FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
MACIEJ SZPUNAR
föredraget den 28 september 2023(1)
Mål C‑470/21
La Quadrature du Net,
Fédération des fournisseurs d’accès à internet associatifs,
Franciliens.net,
French Data Network
mot
Premier ministre,
Ministère de la Culture
(begäran om förhandsavgörande från Conseil d’État (Högsta förvaltningsdomstolen, Frankrike))
”Begäran om förhandsavgörande – Behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation – Direktiv 2002/58/EG – Artikel 15.1 – Medlemsstaternas rätt att begränsa omfattningen av vissa rättigheter och skyldigheter – Skyldighet att låta en domstol eller ett oberoende förvaltningsorgan vars avgöranden har bindande verkan genomföra en förhandskontroll – Uppgifter om fysisk identitet som motsvarar en ip-adress”
I. Inledning
1. Efter hemställan av stora avdelningen med stöd av artikel 60.3 i domstolens rättegångsregler beslutade domstolen den 7 mars 2023 att hänskjuta förevarande mål till plenum.
2. Genom beslut av den 23 mars 2023 beslutade domstolen (plenum) att återuppta den muntliga delen av förfarandet och inbjöd de berörda som avses i artikel 23 i stadgan för Europeiska unionens domstol samt Europeiska datatillsynsmannen (EDPS) och Europeiska unionens cybersäkerhetsbyrå (Enisa) att delta i en ny förhandling.
3. Jag föredrog mitt första förslag till avgörande i förevarande mål den 27 oktober 2022, innan den muntliga delen av förfarandet avslutades. Detta nya förslag till avgörande är således ett tillfälle för mig att fördjupa vissa delar av mitt resonemang i detta mål när det gäller centrala frågor som rör lagring av och åtkomst till personuppgifter.
II. Tillämpliga bestämmelser
A. Unionsrätt
4. I skälen 2, 6, 7, 11, 22, 26 och 30 i direktiv 2002/58/EG(2) anges följande:
”(2) I detta direktiv eftersträvas respekt för de grundläggande rättigheterna och iakttagande av de principer som erkänns i synnerhet i Europeiska unionens stadga om de grundläggande rättigheterna [(nedan kallad stadgan)]. I synnerhet eftersträvas i detta direktiv att säkerställa full respekt för rättigheterna i artiklarna 7 och 8 i den stadgan.
…
(6) Internet bryter upp traditionella marknadsstrukturer genom att tillhandahålla en gemensam, global infrastruktur för leverans av en mängd olika elektroniska kommunikationstjänster. Allmänt tillgängliga kommunikationstjänster via internet öppnar nya möjligheter för användarna, men för även med sig nya risker för deras personuppgifter och integritet.
(7) När det gäller allmänna kommunikationsnät bör särskilda rättsliga och tekniska bestämmelser antas för att skydda fysiska personers grundläggande fri- och rättigheter samt juridiska personers berättigade intressen, särskilt med hänsyn till den ökade kapaciteten för automatisk lagring och behandling av uppgifter om abonnenter och användare.
…
(11) I likhet med direktiv 95/46/EG(3)] omfattar det här direktivet inte sådana frågor om skydd av grundläggande fri- och rättigheter som rör verksamhet som inte regleras av gemenskapslagstiftningen. Det ändrar därför inte den befintliga jämvikten mellan den enskildes rätt till integritet och medlemsstaternas möjligheter att vidta sådana åtgärder, enligt artikel 15.1 i det här direktivet, som krävs för att skydda allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när verksamheten rör statens säkerhet) och brottsbekämpning. Det här direktivet påverkar följaktligen inte medlemsstaternas möjlighet att utföra laglig avlyssning av elektronisk kommunikation eller att vidta andra åtgärder om det är nödvändigt för något av dessa ändamål och sker i enlighet med Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna[, undertecknad i Rom den 4 november 1950,] i den tolkning dessa fått i rättspraxis från Europeiska domstolen för de mänskliga rättigheterna. Sådana åtgärder måste vara lämpliga, i strikt proportion till det avsedda ändamålet och nödvändiga i ett demokratiskt samhälle. De bör omfattas av lämpliga skyddsmekanismer i överensstämmelse med Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.
…
(22) Förbudet mot lagring av kommunikationer och tillhörande trafikuppgifter av andra än användarna eller utan deras samtycke är inte avsett att förbjuda någon automatisk, mellanliggande och tillfällig lagring av denna information, i den mån lagringen enbart görs för att utföra överföringen i det elektroniska kommunikationsnätet och under förutsättning att informationen inte lagras längre än vad som är nödvändigt för överföringen och trafikstyrningen och att konfidentialiteten förblir garanterad under lagringsperioden. …
…
(26) De uppgifter om abonnenter som behandlas inom elektroniska kommunikationsnät i samband med uppkoppling och överföring av information innehåller upplysningar om fysiska personers privatliv och gäller rätten till skydd för deras korrespondens eller omsorgen om juridiska personers berättigade intressen. Sådana uppgifter får endast lagras i den utsträckning det är nödvändigt för att tillhandahålla tjänsten när det gäller fakturering och betalning av samtrafikavgifter, och endast under en begränsad tid. [Ytterligare behandling av sådana uppgifter får] endast ske om abonnenten givit sitt samtycke till detta efter att ha erhållit korrekt och uttömmande information av den berörda leverantören om vilka typer av ytterligare behandling som denne avser att företa och om abonnentens rätt att inte ge sitt samtycke eller att återkalla sitt samtycke till en sådan behandling. …
…
(30) Systemen för tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster bör utformas så att mängden nödvändiga personuppgifter begränsas till ett absolut minimum. …”
5. I artikel 2 i direktivet, med rubriken ”Definitioner”, anges följande:
”…
Dessutom skall följande definitioner gälla:
a) användare: en fysisk person som använder en allmänt tillgänglig elektronisk kommunikationstjänst för privat eller affärsmässigt bruk utan att nödvändigtvis ha abonnerat på denna tjänst.
b) trafikuppgifter: alla uppgifter som behandlas i syfte att överföra en kommunikation via ett elektroniskt kommunikationsnät eller för att fakturera den.
c) lokaliseringsuppgifter: alla uppgifter som behandlas i ett elektroniskt kommunikationsnät eller av en elektronisk kommunikationstjänst och som visar den geografiska positionen för terminalutrustningen för en användare av en allmänt tillgänglig elektronisk kommunikationstjänst.
d) kommunikation: all information som utbyts eller överförs mellan ett begränsat antal parter genom en allmänt tillgänglig elektronisk kommunikationstjänst. Detta inbegriper inte information som överförs som del av en sändningstjänst för rundradio eller TV till allmänheten via ett elektroniskt kommunikationsnät utom i den mån informationen kan sättas i samband med den enskilde abonnenten eller användaren av informationen.
…”
6. I artikel 3 i direktivet, som har rubriken ”Berörda tjänster”, föreskrivs följande:
”Detta direktiv ska tillämpas på behandling av personuppgifter i samband med att allmänt tillgängliga elektroniska kommunikationstjänster tillhandahålls i allmänna kommunikationsnät inom gemenskapen, inbegripet allmänna kommunikationsnät som stöder datainsamling och identifieringsutrustning.”
