CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:258

HOTĂRÂREA CURȚII (Marea Cameră)

5 aprilie 2022(*)

„Trimitere preliminară – Prelucrarea datelor personale în sectorul comunicațiilor electronice – Confidențialitatea comunicațiilor – Furnizori de servicii de comunicații electronice – Păstrarea generalizată și nediferențiată a datelor de transfer și a datelor de localizare – Acces la datele păstrate – Control jurisdicțional a posteriori – Directiva 2002/58/CE – Articolul 15 alineatul (1) – Carta drepturilor fundamentale a Uniunii Europene – Articolele 7, 8 și 11, precum și articolul 52 alineatul (1) – Posibilitatea unei instanțe naționale de a limita efectele în timp ale unei declarații de nevaliditate privind o legislație națională incompatibilă cu dreptul Uniunii – Excludere”

În cauza C‑140/20,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Supreme Court (Curtea Supremă, Irlanda), prin decizia din 25 martie 2020, primită de Curte la aceeași dată, în procedura

G. D.

împotriva

Commissioner of An Garda Síochána,

Minister for Communications, Energy and Natural Resources,

Attorney General,

CURTEA (Marea Cameră),

compusă din domnul K. Lenaerts, președinte, domnul A. Arabadjiev, doamna A. Prechal, domnii S. Rodin, I. Jarukaitis și N. Jääskinen, președinți de cameră, domnii T. von Danwitz (raportor), M. Safjan, F. Biltgen, P. G. Xuereb și N. Piçarra, doamna L. S. Rossi și domnul A. Kumin, judecători,

avocat general: domnul M. Campos Sánchez‑Bordona,

grefier: domnul D. Dittert, șef de unitate,

având în vedere procedura scrisă și în urma ședinței din 13 septembrie 2021,

luând în considerare observațiile prezentate:

– pentru G. D., de J. Dunphy, solicitor, R. Kennedy și R. Farrell, SC, și K. McCormack, BL;

– pentru Commissioner of An Garda Síochána, Minister for Communications, Energy and Natural Resources și Attorney General, de M. Browne, S. Purcell, C. Stone, J. Quaney și A. Joyce, în calitate de agenți, asistați de S. Guerin și P. Gallagher, SC, și D. Fennelly și L. Dwyer, BL;

– pentru guvernul belgian, de P. Cottin și J.‑C. Halleux, în calitate de agenți, asistați de J. Vanpraet, advocaat;

– pentru guvernul ceh, de M. Smolek, O. Serdula și J. Vláčil, în calitate de agenți;

– pentru guvernul danez, inițial de J. Nymann‑Lindegren, M. Jespersen și M. Wolff, ulterior de M. Wolff și V. Jørgensen, în calitate de agenți;

– pentru guvernul estonian, de A. Kalbus și M. Kriisa, în calitate de agenți;

– pentru guvernul spaniol, de L. Aguilera Ruiz, în calitate de agent;

– pentru guvernul francez, de E. de Moustier, A. Daniel, D. Dubois, T. Stéhelin și J. Illouz, în calitate de agenți;

– pentru guvernul cipriot, de I. Neophytou, în calitate de agent;

– pentru guvernul neerlandez, de C. S. Schillemans, K. Bulterman și A. Hanje, în calitate de agenți;

– pentru guvernul polonez, de B. Majczyna și J. Sawicka, în calitate de agenți;

– pentru guvernul portughez, de L. Inez Fernandes, P. Barros da Costa și I. Oliveira, în calitate de agenți;

– pentru guvernul finlandez, de M. Pere și A. Laine, în calitate de agenți;

– pentru guvernul suedez, de O. Simonsson, J. Lundberg, H. Shev, C. Meyer‑Seitz, A. Runeskjöld, M. Salborn Hodgson, R. Shahsavan Eriksson și H. Eklinder, în calitate de agenți;

– pentru Comisia Europeană, de S. L. Kalėda, H. Kranenborg, M. Wasmeier și F. Wilman, în calitate de agenți;

– pentru Autoritatea Europeană pentru Protecția Datelor, de D. Nardi, N. Stolič, K. Ujazdowski și A. Buchta, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 18 noiembrie 2021,

pronunță prezenta

Hotărâre

1 Cererea de decizie preliminară privește interpretarea articolului 15 alineatul (1) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO 2002, L 201, p. 37, Ediție specială, 13/vol. 36, p. 63), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009 (JO 2009, L 337, p. 11) (denumită în continuare „Directiva 2002/58”), citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”).

2 Această cerere a fost formulată în cadrul unui litigiu între G. D., pe de o parte, și Commissioner of An Garda Síochána (șeful poliției naționale, Irlanda), Minister for Communications, Energy and Natural Resources (ministrul comunicațiilor, energiei și resurselor naturale, Irlanda) și Attorney General, pe de altă parte, în legătură cu validitatea Communications (Retention of Data) Act 2011 [Legea din 2011 privind comunicațiile (păstrarea datelor), denumită în continuare „Legea din 2011”].

Cadrul juridic

Dreptul Uniunii

3 Considerentele (2), (6), (7) și (11) ale Directivei 2002/58 enunță:

„(2) Prezenta directivă dorește respectarea drepturilor fundamentale și a principiilor recunoscute în special de [cartă]. Directiva caută să asigure în special respectarea deplină a drepturilor menționate la articolele 7 și 8 [din aceasta].

[…]

(6) Internetul a răsturnat structurile de piață tradiționale furnizând o infrastructură comună la nivel global pentru o gamă foarte largă de servicii de comunicare electronică. Serviciile de comunicare electronică publice prin internet deschid noi posibilități pentru utilizatori, dar reprezintă și noi riscuri pentru datele lor personale și pentru confidențialitatea comunicațiilor lor.

(7) În cazul rețelelor de comunicații publice, ar trebui adoptate acte cu putere de lege, norme administrative și norme tehnice pentru protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și a intereselor legitime ale persoanelor juridice, mai cu seamă în privința capacităților în creștere de stocare automată și de prelucrarea a datelor referitoare la abonați și utilizatori.

[…]

(11) La fel ca Directiva [95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10)], prezenta directivă nu se referă la chestiuni de protecție a drepturilor și libertăților fundamentale legate de activități care nu sunt reglementate de legile [Uniunii]. Prin urmare, aceasta nu aduce atingere echilibrului existent între dreptul indivizilor la confidențialitate și posibilitatea ca statele membre să ia măsurile stipulate la articolul 15 alineatul (1) al prezentei directive, posibilitate necesară în vederea protejării siguranței publice, apărării și siguranței statului (inclusiv bunăstării economice a acestuia, în cazul în care activitățile respective sunt legate de chestiuni de siguranța statului) și întăririi legii penale. În consecință, prezenta directivă nu interzice statelor membre să efectueze interceptări legale ale comunicațiilor electronice sau să ia alte măsuri pentru atingerea scopurilor menționate anterior, dacă acest lucru este necesar și în conformitate cu Convenția europeană pentru protecția drepturilor omului și a libertăților fundamentale, [semnată la Roma la 4 noiembrie 1950,] așa cum este aceasta interpretată de Curtea Europeană a Drepturilor Omului. Aceste măsuri trebuie să fie corespunzătoare, strict proporționale cu scopul urmărit și necesare în cadrul unei societăți democratice și trebuie însoțite de precauțiile corespunzătoare în conformitate cu Convenția europeană pentru protecția drepturilor omului și a libertăților fundamentale.”

4 Articolul 1 din Directiva 2002/58, intitulat „Sfera de aplicare și scopul”, prevede:

„(1) Prezenta directivă prevede armonizarea dispozițiilor naționale, lucru necesar în vederea asigurării unui nivel echivalent de protecție a drepturilor și a libertăților fundamentale, în special a dreptului la confidențialitate și la respectarea vieții private, în domeniul prelucrării de date cu caracter personal în sectorul comunicațiilor electronice și a asigurării liberei circulații a acestor date și a serviciilor și echipamentelor de comunicații electronice în interiorul [Uniunii Europene].

(2) Prevederile prezentei directive precizează și completează Directiva [95/46] în scopurile menționate la alineatul (1). Mai mult, acestea sunt menite a asigura protecția intereselor legitime ale abonaților persoane juridice.

(3) Prezenta directivă nu se aplică activităților care nu sunt cuprinse în domeniul de aplicare al [Tratatului FUE], cum sunt cele menționate la titlurile V și VI ale Tratatului privind Uniunea Europeană, și în orice caz activităților legate de siguranța publică, de apărare, de siguranța statului (inclusiv de bunăstarea economică a acestuia, dacă activitățile respective sunt legate de chestiuni de siguranța statului) și activităților statului în domeniul legii penale.”

5 Potrivit articolului 2 din Directiva 2002/58, intitulat „Definiții”:

„Cu excepția cazurilor în care se precizează altfel, se aplică definițiile din Directiva [95/46] și din Directiva 2002/21/CE a Parlamentului European și a Consiliului din 7 martie 2002 privind cadrul comun de reglementare a rețelelor și serviciilor de comunicații electronice (Directiva‑cadru) [(JO 2002, L 108, p. 33, Ediție specială, 13/vol. 35, p. 195)].

Se aplică de asemenea următoarele definiții:

(a) «utilizator» înseamnă orice persoană fizică ce folosește un serviciu public de comunicații electronice, în scopuri profesionale sau personale, fără a fi în mod necesar abonat la serviciul respectiv;

(b) «date de transfer» înseamnă orice date prelucrate în scopul transmiterii comunicației printr‑o rețea de comunicații electronice sau în vederea facturării;

(c) «date de localizare» înseamnă orice date prelucrate într‑o rețea de comunicații electronice sau prin intermediul unui serviciu de comunicații electronice, care indică poziția geografică a echipamentului terminal al unui utilizator al unui serviciu de comunicații electronice destinat publicului;

(d) «comunicație» înseamnă orice informație trimisă sau transmisă între un număr finit de părți prin intermediul unui serviciu public de comunicații electronice. Această categorie nu include informațiile transmise în cadrul unui serviciu de radiodifuziune pentru public prin intermediul unei rețele de comunicații electronice, în măsura în care aceste informații nu pot fi relaționate cu un abonat sau cu un utilizator identificabil care primește informația;

[…]”

6 Articolul 3 din Directiva 2002/58, intitulat „Serviciile vizate”, prevede:

„Prezenta directivă se aplică prelucrării de date cu caracter personal legate de furnizarea de servicii de comunicații electronice destinate publicului prin intermediul rețelelor publice de comunicații din cadrul [Uniunii], inclusiv al rețelelor publice de comunicații care presupun colectarea de date și dispozitive de identificare.”

7 Potrivit articolului 5 din această directivă, intitulat „Confidențialitatea comunicațiilor”:

„(1) Statele membre trebuie să asigure confidențialitatea comunicațiilor și a datelor de transfer aferente transmise prin intermediul unei rețele de comunicații publice sau al unor servicii publice de comunicații electronice, prin legislația internă. Acestea interzic astfel în special ascultarea, înregistrarea, stocarea sau alte tipuri de interceptare sau supraveghere a comunicațiilor și a datelor de transfer aferente de către persoane altele decât utilizatorul, fără acordul utilizatorului în cauză, cu excepția cazurilor în care acest lucru este permis în temeiul articolului 15 alineatul (1). Prezentul alineat nu interzice stocarea tehnică necesară pentru transmisia comunicației care nu aduce atingere principiului confidențialității.

[…]

(3) Statele membre se asigură că stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informații clare și complete, în conformitate cu Directiva [95/46], inter alia, cu privire la scopurile prelucrării. Aceasta nu împiedică stocarea sau accesul tehnic cu unicul scop de a efectua transmisia comunicării printr‑o rețea de comunicații electronice sau în cazul în care acest lucru este strict necesar în vederea furnizării de către furnizor a unui serviciu al societății informaționale cerut în mod expres de către abonat sau utilizator.”

8 Articolul 6 din Directiva 2002/58, intitulat „Datele de transfer”, prevede:

„(1) Datele de transfer referitoare la abonați și utilizatori prelucrate și stocate de către furnizorul rețelei de comunicații publice sau al serviciilor publice de comunicații electronice trebuie șterse sau trecute în anonimat de îndată ce nu mai sunt necesare în scopul transmiterii comunicației, fără a aduce atingere alineatelor (2), (3) și (5) din prezentul articol sau articolului 15 alineatul (1).

(2) Datele de transfer necesare în vederea facturării serviciilor oferite abonatului sau plății conexiunii pot să fie prelucrate. Prelucrarea lor este permisă doar până la sfârșitul perioadei în care factura poate fi contestată prin lege sau plata poate fi urmărită.

