HOTĂRÂREA CURȚII (Marea Cameră)
2 octombrie 2018(*)
„Trimitere preliminară – Comunicații electronice – Prelucrarea datelor cu caracter personal – Directiva 2002/58/CE – Articolele 1 și 3 – Domeniu de aplicare – Confidențialitatea comunicațiilor electronice – Protecție – Articolul 5 și articolul 15 alineatul (1) – Carta drepturilor fundamentale a Uniunii Europene – Articolele 7 și 8 – Date prelucrate în legătură cu furnizarea serviciilor de comunicații electronice – Accesul autorităților naționale la date în scopuri de anchetă – Pragul de gravitate a infracțiunii susceptibil să justifice accesul la date”
În cauza C‑207/16,
având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Audiencia Provincial de Tarragona (Curtea Provincială din Tarragona, Spania), prin decizia din 6 aprilie 2016, primită de Curte la 14 aprilie 2016, în procedura declanșată de
Ministerio Fiscal,
CURTEA (Marea Cameră),
compusă din domnul K. Lenaerts, președinte, domnul A. Tizzano, vicepreședinte, doamna R. Silva de Lapuerta și domnii T. von Danwitz (raportor), J. L. da Cruz Vilaça, C. G. Fernlund și C. Vajda, președinți de cameră, domnii E. Juhász și A. Borg Barthet, doamna C. Toader, domnii M. Safjan și D. Šváby, doamna M. Berger și domnii E. Jarašiūnas și E. Regan, judecători,
avocat general: domnul H. Saugmandsgaard Øe,
grefier: doamna L. Carrasco Marco, administrator,
având în vedere procedura scrisă și în urma ședinței din 29 ianuarie 2018,
luând în considerare observațiile prezentate:
– pentru Ministerio Fiscal, de E. Tejada de la Fuente;
– pentru guvernul spaniol, de M. Sampol Pucurull, în calitate de agent;
– pentru guvernul ceh, de M. Smolek, de J. Vláčil și de A. Brabcová, în calitate de agenți;
– pentru guvernul danez, de J. Nymann‑Lindegren și de M. Wolff, în calitate de agenți;
– pentru guvernul eston, de N. Grünberg, în calitate de agent;
– pentru Irlanda, de M. Browne, de L. Williams, de E. Creedon și de A. Joyce, în calitate de agenți, asistați de E. Gibson, BL;
– pentru guvernul francez, de D. Colas, de E. de Moustier și de E. Armoet, în calitate de agenți;
– pentru guvernul leton, de I. Kucina și de J. Davidoviča, în calitate de agenți;
– pentru guvernul maghiar, de M. Fehér și de G. Koós, în calitate de agenți;
– pentru guvernul austriac, de C. Pesendorfer, în calitate de agent;
– pentru guvernul polonez, de B. Majczyna, de D. Lutostańska și de J. Sawicka, în calitate de agenți;
– pentru guvernul Regatului Unit, de S. Brandon și de C. Brodie, în calitate de agenți, asistați de C. Knight, barrister, și de G. Facenna, QC;
– pentru Comisia Europeană, de I. Martínez del Peral, de P. Costa de Oliveira, de R. Troosters și de D. Nardi, în calitate de agenți,
după ascultarea concluziilor avocatului general în ședința din 3 mai 2018,
pronunță prezenta
Hotărâre
1 Cererea de decizie preliminară privește în esență interpretarea articolului 15 alineatul (1) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO 2002, L 201, p. 37, Ediție specială, 13/vol. 36, p. 63), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009 (JO 2009, L 337, p. 11) (denumită în continuare „Directiva 2002/58”), citit în lumina articolelor 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”).
2 Această cerere a fost formulată în cadrul unei acțiuni introduse de Ministerio Fiscal (Ministerul Public, Spania) împotriva deciziei Juzgado de Instrucción no 3 de Tarragona (judecătorul de instrucție nr. 3 din Tarragona, denumit în continuare „judecătorul de instrucție”) privind refuzul de a autoriza accesul poliției judiciare la date cu caracter personal păstrate de furnizorii de servicii de comunicații electronice.
Cadrul juridic
Dreptul Uniunii
Directiva 95/46
3 Potrivit articolului 2 litera (b) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 7, p. 10), în sensul acestei directive, prin „prelucrarea datelor cu caracter personal” trebuie să se înțeleagă „orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea”.
4 Articolul 3 din această directivă, intitulat „Domeniul de aplicare”, prevede:
„(1) Prezenta directivă se aplică prelucrării automate, în totalitate sau parțial, precum și prelucrării neautomate a datelor cu caracter personal, conținute sau care urmează să fie conținute într‑un sistem de evidență a datelor cu caracter personal.
(2) Prezenta directivă nu se aplică prelucrării datelor cu caracter personal:
– puse în practică pentru exercitarea activităților din afara domeniului de aplicare a dreptului comunitar, cum ar fi cele prevăzute în titlurile V și VI din Tratatul privind Uniunea Europeană și, în orice caz, prelucrărilor care au ca obiect siguranța publică, apărarea, securitatea statului (inclusiv bunăstarea economică a statului atunci când aceste prelucrări sunt legate de probleme de securitate a statului) și activitățile statului în domeniul dreptului penal;
– efectuate de către o persoană fizică în cursul unei activități exclusiv personale sau domestice.”
Directiva 2002/58
5 Considerentele (2), (11), (15) și (21) ale Directivei 2002/58 enunță:
„(2) Prezenta directivă dorește respectarea drepturilor fundamentale și a principiilor recunoscute în special de [cartă]. Directiva caută să asigure în special respectarea deplină a drepturilor menționate la articolele 7 și 8 [din aceasta].
