CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:838

Voorlopige editie

CONCLUSIE VAN ADVOCAAT-GENERAAL

M. SZPUNAR

van 27 oktober 2022 (1)

Zaak C‑470/21

La Quadrature du Net,

Fédération des fournisseurs d’accès à Internet associatifs,

Franciliens.net,

French Data Network

tegen

Premier ministre,

Ministère de la Culture

[verzoek van de Conseil d’État (hoogste bestuursrechter, Frankrijk) om een prejudiciële beslissing]

„Prejudiciële verwijzing – Verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Richtlijn 2002/58/EG – Artikel 15, lid 1 – Mogelijkheid voor de lidstaten om de reikwijdte van bepaalde rechten en plichten te beperken – Verplichting tot voorafgaande toetsing door een rechterlijke instantie of onafhankelijke bestuurlijke entiteit met dwingende bevoegdheden – Met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit”

I. Inleiding

1. De bewaring van en de toegang tot bepaalde gegevens van internetgebruikers is een onderwerp dat voortdurend in het nieuws is en waarover een recente, maar reeds overvloedige rechtspraak van het Hof bestaat.

2. De onderhavige zaak biedt het Hof de gelegenheid dit onderwerp opnieuw aan de orde te stellen, in de hernieuwde context van de strijd tegen inbreuken op intellectuele-eigendomsrechten die uitsluitend online worden gepleegd.

II. Toepasselijke bepalingen

A. Unierecht

3. In de overwegingen 2, 6, 7, 11, 22, 26 en 30 van richtlijn 2002/58/EG(2) staat te lezen:

„(2) Deze richtlijn strekt tot eerbiediging van de grondrechten en beginselen die tot uitdrukking zijn gebracht in met name het Handvest van de grondrechten van de Europese Unie [(hierna: ‚Handvest’)]. In het bijzonder strekt deze richtlijn tot volledige eerbiediging van de in de artikelen 7 en 8 bedoelde rechten van het [Handvest].

[...]

(6) Het internet vervangt traditionele marktstructuren door te voorzien in een gemeenschappelijke, wereldwijde infrastructuur voor de levering van een breed scala van elektronischecommunicatiediensten. Algemeen beschikbare elektronischecommunicatiediensten via het internet bieden de gebruikers nieuwe mogelijkheden, maar houden ook nieuwe gevaren in voor de bescherming van hun persoonsgegevens en persoonlijke levenssfeer.

(7) Voor openbare communicatienetwerken moeten specifieke wettelijke, bestuursrechtelijke en technische bepalingen worden vastgesteld teneinde de fundamentele rechten en vrijheden van natuurlijke personen en de rechtmatige belangen van rechtspersonen te beschermen tegen met name de steeds grotere mogelijkheden in verband met de geautomatiseerde opslag en verwerking van gegevens met betrekking tot de abonnees en de gebruikers.

[...]

(11) Deze richtlijn is evenmin [als] richtlijn 95/46/EG^[(3)^] van toepassing op vraagstukken met betrekking tot de bescherming van fundamentele rechten en vrijheden in verband met niet onder het gemeenschapsrecht vallende activiteiten. Zij verandert bijgevolg niets aan het bestaande evenwicht tussen het recht van personen op persoonlijke levenssfeer en de mogelijkheid voor de lidstaten om de in artikel 15, lid 1, van deze richtlijn bedoelde maatregelen te nemen, die nodig zijn voor de bescherming van de openbare veiligheid, defensie, staatsveiligheid (met inbegrip van het economisch welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid) en de wetshandhaving op strafrechtelijk gebied. Bijgevolg doet deze richtlijn geen afbreuk aan de mogelijkheid voor de lidstaten om wettelijk toegestane interceptie van elektronische communicatie uit te voeren of andere maatregelen vast te stellen, wanneer dat voor één van voornoemde doeleinden noodzakelijk is, mits zij daarbij het [op 4 november 1950 te Rome ondertekende] Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, zoals geïnterpreteerd in de uitspraken van het Europees Hof voor de rechten van de mens, in acht nemen. Zulke maatregelen dienen passend te zijn voor, en strikt evenredig met, het beoogde doel en noodzakelijk in een democratische samenleving en moeten adequate waarborgen bevatten overeenkomstig het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.

[...]

(22) Het verbod op het opslaan van communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers of zonder hun toestemming is niet bedoeld om de automatische, tussentijdse en tijdelijke opslag van die informatie te verbieden, voor zover deze opslag uitsluitend dient voor het doorzenden in het elektronischecommunicatienetwerk en mits de informatie niet langer wordt opgeslagen dan nodig voor het doorzenden en het beheer van het verkeer, en het vertrouwelijk karakter tijdens de opslag gewaarborgd blijft. [...]

[...]

(26) De gegevens over abonnees die in elektronischecommunicatienetwerken worden verwerkt om verbindingen tot stand te brengen en informatie over te dragen, bevatten informatie over het privéleven van natuurlijke personen en betreffen het recht op respect voor hun correspondentie of de rechtmatige belangen van rechtspersonen. Dergelijke gegevens mogen slechts worden opgeslagen voor zover dat nodig is voor het leveren van de dienst, voor facturering en voor interconnectiebetalingen, en slechts gedurende een beperkte tijd. Elke verdere verwerking van dergelijke gegevens [...] is slechts toegestaan indien de abonnee daarmee heeft ingestemd op basis van precieze en volledige informatie van de aanbieder van de openbare elektronischecommunicatiedienst over de door hem geplande verdere verwerking van de gegevens en over het recht van de abonnee een dergelijke verwerking niet toe te staan of de toestemming daartoe in te trekken. [...]

[...]

(30) Systemen voor elektronischecommunicatienetwerken en -diensten moeten op dusdanige wijze worden ontworpen dat het aantal persoonsgegevens tot het strikt noodzakelijke minimum wordt beperkt. [...]”

4. Artikel 2 van deze richtlijn, met als opschrift „Definities”, luidt:

„[...]

Daarnaast wordt in deze richtlijn verstaan onder:

a) ‚gebruiker’: natuurlijke persoon die gebruikmaakt van een openbare elektronischecommunicatiedienst voor particuliere of zakelijke doeleinden zonder noodzakelijkerwijze op die dienst te zijn geabonneerd;

b) ‚verkeersgegevens’: gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronischecommunicatienetwerk of voor de facturering ervan;

c) ‚locatiegegevens’: gegevens die in een elektronischecommunicatienetwerk of door een elektronischecommunicatiedienst worden verwerkt, waarmee de geografische positie van de eindapparatuur van een gebruiker van een openbare elektronischecommunicatiedienst wordt aangegeven;

d) ‚communicatie’: informatie die wordt uitgewisseld of overgebracht tussen een eindig aantal partijen door middel van een openbare elektronischecommunicatiedienst. Dit omvat niet de informatie die via een omroepdienst over een elektronischecommunicatienetwerk wordt overgebracht, behalve wanneer de informatie kan worden gerelateerd aan de identificeerbare abonnee of gebruiker die de informatie ontvangt;

[...]”

5. Artikel 3 van die richtlijn, met als opschrift „Betrokken diensten”, bepaalt:

„Deze richtlijn is van toepassing op de verwerking van persoonsgegevens in verband met de levering van openbare elektronischecommunicatiediensten over openbare communicatienetwerken in de Gemeenschap, met inbegrip van openbare communicatienetwerken die systemen voor gegevensverzameling en identificatie ondersteunen.”

6. Artikel 5 van de richtlijn, met als opschrift „Vertrouwelijk karakter van de communicatie”, luidt:

„1. De lidstaten garanderen via nationale wetgeving het vertrouwelijke karakter van de communicatie en de daarmee verband houdende verkeersgegevens via openbare communicatienetwerken en via openbare elektronischecommunicatiediensten. Zij verbieden met name het afluisteren, aftappen, opslaan of anderszins onderscheppen of controleren van de communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers, indien de betrokken gebruikers daarin niet hebben toegestemd, tenzij dat bij wet is toegestaan overeenkomstig artikel 15, lid 1. Dit lid laat de technische opslag die nodig is voor het overbrengen van informatie onverlet, onverminderd het vertrouwelijkheidsbeginsel.

[...]

3. De lidstaten dragen ervoor zorg dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig [richtlijn 95/46], onder meer over de doeleinden van de verwerking. Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een communicatie over een elektronisch communicatienetwerk, of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert.”

7. Artikel 6 van richtlijn 2002/58, met als opschrift „Verkeersgegevens”, bepaalt:

„1. Verkeersgegevens met betrekking tot abonnees en gebruikers die worden verwerkt en opgeslagen door de aanbieder van een openbaar elektronischecommunicatienetwerk of -dienst, moeten, wanneer ze niet langer nodig zijn voor het doel van de transmissie van communicatie, worden gewist of anoniem gemaakt, onverminderd de leden 2, 3 en 5, alsmede artikel 15, lid 1.

2. Verkeersgegevens die noodzakelijk zijn ten behoeve van de facturering van abonnees en interconnectiebetalingen mogen worden verwerkt. Die verwerking is slechts toegestaan tot aan het einde van de termijn waarbinnen de rekening in rechte kan worden aangevochten of de betaling kan worden afgedwongen.

[...]”

8. Artikel 15 van deze richtlijn, met als opschrift „Toepassing van een aantal bepalingen van [richtlijn 95/46]”, bepaalt in lid 1:

„De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1, 2, 3 en 4, en artikel 9 van deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronischecommunicatiesysteem als bedoeld in artikel 13, lid 1, van [richtlijn 95/46]. Daartoe kunnen de lidstaten o.a. wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren om de redenen die in dit lid worden genoemd. Alle in dit lid bedoelde maatregelen dienen in overeenstemming te zijn met de algemene beginselen van het [Unierecht], met inbegrip van de beginselen als bedoeld in artikel 6, leden 1 en 2, [VEU].”

B. Frans recht

1. CPI

9. Artikel L. 331‑12 van de code de la propriété intellectuelle (wetboek van intellectuele eigendom; hierna: „CPI”), in de op het hoofdgeding toepasselijke versie, bepaalt:

„De Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet [(hoge autoriteit voor de verspreiding van werken en de bescherming van rechten op het internet; hierna: ‚Hadopi’)] is een onafhankelijke overheidsinstantie.”

10. Artikel L. 331‑13 CPI bepaalt:

„[Hadopi]:

[...]

2° heeft tot taak [op elektronischecommunicatienetwerken verspreide werken en voorwerpen waarop auteursrechten of naburige rechten rusten] te beschermen tegen inbreuken op die rechten die worden gepleegd op elektronischecommunicatienetwerken voor de levering van online communicatiediensten aan het publiek;

[...]”

11. Artikel L. 331‑15 CPI luidt:

„[Hadopi] bestaat uit een college en een commissie voor bescherming van rechten. [...]

[...]

Bij de uitvoering van hun taken ontvangen de leden van het college en van de commissie voor bescherming van rechten geen instructies van andere organen.”

12. Artikel L. 331‑17 van dat wetboek bepaalt:

„De commissie voor bescherming van rechten is belast met het nemen van de in artikel L. 331‑25 bedoelde maatregelen.”