7. I artikel 5 i samma direktiv, som har rubriken ”Konfidentialitet vid kommunikation”, föreskrivs följande:
”1. Medlemsstaterna skall genom nationell lagstiftning säkerställa konfidentialitet vid kommunikation och därmed förbundna trafikuppgifter via allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster. De skall särskilt förbjuda avlyssning, uppfångande med tekniskt hjälpmedel, lagring eller andra metoder som innebär att kommunikationen och de därmed förbundna trafikuppgifterna kan fångas upp eller övervakas av andra personer än användarna utan de berörda användarnas samtycke, utom när de har laglig rätt att göra detta i enlighet med artikel 15.1. Denna punkt får inte förhindra teknisk lagring som är nödvändig för överföring av kommunikationen utan att det påverkar principen om konfidentialitet.
…
3. Medlemsstaterna ska se till att lagring av information eller tillgång till information som redan är lagrad i en abonnents eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har gett sitt samtycke efter att ha fått tillgång till tydlig och fullständig information, i enlighet med direktiv [95/46], bland annat om ändamålen med behandlingen av uppgifterna. Detta får inte förhindra någon teknisk lagring eller åtkomst som endast sker för att utföra överföringen av en kommunikation via ett elektroniskt kommunikationsnät eller det som är absolut nödvändigt för att leverantören ska kunna tillhandahålla en av informationssamhällets tjänster som användaren eller abonnenten uttryckligen har begärt.”
8. Artikel 6 i direktiv 2002/58, som har rubriken ”Trafikuppgifter”, har följande lydelse:
”1. Trafikuppgifter om abonnenter och användare som behandlas och lagras av leverantören av ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst skall utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra en kommunikation, utan att det påverkar tillämpningen av punkterna 2, 3 och 5 i den här artikeln samt artikel 15.1.
2. Trafikuppgifter som krävs för abonnentfakturering och betalning av samtrafikavgifter får behandlas. Sådan behandling är tillåten endast fram till utgången av den period under vilken det lagligen går att göra invändningar mot fakturan eller kräva betalning.
…”
9. Artikel 15 i direktiv 2002/58 har rubriken ”Tillämpningen av vissa bestämmelser i direktiv [95/46]”. I artikel 15.1 anges följande:
”Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i artikel 5, artikel 6, artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i detta direktiv när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem enligt artikel 13.1 i direktiv [95/46]. Medlemsstaterna får för detta ändamål bland annat vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period som motiveras av de skäl som fastställs i denna punkt. Alla åtgärder som avses i denna punkt skall vara i enlighet med de allmänna principerna i [unionslagstiftningen], inklusive principerna i artikel 6.1 och 6.2 [FEU].”
B. Fransk rätt
1. Lagen om immateriella rättigheter
10. I artikel L. 331‑12 i code de la propriété intellectuelle (lag om immateriella rättigheter), i den lydelse som är tillämplig i det nationella målet (nedan kallad CPI), föreskrivs följande:
”Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (central myndighet för spridning av verk och rättighetsskydd på internet) [(nedan kallad Hadopi)] är en oberoende statlig myndighet.”
11. I artikel L. 331‑13 CPI föreskrivs följande:
”[Hadopi] ska sörja för följande:
…
2° Ett uppdrag att skydda [verk och alster som omfattas av upphovsrätt eller en närstående rättighet i elektroniska kommunikationsnät] mot rättighetsintrång som begås i elektroniska kommunikationsnät som används för tillhandahållande av allmänt tillgängliga kommunikationstjänster på internet; …”
12. I artikel L. 331‑15 i denna lag anges följande:
”[Hadopi] består av ett kollegium och en kommitté för rättighetsskydd. …
…
Kollegiets ledamöter och ledamöterna av kommittén för rättighetsskydd ska utföra sina uppgifter utan att ta emot instruktioner från någon myndighet.”
13. I artikel L. 331‑17 i nämnda lag föreskrivs följande:
”Kommittén för rättighetsskydd är ansvarig för att vidta åtgärder enligt artikel L. 331‑25.”
14. I artikel L. 331‑21 i samma lag anges följande:
”För att kommittén för rättighetsskydd ska kunna utöva sina befogenheter har [Hadopi] till sitt förfogande auktoriserade tjänstemän som bemyndigats av [Hadopis] ordförande på de villkor som fastställts i dekret av Conseil d’État [(Högsta förvaltningsdomstolen, Frankrike)]. …
Kommitténs ledamöter och de tjänstemän som avses i första stycket ska ta emot klagomål till denna kommitté på de villkor som anges i artikel L. 331‑24. De ska undersöka de faktiska omständigheterna.
Med anledning av förfarandet kan de begära ut handlingar i vilken form som helst, inklusive de uppgifter som lagrats och behandlats av operatörer som tillhandahåller elektronisk kommunikation med tillämpning av artikel L. 34‑1 i code des postes et des communications électroniques (lag om elektronisk post och kommunikation) och de leverantörer som avses i artikel 6 I leden 1 och 2 i loi no 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique (lag nr 2004‑575 av den 21 juni 2004 om förtroende för den digitala ekonomin).
De kan även begära ut kopior av de handlingar som avses i föregående stycke.
De kan bland annat begära från operatörer som tillhandahåller elektronisk kommunikation att få reda på namn, postadress, e‑postadress och telefonnummer till en abonnent vars tillgång till allmänt tillgängliga elektroniska kommunikationstjänster, utan tillstånd från [rättsinnehavarna], har använts för mångfaldigande, återgivning, tillgängliggörande eller överföring av skyddade verk eller alster, om ett sådant tillstånd krävs.”
15. I artikel L. 331‑24 CPI anges följande:
”Kommittén för rättighetsskydd ska agera efter det att ett ärende har hänskjutits av certifierade och auktoriserade ombud … som ska utses av
– lagenligt konstituerade organ som tillvaratar branschintressen,
– kollektiva förvaltningsorgan,
– Centre national du cinéma et de l’image animée (nationellt centrum för film och animerade bilder).
Kommittén för rättighetsskydd kan även agera på grundval av upplysningar som erhålls från allmän åklagare.
Kommittén får inte ta upp ärenden om faktiska omständigheter som är äldre än sex månader.”
16. I artikel L. 331‑25 CPI, som reglerar förfarandet för graduated response, anges följande:
”Om ett ärende avseende gärningar som kan utgöra åsidosättande av skyldigheten enligt artikel L. 336‑3 [CPI] hänskjuts till kommittén för rättighetsskydd kan den översända … en rekommendation till abonnenten med en erinran om bestämmelserna i artikel L. 336–3 och en anmodan om att iaktta skyldigheten enligt dessa bestämmelser samt upplysa abonnenten om de påföljder som han eller hon kan påföras enligt artiklarna L. 335–7 och L. 335–7-1. Denna rekommendation ska även innehålla information till abonnenten om det lagenliga kulturutbudet på internet, säkerhetsåtgärder som finns att tillgå för att förhindra åsidosättande av skyldigheten enligt artikel L. 336–3 och om hotet mot det konstnärliga skapandet och ekonomin i kultursektorn från förfaringssätt ägnade att kringgå upphovsrätten och närstående rättigheter.
För det fall att gärningar som kan utgöra åsidosättande av skyldigheten enligt artikel L. 336–3 upprepas under en period av sex månader efter översändande av rekommendationen enligt första stycket får kommittén översända en ny rekommendation med e‑post med samma innehåll som den föregående … Kommittén ska se till att rekommendationen åtföljs av en skrivelse som överlämnas mot underskrift eller på något annat sätt som kan styrka dagen för överlämnandet av rekommendationen.
