CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:838

FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT

M. SZPUNAR

fremsat den 27. oktober 2022 (1)

Sag C-470/21

La Quadrature du Net,

Fédération des fournisseurs d’accès à Internet associatifs,

Franciliens.net,

French Data Network

mod

Premier ministre,

Ministère de la Culture

(anmodning om præjudiciel afgørelse indgivet af Conseil d’État (øverste domstol i forvaltningsretlige sager, Frankrig))

»Præjudiciel forelæggelse – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58/EF – artikel 15, stk. 1 – medlemsstaternes mulighed for at indskrænke rækkevidden af visse rettigheder og forpligtelser – krav om en forudgående kontrol foretaget af en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser – data vedrørende personers identitet i form af oplysninger om en IP-adresse«

I. Indledning

1. Spørgsmålet om lagring af og adgang til visse data, der vedrører internetbrugerne, er til stadighed aktuelt og har været genstand for en nyere, men allerede omfattende praksis fra Domstolen.

2. Den foreliggende sag giver Domstolen anledning til på ny at behandle dette spørgsmål i den nye sammenhæng med bekæmpelse af krænkelser af intellektuelle ejendomsrettigheder, som udelukkende er begået online.

II. Retsforskrifter

A. EU-retten

3. Følgende fremgår af 2., 6., 7., 11., 22., 26. og 30. betragtning til direktiv 2002/58/EF (2):

»(2) Dette direktiv søger at overholde de grundlæggende rettigheder og respektere de principper, der anerkendes i især [Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«)]. Direktivet søger især at sikre fuld overholdelse af rettighederne i [chartrets] artikel 7 og 8.

[…]

(6) Internettet vender op og ned på de traditionelle markedsstrukturer, idet det udgør en fælles, global infrastruktur for fremføring af en lang række elektroniske kommunikationstjenester. Offentligt tilgængelige elektroniske kommunikationstjenester via internettet giver brugerne nye muligheder, men medfører også nye risikomomenter for deres personoplysninger og privatliv.

(7) Med hensyn til offentlige kommunikationsnet bør der træffes særlige foranstaltninger af lovgivningsmæssig, administrativ og teknisk art for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder og juridiske personers legitime interesser, navnlig mod den voksende risiko, der er forbundet med automatiseret opbevaring og behandling af oplysninger om abonnenter og brugere.

[…]

(11) Ligesom direktiv [95/46/EF (3)] finder dette direktiv ikke anvendelse på beskyttelse af grundlæggende rettigheder og frihedsrettigheder, der er forbundet med aktiviteter, der ikke er omfattet af fællesskabsretten. Det ændrer derfor ikke den nuværende balance mellem enkeltpersoners ret til privatlivets fred og medlemsstaternes mulighed for, jf. artikel 15, stk. 1, i dette direktiv, at træffe de foranstaltninger, der er nødvendige til beskyttelse af den offentlige sikkerhed, forsvaret, statens sikkerhed (herunder statens økonomiske interesser, når disse aktiviteter er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område. Dette direktiv berører derfor ikke medlemsstaternes mulighed for lovligt at opfange elektronisk kommunikation eller træffe andre foranstaltninger, hvis det er nødvendigt med et af disse formål for øje og i overensstemmelse med den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder[, undertegnet i Rom den 4. november 1950], som fortolket i Den Europæiske Menneskerettighedsdomstols retspraksis. Sådanne foranstaltninger skal være passende, stå i åbenbart rimeligt forhold til det mål, der forfølges, og være nødvendige i et demokratisk samfund, og foranstaltningerne bør omfattes af passende beskyttelsesordninger i overensstemmelse med den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder.

[…]

(22) Det er ikke tanken, at forbuddet mod, at der af andre end brugerne eller uden disses samtykke lagres oplysninger og de dertil hørende trafikdata, skal omfatte enhver automatisk, mellemliggende og kortvarig lagring af denne information, når blot lagringen udelukkende sker med henblik på gennemførelse af transmissionen i de elektroniske kommunikationsnet, og oplysningerne ikke lagres længere end det tidsrum, der er nødvendigt for transmissionen og af hensyn til trafikstyringen, forudsat at sikkerhedsbeskyttelsen af oplysningerne i lagringsperioden fortsat er garanteret. […]

[…]

(26) Abonnentoplysninger, som behandles i elektroniske kommunikationsnet ved etablering af en kommunikationsforbindelse og fremføring af information, indeholder oplysninger om fysiske personers privatliv og vedrører retten til respekt for deres korrespondance eller vedrører juridiske personers legitime interesser. Sådanne data må kun lagres i det omfang, det er nødvendigt for tjenestens gennemførelse med henblik på debitering og afregning for samtrafik, og kun i et begrænset tidsrum. [Yderligere behandling af sådanne data må] kun ske, hvis abonnenten har givet sit samtykke hertil på grundlag af en nøjagtig og fuldstændig orientering fra udbyderen af de offentligt tilgængelige elektroniske kommunikationstjenester om arten af den yderligere behandling, han agter at foretage, og om abonnentens ret til at nægte eller tilbagekalde sit samtykke til denne behandling. […]

[…]

(30) Systemer til levering af elektroniske kommunikationsnet og kommunikationstjenester bør konstrueres, så de begrænser mængden af nødvendige personoplysninger til et absolut minimum. […]«

4. Dette direktivs artikel 2 med overskriften »Definitioner« er affattet således:

»[…]

Følgende definitioner anvendes også:

a) »bruger«: en fysisk person, som anvender en offentligt tilgængelig elektronisk kommunikationstjeneste i privat eller forretningsmæssigt øjemed, uden nødvendigvis at abonnere på den pågældende tjeneste

b) »trafikdata«: data, som behandles med henblik på overføring af kommunikation i et elektronisk kommunikationsnet eller debitering heraf

c) »lokaliseringsdata«: data, som behandles i et elektronisk kommunikationsnet eller af en elektronisk kommunikationstjeneste og angiver den geografiske placering af det terminaludstyr, som brugeren af en offentligt tilgængelig elektronisk kommunikationstjeneste anvender

d) »kommunikation«: oplysninger, som udveksles eller overføres mellem et begrænset antal parter via en offentligt tilgængelig elektronisk kommunikationstjeneste. Dette omfatter ikke oplysninger, der overføres som del af en radio- og fjernsynstransmissionstjeneste til offentligheden via et elektronisk kommunikationsnet, medmindre oplysningerne kan kædes sammen med en identificerbar abonnent eller bruger, der modtager oplysningerne

[…]«

5. I nævnte direktivs artikel 3 med overskriften »Omfattede tjenester« fastsættes:

»Dette direktiv finder anvendelse på behandling af persondata i forbindelse med, at offentligt tilgængelige elektroniske kommunikationstjenester stilles til rådighed via offentlige kommunikationsnet i Fællesskabet, herunder offentlige kommunikationsnet med dataindsamlings- og identifikationsudstyr.«

6. I samme direktivs artikel 5 med overskriften »Kommunikationshemmelighed« bestemmes:

»1. Medlemsstaterne sikrer kommunikationshemmeligheden ved brug af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester, både for så vidt angår selve kommunikationen og de dermed forbundne trafikdata, via nationale forskrifter. De forbyder især aflytning, registrering, lagring og andre måder, hvorpå samtaler kan opfanges eller overvåges af andre end brugerne, uden at de pågældende brugere har indvilget heri, bortset fra tilfælde, hvor det er tilladt ifølge lovgivningen, jf. artikel 15, stk. 1. Dette stykke er ikke til hinder for teknisk lagring, som er nødvendig for overføring af en kommunikation, forudsat at princippet om kommunikationshemmelighed ikke berøres heraf.

[…]

3. Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv [95/46] at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen. Dette er ikke til hinder for teknisk lagring eller adgang til oplysninger, hvis det alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet eller er absolut påkrævet for at sætte udbyderen af en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkelig har anmodet om, i stand til at levere denne tjeneste.«

7. Artikel 6 i direktiv 2002/58, der har overskriften »Trafikdata«, har følgende ordlyd:

»1. Trafikdata vedrørende abonnenter og brugere, som behandles og lagres af udbyderen af et offentligt kommunikationsnet eller en offentligt tilgængelig elektronisk kommunikationstjeneste, skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen, jf. dog stk. 2, 3 og 5, samt artikel 15, stk. 1.

2. Med henblik på debitering af abonnenten og afregning for samtrafik er det tilladt at behandle trafikdata. En sådan behandling er tilladt indtil udløbet af den lovbestemte forældelsesfrist for sådanne gældsforpligtelser eller fristen for anfægtelse af sådanne afregninger.

[…]«

8. Artikel 15, stk. 1, i direktiv 2002/58, der har overskriften »Anvendelsesområdet for visse bestemmelser i direktiv [95/46]«, er affattet således:

»Medlemsstaterne kan vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i artikel 5, artikel 6, artikel 8, stk. 1, 2, 3 og 4, og artikel 9, hvis en sådan indskrænkning er nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv [95/46]. Med henblik herpå kan medlemsstaterne bl.a. vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke. Alle i dette stykke omhandlede forskrifter skal være i overensstemmelse med [EU]-rettens generelle principper, herunder principperne i […] artikel 6, stk. 1 og 2, [TEU].«

B. Fransk ret

1. Lov om intellektuelle ejendomsrettigheder

9. Artikel L. 331-12 i code de la propriété intellectuelle (lov om intellektuelle ejendomsrettigheder), i den affattelse, der finder anvendelse på tvisten i hovedsagen (herefter »CPI«), fastsætter følgende:

»La Haute autorité pour la diffusion des œuvres et la protection des droits sur internet [(den øverste myndighed for spredning af værker og beskyttelse af rettigheder på internettet, herefter »Hadopi«)] er en uafhængig offentlig myndighed.«

10. CPI’s artikel L. 331-13 bestemmer:

»[Hadopi] varetager:

[…]

2° en opgave med beskyttelse [af værker og frembringelser, hvortil der er knyttet en ophavsret eller en beslægtet rettighed via elektroniske kommunikationsnet] i forhold til krænkelser af disse rettigheder, der er begået via elektroniske kommunikationsnet, som anvendes til levering af offentlige onlinekommunikationstjenester […]«

11. Følgende fremgår af denne lovs artikel L. 331-15:

»[Hadopi] er sammensat af et kollegium og en commission de protection des droits [(kommission for beskyttelse af rettigheder)]. […]

[…]

Medlemmerne af kollegiet og af kommissionen for beskyttelse af rettigheder modtager under udøvelsen af deres beføjelser ikke instruks fra nogen myndighed.«

12. Nævnte lovs artikel L. 331-17 foreskriver:

»Kommissionen for beskyttelse af rettigheder har til ansvar at træffe de foranstaltninger, der er omhandlet i artikel L. 331-25.«

13. Ifølge ordlyden af samme lovs artikel L. 331-21:

»Med henblik på udøvelsen af de beføjelser, der tilkommer kommissionen for beskyttelse af rettigheder, råder [Hadopi] over edsvorne embedsmænd, som er bemyndiget af [præsidenten for Hadopi] på de betingelser, der er fastsat i et dekret efter høring af Conseil d’État [(øverste domstol i forvaltningsretlige sager, Frankrig)]. […]

Medlemmerne af kommissionen for beskyttelse af rettigheder og de i stk. 1 nævnte embedsmænd modtager de henvendelser, der rettes til nævnte kommission i overensstemmelse med artikel L. 331-24. De foretager en bedømmelse af de faktiske omstændigheder.