[…]
(11) La fel ca Directiva [95/46], prezenta directivă nu se referă la chestiuni de protecție a drepturilor și libertăților fundamentale legate de activități care nu sunt reglementate de legile comunitare. Prin urmare, aceasta nu aduce atingere echilibrului existent între dreptul indivizilor la confidențialitate și posibilitatea ca statele membre să ia măsurile stipulate la articolul 15 alineatul (1) al prezentei directive, posibilitate necesară în vederea protejării siguranței publice, apărării și siguranței statului (inclusiv bunăstării economice a acestuia, în cazul în care activitățile respective sunt legate de chestiuni de siguranța statului) și întăririi legii penale. În consecință, prezenta directivă nu interzice statelor membre să efectueze interceptări legale ale comunicațiilor electronice sau să ia alte măsuri pentru atingerea scopurilor menționate anterior, dacă acest lucru este necesar și în conformitate cu Convenția Europeană pentru Protecția Drepturilor Omului și a Libertăților Fundamentale, așa cum este aceasta interpretată de Curtea Europeană a Drepturilor Omului. Aceste măsuri trebuie să fie corespunzătoare, strict proporționale cu scopul urmărit și necesare în cadrul unei societăți democratice și trebuie însoțite de precauțiile corespunzătoare în conformitate cu Convenția Europeană pentru Protecția Drepturilor Omului și a Libertăților Fundamentale.
[…]
(15) O comunicație poate include orice informație referitoare la nume, numere sau adrese furnizate de expeditorul unei comunicații sau de utilizatorul unei conexiuni pentru a efectua comunicația. Datele de transfer pot include orice translatare a acestei informații de către rețeaua prin care are loc transmisia în vederea efectuării transmisiei. […]
[…]
(21) Trebuie luate măsuri pentru a evita accesul neautorizat la comunicații pentru a proteja confidențialitatea acestora, atât în privința conținutului, cât și a datelor referitoare la comunicații în sine realizate prin rețelele de comunicații publice sau prin servicii publice de comunicații electronice. Legislația internă a unora dintre statele membre interzice doar accesul neautorizat intenționat la comunicații.”
6 Articolul 1 din Directiva 2002/58, intitulat „Sfera de aplicare și scopul”, prevede:
„(1) Prezenta directivă prevede armonizarea dispozițiilor naționale, lucru necesar în vederea asigurării unui nivel echivalent de protecție a drepturilor și a libertăților fundamentale, în special a dreptului la confidențialitate și la respectarea vieții private, în domeniul prelucrării de date cu caracter personal în sectorul comunicațiilor electronice și a asigurării liberei circulații a acestor date și a serviciilor și echipamentelor de comunicații electronice în interiorul Comunității.
(2) Prevederile prezentei directive precizează și completează Directiva [95/46] în scopurile menționate la alineatul (1). Mai mult, acestea sunt menite a asigura protecția intereselor legitime ale abonaților persoane juridice.
(3) Prezenta directivă nu se aplică activităților care nu sunt cuprinse în domeniul de aplicare al Tratatului de instituire a Comunității Europene, cum sunt cele menționate la titlurile V și VI ale Tratatului privind Uniunea Europeană, și în orice caz activităților legate de siguranța publică, de apărare, de siguranța statului (inclusiv de bunăstarea economică a acestuia, dacă activitățile respective sunt legate de chestiuni de siguranța statului) și activităților statului în domeniul legii penale.”
7 Potrivit articolului 2 din Directiva 2002/58, intitulat „Definiții”:
„Cu excepția cazurilor în care se precizează altfel, se aplică definițiile din Directiva [95/46] și din Directiva 2002/21/CE a Parlamentului European și a Consiliului din 7 martie 2002 privind cadrul comun de reglementare a rețelelor și serviciilor de comunicații electronice (Directiva‑cadru) [(JO 2002, L 108, p. 33, Ediție specială, 13/vol. 35, p. 195)].
Se aplică de asemenea următoarele definiții:
[…]
(b) «date de transfer» înseamnă orice date prelucrate în scopul transmiterii comunicației printr‑o rețea de comunicații electronice sau în vederea facturării;
(c) «date de localizare» înseamnă orice date prelucrate într‑o rețea de comunicații electronice sau prin intermediul unui serviciu de comunicații electronice, care indică poziția geografică a echipamentului terminal al unui utilizator al unui serviciu de comunicații electronice destinat publicului;
(d) «comunicație» înseamnă orice informație trimisă sau transmisă între un număr finit de părți prin intermediul unui serviciu public de comunicații electronice. Această categorie nu include informațiile transmise în cadrul unui serviciu de radiodifuziune pentru public prin intermediul unei rețele de comunicații electronice, în măsura în care aceste informații nu pot fi relaționate cu un abonat sau cu un utilizator identificabil care primește informația;
[…]”
8 Articolul 3 din Directiva 2002/58, intitulat „Serviciile vizate”, prevede:
„Prezenta directivă se aplică prelucrării de date cu caracter personal legate de furnizarea de servicii de comunicații electronice destinate publicului prin intermediul rețelelor publice de comunicații din cadrul Comunității, inclusiv al rețelelor publice de comunicații care presupun colectarea de date și dispozitive de identificare.”
9 Potrivit articolului 5 din Directiva 2002/58, intitulat „Confidențialitatea comunicațiilor”:
„(1) Statele membre trebuie să asigure confidențialitatea comunicațiilor și a datelor de transfer aferente transmise prin intermediul unei rețele de comunicații publice sau unor servicii publice de comunicații electronice, prin legislația internă. Acestea interzic astfel în special ascultarea, înregistrarea, stocarea sau alte tipuri de interceptare sau supraveghere a comunicațiilor și a datelor de transfer aferente de către persoane altele decât utilizatorul, fără acordul utilizatorului în cauză, cu excepția cazurilor în care acest lucru este permis în temeiul articolului 15 alineatul (1). […]
[…]
(3) Statele membre se asigură că stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informații clare și complete, în conformitate cu Directiva [95/46], inter alia, cu privire la scopurile prelucrării. […]”
10 Articolul 6 din Directiva 2002/58, intitulat „Datele de transfer”, prevede:
„(1) Datele de transfer referitoare la abonați și utilizatori prelucrate și stocate de către furnizorul rețelei de comunicații publice sau al serviciilor publice de comunicații electronice trebuie șterse sau trecute în anonimat de îndată ce nu mai sunt necesare în scopul transmiterii comunicației, fără a aduce atingere alineatelor (2), (3) și (5) din prezentul articol sau articolului 15 alineatul (1).