Rekommendationer enligt denna artikel ska innehålla uppgift om datum och klockslag då gärningar som kan utgöra åsidosättande av skyldigheten enligt artikel L. 336–3 fastställts. Innehållet i de skyddade verk eller alster som berörs av åsidosättandet ska däremot inte anges. En rekommendation ska innehålla telefonnummer, postadress och elektroniska kontaktuppgifter som mottagaren kan använda sig av om han eller hon vill yttra sig till kommittén för rättighetsskydd och, om mottagaren uttryckligen begär det, erhålla klargöranden om innehållet i de skyddade verk eller alster som berörs av det åsidosättande som han eller hon klandrats för.”
17. I artikel L. 331–29 i nämnda lag föreskrivs följande:
”[Hadopi] får införa en automatisk behandling av personuppgifter för de personer som är föremål för ett förfarande enligt detta underavsnitt.
Syftet med denna behandling ska vara att ge kommittén för rättighetsskydd möjlighet att vidta de åtgärder som föreskrivs i detta underavsnitt, vidta alla tillhörande förfarandeåtgärder samt meddela organ som tillvaratar branschintressen och kollektiva förvaltningsorgan om eventuella ärenden som hänskjutits till rättsliga myndigheter och om delgivningar enligt artikel L. 335–7 femte stycket.
Tillämpningsföreskrifterna för denna bestämmelse ska fastställas … i ett dekret. I dekretet ska bland annat följande anges:
– Kategorier av registrerade uppgifter och deras lagringstid.
– Mottagare som har rätt att ta emot sådana uppgifter, däribland personer vars verksamhet består i att tillhandahålla elektroniska kommunikationstjänster till allmänheten.
– De villkor på vilka berörda personer kan utöva sin rätt att få tillgång till sina uppgifter hos [Hadopi] …”
18. I artikel R. 331–37 i samma lag föreskrivs följande:
”Operatörer av elektronisk kommunikation … och … leverantörer … är skyldiga att, genom uppkoppling till den automatiska behandlingen av personuppgifter enligt artikel L. 331–29 eller genom att använda sig av ett lagringsmedium som garanterar personuppgifternas integritet och säkerhet, lämna ut personuppgifter och den information som anges i punkt 2 i bilagan till [dekret nr 2010–236 av den 5 mars 2010 om den automatiska behandling av personuppgifter i enlighet med artikel L. 331–29 [CPI] som benämns ’System för förvaltning av åtgärder för skydd av verk på internet’(4) (nedan kallat dekret av den 5 mars 2010)] inom åtta dagar, räknat från den dag då kommittén för rättighetsskydd lämnar ut de tekniska uppgifter som krävs för att identifiera den abonnent vars tillgång till allmänt tillgängliga elektroniska kommunikationstjänster, utan tillstånd från [rättsinnehavarna], har använts för mångfaldigande, återgivning, tillgängliggörande eller kommunikation av skyddade verk eller alster, om ett sådant tillstånd krävs.
…”
19. I artikel R. 335–5 CPI föreskrivs följande:
”I.- Den som har en anslutning till allmänt tillgängliga kommunikationstjänster på nätet gör sig skyldig till grov oaktsamhet, vilket är förenat med böter i enlighet med vad som föreskrivs för överträdelser av femte graden, om han eller hon utan legitimt skäl, och om villkoren i II är uppfyllda
1° inte har installerat ett hjälpmedel för att säkra denna anslutning, eller,
2° har brustit i aktsamhet vid användningen av detta hjälpmedel.
II.- Bestämmelserna i I är endast tillämpliga om följande två villkor är uppfyllda:
1° Kommittén för rättighetsskydd har i enlighet med artikel L. 331‑25 och på det sätt som föreskrivs i denna artikel rekommenderat innehavaren av anslutningen att installera ett hjälpmedel för att säkra sin anslutning som gör det möjligt att förhindra att anslutningen återigen används för mångfaldigande, återgivning, tillgängliggörande eller kommunikation till allmänheten av verk eller alster som skyddas av upphovsrätt eller närstående rättigheter utan tillstånd från [rättsinnehavarna], om ett sådant tillstånd krävs.
2° Anslutningen används på nytt för de ändamål som anges i 1° i denna II under en period av ett år efter det att rekommendationen lämnades.”
20. I artikel L. 336–3 i nämnda lag föreskrivs följande:
”Den som har en anslutning till allmänt tillgängliga elektroniska kommunikationstjänster ska se till att denna anslutning inte används för mångfaldigande, återgivning, tillgängliggörande eller kommunikation till allmänheten av verk eller alster som skyddas av upphovsrätt eller närstående rättigheter utan tillstånd från [rättsinnehavarna], om ett sådant tillstånd krävs.
Den person som innehar anslutningen blir inte straffrättsligt ansvarig på grund av åsidosättande av skyldigheten enligt första stycket …”
2. Dekretet av den 5 mars 2010
21. I artikel 1 i dekretet av den 5 mars 2010, i den lydelse som är tillämplig på omständigheterna i det nationella målet, föreskrivs följande:
”Syftet med behandlingen av personuppgifter i ’System för förvaltning av åtgärder för att skydda verk på internet’ är att [Hadopis] kommitté för rättighetsskydd ska
1° vidta åtgärder enligt del III i lagstiftningsdelen [CPI] (avdelning III, kapitel I, avsnitt 3, underavsnitt 3 och del III i regleringsdelen av samma lag (avdelning III, kapitel I, avsnitt 2, underavsnitt 2),
2° anmäla faktiska omständigheter som kan utgöra brott enligt artiklarna L. 335‑2, L. 335‑3, L. 335‑4 och R. 335‑5 i samma lag till allmän åklagare och informera organ som tillvaratar branschintressen och kollektiva förvaltningsorgan om dessa anmälningar,
…”
22. I artikel 4 i dekretet anges följande:
”I.- De auktoriserade offentliga tjänstemän som bemyndigats av [Hadopis] ordförande i enlighet med artikel L. 331‑21 [CPI] och ledamöterna i den kommitté för rättighetsskydd som anges i artikel 1 ska ha direkt tillgång till personuppgifter och den information som anges i bilagan till detta dekret.
II.- De operatörer av elektronisk kommunikation och de leverantörer som anges i 2° i bilagan till detta dekret ska erhålla
– de tekniska uppgifter som krävs för att identifiera abonnenten,
– de rekommendationer som föreskrivs i artikel L. 331‑25 [CPI] för elektronisk vidarebefordran till abonnenterna,
– de uppgifter som behövs för att genomföra kompletterande straff i form av avstängning av anslutningen till en allmänt tillgänglig kommunikationstjänst på internet som allmän åklagare underrättat kommittén för rättighetsskydd om.
III.- Organ som tillvaratar branschintressen och kollektiva förvaltningsorgan ska erhålla information om en anmälan till allmän åklagare.
IV.- De rättsliga myndigheterna ska erhålla protokoll från fastställande av faktiska omständigheter som kan utgöra överträdelser enligt artiklarna L. 335‑2, L. 335‑3, L. 335‑4, L. 335‑7, R. 331‑37, R. 331‑38 och R. 335‑5 [CPI].
Det automatiserade belastningsregistret ska underrättas om verkställighet av ett avstängningsstraff.”
23. I bilagan till dekretet av den 5 mars 2010 föreskrivs följande:
”Följande personuppgifter och information ska registreras i systemet för förvaltning av åtgärder för skydd av verk på internet:
1° Personuppgifter och information som härrör från lagligt konstituerade organ som tillvaratar branschintressen, kollektiva förvaltningsorgan, Nationella centrumet för film och animerade bilder samt från allmän åklagare.
Beträffande omständigheter som kan utgöra åsidosättande av skyldigheten enligt artikel L. 336‑3 [CPI]:
Datum och klockslag för omständigheterna.
