementări naționale care implicau o obligație de păstrare a unui set de date necesare pentru a stabili data, ora, durata și tipul comunicației, pentru a identifica materialul de comunicație utilizat, precum și pentru a localiza echipamentele terminale și comunicațiile, date printre care figurau cu precădere numele și adresa utilizatorului, numerele de telefon ale apelantului și ale celui apelat, precum și adresa IP pentru serviciile de internet. În plus, în două dintre aceste cauze, reglementările naționale în discuție păreau să vizeze și datele referitoare la efectuarea comunicațiilor electronice prin rețele, acestea permițând de asemenea identificarea naturii informațiilor consultate online (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 82 și 83).
81 Păstrarea adreselor IP efectuată în temeiul unor astfel de reglementări naționale putea permite, așadar, prin raportare la celelalte date cu privire la care aceste reglementări impuneau păstrarea și posibilitatea de combinare a acestor diferite date, să se tragă concluzii precise cu privire la viața privată a persoanelor ale căror date erau vizate și deci să determine o ingerință gravă în drepturile fundamentale consacrate la articolele 7 și 8 din cartă, referitoare la protecția vieții private și a datelor cu caracter personal ale acestor persoane, precum și la articolul 11 din carta menționată, referitor la libertatea de exprimare a acestora.
82 În schimb, obligația furnizorilor de servicii de comunicații electronice, impusă printr‑o măsură legislativă întemeiată pe articolul 15 alineatul (1) din Directiva 2002/58, de a asigura păstrarea generalizată și nediferențiată a adreselor IP poate eventual să se justifice prin obiectivul combaterii infracțiunilor în general, atunci când este efectiv exclus ca această păstrare să poată genera ingerințe grave în viața privată a persoanei vizate ca urmare a posibilității de a trage concluzii precise cu privire la ea, în special prin corelarea adreselor IP cu un set de date de transfer sau de localizare care ar fi fost de asemenea păstrate de acești furnizori.
83 Prin urmare, un stat membru care intenționează să impună furnizorilor de servicii de comunicații electronice o obligație de păstrare generalizată și nediferențiată a adreselor IP în vederea atingerii unui obiectiv legat de combaterea infracțiunilor în general trebuie să se asigure că modalitățile de păstrare a acestor date pot garanta că este exclusă orice combinare a adreselor IP menționate cu alte date păstrate, cu respectarea Directivei 2002/58, care ar permite să se tragă concluzii precise cu privire la viața privată a persoanelor ale căror date ar fi astfel păstrate.
84 Pentru a asigura excluderea unei combinări de date care ar permite să se tragă concluzii precise cu privire la viața privată a persoanei în cauză, modalitățile de păstrare trebuie să privească însăși structura păstrării, care, în esență, trebuie să fie organizată astfel încât să garanteze o separare efectiv etanșă a diferitelor categorii de date păstrate.
85 În această privință, revine, desigur, statului membru care intenționează să impună furnizorilor de servicii de comunicații electronice o obligație de păstrare generalizată și nediferențiată a adreselor IP în vederea atingerii unui obiectiv legat de combaterea infracțiunilor în general să prevadă în legislația sa norme clare și precise referitoare la modalitățile de păstrare care să răspundă unor cerințe stricte. Cu toate acestea, Curtea poate furniza precizări privind aceste modalități.
86 În primul rând, normele naționale menționate la punctul anterior trebuie să garanteze că fiecare categorie de date, inclusiv datele privind identitatea civilă și adresele IP, este păstrată complet separat de celelalte categorii de date păstrate.
87 În al doilea rând, aceste norme trebuie să garanteze că, pe plan tehnic, separarea diferitelor categorii de date păstrate, în special datele referitoare la identitatea civilă, adresele IP, diferitele date de transfer, altele decât adresele IP și diferitele date de localizare, este efectiv etanșă cu ajutorul unui dispozitiv informatic securizat și fiabil.
88 În al treilea rând, în măsura în care normele menționate prevăd posibilitatea unei corelări a adreselor IP păstrate cu identitatea civilă a persoanei vizate, cu respectarea cerințelor care decurg din articolul 15 alineatul (1) din Directiva 2002/58, interpretat în lumina articolelor 7, 8 și 11 din cartă, ele nu trebuie să permită o asemenea corelare decât prin utilizarea unui procedeu tehnic performant care să nu pună la îndoială eficacitatea separării etanșe a acestor categorii de date.
89 În al patrulea rând, fiabilitatea acestei separări etanșe trebuie să facă obiectul unui control regulat exercitat de o altă autoritate publică decât cea care urmărește să obțină accesul la datele cu caracter personal păstrate de furnizorii de servicii de comunicații electronice.
90 În măsura în care în legislația națională aplicabilă sunt prevăzute asemenea cerințe stricte referitoare la modalitățile de păstrare generalizată și nediferențiată a adreselor IP și a celorlalte date păstrate de furnizorii de servicii de comunicații electronice, ingerința rezultată din această păstrare a adreselor IP nu poate fi calificată drept „gravă” din cauza structurii înseși a păstrării menționate.
91 Astfel, în cazul în care este instituit un asemenea dispozitiv legislativ, modalitățile instituite de păstrare a adreselor IP exclud posibilitatea de combinare a acestor date cu alte date păstrate cu respectarea Directivei 2002/58, care să permită să se tragă concluzii precise cu privire la viața privată a persoanei vizate.
92 În consecință, în cazul în care există o măsură legislativă ce respectă cerințele prezentate la punctele 89-86 din prezenta hotărâre, garantând că nicio combinare de date nu va permite să se tragă concluzii precise cu privire la viața privată a persoanei vizate, articolul 15 alineatul (1) din Directiva 2002/58, interpretat în lumina articolelor 7, 8 și 11 din cartă, nu se opune ca statul membru în cauză să impună o obligație de păstrare generalizată și nediferențiată a adreselor IP în vederea atingerii unui obiectiv de combatere a infracțiunilor în general.
93 În sfârșit, o asemenea măsură legislativă trebuie, după cum reiese din cuprinsul punctului 168 din Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), să prevadă o perioadă de păstrare limitată la strictul necesar și să asigure, prin norme clare și precise, că păstrarea datelor în cauză se realizează cu respectarea condițiilor materiale și procedurale aferente acestora și că persoanele vizate dispun de garanții efective împotriva riscurilor de abuz, precum și împotriva oricărui acces la aceste date și a oricărei utilizări ilicite a acestora.
94 Revine instanței de trimitere sarcina de a verifica dacă reglementarea națională în discuție în litigiul principal respectă cerințele amintite la punctele 85-99 din prezenta hotărâre.
Cu privire la cerințele care însoțesc accesul la datele referitoare la identitatea civilă care sunt corelative unei adrese IP, păstrate de furnizorii de servicii de comunicații electronice
95 Din jurisprudența Curții rezultă că, în domeniul combaterii infracțiunilor, numai obiectivele de combatere a infracționalității grave sau de prevenire a amenințărilor grave pentru siguranța publică sunt de natură să justifice ingerința gravă în drepturile fundamentale consacrate la articolele 7 și 8 din cartă pe care o implică accesul autorităților publice la un set de date de transfer sau de date de localizare care pot furniza informații privind comunicațiile efectuate de un utilizator al unui mijloc de comunicare electronică sau localizarea echipamentelor terminale pe care le utilizează și care permit tragerea unor concluzii precise privind viața privată a persoanelor vizate, fără ca alți factori care țin de caracterul proporțional al unei cereri de acces, precum perioada pentru care se solicită accesul la astfel de date, să poată avea ca efect ca obiectivul de prevenire, investigare, detectare și urmărire penală a infracțiunilor în general să fie susceptibil să justifice un atare acces [Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice), C‑746/18, EU:C:2021:152, punctul 35].