(3) În scopul comercializării de servicii de comunicații electronice sau al furnizării de servicii cu valoare adăugată, furnizorul de servicii de comunicații electronice destinate publicului poate prelucra datele menționate la alineatul (1) în măsura și pe durata de timp necesare comercializării sau furnizării acestor servicii, dacă abonatul sau utilizatorul vizat de datele respective și‑a dat, în prealabil, consimțământul în acest sens. Utilizatorii și abonații au posibilitatea de a‑și retrage consimțământul pentru prelucrarea datelor de trafic în orice moment.

[…]

(5) Prelucrarea de date de transfer în conformitate cu alineatele (1), (2), (3) și (4) trebuie limitată la persoanele care acționează sub autoritatea furnizorilor de rețele de comunicații publice sau de servicii publice de comunicații electronice în vederea facturării sau pentru gestionarea traficului, serviciul clientelă, detectarea fraudelor, promovarea serviciilor de comunicații electronice sau furnizarea de servicii suplimentare și trebuie să se limiteze la prelucrarea strict necesară scopului respectivei activități.

[…]”

9 Articolul 9 din această directivă, intitulat „Datele de localizare altele decât datele de transfer”, prevede la alineatul (1):

„În cazul în care datele de localizare altele decât datele de transfer referitoare la abonați sau utilizatori ai rețelelor de comunicații publice sau ai serviciilor publice de comunicații electronice pot fi prelucrate, aceste date pot fi prelucrate doar dacă sunt anonime sau cu acordul utilizatorilor sau abonaților respectivi, în măsura și pe perioada cât sunt necesare în vederea furnizării unui serviciu suplimentar. Prestatorul de servicii trebuie să informeze utilizatorii și abonații, înainte de obținerea acordului lor, despre tipul de date de localizare altele decât datele de transfer care vor fi prelucrate, despre scopul și durata prelucrării și dacă datele respective vor fi transmise unor terțe părți în scopul furnizării de servicii suplimentare. […]”

10 Articolul 15 din Directiva 2002/58, intitulat „Aplicarea anumitor dispoziții ale Directivei [95/46]”, prevede la alineatul (1):

„Statele membre pot adopta măsuri legislative pentru a restrânge sfera de aplicare a drepturilor și obligațiilor prevăzute la articolul 5, articolul 6, articolul 8 alineatele (1), (2), (3) și (4) și articolul 9 ale prezentei directive, în cazul în care restrângerea lor constituie o măsură necesară, corespunzătoare și proporțională în cadrul unei societăți democratice pentru a proteja securitatea națională (de exemplu siguranța statului), apărarea, siguranța publică sau pentru prevenirea, investigarea, detectarea și urmărirea penală a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicații electronice, în conformitate cu articolul 13 alineatul (1) al Directivei [95/46]. În acest scop, statele membre pot adopta, inter alia, măsuri legislative care să permită reținerea de date, pe perioadă limitată, pentru motivele arătate anterior în acest alineat. Toate măsurile menționate în acest alineat trebuie să fie conforme cu principiile generale ale legislației [Uniunii], inclusiv cu cele menționate la articolul 6 alineatele (1) și (2) al Tratatului privind Uniunea Europeană.”

Dreptul irlandez

11 Astfel cum reiese din cererea de decizie preliminară, Legea din 2011 a fost adoptată pentru a transpune în ordinea juridică irlandeză Directiva 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE (JO 2006, L 105, p. 54, Ediție specială, 13/vol. 53, p. 51).

12 Articolul 1 din Legea din 2011 definește termenul „date” ca vizând „datele de transfer sau datele de localizare, precum și datele necesare pentru identificarea abonatului sau a utilizatorului”, iar termenul „infracțiune gravă” ca vizând o infracțiune care se pedepsește cu închisoarea de cel puțin cinci ani sau una dintre celelalte infracțiuni enumerate în anexa 1 la această lege.

13 Articolul 3 alineatul (1) din legea menționată impune tuturor furnizorilor de servicii de comunicații electronice să păstreze datele vizate în partea 1 din anexa 2 la aceasta pentru o perioadă de doi ani, precum și datele menționate în partea 2 din anexa 2 la aceasta pentru o perioadă de un an.

14 Partea 1 din anexa 2 la aceeași lege vizează, printre altele, datele referitoare la telefonia fixă și la telefonia mobilă care permit identificarea sursei și a destinației unei comunicații, stabilirea datei și a orei de început și de sfârșit a unei comunicații, stabilirea tipului de comunicare în cauză, precum și identificarea tipului și a localizării geografice a materialului de comunicații utilizat. În special, punctul 6 din partea 1 din respectiva anexă 2 prevede păstrarea datelor necesare pentru identificarea locației unui mijloc de comunicație electronică mobilă, aceste date fiind, pe de o parte, identificatorul celular și, pe de altă parte, datele de identificare a locației geografice a celulelor prin trimitere la identitatea locației (identificator celular), în perioada pentru care sunt păstrate datele de comunicații.

15 Partea 2 din anexa 2 la Legea din 2011 vizează datele referitoare la accesul la internet, poșta electronică și telefonia prin internet și acoperă printre altele numerele de identificare și de telefon, adresele IP, precum și data și ora de început și de sfârșit a unei comunicații. Conținutul comunicațiilor nu se încadrează în acest tip de date.

16 În temeiul articolelor 4 și 5 din Legea din 2011, furnizorii de servicii de comunicații electronice trebuie să ia anumite măsuri pentru a se asigura că datele sunt protejate împotriva accesului neautorizat.

17 Articolul 6 din această lege, care prevede condițiile în care poate fi introdusă o cerere de acces, dispune la alineatul (1):

„Un funcționar al poliției naționale al cărui rang nu este inferior celui de comisar divizionar poate solicita unui furnizor de servicii să îi comunice datele păstrate de acest furnizor de servicii în conformitate cu articolul 3, dacă acest funcționar consideră că datele în discuție sunt necesare în scopuri:

(a) de prevenire, detectare, investigare sau urmărire penală a unei infracțiuni grave;

(b) de protecție a securității statului;

18 Articolul 7 din legea menționată impune furnizorilor de servicii de comunicații electronice să admită cererile vizate la articolul 6 din aceasta.

19 Printre mecanismele de control al deciziei funcționarului poliției naționale menționat la articolul 6 din Legea din 2011 figurează procedura de reclamație prevăzută la articolul 10 din această lege, precum și procedura în fața designated judge (judecătorul desemnat), în sensul articolului 12 din aceasta, care are sarcina de a examina aplicarea dispozițiilor legii menționate.

Litigiul principal și întrebările preliminare

20 În luna martie a anului 2015, G. D. a fost condamnat la pedeapsa închisorii pe viață pentru uciderea unei persoane care dispăruse în luna august a anului 2012 și ale cărei rămășițe fuseseră descoperite abia în luna septembrie a anului 2013. În apelul declarat împotriva condamnării sale, persoana interesată a reproșat în special instanței de prim grad de jurisdicție că, în mod eronat, a admis ca elemente de probă date de transfer și date de localizare aferente unor apeluri telefonice, pentru motivul că Legea din 2011, care reglementează păstrarea acestor date și pe baza căreia investigatorii poliției naționale au avut acces la respectivele date, încalcă drepturile pe care i le conferă dreptul Uniunii. Acest apel se află în prezent pe rol.

21 Pentru a putea contesta, în cadrul procedurii penale, admisibilitatea probelor menționate, G. D. a inițiat la High Court (Înalta Curte, Irlanda) o procedură civilă având ca obiect constatarea nevalidității anumitor dispoziții ale Legii din 2011. Prin decizia din 6 decembrie 2018, instanța respectivă a admis argumentația formulată de G. D. și a considerat că articolul 6 alineatul (1) litera (a) din această lege era incompatibil cu articolul 15 alineatul (1) din Directiva 2002/58 coroborat cu articolele 7 și 8, precum și cu articolul 52 alineatul (1) din cartă. Irlanda a declarat apel împotriva acestei hotărâri la Supreme Court (Curtea Supremă, Irlanda), instanța de trimitere.

22 Procedura penală pendinte la Court of Appeal (Curtea de Apel, Irlanda) a fost suspendată până la pronunțarea deciziei instanței de trimitere în cadrul procedurii civile din litigiul principal.

23 În fața instanței de trimitere, Irlanda a susținut că, pentru a stabili dacă ingerința în dreptul la respectarea vieții private consacrat la articolul 7 din cartă care rezultă din păstrarea datelor de transfer și a datelor de localizare în temeiul Legii din 2011 este proporțională, trebuie să se examineze obiectivele regimului instituit prin această lege în ansamblul său. În plus, potrivit acestui stat membru, legea menționată a stabilit un cadru detaliat ce reglementează accesul la datele păstrate, în temeiul căruia unitatea însărcinată, în cadrul poliției naționale, cu examinarea prealabilă a cererilor de acces beneficiază de o independență funcțională în raport cu poliția națională în exercitarea atribuțiilor sale și, prin urmare, îndeplinește cerința unui control prealabil efectuat de o entitate administrativă independentă. Acest sistem de control ar fi completat de o procedură de reclamație și de un control jurisdicțional. În sfârșit, statul membru menționat arată că, dacă se consideră, în definitiv, că Legea din 2011 este contrară dreptului Uniunii, orice constatare ce va fi dedusă de aici de instanța de trimitere ar trebui să fie valabilă, din punctul de vedere al efectelor sale în timp, doar pentru viitor.

24 La rândul său, G. D. a arătat că regimul de păstrare generalizată și nediferențiată a datelor instituit prin Legea din 2011, precum și regimul de acces la datele respective prevăzut de această lege sunt incompatibile cu dreptul Uniunii, astfel cum a fost interpretat de Curte în special la punctul 120 din Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții (C‑203/15 și C‑698/15, EU:C:2016:970).

25 Instanța de trimitere precizează, cu titlu introductiv, că îi revine numai sarcina de a aprecia dacă High Court (Înalta Curte) a statuat în mod întemeiat că articolul 6 alineatul (1) litera (a) din Legea din 2011 este incompatibil cu dreptul Uniunii și că, în schimb, problema admisibilității probelor invocate în cadrul procesului penal este de competența exclusivă a Court of Appeal (Curtea de Apel), sesizată cu apelul declarat împotriva deciziei de condamnare.

26 În acest context, instanța de trimitere ridică mai întâi problema cerințelor dreptului Uniunii în ceea ce privește păstrarea datelor în scopul combaterii criminalității grave. În această privință, ea apreciază în esență că numai o păstrare generalizată și nediferențiată a datelor de transfer și a datelor de localizare permite combaterea, în mod efectiv, a criminalității grave, ceea ce o păstrare direcționată și o păstrare rapidă (quick freeze) nu ar permite să se facă. În ceea ce privește păstrarea direcționată, instanța de trimitere ridică problema posibilității de a viza grupuri sau zone geografice determinate în scopul combaterii criminalității grave, în măsura în care anumite infracțiuni grave ar implica rareori circumstanțe cunoscute de autoritățile naționale competente și care le permit să suspecteze săvârșirea unei infracțiuni anterior comiterii acesteia. În plus, o păstrare direcționată ar putea da naștere unor discriminări. În ceea ce privește păstrarea rapidă, instanța de trimitere consideră că aceasta este utilă numai în situațiile în care există un suspect identificabil într‑un stadiu incipient al investigației.

27 În ceea ce privește, în continuare, accesul la datele păstrate de furnizorii de servicii de comunicații electronice, instanța de trimitere subliniază că poliția națională a instituit, în cadrul său, un mecanism de autocertificare a cererilor de acces adresate acestor furnizori. Astfel, din elementele prezentate în fața High Court (Înalta Curte) ar reieși că șeful poliției naționale a decis, cu titlu de măsură internă, că cererile de acces introduse în temeiul Legii din 2011 trebuie să facă obiectul unei prelucrări centralizate de către un singur agent al poliției naționale, care are calitatea de comisar divizionar, respectiv șeful secției de securitate și de informații. În cazul în care acesta din urmă consideră că datele vizate sunt necesare, printre altele, în scopul prevenirii, al detectării, al investigării sau al urmăririi penale a unei infracțiuni grave, el poate adresa o cerere de acces furnizorilor de servicii de comunicații electronice. Pe de altă parte, șeful poliției naționale ar fi instituit, în cadrul acesteia, o unitate autonomă denumită Telecommunications Liaison Unit (Unitate de legătură în materie de telecomunicații, denumită în continuare „TLU”), pentru a‑l sprijini pe șeful secției de securitate și de informații în exercitarea funcțiilor sale și pentru a servi drept punct de contact unic cu aceiași furnizori de servicii.

28 Instanța de trimitere adaugă că, în perioada vizată de investigația penală inițiată împotriva lui G. D., toate cererile de acces trebuiau să fie aprobate în primul rând de un comisar sau de un inspector care îndeplinea funcția de comisar înainte de a fi trimise TLU în vederea procesării acestora, iar investigatorii erau invitați să includă suficiente detalii în cererile lor de acces pentru a se putea lua o decizie în cunoștință de cauză. În plus, TLU și șeful secției de securitate și de informații erau obligați să examineze legalitatea, necesitatea și proporționalitatea cererilor de acces, ținând seama de faptul că acest șef putea fi chemat să răspundă pentru decizia sa în fața unei instanțe desemnate de High Court (Înalta Curte). Pe de altă parte, TLU este supusă controlului Data Protection Commissioner (comisarul pentru protecția datelor, Irlanda).