(2) Datele de transfer necesare în vederea facturării serviciilor oferite abonatului sau plății conexiunii pot să fie prelucrate. Prelucrarea lor este permisă doar până la sfârșitul perioadei în care factura poate fi contestată prin lege sau plata poate fi urmărită.
[…]”
11 Articolul 15 din directiva menționată, intitulat „Aplicarea anumitor dispoziții ale Directivei [95/46]”, prevede la alineatul (1):
„Statele membre pot adopta măsuri legislative pentru a restrânge sfera de aplicare a drepturilor și obligațiilor prevăzute la articolul 5, articolul 6, articolul 8 alineatele (1), (2), (3) și (4) și articolul 9 ale prezentei directive, în cazul în care restrângerea lor constituie o măsură necesară, corespunzătoare și proporțională în cadrul unei societăți democratice pentru a proteja securitatea națională (de exemplu siguranța statului), apărarea, siguranța publică sau pentru prevenirea, investigarea, detectarea și urmărirea penală a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicații electronice, în conformitate cu articolul 13 alineatul (1) al Directivei [95/46]. În acest scop, statele membre pot adopta, inter alia, măsuri legislative care să permită reținerea de date, pe perioadă limitată, pentru motivele arătate anterior în acest alineat. Toate măsurile menționate în acest alineat trebuie să fie conforme cu principiile generale ale legislației comunitare, inclusiv cu cele menționate la articolul 6 alineatele (1) și (2) al Tratatului privind Uniunea Europeană.”
Dreptul spaniol
Legea 25/2007
12 Articolul 1 din Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a la redes públicas de comunicaciones (Legea 25/2007 privind păstrarea datelor referitoare la comunicațiile electronice și la rețelele publice de comunicații) din 18 octombrie 2007 (BOE nr. 251 din 19 octombrie 2007, p. 42517) prevede:
„1. Prezenta lege are ca scop reglementarea obligației operatorilor de a păstra datele generate sau prelucrate în contextul prestării de servicii de comunicații electronice sau de rețele de comunicații publice, precum și obligația de a comunica datele respective agenților abilitați ori de câte ori acestea sunt solicitate prin intermediul autorizației judiciare corespunzătoare, în vederea descoperirii, a anchetării și a judecării infracțiunilor grave prevăzute în Codul penal sau în legile penale speciale.
2. Prezenta lege se aplică datelor de transfer și datelor de localizare care privesc atât persoanele fizice, cât și persoanele juridice, precum și datelor conexe necesare pentru identificarea abonatului sau a utilizatorului înregistrat.
[…]”
Codul penal
13 Articolul 13 alineatul 1 din Ley Orgánica 10/1995 del Código Penal (Codul penal) din 23 noiembrie 1995 (BOE nr. 281 din 24 noiembrie 1995, p. 33987) are următorul cuprins:
„Sunt infracțiuni grave cele sancționate de lege cu o pedeapsă gravă.”
14 Articolul 33 din codul menționat prevede:
„1. În funcție de natura și de durata acestora, pedepsele sunt calificate ca fiind grave, mai puțin grave și ușoare.
2. Sunt pedepse grave:
a) Detențiunea pe viață comutabilă.
b) Închisoarea mai mare de cinci ani.
[…]”
Codul de procedură penală
15 După data faptelor din litigiul principal, Ley de Enjuiciamiento Criminal (Codul de procedură penală) a fost modificat prin Ley Orgánica 13/2015 de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica (Legea organică 13/2015 de modificare a Codului de procedură penală în scopul consolidării garanțiilor procedurale și al reglementării măsurilor de anchetare tehnologică) din 5 octombrie 2015 (BOE nr. 239 din 6 octombrie 2015, p. 90192).
16 Această lege a intrat în vigoare la 6 decembrie 2015. Ea introduce, în Codul de procedură penală, domeniul accesului la datele privind comunicațiile telefonice și telematice care au fost păstrate de prestatorii de servicii de comunicații electronice.
17 Articolul 579 alineatul 1 din Codul de procedură penală, în versiunea rezultată din Legea organică 13/2015, prevede:
„1. Instanța poate autoriza interceptarea corespondenței private, poștale și telegrafice, inclusiv faxuri, Burofax‑uri și mandate poștale internaționale, pe care suspectul le trimite sau le primește, precum și deschiderea și analizarea acesteia, în cazul în care există indicii care sugerează că acest lucru va permite descoperirea sau verificarea unui fapt sau a unui element relevant în speță, în măsura în care ancheta are ca obiect una dintre următoarele infracțiuni:
1.° Infracțiuni comise cu intenție, sancționate cu o pedeapsă al cărei maxim special este închisoarea de cel puțin trei ani.
2.° Infracțiuni comise în cadrul unui grup infracțional organizat.
3.° Infracțiuni de terorism.
[…]”
18 Articolul 588 ter j din codul menționat prevede:
„1. Datele electronice păstrate de prestatorii de servicii sau de persoanele care facilitează comunicația, în conformitate cu legislația privind păstrarea datelor referitoare la comunicațiile electronice sau din proprie inițiativă, din motive comerciale sau de altă natură, și care au legătură cu procesele de comunicație, pot fi comunicate în vederea folosirii în proces numai pe bază de autorizație judiciară.
