CONCLUZIILE AVOCATULUI GENERAL
DOMNUL MACIEJ SZPUNAR
prezentate la 27 octombrie 2022(1)
Cauza C‑470/21
La Quadrature du Net,
Fédération des fournisseurs d’accès à Internet associatifs,
Franciliens.net,
French Data Network
împotriva
Premier ministre,
Ministère de la Culture
[cerere de decizie preliminară formulată de Conseil d’État (Consiliul de Stat, Franța)]
„Trimitere preliminară – Prelucrarea datelor cu caracter personal și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58/CE – Articolul 15 alineatul (1) – Posibilitatea statelor membre de a restrânge sfera de aplicare a anumitor drepturi și obligații – Obligația efectuării unui control prealabil de către o instanță sau o entitate administrativă independentă care dispune de putere de constrângere – Date de identitate civilă corespunzătoare unei adrese IP”
I. Introducere
1. Problema păstrării anumitor date ale utilizatorilor de internet și a accesului la ele este o problemă de actualitate permanentă și face obiectul unei jurisprudențe recente, dar deja abundente a Curții.
2. Prezenta cauză oferă Curții ocazia de a aborda din nou această problemă, în contextul reînnoit al combaterii încălcărilor drepturilor de proprietate intelectuală săvârșite exclusiv online.
II. Cadrul juridic
A. Dreptul Uniunii
3. Considerentele (2), (6), (7), (11), (22), (26) și (30) ale Directivei 2002/58/CE(2) au următorul cuprins:
„(2) Prezenta directivă dorește respectarea drepturilor fundamentale și a principiilor recunoscute în special de [Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare «carta»)]. Directiva caută să asigure în special respectarea deplină a drepturilor menționate la articolele 7 și 8 ale cartei.
[…]
(6) Internetul a răsturnat structurile de piață tradiționale furnizând o infrastructură comună la nivel global pentru o gamă foarte largă de servicii de comunicare electronică. Serviciile de comunicare electronică publice prin internet deschid noi posibilități pentru utilizatori, dar reprezintă și noi riscuri pentru datele lor personale și pentru confidențialitatea comunicațiilor lor.
(7) În cazul rețelelor de comunicații publice, ar trebui adoptate acte cu putere de lege, norme administrative și norme tehnice pentru protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și a intereselor legitime ale persoanelor juridice, mai cu seamă în privința capacităților în creștere de stocare automată și de prelucrarea a datelor referitoare la abonați și utilizatori.
[…]
(11) La fel ca Directiva [95/46/CE(3)], prezenta directivă nu se referă la chestiuni de protecție a drepturilor și libertăților fundamentale legate de activități care nu sunt reglementate de legile comunitare. Prin urmare, aceasta nu aduce atingere echilibrului existent între dreptul indivizilor la confidențialitate și posibilitatea ca statele membre să ia măsurile stipulate la articolul 15 alineatul (1) din prezenta directivă, posibilitate necesară în vederea protejării siguranței publice, apărării și siguranței statului (inclusiv bunăstării economice a acestuia, în cazul în care activitățile respective sunt legate de chestiuni de siguranța statului) și întăririi legii penale. În consecință, prezenta directivă nu interzice statelor membre să efectueze interceptări legale ale comunicațiilor electronice sau să ia alte măsuri pentru atingerea scopurilor menționate anterior, dacă acest lucru este necesar și în conformitate cu Convenția Europeană pentru Protecția Drepturilor Omului și a Libertăților Fundamentale [, semnată la Roma la 4 noiembrie 1950], așa cum este aceasta interpretată de Curtea Europeană a Drepturilor Omului. Aceste măsuri trebuie să fie corespunzătoare, strict proporționale cu scopul urmărit și necesare în cadrul unei societăți democratice și trebuie însoțite de precauțiile corespunzătoare în conformitate cu Convenția Europeană pentru Protecția Drepturilor Omului și a Libertăților Fundamentale.
[…]
(22) Interdicția stocării comunicațiilor și a datelor de transfer aferente de către alte persoane decât utilizatorul sau fără acordul acestuia nu înseamnă interzicerea oricărei stocări automate, intermediare sau tranzitorii a acestor informații, în cazul în care acest lucru se întâmplă cu unicul scop al efectuării transmisiei prin rețeaua de comunicații electronice și cu condiția ca informațiile să nu fie stocate pentru o perioadă mai lungă decât este necesar în vederea transmiterii sau în scopuri legate de gestionarea traficului și ca în timpul perioadei de stocare să fie garantată confidențialitatea datelor. […]
[…]
(26) Datele referitoare la abonați prelucrate în cadrul rețelei de comunicații electronice pentru a stabili conexiuni [și] pentru a transmite informații conțin informații despre viața personală a persoanelor fizice și intră sub incidența dreptului la respectarea confidențialității corespondenței sau a dreptului la protejarea intereselor legitime ale persoanelor juridice. Aceste date pot fi stocate doar pe timpul necesar furnizării serviciului sau facturării și pentru plăți online și numai pentru o perioadă limitată de timp. Orice altă prelucrare a acestor date […] este permisă numai în cazul în care abonatul își dă acordul la aceasta după o informare corectă și completă din partea prestatorului de servicii publice de comunicații electronice cu privire la modul de prelucrare ulterioară a datelor pe care intenționează să o efectueze și la dreptul abonatului de a nu acorda sau de a‑și retrage acordul pentru această prelucrare. […]
[…]
(30) Sistemele de furnizare de servicii și [de] rețele de comunicații electronice trebuie astfel construite încât să limiteze cantitatea de date personale necesare la un minim strict. […]”
4. Potrivit articolului 2 din această directivă, intitulat „Definiții”:
„[…]
Se aplică de asemenea următoarele definiții:
(a) «utilizator» înseamnă orice persoană fizică ce folosește un serviciu public de comunicații electronice, în scopuri profesionale sau personale, fără a fi în mod necesar abonat la serviciul respectiv;
(b) «date de transfer» înseamnă orice date prelucrate în scopul transmiterii comunicației printr‑o rețea de comunicații electronice sau în vederea facturării;
(c) «date de localizare» înseamnă orice date prelucrate într‑o rețea de comunicații electronice sau prin intermediul unui serviciu de comunicații electronice, care indică poziția geografică a echipamentului terminal al unui utilizator al unui serviciu de comunicații electronice destinat publicului;
(d) «comunicație» înseamnă orice informație trimisă sau transmisă între un număr finit de părți prin intermediul unui serviciu public de comunicații electronice. Această categorie nu include informațiile transmise în cadrul unui serviciu de radiodifuziune pentru public prin intermediul unei rețele de comunicații electronice, în măsura în care aceste informații nu pot fi relaționate cu un abonat sau cu un utilizator identificabil care primește informația;
[…]”
5. Articolul 3 din directiva menționată, intitulat „Serviciile vizate”, prevede:
„Prezenta directivă se aplică prelucrării de date cu caracter personal legate de furnizarea de servicii de comunicații electronice destinate publicului prin intermediul rețelelor publice de comunicații din cadrul Comunității, inclusiv al rețelelor publice de comunicații care presupun colectarea de date și dispozitive de identificare.”
6. Articolul 5 din aceeași directivă, intitulat „Confidențialitatea comunicațiilor”, prevede:
„(1) Statele membre trebuie să asigure confidențialitatea comunicațiilor și a datelor de transfer aferente transmise prin intermediul unei rețele de comunicații publice sau unor servicii publice de comunicații electronice, prin legislația internă. Acestea interzic astfel în special ascultarea, înregistrarea, stocarea sau alte tipuri de interceptare sau supraveghere a comunicațiilor și a datelor de transfer aferente de către persoane altele decât utilizatorul, fără acordul utilizatorului în cauză, cu excepția cazurilor în care acest lucru este permis în temeiul articolului 15 alineatul (1). Prezentul alineat nu interzice stocarea tehnică necesară pentru transmisia comunicației care nu aduce atingere principiului confidențialității.
[…]
(3) Statele membre se asigură că stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informații clare și complete, în conformitate cu Directiva [95/46], inter alia, cu privire la scopurile prelucrării. Aceasta nu împiedică stocarea sau accesul tehnic cu unicul scop de a efectua transmisia comunicării printr‑o rețea de comunicații electronice sau în cazul în care acest lucru este strict necesar în vederea furnizării de către furnizor a unui serviciu al societății informaționale cerut în mod expres de către abonat sau utilizator.”
7. Potrivit articolului 6 din Directiva 2002/58, intitulat „Datele de transfer”:
„(1) Datele de transfer referitoare la abonați și utilizatori prelucrate și stocate de către furnizorul rețelei de comunicații publice sau al serviciilor publice de comunicații electronice trebuie șterse sau trecute în anonimat de îndată ce nu mai sunt necesare în scopul transmiterii comunicației, fără a aduce atingere alineatelor (2), (3) și (5) din prezentul articol sau articolului 15 alineatul (1).
(2) Datele de transfer necesare în vederea facturării serviciilor oferite abonatului sau plății conexiunii pot să fie prelucrate. Prelucrarea lor este permisă doar până la sfârșitul perioadei în care factura poate fi contestată prin lege sau plata poate fi urmărită.