13. Artikel L. 331‑21 CPI bepaalt:

„Voor de uitoefening van de taken van de commissie voor bescherming van rechten beschikt [Hadopi] over beëdigde overheidsambtenaren die door [haar] voorzitter gemachtigd zijn onder voorwaarden die zijn vastgesteld in een decreet waarover voorafgaandelijk het advies van de Conseil d’État [(hoogste bestuursrechter, Frankrijk)] is ingewonnen. [...]

De leden van de commissie voor bescherming van rechten en de in de eerste alinea genoemde ambtenaren ontvangen de aan deze commissie voorgelegde zaken onder de in artikel L. 331‑24 vastgestelde voorwaarden. Zij onderzoeken de feiten.

Zij kunnen ten behoeve van de procedure alle documenten verkrijgen ongeacht de drager ervan, daaronder begrepen de gegevens die bewaard en verwerkt worden door de exploitanten van elektronischecommunicatiediensten overeenkomstig artikel L. 34‑1 van de code des postes et des communications électroniques [(wetboek van posterijen en elektronische communicatie)] en door de dienstverrichters die worden genoemd in artikel 6, lid I, punten 1 en 2, van loi n° 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique [(wet nr. 2004‑575 van 21 juni 2004 voor het vertrouwen in de digitale economie)].

Zij kunnen ook een afschrift van de in de vorige alinea genoemde documenten ontvangen.

Zij kunnen met name van de exploitanten van elektronischecommunicatiediensten de identiteit, het postadres, het e-mailadres en de telefoongegevens verkrijgen van de abonnee van wie de toegang tot openbare online communicatiediensten is gebruikt voor doeleinden van reproductie, weergave, terbeschikkingstelling of mededeling aan het publiek van beschermde werken of voorwerpen zonder toestemming van de houders van de [...] rechten, wanneer deze toestemming wordt vereist.”

14. Artikel L. 331‑24 CPI bepaalt:

„De commissie voor bescherming van rechten handelt op basis van de voorlegging van zaken door beëdigde en gemachtigde ambtenaren [...] die zijn benoemd door:

– regelmatig opgerichte organisaties voor de bescherming van beroepsbelangen;

– organisaties voor collectief beheer;

– het Centre national du cinéma et de l’image animée [(nationaal centrum voor cinematografie en bewegend beeld)].

De commissie voor bescherming van rechten kan ook handelen op basis van informatie die haar door het openbaar ministerie wordt verstrekt.

Feiten die van meer dan zes maanden geleden dateren, mogen niet aan haar worden voorgelegd.”

15. Artikel L. 331‑25 van dit wetboek, dat de procedure van een stapsgewijze reactie („graduated response”) regelt, luidt als volgt:

„Wanneer de commissie kennis krijgt van feiten die een geval van niet-nakoming kunnen vormen van de in artikel L. 336‑3 [CPI] omschreven verplichting, kan de commissie voor bescherming van rechten de abonnementhouder [...] een aanbeveling sturen waarbij hij wordt gewezen op de bepalingen van artikel L. 336‑3, hem wordt gelast de daarin omschreven verplichting na te komen en hij wordt gewaarschuwd voor de sancties die hij krachtens de artikelen L. 335‑7 en L. 335‑7‑1 riskeert. Deze aanbeveling bevat ook informatie voor de abonnementhouder over het legale aanbod van culturele online inhoud, over het bestaan van veiligheidsmaatregelen om te verhinderen dat de in artikel L. 336‑3 omschreven verplichting niet wordt nagekomen, alsmede over de gevaren die de praktijken waarbij het auteursrecht en naburige rechten niet worden geëerbiedigd inhouden voor de vernieuwing van artistiek scheppend werk en voor de economie van de culturele sector.

Bij herhaling – binnen een termijn van zes maanden na de in de eerste alinea bedoelde aanbeveling – van de feiten die een dergelijk geval van niet-nakoming kunnen vormen kan de commissie langs elektronische weg een nieuwe aanbeveling sturen die dezelfde informatie als de vorige bevat [...]. Zij moet deze aanbeveling vergezeld doen gaan van een brief die tegen ondertekening wordt overhandigd of van enig ander middel waarmee het bewijs kan worden geleverd van de datum van aanbieding van deze aanbeveling.

De krachtens dit artikel verstuurde aanbevelingen vermelden de datum en het tijdstip waarop de feiten die een niet-nakoming van de in artikel L. 336‑3 omschreven verplichting kunnen opleveren, zijn vastgesteld. Zij maken echter de inhoud van de beschermde werken of voorwerpen waarop deze inbreuk betrekking heeft, niet bekend. Zij vermelden de telefoon-, post- en elektronische contactgegevens waar de geadresseerde desgewenst opmerkingen kan indienen bij de commissie voor bescherming van rechten en, indien hij daar uitdrukkelijk om verzoekt, bijzonderheden kan verkrijgen over de inhoud van de beschermde werken of voorwerpen waarop de hem verweten niet-nakoming betrekking heeft.”

16. Artikel L. 331‑29 van dat wetboek bepaalt:

„Toegestaan wordt de totstandbrenging door [Hadopi] van een systeem voor de geautomatiseerde verwerking van persoonsgegevens die betrekking hebben op personen tegen wie in het kader van deze onderafdeling een procedure is ingesteld.

Dit systeem strekt ertoe dat de commissie voor bescherming van rechten de in deze onderafdeling bedoelde maatregelen neemt, alle daarmee verband houdende proceshandelingen verricht, de regels toepast die betrekking hebben op de informatieverstrekking aan de organisaties voor de bescherming van beroepsbelangen en aan de organisaties voor collectief beheer van de eventuele zaken die aan de rechter zijn voorgelegd, alsmede de in de vijfde alinea van artikel L. 335‑7 bedoelde kennisgevingen doet.

Bij decreet [...] worden de nadere regels voor de toepassing van dit artikel vastgesteld. Hierin wordt met name het volgende gepreciseerd:

– de categorieën van gegevens die worden geregistreerd en hoelang deze gegevens worden bewaard;

– degenen die bevoegd zijn om van deze gegevens kennis te nemen, met name degenen van wie de werkzaamheden bestaan in het aanbieden van toegang tot openbare online communicatiediensten;

– de voorwaarden waaronder belanghebbenden bij [Hadopi] hun recht op toegang tot de hen betreffende gegevens kunnen uitoefenen [...].”

17. Artikel R. 331‑37 CPI bepaalt:

„De [...] exploitanten van elektronischecommunicatiediensten en de [...] dienstverrichters zijn verplicht om via een koppeling met het in artikel L. 331‑29 genoemde systeem voor de geautomatiseerde verwerking van persoonsgegevens of door middel van een gegevensdrager die de volledigheid en veiligheid van die gegevens waarborgt, persoonsgegevens en de in punt 2 van de bijlage bij [décret n^o 2010‑236, du 5 mars 2010, relatif au traitement automatisé des données à caractère personnel autorisé par l’article L. 331‑29 du CPI dénommé ‚Système de gestion des mesures pour la protection des œuvres sur Internet’ (decreet nr. 2010‑236 van 5 maart 2010 betreffende de geautomatiseerde verwerking van persoonsgegevens die bekendstaat onder de benaming ‚Systeem voor het beheer van maatregelen voor de bescherming van werken op het internet’ en die wordt toegestaan door artikel L. 331‑29 CPI(4))] vermelde informatie mee te delen binnen een termijn van acht dagen die volgt op het tijdstip waarop de commissie voor bescherming van rechten de technische gegevens verstrekt die nodig zijn voor de identificatie van de abonnee van wie de toegang tot openbare online communicatiediensten is gebruikt voor doeleinden van reproductie, weergave, terbeschikkingstelling of mededeling aan het publiek van beschermde werken of voorwerpen zonder toestemming van de houders van de [...] rechten, wanneer deze toestemming wordt vereist.

[...]”

18. Artikel R. 335‑5 CPI bepaalt:

„I.- Er is sprake van grove nalatigheid, die wordt bestraft met een geldboete voor overtredingen van de vijfde categorie, wanneer de houder van een aansluiting op openbare online communicatiediensten, zonder legitieme reden en terwijl aan de in lid II gestelde voorwaarden is voldaan:

1° Hetzij geen middel voor de beveiliging van deze toegang heeft aangebracht;

2° Hetzij bij het gebruik van dit middel niet de nodige zorgvuldigheid heeft betracht.

II.- Het bepaalde in lid I is slechts van toepassing indien aan de volgende twee voorwaarden is voldaan:

1° De houder van de aansluiting heeft krachtens artikel L. 331‑25 en op de in dat artikel bepaalde wijze van de commissie voor bescherming van rechten een aanbeveling ontvangen om een middel voor de beveiliging van zijn toegang aan te brengen, waardoor wordt voorkomen dat deze toegang opnieuw wordt gebruikt voor doeleinden van reproductie, weergave, terbeschikkingstelling of mededeling aan het publiek van door een auteursrecht of naburig recht beschermde werken of voorwerpen zonder toestemming van de houders van de [...] rechten, wanneer deze toestemming wordt vereist;

2° In het jaar dat volgt op deze aanbeveling is deze toegang opnieuw gebruikt voor de in punt 1 van dit lid II genoemde doeleinden.”

19. Artikel L. 336‑3 van dit wetboek luidt als volgt:

„De houder van een aansluiting op openbare online communicatiediensten moet ervoor zorgen dat deze toegang niet wordt gebruikt voor doeleinden van reproductie, weergave, terbeschikkingstelling of mededeling aan het publiek van door een auteursrecht of naburig recht beschermde werken of voorwerpen zonder toestemming van de [rechthebbenden] [...], wanneer deze toestemming wordt vereist.

Indien de houder van de aansluiting de in de eerste alinea genoemde verplichting niet nakomt, leidt dit niet tot strafrechtelijke aansprakelijk van de betrokkene [...].”

2. Decreet van 5 maart 2010

20. Het decreet van 5 maart 2010, in de op de feiten van het hoofdgeding toepasselijke versie, voorziet in artikel 1 in het volgende:

„Het systeem voor de verwerking van persoonsgegevens genaamd ‚Systeem voor het beheer van maatregelen voor de bescherming van werken op het internet’ heeft tot doel dat de commissie voor bescherming van rechten van [Hadopi]:

1° uitvoering geeft aan de maatregelen waarvan sprake is in boek III van het wetgevende deel van de [CPI] (titel III, hoofdstuk I, afdeling 3, onderafdeling 3) en in boek III van het regelgevende deel van hetzelfde wetboek (titel III, hoofdstuk I, afdeling 2, onderafdeling 2);

2° de feiten die de in de artikelen L. 335‑2, L. 335‑3, L. 335‑4 en R. 335‑5 van hetzelfde wetboek bedoelde inbreuken kunnen opleveren aan het openbaar ministerie voorlegt, alsmede de organisaties voor de bescherming van beroepsbelangen en de organisaties voor collectief beheer op de hoogte stelt van het voorleggen daarvan;

[...]”

21. Artikel 4 van dit decreet luidt:

„I.- De door de voorzitter van [Hadopi] overeenkomstig artikel L. 331‑21 [CPI] gemachtigde beëdigde overheidsambtenaren en de leden van de in artikel 1 bedoelde commissie voor bescherming van rechten hebben rechtstreeks toegang tot de in de bijlage bij dit decreet vermelde persoonsgegevens en informatie.

