Cauza C‑140/20
G. D.
împotriva
Commissioner of An Garda Síochána și alții
[cerere de decizie preliminară formulată de Supreme Court (Irlanda)]
Hotărârea Curții (Marea Cameră) din 5 aprilie 2022
„Trimitere preliminară – Prelucrarea datelor personale în sectorul comunicațiilor electronice – Confidențialitatea comunicațiilor – Furnizori de servicii de comunicații electronice – Păstrarea generalizată și nediferențiată a datelor de transfer și a datelor de localizare – Acces la datele păstrate – Control jurisdicțional a posteriori – Directiva 2002/58/CE – Articolul 15 alineatul (1) – Carta drepturilor fundamentale a Uniunii Europene – Articolele 7, 8 și 11, precum și articolul 52 alineatul (1) – Posibilitatea unei instanțe naționale de a limita efectele în timp ale unei declarații de nevaliditate privind o legislație națională incompatibilă cu dreptul Uniunii – Excludere”
1. Apropierea legislațiilor – Sectorul telecomunicațiilor – Prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58 – Posibilitatea statelor membre de a limita întinderea anumitor drepturi și obligații – Măsuri naționale care impun furnizorilor de servicii de comunicații electronice păstrarea generalizată și nediferențiată a datelor de transfer și de localizare – Obiectivul de combatere a criminalității grave și de prevenire a amenințărilor grave la adresa siguranței publice – Inadmisibilitate – Măsuri naționale care prevăd păstrarea direcționată a acestor date pe baza unor elemente obiective și nediscriminatorii și pentru o perioadă limitată la strictul necesar – Măsuri naționale care prevăd păstrarea generalizată și nediferențiată a adreselor IP atribuite sursei unei conexiuni, pentru o perioadă limitată la strictul necesar – Măsuri naționale care prevăd păstrarea generalizată și nediferențiată a datelor referitoare la identitatea civilă a utilizatorilor de mijloace de comunicații electronice – Măsuri naționale care prevăd impunerea unei obligații furnizorilor de servicii de comunicații electronice de a efectua, pentru o perioadă determinată, păstrarea rapidă a datelor de transfer și a datelor de localizare – Obiectivul de combatere a criminalității grave și de prevenire a amenințărilor grave la adresa siguranței publice – Admisibilitate – Condiții
[Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8, 11 și art. 52 alin. (1); Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 15 alin. (1)]
(a se vedea punctele 51-57, 62-65, 71-74, 83-87, 91-93 și 97-101 și dispozitiv 1)
2. Apropierea legislațiilor – Sectorul telecomunicațiilor – Prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58 – Posibilitatea statelor membre de a limita întinderea anumitor drepturi și obligații – Măsuri naționale care impun furnizorilor de servicii de comunicații electronice păstrarea generalizată și nediferențiată a datelor de transfer și de localizare – Accesul autorităților naționale la datele păstrate în scopul investigațiilor penale – Autorizație de acces dată de un funcționar al poliției, asistat de o unitate instituită în cadrul poliției și care beneficiază de un anumit grad de autonomie în exercitarea misiunii sale – Acces supus unui control a posteriori efectuat de o instanță – Inadmisibilitate
[Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8, 11 și art. 52 alin. (1); Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 15 alin. (1)]
(a se vedea punctele 106-112 și dispozitiv 2)
3. Apropierea legislațiilor – Sectorul telecomunicațiilor – Prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58 – Posibilitatea statelor membre de a limita întinderea anumitor drepturi și obligații – Măsuri naționale care impun furnizorilor de servicii de comunicații electronice păstrarea generalizată și nediferențiată a datelor de transfer și de localizare – Obiectivul de combatere a criminalității grave și de prevenire a amenințărilor grave la adresa siguranței publice – Inadmisibilitate – Declarație de nevaliditate referitoare la reglementarea națională care prevede aceste măsuri, din cauza incompatibilității sale cu dreptul Uniunii – Posibilitatea instanței naționale de a limita efectele în timp ale acestei declarații – Lipsă
[Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8, 11 și art. 52 alin. (1); Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 15 alin. (1)]
(a se vedea punctele 118, 119 și 122-128 și dispozitiv 3)
Rezumat
În ultimii ani, Curtea s‑a pronunțat, în mai multe hotărâri, cu privire la păstrarea datelor cu caracter personal și la accesul la acestea în domeniul comunicațiilor electronice(1).
În special, prin două hotărâri pronunțate în Marea Cameră la 6 octombrie 2020(2), Curtea a confirmat jurisprudența sa rezultată din Hotărârea Tele2 Sverige, cu privire la caracterul disproporționat al unei păstrări generalizate și nediferențiate a datelor de transfer și de localizare. Aceasta a furnizat de asemenea precizări în special cu privire la întinderea competențelor recunoscute statelor membre de Directiva asupra confidențialității și comunicațiilor electronice în materie de păstrare a unor asemenea date în scopul apărării securității naționale și al combaterii criminalității.