[…]”
8. Articolul 15 alineatul (1) din Directiva 2002/58, intitulat „Aplicarea anumitor dispoziții ale Directivei [95/46]”, prevede:
„Statele membre pot adopta măsuri legislative pentru a restrânge sfera de aplicare a drepturilor și obligațiilor prevăzute la articolul 5, articolul 6, articolul 8 alineatele (1), (2), (3) și (4) și articolul 9 ale prezentei directive, în cazul în care restrângerea lor constituie o măsură necesară, corespunzătoare și proporțională în cadrul unei societăți democratice pentru a proteja securitatea națională (de exemplu siguranța statului), apărarea, siguranța publică sau pentru prevenirea, investigarea, detectarea și urmărirea penală a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicații electronice, în conformitate cu articolul 13 alineatul (1) al Directivei [95/46]. În acest scop, statele membre pot adopta, inter alia, măsuri legislative care să permită reținerea de date, pe perioadă limitată, pentru motivele arătate anterior în acest alineat. Toate măsurile menționate în acest alineat trebuie să fie conforme cu principiile generale ale legislației [Uniunii], inclusiv cu cele menționate la articolul 6 alineatele (1) și (2) [TUE].”
B. Dreptul francez
1. Codul proprietății intelectuale
9. Articolul L. 331‑12 din code de la propriété intellectuelle (Codul proprietății intelectuale), în versiunea aplicabilă litigiului principal (denumit în continuare „CPI”), prevede:
„Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet [Înalta autoritate pentru difuzarea operelor și protecția drepturilor pe internet (denumită în continuare «Hadopi»)] este o autoritate publică independentă.”
10. Articolul L. 331‑13 din CPI prevede:
„[Hadopi] asigură:
[…]
2° O misiune de protecție [a operelor și obiectelor protejate de un drept de autor sau de un drept conex pe rețelele de comunicații electronice] împotriva încălcărilor acestor drepturi săvârșite pe rețelele de comunicații electronice utilizate pentru furnizarea serviciilor de comunicații publice online; […]”
11. Potrivit articolului L. 331‑15 din acest cod:
„[Hadopi] este compusă dintr‑un colegiu și o comisie pentru protecția drepturilor. […]
[…]
În exercitarea atribuțiilor lor, membrii colegiului și ai comisiei pentru protecția drepturilor nu primesc instrucțiuni de la nicio autoritate.”
12. Articolul L. 331‑17 din codul menționat prevede:
„Comisia pentru protecția drepturilor este responsabilă de luarea măsurilor prevăzute la articolul L. 331‑25.”
13. Potrivit articolului L. 331‑21 din același cod:
„Pentru exercitarea de către comisia pentru protecția drepturilor a atribuțiilor sale, [Hadopi] dispune de agenți publici autorizați împuterniciți de președintele [acesteia] în condițiile stabilite printr‑un decret adoptat pe baza avizului Conseil d’État (Consiliul de Stat). […]
Membrii comisiei pentru protecția drepturilor și agenții menționați la primul paragraf primesc sesizările adresate comisiei menționate în condițiile prevăzute la articolul L. 331‑24. Aceștia efectuează o examinare a faptelor.
Ei pot obține, în măsura în care este necesar pentru desfășurarea procedurii, toate documentele, indiferent de suportul lor, inclusiv datele păstrate și prelucrate de operatorii de comunicații electronice în temeiul articolului L. 34‑1 din code des postes et des communications électroniques (Codul poștal și al comunicațiilor electronice) și de prestatorii de servicii menționați la punctele 1 și 2 ale alineatului I al articolului 6 din loi no 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique (Legea nr. 2004‑575 din 21 iunie 2004 privind încrederea în economia digitală).
De asemenea, pot obține copii ale documentelor menționate la paragraful precedent.
În special, pot obține din partea operatorilor de comunicații electronice identitatea, adresa poștală, adresa electronică și datele de contact telefonic ale abonatului al cărui acces la servicii de comunicații publice online a fost utilizat în scopul reproducerii, al reprezentării, al punerii la dispoziție sau al comunicării publice de opere sau de obiecte protejate fără autorizarea titularilor drepturilor […] în cazul în care aceasta este necesară.”
14. Articolul L. 331‑24 din CPI prevede:
„Comisia pentru protecția drepturilor acționează la sesizarea agenților autorizați și acreditați […] care sunt desemnați de:
– organismele de apărare a intereselor profesionale constituite periodic;
– organismele de gestiune colectivă;
– Centrul național al cinematografiei și al imaginii animate.
Comisia pentru protecția drepturilor poate acționa și pe baza informațiilor care îi sunt transmise de procurorul Republicii.
Aceasta nu poate fi sesizată cu privire la fapte care datează de mai mult de șase luni.”
15. Potrivit articolului L. 331‑25 din acest cod, dispoziție care reglementează așa‑numita procedură de „răspuns gradual”:
„Atunci când este sesizată cu privire la fapte care pot constitui o neîndeplinire a obligației definite la articolul L. 336‑3 [din CPI], comisia pentru protecția drepturilor poate trimite abonatului […] o recomandare prin care îi amintește dispozițiile articolului L. 336‑3, îi solicită să respecte obligația pe care acestea o definesc și îl avertizează cu privire la sancțiunile aplicabile în temeiul articolelor L. 335‑7 și L. 335‑7‑1. Această recomandare conține de asemenea o informare a abonatului cu privire la oferta legală de conținuturi culturale online, cu privire la existența unor mijloace de securizare care permit prevenirea încălcării obligației definite la articolul L. 336‑3, precum și cu privire la pericolele pentru reînnoirea creației artistice și pentru economia sectorului cultural pe care le prezintă practicile care nu respectă dreptul de autor și drepturile conexe.
În cazul repetării unor fapte care pot constitui o neîndeplinire a obligației definite la articolul L. 336‑3 în termen de șase luni de la trimiterea recomandării menționate la primul paragraf, comisia poate adresa o nouă recomandare care conține aceleași informații ca și precedenta trimisă pe cale electronică […]. Această recomandare trebuie trimisă printr‑o scrisoare predată sub semnătură sau prin orice alt mijloc de natură să facă dovada datei aducerii la cunoștință a acestei recomandări.
Recomandările adresate în temeiul prezentului articol menționează data și ora la care au fost constatate faptele care pot constitui o neîndeplinire a obligației definite la articolul L. 336‑3. În schimb, ele nu divulgă conținutul operelor sau al obiectelor protejate care fac obiectul acestei neîndepliniri a obligațiilor. Ele precizează coordonatele telefonice, poștale și electronice la care destinatarul lor poate să adreseze, dacă dorește, observații comisiei pentru protecția drepturilor și să obțină, dacă formulează o cerere expresă, precizări cu privire la conținutul operelor sau al obiectelor protejate care fac obiectul neîndeplinirii obligațiilor care îi este imputată.”
16. Articolul L. 331‑29 din codul menționat prevede:
„Este autorizată crearea de către [Hadopi] a unei prelucrări automatizate a datelor cu caracter personal referitoare la persoanele care fac obiectul unei proceduri în cadrul prezentei subsecțiuni.
Această prelucrare are drept scop punerea în aplicare de către comisia pentru protecția drepturilor a măsurilor prevăzute în prezenta subsecțiune, a tuturor actelor de procedură aferente și a modalităților de informare a organismelor de apărare a intereselor profesionale și a organismelor de gestiune colectivă cu privire la eventualele sesizări ale autorității judiciare, precum și a notificărilor prevăzute la al cincilea paragraf al articolului L. 335‑7.
Prin decret […] se stabilesc normele de aplicare a prezentului articol. Acest decret precizează în special:
– categoriile de date înregistrate și perioada de păstrare a acestora;
– destinatarii abilitați să obțină comunicarea datelor respective, în special persoanele a căror activitate este aceea de a oferi acces la servicii de comunicații publice online;
– condițiile în care persoanele interesate își pot exercita la [Hadopi] dreptul de acces la datele care le vizează […]”
17. Articolul R. 331‑37 din același cod prevede:
„Operatorii de comunicații electronice […] și prestatorii de servicii […] sunt obligați să comunice, printr‑o interconectare la prelucrarea automatizată a datelor cu caracter personal menționată la articolul L. 331‑29 sau prin utilizarea unui suport de înregistrare care asigură integritatea și securitatea lor, datele cu caracter personal și informațiile menționate la punctul 2 din anexa la [décret no 2010‑236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331‑29 du [CPI] dénommé «Système de gestion des mesures pour la protection des œuvres sur Internet» (Decretul nr. 2010‑236 din 5 martie 2010 privind prelucrarea automatizată a datelor cu caracter personal autorizată prin articolul L. 331‑29 din [CPI] denumită «Sistemul de gestionare a măsurilor pentru protecția operelor pe internet»)(4)] […] în termen de opt zile de la transmiterea de către comisia pentru protecția drepturilor a datelor tehnice necesare pentru identificarea abonatului al cărui acces la serviciile de comunicații publice online a fost utilizat în scopul reproducerii, al reprezentării, al punerii la dispoziție sau al comunicării publice de opere sau de obiecte protejate fără autorizarea titularilor drepturilor […] în cazul în care aceasta este necesară.