2. Atunci când cunoașterea acestor date este indispensabilă pentru anchetă, trebuie să se solicite instanței competente o autorizație de acces la informațiile păstrate în arhivele automatizate ale prestatorilor de servicii, inclusiv pentru o căutare încrucișată sau inteligentă a datelor, cu condiția să se precizeze natura datelor căutate și motivele care justifică comunicarea acestora.”
Procedura principală și întrebările preliminare
19 Domnul Hernández Sierra a depus o plângere la poliție pentru o tâlhărie, care a avut loc la 16 februarie 2015, în cursul căreia a fost rănit și i s‑au furat portofelul și telefonul mobil.
20 La 27 februarie 2015, poliția judiciară a sesizat judecătorul de instrucție cu o cerere prin care a solicitat obligarea diferitor furnizori de servicii de comunicații electronice să transmită numerele de telefon activate, între 16 februarie și 27 februarie 2015, cu codul referitor la identificatorul internațional al echipamentului mobil (denumit în continuare „codul IMEI”) al telefonului mobil furat, precum și datele cu caracter personal referitoare la identitatea civilă a titularilor sau a utilizatorilor numerelor de telefon aferente cartelelor SIM activate cu acest cod, cum ar fi numele, prenumele și, dacă este cazul, adresa acestora.
21 Prin ordonanța din 5 mai 2015, judecătorul de instrucție a respins această cerere. Pe de o parte, el a considerat că măsura solicitată nu era utilă pentru identificarea autorilor infracțiunii. Pe de altă parte, a refuzat să admită cererea pentru motivul că Legea 25/2007 limita transmiterea datelor păstrate de furnizorii de servicii de comunicații electronice la infracțiunile grave. Conform Codului penal, infracțiunile grave ar fi sancționate cu pedepse privative de libertate mai mari de cinci ani, în timp ce faptele în discuție în litigiul principal nu păreau să constituie o astfel de infracțiune.
22 Ministerul Public a declarat apel împotriva acestei ordonanțe la instanța de trimitere, considerând că comunicarea datelor în cauză ar fi trebuit să fie admisă ca urmare a naturii faptelor și în temeiul unei hotărâri a Tribunal Supremo (Curtea Supremă, Spania) din 26 iulie 2010 cu privire la un caz similar.
23 Instanța de trimitere arată că, ulterior ordonanței menționate, legiuitorul spaniol a modificat Codul de procedură penală prin adoptarea Legii organice 13/2015. Această lege, care ar fi relevantă pentru soluționarea acțiunii principale, ar fi introdus două criterii alternative noi pentru determinarea gradului de gravitate a unei infracțiuni. Ar fi vorba, pe de o parte, despre un criteriu material identificat prin comportamente care corespund unor calificări penale a căror natură infracțională este specifică și gravă și care sunt deosebit de prejudiciabile pentru interesele juridice individuale și colective. Pe de altă parte, legiuitorul național ar fi recurs la un criteriu normativ formal, întemeiat pe pedeapsa prevăzută pentru infracțiunea în cauză. Pragul de trei ani de închisoare pe care îl prevede în prezent ar cuprinde însă marea majoritate a infracțiunilor. În plus, instanța de trimitere consideră că interesul statului de a sancționa comportamentele infracționale nu poate justifica ingerințe disproporționate în drepturile fundamentale consacrate de cartă.
24 În această privință, instanța menționată apreciază că, în procedura principală, Directivele 95/46 și 2002/58 stabilesc o legătură cu carta. Prin urmare, reglementarea națională în discuție în litigiul principal ar intra, conform articolului 51 alineatul (1) din cartă, în domeniul de aplicare al acesteia, în pofida invalidării Directivei 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE (JO 2006, L 105, p. 54, Ediție specială, 13/vol. 53, p. 51) prin Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238).
25 În această hotărâre, Curtea ar fi recunoscut că păstrarea și comunicarea datelor de transfer constituie ingerințe deosebit de grave în drepturile garantate de articolele 7 și 8 din cartă și ar fi identificat criteriile de apreciere a respectării principiului proporționalității, printre care figurează gravitatea infracțiunilor care justifică păstrarea acestor date și accesul la ele în scopuri de anchetă.
26 În aceste condiții, Audiencia Provincial de Tarragona (Curtea Provincială din Tarragona) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
„1) Caracterul suficient de grav al infracțiunilor, în calitate de criteriu care justifică ingerința în drepturile fundamentale consacrate la articolele 7 și 8 din [cartă], poate fi determinat luând în considerare exclusiv pedeapsa care poate fi aplicată pentru infracțiunea care face obiectul urmăririi penale sau este necesar, în plus, să se identifice, în cadrul comportamentului infracțional, un caracter prejudiciabil special în privința intereselor juridice individuale sau colective?
2) După caz, în situația în care determinarea gravității infracțiunii exclusiv în funcție de pedeapsa aplicabilă ar fi conformă cu principiile fundamentale ale Uniunii aplicate de Curte în Hotărârea [din 8 aprilie 2014, Digital Rights Ireland și alții, C‑293/12 și C‑594/12, EU:C:2014:238] ca standarde de control strict al Directivei [2002/58], care ar trebui să fie acest prag minim al gravității? Acesta ar fi compatibil cu o prevedere generală care stabilește un minim de trei ani de închisoare?”
Procedura în fața Curții
27 Prin decizia președintelui Curții din 23 mai 2016, procedura în fața Curții a fost suspendată până la pronunțarea hotărârii în cauzele conexate Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15 (Hotărârea din 21 decembrie 2016, EU:C:2016:970, denumită în continuare „Hotărârea Tele2 Sverige și Watson și alții”). Ca urmare a pronunțării acestei hotărâri, instanța de trimitere a fost întrebată dacă dorește să își mențină sau să își retragă cererea de decizie preliminară. Instanța de trimitere a răspuns, prin scrisoarea din 30 ianuarie 2017, primită de Curte la 14 februarie 2017, că consideră că această hotărâre nu îi permite să aprecieze, cu suficientă certitudine, reglementarea națională în discuție în litigiul principal în raport cu dreptul Uniunii. Prin urmare, procedura în fața Curții a fost reluată la 16 februarie 2017.
