FORSLAG TIL AFGØRELSE FRA GENERALADVOKAT
M. SZPUNAR
fremsat den 28. september 2023 (1)
Sag C-470/21
La Quadrature du Net,
Fédération des fournisseurs d’accès à Internet associatifs,
Franciliens.net,
French Data Network
mod
Premier ministre,
Ministère de la Culture
(anmodning om præjudiciel afgørelse indgivet af Conseil d’État (øverste domstol i forvaltningsretlige sager, Frankrig))
»Præjudiciel forelæggelse – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58/EF – artikel 15, stk. 1 – medlemsstaternes mulighed for at indskrænke rækkevidden af visse rettigheder og forpligtelser – krav om en forudgående kontrol foretaget af en domstol eller en uafhængig administrativ enhed, der træffer bindende afgørelser – data vedrørende personers identitet i form af oplysninger om en IP-adresse«
I. Indledning
1. Efter anmodning fra Store Afdeling i henhold til artikel 60, stk. 3, i Domstolens procesreglement besluttede Domstolen den 7. marts 2023 at henvise den foreliggende sag til Domstolens plenum.
2. Ved kendelse af 23. marts 2023 besluttede Domstolen (plenum) at genåbne retsforhandlingernes mundtlige del og opfordrede de parter, der er omhandlet i artikel 23 i statutten for Den Europæiske Unions Domstol, samt Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) og Den Europæiske Unions Agentur for Cybersikkerhed (ENISA) til at deltage i et nyt retsmøde.
3. Den 27. oktober 2022 fremsatte jeg mit første forslag til afgørelse i denne sag, inden retsforhandlingernes mundtlige del blev afsluttet. Dette nye forslag til afgørelse er således en lejlighed for mig til at uddybe visse dele af min argumentation i denne sag vedrørende de centrale problemstillinger i forbindelse med lagring af og adgang til personoplysninger.
II. Retsforskrifter
A. EU-retten
4. Følgende fremgår af 2., 6., 7., 11., 22., 26. og 30. betragtning til direktiv 2002/58/EF (2):
»(2) Dette direktiv søger at overholde de grundlæggende rettigheder og respektere de principper, der anerkendes i især [Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«)]. Direktivet søger især at sikre fuld overholdelse af rettighederne i [chartrets] artikel 7 og 8.
[…]
(6) Internettet vender op og ned på de traditionelle markedsstrukturer, idet det udgør en fælles, global infrastruktur for fremføring af en lang række elektroniske kommunikationstjenester. Offentligt tilgængelige elektroniske kommunikationstjenester via internettet giver brugerne nye muligheder, men medfører også nye risikomomenter for deres personoplysninger og privatliv.
(7) Med hensyn til offentlige kommunikationsnet bør der træffes særlige foranstaltninger af lovgivningsmæssig, administrativ og teknisk art for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder og juridiske personers legitime interesser, navnlig mod den voksende risiko, der er forbundet med automatiseret opbevaring og behandling af oplysninger om abonnenter og brugere.
[…]
(11) Ligesom direktiv [95/46/EF (3)] finder dette direktiv ikke anvendelse på beskyttelse af grundlæggende rettigheder og frihedsrettigheder, der er forbundet med aktiviteter, der ikke er omfattet af fællesskabsretten. Det ændrer derfor ikke den nuværende balance mellem enkeltpersoners ret til privatlivets fred og medlemsstaternes mulighed for, jf. artikel 15, stk. 1, i dette direktiv, at træffe de foranstaltninger, der er nødvendige til beskyttelse af den offentlige sikkerhed, forsvaret, statens sikkerhed (herunder statens økonomiske interesser, når disse aktiviteter er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område. Dette direktiv berører derfor ikke medlemsstaternes mulighed for lovligt at opfange elektronisk kommunikation eller træffe andre foranstaltninger, hvis det er nødvendigt med et af disse formål for øje og i overensstemmelse med den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder[, undertegnet i Rom den 4. november 1950,] som fortolket i Den Europæiske Menneskerettighedsdomstols retspraksis. Sådanne foranstaltninger skal være passende, stå i åbenbart rimeligt forhold til det mål, der forfølges, og være nødvendige i et demokratisk samfund, og foranstaltningerne bør omfattes af passende beskyttelsesordninger i overensstemmelse med den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder.