[…]”
18. Articolul R. 335‑5 din CPI prevede:
„I.‑ Constituie o neglijență gravă, care se pedepsește cu amenda prevăzută pentru contravențiile din clasa a cincea, atunci când sunt îndeplinite condițiile prevăzute la alineatul II, faptul că, fără un motiv legitim, persoana titulară a unui acces la servicii de comunicații publice online:
1° fie nu a implementat un mijloc de securizare a acestui acces;
2° fie nu a exercitat diligența necesară în punerea în aplicare a acestui mijloc.
II.‑ Dispozițiile alineatului I sunt aplicabile numai atunci când sunt îndeplinite următoarele două condiții:
1° În temeiul articolului L. 331‑25 și în formele prevăzute la acest articol, titularului accesului i s‑a recomandat de către comisia pentru protecția drepturilor să pună în aplicare un mijloc de securizare a accesului său care să permită prevenirea repetării unei utilizări a acestuia în scopul reproducerii, al reprezentării sau al punerii la dispoziție sau al comunicării publice de opere sau de obiecte protejate de un drept de autor sau de un drept conex fără autorizarea titularilor drepturilor […] în cazul în care aceasta este necesară;
2° În anul următor aducerii la cunoștință a acestei recomandări, acest acces este din nou utilizat în scopurile menționate la punctul 1 al prezentului alineat II.”
19. Articolul L. 336‑3 din acest cod prevede:
„Persoana titulară a accesului la servicii de comunicații publice online are obligația de a se asigura că acest acces nu face obiectul unei utilizări în scopul reproducerii, al reprezentării, al punerii la dispoziție sau al comunicării publice de opere sau de obiecte protejate de un drept de autor sau de un drept conex fără autorizarea titularilor […] atunci când aceasta este necesară.
Neîndeplinirea de către persoana titulară a accesului a obligației definite la primul paragraf nu are ca efect angajarea răspunderii penale a persoanei în cauză […].”
2. Decretul din 5 martie 2010
20. Décret du 5 mars 2010 (Decretul din 5 martie 2010), în versiunea aplicabilă situației de fapt din litigiul principal, prevede la articolul 1:
„Prelucrarea datelor cu caracter personal denumită «Sistemul de gestionare a măsurilor pentru protecția operelor pe internet» are ca scop punerea în aplicare de către comisia pentru protecția drepturilor din cadrul [Hadopi]:
1° a măsurilor prevăzute în volumul III din partea legislativă din [CPI] (titlul III capitolul I secțiunea 3 subsecțiunea 3) și în volumul III din partea administrativă din același cod (titlul III capitolul I secțiunea 2 subsecțiunea 2);
2° a sesizărilor procurorului Republicii cu privire la fapte care pot constitui infracțiuni prevăzute la articolele L. 335‑2, L. 335‑3, L. 335‑4 și R. 335‑5 din același cod, precum și a informării organismelor de apărare a intereselor profesionale și a organismelor de gestiune colectivă cu privire la aceste sesizări;
[…]”
21. Articolul 4 din acest decret prevede:
„I.‑ Au acces direct la datele cu caracter personal și la informațiile menționate în anexa la prezentul decret angajații publici autorizați împuterniciți de președintele [Hadopi] în temeiul articolului L. 331‑21 din [CPI] și membrii Comisiei pentru protecția drepturilor menționate la articolul 1.
II.‑ Operatorii de comunicații electronice și prestatorii de servicii menționați la punctul 2 din anexa la prezentul decret sunt destinatari:
– ai datelor tehnice necesare pentru identificarea abonatului;
– ai recomandărilor prevăzute la articolul L. 331‑25 din [CPI] în vederea transmiterii pe cale electronică a acestora către abonații lor;
– ai elementelor necesare pentru punerea în aplicare a pedepselor complementare de suspendare a accesului la un serviciu de comunicații publice online aduse la cunoștința comisiei pentru protecția drepturilor de către procurorul Republicii.
III.‑ Organismele de apărare a intereselor profesionale și organismele de gestiune colectivă sunt destinatare ale unei informații referitoare la sesizarea procurorului Republicii.
IV.‑ Autoritățile judiciare sunt destinatare ale proceselor‑verbale de constatare a faptelor care pot constitui infracțiuni prevăzute la articolele L. 335‑2, L. 335‑3, L. 335‑4, L. 335‑7, R. 331‑37, R. 331‑38 și R. 335‑5 din [CPI].
Cazierul judiciar automatizat este informat cu privire la executarea pedepsei de suspendare.”
22. Anexa la Decretul din 5 martie 2010 prevede:
„Datele cu caracter personal și informațiile înregistrate în prelucrarea denumită «Sistemul de gestionare a măsurilor pentru protecția operelor pe internet» sunt următoarele:
1° Date cu caracter personal și informații provenite de la organismele de apărare a intereselor profesionale constituite periodic, de la organismele de gestiune colectivă, de la Centrul național al cinematografiei și al imaginii animate, precum și cele provenite de la procurorul Republicii:
În ceea ce privește faptele care pot constitui o neîndeplinire a obligației definite la articolul L. 336‑3 din [CPI]:
Data și ora faptelor;
Adresa IP a abonaților în cauză;
Protocolul peer‑to‑peer utilizat;
Pseudonimul utilizat de abonat;
Informații referitoare la operele sau la obiectele protejate care fac obiectul faptelor;
Denumirea fișierului, astfel cum se regăsește pe calculatorul abonatului (dacă este cazul);
Furnizorul de acces la internet de la care a fost achiziționat accesul sau care a furnizat resursa tehnică IP.
[...]
2° Date cu caracter personal și informații referitoare la abonat colectate de la operatorii de comunicații electronice […] și de la prestatorii de servicii […]:
Numele de familie, prenumele;
Adresa poștală și adresele electronice;
Coordonatele telefonice;
Adresa postului telefonic al abonatului;
Furnizorul de acces la internet, care utilizează resursele tehnice ale furnizorului de acces menționat la punctul 1, cu care abonatul a încheiat contractul; numărul de dosar;
Data de la care începe suspendarea accesului la un serviciu de comunicații publice online.
[…]”
3. Codul poștal și al telecomunicațiilor
23. Articolul L. 34‑1 din Codul poștal și al comunicațiilor electronice, astfel cum a fost modificat prin articolul 17 din loi no 2021‑998 du 30 juillet 2021 (Legea nr. 2021‑998 din 30 iulie 2021)(5) (denumit în continuare „CPCE”), prevede la alineatul II bis că „operatorii de comunicații electronice sunt obligați să păstreze:
1° În scopul desfășurării procedurilor penale, al prevenirii amenințărilor împotriva siguranței publice și al apărării securității naționale, informațiile referitoare la identitatea civilă a utilizatorului, până la expirarea unui termen de cinci ani de la încetarea validității contractului său;
2° În aceleași scopuri precum cele enunțate la punctul 1 al prezentului alineat II bis, celelalte informații furnizate de utilizator la momentul încheierii unui contract sau al creării unui cont, precum și informațiile referitoare la plată până la expirarea unui termen de un an de la încetarea validității contractului său sau de la închiderea contului său;
3° În scopul combaterii criminalității și infracționalității grave, al prevenirii amenințărilor grave împotriva siguranței publice și al apărării securității naționale, datele tehnice care permit identificarea sursei de conectare sau cele referitoare la echipamentele terminale utilizate, până la expirarea unui termen de un an de la conectare sau de la utilizarea echipamentelor terminale.”
III. Litigiul principal, întrebările preliminare și procedura în fața Curții
24. Prin cererea introductivă din 12 august 2019 și prin două memorii suplimentare din 12 noiembrie 2019 și din 6 mai 2021, La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net și French Data Network au introdus la Conseil d’État (Consiliul de Stat, Franța) o cerere având ca obiect anularea deciziei implicite prin care prim‑ministrul a respins cererea lor de abrogare a Decretului din 5 martie 2010, în condițiile în care acest decret și dispozițiile care constituie temeiul său legal nu numai că ar aduce o atingere excesivă drepturilor garantate de Constituția franceză, dar ar fi și contrare articolului 15 din Directiva 2002/58, precum și articolelor 7, 8, 11 și 52 din cartă.
25. Reclamantele din litigiul principal susțin în special că Decretul din 5 martie 2010 și dispozițiile care constituie temeiul legal al acestuia autorizează în mod disproporționat accesul la date de conectare pentru încălcări ale dreptului de autor săvârșite pe internet și lipsite de gravitate, fără un control prealabil din partea unei instanțe sau a unei autorități care prezintă garanții de independență și de imparțialitate.
26. În această privință, instanța de trimitere subliniază mai întâi că, în ultima sa hotărâre, La Quadrature du Net și alții(6), Curtea a statuat că articolul 15 alineatul (1) din Directiva 2002/58, citit în lumina articolelor 7, 8, 11 și a articolului 52 alineatul (1) din cartă, nu se opune unor măsuri legislative care prevăd, în scopul protejării securității naționale, al combaterii infracționalității și al protejării siguranței publice, o păstrare generalizată și nediferențiată a datelor referitoare la identitatea civilă a utilizatorilor de mijloace de comunicații electronice. Astfel, o asemenea păstrare a acestor date ar fi posibilă, fără un termen specific, în scopul investigării, detectării și urmăririi penale a infracțiunilor în general.