29 În sfârșit, instanța de trimitere ridică problema întinderii și a efectelor în timp ale unei eventuale constatări a neconformității Legii din 2011 cu dreptul Uniunii. În acest sens, ea precizează că o asemenea constatare ar putea fi valabilă doar pentru viitor, pentru motivul că datele folosite ca probe în procesul penal împotriva lui G. D. au făcut obiectul păstrării și al accesului până la sfârșitul anului 2013, și anume într‑o perioadă în care Irlanda era obligată să aplice dispozițiile Legii din 2011 de transpunere a Directivei 2006/24. Potrivit Irlandei, o asemenea soluție ar fi adecvată și întrucât, în caz contrar, investigarea și urmărirea penală a infracțiunilor grave în Irlanda, precum și situația persoanelor deja judecate și condamnate ar putea fi serios afectate.

30 În aceste condiții, Supreme Court (Curtea Supremă) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1) Un regim general/universal de păstrare a datelor – inclusiv supus unor restricții stricte în materie de păstrare și de acces – este per se contrar dispozițiilor articolului 15 din Directiva [2002/58], astfel cum sunt interpretate în lumina cartei?

2) În aprecierea aspectului dacă trebuie constatată incompatibilitatea unei măsuri naționale instituite în temeiul Directivei [2006/24] și care prevede un regim general de păstrare a datelor (supus controalelor stricte necesare în materie de păstrare și/sau de acces) și, în special, în evaluarea proporționalității unui astfel de regim, o instanță națională este îndreptățită să țină cont de faptul că datele pot fi păstrate în mod legal de prestatori de servicii în scopuri comerciale proprii și că păstrarea poate fi necesară din motive de securitate națională, excluse din sfera dispozițiilor Directivei [2002/58]?

3) La evaluarea compatibilității unei măsuri naționale de acces la datele păstrate cu dreptul Uniunii Europene și în special cu carta, care sunt criteriile pe care instanța națională trebuie să le aplice atunci când examinează dacă un astfel de regim de acces asigură controlul prealabil și independent stabilit de Curtea de Justiție în jurisprudența sa? În acest context, o instanță națională poate, în cadrul unei astfel de evaluări, să țină cont de existența unui control jurisdicțional sau independent ex post?

4) În orice caz, o instanță națională este obligată să constate incompatibilitatea unei măsuri naționale cu dispozițiile articolului 15 din Directiva [2002/58] în cazul în care măsura națională prevede un regim general de păstrare a datelor în scopul combaterii infracțiunilor grave și în cazul în care instanța națională a concluzionat, pe baza tuturor probelor disponibile, că o astfel de păstrare este în același timp esențială și strict necesară pentru realizarea obiectivului de combatere a infracțiunilor grave?

5) Dacă o instanță națională este obligată să concluzioneze că o măsură națională este incompatibilă cu dispozițiile articolului 15 din Directiva [2002/58], astfel cum sunt interpretate în lumina cartei, ea este îndreptățită să limiteze efectele în timp ale unei asemenea declarații, dacă apreciază că a nu proceda astfel ar determina «haos și un prejudiciu grav adus interesului general» [potrivit abordării urmate, de exemplu, în hotărârea R (National Council for Civil Liberties)/Secretary of State for Home Department and Secretary for Foreign Affairs [2018] EWHC 975, punctul 46]?

6) Unei instanțe naționale căreia i se solicită să constate incompatibilitatea legislației naționale cu articolul 15 din Directiva [2002/58] și/sau să nu aplice această legislație și/sau să constate că aplicarea unei astfel de reglementări a încălcat drepturile unui particular, în contextul unei proceduri inițiate pentru a permite o dezbatere cu privire la admisibilitatea probelor în cadrul unei proceduri penale sau de altă natură, i se poate permite să refuze această cerere în ceea ce privește datele păstrate potrivit dispoziției naționale adoptate în temeiul obligației prevăzute la articolul 288 TFUE de a transpune în mod fidel în dreptul național prevederile unei directive ori de a limita orice astfel de declarații la perioada ulterioară declarării nevalidității Directivei [2006/24] prin [Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238)]?”

Cu privire la întrebările preliminare

Cu privire la prima, la a doua și la a patra întrebare

31 Prin intermediul primei, al celei de a doua și al celei de a patra întrebări, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă articolul 15 alineatul (1) din Directiva 2002/58, citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din cartă, trebuie interpretat în sensul că se opune unei legislații naționale care prevede o păstrare generalizată și nediferențiată a datelor de transfer și a datelor de localizare în scopul combaterii criminalității grave.

32 Trebuie amintit, cu titlu introductiv, că rezultă dintr‑o jurisprudență constantă că, pentru a interpreta o dispoziție a dreptului Uniunii, trebuie să se țină seama nu numai de formularea acesteia, ci și de contextul său și de obiectivele urmărite de reglementarea din care face parte, precum și să se ia în considerare în special geneza acestei reglementări (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 105, precum și jurisprudența citată).

33 Din însăși formularea articolului 15 alineatul (1) din Directiva 2002/58 reiese că măsurile legislative a căror adoptare de către statele membre este autorizată de aceasta, în condițiile pe care le stabilește, pot viza numai să „restrâng[ă] sfera de aplicare” a drepturilor și a obligațiilor prevăzute printre altele la articolele 5, 6 și 9 din Directiva 2002/58.

34 În ceea ce privește sistemul instituit de directiva respectivă și în care se înscrie articolul 15 alineatul (1) din aceasta, trebuie amintit că, în temeiul articolului 5 alineatul (1) prima și a doua teză din directiva menționată, statele membre sunt obligate să asigure confidențialitatea comunicațiilor și a datelor de transfer aferente transmise prin intermediul unei rețele de comunicații publice sau al unor servicii publice de comunicații electronice, prin legislația internă. Ele au obligația de a interzice în special ascultarea, înregistrarea, stocarea sau alte tipuri de interceptare sau supraveghere a comunicațiilor și a datelor de transfer aferente de către persoane altele decât utilizatorul, fără acordul utilizatorului în cauză, cu excepția cazurilor în care acest lucru este permis în temeiul articolului 15 alineatul (1) din aceeași directivă.

35 În această privință, Curtea a statuat deja că articolul 5 alineatul (1) din Directiva 2002/58 consacră principiul confidențialității atât a comunicațiilor electronice, cât și a datelor de transfer aferente și instituie, printre altele, interdicția adresată, în principiu, oricăror alte persoane decât utilizatorii de a stoca, fără consimțământul acestora, comunicațiile și datele menționate (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 107).

36 Această dispoziție reflectă obiectivul urmărit de legiuitorul Uniunii la adoptarea Directivei 2002/58. Astfel, din expunerea de motive a Propunerii de directivă a Parlamentului European și a Consiliului privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice [COM(2000) 385 final], care stă la baza Directivei 2002/58, reiese că legiuitorul Uniunii a intenționat „să facă în așa fel încât un nivel ridicat de protecție a datelor cu caracter personal și a vieții private să continue să fie garantat pentru toate serviciile de comunicații electronice, indiferent de tehnologia folosită”. Așadar, directiva menționată are ca finalitate, după cum reiese printre altele din considerentele (6) și (7) ale acesteia, să protejeze utilizatorii serviciilor de comunicații electronice împotriva riscurilor privind datele lor personale și viața lor privată care rezultă din noile tehnologii și în special din capacitățile în creștere de stocare automată și de prelucrare a datelor. Astfel cum enunță considerentul (2) al aceleiași directive, voința legiuitorului Uniunii este de a asigura în special respectarea deplină a drepturilor enunțate la articolele 7 și 8 din cartă (a se vedea în acest sens Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15, EU:C:2016:970, punctul 83, precum și Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 106).

37 Prin adoptarea Directivei 2002/58, legiuitorul Uniunii a concretizat astfel aceste drepturi, așa încât utilizatorii mijloacelor de comunicații electronice sunt îndreptățiți să se aștepte ca, în principiu, comunicațiile și datele aferente să rămână, în lipsa consimțământului lor, anonime și să nu poată face obiectul unei înregistrări (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 109).

38 În ceea ce privește prelucrarea și stocarea de către furnizorii de servicii de comunicații electronice a datelor de transfer referitoare la abonați și utilizatori, articolul 6 din Directiva 2002/58 prevede, la alineatul (1), că aceste date trebuie șterse sau trecute în anonimat de îndată ce nu mai sunt necesare în scopul transmiterii comunicației și precizează, la alineatul (2), că datele de transfer necesare în vederea facturării serviciilor oferite abonatului sau plății conexiunii nu pot să fie prelucrate decât până la sfârșitul perioadei în care factura poate fi contestată prin lege sau plata poate fi urmărită. În ceea ce privește datele de localizare altele decât datele de transfer, articolul 9 alineatul (1) din directiva menționată prevede că aceste date pot fi prelucrate numai în anumite condiții și doar dacă sunt anonime sau cu acordul utilizatorilor sau al abonaților respectivi.

39 Prin urmare, Directiva 2002/58 nu se limitează să încadreze accesul la asemenea date prin garanții care urmăresc prevenirea abuzurilor, ci consacră de asemenea, în special, principiul interzicerii stocării lor de către terți.

40 În măsura în care articolul 15 alineatul (1) din Directiva 2002/58 permite statelor membre să adopte măsuri legislative pentru a „restrânge sfera de aplicare” a drepturilor și obligațiilor prevăzute printre altele la articolele 5, 6 și 9 din această directivă, precum cele care decurg din principiile confidențialității comunicațiilor și interzicerii stocării datelor aferente, amintite la punctul 35 din prezenta hotărâre, dispoziția respectivă enunță o excepție de la regula generală prevăzută printre altele la articolele 5, 6 și 9 și trebuie astfel, conform unei jurisprudențe constante, să facă obiectul unei interpretări stricte. Așadar, o asemenea dispoziție nu poate să justifice ca derogarea de la obligația de principiu de a garanta confidențialitatea comunicațiilor electronice și a datelor aferente și în special de la interdicția de a stoca datele respective, prevăzută la articolul 5 din directiva menționată, să devină regula, fără a goli în mare măsură această din urmă dispoziție de conținutul său (a se vedea în acest sens Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15, EU:C:2016:970, punctul 89, precum și Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 111).

41 În ceea ce privește obiectivele susceptibile să justifice o restrângere a drepturilor și a obligațiilor prevăzute, printre altele, la articolele 5, 6 și 9 din Directiva 2002/58, Curtea a statuat deja că enumerarea obiectivelor care figurează la articolul 15 alineatul (1) prima teză din această directivă prezintă un caracter exhaustiv, așa încât o măsură legislativă adoptată în temeiul acestei dispoziții trebuie să urmărească în mod efectiv și strict unul dintre aceste obiective (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 112, precum și jurisprudența citată).

42 În plus, din articolul 15 alineatul (1) a treia teză din Directiva 2002/58 reiese că măsurile adoptate de statele membre în temeiul acestei dispoziții trebuie să respecte principiile generale ale dreptului Uniunii, printre care figurează principiul proporționalității, și să asigure respectarea drepturilor fundamentale garantate de cartă. În această privință, Curtea a statuat deja că obligația impusă de un stat membru furnizorilor de servicii de comunicații electronice, printr‑o legislație națională, de a păstra datele de transfer în scopul de a le pune, dacă este cazul, la dispoziția autorităților naționale competente ridică probleme cu privire la respectarea nu numai a articolelor 7 și 8 din cartă, referitoare la protecția vieții private și, respectiv, la protecția datelor cu caracter personal, ci și a articolului 11 din cartă, referitor la libertatea de exprimare (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 113, precum și jurisprudența citată).

43 Astfel, interpretarea articolului 15 alineatul (1) din Directiva 2002/58 trebuie să țină seama de importanța atât a dreptului la respectarea vieții private, garantat la articolul 7 din cartă, cât și a dreptului la protecția datelor cu caracter personal, garantat la articolul 8 din aceasta, așa cum reiese din jurisprudența Curții, precum și a dreptului la libertatea de exprimare, acest drept fundamental, garantat la articolul 11 din cartă, constituind unul dintre fundamentele esențiale al unei societăți democratice și pluraliste și făcând parte din valorile pe care, conform articolului 2 TUE, se întemeiază Uniunea (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 114, precum și jurisprudența citată).

