Language of document :

Hotărârea Curții (Marea Cameră) din 6 octombrie 2020 (cereri de decizie preliminară formulate de Conseil d'État, Cour constitutionnelle – Belgia, Franța) – La Quadrature du Net (C‑511/18 și C‑512/18), French Data Network (C‑511/18 și C‑512/18), Fédération des fournisseurs d’accès à Internet associatifs (C‑511/18 și C‑512/18), Igwan.net (C‑511/18)/Premier ministre (C‑511/18 și C‑512/18), Garde des Sceaux, ministre de la Justice (C‑511/18 și C‑512/18), Ministre de l’Intérieur (C‑511/18), Ministre des Armées (C‑511/18), Ordre des barreaux francophones et germanophone, Académie Fiscale ASBL, UA, Liga voor Mensenrechten ASBL, Ligue des Droits de l’Homme ASBL, VZ, WY, XX/Conseil des ministres

(Cauzele conexate C-511/18, C-512/18 și C-520/18)1

[Trimitere preliminară – Prelucrarea datelor cu caracter personal în sectorul comunicațiilor electronice – Furnizori de servicii de comunicații electronice – Furnizori de servicii de stocare-hosting și furnizori de acces la internet – Stocare generalizată și nediferențiată a datelor de transfer și a datelor de localizare – Analiză automatizată a datelor – Acces în timp real la date – Protejarea securității naționale și combaterea terorismului – Combaterea infracționalității – Directiva 2002/58/CE – Domeniu de aplicare – Articolul 1 alineatul (3) și articolul 3 – Confidențialitatea comunicațiilor electronice – Protecție – Articolul 5 și articolul 15 alineatul (1) – Directiva 2000/31/CE – Domeniu de aplicare – Carta drepturilor fundamentale a Uniunii Europene – Articolele 4, 6-8 și 11 și articolul 52 alineatul (1) – Articolul 4 alineatul (2) TUE]

Limba de procedură: franceza

Instanța de trimitere

Conseil d'État, Cour constitutionnelle

Părțile din procedura principală

(Cauzele C-511/18 și C-512/18)

Reclamante: La Quadrature du Net (C‑511/18 și C‑512/18), French Data Network (C‑511/18 și C‑512/18), Fédération des fournisseurs d’accès à Internet associatifs (C‑511/18 și C‑512/18), Igwan.net (C‑511/18)

Pârâți: Premier ministre (C‑511/18 și C‑512/18), Garde des Sceaux, ministre de la Justice (C‑511/18 și C‑512/18), Ministre de l’Intérieur (C‑511/18), Ministre des Armées (C‑511/18)

Cu participarea: Privacy International (C‑512/18), Center for Democracy and Technology (C‑512/18)

(Cauza C-520/18)

Reclamante: Ordre des barreaux francophones et germanophone, Académie Fiscale ASBL, UA, Liga voor Mensenrechten ASBL, Ligue des Droits de l’Homme ASBL, VZ, WY, XX

Pârât: Conseil des ministres

Cu participarea: Child Focus (C‑520/18)

Dispozitivul

Articolul 15 alineatul (1) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009, citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene, trebuie să fie interpretat în sensul că se opune unor măsuri legislative care prevăd, în scopurile prevăzute la acest articol 15 alineatul (1), cu titlu preventiv, o stocare generalizată și nediferențiată a datelor de transfer și a datelor de localizare. În schimb, articolul 15 alineatul (1) din Directiva 2002/58, astfel cum a fost modificată prin Directiva 2009/136, citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale, nu se opune unor măsuri legislative

–    care permit, în scopul protejării securității naționale, impunerea unei obligații furnizorilor de servicii de comunicații electronice de a efectua o stocare generalizată și nediferențiată a datelor de transfer și a datelor de localizare, în situații în care statul membru în cauză se confruntă cu o amenințare gravă la adresa securității naționale, care se dovedește reală și actuală sau previzibilă, în condițiile în care decizia care prevede această obligație poate face obiectul unui control efectiv fie de către o instanță, fie de către o entitate administrativă independentă, a cărei decizie are efect obligatoriu, prin care se urmărește să se verifice existența uneia dintre aceste situații, precum și respectarea condițiilor și a garanțiilor care trebuie să fie prevăzute, iar obligația menționată nu poate fi impusă decât pentru o perioadă limitată în timp la strictul necesar, dar care poate fi reînnoită în cazul menținerii acestei amenințări;

–    care prevăd, în scopul protejării securității naționale, al combaterii infracționalității grave și al prevenirii amenințărilor grave la adresa siguranței publice, o stocare direcționată a datelor de transfer și a datelor de localizare care să fie delimitată, pe baza unor elemente obiective și nediscriminatorii, în funcție de categoriile de persoane vizate sau prin intermediul unui criteriu geografic, pentru o perioadă limitată în timp la strictul necesar, dar care poate fi reînnoită;