27. Instanța de trimitere deduce de aici că motivul invocat de reclamantele din litigiul principal referitor la nelegalitatea Decretului din 5 martie 2010, în măsura în care a fost adoptat în cadrul combaterii încălcărilor lipsite de gravitate, nu poate fi decât înlăturat.
28. Această instanță amintește în continuare că, în Hotărârea Tele2 Sverige și Watson(7), Curtea a statuat că articolul 15 alineatul (1) din Directiva 2002/58, citit în lumina articolelor 7, 8, 11 și a articolului 52 alineatul (1) din cartă, trebuie interpretat în sensul că se opune unei reglementări naționale care guvernează protecția și securitatea datelor de transfer și a datelor de localizare și în special accesul autorităților naționale competente la datele păstrate fără a supune respectivul acces unui control prealabil din partea unei instanțe sau a unei autorități administrative independente.
29. Aceasta arată că, în Hotărârea Tele2(8), Curtea a precizat că, pentru a garanta în practică deplina respectare a acestor condiții, este esențial ca accesul autorităților naționale competente la datele păstrate să fie în principiu, cu excepția unor situații de urgență justificate corespunzător, condiționat de cerința privind un control prealabil efectuat fie de o instanță, fie de o entitate administrativă independentă și ca decizia acestei instanțe sau a acestei entități să intervină în urma unei cereri motivate formulate de autoritățile respective, printre altele în cadrul unor proceduri de prevenire, de detectare sau de urmărire penală.
30. Instanța de trimitere subliniază că Curtea a amintit această cerință în Hotărârea La Quadrature du Net și alții(9), în ceea ce privește colectarea în timp real a datelor de conectare de către serviciile de informații, precum și în Hotărârea Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice)(10), în ceea ce privește accesul autorităților naționale la datele de conectare.
31. Această instanță remarcă în final că, de la înființarea sa în anul 2009, Hadopi a adresat mai mult de 12,7 milioane de recomandări titularilor de abonamente în temeiul procedurii de răspuns gradual prevăzute la articolul L 331‑25 din CPI, dintre care 827 791 numai în cursul anului 2019. În acest scop, agenții comisiei pentru protecția drepturilor din cadrul Hadopi trebuie să poată colecta anual un număr considerabil de date referitoare la identitatea civilă a utilizatorilor în cauză. Aceasta apreciază că, ținând seama de volumul acestor recomandări, faptul de a supune această colectare unui control prealabil riscă să facă imposibilă aplicarea recomandărilor.
32. În aceste condiții, Conseil d’État (Consiliul de Stat) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
„1) Datele de identitate civilă corespunzătoare unei adrese IP se numără printre datele de transfer sau de localizare supuse în principiu obligației efectuării unui control prealabil de către o instanță sau o entitate administrativă independentă care dispune de putere de constrângere?
2) În cazul unui răspuns afirmativ la prima întrebare și având în vedere sensibilitatea redusă a datelor referitoare la identitatea civilă a utilizatorilor, inclusiv a datelor de contact ale acestora, Directiva [2002/58], din perspectiva [cartei], trebuie interpretată, în sensul că se opune unei reglementări naționale care prevede colectarea datelor respective care corespund adresei IP a utilizatorilor de către o autoritate administrativă fără un control prealabil din partea unei instanțe sau a unei entități administrative independente care dispune de putere de constrângere?
3) În cazul unui răspuns afirmativ la a doua întrebare și având în vedere sensibilitatea redusă a datelor referitoare la identitatea civilă, împrejurarea că numai datele menționate pot fi colectate, exclusiv în scopul prevenirii neîndeplinirii unor obligații stabilite în mod precis, limitativ și restrictiv de dreptul național, precum și împrejurarea că un control sistematic al accesului la datele fiecărui utilizator din partea unei instanțe sau a unei entități administrative terțe care dispune de putere de constrângere ar fi de natură să compromită îndeplinirea misiunii de serviciu public încredințate autorității administrative care este de asemenea independentă și care realizează această colectare, [Directiva 2002/58] se opune efectuării controlului respectiv în condiții adaptate, de exemplu prin control automatizat, dacă este cazul, sub supravegherea unui serviciu intern al organismului care prezintă garanții de independență și de imparțialitate în raport cu agenții însărcinați să realizeze colectarea în cauză?”
33. Reclamantele din litigiul principal, guvernele francez, estonian, suedez și norvegian, precum și Comisia Europeană au prezentat observații scrise. Aceleași părți, cu excepția guvernului estonian, precum și guvernele danez și finlandez au fost reprezentate la ședința care a avut loc la 5 iulie 2022.
IV. Analiză
A. Cu privire la prima și la a doua întrebare preliminară
34. Prin intermediul primelor două întrebări preliminare, care, în opinia noastră, trebuie examinate împreună, instanța de trimitere urmărește să afle în esență dacă articolul 15 alineatul (1) din Directiva 2002/58, citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din cartă, trebuie interpretat în sensul că se opune unei reglementări naționale care permite accesul unei autorități administrative responsabile de protecția drepturilor de autor și a drepturilor conexe împotriva încălcărilor acestor drepturi săvârșite pe internet la date de identitate civilă corespunzătoare unor adrese IP pentru ca această autoritate să poată identifica titularii acestor adrese suspectați a fi răspunzători de aceste încălcări și să poată lua, dacă este cazul, măsuri în privința lor, fără ca acest acces să fie condiționat de un control prealabil din partea unei instanțe sau a unei entități administrative independente.
1. Delimitarea întrebărilor preliminare
a) Colectarea prealabilă a adreselor IP de către organismele titularilor de drepturi
35. Din decizia de trimitere reiese că mecanismul de răspuns gradual în discuție în litigiul principal cuprinde două prelucrări succesive de date, care constau, prima, în colectarea prealabilă de către organismele titularilor de drepturi a adreselor IP pe rețelele peer‑to‑peer ale persoanelor care încalcă drepturile de autor și, a doua, în corelarea acestor adrese IP cu identitatea civilă a persoanelor de către Hadopi, în urma sesizării sale, în scopul trimiterii unei recomandări către persoanele al căror acces la servicii de comunicații publice online a fost utilizat cu încălcarea normelor privind dreptul de autor.
36. Prima și a doua întrebare preliminară privesc numai a doua prelucrare realizată de Hadopi.
37. Reclamantele din litigiul principal susțin însă că prima prelucrare ar trebui să facă obiectul unei examinări de către Curte, în măsura în care, dacă aceste adrese IP ar fi obținute cu încălcarea dispozițiilor Directivei 2002/58, utilizarea lor în cadrul celei de a doua prelucrări ar fi obligatoriu contrară acestor dispoziții.
38. Un astfel de raționament nu ne convinge. Articolul 3 alineatul (1) din Directiva 2002/58 limitează domeniul său de aplicare la „prelucrarea de date cu caracter personal legată de furnizarea de servicii de comunicații electronice”. Or, după cum a precizat guvernul francez în ședință, organismele titularilor de drepturi nu obțin adresele IP în discuție prin intermediul furnizorilor de servicii de comunicații electronice, ci direct online, prin consultarea datelor disponibile pentru publicul larg.
39. Prin urmare, se poate constata numai că colectarea prealabilă a adreselor IP de către organismele titularilor de drepturi nu intră sub incidența dispozițiilor Directivei 2002/58 și, astfel cum arată Comisia, ar putea, în consecință, să fie analizată în lumina dispozițiilor Regulamentului (UE) 2016/679(11). Considerăm, așadar, că o asemenea analiză excede cadrul întrebărilor preliminare adresate Curții, cu atât mai mult cu cât instanța de trimitere nu aduce precizări referitoare la colectarea prealabilă care ar permite Curții să îi furnizeze un răspuns util.
40. În aceste condiții, ne vom concentra analiza asupra problemei accesului Hadopi la datele de identitate civilă corespunzătoare unei adrese IP.
b) Corelarea adreselor IP cu datele de identitate civilă
41. Primele două întrebări preliminare privesc „datele de identitate civilă corespunzătoare unei adrese IP”, care ar avea, potrivit instanței de trimitere, o sensibilitate redusă. În decizia sa, această instanță se referă exclusiv la punctele din Hotărârea La Quadrature du Net și alții referitoare la păstrarea datelor de identitate civilă.
42. Este adevărat că jurisprudența Curții face distincție între regimul de păstrare și de acces al adreselor IP și regimul de păstrare și de acces al datelor referitoare la identitatea civilă a utilizatorilor de mijloace de comunicații electronice, acest al doilea regim fiind mai puțin strict decât primul(12).
43. Considerăm însă că în speță, în pofida modului de formulare a acestor două întrebări preliminare, nu este în discuție numai problema accesului la datele de identitate civilă ale utilizatorilor de mijloace de comunicații electronice, ci corelarea acestor date cu adresele IP de care dispune Hadopi în urma colectării și a transmiterii acestora din urmă de către organismele titularilor de drepturi. Astfel, după cum arată Comisia, accesul Hadopi la datele de identitate civilă urmărește să deblocheze un ansamblu mai larg de date, în special adresele IP și extrasele din fișierele consultate, și să permită utilizarea acestora, întrucât datele de identitate civilă și adresele IP sunt, independent unele de altele, lipsite de interes pentru autoritățile naționale, din moment ce nici identitatea civilă, nici adresa IP în sine nu pot oferi informații cu privire la activitățile online ale persoanelor fizice atunci când nu sunt corelate.