II.- De in punt 2 van de bijlage bij dit decreet genoemde exploitanten van elektronischecommunicatiediensten en dienstverrichters zijn adressaten van:

– de technische gegevens die nodig zijn om de abonnee te identificeren;

– de aanbevelingen als bedoeld in artikel L. 331‑25 [CPI] met het oog op de verzending ervan via elektronische weg naar hun abonnees;

– de gegevens die nodig zijn voor de uitvoering van bijkomende straffen van opschorting van de toegang tot een openbare online communicatiedienst die door het openbaar ministerie ter kennis van de commissie voor bescherming van rechten zijn gebracht.

III.- De organisaties voor de bescherming van beroepsbelangen en de organisaties voor collectief beheer zijn adressaten van informatie over de zaken die aan het openbaar ministerie zijn voorgelegd.

IV.- De gerechtelijke autoriteiten zijn de adressaten van de processen-verbaal waarbij feiten die de in de artikelen L. 335‑2, L. 335‑3, L. 335‑4, L. 335‑7, R. 331‑37, R. 331‑38 en R. 335‑5 [CPI] bedoelde inbreuken kunnen opleveren zijn vastgesteld.

Het geautomatiseerde strafregister wordt in kennis gesteld van de tenuitvoerlegging van de opschortingsstraf.”

22. De bijlage bij het decreet van 5 maart 2010 bepaalt:

„In het verwerkingssysteem dat bekendstaat onder de benaming ‚Systeem voor het beheer van maatregelen voor de bescherming van werken op het internet’ worden de volgende persoonsgegevens en informatie vastgelegd:

1° Persoonsgegevens en informatie afkomstig van rechtmatig opgerichte organisaties voor de bescherming van beroepsbelangen, organisaties voor collectief beheer en het nationaal centrum voor cinematografie en bewegend beeld alsook van het openbaar ministerie:

Wat betreft de feiten die een geval van niet-nakoming van de in artikel L. 336‑3 [CPI] omschreven verplichting kunnen opleveren:

Datum en tijdstip van de feiten;

IP-adres van de betrokken abonnees;

Gebruikt peer-to-peerprotocol;

Door de abonnee gebruikt pseudoniem;

Informatie over de beschermde werken of voorwerpen waarop de feiten betrekking hebben;

Naam van het bestand zoals aanwezig op de computer van de abonnee (indien van toepassing);

Internetprovider bij wie het abonnement is genomen of die de IP-technische middelen heeft geleverd.

[...]

2° Persoonsgegevens en abonnee-informatie die [...] worden verzameld bij exploitanten van elektronischecommunicatiediensten en [...] dienstverrichters:

Achternaam, voornamen;

Postadres en e-mailadressen;

Telefoonnummer;

Adres van de telefooninstallatie van de abonnee;

Internetprovider, met gebruikmaking van de technische middelen van de in punt 1 genoemde provider, met wie de abonnee een overeenkomst heeft gesloten; dossiernummer;

aanvangsdatum van de opschorting van de toegang tot een openbare online communicatiedienst.

[...]”

3. CPCE

23. Artikel L. 34‑1 van de code des postes et des communications électroniques (wetboek van posterijen en elektronische communicatie), zoals gewijzigd bij artikel 17 van loi n° 2021-998 du 30 juillet 2021 (wet nr. 2021‑998 van 30 juli 2021)(5) (hierna: „CPCE”), bepaalt in lid II bis dat „[d]e exploitanten van elektronischecommunicatiediensten [...] verplicht [zijn] om de volgende gegevens te bewaren:

1° Ten behoeve van strafprocedures, het voorkomen van bedreigingen van de openbare veiligheid en het beschermen van de nationale veiligheid: gegevens inzake de burgerlijke identiteit van de gebruiker, tot vijf jaar na het verstrijken van de geldigheidsduur van zijn overeenkomst;

2° Voor dezelfde doeleinden als bepaald in punt 1 van dit lid II bis: andere gegevens die door de gebruiker bij het aangaan van de overeenkomst of het aanmaken van een account zijn verstrekt, alsmede gegevens betreffende de betaling, tot één jaar na het verstrijken van de geldigheidsduur van zijn overeenkomst of de opzegging van zijn account;

3° Ten behoeve van de bestrijding van ernstige criminaliteit en zware misdaad, het voorkomen van ernstige bedreigingen van de openbare veiligheid en de bescherming van de nationale veiligheid: technische gegevens waarmee de verbindingsbron kan worden geïdentificeerd of gegevens over de gebruikte eindapparatuur, tot één jaar na de datum van de verbinding of het gebruik van de eindapparatuur.”

III. Hoofdgeding, prejudiciële vragen en procedure bij het Hof

24. Bij verzoekschrift van 12 augustus 2019 en twee aanvullende memories van 12 november 2019 en 6 mei 2021 hebben La Quadrature du Net, de Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net en French Data Network bij de Conseil d’État een verzoek ingediend tot nietigverklaring van de stilzwijgende beslissing waarbij de Premier ministre (eerste minister, Frankrijk) hun verzoek tot intrekking van het decreet van 5 maart 2010 heeft afgewezen. Volgens hen maken dit decreet en de bepalingen die er de rechtsgrondslag van vormen een buitensporige inbreuk op de door de Franse grondwet gewaarborgde rechten en is er tevens sprake van strijdigheid met artikel 15 van richtlijn 2002/58 alsmede met de artikelen 7, 8, 11 en 52 van het Handvest.

25. In het bijzonder betogen verzoeksters in het hoofdgeding dat het decreet van 5 maart 2010 en de bepalingen die er de rechtsgrondslag van vormen op onevenredige wijze de toegang toestaan tot verbindingsgegevens voor op het internet gepleegde inbreuken op het auteursrecht die niet ernstig zijn, zonder dat er sprake is van voorafgaande toetsing door een rechter of een autoriteit die garanties biedt inzake onafhankelijkheid en onpartijdigheid.

26. Dienaangaande benadrukt de verwijzende rechter om te beginnen dat het Hof in zijn meest recente arrest La Quadrature du Net e.a.(6) heeft geoordeeld dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, zich niet verzet tegen wettelijke maatregelen die ten behoeve van de bescherming van de nationale veiligheid, de bestrijding van criminaliteit en de bescherming van de openbare veiligheid voorzien in een algemene en ongedifferentieerde bewaring van de gegevens inzake de burgerlijke identiteit van de gebruikers van elektronischecommunicatiemiddelen. Volgens de verwijzende rechter is een dergelijke bewaring van gegevens dus, zonder specifieke tijdslimiet, mogelijk met het oog op het onderzoeken, opsporen en vervolgen van strafbare feiten in het algemeen.

27. De verwijzende rechter concludeert dat het door verzoeksters in het hoofdgeding aangevoerde middel dat het decreet van 5 maart 2010 onrechtmatig is omdat dit decreet is vastgesteld in het kader van de bestrijding van niet-ernstig strafbare feiten, dus alleen maar kan worden afgewezen.

28. Vervolgens brengt deze rechter in herinnering dat het Hof in zijn arrest Tele2 Sverige en Watson(7) heeft geoordeeld dat artikel 15, lid 1, van richtlijn 2002/58, gelezen tegen de achtergrond van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, in die zin moet worden uitgelegd dat het zich verzet tegen een nationale regeling die de bescherming en de beveiliging van de verkeersgegevens en de locatiegegevens en in het bijzonder de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens regelt zonder dat die toegang aan een voorafgaand toezicht door een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit is onderworpen.

29. Hij merkt op dat het Hof in het arrest Tele2(8) heeft aangegeven dat het, om te waarborgen dat deze voorwaarden in de praktijk ten volle in acht worden genomen, van wezenlijk belang is dat de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens in beginsel – behalve in gevallen van naar behoren gerechtvaardigde spoedeisendheid – wordt onderworpen aan een voorafgaand toezicht door een rechterlijke instantie of door een onafhankelijke bestuurlijke entiteit, en dat deze rechterlijke instantie of deze entiteit haar beslissing geeft op een met redenen omkleed verzoek van deze autoriteiten dat met name is ingediend in het kader van procedures ter voorkoming, opsporing of vervolging van strafbare feiten.

30. De verwijzende rechter benadrukt dat het Hof dit vereiste in herinnering heeft gebracht in het arrest La Quadrature du Net e.a.(9), met betrekking tot het realtime opvragen van verbindingsgegevens door inlichtingendiensten, alsook in het arrest Prokuratuur (Voorwaarden voor toegang tot elektronischecommunicatiegegevens)(10), met betrekking tot de toegang van de nationale instanties tot verbindingsgegevens.

31. Tot slot merkt de verwijzende rechter op dat Hadopi sinds haar oprichting in 2009 meer dan 12,7 miljoen aanbevelingen aan abonnementhouders heeft gezonden overeenkomstig de in artikel L. 331‑25 CPI geregelde „graduated response”-procedure, waarvan 827 791 alleen al in 2019. Daartoe moeten de ambtenaren van de commissie voor bescherming van rechten van Hadopi elk jaar een aanzienlijke hoeveelheid gegevens betreffende de burgerlijke identiteit van de betrokken gebruikers kunnen verzamelen. De verwijzende rechter is, gezien het aantal aanbevelingen, van mening dat de uitvoering van de aanbevelingen onmogelijk dreigt te worden gemaakt wanneer deze inzameling aan een voorafgaande toetsing wordt onderworpen.

32. In die omstandigheden heeft de Conseil d’État de behandeling van de zaak geschorst en het Hof verzocht om een prejudiciële beslissing over de volgende vragen:

„1) Behoren de met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit tot de verkeers- en locatiegegevens waarvoor een rechterlijke instantie of onafhankelijke bestuurlijke entiteit met dwingende bevoegdheden in beginsel een voorafgaande toetsing moet verrichten?

2) Indien de eerste vraag bevestigend wordt beantwoord, moet [richtlijn 2002/58], gelezen in het licht van het [Handvest], dan gelet op de geringe gevoeligheid van de gegevens betreffende de burgerlijke identiteit van de gebruikers, daaronder begrepen hun contactgegevens, aldus worden uitgelegd dat zij zich verzet tegen een nationale regeling op grond waarvan deze met het IP-adres van de gebruikers overeenkomende gegevens worden verzameld door een administratieve instantie, zonder dat een rechterlijke instantie of onafhankelijke bestuurlijke entiteit met dwingende bevoegdheden een voorafgaande toetsing verricht?

3) Indien de tweede vraag bevestigend wordt beantwoord, staat richtlijn 2002/58 er dan aan in de weg dat deze toetsing op een aangepaste wijze wordt verricht, bijvoorbeeld op geautomatiseerde wijze, in voorkomend geval onder het toezicht van een interne dienst van het orgaan die garanties biedt inzake onafhankelijkheid en onpartijdigheid ten opzichte van de ambtenaren die belast zijn met het verzamelen van de gegevens betreffende de burgerlijke identiteit, een en ander gelet op de geringe gevoeligheid van deze gegevens, op de omstandigheid dat dit de enige gegevens zijn die mogen worden verzameld en dit enkel ter voorkoming van de niet-nakoming van verplichtingen die op nauwkeurige, limitatieve en restrictieve wijze zijn vastgesteld in het nationale recht, en op de omstandigheid dat een systematische toetsing van de toegang tot de gegevens van iedere gebruiker door een rechterlijke instantie of derde bestuurlijke entiteit met dwingende bevoegdheden afbreuk zou kunnen doen aan de vervulling van de openbaredienstverleningstaak die is opgedragen aan de – zelf onafhankelijke – administratieve instantie die deze gegevens verzamelt?”