[…]
(22) Det er ikke tanken, at forbuddet mod, at der af andre end brugerne eller uden disses samtykke lagres oplysninger og de dertil hørende trafikdata, skal omfatte enhver automatisk, mellemliggende og kortvarig lagring af denne information, når blot lagringen udelukkende sker med henblik på gennemførelse af transmissionen i de elektroniske kommunikationsnet, og oplysningerne ikke lagres længere end det tidsrum, der er nødvendigt for transmissionen og af hensyn til trafikstyringen, forudsat at sikkerhedsbeskyttelsen af oplysningerne i lagringsperioden fortsat er garanteret. […]
[…]
(26) Abonnentoplysninger, som behandles i elektroniske kommunikationsnet ved etablering af en kommunikationsforbindelse og fremføring af information, indeholder oplysninger om fysiske personers privatliv og vedrører retten til respekt for deres korrespondance eller vedrører juridiske personers legitime interesser. Sådanne data må kun lagres i det omfang, det er nødvendigt for tjenestens gennemførelse med henblik på debitering og afregning for samtrafik, og kun i et begrænset tidsrum. [Yderligere behandling af sådanne data må] kun ske, hvis abonnenten har givet sit samtykke hertil på grundlag af en nøjagtig og fuldstændig orientering fra udbyderen af de offentligt tilgængelige elektroniske kommunikationstjenester om arten af den yderligere behandling, han agter at foretage, og om abonnentens ret til at nægte eller tilbagekalde sit samtykke til denne behandling. […]
[…]
(30) Systemer til levering af elektroniske kommunikationsnet og kommunikationstjenester bør konstrueres, så de begrænser mængden af nødvendige personoplysninger til et absolut minimum. […]«
5. Dette direktivs artikel 2 med overskriften »Definitioner« er affattet således:
»[…]
Følgende definitioner anvendes også:
a) »bruger«: en fysisk person, som anvender en offentligt tilgængelig elektronisk kommunikationstjeneste i privat eller forretningsmæssigt øjemed, uden nødvendigvis at abonnere på den pågældende tjeneste
b) »trafikdata«: data, som behandles med henblik på overføring af kommunikation i et elektronisk kommunikationsnet eller debitering heraf
c) »lokaliseringsdata«: data, som behandles i et elektronisk kommunikationsnet eller af en elektronisk kommunikationstjeneste og angiver den geografiske placering af det terminaludstyr, som brugeren af en offentligt tilgængelig elektronisk kommunikationstjeneste anvender
d) »kommunikation«: oplysninger, som udveksles eller overføres mellem et begrænset antal parter via en offentligt tilgængelig elektronisk kommunikationstjeneste. Dette omfatter ikke oplysninger, der overføres som del af en radio- og fjernsynstransmissionstjeneste til offentligheden via et elektronisk kommunikationsnet, medmindre oplysningerne kan kædes sammen med en identificerbar abonnent eller bruger, der modtager oplysningerne
[…]«
6. I nævnte direktivs artikel 3 med overskriften »Omfattede tjenester« fastsættes:
»Dette direktiv finder anvendelse på behandling af persondata i forbindelse med, at offentligt tilgængelige elektroniske kommunikationstjenester stilles til rådighed via offentlige kommunikationsnet i Fællesskabet, herunder offentlige kommunikationsnet med dataindsamlings- og identifikationsudstyr.«
7. I samme direktivs artikel 5 med overskriften »Kommunikationshemmelighed« bestemmes:
»1. Medlemsstaterne sikrer kommunikationshemmeligheden ved brug af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester, både for så vidt angår selve kommunikationen og de dermed forbundne trafikdata, via nationale forskrifter. De forbyder især aflytning, registrering, lagring og andre måder, hvorpå samtaler kan opfanges eller overvåges af andre end brugerne, uden at de pågældende brugere har indvilget heri, bortset fra tilfælde, hvor det er tilladt ifølge lovgivningen, jf. artikel 15, stk. 1. Dette stykke er ikke til hinder for teknisk lagring, som er nødvendig for overføring af en kommunikation, forudsat at princippet om kommunikationshemmelighed ikke berøres heraf.