De kan af hensyn til proceduren kræve adgang til alle dokumenter, uanset hvilket medie de er lagret på, herunder data, der er lagret og behandlet af operatører inden for elektronisk kommunikation i henhold til artikel L. 34-1 i code des postes et des communications électroniques [(lov om postvæsen og elektronisk kommunikation)] og de i artikel 6, stk. I, nr. 1 og 2, i loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique [(lov 2004-575 af 21.6.2004 om tillid til den digitale økonomi)] omhandlede tjenesteydere.

De kan ligeledes kræve en kopi af de dokumenter, der er nævnt i foregående stykke.

Af operatørerne inden for elektronisk kommunikation kan de navnlig kræve oplysninger om navn, postadresse, e-mailadresse og telefonnummer på den abonnent, hvis adgang til offentlige onlinekommunikationstjenester er blevet anvendt til reproduktion, fremførelse, tilrådighedsstillelse eller overføring til almenheden af beskyttede værker eller frembringelser uden tilladelse fra indehaverne […], når dette er påkrævet.«

14. CPI’s artikel L. 331-24 fastsætter:

»Kommissionen for beskyttelse af rettigheder optager en sag til behandling på anmodning af edsvorne, befuldmægtigede embedsmænd […], der udpeges af:

– faglige interesseorganisationer, der er forskriftsmæssigt oprettet

– kollektive forvaltningsorganisationer

– Centre national du cinéma et de l’image animée [(det nationale center for filmproduktion og animerede billeder)].

Kommissionen for beskyttelse af rettigheder kan ligeledes optage en sag til behandling på grundlag af oplysninger, der videregives til den fra procureur de la République [(den offentlige anklagemyndighed, Frankrig)].

Kommissionen kan ikke optage en sag til behandling vedrørende faktiske forhold, der ligger mere end seks måneder tilbage i tiden.«

15. Denne lovs artikel L. 331-25, som er en bestemmelse, der regulerer proceduren med de såkaldt »gradvise foranstaltninger«, har følgende ordlyd:

»Når kommissionen for beskyttelse af rettigheder skal træffe afgørelse om faktiske forhold, der kan udgøre en tilsidesættelse af den i artikel L. 336-3 [i CPI] fastsatte forpligtelse, kan den rette en henstilling til abonnenten […], hvori denne mindes om bestemmelserne i artikel L. 336-3, pålægges at overholde den forpligtelse, der er fastlagt i disse bestemmelser, og bliver gjort opmærksom på, hvilke sanktioner der kan bringes i anvendelse i medfør af artikel L. 335-7 og L. 335-7-1. En sådan henstilling indeholder ligeledes oplysning til abonnenten om, hvad der er et lovligt udbud af kulturelt onlineindhold, om, hvilke betryggelsesmidler der findes, som gør det muligt at forebygge tilsidesættelser af den i artikel L. 336-3 fastsatte forpligtelse, og om, hvilke risikomomenter en praksis, der ikke overholder ophavsretten og de beslægtede rettigheder, indebærer for fornyelsen af den kunstneriske frembringelse og for økonomien i den kulturelle sektor.

I tilfælde af, at de faktiske forhold, der kan udgøre en tilsidesættelse af den i artikel L. 336-3 fastsatte forpligtelse, gentages inden for seks måneder regnet fra det tidspunkt, hvor den i stk. 1 omhandlede henstilling blev rettet, kan kommissionen rette en ny elektronisk henstilling med samme oplysninger som i den foregående […]. Kommissionen påser, at denne henstilling ledsages af en anbefalet skrivelse eller en skrivelse, hvor det på anden vis er muligt at godtgøre datoen for fremsættelsen af henstillingen.

I henstillinger, der rettes på grundlag af denne artikel, anføres dato og tidspunkt for konstateringen af de faktiske forhold, der kan udgøre en tilsidesættelse af den i artikel L. 336-3 fastsatte forpligtelse. Indholdet af de beskyttede værker eller frembringelser, der er berørt af en sådan tilsidesættelse, meddeles til gengæld ikke heri. Der anføres kontaktoplysninger – telefonnummer, postadresse og e-mailadresse – som modtageren, såfremt denne måtte ønske det, kan benytte til at fremsætte indlæg over for kommissionen for beskyttelse af rettigheder, og til – ved udtrykkeligt at anmode herom – at opnå nærmere oplysninger om indholdet af de beskyttede værker eller frembringelser, der er berørt af den tilsidesættelse, som foreholdes modtageren.«

16. Nævnte lovs artikel L. 331-29 er affattet således:

»[Hadopi] kan vedtage bestemmelse om en automatiseret behandling af oplysninger om personer, der er genstand for en af de i dette underafsnit omhandlede sager.

Med denne behandling skal kommissionen for beskyttelse af rettigheder gennemføre de i dette underafsnit omhandlede foranstaltninger og alle relevante proceduremæssige akter samt gennemføre de nærmere regler om faglige interesseorganisationers og kollektive forvaltningsorganisationers afgivelse af oplysninger, om fordeling af eventuelle sagsanlæg ved de retslige myndigheder og om de i artikel L. 335-7, stk. 5, omhandlede underretninger.

Gennemførelsesbestemmelserne til denne artikel fastsættes ved dekret […]. Dekretet skal bl.a. fastsætte nærmere bestemmelse om:

– kategorierne af lagrede oplysninger og deres lagringsperiode

– de tjenestemodtagere, der er beføjede til at modtage disse lagrede oplysninger, heriblandt personer, hvis virksomhed består i at tilbyde adgang til offentlige onlinekommunikationstjenester

– betingelserne for, at de berørte personer over for [Hadopi] kan udøve deres ret til indsigt i oplysninger om dem […]«

17. Samme lovs artikel R. 331-37 foreskriver:

»[…] [O]peratører inden for elektronisk kommunikation […] og […] tjenesteudbydere […] skal ved samkøring af den i artikel L. 331-29 nævnte automatiserede behandling af personoplysninger eller ved brug af et lagringsmedium, der sikrer oplysningernes integritet og sikkerhed, videregive de personoplysninger og andre oplysninger, der er nævnt i nr. 2 i bilaget til [décret n° 2010-236 du 5 mars 2010 relatif au traitement automatisé des données à caractère personnel autorisé par l’article L. 331-29 du [CPI] dénommé »Système de gestion des mesures pour la protection des œuvres sur internet« (dekret 2010-236 af 5.3.2010 om automatiseret behandling af personoplysninger, der er vedtaget på grundlag af artikel L. 331-29 i [CPI], og benævnt »Systemet til håndtering af foranstaltninger til beskyttelse af værker på internettet« (4))] […], inden for otte dage efter kommissionen for beskyttelse af rettigheders videregivelse af de tekniske data, der er nødvendige til identificering af den abonnent, hvis adgang til offentlige onlinekommunikationstjenester er blevet anvendt til reproduktion, fremførelse, tilrådighedsstillelse eller overføring til almenheden af beskyttede værker eller frembringelser uden tilladelse fra indehaverne […], når dette er påkrævet.

[…]«

18. I CPI’s artikel R. 335-5 bestemmes følgende:

»I.- Der er tale om alvorlig forsømmelighed, der straffes med bøder som fastsat for overtrædelser af femte grad, såfremt indehaveren af en adgang til offentlige onlinekommunikationstjenester, når de i stk. II fastsatte betingelser er opfyldt, og der ikke foreligger et legitimt hensyn:

1° enten ikke har iværksat noget middel til betryggelse af denne adgang

2° eller ikke har udvist agtpågivenhed ved iværksættelsen af et sådant middel.

II.- Bestemmelserne i stk. I finder alene anvendelse, når følgende to betingelser er opfyldt:

1° Når kommissionen for beskyttelse af rettigheder i henhold til artikel L. 331-25 og i de efter denne bestemmelse fastsatte former har henstillet til indehaveren af en adgang om at iværksætte et middel til betryggelse af denne adgang, som gør det muligt at forebygge en fornyet anvendelse heraf til reproduktion, fremførelse, tilrådighedsstillelse eller overføring til almenheden af værker eller frembringelser, der er beskyttet af en ophavsret eller en beslægtet rettighed uden tilladelse fra indehaverne […], når en sådan tilladelse er påkrævet.

2° Når denne adgang i året efter fremsættelsen af en sådan henstilling på ny anvendes til de i nr. 1 i dette stk. II nævnte formål.«

19. Ifølge ordlyden af denne lovs artikel L. 336-3:

»Indehaveren af en adgang til offentlige onlinekommunikationstjenester er forpligtet til at sikre, at denne adgang ikke anvendes til reproduktion, fremførelse, tilrådighedsstillelse eller overføring til almenheden af værker eller frembringelser, der er beskyttet af en ophavsret eller en beslægtet rettighed uden tilladelse fra indehaverne […], når en sådan tilladelse er påkrævet.

Hvis indehaveren af adgangen tilsidesætter den i stk. 1 fastsatte forpligtelse, medfører dette ikke, at den berørte ifalder strafansvar […]«

2. Dekretet af 5. marts 2010

20. Dekretet af 5. marts 2010, i den affattelse, der finder anvendelse på tvisten i hovedsagen, fastsætter i artikel 1:

»Med den behandling af personoplysninger, der er benævnt »Systemet til håndtering af foranstaltninger til beskyttelse af værker på internettet«, skal kommissionen for beskyttelse af rettigheder under [Hadopi] gennemføre:

1° foranstaltninger, der er omhandlet i bog III i den dispositive del af [CPI] (afsnit III, kapitel I, afdeling 3, underafdeling 3) og bog III i samme lovs forskriftsmæssige del (afsnit III, kapitel I, afdeling 2, underafdeling 2)

2° indbringelse af sager for procureur de la République [(den offentlige anklagemyndighed)] vedrørende faktiske forhold, der kan udgøre overtrædelser i henhold til samme lovs artikel L. 335-2, L. 335-3, L. 335-4 og R. 335-5, og underretning til de faglige interesseorganisationer og de kollektive forvaltningsorganisationer om sådanne indbringelser

[…]«

21. Artikel 4 i dette dekret bestemmer:

»I. Direkte adgang til personoplysninger og de i bilaget til dette dekret nævnte oplysninger har edsvorne embedsmænd, som er bemyndiget af præsidenten for [Hadopi] i henhold til artikel L. 331-21 i [CPI], og medlemmer af den i artikel 1 nævnte kommission for beskyttelse af rettigheder.