33. Verzoeksters in het hoofdgeding, de Franse, de Estse, de Zweedse en de Noorse regering, alsmede de Europese Commissie hebben schriftelijke opmerkingen ingediend. Dezelfde partijen, met uitzondering van de Estse, de Deense en de Finse regering, waren op de zitting van 5 juli 2022 aanwezig.

IV. Analyse

A. Eerste en tweede prejudiciële vraag

34. Met zijn eerste en zijn tweede prejudiciële vraag, die mijns inziens samen moeten worden onderzocht, wenst de verwijzende rechter in wezen te vernemen of artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11, alsmede van artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich verzet tegen een nationale regeling die toestaat dat een administratieve instantie die belast is met de bescherming van auteursrechten en naburige rechten tegen op het internet gepleegde inbreuken op deze rechten, toegang heeft tot met IP-adressen overeenkomende gegevens betreffende de burgerlijke identiteit, zodat deze instantie de houders van deze adressen die ervan worden verdacht verantwoordelijk te zijn voor de inbreuken kan identificeren en in voorkomend geval tegen hen kan optreden, zonder dat deze toegang vooraf door een rechter of een onafhankelijke bestuurlijke entiteit wordt getoetst.

1. Afbakening van de prejudiciële vragen

a) Voorafgaande verzameling van IP-adressen door organisaties van rechthebbenden

35. Uit de verwijzingsbeslissing blijkt dat het in het hoofdgeding aan de orde zijnde „graduate response”-mechanisme bestaat uit twee opeenvolgende gegevensverwerkingen, waarvan de eerste bestaat in de voorafgaande verzameling, door organisaties van rechthebbenden, van IP-adressen op de peer-to-peernetwerken van personen die inbreuk op het auteursrecht maken, en de tweede in het – door Hadopi nadat de zaak aan haar is voorgelegd – koppelen van deze IP-adressen aan de burgerlijke identiteit, met het oog op het verzenden van aanbevelingen aan de personen wier toegang tot openbare online communicatiediensten in strijd met het auteursrecht is gebruikt.

36. De eerste en de tweede prejudiciële vraag hebben uitsluitend betrekking op de tweede verwerking door Hadopi.

37. Verzoeksters in het hoofdgeding betogen evenwel dat de eerste verwerking door het Hof moet worden onderzocht, omdat indien deze IP-adressen in strijd met de bepalingen van richtlijn 2002/58 zijn verkregen, het gebruik ervan in de tweede verwerking noodzakelijkerwijs in strijd is met deze bepalingen.

38. Deze redenering kan niet overtuigen. Artikel 3, lid 1, van richtlijn 2002/58 beperkt de werkingssfeer van de richtlijn tot „de verwerking van persoonsgegevens in verband met de levering van elektronischecommunicatiediensten”. Zoals de Franse regering ter terechtzitting heeft verklaard, verkrijgen de organisaties van rechthebbenden de betrokken IP-adressen echter niet via aanbieders van elektronischecommunicatiediensten, maar rechtstreeks online, door gegevens te raadplegen die voor een breed publiek beschikbaar zijn.

39. Derhalve kan enkel worden vastgesteld dat het vooraf verzamelen van IP-adressen door de organisaties van rechthebbenden niet door de bepalingen van richtlijn 2002/58 wordt geraakt en, zoals de Commissie opmerkt, dus in het licht van de bepalingen van verordening (EU) 2016/679(11) kan worden geanalyseerd. Het lijkt mij dan ook dat een dergelijke analyse buiten het bestek van de aan het Hof voorgelegde prejudiciële vragen valt, temeer omdat de verwijzende rechter met betrekking tot het voorafgaand verzamelen geen preciseringen aandraagt die het Hof in staat zouden kunnen stellen een nuttig antwoord te geven.

40. In deze omstandigheden zal ik mijn analyse toespitsen op de kwestie van de toegang van Hadopi tot de met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit.

b) Koppeling van IP-adressen aan gegevens betreffende de burgerlijke identiteit

41. De eerste en de tweede prejudiciële vraag hebben betrekking op „de met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit”, die volgens de verwijzende rechter in geringe mate gevoelig zijn. Deze rechter refereert in zijn beslissing uitsluitend aan de punten van het arrest La Quadrature du Net e.a. die betrekking hebben op de bewaring van gegevens betreffende de burgerlijke identiteit.

42. Het is juist dat in de rechtspraak van het Hof onderscheid wordt gemaakt tussen de regeling inzake de bewaring van en de toegang tot IP-adressen en die inzake de bewaring van en de toegang tot gegevens betreffende de burgerlijke identiteit van gebruikers van elektronischecommunicatiemiddelen, waarbij de laatste minder streng is dan de eerste.(12)

43. Het komt mij echter voor dat het in het onderhavige geval, ondanks de formulering van deze twee prejudiciële vragen, niet gaat om de enkele toegang tot de burgerlijke identiteitsgegevens van gebruikers van elektronischecommunicatiemiddelen, maar veeleer om de koppeling van deze gegevens aan de IP-adressen waarover Hadopi beschikt nadat de organisaties van rechthebbenden deze adressen hebben verzameld en doorgegeven. Zoals de Commissie opmerkt, is de toegang van Hadopi tot gegevens betreffende de burgerlijke identiteit bedoeld om een ruimere reeks gegevens te ontsluiten, met name IP-adressen en uittreksels uit geraadpleegde bestanden, en de exploitatie daarvan mogelijk te maken, aangezien gegevens betreffende de burgerlijke identiteit en IP-adressen los van elkaar niet van belang zijn voor de nationale autoriteiten. Noch de burgerlijke identiteit noch IP-adressen kunnen immers op zichzelf – wanneer zij niet aan elkaar zijn gekoppeld – informatie verschaffen over de online activiteiten van natuurlijke personen.

44. Hieruit volgt mijns inziens dat de eerste en de tweede prejudiciële vraag niet alleen betrekking hebben op de gegevens betreffende de burgerlijke identiteit van gebruikers van een elektronisch communicatiemiddel, maar ook op de toegang tot IP-adressen waarmee de bron van een verbinding kan worden geïdentificeerd.

c) Bewaring van IP-adressen door aanbieders van communicatiediensten

45. Het is juist, zoals de Franse regering en de Commissie opmerken, dat de aan het Hof voorgelegde vragen formeel gezien geen betrekking hebben op de bewaring van gegevens door aanbieders van elektronischecommunicatiediensten, maar enkel op de toegang – van Hadopi – tot met IP-adressen overeenkomende gegevens betreffende de burgerlijke identiteit.

46. De toegang van Hadopi tot die gegevens lijkt mij echter de facto onlosmakelijk verbonden met de voorafgaande bewaring ervan door de aanbieders van communicatiediensten. Zoals het Hof heeft benadrukt vindt de bewaring van gegevens uitsluitend plaats om deze in voorkomend geval voor de bevoegde nationale autoriteiten toegankelijk te maken.(13) Met andere woorden, nu de toegang tot gegevens afhankelijk is van de bewaring ervan kunnen beide niet los van elkaar worden bezien.

47. Het is tevens juist dat Hof reeds heeft onderzocht of een nationale regeling die uitsluitend betrekking heeft op de toegang van de bevoegde nationale autoriteiten tot bepaalde persoonsgegevens, verenigbaar is met artikel 15, lid 1, van richtlijn 2002/58, los van de vraag of de bewaring van de betrokken gegevens met deze bepaling verenigbaar is.(14) De onderhavige prejudiciële vragen zouden derhalve kunnen worden beantwoord zonder rekening te houden met de vraag of de bewaring van de betrokken gegevens overeenkomstig de bepalingen van het Unierecht heeft plaatsgevonden.

48. Om te beginnen wijs ik er echter op dat het onderzoek van het Hof in het arrest Ministerio Fiscal(15) naar de vraag of de toegang van de nationale autoriteiten tot bepaalde persoonsgegevens verenigbaar is met het Unierecht strikt op dezelfde beginselen berust als het onderzoek naar de vraag of de bewaring van die gegevens verenigbaar is met het Unierecht. Het Hof verwijst namelijk uitsluitend naar de op dit laatste gebied ontwikkelde rechtspraak om deze op het vraagstuk van de toegang tot persoonsgegevens toe te passen. Met andere woorden, wanneer niet wordt onderzocht of de bewaring van bepaalde gegevens verenigbaar is met het Unierecht, wordt dit onderzoek uitgesteld tot het stadium waarin de toegang tot deze gegevens ter sprake komt, zodat de verenigbaarheid van deze toegang uiteindelijk afhangt van die van de bewaring.

49. Verder heeft het Hof duidelijk aangegeven dat toegang tot persoonsgegevens alleen kan worden verleend voor zover die gegevens door aanbieders van elektronischecommunicatiediensten zijn bewaard op een wijze die in overeenstemming is met artikel 15, lid 1, van richtlijn 2002/58(16), en dat toegang tot persoonsgegevens door particulieren met het oog op de civielrechtelijke vervolging van inbreuken op het auteursrecht enkel verenigbaar is met het Unierecht indien deze gegevens worden bewaard op een wijze die verenigbaar is met deze bepaling(17).

50. Tot slot kan volgens vaste rechtspraak van het Hof de toegang tot verkeers- en locatiegegevens die door aanbieders van elektronischecommunicatiediensten worden bewaard op grond van een krachtens artikel 15, lid 1, van richtlijn 2002/58 vastgestelde maatregel – welke toegang moet worden verleend met volledige inachtneming van de voorwaarden die voortvloeien uit de arresten waarin richtlijn 2002/58 is uitgelegd – in beginsel enkel worden gerechtvaardigd door de doelstelling van algemeen belang met het oog waarop de verplichting tot bewaring van die gegevens aan die aanbieders is opgelegd.(18) Met andere woorden, de vraag of een nationale regeling die voorziet in toegang tot persoonsgegevens door een nationale autoriteit verenigbaar is met het Unierecht, is volledig afhankelijk van de vraag of de bewaring van die gegevens verenigbaar is met het Unierecht.

51. Hieruit volgt volgens mij dat de analyse van de verenigbaarheid met het Unierecht van een nationale regeling die voorziet in toegang door een nationale autoriteit tot persoonsgegevens, veronderstelt dat eerst is vastgesteld dat de bewaring van die gegevens verenigbaar is met het Unierecht.

52. Gelet op het voorgaande zal ik mijn analyse beginnen met een verwijzing naar de rechtspraak van het Hof over het vraagstuk van de bewaring van aan de bron van een verbinding toegewezen IP-adressen, teneinde de grenzen hiervan aan te tonen en een aangepaste lezing van de regeling in kwestie voor te stellen.