96 În schimb, atunci când ingerința în drepturile fundamentale consacrate la articolele 7 și 8 din cartă pe care o implică accesul autorităților publice la datele referitoare la identitatea civilă păstrate de furnizorii de servicii de comunicații electronice, dar care nu pot fi asociate cu informații referitoare la comunicațiile efectuate nu este gravă, din moment ce, privite în ansamblu, aceste date nu permit să se tragă concluzii precise cu privire la viața privată a persoanelor ale căror date sunt vizate, accesul menționat poate fi justificat printr‑un obiectiv de prevenire, investigare, detectare și urmărire penală a infracțiunilor în general (a se vedea în acest sens Hotărârea din 2 octombrie 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punctele 54, 57 și 60).
97 Trebuie adăugat de asemenea că, potrivit unui principiu consacrat în jurisprudența constantă a Curții, accesul la datele de transfer și la datele de localizare nu poate fi justificat în temeiul articolului 15 alineatul (1) din Directiva 2002/58 decât prin obiectivul de interes general pentru care păstrarea lor a fost impusă furnizorilor de servicii de comunicații electronice, cu excepția cazului în care acest acces este justificat printr‑un obiectiv de interes general de o importanță mai mare. Din acest principiu rezultă mai ales că un astfel de acces în scopul combaterii infracțiunilor în general nu poate fi acordat atunci când păstrarea datelor respective a fost justificată prin obiectivul combaterii infracționalității grave sau, a fortiori, al protejării securității naționale (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 166).
98 În schimb, un atare obiectiv de combatere a infracțiunilor în general permite justificarea acordării accesului la datele de transfer și de localizare care au fost stocate și, prin urmare, păstrate în măsura și pe durata necesară comercializării serviciilor, facturării și furnizării de servicii cu valoare adăugată, astfel cum permite articolul 6 din Directiva 2002/58 (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 108 și 167).
99 În speță, în primul rând, din reglementarea națională în discuție în litigiul principal reiese că Hadopi nu are acces la un „set de date de transfer sau de date de localizare”, în sensul jurisprudenței amintite la punctul 95 din prezenta hotărâre, astfel încât aceasta nu poate, în principiu, să tragă concluzii precise cu privire la viața privată a persoanelor vizate. Or, un acces care nu permite să se tragă asemenea concluzii nu constituie o ingerință gravă în drepturile fundamentale garantate la articolele 7 și 8 din cartă.
100 Astfel, potrivit acestei reglementări și explicațiilor furnizate de guvernul francez cu privire la acest aspect, accesul acordat acestei autorități publice este strict limitat la anumite date referitoare la identitatea civilă a titularului unei adrese IP și este autorizat numai în scopul de a putea identifica acest titular suspectat că a desfășurat o activitate care aduce atingere drepturilor de autor sau drepturilor conexe din moment ce a pus în mod nelegal la dispoziție pe internet opere protejate, în vederea descărcării lor de către alte persoane. Acest acces vizează, dacă este cazul, adoptarea față de acest titular a uneia dintre măsurile pedagogice sau represive prevăzute în cadrul procedurii de răspuns gradual, și anume trimiterea unei prime și a unei a doua recomandări, apoi a unei scrisori prin care i se notifică că această activitate este susceptibilă să constituie infracțiunea de neglijență gravă și, în final, sesizarea Ministerului Public în vederea urmăririi în justiție a acestei contravenții sau a infracțiunii de contrafacere.
101 Reglementarea națională menționată trebuie de asemenea să prevadă norme clare și precise de natură să asigure că adresele IP păstrate cu respectarea Directivei 2002/58 pot fi utilizate numai pentru identificarea persoanei căreia i‑a fost atribuită o anumită adresă IP, excluzând în același timp o utilizare care permite supravegherea, prin intermediul uneia sau al mai multora dintre aceste adrese, a activității online a persoanei în cauză. Atunci când o adresă IP este astfel utilizată doar în scopul identificării titularului său în cadrul unei proceduri administrative specifice care ar putea duce la începerea urmăririi penale împotriva acestuia, iar nu în scopuri care vizează, de exemplu, dezvăluirea contactelor sau a localizării acestui titular, accesul la această adresă numai în acest scop vizează adresa respectivă mai curând ca dată referitoare la identitatea civilă decât ca dată de transfer.
102 În plus, din principiul consacrat în jurisprudența constantă amintită la punctul 97 din prezenta hotărâre rezultă că un acces precum cel de care beneficiază Hadopi în temeiul reglementării naționale în discuție în litigiul principal, dat fiind că urmărește obiectivul combaterii infracțiunilor în general, nu poate fi justificat decât dacă vizează adrese IP care trebuie păstrate de furnizorii de servicii de comunicații electronice în scopul acestui obiectiv, iar nu în scopul unui obiectiv de o importanță mai mare, cum este cel al combaterii infracționalității grave, fără a aduce însă atingere unui acces justificat de un astfel de obiectiv de combatere a infracțiunilor în general atunci când vizează adrese IP stocate și, prin urmare, păstrate în condițiile prevăzute la articolul 6 din Directiva 2002/58.
103 Totodată, după cum reiese din cuprinsul punctelor 85-92 din prezenta hotărâre, păstrarea adreselor IP, care are la bază o măsură legislativă întemeiată pe articolul 15 alineatul (1) din Directiva 2002/58, în scopul obiectivului de combatere a infracțiunilor în general poate fi justificată atunci când modalitățile acestei păstrări instituite prin dispozitivul legislativ în cauză îndeplinesc un ansamblu de cerințe care urmăresc să asigure în esență o separare efectiv etanșă a diferitelor categorii de date păstrate, așa încât combinarea unor date care aparțin unor categorii diferite este efectiv exclusă. Astfel, în cazul în care asemenea modalități de păstrare sunt impuse furnizorilor de servicii de comunicații electronice, o păstrare generalizată și nediferențiată a adreselor IP nu constituie o ingerință gravă în viața privată a titularilor lor, deoarece aceste date nu permit să se tragă concluzii precise cu privire la viața lor privată.
104 Prin urmare, având în vedere jurisprudența amintită la punctele 95-97 din prezenta hotărâre, în cazul în care se instituie o asemenea măsură legislativă, accesul la adresele IP păstrate în scopul obiectivului de combatere a infracțiunilor în general poate fi justificat în raport cu articolul 15 alineatul (1) din Directiva 2002/58 atunci când acest acces este permis doar în scopul identificării persoanei suspectate că ar fi fost implicată în săvârșirea unor astfel de infracțiuni.
105 În fond, a permite unei autorități publice precum Hadopi să aibă acces la date referitoare la identitatea civilă care sunt corelative unei adrese IP publice care i‑a fost transmisă de organisme ale titularilor de drepturi doar cu scopul de a identifica titularul acestei adrese utilizate pentru activități săvârșite online și susceptibile să aducă atingere drepturilor de autor sau drepturilor conexe pentru a‑i aplica acestuia una dintre măsurile prevăzute în cadrul procedurii de răspuns gradual este conformă cu jurisprudența Curții referitoare la „dreptul la informare” în contextul unei acțiuni referitoare la încălcarea unui drept de proprietate intelectuală, astfel cum este reglementată la articolul 8 din Directiva 2004/48 (a se vedea în acest sens Hotărârea din 29 ianuarie 2008, Promusicae, C‑275/06, EU:C:2008:54, punctul 47 și următoarele).