II. Operatørerne inden for elektronisk kommunikation og de i nr. 2 i bilaget til dette dekret nævnte tjenesteudbydere modtager:

– tekniske data, der er nødvendige til identificering af abonnenten

– henstillinger som omhandlet i artikel L. 331-25 i [CPI] med henblik på, at sådanne henstillinger rettes elektronisk til abonnenterne

– oplysninger, der er nødvendige for at iværksætte supplerende straffe, der består i inddragelse af en adgang til en offentlig onlinekommunikationstjeneste, og som procureur de la République [(den offentlige anklagemyndighed)] meddeler kommissionen for beskyttelse af rettigheder.

III. De faglige interesseorganisationer og de kollektive forvaltningsorganisationer modtager underretning om indbringelse af en sag for procureur de la République [(den offentlige anklagemyndighed)].

IV. De retslige myndigheder modtager rapporter om fastslåelse af faktiske forhold, der kan udgøre overtrædelser i henhold til artikel L. 335-2, L. 335-3, L. 335-4, L. 335-7, R. 331-37, R. 331-38 og R. 335-5 i [CPI].

Der sker underretning til det automatiserede strafferegister om iværksættelse af straf, der består i inddragelse.«

22. I henhold til bilaget til dekretet af 5. marts 2010:

»Følgende personoplysninger og andre oplysninger registreres i forbindelse med den behandling, der er benævnt »Systemet til håndtering af foranstaltninger til beskyttelse af værker på internettet«:

1° personoplysninger og andre oplysninger, der hidrører fra faglige interesseorganisationer, der er forskriftsmæssigt oprettet, fra kollektive forvaltningsorganisationer og fra det nationale center for filmproduktion og animerede billeder, samt oplysninger, der hidrører fra procureur de la République [(den offentlige anklagemyndighed)]:

med hensyn til faktiske forhold, der kan udgøre en tilsidesættelse af den i artikel L. 336-3 i [CPI] fastsatte forpligtelse:

dato og tidspunkt for de faktiske forhold

de berørte abonnenters IP-adresse

anvendt peer-to-peer-protokol

pseudonym anvendt af abonnenten

oplysninger om de beskyttede værker og frembringelser, der er berørt af de faktiske forhold

navn på filen, således som denne forekommer på abonnentens apparat (i givet fald)

den udbyder af internetadgang, hos hvilken der er tegnet abonnement på adgang, eller som har leveret den tekniske IP-ressource. […]

2° personoplysninger og andre oplysninger, der vedrører abonnenten, og som er indsamlet hos operatørerne inden for elektronisk kommunikation […] og hos tjenesteudbyderne […]:

for- og efternavne

postadresse og e-mailadresser

telefonnummer

installationsadresse for abonnentens telefonudstyr

den udbyder af internetadgang, der anvender den i nr. 1 nævnte internetudbyders tekniske ressourcer, og med hvilken abonnenten har tegnet kontrakt; sagsnummer

dato for, hvornår der er påbegyndt inddragelse af en adgang til en offentlig onlinekommunikationstjeneste.

[…]«

3. Lov om postvæsen og elektronisk kommunikation

23. Artikel L. 34-1 i code des postes et des communications électroniques (lov om postvæsen og elektronisk kommunikation), som ændret ved artikel 17 i loi n^o 2021-998 du 30 juillet 2021 (lov 2021-998 af 30.7.2021) (5) (herefter »CPCE«), bestemmer i stk. IIa, at »[o]peratører af elektronisk kommunikation skal lagre:

1° Med henblik på straffesager, forebyggelse af trusler mod den offentlige sikkerhed og beskyttelsen af den nationale sikkerhed lagres oplysninger vedrørende brugerens civile identitet i fem år efter udløbet af kontraktens gyldighed.

2° Med de samme formål som de i nr. 1 i dette stk. IIa anførte oplysninger lagres andre oplysninger afgivet af brugeren ved indgåelsen af kontrakten eller ved oprettelsen af en konto samt oplysninger vedrørende betalingen i et år, efter at kontraktens gyldighed udløb, eller vedkommendes konto blev lukket.

3° Med henblik på bekæmpelsen af kriminalitet og alvorlige forbrydelser, forebyggelse af alvorlige trusler mod den offentlige sikkerhed og beskyttelsen af den nationale sikkerhed lagres tekniske data, som gør det muligt at identificere kilden til en forbindelse, eller data vedrørende det anvendte terminaludstyr i et år efter forbindelsen eller anvendelsen af terminaludstyret.«

III. Tvisten i hovedsagen, de præjudicielle spørgsmål og retsforhandlingerne for Domstolen

24. Ved stævning af 12. august 2019 og ved to supplerende processkrifter af 12. november 2019 og 6. maj 2021 har La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net og French Data Network for Conseil d’État (øverste domstol i forvaltningsretlige sager) nedlagt påstand om annullation af den stiltiende afgørelse, hvorved Premier ministre (premierministeren) afslog nævnte sammenslutningers anmodning om ophævelse af dekretet af 5. marts 2010, eftersom dette dekret og de bestemmelser, der udgør dets lovhjemmel, ikke alene i høj grad gør indgreb i de rettigheder, der er sikret ved Constitution française (den franske forfatning), men tillige er i strid med artikel 15 i direktiv 2002/58 og med chartrets artikel 7, 8, 11 og 52.

25. Særligt har sagsøgerne i hovedsagen gjort gældende, at dekretet af 5. marts 2010 og de bestemmelser, der udgør dets lovhjemmel, for mindre, ophavsretlige lovovertrædelser, som er begået på internettet, i uforholdsmæssig grad giver adgang til forbindelsesdata uden forudgående kontrol foretaget af enten en domstol eller en administrativ enhed, der frembyder garantier for uafhængighed og upartiskhed.

26. Den forelæggende ret har i denne forbindelse for det første fremhævet, at Domstolen i sin seneste dom i sagen La Quadrature du Net m.fl. (6) fastslog, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, ikke er til hinder for lovgivningsmæssige foranstaltninger, der med henblik på beskyttelse af den nationale sikkerhed, bekæmpelse af kriminalitet og beskyttelse af den offentlige sikkerhed foreskriver generel og udifferentieret lagring af de data, der vedrører identiteten på brugerne af elektroniske kommunikationsmidler. En sådan lagring af disse data er således mulig uden fastsættelse af en særlig frist med henblik på efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser i almindelighed.

27. Den forelæggende ret har heraf udledt, at det anbringende, som sagsøgerne i hovedsagen har fremsat om, at dekretet af 5. marts 2010 er ulovligt, eftersom det er vedtaget med henblik på at bekæmpe mindre lovovertrædelser, skal forkastes.

28. Nævnte ret har dernæst mindet om, at Domstolen i dommen i sagen Tele2 Sverige og Watson m.fl. (7) fastslog, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at bestemmelsen er til hinder for en national lovgivning, der regulerer beskyttelsen af og sikkerheden vedrørende trafikdata og lokaliseringsdata, og navnlig de kompetente nationale myndigheders adgang til de lagrede data, uden at undergive den nævnte adgang en forudgående kontrol foretaget af en domstol eller af en uafhængig administrativ myndighed.

29. Den forelæggende ret har anført, at Domstolen i Tele2-dommen (8) præciserede, at det med henblik på i praksis at sikre fuld iagttagelse af disse betingelser er afgørende, at de kompetente nationale myndigheders adgang til de lagrede data i princippet, undtagen i behørigt begrundede hastende tilfælde, er undergivet et krav om en forudgående kontrol, der foretages af enten en domstol eller en uafhængig administrativ enhed, og at denne domstols eller denne enheds afgørelse træffes på grundlag af en begrundet anmodning, som navnlig fremsættes af disse myndigheder inden for rammerne af procedurer med henblik på forebyggelse, afsløring eller strafferetlig forfølgning.

30. Den forelæggende ret har fremhævet, at Domstolen mindede om dette krav i dommen i sagen La Quadrature du Net m.fl. (9) vedrørende efterretningstjenesters indsamling i realtid af forbindelsesdata og i dommen i sagen Prokuratuur (Betingelser for adgang til elektronisk kommunikationsdata) (10) vedrørende nationale myndigheders adgang til forbindelsesdata.

31. Endelig har den forelæggende ret gjort opmærksom på, at Hadopi siden dens oprettelse i 2009 har rettet mere end 12,7 mio. henstillinger til abonnenter på grundlag af den i artikel L. 331-25 i CPI omhandlede procedure med gradvise foranstaltninger, heriblandt 827 791 henstillinger alene i 2019. Med henblik herpå skal embedsmændene i kommissionen for beskyttelse af rettigheder under Hadopi hvert år kunne indsamle et betydeligt antal data om de berørte brugeres civile identitet. Hvis denne indsamling underlægges en forudgående kontrol, er der ifølge den forelæggende rets opfattelse en risiko for, at det i betragtning af omfanget af disse henstillinger bliver umuligt at udfærdige henstillingerne.

32. Under disse omstændigheder har Conseil d’État (øverste domstol i forvaltningsretlige sager) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

»1) Er [data vedrørende personers identitet] i form af oplysninger om en IP-adresse blandt de trafik- eller lokaliseringsdata, der principielt skal gøres til genstand for en forudgående kontrol ved en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser?

2) Såfremt det første spørgsmål besvares bekræftende, ønskes det oplyst, om direktiv [2002/58], sammenholdt med [chartret], i betragtning af den lave følsomhed af data, der vedrører den civile identitet på brugerne, herunder deres kontaktoplysninger, skal fortolkes således, at det er til hinder for en national lovgivning, hvorefter en administrativ myndighed skal indsamle disse data om de pågældende brugeres IP-adresse uden en forudgående kontrol foretaget af en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser?

3) Såfremt det andet spørgsmål besvares bekræftende, ønskes det oplyst, om direktiv [2002/58] – i betragtning af den lave følsomhed af data, der vedrører den civile identitet [på brugerne], af den omstændighed, at disse data alene kan indsamles med henblik på at forhindre tilsidesættelser af forpligtelser, der i national ret er præcist, indskrænkende og udtømmende defineret, og af den omstændighed, at en systematisk kontrol af adgangen til data om hver enkelt bruger foretaget af en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser, vil skade opfyldelsen af den samfundsopgave, der er overdraget den uafhængige administrative myndighed, der er beføjet til at foretage denne indsamling – er til hinder for, at denne kontrol foretages i overensstemmelse med hensigtsmæssige retningslinjer, såsom en automatisk kontrol, i givet fald under tilsyn af en intern enhed i det pågældende organ, hvis embedsmænd, der foretager indsamlingen, er uafhængige og upartiske?«

33. Sagsøgerne i hovedsagen, den franske, den estiske, den svenske og den norske regering samt Europa-Kommissionen har indgivet skriftlige indlæg. Disse parter var – med undtagelse af den estiske regering – tillige med den danske og den finske regering repræsenteret i retsmødet, som blev afholdt den 5. juli 2022.