Cu privire la întrebările preliminare
28 Guvernul spaniol invocă, pe de o parte, necompetența Curții pentru a răspunde la cererea de decizie preliminară și, pe de altă parte, inadmisibilitatea acestei cereri.
Cu privire la competența Curții
29 În observațiile sale scrise prezentate Curții, guvernul spaniol și‑a exprimat părerea, căreia i s‑a alăturat guvernul Regatului Unit în ședință, potrivit căreia Curtea nu este competentă să răspundă la cererea de decizie preliminară pentru motivul că litigiul principal este exclus, în conformitate cu articolul 3 alineatul (2) prima liniuță din Directiva 95/46 și cu articolul 1 alineatul (3) din Directiva 2002/58, din domeniul de aplicare al acestor două directive. Această cauză nu ar intra, așadar, în domeniul de aplicare al dreptului Uniunii, astfel încât, în conformitate cu articolul 51 alineatul (1) din cartă, aceasta nu ar fi aplicabilă.
30 Potrivit guvernului spaniol, Curtea a statuat, desigur, în Hotărârea Tele2 Sverige și Watson și alții, că o măsură legislativă care reglementează accesul autorităților naționale la datele păstrate de furnizorii de servicii de comunicații electronice intră în domeniul de aplicare al Directivei 2002/58. Cu toate acestea, în speță, ar fi vorba despre o cerere de acces a unei autorități publice, în temeiul unei decizii judiciare din cadrul unei proceduri de urmărire penală, la date cu caracter personal păstrate de furnizorii de servicii de comunicații electronice. Guvernul spaniol concluzionează de aici că această cerere de acces se înscrie în exercitarea de către autoritățile naționale a ius puniendi, astfel încât constituie o activitate a statului referitoare la domenii ale dreptului penal care intră sub incidența excepției prevăzute la articolul 3 alineatul (2) prima liniuță din Directiva 95/46 și la articolul 1 alineatul (3) din Directiva 2002/58.
31 Pentru a aprecia această excepție de necompetență, trebuie arătat că articolul 1 din Directiva 2002/58 dispune, la alineatul (1), că directiva respectivă prevede armonizarea dispozițiilor naționale necesare, printre altele, în vederea asigurării unui nivel echivalent de protecție a drepturilor și a libertăților fundamentale, în special a dreptului la confidențialitate și la respectarea vieții private, în domeniul prelucrării de date cu caracter personal în sectorul comunicațiilor electronice. Conform articolului 1 alineatul (2) din directiva amintită, aceasta precizează și completează Directiva 95/46 în scopurile menționate la alineatul (1).
32 Articolul 1 alineatul (3) din Directiva 2002/58 exclude din domeniul de aplicare al acesteia „activitățile statului” în domeniile care sunt acolo vizate, printre care se numără activitățile statului în domeniul penal și cele privind siguranța publică, apărarea, siguranța statului, inclusiv bunăstarea economică a statului atunci când este vorba despre activități legate de siguranța statului (Hotărârea Tele2 Sverige și Watson și alții, punctul 69 și jurisprudența citată). Activitățile menționate cu titlu de exemplu de dispoziția respectivă sunt, în toate cazurile, activități proprii statelor sau autorităților statale, străine de domeniile de activitate ale particularilor (a se vedea prin analogie, în ceea ce privește articolul 3 alineatul (2) prima liniuță din Directiva 95/46, Hotărârea din 10 iulie 2018, Jehovan Todistajat, C‑25/17, EU:C:2018:551, punctul 38 și jurisprudența citată).
33 În ceea ce privește articolul 3 din Directiva 2002/58, acesta prevede că directiva menționată se aplică prelucrării de date cu caracter personal legate de furnizarea de servicii de comunicații electronice destinate publicului prin intermediul rețelelor publice de comunicații din cadrul Uniunii, inclusiv al rețelelor publice de comunicații care presupun colectarea de date și dispozitive de identificare (denumite în continuare „servicii de comunicații electronice”). Prin urmare, trebuie considerat că directiva menționată reglementează activitățile furnizorilor de astfel de servicii (Hotărârea Tele2 Sverige și Watson și alții, punctul 70).
34 În ceea ce privește articolul 15 alineatul (1) din Directiva 2002/58, Curtea a statuat deja că măsurile legislative prevăzute la această dispoziție intră în domeniul de aplicare al acestei directive chiar dacă ele se raportează la activități proprii statelor sau autorităților statale, străine de domeniile de activitate ale particularilor și chiar dacă finalitățile la care trebuie să răspundă asemenea măsuri se pliază în esență pe finalitățile urmărite de activitățile menționate la articolul 1 alineatul (3) din Directiva 2002/58. Astfel, articolul 15 alineatul (1) din directiva respectivă presupune în mod necesar că măsurile naționale prevăzute la acest articol intră în domeniul de aplicare al directivei menționate, din moment ce aceasta din urmă permite în mod expres statelor membre să le adopte numai cu respectarea condițiilor pe care le prevede. În plus, măsurile legislative vizate la articolul 15 alineatul (1) din Directiva 2002/58 guvernează, în scopurile menționate la această dispoziție, activitatea furnizorilor de servicii de comunicații electronice (a se vedea în acest sens Hotărârea Tele2 Sverige și Watson și alții, punctele 72-74).
35 Curtea a concluzionat că respectivul articol 15 alineatul (1) coroborat cu articolul 3 din Directiva 2002/58 trebuie interpretat în sensul că intră în domeniul de aplicare al acestei directive nu numai o măsură legislativă care impune furnizorilor de servicii de comunicații electronice să păstreze datele de transfer și datele de localizare, ci și o măsură legislativă privind accesul autorităților naționale la datele păstrate de acești furnizori (a se vedea în acest sens Hotărârea Tele2 Sverige și Watson și alții, punctele 75 și 76).