44. În opinia noastră, rezultă că primele două întrebări preliminare trebuie înțelese în sensul că nu vizează numai datele de identitate civilă ale utilizatorilor de mijloace de comunicații electronice, ci și accesul la adresele IP care permit identificarea sursei unei conexiuni.
c) Păstrarea adreselor IP de către furnizorii de servicii de comunicații
45. Este adevărat că, așa cum arată guvernul francez și Comisia, întrebările preliminare adresate Curții nu vizează în mod formal păstrarea datelor de către furnizorii de servicii de comunicații electronice, ci numai accesul Hadopi la date de identitate civilă corespunzătoare unor adrese IP.
46. Considerăm însă că problema accesului Hadopi la aceste date este în realitate indisociabilă de problema prealabilă a păstrării lor de către furnizorii de servicii de comunicații. Astfel cum a subliniat Curtea, păstrarea unor date are loc numai în scopul de a le pune, dacă este cazul, la dispoziția autorităților naționale competente(13). Cu alte cuvinte, păstrarea și accesul la date nu pot fi concepute în mod izolat, în condițiile în care accesul depinde de păstrarea lor.
47. Desigur, Curtea a examinat deja compatibilitatea cu articolul 15 alineatul (1) din Directiva 2002/58 a unei reglementări naționale referitoare numai la accesul autorităților naționale competente la anumite date cu caracter personal, independent de problema compatibilității cu această dispoziție a păstrării datelor în cauză(14). Prin urmare, s‑ar putea răspunde la prezentele întrebări preliminare făcând abstracție de aspectul dacă datele în cauză au fost păstrate în conformitate cu dispozițiile dreptului Uniunii.
48. Cu toate acestea, arătăm mai întâi că, în Hotărârea Ministerio Fiscal(15), analiza Curții privind compatibilitatea cu dreptul Uniunii a accesului autorităților naționale la anumite date personale respectă în mod strict aceleași principii precum analiza acesteia privind evaluarea compatibilității cu dreptul Uniunii a păstrării acestor date. Astfel, Curtea se referă exclusiv la jurisprudența dezvoltată în această ultimă privință pentru a o transpune în cazul accesului la date cu caracter personal. Cu alte cuvinte, în lipsa unei analize a compatibilității cu dreptul Uniunii a păstrării anumitor date, această analiză se reportează la etapa accesului la aceste date, astfel încât compatibilitatea acestui acces depinde in fine de cea a păstrării.
49. În continuare, Curtea a indicat în mod clar că accesul la date cu caracter personal poate fi acordat numai în măsura în care aceste date au fost stocate de furnizorii de servicii de comunicații electronice într‑o manieră conformă cu articolul 15 alineatul (1) din Directiva 2002/58(16) și că accesul persoanelor private la date cu caracter personal pentru a permite inițierea unor proceduri judiciare civile împotriva atingerilor aduse dreptului de autor este compatibil cu dreptul Uniunii numai dacă aceste date sunt păstrate într‑un mod conform cu această dispoziție(17).
50. În sfârșit, Curtea statuează în mod constant că accesul la datele de transfer și la datele de localizare păstrate de furnizori în aplicarea unei măsuri adoptate în temeiul articolului 15 alineatul (1) din Directiva 2002/58, care trebuie să aibă loc cu respectarea deplină a condițiilor ce rezultă din jurisprudența care a interpretat Directiva 2002/58, nu se poate justifica în principiu decât prin obiectivul de interes general pentru care această păstrare a fost impusă furnizorilor respectivi(18). Cu alte cuvinte, compatibilitatea cu dreptul Uniunii a accesului autorităților naționale la anumite date cu caracter personal depinde în totalitate de compatibilitatea cu dreptul Uniunii a păstrării acestor date.
51. Rezultă, în opinia noastră, că analiza compatibilității cu dreptul Uniunii a unei reglementări naționale care prevede accesul unei autorități naționale la date cu caracter personal presupune să se fi stabilit în prealabil compatibilitatea cu dreptul Uniunii a păstrării acestor date.
52. În aceste condiții, vom începe analiza noastră printr‑o evocare a jurisprudenței Curții referitoare la problema păstrării adreselor IP atribuite sursei unei conexiuni, pentru a demonstra limitele acesteia și pentru a propune o grilă de lectură adaptată a reglementării în cauză.
2. Jurisprudența Curții referitoare la interpretarea articolului 15 alineatul (1) din Directiva 2002/58 în ceea ce privește măsurile care vizează păstrarea adreselor IP atribuite sursei unei conexiuni
53. Articolul 5 alineatul (1) din Directiva 2002/58 consacră principiul confidențialității atât a comunicațiilor electronice, cât și a datelor de transfer aferente și instituie, printre altele, interdicția adresată în principiu oricăror alte persoane decât utilizatorii de a stoca, fără consimțământul acestora, comunicațiile și datele menționate(19).
54. În ceea ce privește prelucrarea și stocarea de către furnizorii de servicii de comunicații electronice a datelor de transfer referitoare la abonați și utilizatori, Directiva 2002/58 prevede, la articolul 6 alineatul (1), că aceste date trebuie șterse sau trecute în anonimat de îndată ce nu mai sunt necesare în scopul transmiterii comunicației și precizează, la articolul 6 alineatul (2), că datele de transfer necesare în vederea facturării serviciilor oferite abonatului sau plății conexiunii nu pot să fie prelucrate decât până la sfârșitul perioadei în care factura poate fi contestată prin lege sau plata poate fi urmărită. În ceea ce privește alte date de localizare decât datele de transfer, articolul 9 alineatul (1) din această directivă prevede că aceste date pot fi prelucrate numai în anumite condiții și doar dacă sunt anonime sau cu acordul utilizatorilor sau al abonaților respectivi(20).
55. Astfel, prin adoptarea Directivei 2002/58, legiuitorul Uniunii a concretizat drepturile consacrate la articolele 7 și 8 din cartă, așa încât utilizatorii mijloacelor de comunicații electronice sunt îndreptățiți să se aștepte în principiu ca, în lipsa consimțământului lor, comunicațiile și datele aferente să rămână anonime și să nu poată face obiectul unei înregistrări(21). Prin urmare, această directivă nu se limitează să încadreze accesul la asemenea date prin garanții care urmăresc prevenirea abuzurilor, ci consacră totodată, în special, principiul interzicerii stocării lor de către terți.
56. În aceste condiții, întrucât articolul 15 alineatul (1) din Directiva 2002/58 permite statelor membre să adopte măsuri legislative pentru a „restrânge sfera de aplicare” a drepturilor și obligațiilor prevăzute printre altele la articolele 5, 6 și 9 din această directivă, precum cele care decurg din principiile confidențialității comunicațiilor și interzicerii stocării datelor aferente, dispoziția respectivă enunță o excepție de la regula generală prevăzută printre altele la aceste articole 5, 6 și 9 și trebuie deci, conform unei jurisprudențe constante, să facă obiectul unei interpretări stricte. Așadar, o asemenea dispoziție nu poate să justifice ca derogarea de la obligația de principiu de a garanta confidențialitatea comunicațiilor electronice și a datelor aferente și în special de la interdicția de a stoca datele respective, prevăzută la articolul 5 din directiva menționată, să devină regula fără a goli această din urmă dispoziție de conținutul său(22).
57. În ceea ce privește obiectivele susceptibile să justifice o restrângere a drepturilor și obligațiilor prevăzute, printre altele, la articolele 5, 6 și 9 din Directiva 2002/58, Curtea a statuat deja că enumerarea obiectivelor care figurează la articolul 15 alineatul (1) prima teză din această directivă are caracter exhaustiv, așa încât o măsură legislativă adoptată în temeiul acestei dispoziții trebuie să urmărească în mod efectiv și strict unul dintre aceste obiective(23).
58. În plus, din articolul 15 alineatul (1) a treia teză din Directiva 2002/58 reiese că măsurile adoptate de statele membre în temeiul acestei dispoziții trebuie să respecte principiile generale ale dreptului Uniunii, printre care figurează principiul proporționalității, și să asigure respectarea drepturilor fundamentale garantate de cartă. În această privință, Curtea a statuat deja că obligația impusă de un stat membru furnizorilor de servicii de comunicații electronice, printr‑o legislație națională, de a păstra datele de transfer în scopul de a le pune, dacă este cazul, la dispoziția autorităților naționale competente ridică probleme cu privire la respectarea nu numai a articolelor 7 și 8 din cartă, referitoare la protecția vieții private și, respectiv, la protecția datelor cu caracter personal, ci și a articolului 11 din cartă, referitor la libertatea de exprimare, această libertate constituind unul dintre fundamentele esențiale al unei societăți democratice și pluraliste și făcând parte dintre valorile pe care, conform articolului 2 TUE, se întemeiază Uniunea(24).