IV. Bedømmelse

A. Om det første og det andet præjudicielle spørgsmål

34. Med det første og det andet præjudicielle spørgsmål, som efter min opfattelse skal behandles samlet, ønsker den forelæggende ret nærmere bestemt oplyst, om artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at denne bestemmelse er til hinder for en national lovgivning, der giver en administrativ myndighed, som har til opgave at beskytte ophavsrettigheder og beslægtede rettigheder mod krænkelser af disse rettigheder, som er begået på internettet, ret til adgang til data vedrørende personers identitet i form af oplysninger om IP-adresser med henblik på, at en sådan myndighed kan identificere de indehavere af disse adresser, som er mistænkt for at være ansvarlige for krænkelserne, og i givet fald træffe foranstaltninger i denne henseende, uden at en sådan adgang gøres til genstand for en forudgående kontrol foretaget af en domstol eller en uafhængig administrativ enhed.

1. Afgrænsning af de præjudicielle spørgsmål

a) De rettighedshavende organers forudgående indsamling af IP-adresser

35. Det fremgår af forelæggelsesafgørelsen, at den i hovedsagen omhandlede ordning med gradvise foranstaltninger indebærer to på hinanden følgende behandlinger af oplysninger, hvor den første behandling består i den forudgående indsamling af IP-adresser, som de rettighedshavende organer foretager via peer-to-peer-netværk, der tilhører lovovertrædere i henhold til ophavsretten, og den anden behandling i den sammenstilling af disse IP-adresser med personernes civile identitet, som Hadopi efter at have optaget sagen til behandling foretager med det formål at rette henstilling til de personer, hvis adgang til offentlige onlinekommunikationstjenester er blevet anvendt i strid med reglerne om ophavsret.

36. Det første og det andet præjudicielle spørgsmål tager udelukkende sigte på den anden behandling, som gennemføres af Hadopi.

37. Sagsøgerne i hovedsagen har imidlertid gjort gældende, at den første behandling bør underkastes Domstolens undersøgelse, for så vidt som det, hvis disse IP-adresser er opnået i strid med bestemmelserne i direktiv 2002/58, nødvendigvis vil være i strid med disse bestemmelser at udnytte adresserne i forbindelse med den anden behandling.

38. Et sådant ræsonnement er ikke overbevisende. I artikel 3, stk. 1, i direktiv 2002/58 afgrænses anvendelsesområdet for direktivet til »behandling af persondata i forbindelse med, at […] elektroniske kommunikationstjenester stilles til rådighed«. Som den franske regering har præciseret i retsmødet, tilvejebringer de rettighedshavende organer imidlertid de omhandlede IP-adresser direkte online ved at søge i offentligt tilgængelige oplysninger og ikke gennem udbyderne af elektroniske kommunikationstjenester.

39. Det kan således alene fastslås, at de rettighedshavende organers forudgående indsamling af IP-adresser unddrager sig bestemmelserne i direktiv 2002/58 og følgelig, således som Kommissionen har anført, ville kunne bedømmes på baggrund af bestemmelserne i forordning (EU) 2016/679 (11). En sådan bedømmelse overskrider dermed efter min opfattelse rammerne for de præjudicielle spørgsmål, der er forelagt Domstolen, så meget desto mere som den forelæggende ret ikke med hensyn til den forudgående indsamling er fremkommet med nærmere præciseringer, der gør det muligt for Domstolen at give nævnte ret et hensigtsmæssigt svar.

40. Jeg vil under disse omstændigheder afgrænse min bedømmelse til spørgsmålet om Hadopis adgang til data vedrørende personers identitet i form af oplysninger om en IP-adresse.

b) Sammenkobling af IP-adresser og data vedrørende personers identitet

41. Det første og det andet præjudicielle spørgsmål tager sigte på »data vedrørende personers identitet i form af oplysninger om en IP-adresse«, som ifølge den forelæggende ret er af lav følsomhed, og den forelæggende ret henviser i sin afgørelse udelukkende til præmisserne i dommen i sagen La Quadrature du Net m.fl. vedrørende lagring af data vedrørende personers identitet.

42. I Domstolens praksis foretages der ganske vist en sondring mellem reglerne for lagring af og adgang til IP-adresser og reglerne for lagring af og adgang til data, der identiteten af brugerne af elektroniske kommunikationsmidler, idet sidstnævnte regler er mindre strenge end førstnævnte (12).

43. Det er imidlertid min opfattelse, at den foreliggende sag, til trods for formuleringen af disse to præjudicielle spørgsmål, omhandler ikke blot adgangen til data, der vedrører den civile identitet på brugerne af elektroniske kommunikationsmidler, men reelt sammenstillingen af disse data med de IP-adresser, som Hadopi råder over som følge af de rettighedshavende organers indsamling og videregivelse af disse adresser. Som Kommissionen har anført, er formålet med Hadopis adgang til data vedrørende personers identitet nemlig at frigive en større samling af data, herunder IP-adresser og udtræk af filer, der er blevet søgt på, og at muliggøre udnyttelsen heraf, idet data vedrørende personers identitet og IP-adresser uafhængigt af hinanden er uden interesse for de nationale myndigheder, eftersom hverken data vedrørende personers identitet eller IP-adresse i sig selv – når de ikke sammenstilles – kan give information om fysiske personers onlineaktiviteter.

44. Følgelig skal det første og det andet præjudicielle spørgsmål efter min opfattelse forstås således, at de tager sigte ikke alene på data vedrørende identiteten af brugerne af et elektronisk kommunikationsmiddel, men også på adgangen til de IP-adresser, der kan gøre det muligt at identificere kilden til en forbindelse.

c) Lagring af IP-adresser, der foretages af udbydere af kommunikationstjenester

45. Som den franske regering og Kommissionen har anført, tager de præjudicielle spørgsmål, der er forelagt Domstolen, ganske vist ikke formelt sigte på lagring af oplysninger, der foretages af udbydere af elektroniske kommunikationstjenester, men alene på Hadopis adgang til data vedrørende personers identitet i form af oplysninger om IP-adresser.

46. Det er ikke desto mindre min opfattelse, at spørgsmålet om Hadopis adgang til disse oplysninger i virkeligheden er uadskilleligt fra det forudgående spørgsmål om den lagring, som udbydere af kommunikationstjenester foretager af disse oplysninger. Som Domstolen har fremhævet, finder lagringen af data kun sted med henblik på i påkommende tilfælde at gøre disse data tilgængelige for de kompetente nationale myndigheder (13). Lagringen af data og adgangen til data kan med andre ord ikke forstås isoleret, for så vidt som sidstnævnte er afhængig af førstnævnte.

47. Domstolen har ganske vist allerede undersøgt, hvorvidt en national lovgivning, der alene vedrører de kompetente nationale myndigheders adgang til visse personoplysninger, er forenelig med artikel 15, stk. 1, i direktiv 2002/58, uafhængigt af spørgsmålet om, hvorvidt lagringen af de omhandlede oplysninger er forenelig med denne bestemmelse (14). De foreliggende præjudicielle spørgsmål ville således kunne besvares når bortses fra, hvorvidt de omhandlede oplysninger er blevet lagret i overensstemmelse med de EU-retlige bestemmelser.

48. Jeg noterer imidlertid for det første, at den undersøgelse, som Domstolen foretog i Ministerio Fiscal-dommen (15) hvad angår spørgsmålet om, hvorvidt nationale myndigheders adgang til visse personoplysninger er forenelig med EU-retten, følger nøjagtigt samme principper som den undersøgelse, som den foretager, når det drejer sig om at vurdere, om lagringen af disse oplysninger er forenelig med EU-retten. Domstolen henviste nemlig udelukkende til den retspraksis, der er udviklet i sidstnævnte henseende, for at overføre den på spørgsmålet om adgang til personoplysninger. Når der ikke foreligger en undersøgelse af, om lagringen af visse oplysninger er forenelig med EU-retten, udskydes denne undersøgelse med andre ord til det stadium, hvor spørgsmålet om adgangen til disse oplysninger behandles, således at foreneligheden af en sådan adgang i sidste ende afhænger af foreneligheden af lagringen.

49. Domstolen fastslog endvidere tydeligt, at en adgang til personoplysninger kun kan gives, for så vidt som disse oplysninger er blevet lagret af udbyderne af elektroniske kommunikationstjenester på en måde, der er i overensstemmelse med artikel 15, stk. 1, i direktiv 2002/58 (16), og at privatpersoners adgang til personoplysninger for at gøre det muligt at retsforfølge krænkelser af ophavsretten ved de civile domstole kun er forenelig med EU-retten på betingelse af, at disse oplysninger lagres på en måde, der er i overensstemmelse med denne bestemmelse (17).

50. Endelig fremgår det af Domstolens faste praksis, at adgang til de trafikdata og lokaliseringsdata, som udbyderne lagrer som følge af en foranstaltning vedtaget i henhold til artikel 15, stk. 1, i direktiv 2002/58, der skal gennemføres under fuld overholdelse af de betingelser, der følger af den retspraksis, hvori direktiv 2002/58 er blevet fortolket, i princippet kun kan begrundes i det mål af almen interesse, med henblik på hvilket disse udbydere er blevet pålagt at foretage denne lagring (18). Hvorvidt de nationale myndigheders adgang til visse personoplysninger er forenelig med EU-retten, afhænger med andre ord helt og holdent af, hvorvidt lagringen af disse oplysninger er forenelig med EU-retten.

51. Heraf følger efter min opfattelse, at undersøgelsen af, hvorvidt en national lovgivning, hvorefter en national myndighed gives adgang til personoplysninger, er forenelig med EU-retten, forudsætter, at det på forhånd fastslås, om lagringen af selvsamme oplysninger er forenelig med EU-retten.

52. Jeg vil under disse omstændigheder indlede min bedømmelse med at erindre om Domstolens praksis vedrørende spørgsmålet om lagring af IP-adresser, der er tildelt kilden til en forbindelse, med henblik på at illustrere begrænsningerne i denne retspraksis og foreslå en tilpasset fortolkningsramme for den omhandlede lovgivning.

2. Domstolens praksis vedrørende fortolkningen af artikel 15, stk. 1, i direktiv 2002/58 hvad angår foranstaltninger med henblik på lagring af IP-adresser, der er tildelt kilden til en forbindelse

53. Artikel 5, stk. 1, i direktiv 2002/58 fastsætter princippet om fortrolighed i forbindelse med såvel elektronisk kommunikation som de dermed forbundne trafikdata og indebærer navnlig, at det for andre end brugerne principielt er forbudt for enhver at lagre denne kommunikation og disse data, uden at disse brugere har givet samtykke hertil (19).

54. Hvad angår den behandling og lagring af trafikdata vedrørende abonnenter og brugere, der foretages af udbydere af elektroniske kommunikationstjenester, er det i artikel 6, stk. 1, i direktiv 2002/58 fastsat, at sådanne data skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen, og i artikel 6, stk. 2, er det præciseret, at det med henblik på debitering af abonnenten og afregning for samtrafik kun er tilladt at behandle trafikdata indtil udløbet af den lovbestemte forældelsesfrist for sådanne gældsforpligtelser eller fristen for anfægtelse af sådanne afregninger. Hvad angår andre lokaliseringsdata end trafikdata bestemmer direktivets artikel 9, stk. 1, at disse data kun må behandles under visse betingelser og kun, når de er gjort anonyme, eller når brugeren eller abonnenten har givet sit samtykke hertil (20).