36 Astfel, protecția confidențialității comunicațiilor electronice și a datelor de transfer aferente acestora, garantată de articolul 5 alineatul (1) din Directiva 2002/58, se aplică măsurilor adoptate de orice alte persoane decât utilizatorii, indiferent dacă este vorba despre persoane sau entități private ori despre entități statale. După cum se confirmă în considerentul (21) al directivei menționate, aceasta urmărește să evite „accesul” neautorizat la comunicații, inclusiv la „datel[e] referitoare la comunicații”, pentru a proteja confidențialitatea comunicațiilor electronice (Hotărârea Tele2 Sverige și Watson și alții, punctul 77).
37 Trebuie să se adauge că măsurile legislative care impun furnizorilor de servicii de comunicații electronice să păstreze date cu caracter personal sau să acorde autorităților naționale competente accesul la aceste date implică în mod necesar o prelucrare, de către acești furnizori, a datelor respective (a se vedea în acest sens Hotărârea Tele2 Sverige și Watson și alții, punctele 75 și 78). Astfel de măsuri, întrucât guvernează activitățile furnizorilor menționați, nu pot fi asimilate, așadar, unor activități proprii statelor, vizate la articolul 1 alineatul (3) din Directiva 2002/58.
38 În speță, după cum reiese din decizia de trimitere, cererea în discuție în litigiul principal, prin care poliția judiciară solicită o autorizație judiciară pentru a avea acces la date cu caracter personal păstrate de furnizori de servicii de comunicații electronice, se bazează pe Legea 25/2007 coroborată cu Codul de procedură penală, în versiunea aplicabilă faptelor din litigiul principal, care guvernează accesul autorităților publice la asemenea date. Această reglementare este de natură să permită poliției judiciare, în cazul acordării autorizației judiciare solicitate în temeiul acesteia, să solicite furnizorilor de servicii de comunicații electronice să îi pună la dispoziție date cu caracter personal și, procedând astfel, aceștia efectuează, având în vedere definiția care figurează la articolul 2 litera (b) din Directiva 95/46, aplicabilă în contextul Directivei 2002/58 în temeiul articolului 2 primul paragraf din aceasta din urmă, o „prelucrare” a unor asemenea date, în sensul acestor două directive. Așadar, reglementarea menționată guvernează activități ale furnizorilor de servicii de comunicații electronice și, în consecință, intră în domeniul de aplicare al Directivei 2002/58.
39 În aceste condiții, împrejurarea invocată de guvernul spaniol, potrivit căreia această cerere de acces intervine în cadrul unei proceduri de urmărire penală, nu poate atrage inaplicabilitatea Directivei 2002/58 în cauza principală în temeiul articolului 1 alineatul (3) din aceasta.
40 Este de asemenea lipsit de relevanță în această privință că cererea de acces în discuție în litigiul principal urmărește, astfel cum reiese din răspunsul scris al guvernului spaniol la o întrebare adresată de Curte și după cum au confirmat atât guvernul respectiv, cât și Ministerul Public în ședință, să permită accesul numai la numerele de telefon aferente cartelelor SIM activate cu codul IMEI al telefonului mobil furat, precum și la datele referitoare la identitatea civilă a titularilor acestor cartele, cum ar fi numele, prenumele și, dacă este cazul, adresa acestora, cu excluderea datelor referitoare la comunicațiile efectuate cu cartelele SIM menționate și a datelor de localizare privind telefonul mobil furat.
41 Astfel, după cum a arătat avocatul general la punctul 54 din concluzii, Directiva 2002/58 guvernează, în temeiul articolului 1 alineatul (1) și al articolului 3 din aceasta, orice prelucrare a datelor cu caracter personal legate de furnizarea de servicii de comunicații electronice. În plus, conform articolului 2 al doilea paragraf litera (b) din această directivă, noțiunea „date de transfer” acoperă „orice date prelucrate în scopul transmiterii comunicației printr‑o rețea de comunicații electronice sau în vederea facturării”.
42 În această ultimă privință, în ceea ce privește mai precis datele referitoare la identitatea civilă a titularilor de cartele SIM, reiese din considerentul (15) al Directivei 2002/58 că datele de transfer pot include, printre altele, numele și adresa persoanei care emite o comunicație sau care utilizează o conexiune pentru a efectua o comunicație. În plus, datele referitoare la identitatea civilă a titularilor de cartele SIM civile se pot dovedi necesare pentru facturarea serviciilor de comunicații electronice furnizate și, prin urmare, fac parte din datele de transfer, astfel cum acestea sunt definite la articolul 2 al doilea paragraf litera (b) din directiva respectivă. În consecință, aceste date intră în domeniul de aplicare al Directivei 2002/58.
43 Prin urmare, Curtea este competentă să răspundă la întrebarea adresată de instanța de trimitere.
Cu privire la admisibilitate
44 Guvernul spaniol susține că cererea de decizie preliminară este inadmisibilă pentru motivul că nu identifică în mod clar dispozițiile dreptului Uniunii cu privire la care Curtea este invitată să se pronunțe. Mai mult, cererea poliției judiciare în discuție în litigiul principal nu ar privi interceptarea comunicațiilor efectuate prin intermediul cartelelor SIM activate cu codul IMEI al telefonului mobil furat, ci stabilirea unei legături între aceste cartele și titularii lor, astfel încât confidențialitatea comunicațiilor nu ar fi afectată. Articolul 7 din cartă vizat de întrebările preliminare ar fi, așadar, lipsit de relevanță în contextul prezentei cauze.