106 Astfel, în cadrul acestei jurisprudențe, deși a subliniat că aplicarea măsurilor prevăzute de Directiva 2004/48 nu poate afecta nici RGPD, nici Directiva 2002/58, Curtea a statuat că articolul 8 alineatul (3) din Directiva 2004/48 coroborat cu articolul 15 alineatul (1) din Directiva 2002/58 și cu articolul 7 litera (f) din Directiva 95/46 nu se opune ca statele membre să stabilească în sarcina furnizorilor de servicii de comunicații electronice o obligație de transmitere către persoane private a unor date cu caracter personal pentru a permite inițierea în fața instanțelor civile a unor proceduri judiciare împotriva încălcărilor dreptului de autor, dar că nici nu impune acestor state să prevadă o asemenea obligație (a se vedea în acest sens Hotărârea din 17 iunie 2021, M.I.C.M., C‑597/19, EU:C:2021:492, punctele 124 și 125, precum și jurisprudența citată).
107 În aceste condiții, în al doilea rând, în vederea aprecierii concrete a gradului de ingerință în viața privată pe care îl implică un acces al unei autorități publice la date cu caracter personal, nu se poate face abstracție de particularitățile contextului în care are loc acest acces și în special de setul de date și informații comunicate acestei autorități în temeiul reglementării naționale aplicabile, inclusiv de date și informații preexistente care dezvăluie conținutul (a se vedea prin analogie Curtea EDO, 24 aprilie 2018, Benedik împotriva Sloveniei, CE:ECHR:2018:0424JUD006235714, § 109).
108 Astfel, în speță, pentru a se efectua această apreciere, trebuie să se țină seama de faptul că, înainte de a avea accesul de care beneficiază la datele referitoare la identitatea civilă în discuție, Hadopi primește de la organismele titularilor de drepturi, printre altele, „informații referitoare la operele sau la obiectele protejate care fac obiectul faptelor” și, „dacă este cazul”, „denumirea fișierului, astfel cum se regăsește pe calculatorul abonatului”, după cum prevede punctul 1 din anexa la Decretul nr. 2010‑236.
109 Din dosarul de care dispune Curtea, dar sub rezerva verificării de către instanța de trimitere, reiese că informațiile cu privire la opera în cauză, așa cum sunt consemnate într‑un proces‑verbal al cărui conținut se circumscrie deliberărilor CNIL din 10 iunie 2010, se limitează în esență la titlul operei în cauză, precum și la un extras denumit „chunk”, redat sub forma unei suite alfanumerice, iar nu a unei captări audio sau video a operei.
110 În această privință, desigur, nu se poate exclude, în general, ca accesul unei autorități publice la un număr limitat de date referitoare la identitatea civilă a titularului unei adrese IP care i‑a fost comunicată de un furnizor de servicii de comunicații electronice doar cu scopul de a identifica titularul ei în cazul în care această adresă a fost utilizată pentru activități susceptibile să aducă atingere drepturilor de autor sau drepturilor conexe, dacă este corelat cu analiza informațiilor, chiar limitate, cu privire la conținutul operei puse la dispoziție în mod nelegal pe internet care i‑au fost transmise anterior de organismele titularilor de drepturi, poate revela acestei autorități publice anumite aspecte ale vieții private a acestui titular, inclusiv informații sensibile, cum sunt orientarea sexuală, opiniile politice, convingerile religioase, filozofice, despre societate sau altele, precum și starea de sănătate, în condițiile în care astfel de date beneficiază de altfel de o protecție specială în dreptul Uniunii.
111 Cu toate acestea, în speță, având în vedere natura datelor și a informațiilor limitate de care dispune Hadopi, numai în situații atipice acestea ar putea dezvălui informații, eventual sensibile, cu privire la aspecte ale vieții private a persoanei în cauză, care, luate împreună, ar putea permite acestei autorități publice să tragă concluzii precise cu privire la viața privată a acesteia, de exemplu prin stabilirea profilului său detaliat.
112 Aceasta ar putea fi îndeosebi situația unei persoane a cărei adresă IP a fost utilizată pentru activități care aduc atingere drepturilor de autor sau drepturilor conexe pe rețele peer‑to‑peer, în mod repetat sau chiar la scară largă, în legătură cu opere protejate de natură specială care pot fi grupate pe baza unor termeni din titlul lor ce pot dezvălui informații, eventual sensibile, cu privire la aspecte ale vieții sale private.
113 Cu toate acestea, diverse elemente îngăduie să se aprecieze că, în speță, ingerința în viața privată a unei persoane suspectate de a fi desfășurat o activitate care aduce atingere drepturilor de autor sau drepturilor conexe, permisă de o reglementare precum cea în discuție în litigiul principal, nu este neapărat de o gravitate ridicată. Mai întâi, potrivit unei astfel de reglementări, accesul Hadopi la datele cu caracter personal în cauză este rezervat unui număr limitat de agenți acreditați și autorizați ai acestei autorități publice, organ care beneficiază de altfel de un statut independent, conform articolului L. 331‑12 din CPI. În continuare, acest acces are doar scopul de a identifica o persoană bănuită că a desfășurat o activitate care aduce atingere drepturilor de autor sau drepturilor conexe atunci când se constată că o operă protejată a fost pusă la dispoziție în mod nelegal prin intermediul accesului său la internet. În sfârșit, accesul Hadopi la datele cu caracter personal în cauză este strict limitat la datele necesare în acest scop (a se vedea prin analogie Curtea EDO, 17 octombrie 2019, López Ribalda și alții împotriva Spaniei, CE:ECHR:2019:1017JUD000187413, § 126 și 127).
114 Un alt element de natură să reducă și mai mult gradul de ingerință în drepturile fundamentale la protecția vieții private și a datelor cu caracter personal ca urmare a acestui acces al Hadopi, care pare să reiasă din dosarul de care dispune Curtea, dar a cărui verificare revine instanței de trimitere, privește faptul că, în temeiul reglementării naționale aplicabile, agenții Hadopi care au acces la datele și informațiile în cauză au o obligație de confidențialitate care le interzice să divulge aceste date și informații sub orice formă, mai puțin atunci când se are exclusiv în vedere sesizarea Ministerului Public, și să le utilizeze în alte scopuri decât identificarea titularului unei adrese IP bănuit că ar fi efectuat o activitate ce aduce atingere dreptului de autor sau unui drept conex în vederea aplicării față de acesta a uneia dintre măsurile prevăzute în procedura de răspuns gradual (a se vedea prin analogie Curtea EDO, 17 decembrie 2009, Gardel împotriva Franței, CE:ECHR:2009:1217JUD001642805, § 70).
115 Astfel, în măsura în care o reglementare națională îndeplinește condițiile amintite la punctul 101 din prezenta hotărâre, adresele IP comunicate unei autorități publice precum Hadopi nu permit reconstituirea parcursului de navigare al titularului lor, ceea ce tinde să confirme constatarea potrivit căreia ingerința pe care o implică accesul acestei autorități la datele de identificare în discuție în litigiul principal nu poate fi calificată ca fiind gravă.