2. Rechtspraak van het Hof inzake de uitlegging van artikel 15, lid 1, van richtlijn 2002/58 waar het gaat om maatregelen voor de bewaring van aan de bron van een verbinding toegewezen IP-adressen

53. Artikel 5, lid 1, van richtlijn 2002/58 legt het beginsel van vertrouwelijkheid vast van zowel de elektronische communicatie als de daarmee verband houdende verkeersgegevens en impliceert met name dat het anderen dan de gebruikers in beginsel moet worden verboden die communicatie en die gegevens op te slaan, indien de gebruikers daarin niet hebben toegestemd.(19)

54. Wat de verwerking en de opslag van verkeersgegevens over abonnees en gebruikers door aanbieders van elektronischecommunicatiediensten betreft, bepaalt artikel 6 van richtlijn 2002/58 in lid 1 dat deze gegevens moeten worden gewist of anoniem gemaakt wanneer ze niet langer nodig zijn voor het doel van de transmissie van communicatie, en in lid 2 dat verkeersgegevens die noodzakelijk zijn ten behoeve van de facturering van abonnees en interconnectiebetalingen, enkel mogen worden verwerkt tot aan het einde van de termijn waarbinnen de rekening in rechte kan worden aangevochten of de betaling kan worden afgedwongen. Wat andere locatiegegevens dan verkeersgegevens betreft, bepaalt artikel 9 in lid 1 dat deze gegevens slechts onder bepaalde voorwaarden verwerkt mogen worden en nadat zij anoniem zijn gemaakt of de gebruikers dan wel abonnees daarvoor hun toestemming hebben gegeven.(20)

55. Met de vaststelling van richtlijn 2002/58 heeft de Uniewetgever dus de in de artikelen 7 en 8 van het Handvest neergelegde rechten geconcretiseerd, zodat de gebruikers van elektronischecommunicatiemiddelen in beginsel erop mogen vertrouwen dat hun communicatie en de daarmee verband houdende gegevens anoniem blijven en niet mogen worden vastgelegd, tenzij zij daarin hebben toegestemd.(21) Bijgevolg voorziet die richtlijn er niet alleen in dat er voor de toegang tot die gegevens garanties tegen misbruik gelden, maar bevat zij met name ook het beginsel dat zij niet door derden mogen worden opgeslagen.

56. Omdat artikel 15, lid 1, van richtlijn 2002/58 de lidstaten toestaat wettelijke maatregelen te treffen ter „beperking van de reikwijdte” van de in onder meer de artikelen 5, 6 en 9 van deze richtlijn bedoelde rechten en plichten, zoals die welke voortvloeien uit de beginselen van vertrouwelijkheid van communicatie en van het verbod op het opslaan van daarmee verband houdende gegevens, vormt deze bepaling een uitzondering op de algemene regel die in onder meer die artikelen 5, 6 en 9 is neergelegd, en moet zij volgens vaste rechtspraak dus strikt worden uitgelegd. Een dergelijke bepaling kan dan ook niet rechtvaardigen dat de uitzondering op deze principeverplichting om de vertrouwelijkheid van elektronische communicatie en van de daarmee verband houdende gegevens te garanderen en, in het bijzonder, op het in artikel 5 van de richtlijn bepaalde verbod om deze gegevens op te slaan de regel wordt, aangezien laatstgenoemde bepaling in dat geval haar inhoud zou verliezen.(22)

57. Met betrekking tot de doelstellingen die een beperking van de met name in de artikelen 5, 6 en 9 van richtlijn 2002/58 vastgestelde rechten en verplichtingen kunnen rechtvaardigen, heeft het Hof reeds geoordeeld dat de in artikel 15, lid 1, eerste volzin, van deze richtlijn gegeven opsomming van doelstellingen exhaustief is, zodat een op grond van die bepaling vastgestelde wettelijke maatregel daadwerkelijk en strikt moet berusten op een van die doelstellingen.(23)

58. Bovendien volgt uit artikel 15, lid 1, derde volzin, van richtlijn 2002/58 dat de maatregelen die de lidstaten krachtens deze bepaling treffen, in overeenstemming moeten zijn met de algemene beginselen van het Unierecht, waaronder het evenredigheidsbeginsel, en de naleving van de door het Handvest gewaarborgde grondrechten moeten verzekeren. In dit verband heeft het Hof reeds geoordeeld dat de door een lidstaat bij een nationale regeling aan aanbieders van elektronischecommunicatiediensten opgelegde verplichting om de verkeersgegevens te bewaren teneinde de bevoegde nationale autoriteiten in voorkomend geval toegang tot die gegevens te kunnen geven, niet alleen vragen doet rijzen betreffende de eerbiediging van de artikelen 7 en 8 van het Handvest, die betrekking hebben op respectievelijk de bescherming van het privéleven en de bescherming van persoonsgegevens, maar ook betreffende de eerbiediging van artikel 11 van het Handvest, dat betrekking heeft op de vrijheid van meningsuiting, aangezien deze vrijheid een van de wezenlijke grondslagen van een democratische en pluralistische samenleving is en behoort tot de waarden waarop de Unie volgens artikel 2 VEU is gebaseerd.(24)

59. Dit gezegd zijnde heeft het feit dat het de lidstaten op grond van artikel 15, lid 1, van richtlijn 2002/58 is toegestaan om de in de artikelen 5, 6 en 9 van deze richtlijn bedoelde rechten en verplichtingen te beperken, ermee te maken dat de in de artikelen 7, 8 en 11 van het Handvest verankerde rechten geen absolute gelding hebben, maar moeten worden beschouwd in relatie tot hun functie in de samenleving. Zoals blijkt uit artikel 52, lid 1, van het Handvest, staat het Handvest immers beperkingen op de uitoefening van die rechten toe, mits deze beperkingen bij wet worden gesteld, de wezenlijke inhoud van die rechten eerbiedigen en, met inachtneming van het evenredigheidsbeginsel, noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen. Bij de uitlegging van artikel 15, lid 1, van richtlijn 2002/58 in het licht van het Handvest moet derhalve ook rekening worden gehouden met het belang van de doelstellingen van bescherming van de nationale veiligheid en bestrijding van ernstige criminaliteit, die bijdragen tot de bescherming van de rechten en vrijheden van anderen, en met dat van de in de artikelen 3, 4, 6 en 7 van het Handvest neergelegde rechten(25), waaruit positieve verplichtingen voor de overheid kunnen voortvloeien(26).

60. Gelet op die verschillende positieve verplichtingen is het dus noodzakelijk de diverse op het spel staande legitieme belangen en rechten met elkaar te verzoenen. In dit verband blijkt reeds uit de bewoordingen van artikel 15, lid 1, eerste volzin, van richtlijn 2002/58 dat de lidstaten een maatregel kunnen treffen waarbij wordt afgeweken van het beginsel van vertrouwelijkheid wanneer een dergelijke maatregel „in een democratische samenleving noodzakelijk, redelijk en proportioneel is”. Overweging 11 van deze richtlijn preciseert daarbij dat een dergelijke maatregel „strikt” evenredig moet zijn aan het nagestreefde doel.(27)

61. In dit verband volgt uit de rechtspraak van het Hof dat bij de beoordeling of de lidstaten een beperking van de omvang van de met name in de artikelen 5, 6 en 9 van richtlijn 2002/58 bedoelde rechten en plichten kunnen rechtvaardigen, moet worden bepaald wat de ernst is van de inmenging die een dergelijke beperking meebrengt, en moet worden nagegaan of het belang van de met die beperking nagestreefde doelstelling van algemeen belang in verhouding staat tot die ernst.(28)

62. Ik wijs er bovendien op dat het Hof in zijn rechtspraak een onderscheid maakt tussen enerzijds inmenging als gevolg van toegang tot gegevens die als zodanig nauwkeurige informatie verschaffen over de betrokken communicatie en dus over het privéleven van de betrokkene, en waarvoor een strikte bewaringsregeling geldt, en anderzijds inmenging als gevolg van toegang tot gegevens die dergelijke informatie alleen kunnen verschaffen voor zover zij gekoppeld zijn aan andere gegevens, zoals IP-adressen(29).

63. Wat meer bepaald de IP-adressen betreft, merkt het Hof op dat deze los van een bepaalde communicatie worden gegenereerd en primair dienen om via de aanbieders van elektronischecommunicatiediensten de natuurlijke persoon te identificeren die eigenaar is van een eindapparaat waarvandaan via het internet wordt gecommuniceerd. Voor zover uitsluitend de IP‑adressen van de bron van de communicatie en niet die van de ontvanger ervan worden bewaard, is deze categorie gegevens dan ook van minder gevoelige aard dan andere verkeersgegevens.(30)

64. Tegelijkertijd wijst het Hof erop dat, aangezien IP-adressen onder meer kunnen worden gebruikt om de volledige zoekgeschiedenis van een internetgebruiker te traceren en dus om een volledig beeld te krijgen van diens online activiteit, aan de hand van die gegevens een gedetailleerd profiel van de betrokkene kan worden opgesteld en een gedetailleerd beeld kan worden gegeven van het privéleven van de gebruiker. Het bewaren en analyseren van deze IP-adressen vormt derhalve een ernstige inmenging in de in de artikelen 7 en 8 van het Handvest verankerde grondrechten en kan een ontmoedigend effect hebben op de uitoefening van de door artikel 11 van het Handvest gewaarborgde vrijheid van meningsuiting(31).

65. Volgens vaste rechtspraak moet, om de op het spel staande rechten en belangen met elkaar te verzoenen, echter in aanmerking worden genomen dat in het geval van een online gepleegd strafbaar feit het IP-adres het enige onderzoeksmiddel kan zijn met behulp waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen op het moment waarop dat feit werd gepleegd.(32)

66. Het Hof oordeelt dan ook dat een wettelijke maatregel die voorziet in de algemene en ongedifferentieerde bewaring van uitsluitend aan de bron van een verbinding toegewezen IP-adressen, in beginsel niet in strijd is met artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, mits die mogelijkheid afhankelijk wordt gesteld van de strikte naleving van de materiële en procedurele voorwaarden die het gebruik van die gegevens dienen te regelen en met dien verstande dat – gelet op het feit dat die bewaring een ernstige inmenging inhoudt – enkel de bestrijding van zware criminaliteit en het voorkomen van ernstige bedreigingen van de openbare veiligheid, alsmede de bescherming van de nationale veiligheid, die inmenging kunnen rechtvaardigen.(33)

67. Het Hof wijst er voorts op dat de bewaartermijn niet langer mag zijn dan strikt noodzakelijk is gelet op het nagestreefde doel en dat een dergelijke maatregel moet voorzien in strikte voorwaarden en waarborgen met betrekking tot het gebruik van die gegevens.(34)

3. Grenzen van de rechtspraak inzake de uitlegging van artikel 15, lid 1, van richtlijn 2002/58 waar het gaat om maatregelen voor de bewaring van aan de bron van een verbinding toegewezen IP-adressen

68. De oplossing waartoe het Hof is gekomen met betrekking tot nationale maatregelen voor de bewaring van aan de bron van een verbinding toegewezen IP-adressen, uitgelegd in het licht van artikel 15, lid 1, van richtlijn 2002/58, lijkt mij echter op twee belangrijke problemen te stuiten.

a) Verzoening met de rechtspraak inzake de mededeling van aan de bron van een verbinding toegewezen IP-adressen in het kader van beroepen tot handhaving van intellectuele-eigendomsrechten

69. In de eerste plaats bestaat er, zoals ik reeds in mijn conclusie in de zaak M.I.C.M.(35) heb opgemerkt, een zekere spanning tussen deze lijn van de rechtspraak en die inzake de mededeling van IP-adressen aan de houders van intellectuele-eigendomsrechten in het kader van beroepen tot handhaving van die rechten, waarbij de nadruk wordt gelegd op de verplichting voor de lidstaten om ervoor te zorgen dat houders van intellectuele-eigendomsrechten daadwerkelijk in de gelegenheid worden gesteld vergoeding van uit inbreuken op die rechten voortvloeiende schade te verkrijgen(36).