45 Potrivit jurisprudenței constante a Curții, numai instanța națională care este sesizată cu soluționarea litigiului și care trebuie să își asume răspunderea pentru hotărârea judecătorească ce urmează a fi pronunțată are competența să aprecieze, luând în considerare particularitățile cauzei, atât necesitatea unei decizii preliminare, pentru a fi în măsură să pronunțe propria hotărâre, cât și pertinența întrebărilor pe care le adresează Curții. În consecință, în cazul în care întrebările adresate privesc interpretarea dreptului Uniunii, Curtea este, în principiu, obligată să se pronunțe. Curtea poate refuza să se pronunțe asupra unei întrebări preliminare adresate de o instanță națională numai atunci când este evident că interpretarea solicitată a dreptului Uniunii nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când problema este de natură ipotetică sau atunci când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util la întrebările care i‑au fost adresate (Hotărârea din 10 iulie 2018, Jehovan Todistajat, C‑25/17, EU:C:2018:551, punctul 31 și jurisprudența citată).
46 În speță, decizia de trimitere conține elemente de fapt și de drept suficiente atât pentru identificarea dispozițiilor de drept al Uniunii vizate de întrebările preliminare, cât și pentru înțelegerea conținutului acestor întrebări. În special, reiese din decizia de trimitere că întrebările preliminare vizează să permită instanței de trimitere să aprecieze dacă și în ce măsură reglementarea națională, pe care se întemeiază cererea poliției judiciare în discuție în litigiul principal, urmărește un obiectiv care este susceptibil să justifice o atingere adusă drepturilor fundamentale consacrate la articolele 7 și 8 din cartă. Or, potrivit indicațiilor aceleiași instanțe, această reglementare națională intră în domeniul de aplicare al Directivei 2002/58, astfel încât carta este aplicabilă în cauza principală. Întrebările preliminare prezintă, așadar, un raport direct cu obiectul procedurii principale și, prin urmare, nu pot fi considerate ipotetice.
47 În aceste condiții, întrebările preliminare sunt admisibile.
Cu privire la fond
48 Prin intermediul celor două întrebări adresate, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă articolul 15 alineatul (1) din Directiva 2002/58, citit în lumina articolelor 7 și 8 din cartă, trebuie interpretat în sensul că accesul unor autorități publice la datele care vizează identificarea titularilor cartelelor SIM activate cu un telefon mobil furat, cum ar fi numele, prenumele și, dacă este cazul, adresa acestor titulari, presupune o ingerință în drepturile fundamentale ale acestora din urmă, consacrate la articolele respective din cartă, care prezintă o asemenea gravitate încât acest acces ar trebui să fie limitat, în materie de prevenire, de investigare, de detectare și de urmărire penală a infracțiunilor, la combaterea infracționalității grave și, în cazul unui răspuns afirmativ, în funcție de ce criterii trebuie să fie apreciată gravitatea infracțiunii în cauză.
49 În această privință, din decizia de trimitere reiese că, după cum a arătat în esență avocatul general la punctul 38 din concluzii, cererea de decizie preliminară nu vizează să stabilească dacă datele cu caracter personal în discuție în litigiul principal au fost păstrate de furnizorii de servicii de comunicații electronice cu respectarea condițiilor prevăzute la articolul 15 alineatul (1) din Directiva 2002/58, interpretat în lumina articolelor 7 și 8 din cartă. Această cerere privește, după cum reiese din cuprinsul punctului 46 din prezenta hotărâre, numai aspectul dacă și în ce măsură obiectivul urmărit de reglementarea în discuție în litigiul principal este susceptibil să justifice accesul unor autorități publice, cum ar fi poliția judiciară, la astfel de date, fără ca celelalte condiții de acces care rezultă din acest articol 15 alineatul (1) să facă obiectul respectivei cereri.
50 În special, această instanță ridică problema elementelor care trebuie luate în considerare pentru a aprecia dacă infracțiunile în raport cu care autoritățile polițienești pot fi autorizate, în scopuri de anchetă, să aibă acces la date cu caracter personal păstrate de furnizorii de servicii de comunicații electronice sunt de o gravitate suficientă pentru a justifica ingerința pe care o implică un asemenea acces în drepturile fundamentale garantate la articolele 7 și 8 din cartă, astfel cum au fost interpretate de Curte în Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238), și în Hotărârea Tele2 Sverige și Watson și alții.
51 În ceea ce privește existența unei ingerințe în drepturile fundamentale, trebuie amintit că, după cum a arătat avocatul general la punctele 76 și 77 din concluzii, accesul autorităților publice la asemenea date constituie o ingerință în dreptul fundamental la respectarea vieții private, consacrat la articolul 7 din cartă, chiar în absența unor împrejurări care permit calificarea acestei ingerințe drept „gravă” și fără a fi relevant dacă informațiile vizate referitoare la viața privată prezintă sau nu prezintă un caracter sensibil sau dacă persoanele interesate au suferit eventuale inconveniente ca urmare a acestei ingerințe. Un astfel de acces constituie de asemenea o ingerință în dreptul fundamental la protecția datelor cu caracter personal garantat de articolul 8 din cartă, întrucât reprezintă o prelucrare de date cu caracter personal [a se vedea în acest sens Avizul 1/15 (Acordul PNR UE-Canada) din 26 iulie 2017, EU:C:2017:592, punctele 124 și 126, precum și jurisprudența citată].
52 În ceea ce privește obiectivele susceptibile să justifice o reglementare națională precum cea în discuție în litigiul principal, care guvernează accesul autorităților publice la datele păstrate de furnizorii de servicii de comunicații electronice și care derogă, astfel, de la principiul confidențialității comunicațiilor electronice, trebuie amintit că enumerarea obiectivelor care figurează la articolul 15 alineatul (1) prima teză din Directiva 2002/58 prezintă un caracter exhaustiv, așa încât acest acces trebuie să urmărească în mod efectiv și strict unul dintre aceste obiective (a se vedea în acest sens Hotărârea Tele2 Sverige și Watson și alții, punctele 90 și 115).