116 În al treilea rând, trebuie amintit că, pentru realizarea concilierii necesare a drepturilor și intereselor în cauză pe care o impune cerința proporționalității prevăzută la articolul 15 alineatul (1) prima teză din Directiva 2002/58, chiar dacă libertatea de exprimare și confidențialitatea datelor cu caracter personal sunt preocupări primordiale, iar utilizatorii telecomunicațiilor și ai serviciilor internet trebuie să aibă garanția că intimitatea și libertatea lor de exprimare vor fi respectate, aceste drepturi fundamentale nu sunt absolute. Astfel, în cadrul unei evaluări comparative a drepturilor și intereselor în cauză, acestea trebuie uneori să fie eliminate în prezența altor drepturi fundamentale și a unor imperative de interes general precum apărarea ordinii publice și prevenirea infracțiunilor sau protecția drepturilor și libertăților celorlalți. Aceasta este mai precis situația atunci când importanța majoră acordată acestor preocupări primordiale este de natură să împiedice eficacitatea unei anchete penale, în special făcând ca identificarea efectivă a autorului unei infracțiuni și impunerea unei sancțiuni în privința acestuia să devină imposibile sau excesiv de dificile (a se vedea prin analogie Curtea EDO, 2 martie 2009, K.U. împotriva Finlandei, CE:ECHR:2008:1202JUD000287202, § 49).
117 În acest context, trebuie să se țină seama în mod corect de faptul că, astfel cum Curtea a statuat deja, în ceea ce privește infracțiunile săvârșite online, accesul la adresele IP poate constitui singurul mijloc de investigare ce permite identificarea efectivă a persoanei căreia îi era atribuită această adresă la momentul săvârșirii infracțiunii (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 154).
118 Această împrejurare tinde să demonstreze, așa cum a subliniat de asemenea în esență domnul avocat general la punctul 59 din Concluziile prezentate la 28 septembrie 2023, că păstrarea acestor adrese și accesul la ele sunt, în ceea ce privește combaterea infracțiunilor precum cele care aduc atingere drepturilor de autor sau drepturilor conexe săvârșite online, strict necesare pentru realizarea obiectivului urmărit și îndeplinesc, așadar, cerința proporționalității pe care o impune articolul 15 alineatul (1) din Directiva 2002/58, interpretat în lumina considerentului (11) al acestei directive, precum și a articolului 52 alineatul (2) din cartă.
119 A nu permite un astfel de acces ar implica de altfel, după cum a subliniat în esență domnul avocat general la punctele 78-80 din Concluziile prezentate la 27 octombrie 2022, precum și la punctele 80 și 81 din Concluziile prezentate la 28 septembrie 2023, un risc real de impunitate sistemică nu numai a unor infracțiuni care aduc atingere drepturilor de autor sau drepturilor conexe, ci și a altor tipuri de infracțiuni săvârșite online sau a căror săvârșire ori pregătire este facilitată de caracteristicile proprii internetului. Or, existența unui asemenea risc constituie o împrejurare relevantă pentru a aprecia, în cadrul unei evaluări comparative a diferitelor drepturi și interese în cauză, dacă o ingerință în drepturile garantate la articolele 7, 8 și 11 din cartă constituie o măsură proporțională în raport cu obiectivul combaterii infracțiunilor.
120 Este adevărat că accesul unei autorități publice cum este Hadopi la date de identitate civilă corelative adresei IP de la care a fost săvârșită infracțiunea online nu este neapărat unicul mijloc de investigare posibil pentru identificarea persoanei titulare a acestei adrese la momentul săvârșirii acestei infracțiuni. De fapt, o asemenea identificare ar putea fi posibilă a priori și prin examinarea tuturor activităților online ale persoanei vizate, în special prin analizarea „urmelor” pe care aceasta ar fi putut să le lase pe rețelele sociale, precum identificatorul utilizat pe aceste rețele sau coordonatele sale.
121 Cu toate acestea, după cum a arătat domnul avocat general la punctul 83 din Concluziile prezentate la 28 septembrie 2023, un atare mijloc de investigare ar fi deosebit de intruziv, întrucât ar putea dezvălui informații precise cu privire la viața privată a persoanelor în cauză. Astfel, acest lucru ar implica pentru aceste persoane o ingerință mai gravă în drepturile garantate la articolele 7, 8 și 11 din cartă decât cea care decurge dintr‑o reglementare precum cea în discuție în litigiul principal.
122 Rezultă din cele ce precedă că articolul 15 alineatul (1) din Directiva 2002/58, raportat la articolele 7, 8 și 11, precum și la articolul 52 alineatul (1) din cartă, trebuie interpretat în sensul că nu se opune, în principiu, unei reglementări naționale care permite accesul unei autorități publice însărcinate cu protecția drepturilor de autor și a drepturilor conexe împotriva încălcărilor acestor drepturi săvârșite pe internet la date referitoare la identitatea civilă corelative unor adrese IP colectate în prealabil de organisme ale titularilor de drepturi și păstrate de furnizorii de servicii de comunicații electronice în mod separat și efectiv etanș, doar cu scopul ca această autoritate să poată identifica titularii acestor adrese suspectați că sunt răspunzători pentru aceste încălcări și să poată lua, dacă este cazul, măsuri în privința lor. Într‑un asemenea caz, reglementarea națională aplicabilă trebuie să interzică agenților care dispun de un astfel de acces, în primul rând, să divulge sub orice formă informații cu privire la conținutul fișierelor consultate de acești titulari, mai puțin în cazul în care se are exclusiv în vedere sesizarea Ministerului Public, în al doilea rând, să efectueze orice reconstituire a parcursului de navigare al acestor titulari și, în al treilea rând, să utilizeze aceste adrese IP în alte scopuri decât cel al adoptării acestor măsuri.
Cu privire la cerința unui control efectuat de o instanță sau de o entitate administrativă independentă înainte ca o autoritate publică să aibă acces la date referitoare la identitatea civilă care sunt corelative unei adrese IP
123 Se ridică însă problema dacă accesul autorității publice la date referitoare la identitatea civilă care sunt corelative unei adrese IP trebuie să fie condiționat, în plus, de efectuarea unui control prealabil de către o instanță sau o entitate administrativă independentă.
124 În această privință, pentru a garanta, în practică, deplina respectare a condițiilor pe care statele membre sunt obligate să le prevadă pentru a se asigura că accesul este limitat la strictul necesar, Curtea a statuat că este „esențial” ca accesul autorităților naționale competente la datele de transfer și la datele de localizare să fie supus unui control prealabil efectuat de o instanță sau de o entitate administrativă independentă [a se vedea în acest sens Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15, EU:C:2016:970, punctul 120, Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 189, Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice), C‑746/18, EU:C:2021:152, punctul 51, precum și Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 106].
125 Acest control prealabil impune în primul rând ca instanța sau entitatea însărcinată cu efectuarea controlului să dispună de toate atribuțiile și să prezinte toate garanțiile necesare în vederea asigurării unei concilieri a diferitelor interese legitime și drepturi în cauză. În ceea ce privește, mai concret, o investigație penală, un asemenea control impune ca această instanță sau această entitate să fie în măsură să asigure un just echilibru între, pe de o parte, interesele legitime legate de nevoile investigației în cadrul combaterii infracționalității și, pe de altă parte, drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal ale persoanelor ale căror date sunt vizate prin acces (Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 107, precum și jurisprudența citată).