70. Wat deze tweede lijn van de rechtspraak betreft, heeft het Hof steeds geoordeeld dat het Unierecht zich niet ertegen verzet dat de lidstaten de verplichting opleggen om persoonsgegevens aan particulieren door te geven met het oog op de civielrechtelijke vervolging van inbreuken op het auteursrecht.(37)

71. Dienaangaande merkt het Hof op dat de mogelijkheid voor de lidstaten om te voorzien in een verplichting tot openbaarmaking van persoonsgegevens in het kader van civiele procedures aanvankelijk voortvloeit uit de mogelijkheid om in een dergelijke openbaarmaking te voorzien in het kader van de vervolging van strafrechtelijke inbreuken(38), die vervolgens is uitgebreid tot civielrechtelijke vervolging.

72. Wat de IP-adressen betreft, schrijft het Hof evenwel voor dat deze gegevens alleen mogen worden bewaard in het kader van de bestrijding van zware criminaliteit en het voorkomen van ernstige bedreigingen van de openbare veiligheid.(39)

73. De pogingen om deze twee lijnen in de rechtspraak met elkaar te verzoenen leiden mijns inziens tot ongeschikte resultaten en kunnen niet overtuigen.

74. Ten eerste kan de bestrijding van inbreuken op intellectuele-eigendomsrechten, anders dan de Franse regering ter terechtzitting heeft betoogd, niet onder de bestrijding van zware criminaliteit vallen. Aan het begrip „zware criminaliteit” moet mijns inziens een autonome uitlegging worden gegeven. Dit begrip kan niet afhankelijk zijn van de opvattingen van elke lidstaat, omdat het anders mogelijk zou worden de voorschriften van artikel 15, lid 1, van richtlijn 2002/58 te omzeilen naargelang de lidstaten een al dan niet ruime opvatting van de bestrijding van zware criminaliteit hanteren. Zoals ik reeds heb opgemerkt, mogen de met de bescherming van intellectuele-eigendomsrechten verband houdende belangen echter niet worden verward met de belangen die aan de bestrijding van zware criminaliteit ten grondslag liggen.(40)

75. Ten tweede zou het aanvaarden van de doorgifte van IP-adressen aan de houders van intellectuele-eigendomsrechten in het kader van procedures die de bescherming daarvan tot doel hebben, terwijl bewaring van die adressen slechts mogelijk is in het kader van de bestrijding van zware criminaliteit, duidelijk indruisen tegen de rechtspraak van het Hof inzake de bewaring van verbindingsgegevens en erop neerkomen dat – aangezien tot deze gegevens hoe dan ook op andere gronden toegang kan worden verkregen – de voorwaarden voor de bewaring van dergelijke gegevens hun nuttig effect verliezen.

76. Hieruit volgt volgens mij dat het bewaren van IP-adressen met het oog op de bescherming van intellectuele-eigendomsrechten en de mededeling van deze adressen aan de houders van deze rechten in het kader van procedures ter bescherming van deze rechten in strijd kan zijn met artikel 15, lid 1, van richtlijn 2002/58, zoals uitgelegd in de rechtspraak van het Hof. De verplichting om persoonsgegevens aan particulieren door te geven om civielrechtelijke vervolging van inbreuken op het auteursrecht mogelijk te maken, wordt dus weliswaar door het Hof zelf mogelijk gemaakt, maar tegelijkertijd geneutraliseerd door zijn eigen rechtspraak over het bewaren van IP-adressen door aanbieders van elektronischecommunicatiediensten.

77. Een dergelijke oplossing is echter onbevredigend omdat zij het door het Hof nagestreefde evenwicht tussen de verschillende in het geding zijnde belangen zou verstoren, door de houders van intellectuele-eigendomsrechten het belangrijkste, zo niet het enige, middel te ontnemen om de plegers van online inbreuken op deze rechten te identificeren. Deze overweging brengt mij ertoe het tweede probleem uiteen te zetten dat volgens mij kan voortvloeien uit de rechtspraak van het Hof inzake nationale maatregelen voor de bewaring van aan de bron van een verbinding toegewezen IP-adressen, uitgelegd in het licht van artikel 15, lid 1, van richtlijn 2002/58.

b) Risico van systematische straffeloosheid voor uitsluitend online gepleegde strafbare feiten

78. In de tweede plaats ben ik namelijk van mening dat deze oplossing praktische problemen oplevert. Zoals het Hof zelf opmerkt, kan in het geval van een uitsluitend online gepleegd strafbaar feit het IP-adres het enige onderzoeksmiddel zijn met behulp waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen op het moment waarop dat feit werd gepleegd.

79. Ik heb echter de indruk dat dit element bij de afweging van de betrokken belangen niet volledig in aanmerking wordt genomen. Het Hof beperkt de mogelijkheid om IP-adressen te bewaren tot de bestrijding van zware criminaliteit, maar sluit daardoor tegelijkertijd uit dat deze gegevens kunnen worden bewaard ter bestrijding van strafbare feiten in het algemeen, terwijl sommige van deze strafbare feiten alleen met behulp van die gegevens kunnen worden voorkomen, opgespoord of berecht.

80. Met andere woorden, de rechtspraak van het Hof zou ertoe kunnen leiden dat de nationale autoriteiten het enige middel wordt ontnomen om personen te identificeren die online strafbare feiten plegen welke echter niet onder zware criminaliteit vallen, zoals inbreuken op intellectuele-eigendomsrechten. Dit zou in feite leiden tot systematische straffeloosheid voor strafbare feiten die uitsluitend online worden gepleegd, overigens niet enkel voor inbreuken op intellectuele-eigendomsrechten. Ik denk met name aan online smaad en laster. Ofschoon het Unierecht voorziet in verbodsacties tegen tussenpersonen wier diensten voor het plegen van smaad of laster worden gebruikt(41), zou de rechtspraak van het Hof tot gevolg kunnen hebben dat de eigenlijke plegers van de desbetreffende handelingen nooit kunnen worden vervolgd.

81. Tenzij wordt aanvaard dat een hele reeks strafbare feiten nooit kan worden vervolgd, ben ik van mening dat het evenwicht tussen de verschillende betrokken belangen opnieuw moet worden onderzocht.

82. Deze verschillende overwegingen brengen mij ertoe het Hof een zekere aanpassing voor te stellen van de rechtspraak die betrekking heeft op nationale maatregelen voor de bewaring van IP-adressen zoals uitgelegd in het licht van artikel 15, lid 1, van richtlijn 2002/58.

4. Voorstel tot aanpassing van de rechtspraak van het Hof inzake de uitlegging van artikel 15, lid 1, van richtlijn 2002/58 waar het gaat om maatregelen voor de bewaring van aan de bron van een verbinding toegewezen IP-adressen

83. Gelet op de voorgaande overwegingen ben ik van mening dat artikel 15, lid 1, van richtlijn 2002/58 aldus moet worden uitgelegd dat het zich niet verzet tegen maatregelen die voorzien in de algemene en ongedifferentieerde bewaring van aan de bron van een verbinding toegewezen IP-adressen, voor een periode die niet langer is dan strikt noodzakelijk, met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten op het internet waarvoor het IP-adres het enige onderzoeksmiddel is met behulp waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen op het moment waarop het feit werd gepleegd.

84. In dit verband moet ik benadrukken dat een dergelijk voorstel naar mijn mening geen afbreuk doet aan het vereiste van evenredigheid dat aan de bewaring van gegevens wordt gesteld, gelet op het ernstige karakter van de inmenging in de in de artikelen 7 en 8 van het Handvest neergelegde grondrechten die deze bewaring met zich brengt(42). Integendeel, het voorstel voldoet volledig aan deze eis.

85. In de eerste plaats wordt met de beperking van de rechten en verplichtingen van de artikelen 5, 6 en 9 van richtlijn 2002/58, bestaande in de bewaring van IP-adressen, een doel van algemeen belang nagestreefd dat in verhouding staat tot de ernst van die inmenging, namelijk het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten waarvan sprake is in bepalingen die anders geen effect zouden hebben.

86. In de tweede plaats blijft deze beperking binnen de grenzen van het strikt noodzakelijke. De bewaring is immers beperkt tot specifieke gevallen, te weten tot strafbare feiten die online zijn gepleegd en waarbij de pleger uitsluitend via het aan hem toegewezen IP-adres kan worden geïdentificeerd. Het gaat er met andere woorden niet om de algemene en ongedifferentieerde bewaring van gegevens zonder verdere voorwaarden toe te staan, maar enkel om de vervolging van strafbare feiten mogelijk te maken, niet als algemene regel, maar in een specifiek geval.

87. Ofschoon artikel 15, lid 1, van richtlijn 2002/58 zich niet verzet tegen de algemene en ongedifferentieerde bewaring van aan de bron van een verbinding toegewezen IP-adressen met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten op het internet waarvoor het IP-adres het enige onderzoeksmiddel is met behulp waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen op het moment waarop het feit werd gepleegd, moet er ook worden op gewezen dat deze mogelijkheid volgens de rechtspraak afhankelijk moet worden gesteld „van de strikte naleving van de materiële en procedurele voorwaarden die het gebruik van die gegevens dienen te regelen”(43). Het Hof merkt tevens op dat een dergelijke maatregel „moet voorzien in strikte voorwaarden en waarborgen met betrekking tot het gebruik van die gegevens”(44).

88. Met andere woorden, zoals ik reeds heb benadrukt, kunnen de bewaring van gegevens en de toegang tot deze gegevens niet los van elkaar worden gezien. In die omstandigheden is de mogelijkheid voor Hadopi om toegang te krijgen tot IP-adressen weliswaar niet op voorhand in strijd met artikel 15, lid 1, van richtlijn 2002/58, voor zover die gegevens overeenkomstig de in die bepaling neergelegde vereisten zijn bewaard, maar is het voor de beantwoording van de prejudiciële vragen toch noodzakelijk om te onderzoeken of de voorwaarden waaronder Hadopi toegang heeft tot aan de bron van een verbinding toegewezen IP-adressen, als zodanig in overeenstemming zijn met die bepaling, met name wat betreft de vraag of die toegang al dan niet door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit aan een toetsing moet worden onderworpen.

89. Na de analyse van de voorafgaande kwestie van de bewaring van aan de bron van een verbinding toegewezen IP-adressen, zal ik de toegang van Hadopi tot deze gegevens onderzoeken in het licht van artikel 15, lid 1, van richtlijn 2002/58.