Berörda abonnenters ip-adress.
Använt peer-to-peer-protokoll.
Pseudonym som använts av abonnenten.
Information om skyddade verk eller alster som berörs av omständigheterna.
Filens namn på abonnentens dator (i förekommande fall).
Internetleverantör som åtkomsten erhållits från eller som tillhandahållit den tekniska ip-resursen.
…
2° Personuppgifter och information om abonnenten som inhämtats från operatörer av elektronisk kommunikation … och leverantörer …:
För- och efternamn.
Postadress och e‑postadresser.
Telefonnummer.
Adress till abonnentens telefoninstallation.
Internetleverantör som använder de tekniska resurserna från den leverantör som anges i 1°, hos vilken abonnenten har tecknat avtal, kundnummer.
Datum då åtkomsten till en allmänt tillgänglig kommunikationstjänst på internet stängs av.
…”
3. Lag om elektronisk post och kommunikation
24. I artikel L. 34‑1 i code des postes et des communications électroniques (lag om elektronisk post och kommunikation), i dess lydelse enligt artikel 17 i lag nr 2021‑998 av den 30 juli 2021(5) föreskrivs följande i punkt II bis:
”[O]peratörer av elektronisk kommunikation är skyldiga att lagra följande:
1° information om användarens fysiska identitet, upp till fem år efter det att vederbörandes avtal har upphört att gälla, för att kunna genomföra straffrättsliga förfaranden, förebygga hot mot den allmänna säkerheten, samt skydda den nationella säkerheten,
2° annan information som användaren lämnat i samband med tecknandet av ett avtal eller skapandet av ett konto samt betalningsinformation, upp till ett år efter det att vederbörandes avtal har upphört att gälla eller dennes konto har avslutats, för samma ändamål som de som avses i punkt 1 i denna bestämmelse,
3° tekniska uppgifter som gör det möjligt att identifiera källan till en uppkoppling eller den terminalutrustning som använts, upp till ett år efter uppkopplingen eller användningen av terminalutrustningen, för att möjliggöra bekämpande av grov brottslighet, förebyggande av allvarliga hot mot den allmänna säkerheten och skydd av den nationella säkerheten.”
III. Förfarandet vid domstolen
25. Som svar på en anmodan till de berörda som avses i artikel 23 i domstolens stadga svarade klagandena i det nationella målet, den franska, den danska, den estniska, den irländska, den nederländska, den finska och den svenska regeringen samt Europeiska kommissionen på de skriftliga frågor som domstolen hade ställt.
26. De berörda, med undantag av den finska, den tjeckiska, den spanska, den cypriotiska, den lettiska och den norska regeringen samt EDPS och Enisa, närvarade vid förhandlingen som hölls den 15 maj 2023.
IV. Bedömning
27. I mitt första förslag till förhandsavgörande föreslog jag, efter att ha bedömt tolkningsfrågorna, att domstolen skulle meddela följande avgörande. Artikel 15.1 i direktiv 2002/58 ska tolkas så, att den inte utgör hinder för en nationell lagstiftning enligt vilken det är tillåtet för leverantörer av elektroniska kommunikationstjänster att lagra uppgifter om fysisk identitet som är kopplade till ip-adresser och enligt vilken en förvaltningsmyndighet såsom Hadopi(6) ges rätt att få åtkomst till dessa uppgifter, så att myndigheten ska kunna identifiera innehavarna av adresserna, som är misstänkta för att ha begått sådana rättighetsintrång och, i förekommande fall, vidta åtgärder mot dem, utan att denna åtkomst är underkastad någon förhandskontroll av en domstol eller ett oberoende förvaltningsorgan, när dessa uppgifter utgör den enda utredningsmetoden som möjliggör identifiering av den person som var tilldelad denna adress när intrånget begicks.
28. I det här förslaget till avgörande kommer jag att gå djupare in på vissa delar i min tidigare bedömning och på de frågor som diskuterades vid förhandlingen den 15 maj 2023, i syfte att förklara varför jag vidhåller såväl mitt förslag till svar på tolkningsfrågorna som det resonemang som ledde fram till det.(7)
29. Jag kommer särskilt att visa att den omständigheten att det är tillåtet att utan förhandskontroll lagra uppgifter om fysisk identitet som motsvarar ip-adresser och få åtkomst till sådana uppgifter i syfte att identifiera gärningsmän som har begått brott, när dessa uppgifter är den enda metoden att identifiera dessa, är förenlig med de krav som domstolen har fastställt vid prövningen av åtgärder som vidtagits i enlighet med artikel 15.1 i direktiv 2002/58 (avsnitt B).
30. Jag kommer även att visa att en sådan lösning inte utgör en förändring av den stränga rättspraxis för skydd av de grundläggande rättigheterna som domstolen har utvecklat efter meddelandet av domen i målet Tele2 Sverige och Watson m.fl.(8)och domen i målet La Quadrature du Net m.fl.(9), utan är en nödvändig vidareutveckling av denna rättspraxis som jag anser följer av de principer som domstolen har fastställt. Denna åtskillnad är inte endast semantisk. Den lösning som jag föreslår syftar nämligen inte till att ifrågasätta befintlig rättspraxis, utan till att, i namn av en viss pragmatism, göra det möjligt att avpassa nämnda rättspraxis under särskilda, mycket strikt avgränsade omständigheter (avsnitt C).
31. För tydlighetens skull och eftersom diskussionerna vid förhandlingen påvisade ett behov av preciseringar, kommer jag att inleda min bedömning med att erinra om hur det förfarande för graduated response som tillämpas av Hadopi fungerar (avsnitt A).
A. Det förfarande för graduated response som tillämpas av Hadopi
32. Hadopi är en oberoende förvaltningsmyndighet som har till uppgift att skydda upphovsrätten och närstående rättigheter mot rättighetsintrång på internet. För detta ändamål har ett så kallat förfarande för graduated response inrättats, vars genomförande har anförtrotts Hadopis kommitté för rättighetsskydd.
33. Till denna kommitté hänskjuts ärenden av upphovsrättsorganisationer, vid vilka vissa ombud, som har certifierats och auktoriserats av kulturministern, samlar in ip‑adresserna för internetanvändare som använder peer‑to‑peer‑nätverk för att utan rättsinnehavarnas tillstånd göra verk tillgängliga för allmänheten. Ombuden upprättar anmälningar, som bland annat innehåller den ip‑adress för internetåtkomst som har använts för att begå det aktuella upphovsrättsintrånget samt datum och klockslag för det konstaterade intrånget och titeln på det aktuella verket. Anmälningarna översänds till Hadopis kommitté för rättighetsskydd. Det ska betonas att Commission nationale de l’informatique et des libertés (CNIL) (Dataskyddsmyndigheten), såsom EDPS har påpekat, har gett tillstånd för den behandling av personuppgifter som upphovsrättsorganisationernas ombud genomför.(10)
34. När Hadopis kommitté för rättighetsskydd har mottagit en anmälan kan den, efter att ha utfört en automatiserad kontroll som syftar till att säkerställa att anmälan innehåller alla nödvändiga uppgifter, erhålla uppgifter från leverantören av elektroniska kommunikationstjänster om namn, postadress, e‑postadress och telefonnummer till innehavaren av det abonnemang som har använts för att begå upphovsrättsintrång.