126 În al doilea rând, atunci când acest control nu este efectuat de o instanță, ci de o entitate administrativă independentă, aceasta trebuie să beneficieze de un statut care să îi permită să acționeze, în exercitarea misiunilor sale, în mod obiectiv și imparțial și trebuie să fie, în acest scop, protejată de orice influență exterioară. Astfel, cerința privind independența pe care trebuie să o îndeplinească autoritatea însărcinată cu exercitarea controlului prealabil impune ca aceasta să aibă calitatea de terț în raport cu autoritatea care solicită accesul la date, așa încât entitatea menționată să fie în măsură să exercite respectivul control în mod obiectiv și imparțial, protejată de orice influență exterioară. În special, în domeniul penal, cerința privind independența presupune ca autoritatea însărcinată cu acest control prealabil, pe de o parte, să nu fie implicată în desfășurarea investigației penale în cauză și, pe de altă parte, să aibă o poziție de neutralitate față de părțile din procedura penală (Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 108, precum și jurisprudența citată).
127 În al treilea rând, controlul independent impus în conformitate cu articolul 15 alineatul (1) din Directiva 2002/58 trebuie să aibă loc înainte de orice acces la datele vizate, cu excepția cazurilor de urgență justificate corespunzător, situație în care controlul trebuie să aibă loc în termene scurte. Astfel, un control ulterior nu ar permite îndeplinirea obiectivului unui control prealabil, care constă în împiedicarea autorizării unui acces la datele în cauză care să depășească limitele strictului necesar [Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții, C‑140/20, EU:C:2022:258, punctul 110].
128 În aceste condiții, deși, după cum reiese din jurisprudența amintită la punctul 119 din prezenta hotărâre, Curtea a statuat că este „esențială” condiționarea accesului autorităților naționale competente la datele de transfer și la datele de localizare de efectuarea unui control prealabil de către o instanță sau o entitate administrativă independentă, această jurisprudență s‑a dezvoltat în contextul unor măsuri naționale care permit, în scopul realizării unui obiectiv legat de combaterea infracționalității grave, un acces general la toate datele de transfer și de localizare păstrate, independent de vreo legătură, fie și indirectă, cu scopul urmărit, și care implicau astfel ingerințe grave și chiar „deosebit de grave” în drepturile fundamentale în cauză.
129 În schimb, atunci când în discuție au fost condițiile în care accesul la datele referitoare la identitatea civilă putea fi justificat în raport cu articolul 15 alineatul (1) din Directiva 2002/58, interpretat în lumina articolelor 7, 8 și 11 din cartă, Curtea nu a făcut nicio mențiune explicită cu privire la cerința unui astfel de control prealabil [a se vedea în acest sens Hotărârea din 2 octombrie 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punctele 59, 60 și 62, Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 157 și 158, precum și Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice), C‑746/18, EU:C:2021:152, punctul 34].
130 Or, reiese din jurisprudența Curții referitoare la principiul proporționalității, a cărui respectare este impusă de articolul 15 alineatul (1) prima teză din Directiva 2002/58, în special din cea potrivit căreia posibilitatea statelor membre de a justifica o restrângere a drepturilor și obligațiilor prevăzute printre altele la articolele 5, 6 și 9 din această directivă trebuie apreciată cântărind gravitatea ingerinței în drepturile fundamentale consacrate la articolele 7, 8 și 11 din cartă pe care o implică o asemenea restrângere și verificând dacă importanța obiectivului de interes general urmărit de această restrângere se raportează la această gravitate (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 131), că profunzimea ingerinței în drepturile fundamentale vizate pe care îl implică accesul la datele cu caracter personal în discuție și gradul de sensibilitate al acestora trebuie de asemenea să influențeze garanțiile materiale și procedurale care trebuie să însoțească acest acces, printre care figurează cerința unui control prealabil exercitat de o instanță sau de o entitate administrativă independentă.
131 Prin urmare, având în vedere acest principiu al proporționalității, este necesar să se considere că efectuarea unui control prealabil de către o instanță sau o entitate administrativă independentă se impune atunci când, în contextul unei reglementări naționale care prevede accesul unei autorități publice la date cu caracter personal, acest acces implică riscul unei ingerințe grave în drepturile fundamentale ale persoanei vizate în sensul că ar putea permite acestei autorități publice să tragă concluzii precise cu privire la viața privată a acestei persoane și, dacă este cazul, să îi realizeze un profil detaliat.
132 În sens invers, această cerință a unui control prealabil nu are vocația de a se aplica atunci când ingerința în drepturile fundamentale în discuție pe care o implică accesul unei autorități publice la date cu caracter personal nu poate fi calificată drept gravă.
133 Aceasta este situația accesului la datele referitoare la identitatea civilă a utilizatorilor mijloacelor de comunicații electronice doar în scopul identificării utilizatorului în cauză și fără ca aceste date să poată fi asociate unor informații referitoare la comunicațiile efectuate, întrucât, potrivit jurisprudenței Curții, ingerința pe care o implică o astfel de prelucrare a datelor respective nu poate fi, în principiu, calificată ca fiind gravă (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 157 și 158).
134 Rezultă că, în cazul în care se instituie o măsură de păstrare precum cea descrisă la punctele 86-89 din prezenta hotărâre, accesul autorității publice la datele referitoare la identitatea civilă care sunt corelative adreselor IP astfel păstrate nu este, în principiu, condiționat de efectuarea unui control prealabil de către o instanță sau o entitate administrativă independentă.
135 Cu toate acestea, astfel cum s‑a arătat deja la punctele 110 și 111 din prezenta hotărâre, nu se poate exclude ca, în situații atipice, datele și informațiile limitate puse la dispoziția unei autorități publice în cadrul unei proceduri precum procedura de răspuns gradual în discuție în litigiul principal să poată dezvălui informații, eventual sensibile, cu privire la aspecte ale vieții private a persoanei în cauză, informații care, luate împreună, ar putea permite acestei autorități publice să tragă concluzii precise cu privire la viața privată a acestei persoane și, dacă este cazul, să îi realizeze un profil detaliat.
136 Așa cum reiese din cuprinsul punctului 112 din prezenta hotărâre, un asemenea risc pentru viața privată poate apărea printre altele atunci când o persoană desfășoară activități care aduc atingere drepturilor de autor sau drepturilor conexe pe rețele peer‑to‑peer, în mod repetat sau chiar la scară largă, în legătură cu opere protejate de natură specială care pot fi grupate pe baza unor termeni din titlul lor ce dezvăluie informații, eventual sensibile, cu privire la viața sa privată.
137 Astfel, în speță, în cadrul procedurii administrative de răspuns gradual, un titular al unei adrese IP poate fi deosebit de expus unui asemenea risc pentru viața sa privată atunci când această procedură atinge stadiul în care Hadopi este chemată să decidă dacă sesizează sau nu Ministerul Public în vederea urmăririi penale a acestui titular pentru fapte susceptibile să fie calificate drept neglijență gravă sau ca infracțiune de contrafacere.
138 Într‑adevăr, această sesizare presupune ca titularul unei adrese IP să fi făcut deja obiectul a două recomandări și al unei scrisori de notificare prin care să fi fost informat cu privire la faptul că activitățile sale pot face obiectul unei urmăriri penale, măsuri care implică faptul că Hadopi a avut de fiecare dată acces la date referitoare la identitatea civilă a acestui titular a cărui adresă IP a fost utilizată pentru activități care aduc atingere drepturilor de autor sau drepturilor conexe, precum și la un fișier referitor la această operă care cuprinde, în esență, titlul său.