5. Toegang van Hadopi tot de met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit

90. Met betrekking tot de doelstellingen die een rechtvaardiging kunnen vormen voor een nationale regeling die een uitzondering maakt op het beginsel van de vertrouwelijkheid van de elektronische communicatie, volgt uit de rechtspraak van het Hof dat de toegang tot de gegevens strikt en objectief op een van die doelstellingen moet berusten en dat de met die regeling nagestreefde doelstelling in verhouding moet staan tot de ernst van de inmenging in de grondrechten die deze toegang meebrengt(45).

91. Voorts kan, zoals ik heb uiteengezet(46), de toegang tot gegevens die door aanbieders van elektronischecommunicatiediensten worden bewaard op grond van een krachtens artikel 15, lid 1, van richtlijn 2002/58 vastgestelde maatregel, in beginsel enkel worden gerechtvaardigd door de doelstelling van algemeen belang met het oog waarop de verplichting tot bewaring van die gegevens aan die aanbieders is opgelegd(47).

92. Zo heeft het Hof overeenkomstig het evenredigheidsbeginsel geoordeeld dat, ter zake van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, ernstige inmenging slechts kan worden gerechtvaardigd door de doelstelling om – eveneens ernstige – criminaliteit te bestrijden.(48)

93. In dit verband merk ik op dat, anders dan de Franse regering en de Commissie stellen, de toegang van Hadopi tot de met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit wel degelijk een ernstige inmenging in de grondrechten vormt. Het gaat immers niet alleen om de toegang tot de op zichzelf weinig gevoelige gegevens betreffende de burgerlijke identiteit, maar juist ook om het in verband brengen van deze gegevens met een ruimere reeks gegevens, namelijk met het IP-adres en ook, zoals verzoeksters in het hoofdgeding opmerken, met een uittreksel van het in strijd met het auteursrecht gedownloade bestand. De burgerlijke identiteit van een persoon wordt dus gekoppeld aan de inhoud van het geraadpleegde bestand en aan het IP-adres via hetwelk deze raadpleging heeft plaatsgevonden.

94. Niettemin ben ik, net zoals ik de bewaring van gegevens – die een ernstige inbreuk op de grondrechten vormt – toelaatbaar acht, zodat strafbare feiten op het internet waarvoor het IP-adres het enige onderzoeksmiddel is ter identificatie van de persoon aan wie dat adres was toegewezen op het moment waarop het feit werd gepleegd, kunnen worden voorkomen, onderzocht, opgespoord en vervolgd(49), van mening dat, om dat doel na te streven, ook de toegang tot die gegevens mogelijk moet worden gemaakt. Anders zou er voor uitsluitend online gepleegde strafbare feiten algemene straffeloosheid gelden.

95. De toegang van Hadopi tot de aan een IP-adres gekoppelde gegevens betreffende de burgerlijke identiteit lijkt mij dan ook gerechtvaardigd door de doelstelling van algemeen belang waarvoor de bewaringsverplichting aan de aanbieders van elektronischecommunicatiediensten is opgelegd.

96. Uit de rechtspraak van het Hof volgt echter dat nationale wetgeving die de toegang van de bevoegde autoriteiten tot bewaarde verkeers- en locatiegegevens regelt, zich er niet toe mag beperken te eisen dat toegang tot de gegevens wordt verleend voor het doel dat met die wetgeving wordt nagestreefd, maar ook de materiële en procedurele voorwaarden voor de toegang van de bevoegde nationale autoriteiten tot de betrokken gegevens moet bepalen.(50)

97. Het Hof is met name van oordeel dat, aangezien een algemene toegang tot alle bewaarde gegevens los van enig verband met het nagestreefde doel niet kan worden geacht tot het strikt noodzakelijke te zijn beperkt, de betrokken nationale regeling aan de hand van objectieve criteria moet bepalen in welke omstandigheden en onder welke voorwaarden aan de bevoegde nationale autoriteiten toegang tot de gegevens van de gebruikers moet worden verleend, om ervoor te zorgen dat slechts toegang wordt verleend tot de gegevens van personen die ervan worden verdacht een ernstig misdrijf te plannen, te plegen of te hebben gepleegd of op de een of andere wijze betrokken te zijn bij een dergelijk misdrijf.(51)

98. Om te waarborgen dat deze voorwaarden in de praktijk ten volle in acht worden genomen, is het volgens de rechtspraak dan ook van wezenlijk belang dat de toegang van de bevoegde nationale autoriteiten tot de bewaarde gegevens in beginsel wordt onderworpen aan een voorafgaande toetsing door een rechterlijke instantie of door een onafhankelijke bestuurlijke entiteit.(52)

99. Ik merk evenwel op dat het Hof deze noodzaak om de toegang tot persoonsgegevens vooraf te toetsen heeft vastgesteld in specifieke, van de onderhavige zaak verschillende omstandigheden, waarbij het ging om bijzonder ernstige inmenging in het privéleven van gebruikers van elektronischecommunicatiediensten.

100. In elk van de arresten waarin dit vereiste voor het voetlicht is gebracht, betrof het namelijk nationale maatregelen die de toegang toestonden tot alle verkeers- en locatiegegevens van de gebruikers met betrekking tot alle elektronischecommunicatiemiddelen(53) of op zijn minst tot de vaste en mobiele telefonie(54). Meer specifiek ging het om de toegang tot „een reeks [gegevens] die informatie kunnen verschaffen over de communicaties van een gebruiker van een elektronischecommunicatiemiddel of over de locatie van de door hem gebruikte eindapparatuur en waaruit precieze conclusies kunnen worden getrokken over zijn persoonlijke levenssfeer”(55), zodat het vereiste van voorafgaande toetsing van de toegang tot die gegevens door een rechterlijke instantie of onafhankelijke bestuurlijke entiteit mijns inziens alleen onder deze voorwaarden bestaat.

101. Ten eerste is de toegang van Hadopi beperkt: zij kan alleen maar de gegevens betreffende de burgerlijke identiteit koppelen aan het gebruikte IP-adres en aan het op een bepaald moment geraadpleegde bestand, zonder dat de bevoegde autoriteiten kunnen reconstrueren welke websites de gebruiker in kwestie allemaal heeft bezocht, en dus precieze conclusies kunnen trekken over diens privéleven anders dan dat hij op het tijdstip van het strafbare feit een specifiek bestand heeft geraadpleegd. Het gaat er dus niet om de tracering van alle online activiteiten van de betrokken gebruiker mogelijk te maken.

102. Ten tweede hebben deze gegevens enkel betrekking op de gegevens van personen die, zoals in de door de organisaties van rechthebbenden opgestelde processen-verbaal is geconstateerd, handelingen hebben verricht die een geval van niet-nakoming van de verplichting van artikel L. 336‑3 CPI kunnen vormen. De toegang van Hadopi tot aan IP-adressen gekoppelde gegevens betreffende de burgerlijke identiteit is derhalve strikt beperkt tot hetgeen noodzakelijk is om het nagestreefde doel te bereiken, namelijk het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten op het internet waarvoor het IP-adres het enige onderzoeksmiddel is met behulp waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen op het moment waarop het feit werd gepleegd. Het „graduated response”-mechanisme voldoet aan dat doel.

103. In die omstandigheden ben ik van mening dat artikel 15, lid 1, van richtlijn 2002/58 niet vereist dat de toegang van Hadopi tot de aan de IP-adressen van de gebruikers gekoppelde gegevens betreffende de burgerlijke identiteit vooraf wordt getoetst door een rechterlijke instantie of onafhankelijke bestuurlijke entiteit.

104. Voor het overige merk ik op, net als de Franse regering benadrukt, dat de toegang door Hadopi tot die gegevens weliswaar niet is onderworpen aan een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke entiteit, maar niet volledig aan toezicht ontkomt, aangezien het door Hadopi aan de exploitanten van elektronischecommunicatiediensten gezonden bestand dagelijks door een beëdigd ambtenaar wordt samengesteld op basis van ontvangen meldingen van zaken die aan de hand van een willekeurige steekproef worden gevalideerd alvorens aan het bestand te worden toegevoegd.(56) Bovenal moet worden opgemerkt dat de „graduated response”-procedure onder de bepalingen van richtlijn (EU) 2016/680(57) blijft vallen. Uit dien hoofde hebben de natuurlijke personen tot wie Hadopi zich richt, een reeks door die richtlijn geboden materiële en procedurele waarborgen. Deze omvatten het recht op toegang tot en rectificatie en verwijdering van door Hadopi verwerkte persoonsgegevens, alsmede de mogelijkheid om een klacht in te dienen bij een onafhankelijke toezichthoudende autoriteit, in voorkomend geval gevolgd door een beroep op de rechter volgens de regels van het gemene recht.(58)

105. Bijgevolg stel ik het Hof voor om op de eerste en de tweede prejudiciële vraag te antwoorden dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich niet verzet tegen een nationale regeling waarbij er sprake is van bewaring door aanbieders van elektronischecommunicatiediensten en er toegang die beperkt is tot met IP-adressen overeenkomende gegevens betreffende de burgerlijke identiteit wordt verstrekt aan een administratieve instantie die belast is met de bescherming van auteursrechten en naburige rechten tegen op het internet gepleegde inbreuken op deze rechten, zodat deze instantie de houders van deze adressen die ervan worden verdacht verantwoordelijk te zijn voor deze inbreuken kan identificeren en eventueel tegen hen kan optreden, zonder dat de verstrekte toegang vooraf door een rechter of een onafhankelijke bestuurlijke entiteit wordt getoetst, wanneer die gegevens het enige onderzoeksmiddel vormen met behulp waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen op het moment waarop het strafbare feit werd gepleegd.

B. Derde prejudiciële vraag

106. Met zijn derde prejudiciële vraag wenst de verwijzende rechter te vernemen of, bij een bevestigend antwoord op de eerste en de tweede vraag, artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, gelet op de geringe gevoeligheid van de gegevens betreffende de burgerlijke identiteit, op het strikte kader voor de toegang tot deze gegevens en op de verplichting om de aan de betrokken administratieve instantie opgedragen openbaredienstverleningstaak niet in gevaar te brengen, aldus moet worden uitgelegd dat het zich ertegen verzet dat de voorafgaande toetsing van de toegang op een aangepaste wijze wordt verricht, bijvoorbeeld op geautomatiseerde wijze, in voorkomend geval onder het toezicht van een interne dienst van het orgaan die garanties biedt inzake onafhankelijkheid en onpartijdigheid ten opzichte van de ambtenaren die belast zijn met het verzamelen van de gegevens.

107. Uit de formulering van de derde prejudiciële vraag en uit het schriftelijke antwoord van de Franse regering op de vragen van het Hof blijkt dat met de in die vraag aan de orde zijnde aangepaste toetsingswijze niet wordt gedoeld op een in het nationaal recht bestaand toetsingsmechanisme, maar op de mogelijkheden om het Franse mechanisme eventueel in overeenstemming te brengen met het Unierecht.

108. Het is echter vaste rechtspraak dat een verzoek om een prejudiciële beslissing niet tot doel heeft rechtsgeleerde adviezen over algemene of hypothetische vraagstukken te formuleren, maar te voorzien in de behoefte aan de daadwerkelijke beslechting van een geschil over het Unierecht.(59)

109. Aangezien de derde prejudiciële vraag naar mijn mening dus hypothetisch is, moet zij niet-ontvankelijk worden verklaard.