35. Hadopi kan då rikta en ”rekommendation” till denna person för att informera om att hans eller hennes internetanslutning har använts på ett sätt som strider mot upphovsrätten. Genom rekommendationen åläggs den person som är misstänkt för att ha åsidosatt sin skyldighet att iaktta aktsamhet när det gäller att på internet respektera verk som skyddas av upphovsrätten eller närstående rättigheter att följa rekommendationen. Rekommendationen riktas med andra ord till den som har en anslutning till internet och som de facto kan vara en annan person än den som har gjort verket tillgängligt i strid med upphovsrätten. En andra rekommendation kan utfärdas, om det konstateras att intrång på nytt har gjorts via samma internetanslutning. Vid ytterligare nya intrång kan Hadopis kommitté för rättighetsskydd besluta att vända sig till allmänna åklagaren för att denne ska väcka åtal. De tjänstemän vid Hadopi som ansvarar för förfarandet för graduated response är, som den franska regeringen angav i sina första yttranden, auktoriserade tjänstemän som har bemyndigats av Hadopis ordförande. De har tystnadsplikt och är de enda vid Hadopi som har åtkomst till de personuppgifter som behandlas inom ramen för förfarandet.
36. Det ska preciseras att det endast är uppgifter om personer som har tillgängliggjort intrångsgörande innehåll, det vill säga som har laddat upp sådant innehåll, som samlas in och översänds till Hadopi, och inte uppgifter om alla användare av peer-to-peer-nätverk, om dessa endast laddar ned sådant innehåll.(11)
37. Som exempel kan nämnas att Hadopi för år 2021 mottog närmare 4 miljoner anmälningar från upphovsrättsorganisationer samt avsände 210 595 första rekommendationer och 53 564 andra rekommendationer och vände sig till allmänna åklagaren i 1 484 fall.
38. Efter att ha erinrat om det ovanstående kommer jag nu att visa varför ett sådant förfarande, som förutsätter lagring av och åtkomst till uppgifter om fysisk identitet som motsvarar ip-adresser, uppfyller kraven i rättspraxis avseende nationella åtgärder som vidtas i enlighet med artikel 15.1 i direktiv 2002/58.
B. Huruvida de krav som följer av domstolens praxis avseende tolkningen av artikel 15.1 i direktiv 2002/58 är uppfyllda
39. Eftersom jag i mitt första förslag till avgörande redan erinrade om domstolens praxis avseende lagring av och åtkomst till ip-adresser som tilldelats källan till en anslutning,(12) kommer jag i detta förslag att koncentrera mig på det som enligt min mening utgör kärnan i nämnda rättspraxis, det vill säga dels kravet på proportionalitet, dels, vad gäller åtkomsten till dessa uppgifter, den eventuella nödvändigheten av förhandskontroll som utförs av en domstol eller en oberoende förvaltningsmyndighet.
1. Huruvida den aktuella åtgärden är proportionerlig
40. För att avgöra huruvida en åtgärd för lagring av eller åtkomst till uppgifter om fysisk identitet som är knuten till en ip-adress är förenlig med unionsrätten är det, som domstolen upprepade gånger har betonat, nödvändigt att göra en avvägning mellan de olika legitima intressen och rättigheter som är i fråga och vilka utgörs av, å ena sidan, rätten till integritetsskydd och rätten till skydd av personuppgifter,(13) vilka garanteras i artiklarna 7 och 8 i stadgan, och, å andra sidan, skyddet av andra människors rättigheter och friheter och av de rättigheter som stadfästs i artiklarna 3, 4, 6 och 7 i stadgan.(14) Det ska tilläggas att i förevarande mål bör rätten till integritetsskydd och rätten till skydd av personuppgifter även avvägas mot rätten till egendom, vilken stadfästs i artikel 17 i stadgan, eftersom förfarandet för graduated response i slutändan syftar till att skydda upphovsrätten och närstående rättigheter.
41. Domstolen har preciserat att denna avvägning som görs i enlighet med artikel 15.1 i direktiv 2002/58 ger medlemsstaterna möjlighet att vidta en åtgärd som avviker från principen om konfidentialitet när en sådan åtgärd är ”nödvändig, lämplig och proportionerlig … i ett demokratiskt samhälle” (min kursivering). I skäl 11 i direktivet anges att åtgärder av detta slag måste stå i ”strikt” proportion till det avsedda ändamålet.(15)
42. Domstolen har i sitt resonemang rörande tolkningen av artikel 15.1 i direktiv 2002/58 för övrigt alltid hänvisat till proportionalitetsprincipen och har således gjort denna princip till grundvalen vid prövningen av nationella åtgärder för lagring av eller åtkomst till personuppgifter som har vidtagits i enlighet med denna bestämmelse.
43. En mer ingående läsning av domstolens resonemang visar att proportionalitetsprincipen i samband med artikel 15.1 i direktiv 2002/58 består av olika delar, vilka avser dels hur allvarligt det ingrepp i de grundläggande rättigheterna är som lagringen av och åtkomsten till trafikuppgifter medför, dels hur nödvändig den aktuella åtgärden är.
44. När det gäller Hadopis lagring av och åtkomst till uppgifter om fysisk identitet som är knutna till ip-adresser anser jag att såväl ingreppets allvar som uppgifternas nödvändighet bör föranleda domstolen att avpassa sin prövning av huruvida en nationell åtgärd som har vidtagits i enlighet med artikel 15.1 i direktiv 2002/58 är proportionerlig.
a) Det relativa allvaret i ingreppet i de grundläggande rättigheterna
45. Av domstolens fasta praxis följer tydligt att enligt proportionalitetsprincipen måste betydelsen av det mål som eftersträvas med en åtgärd som vidtas med stöd av artikel 15.1 i direktiv 2002/58 stå i proportion till hur allvarligt ingreppet till följd av åtgärden är.(16)
46. Som jag betonade i mitt första förslag till avgörande har domstolen särskilt slagit fast att ett allvarligt ingrepp i samband med förebyggande, undersökning, avslöjande och lagföring av brott endast kan motiveras av syftet att bekämpa brottslighet som också måste kvalificeras som ”grov”.(17)
47. Vad gäller ip-adresser har domstolen påpekat att även om dessa har en lägre grad av känslighet än andra trafikuppgifter, utgör lagring och analys av dem ändå allvarliga ingrepp i de grundläggande rättigheterna, eftersom de kan användas för att på ett uttömmande sätt kartlägga en internetanvändares hela klickström och följaktligen för att utförligt kartlägga internetanvändaren och dra mycket precisa slutsatser om hans eller hennes privatliv.(18)
48. I det nationella målet syftar lagringen av och åtkomsten till de uppgifter om fysisk identitet som är knutna till ip-adresser till att bekämpa intrång i upphovsrätten och närstående rättigheter. Enligt min mening är det tydligt att detta dock inte kan betraktas som bekämpning av grov brottslighet,(19) inte ens om mängden intrång skulle vara enorm. Det finns således en diskrepans mellan hur allvarligt det ingrepp i de grundläggande rättigheterna är som åtgärden i fråga innebär och det mål som eftersträvas med ingreppet.
49. I mitt första förslag till avgörande ansåg jag, i enlighet med domstolens praxis, att Hadopis åtkomst till uppgifter om fysisk identitet som är knuten till en ip-adress visserligen utgör ett allvarligt ingrepp i de grundläggande rättigheterna. Men jag ansåg även att lagringen av och åtkomsten till dessa uppgifter ändå måste tillåtas i förevarande fall, vilket, efter det att förhandling hållits i målet, kräver vissa ytterligare preciseringar.