–    care prevăd, în scopul protejării securității naționale, al combaterii infracționalității grave și al prevenirii amenințărilor grave la adresa siguranței publice, o stocare generalizată și nediferențiată a adreselor IP atribuite sursei unei conexiuni, pentru o perioadă limitată în timp la strictul necesar;

–    care prevăd, în scopul protejării securității naționale, al combaterii infracționalității și al protejării siguranței publice, o stocare generalizată și nediferențiată a datelor referitoare la identitatea civilă a utilizatorilor de mijloace de comunicații electronice și

–    care permit, în scopul combaterii infracționalității grave și, a fortiori, al protejării securității naționale, impunerea unei obligații furnizorilor de servicii de comunicații electronice, prin intermediul unei decizii a autorității competente, supuse unui control jurisdicțional efectiv, de a realiza, pentru o perioadă determinată, conservarea rapidă a datelor de transfer și a datelor de localizare de care dispun acești furnizori de servicii,

din moment ce aceste măsuri garantează, prin norme clare și precise, că stocarea datelor în discuție este condiționată de respectarea condițiilor materiale și procedurale aferente acestora și că persoanele în cauză dispun de garanții efective împotriva riscurilor de abuz.

Articolul 15 alineatul (1) din Directiva 2002/58, astfel cum a fost modificată prin Directiva 2009/136, citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale, trebuie să fie interpretat în sensul că nu se opune unei reglementări naționale care impune furnizorilor de servicii de comunicații electronice să recurgă, pe de o parte, la analiza automatizată, precum și la colectarea în timp real, printre altele, a datelor de transfer și a datelor de localizare și, pe de altă parte, la colectarea în timp real a datelor tehnice referitoare la localizarea echipamentelor terminale utilizate, atunci când

–    recurgerea la analiza automatizată se limitează la situațiile în care un stat membru se confruntă cu o amenințare gravă la adresa securității naționale, care se dovedește reală și actuală sau previzibilă, în condițiile în care recurgerea la această analiză poate face obiectul unui control efectiv fie de către o instanță, fie de către o entitate administrativă independentă, a cărei decizie are efect obligatoriu, prin care se urmărește să se verifice existența unei situații care justifică măsura menționată, precum și respectarea condițiilor și a garanțiilor care trebuie să fie prevăzute, iar

–    recurgerea la colectarea în timp real a datelor de transfer și a datelor de localizare este limitată la persoanele în privința cărora există un motiv valabil pentru a suspecta că sunt implicate într-un mod sau altul în activități de terorism și este supusă unui control prealabil efectuat fie de o instanță, fie de o entitate administrativă independentă, a cărei decizie are efect obligatoriu, pentru a asigura că o astfel de colectare în timp real nu este autorizată decât în limita a ceea ce este strict necesar. În caz de urgență justificată corespunzător, controlul trebuie să aibă loc în termen scurt.

Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind anumite aspecte juridice ale serviciilor societății informaționale, în special ale comerțului electronic, pe piața internă (directiva privind comerțul electronic) trebuie să fie interpretată în sensul că nu se aplică în materie de protecție a confidențialității comunicațiilor și a persoanelor fizice în raport cu prelucrarea datelor cu caracter personal în cadrul serviciilor societății informaționale, această protecție fiind, după caz, reglementată de Directiva 2002/58, astfel cum a fost modificată prin Directiva 2009/136, sau de Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46. Articolul 23 alineatul (1) din Regulamentul 2016/679, citit în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale, trebuie să fie interpretat în sensul că se opune unei reglementări naționale care impune furnizorilor de acces la servicii de comunicații publice online și furnizorilor de servicii de stocare-hosting stocarea generalizată și nediferențiată, printre altele, a datelor cu caracter personal aferente acestor servicii.

O instanță națională nu poate aplica o dispoziție a dreptului său național care îi permite să limiteze în timp efectele unei declarații de nelegalitate pe care trebuie să o facă, în temeiul acestui drept, în privința unei legislații naționale care impune furnizorilor de servicii de comunicații electronice, în vederea, printre altele, a protejării securității naționale și a combaterii infracționalității, o stocare generalizată și nediferențiată a datelor de transfer și a datelor de localizare, incompatibilă cu articolul 15 alineatul (1) din Directiva 2002/58, astfel cum a fost modificată prin Directiva 2009/136, interpretat în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale. Acest articol 15 alineatul (1), citit în lumina principiului efectivității, impune instanței penale naționale să înlăture informațiile și elementele de probă care au fost obținute printr-o stocare generalizată și nediferențiată a datelor de transfer și a datelor de localizare, incompatibilă cu dreptul Uniunii, în cadrul unei proceduri penale inițiate împotriva unor persoane suspectate de săvârșirea unor infracțiuni, în cazul în care persoanele respective nu sunt în măsură să prezinte în mod eficient observații cu privire la aceste informații și elemente de probă, care provin dintr-un domeniu care nu este cunoscut de judecători și care pot influența în mod preponderent aprecierea faptelor.

____________

1     JO C 392, 29.10.2018.

    JO C 408, 12.11.2018.