[…]
3. Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv [95/46] at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen. Dette er ikke til hinder for teknisk lagring eller adgang til oplysninger, hvis det alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet eller er absolut påkrævet for at sætte udbyderen af en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkelig har anmodet om, i stand til at levere denne tjeneste.«
8. Artikel 6 i direktiv 2002/58, der har overskriften »Trafikdata«, har følgende ordlyd:
»1. Trafikdata vedrørende abonnenter og brugere, som behandles og lagres af udbyderen af et offentligt kommunikationsnet eller en offentligt tilgængelig elektronisk kommunikationstjeneste, skal slettes eller gøres anonyme, når de ikke længere er nødvendige for fremføringen af kommunikationen, jf. dog stk. 2, 3 og 5, samt artikel 15, stk. 1.
2. Med henblik på debitering af abonnenten og afregning for samtrafik er det tilladt at behandle trafikdata. En sådan behandling er tilladt indtil udløbet af den lovbestemte forældelsesfrist for sådanne gældsforpligtelser eller fristen for anfægtelse af sådanne afregninger.
[…]«
9. Direktivets artikel 15, der har overskriften »Anvendelsesområdet for visse bestemmelser i direktiv [95/46]«, bestemmer følgende i stk. 1:
»Medlemsstaterne kan vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der omhandles i artikel 5, artikel 6, artikel 8, stk. 1, 2, 3 og 4, og artikel 9, hvis en sådan indskrænkning er nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem efter artikel 13, stk. 1, i direktiv [95/46]. Med henblik herpå kan medlemsstaterne bl.a. vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke. Alle i dette stykke omhandlede forskrifter skal være i overensstemmelse med [EU]-rettens generelle principper, herunder principperne i […] artikel 6, stk. 1 og 2, [TEU].«
B. Fransk ret
1. Lov om intellektuelle ejendomsrettigheder
10. Artikel L. 331-12 i code de la propriété intellectuelle (lov om intellektuelle ejendomsrettigheder), i den affattelse, der finder anvendelse på tvisten i hovedsagen (herefter »CPI«), fastsætter følgende:
»La Haute autorité pour la diffusion des œuvres et la protection des droits sur internet [(den øverste myndighed for spredning af værker og beskyttelse af rettigheder på internettet, herefter »Hadopi«)] er en uafhængig offentlig myndighed.«
11. CPI’s artikel L. 331-13 bestemmer:
»[Hadopi] varetager:
[…]
2° en opgave med beskyttelse [af værker og frembringelser, hvortil der er knyttet en ophavsret eller en beslægtet rettighed via elektroniske kommunikationsnet] i forhold til krænkelser af disse rettigheder, der er begået via elektroniske kommunikationsnet, som anvendes til levering af offentlige onlinekommunikationstjenester […]«
12. Følgende fremgår af denne lovs artikel L. 331-15:
»[Hadopi] er sammensat af et kollegium og en commission de protection des droits [(kommission for beskyttelse af rettigheder)]. […]
[…]
Medlemmerne af kollegiet og af kommissionen for beskyttelse af rettigheder modtager under udøvelsen af deres beføjelser ikke instruks fra nogen myndighed.«
13. Nævnte lovs artikel L. 331-17 foreskriver:
»Kommissionen for beskyttelse af rettigheder har til ansvar at træffe de foranstaltninger, der er omhandlet i artikel L. 331-25.«
14. Ifølge ordlyden af samme lovs artikel L. 331-21:
»Med henblik på udøvelsen af de beføjelser, der tilkommer kommissionen for beskyttelse af rettigheder, råder [Hadopi] over edsvorne embedsmænd, som er bemyndiget af [præsidenten for Hadopi] på de betingelser, der er fastsat i et dekret efter høring af Conseil d’État [(øverste domstol i forvaltningsretlige sager, Frankrig)]. […]
Medlemmerne af kommissionen for beskyttelse af rettigheder og de i stk. 1 nævnte embedsmænd modtager de henvendelser, der rettes til nævnte kommission i overensstemmelse med artikel L. 331-24. De foretager en bedømmelse af de faktiske omstændigheder.