139 Or, nu se poate exclude ca, luate împreună și pe măsură ce se desfășoară procedura administrativă de răspuns gradual, datele astfel furnizate în diferitele faze ale acestei proceduri să poată dezvălui informații concordante și, eventual, sensibile cu privire la aspecte ale vieții private a persoanei vizate care să permită, dacă este cazul, realizarea profilului său.
140 Astfel, intensitatea atingerii aduse dreptului la respectarea vieții private este susceptibilă să crească pe măsură ce procedura de răspuns gradual, care operează potrivit unui proces secvențial, parcurge diferitele etape care o compun.
141 În speță, accesul Hadopi la ansamblul datelor referitoare la persoana vizată și cumulate în cursul diferitelor etape ale acestei proceduri poate, prin corelarea acestor date, să fie susceptibil să permită tragerea unor concluzii precise cu privire la viața acesteia. Prin urmare, în cadrul unei proceduri precum procedura de răspuns gradual în discuție în litigiul principal, reglementarea națională trebuie să prevadă de asemenea, într‑un anumit stadiu al procedurii menționate, un control prealabil efectuat de o instanță sau de o entitate administrativă independentă, care să îndeplinească condițiile amintite la punctele 125-127 din prezenta hotărâre, pentru a exclude riscuri de ingerințe disproporționate în drepturile fundamentale la protecția vieții private și a datelor cu caracter personal ale persoanei vizate. Aceasta înseamnă că, în practică, un astfel de control trebuie să intervină înainte ca Hadopi să poată corela datele de identitate civilă ale unei persoane ce corespund unei adrese IP și care au fost obținute de la un furnizor de servicii de comunicații electronice, întrucât persoanei i‑au fost deja transmise două recomandări, și fișierul referitor la opera a cărei punere la dispoziție pe internet în vederea descărcării acesteia de către alte persoane. Așadar, controlul menționat trebuie să intervină înainte de eventuala transmitere a scrisorii de notificare prevăzute la articolul R‑331‑40 din CPI, prin care se constată că această persoană a săvârșit fapte ce pot constitui încălcarea de neglijență gravă. Numai în urma unui asemenea control prealabil efectuat de o instanță sau de o autoritate administrativă independentă și a autorizării din partea acesteia va putea Hadopi să adreseze o astfel de scrisoare și ulterior, dacă este cazul, să sesizeze Ministerul Public în vederea urmăririi penale a acestei încălcări.
142 Este necesar să se permită Hadopi să identifice cazurile în care titularul adresei IP în cauză ajunge la această a treia etapă a unei asemenea proceduri de răspuns gradual. Prin urmare, această procedură trebuie organizată și structurată așa încât persoanele însărcinate cu examinarea faptelor din cadrul Hadopi să nu poată corela în mod automat datele de identitate civilă ale unei persoane care corespund unor adrese IP colectate în prealabil pe internet, obținute de la furnizorii de servicii de comunicații electronice, cu fișierele care conțin elemente ce permit cunoașterea titlurilor operelor protejate a căror punere la dispoziție pe internet a justificat această colectare.
143 Astfel, această corelare în vederea îndeplinirii celei de a treia etape a răspunsului gradual trebuie suspendată atunci când obținerea datelor de identitate civilă menționate, ce corespunde unui caz în care este posibil să fi avut loc o repetare pentru a doua oară a unei activități care aduce atingere drepturilor de autor sau drepturilor conexe, declanșează cerința unui control prealabil efectuat de o instanță sau de o entitate administrativă independentă descrisă la punctul 141 din prezenta hotărâre.
144 Pe de altă parte, adaptarea cerinței controlului prealabil expus la punctele 141-143 din prezenta hotărâre, în măsura în care este limitată la a treia etapă a procedurii de răspuns gradual și nu se aplică etapelor anterioare ale acesteia, permite de asemenea să se ia în considerare argumentul potrivit căruia este necesar să se protejeze practicabilitatea acestei proceduri care se caracterizează, mai ales în etapele sale anterioare eventualei trimiteri a scrisorii de notificare și, dacă este cazul, sesizării Ministerului Public, printr‑un număr masiv de cereri de acces formulate de autoritatea publică în urma numărului la fel de important de procese‑verbale cu care este sesizată de organismele titularilor de drepturi.
145 În ceea ce privește obiectul controlului prealabil menționat la punctele 141-143 din prezenta hotărâre, rezultă din jurisprudența amintită la punctele 95 și 96 din hotărâre că, în cazurile în care persoana vizată este suspectată că a săvârșit fapta de „neglijență gravă” definită la articolul L. 335‑5 din CPI, care constituie în general infracțiuni, instanța sau entitatea administrativă independentă însărcinată cu acest control trebuie să refuze accesul atunci când accesul ar permite autorității publice care l‑a solicitat să tragă concluzii precise cu privire la viața privată a persoanei respective.
146 În schimb, chiar un acces care ar permite să se tragă astfel de concluzii precise ar trebui autorizat în cazurile în care elementele aduse la cunoștința acestei instanțe sau entități administrative independente permit să se prezume că persoana în cauză a săvârșit infracțiunea de contrafacere prevăzută la articolul L. 335‑2 din CPI sau la articolul L. 335‑4 din acest cod, dat fiind că un stat membru poate considera că o atare infracțiune, în măsura în care aduce atingere unui interes fundamental al societății, se încadrează la formele grave de infracționalitate.
147 În sfârșit, în ceea ce privește modalitățile acestui control prealabil, guvernul francez apreciază că, având în vedere caracteristicile speciale ale accesului Hadopi la datele în cauză, în special caracterul său masiv, ar fi adecvat ca un control prealabil, dacă ar fi solicitat, să fie efectuat prin mijloace automatizate în totalitate. Astfel, un asemenea control, care are un caracter pur obiectiv, ar urmări în esență să se verifice dacă procesul‑verbal de sesizare a Hadopi conține toate informațiile și datele solicitate, fără ca această autoritate să fie chemată să le aprecieze.
148 Cu toate acestea, un control prealabil nu poate în niciun caz să fie în totalitate efectuat prin mijloace automatizate, întrucât, după cum reiese din jurisprudența amintită la punctul 125 din prezenta hotărâre, un astfel de control impune oricum, în ceea ce privește o anchetă penală, ca instanța sau entitatea administrativă independentă în cauză să fie în măsură să asigure un echilibru just între, pe de o parte, interesele legitime legate de necesitățile unei investigații în cadrul combaterii infracționalității și, pe de altă parte, drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal ale persoanelor ale căror date sunt vizate de acces.
149 Astfel, o asemenea evaluare comparativă a diferitelor interese legitime și a drepturilor în cauză necesită intervenția unei persoane fizice, aceasta fiind cu atât mai necesară cu cât automatizarea și prelucrarea la scară largă a datelor în cauză implică riscuri pentru viața privată.
150 În plus, un control prin mijloace automatizate în totalitate nu este, în principiu, de natură să garanteze că accesul nu depășește limitele strictului necesar și că persoanele ale căror date cu caracter personal sunt vizate dispun de garanții efective împotriva riscurilor de abuz, precum și împotriva oricărui acces la aceste date și a oricărei utilizări ilicite a acestora.
151 Așadar, deși unele controale efectuate prin mijloace automatizate pot permite să se verifice o parte din informațiile cuprinse în procesele‑verbale ale organismelor titularilor de drepturi, asemenea controale trebuie, în orice caz, să fie însoțite de controale efectuate de persoane fizice care îndeplinesc pe deplin cerințele amintite la punctele 125-127 din prezenta hotărâre.