50. Förfarandet för graduated response ger Hadopi möjlighet att para ihop den ip-adress som en upphovsrättsorganisation har meddelat avseende en person som är misstänkt för att ha använt sin internetanslutning för att på ett peer-to-peer-nätverk göra intrång i upphovsrätten med personens fysiska identitet och ett utdrag ur den fil som laddats upp i strid med upphovsrätten. Även om sådana uppgifter definitivt gör det möjligt att erhålla mer information än endast den förmodade gärningsmannens identitet, leder de emellertid inte, såsom kommissionen och EDPS påpekade vid förhandlingen, till att mycket precisa slutsatser kan dras om personens privatliv. Som jag angav i mitt första förslag till avgörande(20) rör uppgifterna nämligen endast en punktvis sökning i ett innehåll, vilken sedd isolerad inte kan möjliggöra en utförlig kartläggning av den person som gjort sökningen.
51. Detta gäller särskilt eftersom den stora majoriteten av de ip‑adresser som meddelas till Hadopi är så kallade ”dynamiska” ip‑adresser, som till sin natur är föränderliga och motsvarar en viss identitet vid ett enda tillfälle, det vill säga när innehållet i fråga tillgängliggörs. Uttömmande kartläggning är således utesluten.
52. Det ska vidare betonas att skyddet för de grundläggande rättigheterna på internet inte förefaller kunna motivera att åtkomst inte skulle kunna ges till uppgifter om enbart ip-adressen, ett verks innehåll och identiteten hos den person som har tillgängliggjort verket i strid med upphovsrätten, utan endast att garantier föreskrivs för lagring av och åtkomst till dessa uppgifter. En analogi med den verkliga världen är härvid talande: en person som är misstänkt för stöld kan inte åberopa sin rätt till integritetsskydd för att brottsutredarna inte ska kunna få kännedom om det stulna innehållet. Däremot kan personen i fråga åberopa sina grundläggande rättigheter för att det under förfarandet hindra åtkomst till mer omfattande uppgifter än enbart de uppgifter som behövs för att kvalificera det påstådda brottet.
53. Slutligen ska det påpekas att förfarandet för graduated response, i motsats till vad klagandena har gjort gällande, inte verkar innebära en allmän övervakning av användarna av peer-to-peer-nätverk. Det rör sig nämligen inte om att kontrollera all deras aktivitet på ett givet nätverk i syfte att avgöra om de har tillgängliggjort ett verk i strid med upphovsrätten, utan i stället om att utifrån en fil som har identifierats som ett intrång avgöra vem som innehar den internetanslutning som en internetanvändare har använt för att tillgängliggöra verket. Som EDPS betonade vid förhandlingen rör det sig inte heller om att övervaka aktiviteten hos alla användare av peer-to-peer-nätverk, utan endast aktiviteten hos personer som laddar upp intrångsgörande filer. Uppladdningen av filer avslöjar dessutom än mindre om en persons privatliv, eftersom den endast kan göras för att möjliggöra för internetanvändare att därefter ladda ned andra filer.
54. De skäl som har föranlett domstolen att anse att lagring av och åtkomst till ip-adresser utgör ett allvarligt ingrepp i de grundläggande rättigheterna verkar under dessa omständigheter inte vara tillämpliga när det gäller ett förfarande för graduated response av det slag som Hadopi tillämpar. Av detta följer att allvaret i det ingrepp som denna lagring och åtkomst förutsätter bör nyanseras vid prövningen av huruvida proportionalitetsprincipen har iakttagits.
55. Jag anser med andra ord att domstolens praxis avseende allvaret i ett ingrepp i de grundläggande rättigheterna som orsakas av lagring och åtkomst till ip-adresser inte ska tolka så, att detta ingrepp alltid är allvarligt, utan att det är allvarligt endast när ip-adresserna kan leda till en uttömmande kartläggning av internetanvändarens klickström och mycket precisa slutsatser om hans eller hennes privatliv.
56. Eftersom detta inte är fallet i en situation av det slag som avses i det nationella målet, följer av detta att det ingrepp som utgörs av lagring av och åtkomst till uppgifter om fysisk identitet som är knuten till en ip‑adress som har använts för tillgängliggörande i ett innehåll i strid med upphovsrätten bör kunna motiveras av målet att bekämpa annan brottslighet än endast grov brottslighet.
57. Det ska dessutom påpekas att i en situation av det slag som avses i det nationella målet förvärras det ingrepp i de grundläggande rättigheterna som lagring av och åtkomst till uppgifter om fysisk identitet som är knuten till en ip-adress inte av den omständigheten att innehavaren av den internetanslutning som har använts för att tillgängliggöra ett intrångsgörande innehåll inte nödvändigtvis är den som tillgängliggjort innehållet, så att Hadopis rekommendation kan leda till att nämnda innehåll som tredje man har kunnat få tillgång till avslöjas för innehavaren av anslutningen. Det ska erinras om att det brott som utreds av Hadopi utgörs av underlåtenhet att fullgöra skyldigheten att se till att anslutningen inte används för att tillgängliggöra innehåll i strid med upphovsrätten. Det är således nödvändigt att den information som möjliggör en kvalificering av brottet översänds till den förmodade gärningsmannen. Jag anser vidare, som jag redan har angett, att uppgifterna om verket i fråga inte gör det möjligt att dra några precisa slutsatser om privatlivet för den person som tillgängliggjort innehållet. Att dessa uppgifter eventuellt översänds till innehavaren av internetanslutningen går således inte utöver vad som är nödvändigt för att lagföra det aktuella upphovsrättsbrottet.
b) Huruvida uppgifterna i fråga är nödvändiga för att avslöja och lagföra ett brott
58. För att säkerställa att en åtgärd för lagring av och tillgång till trafikuppgifter, såsom uppgifter om fysisk identitet som är knuten till en ip-adress, som vidtas i enlighet med artikel 15.1 i direktiv 2002/58 är proportionerlig, måste enligt domstolens praxis det ingrepp som åtgärden förutsätter vara begränsat till vad som är strängt nödvändigt för att göra det möjligt att uppnå det mål som eftersträvas.(21) Jag anser att den åtgärd som avses i det nationella målet uppfyller detta krav.
59. Som jag betonade i mitt första förslag till avgörande(22) framgår det av samma praxis från domstolen att om ett brott begås uteslutande online, såsom ett intrång i upphovsrätten som begås på ett peer-to-peer-nätverk, kan ip-adressen vara den enda utredningsmetod som gör det möjligt att identifiera den person som var tilldelad denna adress när intrånget begicks.(23) Av detta följer enligt min mening att lagring av och åtkomst till uppgifter om fysisk identitet som motsvarar ip‑adresser i syfte att avslöja och lagföra brott mot upphovsrätten som begås online är, i överensstämmelse med rättspraxis, strängt nödvändigt för att uppnå det eftersträvade målet.
60. Det är riktigt att varje krav på skydd av personuppgifter innebär en begränsning av utredningsbefogenheterna. Detta följer av själva principen om en avvägning mellan motstridiga intressen och kan inte ifrågasättas. Under antagandet att ip-adressen utgör den enda metoden att identifiera den person som är misstänkt för att ha begått ett immaterialrättsbrott online skiljer sig denna situation emellertid från majoriteten av de brott som lagförs, avseende vilka domstolen har påpekat att ”en effektiv lagföring som regel inte beror på en enda utredningsmetod, utan på alla de utredningsmetoder som behöriga nationella myndigheter förfogar över för det ändamålet”.(24) Att medge att uppgifter om fysisk identitet som är knutna till ip-adresser inte bör vara föremål för lagring och åtkomst i en situation av det slag som avses i det nationella målet skulle inte endast innebära en begränsning av utredningsbefogenheterna, såsom är fallet med varje åtgärd som säkerställer skydd av trafikuppgifter, utan skulle beröva de nationella myndigheterna deras enda metod att avslöja och lagföra vissa brott.