55. EU-lovgiver har således med vedtagelsen af direktiv 2002/58 konkretiseret de rettigheder, der er sikret ved chartrets artikel 7 og 8, hvilket indebærer, at brugerne af elektroniske kommunikationsmidler principielt med rette kan forvente, at deres kommunikation og de dermed forbundne data forbliver anonyme, så længe de ikke har givet deres samtykke, og ikke kan gøres til genstand for registrering (21). Dette direktiv fastlægger følgelig ikke blot rammerne for adgang til sådanne data i form af garantier, der skal forhindre misbrug, men fastsætter navnlig også et princip om forbud mod tredjemands lagring heraf.

56. For så vidt som medlemsstaterne i henhold til artikel 15, stk. 1, i direktiv 2002/58 kan vedtage retsforskrifter med henblik på at »indskrænke rækkevidden« af de rettigheder og forpligtelser, der omhandles i bl.a. direktivets artikel 5, 6 og 9, såsom dem, der følger af princippet om kommunikationshemmelighed og forbuddet mod lagring af de dermed forbundne data, fastsætter denne bestemmelse under disse omstændigheder en undtagelse til hovedreglen i bl.a. artikel 5, 6 og 9 heri, og den skal således i overensstemmelse med fast retspraksis fortolkes strengt. En sådan bestemmelse kan således ikke begrunde, at en fravigelse af den principielle pligt til at sikre fortroligheden af elektronisk kommunikation og de dermed forbundne data, og navnlig af det forbud mod at lagre disse data, der er fastsat i dette direktivs artikel 5, bliver hovedreglen, idet rækkevidden af sidstnævnte bestemmelse i så fald ville blive udhulet (22).

57. Hvad angår de formål, som kan begrunde en begrænsning af de rettigheder og forpligtelser, der er fastsat i navnlig artikel 5, 6 og 9 i direktiv 2002/58, har Domstolen allerede fastslået, at opregningen af de formål, der er fastsat i dette direktivs artikel 15, stk. 1, første punktum, er udtømmende, således at en retsforskrift, der er vedtaget i henhold til denne bestemmelse, faktisk og præcist skal opfylde et af disse formål (23).

58. Det fremgår endvidere af artikel 15, stk. 1, tredje punktum, i direktiv 2002/58, at de forskrifter, som medlemsstaterne vedtager i henhold til denne bestemmelse, skal være i overensstemmelse med EU-rettens generelle principper, som bl.a. omfatter proportionalitetsprincippet, ligesom de grundlæggende rettigheder, der er sikret ved chartret, skal være overholdt. Domstolen har i denne henseende allerede fastslået, at den pligt, som en medlemsstat i henhold til en national lovgivning har pålagt udbydere af elektroniske kommunikationstjenester, til at lagre trafikdata med henblik på i påkommende tilfælde at gøre dem tilgængelige for de kompetente nationale myndigheder, ikke blot rejser en række spørgsmål vedrørende overholdelsen af chartrets artikel 7 og 8, der vedrører henholdsvis respekten for privatlivet og beskyttelsen af personoplysninger, men ligeledes vedrørende artikel 11, der omhandler ytringsfriheden, idet denne frihed udgør et af de væsentlige grundlag for et demokratisk og pluralistisk samfund og er en del af de værdier, som Unionen i overensstemmelse med artikel 2 TEU er støttet på (24).

59. Når dette er sagt, afspejler artikel 15, stk. 1, i direktiv 2002/58, for så vidt som denne bestemmelse giver medlemsstaterne mulighed for at begrænse de rettigheder og forpligtelser, der er fastsat i artikel 5, 6 og 9 heri, det forhold, at de rettigheder, der er sikret ved chartrets artikel 7, 8 og 11, ikke er absolutte rettigheder, men skal ses i sammenhæng med deres funktion i samfundet. Som det fremgår af chartrets artikel 52, stk. 1, tillader dette charter nemlig begrænsninger i udøvelsen af disse rettigheder, for så vidt som disse begrænsninger er fastlagt i lovgivningen og respekterer de nævnte rettigheders væsentligste indhold, og for så vidt som disse begrænsninger under iagttagelse af proportionalitetsprincippet er nødvendige og faktisk svarer til mål af almen interesse, der er anerkendt af Unionen, eller et behov for beskyttelse af andres rettigheder og friheder. I forbindelse med fortolkningen af artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartret, skal der således også tages hensyn til den betydning, som formålene om beskyttelse af den nationale sikkerhed og om bekæmpelse af grov kriminalitet har som følge af, at de bidrager til beskyttelsen af andres rettigheder og friheder, og til betydningen af de rettigheder, der er sikret ved chartrets artikel 3, 4, 6 og 7 (25), hvoraf der kan følge positive forpligtelser, som påhviler de offentlige myndigheder (26).

60. Som følge af eksistensen af disse forskellige positive forpligtelser er det derfor nødvendigt, at der foretages en afvejning mellem de omhandlede forskellige legitime interesser og rettigheder. I denne forbindelse følger det af selve ordlyden af artikel 15, stk. 1, første punktum, i direktiv 2002/58, at medlemsstaterne kan vedtage en foranstaltning, der fraviger fortrolighedsprincippet, når en sådan foranstaltning er »nødvendig, passende og forholdsmæssig i et demokratisk samfund«, idet det i 11. betragtning til dette direktiv i denne henseende er anført, at en foranstaltning af denne art skal stå i »åbenbart« rimeligt forhold til det mål, der forfølges (27).

61. Det fremgår i denne henseende af Domstolens praksis, at medlemsstaternes mulighed for at begrunde en begrænsning af de rettigheder og forpligtelser, der navnlig er fastsat i artikel 5, 6 og 9 i direktiv 2002/58, skal vurderes ved at bedømme alvoren af det indgreb, som en sådan begrænsning indebærer, og ved at kontrollere, at betydningen af det mål af almen interesse, der forfølges med denne begrænsning, står i forhold til denne alvor (28).

62. Jeg noterer desuden, at Domstolen i sin praksis har sondret mellem på den ene side indgreb, der følger af adgang til data, der i sig selv giver præcis information om den omhandlede kommunikation og dermed om personens privatliv, og for hvilke der gælder strenge regler for lagring, og på den anden side indgreb, der følger af adgang til data, der kun kan give sådan information, for så vidt som de sammenkobles med andre oplysninger såsom IP-adresser (29).

63. Hvad nærmere bestemt angår IP-adresser har Domstolen således fastslået, at disse genereres uden at være knyttet til en bestemt kommunikation og hovedsageligt tjener til gennem udbydere af elektroniske kommunikationstjenester at identificere den fysiske person, der ejer det terminaludstyr, hvorfra en kommunikation via internettet foretages. For så vidt som det kun er IP-adresserne på kilden til kommunikationen og ikke IP-adresserne på modtageren af kommunikationen, der lagres, er denne kategori af data dermed mindre følsomme end andre former for trafikdata (30).

64. Domstolen har samtidig fremhævet, at eftersom IP-adresser kan anvendes til bl.a. at foretage en udtømmende sporing af en internetbrugers søgemønstre og dermed af den pågældendes onlineaktiviteter, gør disse oplysninger det muligt at skabe en detaljeret profil af denne internetbruger og at drage præcise slutninger om brugerens privatliv. Lagring og analyse af disse IP-adresser udgør således alvorlige indgreb i de grundlæggende rettigheder, som er sikrede ved chartrets artikel 7 og 8, og kan have en afskrækkende virkning på udøvelsen af ytringsfriheden som sikret ved chartrets artikel 11 (31).

65. Ifølge fast retspraksis skal der imidlertid med henblik på at foretage den nødvendige afvejning af de omhandlede legitime rettigheder og interesser, som kræves i henhold til retspraksis, tages hensyn til den omstændighed, at IP-adressen i tilfælde, hvor en lovovertrædelse er begået online, kan udgøre det eneste efterforskningsmiddel, der kan gøre det muligt at identificere den person, som denne adresse var tildelt på det tidspunkt, hvor den pågældende overtrædelse blev begået (32).

66. Domstolen har følgelig fastslået, at en lovgivningsmæssig foranstaltning, der foreskriver generel og udifferentieret lagring af de IP-adresser, der er tildelt kilden til en forbindelse, principielt ikke forekommer at være i strid med artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, idet denne mulighed skal være betinget af en streng overholdelse af de materielle og proceduremæssige betingelser, der skal gælde for brugen af disse data, og idet det, henset til den alvorlige karakter af det indgreb, som denne lagring indebærer, kun er bekæmpelsen af grov kriminalitet og forebyggelsen af alvorlige trusler mod den offentlige sikkerhed, der i lighed med den nationale sikkerhed kan begrunde dette indgreb (33).

67. Domstolen har endvidere præciseret, at lagringsperioden ikke må overstige, hvad der er strengt nødvendigt for at nå det forfulgte formål, og at en foranstaltning af denne art skal indeholde strenge betingelser og garantier for så vidt angår brugen af disse data (34).

3. Begrænsninger i retspraksis vedrørende fortolkningen af artikel 15, stk. 1, i direktiv 2002/58 hvad angår foranstaltninger med henblik på lagring af IP-adresser, der er tildelt kilden til en forbindelse

68. Den løsning, som Domstolen er nået frem til hvad angår nationale foranstaltninger med henblik på lagring af IP-adresser, der er tildelt kilden til en forbindelse, fortolket i lyset af artikel 15, stk. 1, i direktiv 2002/58, frembyder imidlertid efter min opfattelse to væsentlige vanskeligheder.

a) Forenelighed med retspraksis vedrørende overføring af IP-adresser, der er tildelt kilden til en forbindelse, i forbindelse med et søgsmål om beskyttelse af intellektuelle ejendomsrettigheder

69. For det første er der, således som jeg allerede påpegede i mit forslag til afgørelse i M.I.C.M.-sagen (35), en vis modstrid mellem denne retning i retspraksis og den, der vedrører overføring af IP-adresser til indehaverne af intellektuelle ejendomsrettigheder i forbindelse med et søgsmål om beskyttelse af disse rettigheder, og hvori der lægges vægt på medlemsstaternes forpligtelse til at sikre indehaverne af intellektuelle ejendomsrettigheder reelle muligheder for at opnå erstatning for tab som følge af krænkelser af disse rettigheder (36).

70. For så vidt angår sidstnævnte retning i retspraksis fremgår det nemlig af Domstolens faste praksis, at EU-retten ikke er til hinder for, at medlemsstaterne fastsætter en forpligtelse til overførsel af personoplysninger til privatpersoner med henblik på at retsforfølge krænkelser af ophavsretten ved de civile domstole (37).

71. Domstolen har i denne henseende fastslået, at medlemsstaternes mulighed for at fastsætte en pligt til under en civil retssag at videregive personoplysninger i første række udspringer af muligheden for en sådan videregivelse inden for rammerne af retsforfølgning i straffesager (38), hvilket sidenhen er blevet udvidet til at gælde i civile retssager.