De kan af hensyn til proceduren kræve adgang til alle dokumenter, uanset hvilket medie de er lagret på, herunder data, der er lagret og behandlet af operatører inden for elektronisk kommunikation i henhold til artikel L. 34-1 i code des postes et des communications électroniques [(lov om postvæsen og elektronisk kommunikation)] og de i artikel 6, stk. I, nr. 1 og 2, i loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique [(lov 2004-575 af 21.6.2004 om tillid til den digitale økonomi)] omhandlede tjenesteydere.
De kan ligeledes kræve en kopi af de dokumenter, der er nævnt i foregående stykke.
Af operatørerne inden for elektronisk kommunikation kan de navnlig kræve oplysninger om navn, postadresse, e-mailadresse og telefonnummer på den abonnent, hvis adgang til offentlige onlinekommunikationstjenester er blevet anvendt til reproduktion, fremførelse, tilrådighedsstillelse eller overføring til almenheden af beskyttede værker eller frembringelser uden tilladelse fra indehaverne […], når dette er påkrævet.«
15. CPI’s artikel L. 331-24 fastsætter:
»Kommissionen for beskyttelse af rettigheder optager en sag til behandling på anmodning af edsvorne, befuldmægtigede embedsmænd […], der udpeges af:
– faglige interesseorganisationer, der er forskriftsmæssigt oprettet
– kollektive forvaltningsorganisationer
– Centre national du cinéma et de l’image animée [(det nationale center for filmproduktion og animerede billeder)].
Kommissionen for beskyttelse af rettigheder kan ligeledes optage en sag til behandling på grundlag af oplysninger, der videregives til den fra procureur de la République [(den offentlige anklagemyndighed, Frankrig)].
Kommissionen kan ikke optage en sag til behandling vedrørende faktiske forhold, der ligger mere end seks måneder tilbage i tiden.«
16. Denne lovs artikel L. 331-25, som er en bestemmelse, der regulerer proceduren med de såkaldte »gradvise foranstaltninger«, har følgende ordlyd:
»Når kommissionen for beskyttelse af rettigheder skal træffe afgørelse om faktiske forhold, der kan udgøre en tilsidesættelse af den i artikel L. 336-3 [i CPI] fastsatte forpligtelse, kan den rette en henstilling til abonnenten […], hvori denne mindes om bestemmelserne i artikel L. 336-3, pålægges at overholde den forpligtelse, der er fastlagt i disse bestemmelser, og bliver gjort opmærksom på, hvilke sanktioner der kan bringes i anvendelse i medfør af artikel L. 335-7 og L. 335-7-1. En sådan henstilling indeholder ligeledes oplysning til abonnenten om, hvad der er et lovligt udbud af kulturelt onlineindhold, om, hvilke betryggelsesmidler der findes, som gør det muligt at forebygge tilsidesættelser af den i artikel L. 336-3 fastsatte forpligtelse, og om, hvilke risikomomenter en praksis, der ikke overholder ophavsretten og de beslægtede rettigheder, indebærer for fornyelsen af den kunstneriske frembringelse og for økonomien i den kulturelle sektor.
I tilfælde af, at de faktiske forhold, der kan udgøre en tilsidesættelse af den i artikel L. 336-3 fastsatte forpligtelse, gentages inden for seks måneder regnet fra det tidspunkt, hvor den i stk. 1 omhandlede henstilling blev rettet, kan kommissionen rette en ny elektronisk henstilling med samme oplysninger som i den foregående […]. Kommissionen påser, at denne henstilling ledsages af en anbefalet skrivelse eller en skrivelse, hvor det på anden vis er muligt at godtgøre datoen for fremsættelsen af henstillingen.
I henstillinger, der rettes på grundlag af denne artikel, anføres dato og tidspunkt for konstateringen af de faktiske forhold, der kan udgøre en tilsidesættelse af den i artikel L. 336-3 fastsatte forpligtelse. Indholdet af de beskyttede værker eller frembringelser, der er berørt af en sådan tilsidesættelse, meddeles til gengæld ikke heri. Der anføres kontaktoplysninger – telefonnummer, postadresse og e-mailadresse – som modtageren, såfremt denne måtte ønske det, kan benytte til at fremsætte indlæg over for kommissionen for beskyttelse af rettigheder, og til – ved udtrykkeligt at anmode herom – at opnå nærmere oplysninger om indholdet af de beskyttede værker eller frembringelser, der er berørt af den tilsidesættelse, som foreholdes modtageren.«
17. Nævnte lovs artikel L. 331-29 er affattet således:
»[Hadopi] kan vedtage bestemmelse om en automatiseret behandling af oplysninger om personer, der er genstand for en af de i dette underafsnit omhandlede sager.