61. Enligt den tolkning av artikel 15.1 i direktiv 2002/58 som jag föreslår rör det sig med andra ord inte om att, mot bakgrund av en prövning av huruvida en sådan åtgärd är nödvändig, möjliggöra lagring och åtkomst till uppgifter som endast underlättar avslöjandet och lagföringen av brott, när dessa brott även kan avslöjas och lagföras genom andra, om än mindre effektiva, metoder. Det rör sig i stället om att möjliggöra lagring av och åtkomst till uppgifter när detta är nödvändigt för att identifiera den person som är misstänkt för att ha begått ett brott som inte kan lagföras på något annat sätt, eftersom uppgifterna i fråga är den enda metoden att identifiera internetanvändaren när brottet uteslutande har begåtts online.
62. Jag menar att en sådan tolkning är nödvändig för att inte medge att en rad brottsliga gärningar aldrig kan bli föremål för lagföring.(25)
63. Av det ovan anförda följer att en nationell lagstiftning, enligt vilken det är tillåtet för leverantörer av elektroniska kommunikationstjänster att lagra uppgifter om fysisk identitet som är knutna till ip-adresser och enligt vilken en förvaltningsmyndighet ges rätt att få åtkomst till dessa uppgifter, står i fullständig proportion till det eftersträvade målet, det vill säga att lagföra intrång i upphovsrätten och närstående rättigheter på internet, eftersom det ingrepp i de grundläggande rättigheterna som detta förutsätter är av begränsat allvar och dessa uppgifter utgör den enda utredningsmetoden som möjliggör identifiering av den person som var tilldelad denna adress när intrånget begicks.
64. Jag anser följaktligen att artikel 15.1 i direktiv 2002/58 ska tolkas så, att den inte utgör hinder för en sådan lagstiftning.
2. Huruvida tillräckliga materiella och processuella garantier föreligger
65. Vad särskilt gäller åtkomsten till uppgifter om fysisk identitet som är knutna till ip-adresser framgår det av domstolens praxis att enbart den omständigheten att en åtgärd är strikt proportionerlig inte räcker för att den ska vara förenlig med artikel 15.1 i direktiv 2002/58.
66. Domstolen har nämligen, för att säkerställa att åtkomsten till trafik- och lokaliseringsuppgifter begränsas till vad som är strängt nödvändigt, fastslagit att det är väsentligt att åtkomsten är underkastad förhandskontroll av en domstol eller ett oberoende förvaltningsorgan som har alla befogenheter och lämnar alla nödvändiga garantier för att kunna göra en vederbörlig avvägning mellan de olika intressen och rättigheter som är i fråga.(26)
67. Enligt en strikt tolkning av rättspraxis ska Hadopis åtkomst till uppgifter om fysisk identitet som är knutna till ip-adresserna för personer som är misstänkta för att ha begått ett brott mot upphovsrätten eller närstående rättigheter på internet således vara föremål för en sådan förhandskontroll, vilket dock inte är fallet inom ramen för förfarandet för graduated response i dess nuvarande utformning.
68. Som den irländska regeringen gjorde gällande vid förhandlingen och som jag hävdade i mitt första förslag till avgörande är kravet på förhandskontroll av en domstol eller ett oberoende förvaltningsorgan emellertid inte systematiskt, utan är beroende av en mer övergripande bedömning av den aktuella åtgärden med beaktande av såväl hur allvarligt det ingrepp är som åtgärden förutsätter och vilka garantier som föreskrivs för åtgärden.
69. Det ska betonas att samtliga domar i vilka det har ställts krav på förhandskontroll av en domstol eller ett oberoende förvaltningsorgan har avsett nationell lagstiftning som möjliggjort åtkomst till samtliga trafik- och lokaliseringsuppgifter för användarnas alla elektroniska kommunikationsmedel(27) eller åtminstone för de identifierade användarnas fasta telefon och mobiltelefon(28).
70. Jag drar av detta slutsatsen att kravet på förhandskontroll har styrts av att de ingrepp som avsågs i målen i fråga var allvarliga. Som domstolen har betonat rörde det sig om uppgifter som ”gör det möjligt att dra mycket precisa slutsatser om privatlivet för [personerna], såsom deras dagliga vanor, deras stadigvarande och tillfälliga uppehållsorter, deras dagliga förflyttningar och förflyttningar i övrigt, de aktiviteter de utövar, deras sociala relationer och de umgängeskretsar de rör sig i”.(29) Det rörde sig dessutom om uppgifter om personer som redan hade identifierats och som på grundval av andra indicier var misstänkta för att ha begått ett brott. Uppgifterna gjorde det således möjligt att stärka bevisningen mot användaren i fråga genom att utvidga omfattningen av uppgifterna avseende honom eller henne.
71. När det gäller den lagstiftning som avses i det nationella målet är, som jag har betonat ovan, det ingrepp som krävs för att para ihop en fysisk identitet och en ip‑adress dock mycket mindre än det som följer av åtkomst till en persons alla trafik- och lokaliseringsuppgifter, eftersom en ihopparning av en fysisk identitet och en ip-adress inte tillför någon uppgift som gör det möjligt att dra precisa slutsatser om personens privatliv.
72. Som jag påpekade i mitt första förslag till avgörande(30) rör det sig dessutom endast om uppgifter om personer som, enligt vad som objektivt har fastställts av upphovsrättsorganisationer, har använt en ip‑adress i strid med upphovsrätten och således har begått gärningar som kan utgöra åsidosättande av skyldigheten att iaktta aktsamhet enligt artikel L.336‑3 CPI. De har inte på förhand identifierats genom andra metoder, eftersom en ihopparning av ip-adressen och uppgifterna om fysisk identitet är den enda metoden att identifiera den berörda personen. Åtkomst till dessa uppgifter gör det således inte möjligt att, såsom i de mål där domstolen tidigare har meddelat domar, erhålla ytterligare precisa uppgifter om aktiviteten hos personer som redan är misstänkta på basen av annan bevisning, utan endast att utnyttja ip‑adressen, vilken i annat fall saknar intresse. Under dessa omständigheter är de uppgifter som Hadopi har åtkomst till faktiskt begränsade.
73. Jag menar att det finns en grundläggande skillnad mellan att ge åtkomst till personuppgifter avseende en person som är misstänkt för att ha begått ett brott, i syfte att bevisa att personen är skyldig, och att göra det möjligt att avslöja identiteten hos gärningsmannen till ett brott som redan har konstaterats.
74. Detta är fallet särskilt eftersom det för insamling av ip-adresser på peer-to-peer-nätverk krävs ett förhandstillstånd som är begränsat till enbart dessa uppgifter, vilket innebär att Hadopi aldrig innehar en obegränsad mängd uppgifter om de internetanvändare som är misstänkta för att ha begått ett brott mot upphovsrätten på internet.(31)
75. Det resonemang som ligger till grund för kravet på förhandskontroll av en domstol eller ett oberoende förvaltningsorgan är följaktligen inte tillämpligt när det gäller det förfarande för graduated response som avses i det nationella målet, vilket enligt min mening innebär att ett sådant krav inte är nödvändigt för att säkerställa att det ingrepp i de grundläggande rättigheterna som detta förfarande innebär begränsas till vad som är strängt nödvändigt.