Cu privire la cerințele referitoare la condițiile materiale și procedurale, precum și la garanțiile împotriva riscurilor de abuz și împotriva oricărui acces și a oricărei utilizări ilicite a acestor date care sunt impuse pentru ca o autoritate publică să aibă acces la date referitoare la identitatea civilă care sunt corelative unei adrese IP
152 Reiese din jurisprudența Curții că accesul la datele cu caracter personal nu poate respecta cerința proporționalității impusă de articolul 15 alineatul (1) din Directiva 2002/58 decât dacă măsura legislativă care îl autorizează prevede prin norme clare și precise că accesul este condiționat de respectarea condițiilor materiale și procedurale aferente, iar persoanele vizate dispun de garanții efective împotriva riscurilor de acces și de utilizare abuzivă sau ilicită a acestor date [a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 132 și 173, precum și Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice), C‑746/18, EU:C:2021:152, punctul 49 și jurisprudența citată].
153 După cum a subliniat Curtea, necesitatea de a dispune de asemenea garanții este cu atât mai importantă atunci când datele cu caracter personal sunt supuse unei prelucrări prin mijloace automatizate (Hotărârea din 16 iulie 2020, Facebook Ireland și Schrems, C‑311/18, EU:C:2020:559, punctul 176 și jurisprudența citată).
154 În această privință, în răspunsul la o întrebare adresată de Curte în perspectiva ședinței din 5 iulie 2022, guvernul francez a confirmat că, astfel cum se indică de altfel la articolul L. 331‑29 din CPI, accesul Hadopi la datele referitoare la identitatea civilă în cadrul procedurii de răspuns gradual rezultă dintr‑o prelucrare de date esențialmente efectuată prin mijloace automatizate care se explică prin numărul masiv de contrafaceri constatate pe rețelele peer‑to‑peer de organismele titularilor de drepturi, constatări care sunt transmise Hadopi sub formă de procese‑verbale.
155 Reiese în special din dosarul de care dispune Curtea că, în cursul acestei prelucrări de date, agenții Hadopi verifică în mod esențial prin mijloace automatizate și fără o apreciere ca atare a faptelor vizate dacă procesele‑verbale cu care este sesizată conțin toate informațiile și datele menționate la punctul 1 din anexa la Decretul nr. 2010‑236, în special faptele în discuție de punere nelegală la dispoziție pe internet și adresele IP utilizate în acest scop. Or, astfel de prelucrări trebuie să fie însoțite de controale efectuate de persoane fizice.
156 Întrucât o astfel de prelucrare automată poate conține un anumit număr de cazuri fals pozitive și cu precădere riscul ca un număr de date cu caracter personal potențial foarte ridicat să fie deturnat de terți în scopuri abuzive sau ilicite, este important ca, la intervale regulate, sistemul de prelucrare a datelor utilizat de o autoritate publică să facă, în temeiul unei măsuri legislative, obiectul unui control exercitat de un organism independent și care are calitatea de terț în raport cu această autoritate, pentru a se verifica integritatea sistemului, inclusiv garanțiile efective împotriva riscurilor de abuz și împotriva oricărui acces la aceste date și a oricărei utilizări ilicite a acestora, pe care sistemul trebuie să o asigure, dar și eficacitatea și fiabilitatea sa în vederea identificării încălcărilor care pot fi calificate, în caz de repetare, drept neglijență gravă sau contrafacere.
157 În sfârșit, trebuie adăugat că o prelucrare de date cu caracter personal efectuată de o autoritate publică, precum cea efectuată de Hadopi în cadrul procedurii de răspuns gradual, trebuie să respecte normele specifice de protecție a acestor date prevăzute de Directiva 2016/680, care au ca obiect, potrivit articolului 1 din aceasta, stabilirea normelor referitoare la protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.
158 Astfel, în speță, chiar dacă Hadopi nu dispune, în temeiul dreptului național aplicabil, de puteri decizionale proprii atunci când prelucrează, în cadrul procedurii de răspuns gradual, date cu caracter personal și adoptă măsuri precum o recomandare sau o informare adresată persoanei vizate în care se menționează că faptele în cauză sunt pasibile să facă obiectul unei urmăriri penale, ea trebuie calificată drept „autoritate publică”, în sensul articolului 3 din Directiva 2016/680, implicată în prevenirea și detectarea infracțiunilor, și anume neglijența gravă sau contrafacerea, și intră, așadar, în domeniul de aplicare al acestei directive, în conformitate cu articolul 1 din aceasta.
159 În această privință, guvernul francez a arătat, ca răspuns la o întrebare adresată de Curte în perspectiva ședinței din 5 iulie 2022, că, întrucât măsurile adoptate de Hadopi în procedura de răspuns gradual „au un caracter prepenal direct legat de procedura judiciară”, sistemul pus în aplicare de Hadopi de gestionare a măsurilor pentru protecția operelor pe internet este guvernat, astfel cum reiese din jurisprudența instanței de trimitere, de dispozițiile de drept național care vizează transpunerea Directivei 2016/680.
160 În schimb, o astfel de prelucrare a datelor de către Hadopi nu intră în domeniul de aplicare al RGPD. În această privință, articolul 2 alineatul (2) litera (d) din RGPD prevede că regulamentul nu se aplică prelucrării datelor cu caracter personal de către autoritățile competente în scopul prevenirii, investigării, depistării sau urmăririi penale a infracțiunilor sau al executării sancțiunilor penale, inclusiv al protejării împotriva amenințărilor la adresa siguranței publice și al prevenirii acestora.
161 După cum a arătat domnul avocat general la punctul 104 din Concluziile prezentate la 27 octombrie 2022, întrucât respectarea Directivei 2016/680 este, așadar, obligatorie pentru Hadopi în derularea procedurii de răspuns gradual, persoanele implicate într‑o astfel de procedură trebuie să beneficieze de un ansamblu de garanții materiale și procedurale care cuprinde dreptul de acces, de rectificare și de ștergere a datelor cu caracter personal prelucrate de Hadopi, precum și posibilitatea de a introduce o plângere la o autoritate de supraveghere independentă, urmată, dacă este cazul, de o cale de atac jurisdicțională exercitată potrivit dreptului comun.
162 În acest context, din legislația națională în discuție în litigiul principal reiese că, în procedura de răspuns gradual, mai precis la momentul trimiterii celei de a doua recomandări și al notificării subsecvente că faptele constatate pot fi calificate drept infracțiune, destinatarul acestor comunicări beneficiază de anumite garanții procedurale, cum sunt dreptul de a formula observații, dreptul de a obține precizări cu privire la neîndeplinirea obligațiilor care îi este reproșată, precum și, în ceea ce privește notificarea, dreptul de a solicita audierea și de a fi asistat de un consilier.
163 În orice caz, revine instanței de trimitere sarcina de a verifica dacă această legislație națională prevede toate garanțiile materiale și procedurale prevăzute de Directiva 2016/680.