44 Este necesar să se precizeze, în această privință, că păstrarea datelor de transfer și a datelor de localizare constituie, în sine, pe de o parte, o derogare de la interdicția prevăzută la articolul 5 alineatul (1) din Directiva 2002/58, impusă oricărei alte persoane decât utilizatorii, de a stoca aceste date și, pe de altă parte, o ingerință în drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal, consacrate la articolele 7 și 8 din cartă, fiind irelevant dacă informațiile vizate referitoare la viața privată prezintă sau nu un caracter sensibil, dacă persoanele interesate au suferit sau nu eventuale inconveniente ca urmare a acestei ingerințe sunt dacă datele păstrate vor fi sau nu utilizate ulterior (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 115 și 116, precum și jurisprudența citată).

45 Această concluzie este cu atât mai justificată cu cât datele de transfer și datele de localizare pot revela informații cu privire la un număr important de aspecte ale vieții private a persoanelor vizate, inclusiv informații sensibile precum orientarea sexuală, opiniile politice, convingerile religioase, filozofice, societale sau de altă natură, precum și starea de sănătate, în condițiile în care asemenea date beneficiază, pe de altă parte, de o protecție specială în dreptul Uniunii. Considerate în ansamblu, datele menționate pot permite deducerea unor concluzii foarte precise privind viața privată a persoanelor ale căror date au fost păstrate, precum obiceiurile din viața cotidiană, locurile de reședință permanentă sau temporară, deplasările zilnice sau alte deplasări, activitățile desfășurate, relațiile sociale ale acestor persoane și mediile sociale frecventate de ele. În special, aceste date furnizează mijloacele de a stabili profilul persoanelor vizate, informație la fel de sensibilă, din perspectiva dreptului la respectarea vieții private, ca și conținutul însuși al comunicațiilor (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 117, precum și jurisprudența citată).

46 Prin urmare, pe de o parte, păstrarea datelor de transfer și a datelor de localizare în scopuri polițienești poate aduce atingere dreptului la respectarea comunicațiilor, consacrat la articolul 7 din cartă, și poate avea efecte disuasive asupra exercitării de către utilizatorii mijloacelor de comunicații electronice a libertății lor de exprimare, garantată la articolul 11 din aceasta, efecte care sunt cu atât mai grave cu cât numărul și varietatea datelor păstrate sunt ridicate. Pe de altă parte, ținând seama de cantitatea importantă de date de transfer și de date de localizare care pot fi păstrate în mod continuu printr‑o măsură de păstrare generalizată și nediferențiată, precum și de caracterul sensibil al informațiilor pe care le pot furniza aceste date, simpla păstrare a datelor menționate de către furnizorii de servicii de comunicații electronice presupune riscuri de abuz și de acces ilicit (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 118 și 119, precum și jurisprudența citată).

47 În această privință, trebuie subliniat că păstrarea datelor respective și accesul la ele constituie, astfel cum reiese din jurisprudența amintită la punctul 44 din prezenta hotărâre, ingerințe distincte în drepturile fundamentale garantate la articolele 7 și 11 din cartă, care necesită o justificare distinctă, în temeiul articolului 52 alineatul (1) din aceasta. Reiese că legislația națională care asigură respectarea deplină a condițiilor rezultate din jurisprudența care a interpretat Directiva 2002/58 în materie de acces la datele păstrate nu poate fi susceptibilă, prin natura sa, nici să limiteze și nici măcar să remedieze ingerința gravă care ar rezulta din păstrarea generalizată a datelor respective prevăzută de această legislație națională, în drepturile garantate la articolele 5 și 6 din directiva menționată și în drepturile fundamentale a căror concretizare o constituie articolele respective.

48 În aceste condiții, în măsura în care permite statelor membre să restrângă drepturile și obligațiile menționate la punctele 34-37 din prezenta hotărâre, articolul 15 alineatul (1) din Directiva 2002/58 reflectă împrejurarea că drepturile consacrate la articolele 7, 8 și 11 din cartă nu sunt prerogative absolute, ci trebuie luate în considerare în raport cu funcția lor în societate. Astfel, după cum reiese din articolul 52 alineatul (1) din cartă, ea admite restrângeri ale exercițiului acestor drepturi, cu condiția ca respectivele restrângeri să fie prevăzute de lege, să respecte substanța drepturilor respective și, prin respectarea principiului proporționalității, să fie necesare și să răspundă efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți. Așadar, interpretarea articolului 15 alineatul (1) din Directiva 2002/58 în lumina cartei impune să se țină cont de asemenea de importanța drepturilor consacrate la articolele 3, 4, 6 și 7 din cartă și de cea a obiectivelor de apărare a securității naționale și de combatere a criminalității grave, contribuind la protecția drepturilor și libertăților celorlalți (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 120-122, precum și jurisprudența citată).

49 Astfel, în ceea ce privește în special combaterea efectivă a infracțiunilor ale căror victime sunt, printre alții, minorii și celelalte persoane vulnerabile, trebuie să se țină seama de faptul că obligațiile pozitive în sarcina autorităților publice pot rezulta din articolul 7 din cartă, în vederea adoptării unor măsuri juridice care vizează protejarea vieții private și de familie. Asemenea obligații pot decurge de asemenea din articolul 7 menționat în ceea ce privește protecția domiciliului și a comunicațiilor, precum și din articolele 3 și 4 în ceea ce privește protecția integrității fizice și psihice a persoanelor, precum și interzicerea torturii și a tratamentelor inumane și degradante (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 126, precum și jurisprudența citată).

50 În raport cu aceste diferite obligații pozitive, este necesar, așadar, să se realizeze o conciliere a diverselor interese legitime și drepturi în cauză. Astfel, Curtea Europeană a Drepturilor Omului a statuat că obligațiile pozitive care decurg din articolele 3 și 8 din Convenția europeană pentru protecția drepturilor omului și a libertăților fundamentale, ale căror garanții corespunzătoare figurează la articolele 4 și 7 din cartă, implică printre altele adoptarea unor dispoziții materiale și procedurale, precum și a unor măsuri de ordin practic care permit combaterea eficientă a infracțiunilor contra persoanei prin cercetări și urmăriri penale efective, această obligație fiind cu atât mai importantă atunci când este amenințată bunăstarea fizică și morală a unui copil. Măsurile pe care trebuie să le adopte autoritățile competente trebuie însă să respecte pe deplin căile legale și celelalte garanții care sunt de natură să limiteze întinderea competențelor de cercetare penală, precum și celelalte libertăți și drepturi. În special, potrivit acestei instanțe, trebuie să se instituie un cadru legal care să permită concilierea diferitor interese legitime și drepturi care trebuie protejate (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 127 și 128, precum și jurisprudența citată).

51 În acest cadru, din însuși modul de redactare a articolului 15 alineatul (1) prima teză din Directiva 2002/58 rezultă că statele membre pot adopta o măsură care să deroge de la principiul confidențialității evocat la punctul 35 din prezenta hotărâre în cazul în care o asemenea măsură este „necesară, corespunzătoare și proporțională în cadrul unei societăți democratice”, considerentul (11) al directivei menționate indicând în acest sens că o măsură de această natură trebuie să fie „strict” proporțională cu scopul urmărit (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 129).

52 În această privință, trebuie amintit că protecția dreptului fundamental la respectarea vieții private impune, potrivit jurisprudenței constante a Curții, ca derogările de la protecția datelor cu caracter personal și limitările acesteia să fie efectuate în limitele strictului necesar. În plus, un obiectiv de interes general nu poate fi urmărit fără a ține seama de faptul că trebuie conciliat cu drepturile fundamentale avute în vedere de măsura respectivă, prin realizarea unei ponderări echilibrate între, pe de o parte, obiectivul de interes general și, pe de altă parte, drepturile în cauză (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 130, precum și jurisprudența citată).

53 Mai precis, din jurisprudența Curții rezultă că posibilitatea statelor membre de a justifica o restrângere a drepturilor și a obligațiilor prevăzute printre altele la articolele 5, 6 și 9 din Directiva 2002/58 trebuie să fie apreciată măsurând gravitatea ingerinței pe care o implică o asemenea restrângere și verificând dacă importanța obiectivului de interes general urmărit prin restrângerea respectivă se raportează la această gravitate (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 131, precum și jurisprudența citată).

54 Pentru a îndeplini cerința proporționalității, o legislație națională trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurii respective și să impună o serie de cerințe minime astfel încât persoanele ale căror date cu caracter personal sunt vizate să dispună de garanții suficiente care să permită protejarea în mod eficient a acestor date împotriva riscurilor de abuz. Această legislație trebuie să aibă forță juridică obligatorie în dreptul intern și în special să indice în ce împrejurări și în ce condiții poate fi luată o măsură care prevede prelucrarea unor asemenea date, garantând în acest mod că ingerința este limitată la strictul necesar. Necesitatea de a dispune de astfel de garanții este cu atât mai importantă atunci când datele cu caracter personal sunt supuse unei prelucrări automatizate, în special în cazul în care există un risc semnificativ de acces ilicit la aceste date. Aceste considerații sunt aplicabile în special când este în discuție protecția categoriei speciale de date cu caracter personal pe care o reprezintă datele sensibile (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 132, precum și jurisprudența citată).

55 Astfel, o legislație națională care prevede o păstrare a datelor cu caracter personal trebuie să răspundă întotdeauna unor criterii obiective, care să stabilească un raport între datele care trebuie păstrate și obiectivul urmărit. În special, în ceea ce privește combaterea criminalității grave, datele a căror păstrare este prevăzută trebuie să fie de natură să contribuie la prevenirea, la detectarea sau la urmărirea penală a infracțiunilor grave (a se vedea în acest sens Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții, C‑293/12 și C‑594/12, EU:C:2014:238, punctul 59, precum și Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 133).

56 În ceea ce privește obiectivele de interes general care pot justifica o măsură adoptată în temeiul articolului 15 alineatul (1) din Directiva 2002/58, reiese din jurisprudența Curții, în special din Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), că, în conformitate cu principiul proporționalității, există o ierarhie între aceste obiective în funcție de importanța lor respectivă și că importanța obiectivului urmărit de o asemenea măsură trebuie să se raporteze la gravitatea ingerinței care rezultă din aceasta.

57 În această privință, Curtea a statuat că importanța obiectivului de apărare a securității naționale, interpretat în lumina articolului 4 alineatul (2) TUE, potrivit căruia apărarea securității naționale rămâne responsabilitatea exclusivă a fiecărui stat membru, o depășește pe cea a celorlalte obiective prevăzute la articolul 15 alineatul (1) din Directiva 2002/58, în special a obiectivelor de combatere a criminalității în general, chiar grave, precum și de protejare a siguranței publice. Sub rezerva respectării celorlalte cerințe prevăzute la articolul 52 alineatul (1) din cartă, obiectivul de apărare a securității naționale poate justifica, așadar, măsuri care presupun ingerințe mai grave în drepturile fundamentale decât cele pe care le‑ar putea justifica celelalte obiective (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 135 și 136).

58 Pentru acest motiv, Curtea a constatat că articolul 15 alineatul (1) din Directiva 2002/58, interpretat în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din cartă, nu se opune unor măsuri legislative care permit, în scopul apărării securității naționale, impunerea unei obligații furnizorilor de servicii de comunicații electronice de a efectua o păstrare generalizată și nediferențiată a datelor de transfer și a datelor de localizare, în situații în care statul membru în cauză se confruntă cu o amenințare gravă la adresa securității naționale, care se dovedește reală și actuală sau previzibilă, în condițiile în care decizia care prevede această obligație poate face obiectul unui control efectiv fie de către o instanță, fie de către o entitate administrativă independentă, a cărei decizie are efect obligatoriu, prin care se urmărește să se verifice existența uneia dintre aceste situații, precum și respectarea condițiilor și a garanțiilor care trebuie să fie prevăzute, iar obligația menționată nu poate fi impusă decât pentru o perioadă limitată la strictul necesar, dar care poate fi reînnoită în cazul menținerii acestei amenințări (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 168).

59 În ceea ce privește obiectivul de prevenire, investigare, detectare și urmărire penală a infracțiunilor, Curtea a arătat că, în conformitate cu principiul proporționalității, numai combaterea criminalității grave și prevenirea amenințărilor grave la adresa siguranței publice sunt de natură să justifice ingerințe grave în drepturile fundamentale consacrate la articolele 7 și 8 din cartă, precum cele pe care le implică păstrarea datelor de transfer și a datelor de localizare. Prin urmare, numai ingerințele în drepturile fundamentale menționate care nu au caracter grav pot fi justificate de obiectivul de prevenire, investigare, detectare și urmărire penală a infracțiunilor în general (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 140, precum și jurisprudența citată).

60 În ședință, Comisia Europeană a susținut că criminalitatea deosebit de gravă ar putea fi asimilată unei amenințări la adresa securității naționale.

61 Or, Curtea a statuat deja că obiectivul de apărare a securității naționale corespunde interesului primordial de a proteja funcțiile esențiale ale statului și interesele fundamentale ale societății prin prevenirea și sancționarea activităților de natură să destabilizeze grav structurile constituționale, politice, economice sau sociale fundamentale ale unei țări și în special să amenințe în mod direct societatea, populația sau statul ca atare, cum ar fi printre altele activitățile de terorism (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 135).