59. Totuși, în măsura în care articolul 15 alineatul (1) din Directiva 2002/58 permite statelor membre să restrângă drepturile și obligațiile prevăzute la articolele 5, 6 și 9 din această directivă, dispoziția menționată reflectă împrejurarea că drepturile consacrate la articolele 7, 8 și 11 din cartă nu sunt prerogative absolute, ci trebuie luate în considerare în raport cu funcția lor în societate. Astfel, după cum reiese din articolul 52 alineatul (1) din cartă, aceasta permite restrângeri ale exercițiului acestor drepturi cu condiția ca respectivele restrângeri să fie prevăzute de lege, să respecte substanța drepturilor respective și, prin respectarea principiului proporționalității, să fie necesare și să răspundă efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți. Așadar, interpretarea articolului 15 alineatul (1) din Directiva 2002/58, citit în lumina cartei, impune să se țină de asemenea cont de importanța obiectivelor de apărare a securității naționale și de combatere a criminalității grave, contribuind la protecția drepturilor și libertăților celorlalți, și de importanța drepturilor consacrate la articolele 3, 4, 6 și 7 din cartă(25), din care pot decurge obligații pozitive în sarcina autorităților publice(26).
60. Date fiind aceste diferite obligații pozitive, este deci necesară concilierea diverselor interese legitime și drepturi în cauză. În acest cadru, din însuși modul de redactare a articolului 15 alineatul (1) prima teză din Directiva 2002/58 rezultă că statele membre pot adopta o măsură care să deroge de la principiul confidențialității în cazul în care o asemenea măsură este „necesară, corespunzătoare și proporțională în cadrul unei societăți democratice”, considerentul (11) al directivei menționate indicând în acest sens că o măsură de această natură trebuie să fie „strict” proporțională cu scopul urmărit(27).
61. În această privință, din jurisprudența Curții rezultă că posibilitatea statelor membre de a justifica o restrângere a drepturilor și obligațiilor prevăzute printre altele la articolele 5, 6 și 9 din Directiva 2002/58 trebuie să fie apreciată cântărind gravitatea ingerinței pe care o implică o asemenea restrângere și verificând dacă importanța obiectivului de interes general urmărit prin restrângerea respectivă se corelează cu această gravitate(28).
62. Arătăm totodată că, în jurisprudența sa, Curtea distinge, pe de o parte, ingerințele ce rezultă din accesul la date care, în sine, furnizează informații precise cu privire la comunicațiile în cauză și, prin urmare, cu privire la viața privată a persoanei și pentru care regimul de păstrare este strict și, pe de altă parte, ingerințele ce rezultă din accesul la date care nu pot furniza astfel de informații decât în măsura în care sunt corelate alte date, cum sunt adresele IP(29).
63. În ceea ce privește mai precis adresele IP, Curtea a arătat astfel că acestea sunt generate fără a fi legate de o anumită comunicație și servesc în principal la identificarea, prin intermediul furnizorilor de servicii de comunicații electronice, a persoanei fizice proprietare a unui echipament terminal de la care se efectuează o comunicație prin intermediul internetului. Prin urmare, în măsura în care numai adresele IP ale sursei comunicației sunt păstrate, nu și cele ale destinatarului acesteia, categoria de date menționată prezintă un grad de sensibilitate mai redus decât celelalte date de transfer(30).
64. Curtea subliniază în același timp că, din moment ce adresele IP pot fi utilizate pentru a se realiza printre altele o reconstituire exhaustivă a parcursului de navigare al unui utilizator de internet și deci a activității sale online, aceste date permit stabilirea profilului detaliat al acestuia din urmă și desprinderea unor concluzii precise asupra vieții private a utilizatorului. Păstrarea și analiza acestor adrese IP constituie, așadar, ingerințe grave în drepturile fundamentale consacrate la articolele 7 și 8 din cartă și pot avea efecte disuasive asupra exercitării libertății de exprimare garantate la articolul 11 din aceasta(31).
65. Potrivit unei jurisprudențe constante, se impune însă ca, pentru a realiza concilierea necesară a drepturilor și a intereselor legitime în cauză impuse de jurisprudență, să se țină seama de faptul că, în cazul unei infracțiuni săvârșite online, adresa IP poate constitui singurul mijloc de investigare care permite identificarea persoanei căreia îi era atribuită această adresă la momentul săvârșirii infracțiunii(32).
66. Prin urmare, Curtea statuează că o măsură legislativă care prevede păstrarea generalizată și nediferențiată numai a adreselor IP atribuite sursei unei conexiuni nu este, în principiu, contrară articolului 15 alineatul (1) din Directiva 2002/58, interpretat în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din cartă, fiind necesar ca această posibilitate să respecte strict condițiile materiale și procedurale care trebuie să guverneze utilizarea acestor date, întrucât, având în vedere caracterul grav al ingerinței pe care o presupune această păstrare, numai combaterea infracționalității grave și prevenirea amenințărilor grave la adresa siguranței publice pot, la fel ca securitatea națională, să justifice această ingerință(33).
67. Curtea precizează în plus că durata de stocare nu o poate depăși pe cea care este strict necesară în raport cu obiectivul urmărit și că o măsură de această natură trebuie să prevadă condiții și garanții stricte în ceea ce privește exploatarea acestor date(34).
3. Limitele jurisprudenței referitoare la interpretarea articolului 15 alineatul (1) din Directiva 2002/58 în ceea ce privește măsurile care vizează păstrarea adreselor IP atribuite sursei unei conexiuni
68. Considerăm însă că soluția la care a ajuns Curtea în ceea ce privește măsurile naționale care vizează păstrarea adreselor IP atribuite sursei unei conexiuni, interpretate în lumina articolului 15 alineatul (1) din Directiva 2002/58, prezintă două dificultăți principale.
a) Concilierea cu jurisprudența referitoare la comunicarea adreselor IP atribuite sursei unei conexiuni în cadrul acțiunilor în apărarea drepturilor de proprietate intelectuală
69. În primul rând, astfel cum am evocat deja în Concluziile prezentate în cauza M.I.C.M.(35), există o anumită tensiune între această linie jurisprudențială și cea referitoare la comunicarea adreselor IP titularilor drepturilor de proprietate intelectuală în contextul acțiunilor în apărarea acestor drepturi, care pune accentul pe obligația statelor membre de a se asigura că deținătorii drepturilor de proprietate intelectuală au posibilitatea reală de a obține despăgubiri pentru daunele rezultate din încălcarea acestor drepturi(36).
70. Astfel, în ceea ce privește această a doua linie jurisprudențială, Curtea statuează în mod constant că dreptul Uniunii nu se opune ca statele membre să instituie o obligație de a transmite către persoane private date cu caracter personal pentru a permite inițierea unor proceduri judiciare civile împotriva atingerilor aduse dreptului de autor(37).
71. Curtea arată în această privință că posibilitatea statelor membre de a prevedea obligația de a divulga, în cadrul procedurilor civile, date cu caracter personal decurge mai întâi din faptul că o asemenea divulgare poate fi prevăzută pentru urmărirea penală a infracțiunilor, care a fost ulterior extinsă la procedurile civile(38).
72. În același timp, în ceea ce privește adresele IP, Curtea impune totuși ca aceste date să nu poată fi păstrate decât în cadrul combaterii criminalității grave și al prevenirii amenințărilor grave împotriva siguranței publice(39).
73. Încercările de reconciliere a acestor două linii jurisprudențiale conduc, în opinia noastră, la rezultate neadaptate și nu pot convinge.
74. Pe de o parte, contrar celor susținute de guvernul francez în ședință, combaterea încălcărilor drepturilor de proprietate intelectuală nu se poate încadra în combaterea infracționalității grave. Noțiunea de „infracționalitate gravă” trebuie, în opinia noastră, să primească o interpretare autonomă. Aceasta nu poate depinde de concepțiile fiecărui stat membru întrucât astfel s‑ar permite eludarea cerințelor articolului 15 alineatul (1) din Directiva 2002/58 după cum statele membre adoptă sau nu o concepție extinsă a combaterii infracționalității grave. Or, așa cum am arătat deja, interesele legate de protecția drepturilor de proprietate intelectuală nu se pot confunda cu cele care stau la baza combaterii infracționalității grave(40).
75. Pe de altă parte, dacă s‑ar accepta posibilitatea de a se transmite adrese IP titularilor de drepturi de proprietate intelectuală în cadrul procedurilor având ca obiect apărarea acestor drepturi, în condițiile în care păstrarea adreselor IP nu este posibilă decât în cadrul combaterii criminalității grave, s‑ar încălca în mod clar jurisprudența Curții referitoare la păstrarea datelor de conectare, iar condițiile impuse pentru păstrarea unor asemenea date ar deveni lipsite de efect util, din moment ce ele ar putea fi oricum accesate din alte motive.
76. Rezultă, în opinia noastră, că păstrarea adreselor IP în scopul protecției drepturilor de proprietate intelectuală și comunicarea lor către titularii acestor drepturi în cadrul procedurilor având ca obiect această protecție ar putea fi contrare articolului 15 alineatul (1) din Directiva 2002/58, astfel cum este interpretat în jurisprudența Curții. Prin urmare, obligația de transmitere către persoane private a unor date cu caracter personal pentru a permite inițierea unor proceduri judiciare civile împotriva atingerilor aduse dreptului de autor, deși devenită posibilă datorită Curții înseși, este în același timp neutralizată de propria jurisprudență referitoare la păstrarea adreselor IP de către furnizorii de servicii de comunicații electronice.