76. Av det ovan anförda följer att en nationell lagstiftning som möjliggör för ett oberoende förvaltningsorgan som Hadopi att lagra och få åtkomst till uppgifter om fysisk identitet som motsvarar ip-adresser, i syfte att identifiera innehavarna av adresserna vilka är misstänkta för att ha begått upphovsrättsintrång, utan att denna åtkomst är underkastad någon förhandskontroll av en domstol eller ett oberoende förvaltningsorgan, in fine är förenlig med de principer som fastställts i domstolens praxis, när uppgifterna i fråga är den enda metoden att identifiera den person som var tilldelad ip-adressen då brottet begicks. Artikel 15.1 i direktiv 2002/58 ska därför tolkas så, att den inte utgör hinder för en sådan lagstiftning.
77. Utöver dessa överväganden, som gäller det nationella målet, ska jag också göra några mer generella anmärkningar om varför denna utveckling av domstolens praxis är nödvändig.
C. En nödvändig och begränsad utveckling av rättspraxis
78. Flera argument talar för att domstolens praxis avseende lagring av och åtkomst till uppgifter såsom ip-adresser parade med uppgifter om fysisk identitet behöver utvecklas.
79. För det första och som jag redan har betonat(32) utgör erhållande av uppgifter om fysisk identitet som motsvarar en ip-adress, i den situation som avses i det nationella målet, den enda utredningsmetoden som möjliggör identifiering av den person som var tilldelad denna adress när intrånget begicks.
80. Om domstolen skulle anse att artikel 15.1 i direktiv 2002/58 ändå utgör hinder för lagring av och åtkomst till sådana uppgifter följer av detta nödvändigtvis att de nationella myndigheterna de facto skulle berövas sin enda identifieringsmetod, vilket innebär att gärningsmännen aldrig skulle kunna lagföras.(33) Detta föranledde mig i mitt första förslag till avgörande att påtala risken för generell straffrihet för detta brott.(34)
81. Risken för generell straffrihet gäller inte endast upphovsrättsbrott som begås på peer-to-peer-nätverk, utan omfattar, som den tjeckiska regeringen gjorde gällande vid förhandlingen, alla brott som uteslutande begås online.
82. Brott där gärningsmannen endast kan identifieras genom sin ip‑adress skulle aldrig kunna lagföras och lagarna om straff för dessa brott skulle aldrig kunna tillämpas, om det skulle fastslås att såväl lagring av som åtkomst till uppgifter om ip-adresser strider mot unionsrätten.
83. Som klagandena i det nationella målet har anfört skulle andra metoder i teorin kunna användas för att identifiera gärningsmännen till vissa brott som uteslutande begåtts online. De har framför allt hänvisat till den identifieringskod som används på sociala nätverk och de uppgifter som är förenade med användarens konto, användarens e‑postadress, telefonnummer eller information om privatlivet som användaren har avslöjat. För att sådana uppgifter ska kunna kopplas till personens identitet krävs emellertid omfattande utredningar där man undersöker internetanvändarens aktivitet online. Användning av sådana utredningsmetoder kan således, till skillnad från enbart ip-adressen, göra det möjligt att dra mycket precisa slutsatser om personernas privatliv, vilket innebär att lagring av och åtkomst till dessa uppgifter skulle strida mot artikel 15.1 i direktiv 2002/58.
84. Under dessa omständigheter utgör åtkomst till de uppgifter om fysisk identitet som motsvarar en internetanvändares ip-adress förvisso inte, i teorin, den enda utredningsmetoden som möjliggör identifiering av den person som var tilldelad denna adress när intrånget begicks, men det är den metod som innebär det minst långtgående ingreppet i personens grundläggande rättigheter samtidigt som den möjliggör lagföring av brottet, varigenom generell straffrihet kan undvikas.
85. För det andra ska det ännu en gång betonas att en sådan lösning gör det möjligt att förena två linjer i domstolens praxis, vilka orsakar en viss spänning, som jag påpekade i mitt första förslag till avgörande(35) och i mitt förslag till avgörande i målet M.I.C.M.,(36) det vill säga, å ena sidan, praxisen avseende lagring av och åtkomst till uppgifter och, å andra sidan, praxisen avseende utlämnande av ip-adresser som tilldelats källan till en anslutning inom ramen för en talan om skydd för immateriella rättigheter som väckts av en enskild person.
86. För det tredje, även om den praxis från domstolen som följer av domen i målet Tele2 och domen i målet La Quadrature du Net m.fl. måste välkomnas, eftersom den har gjort det möjligt att inrätta en ram för skydd av de grundläggande rättigheterna för användare av elektroniska kommunikationstjänster, präglas den ändå av en viss kasuistik. Genom de olika mål som har anhängiggjorts vid domstolen och i vilka den har haft möjlighet att pröva olika nationella lagstiftningar mot bakgrund av artikel 15.1 i direktiv 2002/58 har den stegvis utvecklat sin praxis. Domstolen kan emellertid omöjligen förutse alla åtgärder som kan behöva bedömas mot bakgrund av denna bestämmelse. Därom vittnar för övrigt det stora antalet begäranden om förhandsavgörande(37) som har ingetts till domstolen efter domen i målet Tele2, vilket enligt min mening visar hur svårt det kan vara för de nationella domstolarna att tillämpa de principer som anges i domstolens praxis på andra situationer än de som gett upphov till domarna i fråga.(38)
87. Av detta följer således att det krävs en viss flexibilitet när domstolen har att pröva åtgärder som inte kunde förutses i de föregående domarna, exempelvis lagstiftning som avser brott som kan lagföras endast om uppgifter om fysisk identitet som är knutna till ip‑adresser lagras och är åtkomliga, vilket är en åtgärd som domstolen inte tidigare har haft tillfälle att pröva.
88. Det rör det sig således inte om att ompröva domstolens praxis, såsom den danska regeringen har hävdat, utan om att medge att det under mycket begränsade omständigheter går att hitta en mer nyanserad lösning på basen av de principer som ligger till grund för domstolens praxis.
89. Den tolkning av artikel 15.1 i direktiv 2002/58 som jag föreslår möjliggör lagring av och åtkomst till uppgifter om fysisk identitet som är knutna till ip-adresser endast när det gäller att lagföra brott vilkas gärningsmän inte kan identifieras utan dessa uppgifter. Den avser således endast brott som uteslutande begåtts på internet och påverkar inte de lösningar som angetts i rättspraxis avseende lagring av och tillgång till mer omfattande uppgifter, vilket eftersträvar andra mål.
V. Förslag till avgörande
90. Mot bakgrund av det ovan anförda föreslår jag att domstolen besvarar de frågor som ställts av Conseil d’État (Högsta förvaltningsdomstolen, Frankrike) på följande sätt:
Artikel 15.1 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009, jämförd med artiklarna 7, 8 och 11 samt artikel 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna
ska tolkas så,
att den inte utgör hinder för en nationell lagstiftning enligt vilken det är tillåtet för leverantörer av elektroniska kommunikationstjänster att lagra uppgifter om fysisk identitet som är knutna till ip-adresser och enligt vilken en förvaltningsmyndighet som har till uppgift att skydda upphovsrätten och närstående rättigheter mot rättighetsintrång på internet ges rätt att få åtkomst till dessa uppgifter, så att myndigheten ska kunna identifiera innehavarna av adresserna, som är misstänkta för att ha begått sådana rättighetsintrång och, i förekommande fall, vidta åtgärder mot dem, utan att denna åtkomst är underkastad någon förhandskontroll av en domstol eller ett oberoende förvaltningsorgan, när dessa uppgifter utgör den enda utredningsmetoden som möjliggör identifiering av de personer som var tilldelade dessa adresser när intrånget begicks.