62 În plus, trebuie arătat că, spre deosebire de criminalitate, chiar deosebit de gravă, o amenințare la adresa securității naționale trebuie să fie reală și actuală sau, cel puțin, previzibilă, ceea ce presupune apariția unor împrejurări suficient de concrete pentru a putea justifica o măsură de păstrare generalizată și nediferențiată a datelor de transfer și a datelor de localizare pe o perioadă limitată. O asemenea amenințare se distinge, așadar, prin natura sa, prin gravitatea sa și prin caracterul specific al împrejurărilor care o constituie de riscul general și permanent care este cel de apariție a unor tensiuni sau a unor tulburări, chiar grave, ale siguranței publice sau cel de infracțiuni grave (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 136 și 137).

63 Astfel, criminalitatea, chiar deosebit de gravă, nu poate fi asimilată unei amenințări la adresa securității naționale. În acest sens, după cum a arătat avocatul general la punctele 49 și 50 din concluzii, o asemenea asimilare ar putea introduce o categorie intermediară între securitatea națională și siguranța publică, în scopul de a aplica celei de a doua cerințele inerente celei dintâi.

64 Rezultă de asemenea că împrejurarea, menționată în cea de a doua întrebare preliminară, că datele de transfer și datele de localizare au făcut în mod legal obiectul unei păstrări în scopul apărării securității naționale nu are incidență asupra legalității păstrării lor în scopul combaterii criminalității grave.

65 În ceea ce privește obiectivul combaterii criminalității grave, Curtea a statuat că o legislație națională care prevede, în acest scop, păstrarea generalizată și nediferențiată a datelor de transfer și a datelor de localizare depășește limitele strictului necesar și nu poate fi considerată justificată într‑o societate democratică. În fapt, ținând seama de caracterul sensibil al informațiilor pe care le pot furniza datele de transfer și datele de localizare, confidențialitatea acestora din urmă este esențială pentru dreptul la respectarea vieții private. Astfel și ținând seama, pe de o parte, de efectele disuasive asupra exercitării drepturilor fundamentale consacrate la articolele 7 și 11 din cartă, menționate la punctul 46 din prezenta hotărâre, pe care le poate cauza păstrarea acestor date și, pe de altă parte, de gravitatea ingerinței pe care o implică o asemenea păstrare, este important, într‑o societate democratică, ca aceasta să fie, așa cum prevede sistemul instituit prin Directiva 2002/58, excepția, iar nu regula, și ca datele respective să nu poată face obiectul unei păstrări sistematice și continue. Această concluzie se impune chiar și în raport cu obiectivele de combatere a criminalității grave și de prevenire a amenințărilor grave împotriva siguranței publice, precum și în raport cu importanța care trebuie să le fie recunoscută (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 141 și 142, precum și jurisprudența citată).

66 În plus, Curtea a subliniat că o legislație națională care prevede păstrarea generalizată și nediferențiată a datelor de transfer și a datelor de localizare acoperă comunicațiile electronice ale cvasitotalității populației, fără să se facă nicio diferențiere, limitare sau excepție în funcție de obiectivul urmărit. O asemenea legislație privește în mod global ansamblul persoanelor care utilizează servicii de comunicații electronice, fără ca aceste persoane să se regăsească, fie și în mod indirect, într‑o situație susceptibilă să declanșeze începerea urmăririi penale. Ea se aplică, așadar, chiar și acelor persoane în privința cărora nu există niciun indiciu de natură să sugereze că ar putea exista o legătură, chiar indirectă sau îndepărtată, între comportamentul lor și acest obiectiv de combatere a actelor de criminalitate gravă și în special fără să fie prevăzută o relație între datele a căror păstrare este impusă și o amenințare la adresa siguranței publice. În special, astfel cum a statuat deja Curtea, o asemenea legislație nu este limitată la o păstrare care privește fie date aferente unei perioade și/sau unei zone geografice și/sau unui cerc de persoane susceptibile să fie implicate într‑un fel sau altul într‑o infracțiune gravă, fie persoane care, din alte motive, ar putea să contribuie, prin păstrarea datelor lor, la combaterea criminalității grave (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 143 și 144, precum și jurisprudența citată).

67 În schimb, la punctul 168 din Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), Curtea a precizat că articolul 15 alineatul (1) din Directiva 2002/58, interpretat în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din cartă, nu se opune unor măsuri legislative care prevăd, în scopul combaterii criminalității grave și al prevenirii amenințărilor grave împotriva siguranței publice,

– o păstrare direcționată a datelor de transfer și a datelor de localizare care să fie delimitată, pe baza unor elemente obiective și nediscriminatorii, în funcție de categoriile de persoane vizate sau prin intermediul unui criteriu geografic, pentru o perioadă limitată la strictul necesar, dar care poate fi reînnoită;

– o păstrare generalizată și nediferențiată a adreselor IP atribuite sursei unei conexiuni, pentru o perioadă limitată la strictul necesar;

– o păstrare generalizată și nediferențiată a datelor referitoare la identitatea civilă a utilizatorilor de mijloace de comunicații electronice și

– impunerea unei obligații furnizorilor de servicii de comunicații electronice prin intermediul unei decizii a autorității competente, supuse unui control jurisdicțional efectiv, de a efectua, pentru o perioadă determinată, păstrarea rapidă (quick freeze) a datelor de transfer și a datelor de localizare de care dispun acești furnizori de servicii,

din moment ce aceste măsuri garantează, prin norme clare și precise, că păstrarea datelor în discuție este subordonată respectării condițiilor materiale și procedurale aferente acestora și că persoanele în cauză dispun de garanții efective împotriva riscurilor de abuz.

68 În prezenta cerere de decizie preliminară, care a fost primită de Curte înainte de pronunțarea Hotărârii din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), și a Hotărârii din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice) (C‑746/18, EU:C:2021:152), instanța de trimitere a considerat însă că numai o păstrare generalizată și nediferențiată a datelor de transfer și a datelor de localizare ar permite combaterea, în mod efectiv, a criminalității grave. În ședința din 13 septembrie 2021, s‑a susținut, în special de Irlanda și de guvernul francez, că o asemenea concluzie nu este infirmată de faptul că statele membre pot recurge la măsurile menționate la punctul anterior.

69 În această privință, trebuie arătat, în primul rând, că eficacitatea urmăririi penale nu depinde în general de un singur instrument de investigație, ci de toate instrumentele de investigație de care dispun autoritățile naționale competente în acest scop.

70 În al doilea rând, trebuie subliniat că articolul 15 alineatul (1) din Directiva 2002/58, citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din cartă, astfel cum este interpretat în jurisprudența amintită la punctul 67 din prezenta hotărâre, permite statelor membre să adopte, în vederea combaterii criminalității grave și a prevenirii amenințărilor grave împotriva siguranței publice, nu numai măsuri care instituie o păstrare direcționată și o păstrare rapidă, ci și măsuri care prevăd o păstrare generalizată și nediferențiată, pe de o parte, a datelor referitoare la identitatea civilă a utilizatorilor mijloacelor de comunicații electronice și, pe de altă parte, a adreselor IP atribuite sursei unei conexiuni.

71 În această privință, este cert că păstrarea datelor referitoare la identitatea civilă a utilizatorilor mijloacelor de comunicații electronice poate contribui la combaterea criminalității grave, cu condiția ca aceste date să permită identificarea persoanelor care au utilizat asemenea mijloace în contextul pregătirii sau al săvârșirii unui act care ține de criminalitatea gravă.

72 Or, astfel cum reiese din jurisprudența rezumată la punctul 67 din prezenta hotărâre, Directiva 2002/58 nu se opune, în scopul combaterii criminalității în general, păstrării generalizate a datelor referitoare la identitatea civilă. În aceste condiții, este necesar să se precizeze că nici această directivă, nici vreun alt act din dreptul Uniunii nu se opune unei legislații naționale care are ca obiect combaterea criminalității grave, în temeiul căreia achiziționarea unui mijloc de comunicare electronică precum o cartelă SIM preplătită este condiționată de verificarea documentelor oficiale care stabilesc identitatea cumpărătorului și de înregistrarea de către vânzător a informațiilor care rezultă din aceasta, vânzătorul fiind obligat, dacă este cazul, să permită accesul la aceste informații autorităților naționale competente.

73 În plus, trebuie amintit că păstrarea generalizată a adreselor IP ale sursei conexiunii constituie o ingerință gravă în drepturile fundamentale consacrate la articolele 7 și 8 din cartă, deoarece aceste adrese IP pot permite desprinderea unor concluzii precise asupra vieții private a utilizatorului mijlocului de comunicații electronice vizat, și poate avea efecte disuasive asupra exercitării libertății de exprimare garantate la articolul 11 din aceasta. Totuși, în ceea ce privește o asemenea păstrare, Curtea a constatat că este necesar, în vederea concilierii necesare a drepturilor și a intereselor legitime în cauză impuse de jurisprudența menționată la punctele 50-53 din prezenta hotărâre, să se țină seama de faptul că, în cazul unei infracțiuni săvârșite online și în special în cazul achiziționării, diseminării, transmiterii sau punerii la dispoziție online de pornografie infantilă, în sensul articolului 2 litera (c) din Directiva 2011/93/UE a Parlamentului European și a Consiliului din 13 decembrie 2011 privind combaterea abuzului sexual asupra copiilor, a exploatării sexuale a copiilor și a pornografiei infantile și de înlocuire a Deciziei‑cadru 2004/68/JAI a Consiliului (JO 2011, L 335, p. 1), adresa IP poate constitui singurul mijloc de investigare care să permită identificarea persoanei căreia îi era atribuită această adresă la momentul săvârșirii infracțiunii respective (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 153 și 154).

74 Prin urmare, Curtea a statuat că o asemenea păstrare generalizată și nediferențiată numai a adreselor IP atribuite sursei unei conexiuni nu este, în principiu, contrară articolului 15 alineatul (1) din Directiva 2002/58, interpretat în lumina articolelor 7, 8 și 11 din cartă, cu condiția ca această posibilitate să fie supusă respectării stricte a condițiilor materiale și procedurale care trebuie să guverneze utilizarea acestor date menționate la punctele 155 și 156 din Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791).

75 În al treilea rând, în ceea ce privește măsurile legislative care prevăd o păstrare direcționată și o păstrare rapidă a datelor de transfer și a datelor de localizare, din mențiunile care figurează în cererea de decizie preliminară reiese o interpretare mai restrictivă a domeniului de aplicare al acestor măsuri decât cea reținută în jurisprudența amintită la punctul 67 din prezenta hotărâre. Astfel, deși, în conformitate cu ceea ce s‑a amintit la punctul 40 din prezenta hotărâre, aceste măsuri de păstrare trebuie să prezinte un caracter derogatoriu în sistemul instituit de Directiva 2002/58, aceasta, interpretată în lumina drepturilor fundamentale consacrate la articolul 7, 8 și 11, precum și la articolul 52 alineatul (1) din cartă, nu supune posibilitatea de a impune o obligație de păstrare direcționată condiției ca, în prealabil, să fie cunoscute locurile susceptibile a fi scena unui act de criminalitate gravă sau persoanele suspectate de implicare într‑un asemenea act. De asemenea, directiva menționată nu impune ca obligația de păstrare rapidă să fie limitată la suspecții identificați anterior impunerii unei asemenea obligații.

76 În ceea ce privește, primo, păstrarea direcționată, Curtea a statuat că articolul 15 alineatul (1) din Directiva 2002/58 nu se opune unei legislații naționale întemeiate pe elemente obiective, care permite să fie vizate, pe de o parte, persoanele ale căror date de trafic și date de localizare pot să prezinte o legătură, cel puțin indirectă, cu acte de criminalitate gravă, să contribuie la combaterea criminalității grave sau să prevină un risc grav pentru siguranța publică ori un risc pentru securitatea națională (Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15, EU:C:2016:970, punctul 111, precum și Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 148).

77 Curtea a precizat în această privință că, deși aceste elemente obiective pot varia în funcție de măsurile luate în scopul prevenirii, investigării, detectării și urmăririi penale a criminalității grave, persoanele astfel vizate pot fi în special cele care au fost identificate în prealabil, în cadrul procedurilor naționale aplicabile și pe baza unor elemente obiective și nediscriminatorii, ca reprezentând o amenințare la adresa siguranței publice sau a securității naționale a statului membru în cauză (a se vedea în acest sens Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15, EU:C:2016:970, punctul 110, precum și Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 149).

78 Statele membre au astfel în special posibilitatea de a lua măsuri de păstrare privind persoane care, în scopul unei asemenea identificări, fac obiectul unei investigații sau al altor măsuri de supraveghere actuale sau al unei înscrieri în cazierul judiciar național care menționează o condamnare anterioară pentru acte de criminalitate gravă ce pot implica un risc ridicat de recidivă. Or, atunci când o asemenea identificare se întemeiază pe elemente obiective și nediscriminatorii, definite de dreptul național, păstrarea direcționată care vizează persoane astfel identificate este justificată.