72. Samtidig har Domstolen imidlertid hvad angår IP-adresser fastslået, at disse oplysninger kun kan lagres i forbindelse med bekæmpelse af grov kriminalitet og forebyggelse af alvorlige trusler mod den offentlige sikkerhed (39).

73. Forsøg på at forene disse to retninger i retspraksis har efter min opfattelse ført til uhensigtsmæssige resultater og har ikke været overbevisende.

74. Dels kan bekæmpelse af krænkelser af intellektuelle ejendomsrettigheder i modsætning til, hvad den franske regering har anført i retsmødet, ikke henhøre under bekæmpelse af grov kriminalitet. Begrebet »grov kriminalitet« skal efter min opfattelse fortolkes selvstændigt. Det kan ikke gøres afhængigt af den enkelte medlemsstats opfattelse, idet det i så fald ville blive muligt at omgå kravene i artikel 15, stk. 1, i direktiv 2002/58, alt efter hvorvidt medlemsstaterne måtte anlægge en udvidet opfattelse af bekæmpelse af grov kriminalitet. Som jeg allerede har påpeget, må de interesser, der er knyttet til beskyttelse af intellektuelle ejendomsrettigheder, imidlertid ikke forveksles med de interesser, der ligger til grund for bekæmpelsen af grov kriminalitet (40).

75. Dels ville den omstændighed at tillade overføring af IP-adresser til indehaverne af intellektuelle ejendomsrettigheder inden for rammerne af de procedurer, der har til formål at beskytte disse rettigheder, alt imens lagring af adresserne alene er muliggjort i forbindelse med bekæmpelse af grov kriminalitet, klart være i strid med Domstolens praksis vedrørende lagring af forbindelsesdata og ville være ensbetydende med, at betingelserne for lagring af sådanne data ville blive berøvet deres effektive virkning, eftersom der under alle omstændigheder af forskellige hensyn ville kunne opnås adgang til disse data.

76. Heraf følger efter min opfattelse, at lagring af IP-adresser med henblik på beskyttelse af intellektuelle ejendomsrettigheder samt overføring heraf til indehaverne af disse rettigheder inden for rammerne af de procedurer, der har til formål at sikre denne beskyttelse, ville kunne være i strid med artikel 15, stk. 1, i direktiv 2002/58, således som denne bestemmelse fortolkes i Domstolens praksis. Den forpligtelse til overførsel af personoplysninger til privatpersoner med henblik på at retsforfølge krænkelser af ophavsretten ved de civile domstole, som imidlertid er blevet muliggjort af Domstolen selv, ophæves således samtidig som en konsekvens af Domstolens egen praksis vedrørende lagring af IP-adresser, der foretages af udbydere af elektroniske kommunikationstjenester.

77. En sådan løsning er imidlertid ikke tilfredsstillende, eftersom den ved at fratage indehaverne af intellektuelle ejendomsrettigheder deres vigtigste om ikke eneste metode til at identificere ophavsmændene til krænkelser af disse rettigheder online ville kunne ødelægge den balance mellem de forskellige interesser, som Domstolen har søgt at etablere. Denne betragtning fører mig frem til at redegøre for den anden vanskelighed, der efter min opfattelse kan følge af Domstolens praksis hvad angår nationale foranstaltninger med henblik på lagring af IP-adresser, der er tildelt kilden til en forbindelse, fortolket i lyset af artikel 15, stk. 1, i direktiv 2002/58.

b) Risiko for systematisk straffrihed for lovovertrædelser, som udelukkende er begået online

78. For det andet er jeg således af den opfattelse, at denne løsning er kilden til en række praktiske vanskeligheder. Som Domstolen selv har fremhævet, kan IP-adressen i tilfælde, hvor en lovovertrædelse udelukkende er begået online, udgøre det eneste efterforskningsmiddel, der kan gøre det muligt at identificere den person, som denne adresse var tildelt på det tidspunkt, hvor den pågældende overtrædelse blev begået.

79. Jeg er af denne grund af den opfattelse, at der ved afvejningen af de berørte interesser ikke fuldt ud er taget hensyn til dette forhold. Eftersom Domstolen under alle omstændigheder har begrænset muligheden for lagring af IP-adresser til alene at omfatte bekæmpelsen af grov kriminalitet, har den samtidig udelukket, at disse oplysninger kan lagres med henblik på at bekæmpe straffelovsovertrædelser i almindelighed, alt imens visse af disse lovovertrædelser kun kan forebygges, afsløres eller sanktioneres ved hjælp af disse oplysninger.

80. Domstolens praksis risikerer med andre ord at føre til, at nationale myndigheder fratages det eneste middel til identificering af ophavsmændene til lovovertrædelser, der er begået online, men som imidlertid ikke henhører under grov kriminalitet, såsom overtrædelser af intellektuelle ejendomsrettigheder. Dette vil de facto resultere i systematisk straffrihed for lovovertrædelser, som udelukkende er begået online, i øvrigt ikke kun i forbindelse med overtrædelser af intellektuelle ejendomsrettigheder. Jeg sigter bl.a. til ærekrænkende handlinger, der er begået online. EU-retten indeholder ganske vist regler om påbud over for formidlere, hvis tjenester der gøres brug af i forbindelse sådanne krænkelser (41), men det vil kunne være en følge af Domstolens praksis, at selve ophavsmændene til disse handlinger muligvis aldrig bliver retsforfulgt.

81. Jeg mener, at balancen mellem de forskellige interesser, der er på spil, bør gøres til genstand for en ny undersøgelse, da det i modsat fald må tillades, at en lang række straffelovsovertrædelser aldrig vil kunne retsforfølges.

82. Disse forskellige betragtninger fører mig frem til at foreslå Domstolen at foretage en vis tilpasning af sin praksis vedrørende nationale foranstaltninger med henblik på lagring af IP-adresser, fortolket i lyset af artikel 15, stk. 1, i direktiv 2002/58.

4. Forslag om en tilpasning af Domstolens praksis vedrørende fortolkningen af artikel 15, stk. 1, i direktiv 2002/58 hvad angår foranstaltninger med henblik på lagring af IP-adresser, der er tildelt kilden til en forbindelse

83. Henset til ovenstående betragtninger er jeg af den opfattelse, at artikel 15, stk. 1, i direktiv 2002/58 skal fortolkes således, at bestemmelsen ikke er til hinder for foranstaltninger, der foreskriver generel og udifferentieret lagring af IP-adresser, der er tildelt kilden til en forbindelse, for en periode, der er tidsmæssigt begrænset til det strengt nødvendige, af hensyn til forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser, der er begået online, og for hvilke IP-adressen udgør det eneste efterforskningsmiddel, der kan gøre det muligt at identificere den person, som denne adresse var tildelt på det tidspunkt, hvor den pågældende overtrædelse blev begået.

84. Jeg skal i denne forbindelse understrege, at et sådant forslag efter min opfattelse ikke rejser tvivl om det proportionalitetskrav, der gælder for lagring af data, henset til den alvorlige karakter af det indgreb i de grundlæggende rettigheder, der er sikrede ved chartrets artikel 7 og 8, som denne lagring indebærer (42). Forslaget opfylder tværtimod fuldt ud dette krav.

85. Dels forfølges der med den indskrænkning, som lagring af IP-adresser udgør i de rettigheder og forpligtelser, der omhandles i artikel 5, 6 og 9 i direktiv 2002/58, et mål af almen interesse, der står i forhold til denne alvor, nemlig forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser, der er fastlagt i lovtekster, som i modsat fald ville være uden virkning.

86. Dels holdes denne indskrænkning inden for det strengt nødvendige. En sådan lagring er nemlig begrænset til præcise tilfælde, nærmere bestemt straffelovsovertrædelser, der er begået online, og for hvilke ophavsmanden kun kan identificeres ved hjælp af den IP-adresse, der er tildelt den pågældende. Det drejer sig med andre ord ikke om at tillade generel og udifferentieret lagring af data uden yderligere betingelser, men alene om at gøre det muligt at retsforfølge straffelovsovertrædelser, ikke i almindelighed, men i nøje fastlagte tilfælde.

87. Selv om artikel 15, stk. 1, i direktiv 2002/58 ikke er til hinder for generel og udifferentieret lagring af IP-adresser, der er tildelt kilden til en forbindelse, af hensyn til forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser, der er begået online, og for hvilke IP-adressen udgør det eneste efterforskningsmiddel, der kan gøre det muligt at identificere den person, som denne adresse var tildelt på det tidspunkt, hvor den pågældende overtrædelse blev begået, skal det ikke desto mindre stadig præciseres, at det følger af retspraksis, at denne mulighed skal være betinget af »en streng overholdelse af de materielle og proceduremæssige betingelser, der skal gælde for brugen af disse data« (43). Domstolen har ligeledes præciseret, at en sådan foranstaltning »skal […] indeholde strenge betingelser og garantier for så vidt angår brugen af disse data« (44).

88. Som jeg allerede har påpeget, kan lagringen af data og adgangen til samme data med andre ord ikke forstås isoleret. Selv om Hadopis mulighed for at få adgang til IP-adresser ikke uden videre er i strid med artikel 15, stk. 1, i direktiv 2002/58, for så vidt som disse data er blevet lagret i overensstemmelse med de krav, der er omhandlet i denne bestemmelse, er det under disse omstændigheder, med henblik på at besvare de præjudicielle spørgsmål, der er forelagt Domstolen, stadig nødvendigt at undersøge, om betingelserne for Hadopis adgang til IP-adresser, der er tildelt kilden til en forbindelse, i sig selv er i overensstemmelse med nævnte bestemmelse, navnlig hvad angår spørgsmålet om, hvorvidt en sådan adgang kræver en forudgående kontrol foretaget af en domstol eller en uafhængig administrativ enhed.

89. Jeg har ovenfor behandlet det indledende spørgsmål om lagring af IP-adresser, der er tildelt kilden til en forbindelse, og vil nu gå over til min undersøgelse af Hadopis adgang til disse oplysninger i lyset af artikel 15, stk. 1, i direktiv 2002/58.

5. Hadopis adgang til data vedrørende personers identitet i form af oplysninger om IP-adresser

90. Det fremgår af Domstolens praksis hvad angår de mål, som kan begrunde en national foranstaltning, der fraviger princippet om fortrolighed i forbindelse med elektronisk kommunikation, at adgangen til dataene objektivt og præcist skal opfylde et af disse mål, og at det mål, der forfølges med den pågældende foranstaltning, skal stå i forhold til alvoren af det indgreb i de grundlæggende rettigheder, som denne adgang indebærer (45).

91. Som jeg har redegjort for (46), kan adgang til de data, som udbyderne lagrer som følge af en foranstaltning vedtaget i henhold til artikel 15, stk. 1, i direktiv 2002/58, desuden i princippet kun begrundes i det mål af almen interesse, med henblik på hvilket disse udbydere er blevet pålagt at foretage denne lagring (47).