Med denne behandling skal kommissionen for beskyttelse af rettigheder gennemføre de i dette underafsnit omhandlede foranstaltninger og alle relevante proceduremæssige akter samt gennemføre de nærmere regler om faglige interesseorganisationers og kollektive forvaltningsorganisationers afgivelse af oplysninger, om fordeling af eventuelle sagsanlæg ved de retslige myndigheder og om de i artikel L. 335-7, stk. 5, omhandlede underretninger.
Gennemførelsesbestemmelserne til denne artikel fastsættes ved dekret […]. Dekretet skal bl.a. fastsætte nærmere bestemmelse om:
– kategorierne af lagrede oplysninger og deres lagringsperiode
– de tjenestemodtagere, der er beføjede til at modtage disse lagrede oplysninger, heriblandt personer, hvis virksomhed består i at tilbyde adgang til offentlige onlinekommunikationstjenester
– betingelserne for, at de berørte personer over for [Hadopi] kan udøve deres ret til indsigt i oplysninger om dem […]«
18. Samme lovs artikel R. 331-37 foreskriver:
»[O]peratører inden for elektronisk kommunikation […] og […] tjenesteudbydere […] skal ved samkøring af den i artikel L. 331-29 nævnte automatiserede behandling af personoplysninger eller ved brug af et lagringsmedium, der sikrer oplysningernes integritet og sikkerhed, videregive de personoplysninger og andre oplysninger, der er nævnt i nr. 2 i bilaget til [décret n° 2010-236 du 5 mars 2010 relatif au traitement automatisé des données à caractère personnel autorisé par l’article L. 331-29 du [CPI] dénommé »Système de gestion des mesures pour la protection des œuvres sur internet« (dekret 2010-236 af 5.3.2010 om automatiseret behandling af personoplysninger, der er vedtaget på grundlag af artikel L. 331-29 i [CPI], og benævnt »Systemet til håndtering af foranstaltninger til beskyttelse af værker på internettet« (4))] (herefter »dekretet af 5. marts 2010«) […], inden for otte dage efter kommissionen for beskyttelse af rettigheders videregivelse af de tekniske data, der er nødvendige til identificering af den abonnent, hvis adgang til offentlige onlinekommunikationstjenester er blevet anvendt til reproduktion, fremførelse, tilrådighedsstillelse eller overføring til almenheden af beskyttede værker eller frembringelser uden tilladelse fra indehaverne […], når dette er påkrævet.
[…]«
19. I CPI’s artikel R. 335-5 bestemmes følgende:
»I.- Der er tale om alvorlig forsømmelighed, der straffes med bøder som fastsat for overtrædelser af femte grad, såfremt indehaveren af en adgang til offentlige onlinekommunikationstjenester, når de i stk. II fastsatte betingelser er opfyldt, og der ikke foreligger et legitimt hensyn:
1° enten ikke har iværksat noget middel til betryggelse af denne adgang
2° eller ikke har udvist agtpågivenhed ved iværksættelsen af et sådant middel.
II.- Bestemmelserne i stk. I finder alene anvendelse, når følgende to betingelser er opfyldt:
1° Når kommissionen for beskyttelse af rettigheder i henhold til artikel L. 331-25 og i de efter denne bestemmelse fastsatte former har henstillet til indehaveren af en adgang om at iværksætte et middel til betryggelse af denne adgang, som gør det muligt at forebygge en fornyet anvendelse heraf til reproduktion, fremførelse, tilrådighedsstillelse eller overføring til almenheden af værker eller frembringelser, der er beskyttet af en ophavsret eller en beslægtet rettighed uden tilladelse fra indehaverne […], når en sådan tilladelse er påkrævet.