79 Pe de altă parte, o măsură de păstrare direcționată a datelor de transfer și a datelor de localizare poate, potrivit alegerii legiuitorului național și cu respectarea strictă a principiului proporționalității, să se întemeieze de asemenea pe un criteriu geografic atunci când autoritățile naționale competente consideră, pe baza unor elemente obiective și nediscriminatorii, că există, în una sau în mai multe zone geografice, o situație caracterizată printr‑un risc ridicat de pregătire sau de săvârșire a unor acte de criminalitate gravă. Aceste zone pot fi, printre altele, locuri caracterizate printr‑un număr ridicat de acte de criminalitate gravă, locuri expuse în mod deosebit săvârșirii de acte de criminalitate gravă, precum locuri sau infrastructuri frecventate în mod regulat de un număr foarte mare de persoane sau locurile strategice precum aeroporturile, gările, porturile maritime sau zonele de taxare rutieră (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 150, precum și jurisprudența citată).

80 Trebuie subliniat că, potrivit acestei jurisprudențe, autoritățile naționale competente pot lua, pentru zonele vizate la punctul anterior, o măsură de păstrare direcționată întemeiată pe un criteriu geografic precum, printre altele, rata medie a criminalității într‑o zonă geografică, fără ca ele să dispună în mod necesar de indicii concrete cu privire la pregătirea sau la săvârșirea, în zonele vizate, a unor acte de criminalitate gravă. În măsura în care o păstrare direcționată întemeiată pe un asemenea criteriu poate afecta, în funcție de infracțiunile grave vizate și de situația proprie statelor membre respective, atât locuri caracterizate printr‑un număr ridicat de acte de criminalitate gravă, cât și locuri deosebit de expuse săvârșirii unor asemenea acte, nici aceasta nu este, în principiu, de natură să dea naștere la discriminări, criteriul bazat pe rata medie a criminalității grave neavând, în sine, nicio legătură cu elemente potențial discriminatorii.

81 În plus și mai ales, o măsură de păstrare direcționată privind locuri sau infrastructuri frecventate în mod regulat de un număr foarte mare de persoane sau locuri strategice precum aeroporturi, gări, porturi maritime sau zone de taxare rutieră permite autorităților competente să colecteze date de transfer și în special date de localizare ale tuturor persoanelor care utilizează, la un moment dat, un mijloc de comunicare electronică în unul dintre aceste locuri. Așadar, o asemenea măsură de păstrare direcționată este susceptibilă să permită autorităților menționate să obțină, prin accesul la datele astfel păstrate, informații cu privire la prezența acestor persoane în locurile sau în zonele geografice vizate de măsura respectivă, precum și cu privire la deplasările lor între sau în interiorul acestora și să deducă de aici, în scopul combaterii criminalității grave, concluzii cu privire la prezența și la activitatea lor în locurile sau în zonele geografice respective la un moment dat în perioada de păstrare.

82 Mai trebuie arătat că zonele geografice vizate de o asemenea păstrare direcționată pot și, dacă este cazul, trebuie să fie modificate în funcție de evoluția condițiilor care au justificat selectarea lor, permițând astfel în special să se reacționeze la evoluțiile combaterii criminalității grave. Într‑adevăr, Curtea a statuat deja că durata măsurilor de păstrare direcționată descrise la punctele 76-81 din prezenta hotărâre nu o poate depăși pe cea care este strict necesară în raport cu obiectivul urmărit, precum și cu împrejurările care le justifică, fără a aduce atingere unei eventuale reînnoiri ca urmare a menținerii necesității de a efectua o asemenea păstrare (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 151).

83 În ceea ce privește posibilitatea de a prevedea alte criterii distinctive decât un criteriu personal sau geografic pentru a pune în aplicare o păstrare direcționată a datelor de transfer și a datelor de localizare, nu se poate exclude ca alte criterii, obiective și nediscriminatorii, să poată fi luate în considerare pentru a se asigura că întinderea unei păstrări direcționate este limitată la strictul necesar și pentru a se stabili o legătură, cel puțin indirectă, între actele de criminalitate gravă și persoanele ale căror date sunt păstrate. În aceste condiții, întrucât articolul 15 alineatul (1) din Directiva 2002/58 vizează măsuri legislative ale statelor membre, acestora din urmă, iar nu Curții, le revine sarcina de a identifica asemenea criterii, înțelegându‑se că nu se poate pune problema reinstaurării, în acest mod, a unei păstrări generalizate și nediferențiate a datelor de transfer și a datelor de localizare.

84 În orice caz, după cum a arătat avocatul general Campos Sánchez‑Bordona la punctul 50 din Concluziile prezentate în cauzele conexate SpaceNet și Telekom Deutschland (C‑793/19 și C‑794/19, EU:C:2021:939), eventuala existență a unor dificultăți de a defini cu precizie ipotezele și condițiile în care trebuie realizată o păstrare direcționată nu poate justifica faptul ca statele membre, făcând din excepție o regulă, să prevadă o păstrare generalizată și nediferențiată a datelor de transfer și a datelor de localizare.

85 În ceea ce privește, secundo, păstrarea rapidă a datelor de transfer și a datelor de localizare prelucrate și stocate de furnizorii de servicii de comunicații electronice în temeiul articolelor 5, 6 și 9 din Directiva 2002/58 sau al măsurilor legislative adoptate în temeiul articolului 15 alineatul (1) din această directivă, trebuie amintit că asemenea date trebuie să fie, în principiu, după caz, șterse sau anonimizate la expirarea termenelor legale în care trebuie să aibă loc, în conformitate cu dispozițiile naționale de transpunere a directivei menționate, prelucrarea și stocarea lor. Cu toate acestea, Curtea a statuat că, pe durata prelucrării și a stocării menționate, pot apărea situații în care intervine necesitatea păstrării datelor respective dincolo de aceste termene, în scopul elucidării unor infracțiuni grave sau a unor atingeri aduse securității naționale, atât în situația în care aceste infracțiuni sau atingeri au putut fi deja constatate, cât și în cea în care existența lor poate fi suspectată în mod rezonabil în urma unei examinări obiective a tuturor împrejurărilor pertinente (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 160 și 161).

86 Într‑o asemenea situație, statele membre pot, având în vedere concilierea necesară a drepturilor și a intereselor legitime în cauză menționată la punctele 50-53 din prezenta hotărâre, să prevadă, printr‑o legislație adoptată în temeiul articolului 15 alineatul (1) din Directiva 2002/58, posibilitatea, prin intermediul unei decizii a autorității competente supuse unui control jurisdicțional efectiv, de a impune furnizorilor de servicii de comunicații electronice să efectueze, pentru o perioadă determinată, păstrarea rapidă a datelor de transfer și a datelor de localizare de care dispun (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 163).

87 În măsura în care finalitatea unei asemenea păstrări rapide nu mai corespunde celor pentru care datele au fost colectate și păstrate inițial și în măsura în care orice prelucrare de date trebuie să răspundă, în temeiul articolului 8 alineatul (2) din cartă, unor scopuri precizate, statele membre trebuie să menționeze în legislația lor finalitatea în vederea căreia poate avea loc păstrarea rapidă a datelor. Având în vedere caracterul grav al ingerinței în drepturile fundamentale consacrate la articolele 7 și 8 din cartă pe care o poate presupune o asemenea păstrare, numai combaterea criminalității grave și, a fortiori, apărarea securității naționale sunt de natură să justifice această ingerință, cu condiția ca măsura respectivă, precum și accesul la datele astfel păstrate să respecte limitele strictului necesar, așa cum sunt enunțate la punctele 164-167 din Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791).

88 Curtea a precizat că o măsură de păstrare de această natură nu trebuie să fie limitată la datele persoanelor identificate în prealabil ca reprezentând o amenințare pentru siguranța publică sau securitatea națională a statului membru vizat sau ale persoanelor suspectate în mod concret că au săvârșit un act de criminalitate gravă sau o atingere adusă securității naționale. Astfel, potrivit Curții, cu respectarea cadrului stabilit prin articolul 15 alineatul (1) din Directiva 2002/58, interpretat în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din cartă, și ținând seama de considerațiile care figurează la punctul 55 din prezenta hotărâre, o asemenea măsură poate, potrivit alegerii legiuitorului și cu respectarea limitelor strictului necesar, să fie extinsă la datele de transfer și la datele de localizare aferente altor persoane decât cele care sunt suspectate de planificarea sau de săvârșirea unei infracțiuni grave sau a unei atingeri aduse securității naționale, cu condiția ca aceste date să poată contribui, pe baza unor elemente obiective și nediscriminatorii, la elucidarea unei asemenea infracțiuni sau a unei asemenea atingeri aduse securității naționale precum datele victimei acesteia, precum și ale anturajului său social sau profesional (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 165).

89 Așadar, o măsură legislativă poate autoriza impunerea unei obligații furnizorilor de servicii de comunicații electronice de a efectua păstrarea rapidă a datelor de transfer și a datelor de localizare, printre altele, ale persoanelor cu care, anterior apariției unei amenințări grave la adresa siguranței publice sau a săvârșirii unui act de criminalitate gravă, o victimă a fost în contact prin utilizarea mijloacelor sale de comunicații electronice.

90 O asemenea păstrare rapidă poate, potrivit jurisprudenței Curții amintite la punctul 88 din prezenta hotărâre și în aceleași condiții ca cele vizate la acest punct, să fie extinsă și la zone geografice determinate, precum locurile săvârșirii și pregătirii infracțiunii sau ale atingerii aduse securității naționale în cauză. Trebuie precizat că mai pot face obiectul unei asemenea măsuri datele de transfer și datele de localizare aferente locului în care o persoană, potențial victimă a unui act de criminalitate gravă, a dispărut, cu condiția ca această măsură, precum și accesul la datele astfel păstrate să respecte limitele strictului necesar în vederea combaterii criminalității grave sau a apărării securității naționale, așa cum sunt enunțate la punctele 164-167 din Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791).

91 Pe de altă parte, trebuie precizat că articolul 15 alineatul (1) din Directiva 2002/58 nu se opune ca autoritățile naționale competente să dispună o măsură de păstrare rapidă încă din primul stadiu al investigației referitoare la o amenințare gravă la adresa siguranței publice sau la un eventual act de criminalitate gravă, și anume din momentul în care aceste autorități pot, potrivit dispozițiilor relevante ale dreptului național, să deschidă o asemenea investigație.

92 În ceea ce privește varietatea măsurilor de păstrare a datelor de transfer și a datelor de localizare vizate la punctul 67 din prezenta hotărâre, trebuie precizat că aceste diferite măsuri pot fi aplicate împreună, potrivit alegerii legiuitorului național și cu respectarea în același timp a limitelor strictului necesar. În aceste condiții, articolul 15 alineatul (1) din Directiva 2002/58, citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din cartă, astfel cum a fost interpretat de jurisprudența rezultată din Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), nu se opune unei combinări a acestor măsuri.

93 În al patrulea și ultimul rând, trebuie subliniat că proporționalitatea măsurilor adoptate în temeiul articolului 15 alineatul (1) din Directiva 2002/58 impune, potrivit jurisprudenței constante a Curții, astfel cum a fost recapitulată în Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), respectarea nu numai a cerințelor de aptitudine și de necesitate, ci și a celei legate de caracterul proporțional al acestor măsuri în raport cu obiectivul urmărit.

94 În acest context, trebuie amintit că, la punctul 51 din Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238), Curtea a statuat că, deși combaterea criminalității grave prezintă o importanță primordială pentru garantarea siguranței publice, iar eficacitatea sa poate depinde într‑o mare măsură de utilizarea tehnicilor moderne de investigație, un asemenea obiectiv de interes general, chiar dacă este fundamental, nu poate justifica per se faptul de a considera o măsură de păstrare generalizată și nediferențiată a datelor de transfer și a datelor de localizare precum cea instituită de Directiva 2006/24 ca fiind necesară.

95 În aceeași ordine de idei, Curtea a precizat, la punctul 145 din Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), că nici măcar obligațiile pozitive ale statelor membre care pot decurge, după caz, din articolele 3, 4 și 7 din cartă și care privesc, așa cum s‑a arătat la punctul 49 din prezenta hotărâre, instituirea unor norme care să permită combaterea efectivă a infracțiunilor nu pot avea ca efect justificarea unor ingerințe atât de grave în drepturile fundamentale consacrate la articolele 7 și 8 din cartă precum cele pe care le presupune o legislație națională care prevede păstrarea datelor de transfer și a datelor de localizare ale cvasitotalității populației, fără ca datele persoanelor vizate să fie susceptibile să prezinte o legătură, cel puțin indirectă, cu obiectivul urmărit.