În prezenta cauză, cererea de decizie preliminară a fost formulată de Supreme Court (Curtea Supremă, Irlanda) în cadrul unei proceduri civile inițiate de o persoană condamnată la pedeapsa închisorii pe viață pentru un omor săvârșit în Irlanda. Aceasta din urmă contesta compatibilitatea cu dreptul Uniunii a anumitor dispoziții din legea națională referitoare la păstrarea datelor generate în cadrul comunicațiilor electronice(3). În temeiul acestei legi(4), date de transfer și date de localizare aferente unor apeluri telefonice ale inculpatului fuseseră păstrate de furnizorii de servicii de comunicații electronice și fuseseră puse la dispoziția autorităților polițienești. Îndoielile exprimate de instanța de trimitere priveau în special compatibilitatea cu Directiva asupra confidențialității și comunicațiilor electronice(5), interpretată în lumina cartei(6), a unui regim de păstrare generalizată și nediferențiată a acestor date, în legătură cu combaterea criminalității grave.
Prin hotărârea sa, pronunțată în Marea Cameră, Curtea confirmă, precizând în același timp domeniul său de aplicare, jurisprudența rezultată din Hotărârea La Quadrature du Net și alții, amintind că păstrarea generalizată și nediferențiată a datelor de transfer și a datelor de localizare aferente comunicațiilor electronice nu este autorizată în scopul combaterii criminalității grave și al prevenirii amenințărilor grave împotriva siguranței publice. Aceasta confirmă de asemenea jurisprudența rezultată din Hotărârea Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice)(7), în special în ceea ce privește obligația de a condiționa accesul autorităților naționale competente la respectivele date păstrate de un control prealabil efectuat fie de o instanță, fie de o entitate administrativă independentă, în privința unui funcționar al poliției.
Aprecierea Curții
Curtea statuează, în primul rând, că Directiva asupra confidențialității și comunicațiilor electronice, interpretată în lumina cartei, se opune unor măsuri legislative care prevăd, cu titlu preventiv, în scopul combaterii criminalității grave și al prevenirii amenințărilor grave la adresa siguranței publice, o păstrare generalizată și nediferențiată a datelor de transfer și a datelor de localizare. Astfel, ținând seama, pe de o parte, de efectele disuasive asupra exercitării drepturilor fundamentale(8) pe care le poate cauza această păstrare și, pe de altă parte, de gravitatea ingerinței pe care o implică, o asemenea păstrare trebuie să constituie excepția, iar nu regula în sistemul instituit prin directiva menționată, așa încât datele respective să nu poată face obiectul unei păstrări sistematice și continue. Criminalitatea, chiar deosebit de gravă, nu poate fi asimilată unei amenințări la adresa securității naționale, în măsura în care o asemenea asimilare ar putea introduce o categorie intermediară între securitatea națională și siguranța publică, în scopul de a aplica celei de a doua cerințele inerente celei dintâi.
În schimb, Directiva asupra confidențialității și comunicațiilor electronice, interpretată în lumina cartei, nu se opune unor măsuri legislative care prevăd, în scopul combaterii criminalității grave și al prevenirii amenințărilor grave la adresa siguranței publice, o păstrare direcționată a datelor de transfer și a datelor de localizare care să fie delimitată, pe baza unor elemente obiective și nediscriminatorii, în funcție de categoriile de persoane vizate sau prin intermediul unui criteriu geografic, pentru o perioadă limitată la strictul necesar, dar care poate fi reînnoită. Aceasta adaugă că o asemenea măsură de păstrare care vizează locuri sau infrastructuri frecventate în mod regulat de un număr foarte mare de persoane sau de locuri strategice, precum aeroporturi, gări, porturi maritime sau zone de taxare, poate permite autorităților competente să obțină informații cu privire la prezența, în aceste locuri sau zone geografice, a persoanelor care utilizează acolo un mijloc de comunicare electronică și să tragă concluzii cu privire la prezența și la activitatea lor în locurile sau în zonele geografice respective în scopul combaterii criminalității grave. În orice caz, eventuala existență a unor dificultăți în definirea precisă a ipotezelor și a condițiilor în care poate fi efectuată o păstrare direcționată nu poate justifica faptul că unele state membre prevăd o păstrare generalizată și nediferențiată a datelor de transfer și a datelor de localizare.
Această directivă, interpretată în lumina cartei, nu se opune nici unor măsuri legislative care prevăd, în același scop, o păstrare generalizată și nediferențiată a adreselor IP atribuite sursei unei conexiuni, pentru o perioadă limitată la strictul necesar, precum și a datelor referitoare la identitatea civilă a utilizatorilor de comunicații electronice. În ceea ce privește acest din urmă aspect, Curtea precizează mai ales că nici Directiva asupra confidențialității și comunicațiilor electronice, nici vreun alt act din dreptul Uniunii nu se opune unei legislații naționale care are ca obiect combaterea criminalității grave, în temeiul căreia achiziționarea unui mijloc de comunicare electronică precum o cartelă SIM preplătită este condiționată de verificarea documentelor oficiale care stabilesc identitatea cumpărătorului și de înregistrarea de către vânzător a informațiilor care rezultă din aceasta, vânzătorul fiind obligat, dacă este cazul, să permită accesul la aceste informații autorităților naționale competente.