77. O atare soluție nu este însă satisfăcătoare întrucât ar face îndoielnic echilibrul pe care Curtea a încercat să îl stabilească între diferitele interese existente, privând titularii de drepturi de proprietate intelectuală de principalul, dacă nu singurul, mijloc de identificare a autorilor atingerilor aduse online acestor drepturi. Această considerație ne conduce la a doua dificultate care, în opinia noastră, poate rezulta din jurisprudența Curții, în ceea ce privește măsurile naționale care vizează păstrarea adreselor IP atribuite sursei unei conexiuni, interpretată în lumina articolului 15 alineatul (1) din Directiva 2002/58.
b) Riscul unei impunități sistemice pentru infracțiunile săvârșite exclusiv online
78. Astfel, în al doilea rând, considerăm că această soluție este sursa unor dificultăți practice. După cum subliniază însăși Curtea, în cazul unei infracțiuni săvârșite exclusiv online, adresa IP poate constitui singurul mijloc de investigare care permite identificarea persoanei căreia îi era atribuită această adresă la momentul săvârșirii infracțiunii respective.
79. Apreciem însă că acest element nu este pe deplin luat în considerare la evaluarea comparativă a intereselor în cauză. Întrucât Curtea limitează totuși posibilitatea păstrării adreselor IP la cadrul combaterii criminalității grave, ea exclude în același timp posibilitatea ca aceste date să fie păstrate în vederea combaterii infracțiunilor în general, deși unele dintre aceste infracțiuni nu pot fi prevenite, detectate sau sancționate decât cu ajutorul datelor respective.
80. Cu alte cuvinte, jurisprudența Curții ar putea conduce la privarea autorităților naționale de singurul mijloc de identificare a autorilor infracțiunilor săvârșite online care nu se încadrează însă la criminalitatea gravă, cum sunt încălcările drepturilor de proprietate intelectuală. Ar rezulta de fapt o impunitate sistemică pentru infracțiunile săvârșite exclusiv online, nu doar pentru încălcările aduse drepturilor de proprietate intelectuală. Ne gândim printre altele la actele de calomnie săvârșite online. Dreptul Uniunii prevede, desigur, somații împotriva intermediarilor ale căror servicii sunt utilizate pentru săvârșirea unor astfel de infracțiuni(41), dar din jurisprudența Curții ar putea rezulta că autorii înșiși ai acestor acte ar putea să nu fie niciodată urmăriți penal.
81. Cu excepția situației în care se admite că o serie întreagă de infracțiuni nu pot face niciodată obiectul urmăririi penale, considerăm că echilibrul dintre diferitele interese în cauză ar trebui să facă obiectul unei noi analize.
82. Aceste diferite considerații ne determină să propunem Curții o anumită adaptare a jurisprudenței referitoare la măsurile naționale care vizează păstrarea adreselor IP, interpretate în lumina articolului 15 alineatul (1) din Directiva 2002/58.
4. Propunerea de adaptare a jurisprudenței Curții referitoare la interpretarea articolului 15 alineatul (1) din Directiva 2002/58 în ceea ce privește măsurile care vizează păstrarea adreselor IP atribuite sursei unei conexiuni
83. Ținând seama de considerațiile care precedă, apreciem că articolul 15 alineatul (1) din Directiva 2002/58 ar trebui interpretat în sensul că nu se opune unor măsuri care prevăd o păstrare generalizată și nediferențiată a adreselor IP atribuite sursei unei conexiuni, pentru o perioadă limitată la strictul necesar, în scopul de a asigura prevenirea, investigarea, detectarea și urmărirea penală a infracțiunilor săvârșite online pentru care adresa IP constituie singurul mijloc de investigare ce permite identificarea persoanei căreia îi era atribuită această adresă la momentul comiterii infracțiunii.
84. Trebuie subliniat în această privință că o atare propunere nu afectează, în opinia noastră, cerința proporționalității impusă pentru păstrarea datelor, având în vedere gravitatea pe care o presupune ingerința în drepturile fundamentale consacrate la articolele 7 și 8 din cartă(42). Dimpotrivă, ea îndeplinește pe deplin această cerință.
85. Pe de o parte, restrângerea drepturilor și obligațiilor prevăzute la articolele 5, 6 și 9 din Directiva 2002/58 prin păstrarea adreselor IP urmărește un obiectiv de interes general corelat cu această gravitate, și anume prevenirea, investigarea, detectarea și urmărirea penală a infracțiunilor vizate de texte care altfel ar rămâne lipsite de efect.
86. Pe de altă parte, această restrângere se realizează în limitele strictului necesar. Astfel, o asemenea păstrare este limitată la ipoteze precise, și anume infracțiunile săvârșite online pentru care identificarea autorului nu poate avea loc decât cu ajutorul adresei IP care îi este atribuită. Cu alte cuvinte, nu este vorba despre a autoriza o păstrare generalizată și nediferențiată a datelor fără alte condiții, ci numai de a permite urmărirea penală a unor infracțiuni bine determinate, iar nu ca regulă generală.
87. Cu toate acestea, deși articolul 15 alineatul (1) din Directiva 2002/58 nu se opune unei păstrări generalizate și nediferențiate a adreselor IP atribuite sursei unei conexiuni în scopul de a asigura prevenirea, investigarea, detectarea și urmărirea penală a infracțiunilor săvârșite online pentru care adresa IP constituie singurul mijloc de investigare ce permite identificarea persoanei căreia îi era atribuită această adresă la momentul comiterii infracțiunii, trebuie precizat în plus că, potrivit jurisprudenței, această posibilitate trebuie să fie supusă „respectării stricte a condițiilor materiale și procedurale care trebuie să guverneze utilizarea acestor date”(43). Curtea precizează totodată că o atare măsură „trebuie să prevadă condiții și garanții stricte în ceea ce privește exploatarea acestor date”(44).
88. Cu alte cuvinte, astfel cum am subliniat deja, păstrarea datelor și accesul la aceste date nu pot să fie concepute în mod izolat. În aceste condiții, deși posibilitatea ca Hadopi să aibă acces la adresele IP nu este aprioric contrară articolului 15 alineatul (1) din Directiva 2002/58, în măsura în care aceste date au fost păstrare în conformitate cu cerințele prevăzute de această dispoziție, este în continuare necesar ca, pentru a răspunde la întrebările preliminare adresate Curții, să se analizeze dacă condițiile în care Hadopi are acces la adresele IP atribuite sursei unei conexiuni sunt în sine conforme cu dispoziția menționată, în special în ceea ce privește existența sau inexistența necesității de a se efectua un control prealabil al unui asemenea acces de către o instanță sau o autoritate administrativă independentă.
89. Odată analizată problema preliminară a păstrării adreselor IP atribuite sursei unei conexiuni, vom proceda la examinarea accesului Hadopi la aceste date din perspectiva articolului 15 alineatul (1) din Directiva 2002/58.
5. Accesul Hadopi la datele de identitate civilă corespunzătoare adreselor IP
90. Reiese din jurisprudența Curții, în ceea ce privește obiectivele susceptibile să justifice o măsură națională care derogă de la principiul confidențialității comunicațiilor electronice, că accesul la date trebuie să urmărească în mod strict și obiectiv unul dintre aceste obiective și că obiectivul urmărit de această măsură trebuie să se coreleze la gravitatea ingerinței în drepturile fundamentale pe care o determină acest acces(45).
91. În plus, după cum am arătat(46), accesul la date păstrate de furnizori în aplicarea unei măsuri adoptate în temeiul articolului 15 alineatul (1) din Directiva 2002/58 nu se poate justifica în principiu decât prin obiectivul de interes general pentru care această păstrare a fost impusă furnizorilor respectivi(47).
92. Curtea a statuat astfel, în conformitate cu principiul proporționalității, că o ingerință gravă nu se poate justifica, în materie de prevenire, de investigare, de detectare și de urmărire penală a infracțiunilor, decât prin obiectivul privind combaterea infracționalității care trebuie calificată drept gravă(48).
93. În această privință, remarcăm, în sens contrar celor susținute de guvernul francez și de Comisie, că accesul Hadopi la datele de identitate civilă corespunzătoare unei adrese IP constituie o ingerință gravă în drepturile fundamentale. Astfel, nu este vorba numai despre accesul la datele de identitate civilă, care au în sine o sensibilitate redusă, ci despre corelarea acestor date cu un ansamblu mai larg de date, și anume adresa IP, dar și, după cum subliniază reclamantele din litigiul principal, un extras din fișierul descărcat încălcând dreptul de autor. Prin urmare, este vorba despre corelarea identității civile a unei persoane cu conținutul fișierului consultat și cu adresa IP prin care a avut loc această consultare.
94. Cu toate acestea, la fel cum suntem de părere că trebuie să se permită de asemenea păstrarea datelor care constituie o ingerință gravă în drepturile fundamentale în scopul de a asigura prevenirea, investigarea, detectarea și urmărirea penală a infracțiunilor săvârșite online pentru care adresa IP constituie singurul mijloc de investigare ce permite identificarea persoanei căreia îi era atribuită această adresă la momentul comiterii infracțiunii(49), apreciem că accesul la aceste date ar trebui să fie posibil pentru a urmări același obiectiv, cu excepția cazului în care se admite impunitatea generală a infracțiunilor săvârșite exclusiv online.