96 În ședință, guvernul danez a susținut că autoritățile naționale competente ar trebui să poată avea acces, în scopul combaterii criminalității grave, la datele de transfer și la datele de localizare care au fost păstrate în mod generalizat și nediferențiat, în conformitate cu jurisprudența rezultată din Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 135-139), pentru a face față unei amenințări grave pentru securitatea națională care se dovedește reală și actuală sau previzibilă.

97 Trebuie arătat de la bun început că faptul de a autoriza accesul, în scopul combaterii criminalității grave, la date de transfer și la date de localizare care au fost păstrate în mod generalizat și nediferențiat ar face ca acest acces să depindă de împrejurări străine obiectivului respectiv, în funcție de existența sau nu, în statul membru vizat, a unei amenințări grave pentru securitatea națională, astfel cum este menționată la punctul anterior, în condițiile în care, având în vedere numai obiectivul de combatere a criminalității grave care trebuie să justifice păstrarea acestor date și accesul la ele, nimic nu ar justifica o diferență de tratament, în special între statele membre.

98 După cum Curtea a statuat deja, accesul la datele de transfer și la datele de localizare păstrate de furnizori în aplicarea unei măsuri adoptate în temeiul articolului 15 alineatul (1) din Directiva 2002/58, care trebuie să aibă loc cu respectarea deplină a condițiilor care rezultă din jurisprudența de interpretare a Directivei 2002/58, nu poate fi justificat, în principiu, decât prin obiectivul de interes general în vederea căruia această păstrare a fost impusă furnizorilor respectivi. Situația este diferită numai dacă importanța obiectivului urmărit prin acces o depășește pe cea a obiectivului care a justificat păstrarea (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 165 și 166).

99 Or, argumentația guvernului danez vizează o situație în care obiectivul cererii de acces avute în vedere, și anume combaterea criminalității grave, este de o importanță mai redusă, în ierarhia obiectivelor de interes general, decât cel care a justificat păstrarea, și anume apărarea securității naționale. A autoriza, într‑o asemenea situație, accesul la datele păstrate ar contraveni acestei ierarhii a obiectivelor de interes general amintite la punctul anterior, precum și la punctele 53, 56, 57 și 59 din prezenta hotărâre.

100 În plus și mai ales, conform jurisprudenței amintite la punctul 65 din prezenta hotărâre, datele de transfer și datele de localizare nu pot face obiectul unei păstrări generalizate și nediferențiate în scopul combaterii criminalității grave și, prin urmare, un acces la aceste date nu poate fi justificat în același scop. Or, atunci când aceste date au fost păstrate excepțional în mod generalizat și nediferențiat, în scopul apărării securității naționale împotriva unei amenințări care se dovedește reală și actuală sau previzibilă, în condițiile menționate la punctul 58 din prezenta hotărâre, autoritățile naționale competente în materie de investigații penale nu pot avea acces la datele respective în cadrul urmăririi penale, în caz contrar fiind privată de orice efect util interdicția de a efectua o asemenea păstrare în scopul combaterii criminalității grave, amintită la punctul 65 menționat.

101 Având în vedere ansamblul considerațiilor care precedă, este necesar să se răspundă la prima, la a doua și la a patra întrebare că articolul 15 alineatul (1) din Directiva 2002/58, citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din cartă, trebuie interpretat în sensul că se opune unor măsuri legislative care prevăd, cu titlu preventiv, în scopul combaterii criminalității grave și al prevenirii amenințărilor grave împotriva siguranței publice, o păstrare generalizată și nediferențiată a datelor de transfer și a datelor de localizare. În schimb, articolul 15 alineatul (1) menționat, interpretat în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din cartă, nu se opune unor măsuri legislative care prevăd, în scopul combaterii criminalității grave și al prevenirii amenințărilor grave împotriva siguranței publice,

– o păstrare generalizată și nediferențiată a adreselor IP atribuite sursei unei conexiuni, pentru o perioadă limitată la strictul necesar;

– o păstrare generalizată și nediferențiată a datelor referitoare la identitatea civilă a utilizatorilor de mijloace de comunicații electronice și

– impunerea unei obligații furnizorilor de servicii de comunicații electronice, prin intermediul unei decizii a autorității competente supuse unui control jurisdicțional efectiv, de a efectua, pentru o perioadă determinată, păstrarea rapidă a datelor de transfer și a datelor de localizare de care dispun acești furnizori de servicii,

din moment ce aceste măsuri garantează, prin norme clare și precise, că păstrarea datelor în cauză este subordonată respectării condițiilor materiale și procedurale aferente și că persoanele vizate dispun de garanții efective împotriva riscurilor de abuz.

Cu privire la a treia întrebare

102 Prin intermediul celei de a treia întrebări, instanța de trimitere solicită în esență să se stabilească dacă articolul 15 alineatul (1) din Directiva 2002/58, citit în lumina articolelor 7, 8, 11 și a articolului 52 alineatul (1) din cartă, trebuie interpretat în sensul că se opune unei legislații naționale în temeiul căreia prelucrarea centralizată a cererilor de acces la date păstrate, care provin de la poliție în cadrul investigării și al urmăririi penale a infracțiunilor grave, revine unui funcționar al poliției, asistat de o unitate instituită în cadrul poliției care beneficiază de un anumit grad de autonomie în exercitarea misiunii sale și ale cărui decizii pot face ulterior obiectul unui control jurisdicțional.

103 Cu titlu introductiv, trebuie amintit că, deși revine dreptului național sarcina de a stabili condițiile în care furnizorii de servicii de comunicații electronice trebuie să acorde autorităților naționale competente accesul la datele de care dispun, o legislație națională trebuie, pentru a îndeplini cerința proporționalității, astfel cum este amintită la punctul 54 din prezenta hotărâre, să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurii respective și să impună o serie de cerințe minime astfel încât persoanele ale căror date cu caracter personal sunt vizate să dispună de garanții suficiente care să permită protejarea în mod eficient a acestor date împotriva riscurilor de abuz [a se vedea în acest sens Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice), C‑746/18, EU:C:2021:152, punctul 48 și jurisprudența citată].

104 În special, o reglementare națională care guvernează accesul autorităților competente la date de transfer și la date de localizare păstrate, adoptată în temeiul articolului 15 alineatul (1) din Directiva 2002/58, nu se poate limita la a impune ca accesul autorităților la date să răspundă finalității urmărite de această reglementare, ci trebuie să prevadă și condițiile materiale și procedurale care guvernează această utilizare [Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice), C‑746/18, EU:C:2021:152, punctul 49 și jurisprudența citată].

105 Astfel, întrucât un acces general la toate datele păstrate, independent de orice legătură, chiar indirectă, cu scopul urmărit, nu poate fi considerat limitat la strictul necesar, legislația națională vizată trebuie să se întemeieze pe criterii obiective pentru a defini împrejurările și condițiile în care trebuie să se acorde autorităților naționale competente accesul la datele în cauză. În această privință, un asemenea acces nu poate fi acordat, în principiu, în raport cu obiectivul de combatere a criminalității, decât la datele persoanelor suspectate că ar plănui, că ar săvârși sau că ar fi săvârșit o infracțiune gravă ori că ar fi implicate într‑un mod sau altul într‑o astfel de infracțiune. Cu toate acestea, în situații speciale precum cele în care interese vitale privind securitatea națională, apărarea sau siguranța publică sunt amenințate prin activități de terorism, s‑ar putea de asemenea acorda accesul la datele altor persoane în cazul în care există elemente obiective care permit să se considere că aceste date ar putea aduce, într‑un caz concret, o contribuție efectivă la combaterea unor asemenea activități [Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice), C‑746/18, EU:C:2021:152, punctul 50 și jurisprudența citată].

106 Cu scopul de a garanta, în practică, deplina respectare a acestor condiții, este esențial ca accesul autorităților naționale competente la datele păstrate să fie condiționat de un control prealabil efectuat fie de o instanță, fie de o entitate administrativă independentă și ca decizia acestei instanțe sau a acestei entități să intervină în urma unei cereri motivate formulate de autoritățile respective, printre altele în cadrul unor proceduri de prevenire, de detectare sau de urmărire penală [Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice), C‑746/18, EU:C:2021:152, punctul 51 și jurisprudența citată].

107 Acest control prealabil impune printre altele ca instanța sau entitatea însărcinată cu efectuarea sa să dispună de toate atribuțiile și să prezinte toate garanțiile necesare în vederea asigurării unei concilieri a diferitor interese legitime și drepturi în cauză. În ceea ce privește, mai concret, o investigație penală, un asemenea control impune ca această instanță sau această entitate să fie în măsură să asigure un just echilibru între, pe de o parte, interesele legitime legate de nevoile investigației în cadrul combaterii criminalității și, pe de altă parte, drepturile fundamentale la respectarea vieții private și la protecția datelor cu caracter personal ale persoanelor ale căror date sunt vizate prin acces [Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice), C‑746/18, EU:C:2021:152, punctul 52].

108 Atunci când acest control nu este efectuat de o instanță, ci de o entitate administrativă independentă, aceasta trebuie să beneficieze de un statut care să îi permită să acționeze, în cadrul exercitării misiunilor sale, în mod obiectiv și imparțial și trebuie să fie, în acest scop, protejată de orice influență exterioară. Așadar, cerința privind independența pe care trebuie să o îndeplinească autoritatea însărcinată cu exercitarea controlului prealabil impune ca aceasta să aibă calitatea de terț în raport cu autoritatea care solicită accesul la date, astfel încât entitatea menționată să fie în măsură să exercite respectivul control în mod obiectiv și imparțial, fiind protejată de orice influență exterioară. În special, în domeniul penal, cerința privind independența presupune ca autoritatea însărcinată cu acest control prealabil, pe de o parte, să nu fie implicată în desfășurarea investigației penale în cauză și, pe de altă parte, să aibă o poziție de neutralitate față de părțile din procedura penală [a se vedea în acest sens Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice), C‑746/18, EU:C:2021:152, punctele 53 și 54].

109 Astfel, Curtea a considerat printre altele că unui Minister Public care conduce procedura de investigare și exercită, dacă este cazul, acțiunea publică nu i se poate recunoaște calitatea de terț în raport cu interesele legitime în cauză, din moment ce misiunea sa nu este de a soluționa în condiții de independență deplină un litigiu, ci de a‑l deduce, dacă este cazul, judecății instanței competente, în calitate de parte în proces care exercită acțiunea penală. În consecință, un asemenea Minister Public nu este în măsură să efectueze controlul prealabil al cererilor de acces la datele păstrate [a se vedea în acest sens Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice), C‑746/18, EU:C:2021:152, punctele 55 și 57].

110 În sfârșit, controlul independent impus în conformitate cu articolul 15 alineatul (1) din Directiva 2002/58 trebuie să aibă loc înainte de orice acces la datele vizate, cu excepția cazurilor de urgență justificate corespunzător, situație în care controlul menționat trebuie să aibă loc în termene scurte. Astfel, un control ulterior nu ar permite îndeplinirea obiectivului unui control prealabil, care constă în împiedicarea autorizării unui acces la datele în cauză care să depășească limitele strictului necesar [a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 189, precum și Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice), C‑746/18, EU:C:2021:152, punctul 58].

111 În speță, reiese mai întâi din cererea de decizie preliminară că Legea din 2011 atribuie unui funcționar al poliției al cărui rang nu este inferior celui de comisar divizionar competența de a exercita controlul prealabil al cererilor de acces la date care provin de la serviciile de investigație ale poliției și de a solicita furnizorilor de servicii de comunicații electronice să îi comunice datele pe care le păstrează. În măsura în care acest funcționar nu are calitatea de terț în raport cu aceste servicii, el nu îndeplinește cerințele privind independența și imparțialitatea amintite la punctul 108 din prezenta hotărâre, în pofida împrejurării că este asistat în această misiune de o unitate a poliției, în speță TLU, care beneficiază de un anumit grad de autonomie în exercitarea misiunii sale.

112 În continuare, deși este adevărat că Legea din 2011 prevede mecanisme de control ulterior al deciziei funcționarului poliției competent sub forma unei proceduri de reclamație și a unei proceduri în fața unei instanțe însărcinate să verifice aplicarea dispozițiilor legii menționate, din jurisprudența amintită la punctul 110 din prezenta hotărâre reiese că un control exercitat a posteriori nu se poate substitui cerinței, amintită la punctul 106 din prezenta hotărâre, privind controlul independent și, cu excepția cazurilor de urgență justificate corespunzător, prealabil.

113 În sfârșit, Legea din 2011 nu prevede criterii obiective care să definească în mod precis condițiile și împrejurările în care trebuie să se acorde autorităților naționale accesul la date, funcționarul poliției însărcinat cu prelucrarea cererilor de acces la datele păstrate fiind singurul competent, astfel cum a confirmat Irlanda în ședință, să aprecieze suspiciunile privind persoanele vizate și necesitatea unui acces la datele referitoare la acestea din urmă.