Situația este diferită în ceea ce privește măsurile legislative care prevăd, tot în scopul combaterii criminalității grave și al prevenirii amenințărilor grave la adresa siguranței publice, impunerea unei obligații furnizorilor de servicii de comunicații electronice, prin intermediul unei decizii a autorității competente supuse unui control jurisdicțional efectiv, de a efectua, pentru o perioadă determinată, păstrarea rapidă („quick freeze”) a datelor de transfer și a datelor de localizare de care dispun. Astfel, numai combaterea criminalității grave și, a fortiori, apărarea securității naționale sunt de natură să justifice o asemenea păstrare, cu condiția ca această măsură, precum și accesul la datele păstrate să respecte limitele strictului necesar. Curtea amintește că o asemenea măsură de păstrare rapidă poate fi extinsă la datele de transfer și la datele de localizare aferente altor persoane decât cele care sunt suspectate de planificarea sau de săvârșirea unei infracțiuni grave sau a unei atingeri aduse securității naționale, cu condiția ca aceste date să poată contribui, pe baza unor elemente obiective și nediscriminatorii, la elucidarea unei asemenea infracțiuni sau a unei asemenea atingeri aduse securității naționale precum datele victimei acesteia, precum și ale anturajului său social sau profesional.
Cu toate acestea, Curtea arată, în continuare, că toate măsurile legislative menționate mai sus trebuie să garanteze, prin norme clare și precise, că păstrarea datelor în cauză este subordonată respectării condițiilor materiale și procedurale aferente și că persoanele vizate dispun de garanții efective împotriva riscurilor de abuz. Diferitele măsuri de păstrare a datelor de transfer și a datelor de localizare pot fi aplicate împreună, potrivit alegerii legiuitorului național și cu respectarea în același timp a limitelor strictului necesar.
În plus, Curtea precizează că a autoriza, în scopul combaterii criminalității grave, un acces la asemenea date păstrate în mod generalizat și nediferențiat, pentru a face față unei amenințări grave la adresa securității naționale, ar fi contrar ierarhiei obiectivelor de interes general care pot justifica o măsură luată în temeiul Directivei asupra confidențialității și comunicațiilor electronice(9). Așadar, aceasta ar echivala cu a permite ca accesul să poată fi justificat printr‑un obiectiv cu o importanță mai redusă decât cel care a justificat păstrarea, și anume apărarea securității naționale, riscând astfel să priveze de orice efect util interdicția de a efectua o păstrare generalizată și nediferențiată în scopul combaterii criminalității grave.
În al doilea rând, Curtea decide că Directiva asupra confidențialității și comunicațiilor electronice, interpretată în lumina cartei, se opune unei reglementări naționale în temeiul căreia prelucrarea centralizată a cererilor de acces la date păstrate de furnizorii de servicii de comunicații electronice, care provin de la poliție în cadrul investigării și al urmăririi penale a infracțiunilor grave, revine unui funcționar al poliției, asistat de o unitate instituită în cadrul poliției care beneficiază de un anumit grad de autonomie în exercitarea misiunii sale și ale cărui decizii pot face ulterior obiectul unui control jurisdicțional. Astfel, pe de o parte, un asemenea funcționar nu îndeplinește cerințele privind independența și imparțialitatea care se impun unei autorități administrative care exercită controlul prealabil al cererilor de acces la datele care provin de la autoritățile naționale competente, în măsura în care nu are calitatea de terț în raport cu aceste autorități. Pe de altă parte, deși decizia unui asemenea funcționar poate face obiectul unui control jurisdicțional exercitat a posteriori, acest control nu se poate substitui unui control independent și, cu excepția cazurilor de urgență justificate în mod corespunzător, prealabil.
În sfârșit, în al treilea rând, Curtea confirmă jurisprudența sa potrivit căreia dreptul Uniunii se opune ca o instanță națională să limiteze în timp efectele unei declarații de nevaliditate pe care are obligația să o efectueze în temeiul dreptului național, în ceea ce privește o legislație națională care impune furnizorilor de servicii de comunicații electronice o păstrare generalizată și nediferențiată a datelor de transfer și a datelor de localizare, din cauza incompatibilității acestei legislații cu Directiva asupra confidențialității și comunicațiilor electronice. Curtea amintește însă că admisibilitatea elementelor de probă obținute prin intermediul unei asemenea păstrări intră în sfera de aplicare a dreptului național, în conformitate cu principiul autonomiei procedurale a statelor membre, sub rezerva respectării, printre altele, a principiilor echivalenței și efectivității.