92. Domstolen har således fastslået, at et alvorligt indgreb i overensstemmelse med proportionalitetsprincippet kun er begrundet med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser, der har til formål at bekæmpe kriminalitet, der på samme måde kan kvalificeres som grov (48).

93. I modsætning til, hvad den franske regering og Kommissionen har anført, noterer jeg i denne henseende, at Hadopis adgang til data vedrørende personers identitet i form af oplysninger om en IP-adresse bestemt udgør et alvorligt indgreb i de grundlæggende rettigheder. Der er nemlig ikke blot tale om adgang til data vedrørende personers identitet, som i sig selv er af lav følsomhed, men vel at mærke om sammenstilling af disse oplysninger med en større samling af data, nemlig IP-adressen og tillige, således som sagsøgerne i hovedsagen har fremhævet, et udtræk af den fil, der er blevet downloadet i strid med ophavsretten. Der er således tale om, at en persons civile identitet sættes i forbindelse med indholdet af den fil, der er blevet søgt på, og den IP-adresse, der er blevet anvendt ved det pågældende internetbesøg.

94. Ligesom jeg er af den opfattelse, at det også skal være tilladt at lagre data, der udgør et alvorligt indgreb i de grundlæggende rettigheder, af hensyn til forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser, der er begået online, og for hvilke IP-adressen udgør det eneste efterforskningsmiddel, der kan gøre det muligt at identificere den person, som denne adresse var tildelt på det tidspunkt, hvor den pågældende overtrædelse blev begået (49), er jeg imidlertid af den opfattelse, at det skal gøres muligt at få adgang til disse data med henblik på at forfølge det samme mål, da der i modsat fald åbnes op for straffrihed i almindelighed for lovovertrædelser, som udelukkende er begået online.

95. Hadopis adgang til data vedrørende personers identitet, der er sammenkoblet med en IP-adresse, forekommer mig således at være begrundet i det mål af almen interesse, med henblik på hvilket udbyderne af elektroniske kommunikationstjenester er blevet pålagt at foretage denne lagring.

96. Det præciseres ikke desto mindre i Domstolens praksis, at en national lovgivning, der regulerer de kompetente myndigheders adgang til de lagrede trafikdata og lokaliseringsdata, navnlig ikke kan begrænse sig til at opstille et krav om, at en sådan adgang skal opfylde det med denne lovgivning forfulgte formål, men tillige skal fastsætte de materielle og processuelle betingelser for de kompetente nationale myndigheders adgang til de pågældende data (50).

97. Nærmere bestemt har Domstolen fastslået, at for så vidt som en generel adgang til samtlige lagrede data – uafhængigt af, om der foreligger nogen forbindelse til det forfulgte mål – ikke kan anses for at være begrænset til det strengt nødvendige, skal den nationale lovgivning være baseret på objektive kriterier med henblik på fastlæggelsen af de omstændigheder og betingelser, hvorunder de kompetente nationale myndigheder skal gives adgang til brugernes data, således at det kontrolleres, at der kun gives adgang til data vedrørende personer, der er mistænkt for at planlægge, ville begå eller have begået en alvorlig lovovertrædelse eller på en eller anden måde være involveret i en sådan lovovertrædelse (51).

98. Med henblik på i praksis at sikre fuld iagttagelse af disse betingelser er det således ifølge retspraksis afgørende, at de kompetente nationale myndigheders adgang til de lagrede data principielt er undergivet en forudgående kontrol, der foretages af enten en domstol eller en uafhængig administrativ enhed (52).

99. Jeg noterer imidlertid, at Domstolen har opstillet dette krav om en forudgående kontrol af adgangen til personoplysninger under særlige omstændigheder, der adskiller sig fra den foreliggende sag, og som indebærer særligt alvorlige indgreb i privatlivet for brugerne af elektroniske kommunikationstjenester.

100. Der var nemlig i hver enkelt af de domme, hvori dette krav blev fremhævet, tale om nationale foranstaltninger, der tillader adgang til samtlige trafikdata og lokaliseringsdata for brugerne i forbindelse med samtlige midler til elektronisk kommunikation (53) eller, i det mindste, fastnet- og mobiltelefoni (54). Der var nærmere bestemt tale om adgang til en »samling af [data], som kan tilvejebringe oplysninger om den kommunikation, som en bruger har foretaget ved hjælp af et elektronisk kommunikationsmiddel, eller om placeringen af det terminaludstyr, som den pågældende gør brug af, og som kan gøre det muligt at drage præcise slutninger om den pågældendes privatliv« (55), således at kravet om, at en domstol eller en uafhængig administrativ enhed skal foretage en forudgående kontrol af adgangen til disse data, efter min opfattelse alene gør sig gældende under disse omstændigheder.

101. For det første begrænser Hadopis adgang sig til en sammenstilling af data vedrørende personers identitet med den anvendte IP-adresse og med den fil, der er blevet søgt på på et bestemt tidspunkt, uden at dette indebærer, at de kompetente myndigheder gives tilladelse til at rekonstruere den pågældende brugers onlinesøgemønstre, eller at der følgelig drages præcise slutninger om den pågældende brugers privatliv, ud over kendskabet til den bestemte fil, der er blevet søgt på på det tidspunkt, hvor overtrædelsen fandt sted. Der er således ikke tale om, at der gives tilladelse til sporing af samtlige den pågældende brugers onlineaktiviteter.

102. For det andet vedrører disse oplysninger alene oplysninger om personer, der, som konstateret i de rapporter, som de rettighedshavende organer udarbejder, har givet sig af med faktiske forhold, der kan udgøre en tilsidesættelse af den i artikel L. 336-3 i CPI fastsatte forpligtelse. Hadopis adgang til data vedrørende personers identitet, der er sammenkoblet med IP-adresser, er dermed strengt begrænset til, hvad der er nødvendigt for at nå det mål, der forfølges – og som ordningen med gradvise foranstaltninger indgår i – nemlig at det tillades at foretage forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser, der er begået online, og for hvilke IP-adressen udgør det eneste efterforskningsmiddel, der kan gøre det muligt at identificere den person, som denne adresse var tildelt på det tidspunkt, hvor den pågældende overtrædelse blev begået.

103. Det er under disse omstændigheder min opfattelse, at artikel 15, stk. 1, i direktiv 2002/58 ikke indeholder et krav om, at en domstol eller en uafhængig administrativ enhed skal foretage en forudgående kontrol af Hadopis adgang til data vedrørende personers identitet, der er sammenkoblet med brugernes IP-adresser.

104. Derudover vil jeg, således som den franske regering har fremhævet, anføre, at Hadopis adgang til disse oplysninger, selv om den ikke gøres til genstand for en forudgående kontrol foretaget af en domstol eller en uafhængig enhed, imidlertid ikke er fritaget for enhver kontrol, eftersom den fil, som Hadopi sender til operatørerne inden for elektronisk kommunikation, hver dag dannes af en edsvoren embedsmand ud fra de henvendelser, der er blevet modtaget og godkendt, vilkårligt efter stikprøvekontrol, inden oplysningerne knyttes til filen (56). Jeg gør særligt opmærksom på, at proceduren med gradvise foranstaltninger efter min opfattelse fortsat er underlagt bestemmelserne i direktiv (EU) 2016/680 (57). På dette grundlag er de fysiske personer, som Hadopi tager sigte på, omfattet af en række sammenhængende materielle og processuelle garantier, der er fastsat i dette direktiv. Disse garantier omfatter retten til indsigt i samt berigtigelse og sletning af de personoplysninger, som Hadopi behandler, såvel som muligheden for at indgive en klage til en uafhængig tilsynsmyndighed, i givet fald efterfulgt af en adgang til retsmidler, der kan udøves i henhold til de almindelige retsregler (58).

105. Jeg foreslår følgelig at besvare det første og det andet præjudicielle spørgsmål med, at artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1, skal fortolkes således, at bestemmelsen ikke er til hinder for en national lovgivning, der tillader lagring, som foretages af udbydere af elektroniske kommunikationstjenester, og giver en administrativ myndighed, som har til opgave at beskytte ophavsrettigheder og beslægtede rettigheder mod krænkelser af disse rettigheder, som er begået på internettet, ret til adgang, der er begrænset til data vedrørende personers identitet i form af oplysninger om IP-adresser, med henblik på, at en sådan myndighed kan identificere de indehavere af disse adresser, som er mistænkt for at være ansvarlige for krænkelserne, og i givet fald træffe foranstaltninger i denne henseende, uden at en sådan adgang gøres til genstand for en forudgående kontrol foretaget af en domstol eller en uafhængig administrativ enhed, når disse oplysninger udgør det eneste efterforskningsmiddel, der kan gøre det muligt at identificere den person, som denne adresse var tildelt på det tidspunkt, hvor den pågældende overtrædelse blev begået.

B. Om det tredje præjudicielle spørgsmål

106. Med det tredje præjudicielle spørgsmål ønsker den forelæggende ret oplyst, hvorvidt, såfremt det første og det andet spørgsmål besvares bekræftende, artikel 15, stk. 1, i direktiv 2002/58, sammenholdt med chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1 – henset til den lave følsomhed for så vidt angår data vedrørende identitet, til de strenge regler, der gælder for adgangen til disse data, og til kravet om ikke at skade den samfundsopgave, der er overdraget den omhandlede administrative enhed – skal fortolkes således, at denne bestemmelse er til hinder for, at denne forudgående kontrol af adgangen foretages i overensstemmelse med hensigtsmæssige retningslinjer, såsom en automatisk kontrol, i givet fald under tilsyn af en intern enhed i det pågældende organ, hvis embedsmænd, der foretager indsamlingen, er uafhængige og upartiske.

107. Det fremgår af ordlyden af det tredje præjudicielle spørgsmål samt af den franske regerings skriftlige svar på Domstolens spørgsmål, at de hensigtsmæssige retningslinjer for kontrol, som der henvises til i dette spørgsmål, ikke omhandler en kontrolanordning, der forefindes i national ret, men adgange, der kan udforskes med henblik på i givet fald at bringe den franske anordning i overensstemmelse med EU-retten.

108. Det følger imidlertid af fast retspraksis, at en anmodning om præjudiciel afgørelse ikke har til formål at indhente responsa vedrørende generelle eller hypotetiske spørgsmål, men tilsigter at opfylde et behov med henblik på selve afgørelsen af en retstvist, der vedrører EU-retten (59).

109. Da det tredje præjudicielle spørgsmål således efter min opfattelse er af hypotetisk karakter, skal det fastslås, at spørgsmålet ikke kan antages til realitetsbehandling.

110. Henset til den besvarelse, som jeg foreslår at give af det første og det andet præjudicielle spørgsmål, er det under alle omstændigheder ufornødent at besvare det tredje spørgsmål.