53 Or, în ceea ce privește obiectivul prevenirii, cercetării, depistării și urmăririi penale a infracțiunilor, trebuie să se observe că textul articolului 15 alineatul (1) prima teză din Directiva 2002/58 nu limitează acest obiectiv numai la combaterea infracțiunilor grave, ci se referă la „infracțiuni” în general.
54 În această privință, Curtea a statuat desigur că, în materie de prevenire, de investigare, de detectare și de urmărire penală a infracțiunilor, numai combaterea infracționalității grave este susceptibilă să justifice un acces al autorităților publice la date cu caracter personal păstrate de furnizorii de servicii de comunicații electronice care, considerate în ansamblu, permit deducerea unor concluzii precise privind viața privată a persoanelor ale căror date sunt vizate (a se vedea în acest sens Hotărârea Tele2 Sverige și Watson și alții, punctul 99).
55 Curtea a motivat însă această interpretare prin faptul că obiectivul urmărit de o reglementare care guvernează acest acces trebuie să se raporteze la gravitatea ingerinței în drepturile fundamentale în cauză pe care o determină această operațiune (a se vedea în acest sens Hotărârea Tele2 Sverige și Watson și alții, punctul 115).
56 Astfel, în conformitate cu principiul proporționalității, o ingerință gravă nu poate fi justificată, în materie de prevenire, de investigare, de detectare și de urmărire penală a infracțiunilor, decât prin obiectivul privind combaterea infracționalității care trebuie calificată drept „gravă”.
57 În schimb, dacă ingerința pe care o implică un asemenea acces nu este gravă, respectivul acces este susceptibil să fie justificat de un obiectiv privind prevenirea, investigarea, detectarea și urmărirea penală a unor „infracțiuni” în general.
58 Prin urmare, este necesar în primul rând să se stabilească dacă în speță, în funcție de circumstanțele cauzei, ingerința în drepturile fundamentale consacrate la articolele 7 și 8 din cartă pe care ar implica‑o un acces al poliției judiciare la datele în discuție în litigiul principal trebuie considerată ca fiind „gravă”.
59 În această privință, cererea în discuție în litigiul principal, prin care poliția judiciară solicită, pentru nevoile unei anchete penale, autorizarea judiciară de a avea acces la date cu caracter personal păstrate de furnizorii de servicii de comunicații electronice, are drept unic obiect să identifice titularii cartelelor SIM activate, într‑o perioadă de douăsprezece zile, cu codul IMEI al telefonului mobil furat. Astfel cum s‑a arătat la punctul 40 din prezenta hotărâre, această cerere vizează numai accesul la numerele de telefon corespunzătoare acestor cartele SIM, precum și la datele referitoare la identitatea civilă a titularilor cartelelor menționate, cum ar fi numele, prenumele și, dacă este cazul, adresa lor. În schimb, aceste date nu privesc, după cum au confirmat în ședință atât guvernul spaniol, cât și Ministerul Public, comunicațiile efectuate cu telefonul mobil furat și nici localizarea acestuia.
60 Rezultă, așadar, că datele vizate de cererea de acces în discuție în litigiul principal permit doar să se pună în legătură, pe o perioadă determinată, cartela sau cartelele SIM activate cu telefonul mobil furat cu identitatea civilă a titularilor acestor cartele SIM. Fără o verificare încrucișată a datelor aferente comunicațiilor efectuate cu respectivele cartele SIM și a datelor de localizare, aceste date nu permit să se cunoască nici data, ora, durata și destinatarii comunicațiilor efectuate cu cartela sau cu cartelele SIM în cauză, nici locurile în care aceste comunicații au avut loc sau frecvența acestora cu anumite persoane într‑o perioadă determinată. Prin urmare, aceste date nu permit să se tragă concluzii precise cu privire la viața privată a persoanelor ale căror date sunt vizate.
61 În aceste condiții, accesul doar la datele care fac obiectul cererii în discuție în litigiul principal nu poate fi calificat drept ingerință „gravă” în drepturile fundamentale ale persoanelor ale căror date sunt vizate.
62 După cum reiese din cuprinsul punctelor 53-57 din prezenta hotărâre, ingerința pe care ar implica‑o un acces la astfel de date este susceptibilă, așadar, să fie justificată de obiectivul privind prevenirea, detectarea, investigarea și urmărirea penală a unor „infracțiuni” în general, la care face trimitere articolul 15 alineatul (1) prima teză din Directiva 2002/58, fără a fi necesar ca aceste infracțiuni să fie calificate drept „grave”.
63 Având în vedere considerațiile care precedă, trebuie să se răspundă la întrebările adresate că articolul 15 alineatul (1) din Directiva 2002/58, citit în lumina articolelor 7 și 8 din cartă, trebuie interpretat în sensul că accesul unor autorități publice la datele care vizează identificarea titularilor cartelelor SIM activate cu un telefon mobil furat, cum ar fi numele, prenumele și, dacă este cazul, adresa acestor titulari, implică o ingerință în drepturile fundamentale ale acestora din urmă, consacrate la articolele menționate din cartă, care nu prezintă o asemenea gravitate încât să fie necesar ca acest acces să fie limitat, în materie de prevenire, de investigare, de detectare și de urmărire penală a infracțiunilor, la combaterea infracționalității grave.
Cu privire la cheltuielile de judecată
64 Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.
Pentru aceste motive, Curtea (Marea Cameră) declară:
Articolul 15 alineatul (1) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009, citit în lumina articolelor 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene, trebuie interpretat în sensul că accesul unor autorități publice la datele care vizează identificarea titularilor cartelelor SIM activate cu un telefon mobil furat, cum ar fi numele, prenumele și, dacă este cazul, adresa acestor titulari, implică o ingerință în drepturile fundamentale ale acestora din urmă, consacrate la articolele menționate din Carta drepturilor fundamentale, care nu prezintă o asemenea gravitate încât să fie necesar ca acest acces să fie limitat, în materie de prevenire, de investigare, de detectare și de urmărire penală a infracțiunilor, la combaterea infracționalității grave.
Semnături