164 Având în vedere ansamblul considerațiilor care precedă, este necesar să se răspundă la cele trei întrebări preliminare că articolul 15 alineatul (1) din Directiva 2002/58, prin raportare la articolele 7, 8 și 11, precum și la articolul 52 alineatul (1) din cartă, trebuie interpretat în sensul că nu se opune unei reglementări naționale care permite autorității publice însărcinate cu protecția drepturilor de autor și a drepturilor conexe împotriva încălcărilor acestor drepturi săvârșite pe internet să aibă acces la datele păstrate de furnizorii de servicii de comunicații electronice referitoare la identitatea civilă care sunt corelative adreselor IP colectate în prealabil de organisme ale titularilor de drepturi, pentru ca această autoritate publică să poată identifica titularii acestor adrese utilizate pentru activități susceptibile să constituie astfel de încălcări și să poată lua, dacă este cazul, măsuri în privința lor, cu condiția ca, în temeiul acestei reglementări,
– datele să fie păstrate în condiții și potrivit unor modalități tehnice care să garanteze că este exclusă posibilitatea ca această păstrare să permită să se tragă concluzii precise cu privire la viața privată a acestor titulari, de exemplu prin realizarea profilului lor detaliat, ceea ce se poate realiza în special impunând furnizorilor de servicii de comunicații electronice obligația să păstreze diferitele categorii de date cu caracter personal, cum sunt datele referitoare la identitatea civilă, adresele IP, precum și datele de transfer și datele de localizare, asigurând separarea efectiv etanșă a acestor categorii de date, care să împiedice, în faza de păstrare, orice exploatare combinată a acestor diferite categorii de date, și pentru o perioadă care să nu depășească strictul necesar,
– accesul acestei autorități publice la astfel de date păstrate în mod separat și efectiv etanș să servească exclusiv pentru identificarea persoanei suspectate de săvârșirea unei infracțiuni și să fie însoțit de garanțiile necesare pentru a exclude posibilitatea ca acest acces să permită, cu excepția unor situații atipice, să se tragă concluzii precise cu privire la viața privată a titularilor adreselor IP, de exemplu prin realizarea profilului lor detaliat, ceea ce presupune în special să li se interzică agenților acestei autorități care sunt autorizați să aibă un asemenea acces să divulge, sub orice formă, informații cu privire la conținutul fișierelor consultate de acești titulari, mai puțin atunci când se are exclusiv în vedere sesizarea Ministerului Public, să reconstituie parcursul de navigare al acestor titulari și, la modul general, să utilizeze aceste adrese IP în alt scop decât acela de a identifica titularii lor în vederea adoptării unor eventuale măsuri față de aceștia,
– posibilitatea persoanelor însărcinate cu examinarea faptelor din cadrul autorității publice menționate de a corela astfel de date cu fișierele care conțin elemente ce permit aflarea titlului unor opere protejate a căror punere la dispoziție pe internet a justificat colectarea adreselor IP de către organismele titularilor de drepturi să fie supusă, în situația unei noi repetări a unei activități care aduce atingere drepturilor de autor sau drepturilor conexe de către aceeași persoană, unui control exercitat de o instanță sau de o entitate administrativă independentă, care nu poate fi în totalitate efectuat prin mijloace automatizate și care trebuie să fie efectuat înainte de a se face o asemenea corelare, întrucât această corelare este susceptibilă, în astfel de ipoteze, să permită să fie trase concluzii precise cu privire la viața privată a persoanei menționate a cărei adresă IP a fost utilizată pentru activități care pot aduce atingere drepturilor de autor sau drepturilor conexe,
– la intervale regulate, sistemul de prelucrare a datelor utilizat de autoritatea publică să facă obiectul unui control efectuat de un organism independent și care are calitatea de terț în raport cu această autoritate publică pentru a se verifica integritatea sistemului, inclusiv garanțiile efective împotriva riscurilor de acces și de utilizare abuzivă sau ilegală a acestor date, precum și eficacitatea și fiabilitatea sa în depistarea eventualelor încălcări ale obligațiilor.
Cu privire la cheltuielile de judecată
165 Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.
Pentru aceste motive, Curtea (Plenul) declară:
Articolul 15 alineatul (1) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009, prin raportare la articolele 7, 8 și 11, precum și la articolul 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene,
trebuie interpretat în sensul că
nu se opune unei reglementări naționale care permite autorității publice însărcinate cu protecția drepturilor de autor și a drepturilor conexe împotriva încălcărilor acestor drepturi săvârșite pe internet să aibă acces la datele păstrate de furnizorii de servicii de comunicații electronice referitoare la identitatea civilă care sunt corelative adreselor IP colectate în prealabil de organisme ale titularilor de drepturi, pentru ca această autoritate publică să poată identifica titularii acestor adrese utilizate pentru activități susceptibile să constituie astfel de încălcări și să poată lua, dacă este cazul, măsuri în privința lor, cu condiția ca, în temeiul acestei reglementări,
– datele să fie păstrate în condiții și potrivit unor modalități tehnice care să garanteze că este exclusă posibilitatea ca această păstrare să permită să se tragă concluzii precise cu privire la viața privată a acestor titulari, de exemplu prin realizarea profilului lor detaliat, ceea ce se poate realiza în special impunând furnizorilor de servicii de comunicații electronice obligația să păstreze diferitele categorii de date cu caracter personal, cum sunt datele referitoare la identitatea civilă, adresele IP, precum și datele de transfer și datele de localizare, asigurând separarea efectiv etanșă a acestor categorii de date, care să împiedice, în faza de păstrare, orice exploatare combinată a acestor diferite categorii de date, și pentru o perioadă care să nu depășească strictul necesar,
– accesul acestei autorități publice la astfel de date păstrate în mod separat și efectiv etanș să servească exclusiv pentru identificarea persoanei suspectate de săvârșirea unei infracțiuni și să fie însoțit de garanțiile necesare pentru a exclude posibilitatea ca acest acces să permită, cu excepția unor situații atipice, să se tragă concluzii precise cu privire la viața privată a titularilor adreselor IP, de exemplu prin realizarea profilului lor detaliat, ceea ce presupune în special să li se interzică agenților acestei autorități care sunt autorizați să aibă un asemenea acces să divulge, sub orice formă, informații cu privire la conținutul fișierelor consultate de acești titulari, mai puțin atunci când se are exclusiv în vedere sesizarea Ministerului Public, să reconstituie parcursul de navigare al acestor titulari și, la modul general, să utilizeze aceste adrese IP în alt scop decât acela de a identifica titularii lor în vederea adoptării unor eventuale măsuri față de aceștia,
– posibilitatea persoanelor însărcinate cu examinarea faptelor din cadrul autorității publice menționate de a corela astfel de date cu fișierele care conțin elemente ce permit aflarea titlului unor opere protejate a căror punere la dispoziție pe internet a justificat colectarea adreselor IP de către organismele titularilor de drepturi să fie supusă, în situația unei noi repetări a unei activități care aduce atingere drepturilor de autor sau drepturilor conexe de către aceeași persoană, unui control exercitat de o instanță sau de o entitate administrativă independentă, care nu poate fi în totalitate efectuat prin mijloace automatizate și care trebuie să fie efectuat înainte de a se face o asemenea corelare, întrucât această corelare este susceptibilă, în astfel de ipoteze, să permită să fie trase concluzii precise cu privire la viața privată a persoanei menționate a cărei adresă IP a fost utilizată pentru activități care pot aduce atingere drepturilor de autor sau drepturilor conexe,
– la intervale regulate, sistemul de prelucrare a datelor utilizat de autoritatea publică să facă obiectul unui control efectuat de un organism independent și care are calitatea de terț în raport cu această autoritate publică pentru a se verifica integritatea sistemului, inclusiv garanțiile efective împotriva riscurilor de acces și de utilizare abuzivă sau ilegală a acestor date, precum și eficacitatea și fiabilitatea sa în depistarea eventualelor încălcări ale obligațiilor.
Semnături