95. Prin urmare, accesul Hadopi la datele de identitate civilă corelate cu o adresă IP se justifică, în opinia noastră, prin obiectivul de interes general pentru care această păstrare a fost impusă furnizorilor de servicii de comunicații electronice.
96. Jurisprudența Curții precizează totuși că o legislație națională care reglementează accesul autorităților competente la date de transfer și la date de localizare păstrate nu se poate limita la a impune ca accesul să răspundă finalității urmărite de această legislație, ci trebuie să prevadă și condițiile materiale și procedurale în care este reglementat accesul autorităților naționale competente la datele în cauză(50).
97. Mai precis, Curtea statuează că, întrucât un acces general la toate datele păstrate, independent de orice legătură cu scopul urmărit, nu poate fi considerat limitat la strictul necesar, reglementarea națională trebuie să se întemeieze pe criterii obiective pentru a defini împrejurările și condițiile în care trebuie să se acorde autorităților naționale competente accesul la datele utilizatorilor, astfel încât să se asigure că accesul nu este acordat decât la datele persoanelor suspectate că ar plănui, că ar săvârși sau că ar fi săvârșit o infracțiune gravă ori că ar fi implicate într‑un mod sau altul în săvârșirea unei asemenea infracțiuni(51).
98. Așadar, potrivit jurisprudenței, pentru a garanta în practică respectarea deplină a acestor condiții, este esențial ca accesul autorităților naționale competente la datele păstrate să fie în principiu condiționat de un control prealabil efectuat fie de o instanță, fie de o entitate administrativă independentă(52).
99. Arătăm însă că Curtea a stabilit această necesitate a unui control prealabil al accesului la datele personale în circumstanțe speciale, care diferă de cele din prezenta speță, ce implică intruziuni deosebit de grave și în viața privată a utilizatorilor de servicii de comunicații electronice.
100. Astfel, era vorba, în fiecare dintre hotărârile în care s‑a subliniat această cerință, despre măsuri naționale care autorizau accesul la ansamblul datelor de transfer și de localizare ale utilizatorilor care au legătură cu toate mijloacele de comunicații electronice(53) sau cel puțin cu telefonia fixă și mobilă(54). Mai precis, era în discuție accesul la un „ansamblu de date […] care pot să furnizeze informații cu privire la comunicațiile efectuate de un utilizator al unui mijloc de comunicare electronică sau cu privire la localizarea echipamentelor terminale pe care le utilizează acesta și să permită să se deducă concluzii precise cu privire la viața sa privată”(55), așa încât cerința privind un control prealabil al accesului la aceste date din partea unei instanțe sau a unei entități administrative independente nu există, în opinia noastră, decât în acele condiții.
101. Or, pe de o parte, accesul Hadopi rămâne limitat la corelarea datelor de identitate civilă cu adresa IP utilizată și cu fișierul consultat la un moment dat, fără ca acest lucru să conducă la a permite autorităților competente să reconstruiască parcursul de navigare online al utilizatorului vizat și nici, prin urmare, să deducă concluzii precise cu privire la viața sa privată în plus față de cunoașterea fișierului exact consultat la momentul săvârșirii infracțiunii. Nu este vorba, așadar, despre a permite reconstituirea ansamblului activităților online ale utilizatorului în cauză.
102. Pe de altă parte, aceste date nu privesc decât datele persoanelor care, așa cum s‑a constatat în procesele‑verbale întocmite de organismele titularilor de drepturi, au săvârșit fapte susceptibile să constituie o neîndeplinire a obligației prevăzute la articolul L. 336‑3 din CPI. Prin urmare, accesul Hadopi la datele de identitate civilă corelate cu adresele IP este strict limitat la ceea ce este necesar pentru atingerea obiectivului urmărit, și anume să se permită prevenirea, investigarea, detectarea și urmărirea penală a infracțiunilor săvârșite online pentru care adresa IP constituie singurul mijloc de investigare ce permite identificarea persoanei căreia îi era atribuită această adresă la momentul comiterii infracțiunii, în care se înscrie mecanismul de răspuns gradual.
103. În aceste condiții, considerăm că articolul 15 alineatul (1) din Directiva 2002/58 nu impune existența unui control prealabil al accesului Hadopi la datele de identitate civilă corelate cu adresele IP ale utilizatorilor din partea unei instanțe sau a unei entități administrative independente.
104. În rest, arătăm că, așa cum subliniază guvernul francez, accesul Hadopi la aceste date, deși nu este supus unui control prealabil din partea unei instanțe sau a unei entități independente, nu este totuși scutit de orice control, din moment ce fișierul trimis de Hadopi operatorilor de comunicații electronice este întocmit în fiecare zi de un agent autorizat, pornind de la sesizările primite și validate în mod aleatoriu per eșantion, înainte de adăugarea lor la fișier(56). Mai mult, trebuie remarcat că procedura de răspuns gradual rămâne supusă dispozițiilor Directivei (UE) 2016/680(57). În acest sens, persoanele fizice vizate de Hadopi beneficiază de un ansamblu de garanții materiale și procedurale prevăzute de această directivă. Acestea includ dreptul de acces, dreptul la rectificarea și la ștergerea datelor personale prelucrate de Hadopi, precum și posibilitatea de a formula o plângere la o autoritate de supraveghere independentă, urmată eventual de o cale de atac jurisdicțională exercitată în condițiile dreptului comun(58).
105. Prin urmare, propunem să se răspundă la primele două întrebări preliminare că articolul 15 alineatul (1) din Directiva 2002/58, citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din cartă, trebuie interpretat în sensul că nu se opune unei reglementări naționale ce permite păstrarea de către furnizorii de servicii de comunicații electronice și accesul unei autorități administrative responsabile de protecția drepturilor de autor și a drepturilor conexe împotriva încălcărilor acestor drepturi săvârșite pe internet limitat la date de identitate civilă corespunzătoare unor adrese IP pentru ca respectiva autoritate să poată identifica titularii acestor adrese suspectați a fi răspunzători de aceste încălcări și să poată lua, dacă este cazul, măsuri împotriva lor, fără ca acest acces să fie condiționat de un control prealabil din partea unei instanțe sau a unei entități administrative independente, atunci când aceste date constituie singurul mijloc de investigare ce permite identificarea persoanei căreia îi era atribuită această adresă la momentul săvârșirii infracțiunii.
B. Cu privire la a treia întrebare preliminară
106. Prin intermediul celei de a treia întrebări preliminare, instanța de trimitere urmărește să afle dacă, în ipoteza în care s‑ar răspunde în mod afirmativ la primele două întrebări și având în vedere sensibilitatea redusă a datelor de identitate civilă, încadrarea strictă a accesului la date și imperativul de a nu compromite misiunea de serviciu public încredințată autorității administrative în cauză, articolul 15 alineatul (1) din Directiva 2002/58, citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din cartă, trebuie interpretat în sensul că se opune ca un control prealabil al accesului să fie efectuat în condiții adaptate, de exemplu prin control automatizat, dacă este cazul, sub supravegherea unui serviciu intern al organismului care prezintă garanții de independență și de imparțialitate în raport cu agenții însărcinați să realizeze colectarea în cauză.
107. Din modul de redactare a celei de a treia întrebări preliminare, precum și din răspunsul scris al guvernului francez la întrebările Curții reiese că modalitățile de control adaptate la care se face referire în această întrebare nu vizează un mecanism de control existent în dreptul național, ci pistele care pot fi explorate și care urmăresc să asigure conformitatea mecanismului francez cu dreptul Uniunii, dacă este cazul.
108. Or, potrivit unei jurisprudențe constante, o cerere de decizie preliminară nu are drept obiectiv formularea de opinii consultative cu privire la chestiuni generale și ipotetice, ci urmărește să răspundă necesității inerente de soluționare efectivă a unui litigiu privind dreptul Uniunii(59).
109. Prin urmare, întrucât a treia întrebare preliminară are, în opinia noastră, un caracter ipotetic, trebuie considerată inadmisibilă.
110. În orice caz, având în vedere răspunsul pe care îl propunem a fi dat primelor două întrebări preliminare, nu mai este necesar să se răspundă la a treia întrebare.
V. Concluzie
111. Având în vedere ansamblul considerațiilor care precedă, propunem Curții să răspundă la întrebările preliminare adresate de Conseil d’État (Consiliul de Stat, Franța) după cum urmează:
Articolul 15 alineatul (1) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene
trebuie interpretat în sensul că
nu se opune unei reglementări naționale ce permite păstrarea de către furnizorii de servicii de comunicații electronice și accesul unei autorități administrative responsabile de protecția drepturilor de autor și a drepturilor conexe împotriva încălcărilor acestor drepturi săvârșite pe internet limitat la date de identitate civilă corespunzătoare unor adrese IP pentru ca respectiva autoritate să poată identifica titularii acestor adrese suspectați a fi răspunzători de aceste încălcări și să poată lua, dacă este cazul, măsuri împotriva lor, fără ca acest acces să fie condiționat de un control prealabil din partea unei instanțe sau a unei entități administrative independente, atunci când aceste date constituie singurul mijloc de investigare ce permite identificarea persoanei căreia îi era atribuită această adresă la momentul săvârșirii infracțiunii.