V. Forslag til afgørelse

111. Henset til samtlige ovenstående betragtninger foreslår jeg Domstolen at besvare de af Conseil d’État (øverste domstol i forvaltningsretlige sager, Frankrig) forelagte præjudicielle spørgsmål således:

»Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation), sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder,

skal fortolkes således, at

bestemmelsen ikke er til hinder for en national lovgivning, der tillader lagring, som foretages af udbydere af elektroniske kommunikationstjenester, og giver en administrativ myndighed, som har til opgave at beskytte ophavsrettigheder og beslægtede rettigheder mod krænkelser af disse rettigheder, som er begået på internettet, ret til adgang, der er begrænset til data vedrørende personers identitet i form af oplysninger om IP-adresser, med henblik på, at en sådan myndighed kan identificere de indehavere af disse adresser, som er mistænkt for at være ansvarlige for krænkelserne, og i givet fald træffe foranstaltninger i denne henseende, uden at en sådan adgang gøres til genstand for en forudgående kontrol foretaget af en domstol eller en uafhængig administrativ enhed, når disse oplysninger udgør det eneste efterforskningsmiddel, der kan gøre det muligt at identificere den person, som denne adresse var tildelt på det tidspunkt, hvor den pågældende overtrædelse blev begået.«

1 – Originalsprog: fransk.

2 – Europa-Parlamentets og Rådets direktiv af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37).

3 – Europa-Parlamentets og Rådets direktiv af 24.10.1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31).

4 – JORF af 7.3.2010, tekst nr. 19.

5 – JORF af 31.7.2021, tekst nr. 1. Denne version af CPCE’s artikel L. 34-1, som har været i kraft siden den 31.7.2021, blev vedtaget efter den af Conseil d’État (øverste domstol i forvaltningsretlige sager) afsagte afgørelse nr. 393099 af 21.4.2021 (JORF af 25.4.2021), hvorved nævnte ret forkastede den foregående version af denne bestemmelse, som indeholdt en forpligtelse til at lagre personoplysninger »med henblik på at efterforske, fastslå og retsforfølge strafbare handlinger eller manglende opfyldelse af den i artikel L. 336-3 [i CPI] fastsatte forpligtelse«, med det ene formål i givet fald at tillade en tilrådighedsstillelse for bl.a. Hadopi. Ved afgørelse 2021-976-977 QPC af 25.2.2022 (A. Habib m.fl.) fastslog Conseil constitutionnel (forfatningsråd, Frankrig), at den foregående version af CPCE’s artikel L. 34-1 var forfatningsstridig, med den væsentlige begrundelse, at »de anfægtede bestemmelser ved at tillade generel og udifferentieret lagring af forbindelsesdata i uforholdsmæssig grad gør indgreb i retten til respekt for privatlivets fred« (præmis 13). Nævnte ret fandt nemlig, at de forbindelsesdata, der skal lagres i medfør af disse bestemmelser, vedrører ikke alene identificering af brugerne af de elektroniske kommunikationstjenester, men også andre data, som »under hensyntagen til deres art, deres forskelligartethed og til de behandlinger, som de kan blive gjort til genstand for […] giver mange, præcise oplysninger om disse brugere og eventuelt om tredjeparter, som kan være særligt skadelige for deres privatliv« (præmis 11).

6 – Jf. dom af 6.10.2020 (C-511/18, C-512/18 og C-520/18, herefter »dommen i sagen La Quadrature du Net m.fl.«, EU:C:2020:791, domskonklusionen).

7 – Jf. dom af 21.12.2016 (C-203/15 og C-698/15, herefter »Tele2-dommen«, EU:C:2016:970, domskonklusionen).

8 – Dommens præmis 120.

9 – Dommens præmis 189.

10 – Dom af 2.3.2021 (C-746/18, herefter »Prokuratuur-dommen«, EU:C:2021:152).

11 – Europa-Parlamentets og Rådets forordning af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1).

12 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 155 og 159).

13 – Jf. Tele2-dommen (præmis 79).

14 – Jf. dom af 2.10.2018, Ministerio Fiscal (C-207/16, EU:C:2018:788, præmis 49).

15 – Dom af 2.10.2018 (C-207/16, EU:C:2018:788).

16 – Jf. Prokuratuur-dommen (præmis 29)

17 – Jf. dom af 17.6.2021, M.I.C.M. (C-597/19, EU:C:2021:492, præmis 127-130).

18 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 166), dom af 5.4.2022, Commissioner of An Garda Síochána m.fl. (C-140/20, herefter »dommen i sagen Commissioner of An Garda Síochána m.fl.«, EU:C:2022:258, præmis 98), og af 20.9.2022, SpaceNet (C-793/19 og C-794/19, herefter »SpaceNet-dommen«, EU:C:2022:702, præmis 131).

19 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 107), dommen i sagen Commissioner of An Garda Síochána m.fl. (præmis 35) og SpaceNet-dommen (præmis 52).

20 – Jf. Tele2-dommen (præmis 86), dommen i sagen La Quadrature du Net m.fl. (præmis 108), dommen i sagen Commissioner of An Garda Síochána m.fl. (præmis 38) og SpaceNet-dommen (præmis 55).

21 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 109), dommen i sagen Commissioner of An Garda Síochána m.fl. (præmis 37) og SpaceNet-dommen (præmis 54).

22 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 110 og 111), dommen i sagen Commissioner of An Garda Síochána m.fl. (præmis 40) og SpaceNet-dommen (præmis 57).

23 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 112), dommen i sagen Commissioner of An Garda Síochána m.fl. (præmis 41) og SpaceNet-dommen (præmis 58).

24 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 113 og 114), dommen i sagen Commissioner of An Garda Síochána m.fl. (præmis 42) og SpaceNet-dommen (præmis 60).

25 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 120-122), dommen i sagen Commissioner of An Garda Síochána m.fl. (præmis 48) og SpaceNet-dommen (præmis 63).

26 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 120-122), dommen i sagen Commissioner of An Garda Síochána m.fl. (præmis 49) og SpaceNet-dommen (præmis 64).

27 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 127-129), dommen i sagen Commissioner of An Garda Síochána m.fl. (præmis 50 og 51) og SpaceNet-dommen (præmis 65 og 66).

28 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 131), dommen i sagen Commissioner of An Garda Síochána m.fl. (præmis 53) og SpaceNet-dommen (præmis 68).

29 – Jf. punkt 41 ff. i dette forslag til afgørelse.

30 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 152).

31 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 153), dommen i sagen Commissioner of An Garda Síochána m.fl. (præmis 73) og SpaceNet-dommen (præmis 103) (min fremhævelse).

32 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 154), dommen i sagen Commissioner of An Garda Síochána m.fl. (præmis 73) og SpaceNet-dommen (præmis 103).

33 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 155 og 156), dommen i sagen Commissioner of An Garda Síochána m.fl. (præmis 74) og SpaceNet-dommen (præmis 104 og 105) (min fremhævelse).

34 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 156) og SpaceNet-dommen (præmis 105).

35 – C-597/19, EU:C:2020:1063, punkt 98.

36 – Jf. mit forslag til afgørelse M.I.C.M. (C-597/19, EU:C:2020:1063, punkt 97).

37 – Jf. dom af 19.4.2012, Bonnier Audio m.fl. (C-461/10, EU:C:2012:219, præmis 55), af 4.5.2017, Rīgas satiksme (C-13/16, EU:C:2017:336, præmis 34), og af 17.6.2021, M.I.C.M. (C-597/19, EU:C:2021:492, præmis 47-54).

38 – Jf. i denne retning dom af 29.1.2008, Promusicae (C-275/06, EU:C:2008:54, præmis 50-52).

39 – Jf. punkt 65 i dette forslag til afgørelse.

40 – Jf. mit forslag til afgørelse M.I.C.M. (C-597/19, EU:C:2020:1063, punkt 103).

41 – Jf. artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2000/31/EF af 8.6.2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked (»Direktivet om elektronisk handel«) (EFT 2000, L 178, s. 1).

42 – Jf. punkt 60 og 61 i dette forslag til afgørelse.

43 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 155) (min fremhævelse).

44 – Jf. dommen i sagen La Quadrature du Net m.fl. (præmis 156) (min fremhævelse).

45 – Jf. dom af 2.10.2018, Ministerio Fiscal (C-207/16, EU:C:2018:788, præmis 55), og Prokuratuur-dommen (præmis 32).

46 – Punkt 47 i dette forslag til afgørelse.

47 – Jf. SpaceNet-dommen (præmis 131), dommen i sagen La Quadrature du Net m.fl. (præmis 166) og dommen i sagen Commissioner of An Garda Síochána m.fl. (præmis 98).

48 – Jf. Tele2-dommen (præmis 115), dom af 2.10.2018, Ministerio Fiscal (C-207/16, EU:C:2018:788, præmis 56), og Prokuratuur-dommen (præmis 33).

49 – Jf. punkt 65 ff. i dette forslag til afgørelse.

50 – Jf. Tele2-dommen (præmis 118), Prokuratuur-dommen (præmis 49) og dommen i sagen Commissioner of An Garda Síochána m.fl. (præmis 104).

51 – Jf. Tele2-dommen (præmis 119), Prokuratuur-dommen (præmis 50) og dommen i sagen Commissioner of An Garda Síochána m.fl. (præmis 105).

52 – Jf. Tele2-dommen (præmis 120), Prokuratuur-dommen (præmis 51) og dommen i sagen Commissioner of An Garda Síochána m.fl. (præmis 106).

53 – Jf. Tele2-dommen og dommen i sagen Commissioner of An Garda Síochána m.fl.

54 – Jf. Prokuratuur-dommen.

55 – Jf. Prokuratuur-dommen (præmis 45).

56 – I øvrigt vil jeg accessorisk anføre, at argumenterne om gennemførlighed ligeledes taler imod et krav om en systematisk forudgående kontrol. Et organiseret system til bekæmpelse af ophavsretlige lovovertrædelser, der er begået online, såsom det i hovedsagen omhandlede system, forudsætter, at der må behandles store mængder personoplysninger – i overensstemmelse med antallet af overtrædelser, der retsforfølges – hvilket eksempelvis for 2019, ifølge den franske regerings opgørelser, indebar 33 465 anmodninger om identifikation af en IP-adresse, som Hadopi foretog daglig. I denne sammenhæng ville et krav om en forudgående kontrol af adgang til disse oplysninger risikere i praksis at bringe den måde, hvorpå mekanismerne for organiseret bekæmpelse af forfalskning, der er begået online, fungerer, i fare og ødelægge balancen mellem brugernes rettigheder og ophavsmændenes rettigheder.

57 – Europa-Parlamentets og Rådets direktiv af 27.4.2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT 2016, L 119, s. 89).

58 – Samtlige disse garantier er fastsat i bestemmelserne i kapitel III, afsnit III, i loi n^o 78-17 relative à l’informatique, aux fichiers et aux libertés, du 6 janvier 1978 (lov 78-17 om IT, registre og frihedsrettigheder af 6.1.1978) (JORF af 7.1.1978).

59 – Jf. dom af 26.10.2017, Balgarska energiyna borsa (C-347/16, EU:C:2017:816, præmis 31), af 31.5.2018, Confetra m.fl. (C-259/16 og C-260/16, EU:C:2018:370, præmis 63), og af 17.10.2019, Elektrorazpredelenie Yug (C-31/18, EU:C:2019:868, præmis 32).