2° Når denne adgang i året efter fremsættelsen af en sådan henstilling på ny anvendes til de i nr. 1 i dette stk. II nævnte formål.«
20. Ifølge ordlyden af denne lovs artikel L. 336-3:
»Indehaveren af en adgang til offentlige onlinekommunikationstjenester er forpligtet til at sikre, at denne adgang ikke anvendes til reproduktion, fremførelse, tilrådighedsstillelse eller overføring til almenheden af værker eller frembringelser, der er beskyttet af en ophavsret eller en beslægtet rettighed uden tilladelse fra indehaverne […], når en sådan tilladelse er påkrævet.
Hvis indehaveren af adgangen tilsidesætter den i stk. 1 fastsatte forpligtelse, medfører dette ikke, at den berørte ifalder strafansvar […]«
2. Dekretet af 5. marts 2010
21. Dekretet af 5. marts 2010 i den affattelse, der finder anvendelse på tvisten i hovedsagen, fastsætter i artikel 1:
»Med den behandling af personoplysninger, der er benævnt »Systemet til håndtering af foranstaltninger til beskyttelse af værker på internettet«, skal kommissionen for beskyttelse af rettigheder under [Hadopi] gennemføre:
1° foranstaltninger, der er omhandlet i bog III i den dispositive del af [CPI] (afsnit III, kapitel I, afdeling 3, underafdeling 3) og bog III i samme lovs forskriftsmæssige del (afsnit III, kapitel I, afdeling 2, underafdeling 2)
2° indbringelse af sager for procureur de la République [(den offentlige anklagemyndighed)] vedrørende faktiske forhold, der kan udgøre overtrædelser i henhold til samme lovs artikel L. 335-2, L. 335-3, L. 335-4 og R. 335-5, og underretning til de faglige interesseorganisationer og de kollektive forvaltningsorganisationer om sådanne indbringelser
[…]«
22. Artikel 4 i dette dekret bestemmer:
»I. Direkte adgang til personoplysninger og de i bilaget til dette dekret nævnte oplysninger har edsvorne embedsmænd, som er bemyndiget af præsidenten for [Hadopi] i henhold til artikel L. 331-21 i [CPI], og medlemmer af den i artikel 1 nævnte kommission for beskyttelse af rettigheder.
II. Operatørerne inden for elektronisk kommunikation og de i nr. 2 i bilaget til dette dekret nævnte tjenesteudbydere modtager:
– tekniske data, der er nødvendige til identificering af abonnenten
– henstillinger som omhandlet i artikel L. 331-25 i [CPI] med henblik på, at sådanne henstillinger rettes elektronisk til abonnenterne
– oplysninger, der er nødvendige for at iværksætte supplerende straffe, der består i inddragelse af en adgang til en offentlig onlinekommunikationstjeneste, og som procureur de la République [(den offentlige anklagemyndighed)] meddeler kommissionen for beskyttelse af rettigheder.
III. De faglige interesseorganisationer og de kollektive forvaltningsorganisationer modtager underretning om indbringelse af en sag for procureur de la République [(den offentlige anklagemyndighed)].
IV. De retslige myndigheder modtager rapporter om fastslåelse af faktiske forhold, der kan udgøre overtrædelser i henhold til artikel L. 335-2, L. 335-3, L. 335-4, L. 335-7, R. 331-37, R. 331-38 og R. 335-5 i [CPI].
Der sker underretning til det automatiserede strafferegister om iværksættelse af straf, der består i inddragelse.«
23. Bilaget til dekretet af 5. marts 2010 bestemmer:
»Følgende personoplysninger og andre oplysninger registreres i forbindelse med den behandling, der er benævnt »Systemet til håndtering af foranstaltninger til beskyttelse af værker på internettet«:
1° personoplysninger og andre oplysninger, der hidrører fra faglige interesseorganisationer, der er forskriftsmæssigt oprettet, fra kollektive forvaltningsorganisationer og fra det nationale center for filmproduktion og animerede billeder, samt oplysninger, der hidrører fra procureur de la République [(den offentlige anklagemyndighed)]:
med hensyn til faktiske forhold, der kan udgøre en tilsidesættelse af den i artikel L. 336-3 i [CPI] fastsatte forpligtelse:
dato og tidspunkt for de faktiske forhold
de berørte abonnenters IP-adresse
anvendt peer-to-peer-protokol
pseudonym anvendt af abonnenten
oplysninger om de beskyttede værker og frembringelser, der er berørt af de faktiske forhold
navn på filen, således som denne forekommer på abonnentens apparat (i givet fald)
den udbyder af internetadgang, hos hvilken der er tegnet abonnement på adgang, eller som har leveret den tekniske IP-ressource.