114 În consecință, trebuie să se răspundă la a treia întrebare că articolul 15 alineatul (1) din Directiva 2002/58, citit în lumina articolelor 7, 8, 11 și a articolului 52 alineatul (1) din cartă, trebuie interpretat în sensul că se opune unei legislații naționale în temeiul căreia prelucrarea centralizată a cererilor de acces la date păstrate de furnizorii de servicii de comunicații electronice, care provin de la poliție în cadrul investigării și al urmăririi penale a infracțiunilor grave, revine unui funcționar al poliției, asistat de o unitate instituită în cadrul poliției care beneficiază de un anumit grad de autonomie în exercitarea misiunii sale și ale cărui decizii pot face ulterior obiectul unui control jurisdicțional.

Cu privire la a cincea și la a șasea întrebare

115 Prin intermediul celei de a cincea și al celei de a șasea întrebări, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă dreptul Uniunii trebuie interpretat în sensul că o instanță națională poate limita în timp efectele unei declarații de nevaliditate, pe care are obligația să o efectueze în temeiul dreptului național, în ceea ce privește o legislație națională care impune furnizorilor de servicii de comunicații electronice o păstrare generalizată și nediferențiată a datelor de transfer și a datelor de localizare, din cauza incompatibilității acestei legislații cu articolul 15 alineatul (1) din Directiva 2002/58, citit în lumina cartei.

116 Din informațiile furnizate de instanța de trimitere reiese că legislația națională în discuție în litigiul principal, și anume Legea din 2011, a fost adoptată în scopul transpunerii în dreptul național a Directivei 2006/24, care a fost ulterior declarată nevalidă de Curte prin Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238).

117 În plus, instanța de trimitere arată că, deși examinarea admisibilității probelor bazate pe date păstrate în temeiul Legii din 2011 și invocate cu privire la G. D. în cadrul procedurii penale revine instanței penale, ea este cea căreia îi revine însă competența, în cadrul procedurii civile, să se pronunțe asupra validității dispozițiilor în cauză ale legii respective și asupra efectelor în timp ale unei constatări a nevalidității acestora. Astfel, deși singura întrebare ce se ridică în fața instanței de trimitere este aceea a validității dispozițiilor Legii din 2011, instanță menționată consideră totuși că este necesar să adreseze întrebări Curții cu privire la incidența unei eventuale constatări a nevalidității asupra admisibilității elementelor de probă obținute prin păstrarea generalizată și nediferențiată a datelor pe care a permis‑o această lege.

118 Cu titlu introductiv, trebuie amintit că principiul supremației dreptului Uniunii consacră preeminența dreptului Uniunii asupra dreptului statelor membre. Acest principiu impune, prin urmare, tuturor autorităților statelor membre să asigure efectul deplin al diverselor dispoziții ale dreptului Uniunii, întrucât dreptul statelor membre nu poate aduce atingere efectului recunoscut acestor dispoziții pe teritoriul statelor menționate. În temeiul acestui principiu, în cazul în care nu poate să procedeze la o interpretare a legislației naționale care să fie conformă cu cerințele dreptului Uniunii, instanța națională însărcinată cu aplicarea, în cadrul competenței proprii, a dispozițiilor dreptului Uniunii are obligația de a asigura efectul deplin al acestora, lăsând, dacă este necesar, neaplicată, din oficiu, orice dispoziție contrară a legislației naționale, chiar ulterioară, fără a trebui să solicite sau să aștepte eliminarea prealabilă a acesteia pe cale legislativă sau prin orice alt procedeu constituțional [a se vedea în acest sens Hotărârea din 15 iulie 1964, Costa, 6/64, EU:C:1964:66, p. 1159 și 1160, Hotărârea din 19 noiembrie 2019, A. K. și alții (Independența Camerei disciplinare a Curții Supreme), C‑585/18, C‑624/18 și C‑625/18, EU:C:2019:982, punctele 157, 158 și 160, precum și Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 214 și 215].

119 Numai Curtea poate, cu titlu excepțional și pentru considerații imperative de securitate juridică, să acorde o suspendare provizorie a efectului de înlăturare avut de o normă din dreptul Uniunii asupra dreptului național contrar acesteia. O asemenea limitare în timp a efectelor interpretării acestui drept de către Curte nu poate fi acordată decât în însăși hotărârea care se pronunță asupra interpretării solicitate. S‑ar aduce atingere supremației și aplicării uniforme a dreptului Uniunii dacă instanțele naționale ar avea puterea de a conferi dispozițiilor naționale supremație în raport cu dreptul Uniunii față de care aceste dispoziții sunt contrare, chiar și numai cu titlu provizoriu (Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctele 216 și 217, precum și jurisprudența citată).

120 Desigur, Curtea a considerat, într‑o cauză privind legalitatea unor măsuri adoptate cu încălcarea obligației prevăzute de dreptul Uniunii de a efectua o evaluare prealabilă a efectelor unui proiect asupra mediului și asupra unui sit protejat, că o instanță națională poate, dacă dreptul intern permite aceasta, să mențină în mod excepțional efectele unor asemenea măsuri atunci când menținerea respectivă este justificată de considerații imperative legate de necesitatea de a înlătura o amenințare reală și gravă de întrerupere a aprovizionării cu energie electrică a statului membru vizat căreia nu i se poate face față prin alte mijloace și alternative, în special în cadrul pieței interne, menținerea citată neputând acoperi decât perioada strict necesară pentru remedierea acestei nelegalități (a se vedea în acest sens Hotărârea din 29 iulie 2019, Inter‑Environnement Wallonie și Bond Beter Leefmilieu Vlaanderen, C‑411/17, EU:C:2019:622, punctele 175, 176, 179 și 181).

121 Totuși, spre deosebire de omiterea unei obligații procedurale precum evaluarea prealabilă a efectelor unui proiect, care se înscrie în domeniul specific al protecției mediului, o încălcare a articolului 15 alineatul (1) din Directiva 2002/58, interpretat în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din cartă, nu poate face obiectul unei regularizări pe calea unei proceduri comparabile cu cea menționată la punctul anterior (a se vedea în acest sens Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 219).

122 Astfel, menținerea efectelor unei legislații naționale precum Legea din 2011 ar însemna că această legislație continuă să impună furnizorilor de servicii de comunicații electronice obligații care sunt contrare dreptului Uniunii și care implică ingerințe grave în drepturile fundamentale ale persoanelor ale căror date au fost păstrate (a se vedea prin analogie Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 219).

123 Prin urmare, instanța de trimitere nu poate limita în timp efectele unei declarații de nevaliditate pe care are obligația să o efectueze în temeiul dreptului național, în ceea ce privește legislația națională în discuție în litigiul principal (a se vedea prin analogie Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791, punctul 220).

124 În această privință, după cum a arătat domnul avocat general în esență la punctul 75 din concluzii, împrejurarea că această legislație națională a fost adoptată în vederea transpunerii Directivei 2006/24 în dreptul național este lipsită de relevanță din moment ce, din cauza invalidării acestei directive de către Curte, invalidare ale cărei efecte se produc de la data intrării sale în vigoare (a se vedea în acest sens Hotărârea din 8 februarie 1996, FMC și alții, C‑212/94, EU:C:1996:40, punctul 55), validitatea acestei legislații naționale trebuie apreciată de instanța de trimitere în lumina Directivei 2002/58 și a cartei, astfel cum au fost interpretate de Curte.

125 În ceea ce privește, mai precis, interpretarea Directivei 2002/58 și a cartei reținută de Curte în special în Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții (C‑203/15 și C‑698/15, EU:C:2016:970), și în Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), trebuie amintit că, potrivit unei jurisprudențe constante, interpretarea pe care Curtea o dă unei norme a dreptului Uniunii în exercitarea competenței pe care i‑o conferă articolul 267 TFUE lămurește și precizează semnificația și domeniul de aplicare ale acestei norme, astfel cum trebuie sau cum ar fi trebuit să fie înțeleasă și aplicată de la momentul intrării sale în vigoare. Rezultă că norma astfel interpretată poate și trebuie să fie aplicată de instanță raporturilor juridice născute și constituite înainte de pronunțarea hotărârii asupra cererii de interpretare, dacă, pe de altă parte, sunt întrunite condițiile care permit sesizarea instanțelor competente cu un litigiu referitor la aplicarea normei respective (Hotărârea din 16 septembrie 2020, Romenergo și Aris Capital, C‑339/19, EU:C:2020:709, punctul 47, precum și jurisprudența citată).

126 În această privință, trebuie să se mai precizeze că o limitare în timp a efectelor interpretării reținute nu a fost efectuată în Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții (C‑203/15 și C‑698/15, EU:C:2016:970), și în Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), astfel încât, conform jurisprudenței amintite la punctul 119 din prezenta hotărâre, ea nu poate interveni într‑o hotărâre a Curții ulterioară acestora.

127 În sfârșit, în ceea ce privește incidența constatării eventualei incompatibilități a Legii din 2011 cu Directiva 2002/58, interpretată în lumina cartei, asupra admisibilității probelor invocate împotriva lui G. D. în cadrul procedurii penale, este suficient să se facă trimitere la jurisprudența aferentă a Curții, în special la principiile amintite la punctele 41-44 din Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice) (C‑746/18, EU:C:2021:152), din care rezultă că această admisibilitate intră în sfera de aplicare a dreptului național, în conformitate cu principiul autonomiei procedurale a statelor membre, sub rezerva respectării printre altele a principiilor echivalenței și efectivității.

128 Având în vedere considerațiile care precedă, este necesar să se răspundă la a cincea și la a șasea întrebare că dreptul Uniunii trebuie interpretat în sensul că se opune ca o instanță națională să limiteze în timp efectele unei declarații de nevaliditate pe care are obligația să o efectueze în temeiul dreptului național, în ceea ce privește o legislație națională care impune furnizorilor de servicii de comunicații electronice o păstrare generalizată și nediferențiată a datelor de transfer și a datelor de localizare, din cauza incompatibilității acestei legislații cu articolul 15 alineatul (1) din Directiva 2002/58, citit în lumina cartei. Admisibilitatea elementelor de probă obținute prin intermediul unei asemenea păstrări intră în sfera de aplicare a dreptului național, în conformitate cu principiul autonomiei procedurale a statelor membre, sub rezerva respectării printre altele a principiilor echivalenței și efectivității.

Cu privire la cheltuielile de judecată

129 Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

Pentru aceste motive, Curtea (Marea Cameră) declară:

1) Articolul 15 alineatul (1) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009, citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene, trebuie interpretat în sensul că se opune unor măsuri legislative care prevăd, cu titlu preventiv, în scopul combaterii criminalității grave și al prevenirii amenințărilor grave împotriva siguranței publice, o păstrare generalizată și nediferențiată a datelor de transfer și a datelor de localizare. În schimb, articolul 15 alineatul (1) menționat, interpretat în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale, nu se opune unor măsuri legislative care prevăd, în scopul combaterii criminalității grave și al prevenirii amenințărilor grave împotriva siguranței publice,

– o păstrare generalizată și nediferențiată a adreselor IP atribuite sursei unei conexiuni, pentru o perioadă limitată la strictul necesar;

– o păstrare generalizată și nediferențiată a datelor referitoare la identitatea civilă a utilizatorilor de mijloace de comunicații electronice și

2) Articolul 15 alineatul (1) din Directiva 2002/58, astfel cum a fost modificată prin Directiva 2009/136, citit în lumina articolelor 7, 8, 11 și a articolului 52 alineatul (1) din Carta drepturilor fundamentale, trebuie interpretat în sensul că se opune unei legislații naționale în temeiul căreia prelucrarea centralizată a cererilor de acces la date păstrate de furnizorii de servicii de comunicații electronice, care provin de la poliție în cadrul investigării și al urmăririi penale a infracțiunilor grave, revine unui funcționar al poliției, asistat de o unitate instituită în cadrul poliției care beneficiază de un anumit grad de autonomie în exercitarea misiunii sale și ale cărui decizii pot face ulterior obiectul unui control jurisdicțional.

3) Dreptul Uniunii trebuie interpretat în sensul că se opune ca o instanță națională să limiteze în timp efectele unei declarații de nevaliditate pe care are obligația să o efectueze în temeiul dreptului național, în ceea ce privește o legislație națională care impune furnizorilor de servicii de comunicații electronice o păstrare generalizată și nediferențiată a datelor de transfer și a datelor de localizare, din cauza incompatibilității acestei legislații cu articolul 15 alineatul (1) din Directiva 2002/58, astfel cum a fost modificată prin Directiva 2009/136, citit în lumina Cartei drepturilor fundamentale. Admisibilitatea elementelor de probă obținute prin intermediul unei asemenea păstrări intră în sfera de aplicare a dreptului național, în conformitate cu principiul autonomiei procedurale a statelor membre, sub rezerva respectării printre altele a principiilor echivalenței și efectivității.

Semnături

* Limba de procedură: engleza.