110. Gelet op het door mij voorgestelde antwoord op de eerste en de tweede prejudiciële vraag hoeft de derde vraag hoe dan ook niet te worden beantwoord.

V. Conclusie

111. Gelet op het voorgaande geef ik het Hof in overweging de door de Conseil d’État gestelde prejudiciële vragen als volgt te beantwoorden:

„Artikel 15, lid 1, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie,

moet aldus worden uitgelegd dat:

het zich niet verzet tegen een nationale regeling waarbij er sprake is van bewaring door aanbieders van elektronischecommunicatiediensten en er toegang die beperkt is tot met IP-adressen overeenkomende gegevens betreffende de burgerlijke identiteit wordt verstrekt aan een administratieve instantie die belast is met de bescherming van auteursrechten en naburige rechten tegen op het internet gepleegde inbreuken op deze rechten, zodat deze instantie de houders van deze adressen die ervan worden verdacht verantwoordelijk te zijn voor deze inbreuken kan identificeren en eventueel tegen hen kan optreden, zonder dat de verstrekte toegang vooraf door een rechter of een onafhankelijke bestuurlijke entiteit wordt getoetst, wanneer die gegevens het enige onderzoeksmiddel vormen met behulp waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen op het moment waarop het strafbare feit werd gepleegd.”

1 Oorspronkelijke taal: Frans.

2 Richtlijn van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB 2002, L 201, blz. 37).

3 Richtlijn van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31).

4 JORF van 7 maart 2010, tekst nr. 19.

5 JORF van 31 juli 2021, tekst nr. 1. Deze versie van artikel L. 34‑1 CPCE, die sinds 31 juli 2021 van kracht is, is vastgesteld naar aanleiding van de beslissing van de Conseil d’État van 21 april 2021, nr. 393099 (JORF van 25 april 2021), waarbij de voorgaande versie van dat artikel is vernietigd. Deze eerdere versie voorzag in de verplichting om persoonsgegevens te bewaren „ten behoeve van het onderzoeken, opsporen, vaststellen en vervolgen van strafbare feiten of van een geval van niet-nakoming van de in artikel L. 336‑3 [CPI] omschreven verplichting” met als enkel oogmerk om, indien nodig, deze gegevens aan onder andere Hadopi ter beschikking te stellen. Bij beslissing nr. 2021‑976‑977 QPC van 25 februari 2022 (Habib A. e.a.) heeft de Conseil constitutionnel (grondwettelijk hof, Frankrijk) deze vorige versie van artikel L. 34‑1 CPCE ongrondwettig verklaard, in wezen op grond dat „de bestreden bepalingen, door de algemene en ongedifferentieerde bewaring van aansluitingsgegevens toe te staan, op onevenredige wijze inbreuk maken op het recht op eerbiediging van het privéleven” (punt 13). Deze rechterlijke instantie was van oordeel dat de verbindingsgegevens die krachtens deze bepalingen moeten worden bewaard, niet enkel betrekking hebben op de identificatie van gebruikers van elektronischecommunicatiediensten, maar ook op andere gegevens die, „gezien hun aard en verscheidenheid en de verwerking die zij kunnen ondergaan, veel en nauwkeurige informatie verschaffen over deze gebruikers en, in voorkomend geval, over derden, hetgeen hun privéleven ernstig aantast” (punt 11).

6 Zie arrest van 6 oktober 2020 (C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, dictum; hierna: „arrest La Quadrature du Net e.a.”).

7 Zie arrest van 21 december 2016 (C‑203/15 en C‑698/15, EU:C:2016:970, dictum; hierna: „arrest Tele2”).

8 Punt 120 van dat arrest.

9 Punt 189 van dat arrest.

10 Arrest van 2 maart 2021 (C‑746/18, EU:C:2021:152; hierna: „arrest Prokuratuur”).

11 Verordening van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1).

12 Zie arrest La Quadrature du Net e.a. (punten 155 en 159).

13 Zie arrest Tele2 (punt 79).

14 Zie arrest van 2 oktober 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, punt 49).

15 Arrest van 2 oktober 2018 (C‑207/16, EU:C:2018:788).

16 Zie arrest Prokuratuur (punt 29).

17 Zie arrest van 17 juni 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punten 127‑130).

18 Zie arrest La Quadrature du Net e.a. (punt 166), en arresten van 5 april 2022, Commissioner of An Garda Síochána e.a. (C‑140/20, EU:C:2022:258, punt 98; hierna „arrest Commissioner of An Garda Síochána e.a.”), en 20 september 2022, SpaceNet (C‑793/19 en C‑794/19, EU:C:2022:702, punt 131; hierna: „arrest SpaceNet”).

19 Zie arresten La Quadrature du Net e.a. (punt 107); Commissioner of An Garda Síochána e.a. (punt 35), en SpaceNet (punt 52).

20 Zie arresten Tele2 (punt 86); La Quadrature du Net e.a. (punt 108); Commissioner of An Garda Síochána e.a. (punt 38), en SpaceNet (punt 55).

21 Zie arresten La Quadrature du Net e.a. (punt 109); Commissioner of An Garda Síochána e.a. (punt 37), en SpaceNet (punt 54).

22 Zie arresten La Quadrature du Net e.a. (punten 110 en 111); Commissioner of An Garda Síochána e.a. (punt 40), en SpaceNet (punt 57).

23 Zie arresten La Quadrature du Net e.a. (punt 112); Commissioner of An Garda Síochána e.a. (punt 41), en SpaceNet (punt 58).

24 Zie arresten La Quadrature du Net e.a. (punten 113 en 114); Commissioner of An Garda Síochána e.a. (punt 42), en SpaceNet (punt 60).

25 Zie arresten La Quadrature du Net e.a. (punten 120‑122); Commissioner of An Garda Síochána e.a. (punt 48), en SpaceNet (punt 63).

26 Zie arresten La Quadrature du Net e.a. (punten 120‑122); Commissioner of An Garda Síochána e.a. (punt 49), en SpaceNet (punt 64).

27 Zie arresten La Quadrature du Net e.a. (punten 127‑129); Commissioner of An Garda Síochána e.a. (punten 50 en 51), en SpaceNet (punten 65 en 66).

28 Zie arresten La Quadrature du Net e.a. (punt 131); Commissioner of An Garda Síochána e.a. (punt 53), en SpaceNet (punt 68).

29 Zie de punten 41 e.v. van deze conclusie.

30 Zie arrest La Quadrature du Net e.a. (punt 152).

31 Zie arresten La Quadrature du Net e.a. (punt 153); Commissioner of An Garda Síochána e.a. (punt 73), en SpaceNet (punt 103). Cursivering van mij.

32 Zie arresten La Quadrature du Net e.a. (punt 154); Commissioner of An Garda Síochána e.a. (punt 73), en SpaceNet (punt 103).

33 Zie arresten La Quadrature du Net e.a. (punten 155 en 156); Commissioner of An Garda Síochána e.a. (punt 74), en SpaceNet (punten 104 en 105). Cursivering van mij.

34 Zie arresten La Quadrature du Net e.a. (punt 156) en SpaceNet (punt 105).

35 C‑597/19, EU:C:2020:1063, punt 98.

36 Zie mijn conclusie in de zaak M.I.C.M. (C‑597/19, EU:C:2020:1063, punt 97).

37 Zie arresten van 19 april 2012, Bonnier Audio e.a. (C‑461/10, EU:C:2012:219, punt 55); 4 mei 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punt 34), en 17 juni 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punten 47‑54).

38 Zie in die zin arrest van 29 januari 2008, Promusicae (C‑275/06, EU:C:2008:54, punten 50‑52).

39 Zie punt 66 van deze conclusie.

40 Zie mijn conclusie in de zaak M.I.C.M. (C‑597/19, EU:C:2020:1063, punt 103).

41 Zie artikel 15, lid 1, van richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt („richtlijn inzake elektronische handel”) (PB 2000, L 178, blz. 1).

42 Zie de punten 60 en 61 van deze conclusie.

43 Zie arrest La Quadrature du Net e.a. (punt 155). Cursivering van mij.

44 Zie arrest La Quadrature du Net e.a. (punt 156). Cursivering van mij.

45 Zie arrest van 2 oktober 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, punt 55), en arrest Prokuratuur (punt 32).

46 Zie punt 50 van deze conclusie.

47 Zie arresten SpaceNet (punt 131); La Quadrature du Net e.a. (punt 166), en Commissioner of An Garda Síochána e.a. (punt 98).

48 Zie arrest Tele2 (punt 115), arrest van 2 oktober 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, punt 56), en arrest Prokuratuur (punt 33).

49 Zie de punten 65 e.v. van deze conclusie.

50 Zie arresten Tele2 (punt 118); Prokuratuur (punt 49), en Commissioner of An Garda Síochána e.a. (punt 104).

51 Zie arresten Tele2 (punt 119); Prokuratuur (punt 50), en Commissioner of An Garda Síochána e.a. (punt 105).

52 Zie arresten Tele2 (punt 120); Prokuratuur (punt 51), en Commissioner of An Garda Síochána e.a. (punt 106).

53 Zie arresten Tele2 en Commissioner of An Garda Síochána e.a.

54 Zie arrest Prokuratuur.

55 Zie arrest Prokuratuur (punt 45).

56 Ter aanvulling merk ik op dat argumenten betreffende de haalbaarheid ook pleiten tegen de verplichting tot een systematische voorafgaande toetsing. Het bestaan van een georganiseerd systeem voor de bestrijding van online inbreuken op het auteursrecht, zoals dat in het hoofdgeding, veronderstelt de noodzaak om grote hoeveelheden persoonsgegevens te verwerken, evenredig aan het aantal vervolgde inbreuken. Bij wijze van voorbeeld: in 2019 werden volgens de opmerkingen van de Franse regering door Hadopi per dag 33 465 verzoeken om identificatie van IP-adressen ingediend. In deze context zou de verplichting tot voorafgaande toetsing van de toegang tot dergelijke gegevens in de praktijk de werking van de mechanismen voor de georganiseerde bestrijding van online inbreukmakende handelingen kunnen ondermijnen, waardoor het evenwicht tussen de rechten van de gebruikers en die van de auteurs in gevaar wordt gebracht.

57 Richtlijn van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van kaderbesluit 2008/977/JBZ van de Raad (PB 2016, L 119, blz. 89).

58 Al deze waarborgen zijn opgenomen in de bepalingen van hoofdstuk III, titel III, van loi n° 78‑17 relative à l’informatique, aux fichiers et aux libertés, du 6 janvier 1978 (wet nr. 78‑17 betreffende informatietechnologie, bestanden en vrijheden van 6 januari 1978) (JORF van 7 januari 1978).

59 Zie arresten van 26 oktober 2017, Balgarska energiyna borsa (C‑347/16, EU:C:2017:816, punt 31); 31 mei 2018, Confetra e.a. (C‑259/16 en C‑260/16, EU:C:2018:370, punt 63), en 17 oktober 2019, Elektrorazpredelenie Yug (C‑31/18, EU:C:2019:868, punt 32).