[…]
2° personoplysninger og andre oplysninger, der vedrører abonnenten, og som er indsamlet hos operatørerne inden for elektronisk kommunikation […] og hos tjenesteudbyderne […]:
for- og efternavne
postadresse og e-mailadresser
telefonnummer
installationsadresse for abonnentens telefonudstyr
den udbyder af internetadgang, der anvender den i nr. 1 nævnte internetudbyders tekniske ressourcer, og med hvilken abonnenten har tegnet kontrakt; sagsnummer
dato for, hvornår der er påbegyndt inddragelse af en adgang til en offentlig onlinekommunikationstjeneste.
[…]«
3. Lov om postvæsen og elektronisk kommunikation
24. Artikel L. 34-1 i code des postes et des communications électroniques (lov om postvæsen og elektronisk kommunikation), som ændret ved artikel 17 i loi no 2021-998 du 30 juillet 2021 (lov nr. 2021-998 af 30.7.2021) (5), bestemmer i stk. IIa, at »[o]peratører af elektronisk kommunikation skal lagre:
1° Med henblik på straffesager, forebyggelse af trusler mod den offentlige sikkerhed og beskyttelsen af den nationale sikkerhed lagres oplysninger vedrørende brugerens civile identitet i fem år efter udløbet af kontraktens gyldighed.
2° Med de samme formål som de i nr. 1 i dette stk. IIa anførte oplysninger lagres andre oplysninger afgivet af brugeren ved indgåelsen af kontrakten eller ved oprettelsen af en konto samt oplysninger vedrørende betalingen i et år, efter at kontraktens gyldighed udløb, eller vedkommendes konto blev lukket.
3° Med henblik på bekæmpelsen af kriminalitet og alvorlige forbrydelser, forebyggelse af alvorlige trusler mod den offentlige sikkerhed og beskyttelsen af den nationale sikkerhed lagres tekniske data, som gør det muligt at identificere kilden til en forbindelse, eller data vedrørende det anvendte terminaludstyr i et år efter forbindelsen eller anvendelsen af terminaludstyret.«
III. Retsforhandlingerne for Domstolen
25. Som svar på den opfordring til de berørte, der er omfattet af artikel 23 i statutten for Den Europæiske Unions Domstol, har sagsøgerne i hovedsagen, den franske, den danske og den estiske regering, Irland, den nederlandske, den finske og den svenske regering samt Europa-Kommissionen besvaret Domstolens skriftlige spørgsmål.
26. De samme parter, med undtagelse af den finske, den tjekkiske, den spanske, den cypriotiske, den lettiske og den norske regering samt EDPS og ENISA, deltog i retsmødet den 15. maj 2023.
IV. Bedømmelse
27. Min bedømmelse af de præjudicielle spørgsmål i mit første forslag til afgørelse førte mig til at foreslå Domstolen at fastslå, at artikel 15, stk. 1, i direktiv 2002/58 skal fortolkes således, at bestemmelsen ikke er til hinder for en national lovgivning, der tillader lagring, som foretages af udbydere af elektroniske kommunikationstjenester, og giver en administrativ myndighed, såsom Hadopi (6), ret til adgang, der er begrænset til data vedrørende personers identitet i form af oplysninger om IP-adresser, med henblik på, at en sådan myndighed kan identificere de indehavere af disse adresser, som er mistænkt for at være ansvarlige for krænkelser af ophavsrettigheder og beslægtede rettigheder, og i givet fald træffe foranstaltninger i denne henseende, uden at en sådan adgang gøres til genstand for en forudgående kontrol foretaget af en domstol eller en uafhængig administrativ enhed, når disse oplysninger udgør det eneste efterforskningsmiddel, der kan gøre det muligt at identificere den person, som denne adresse var tildelt på det tidspunkt, hvor den pågældende overtrædelse blev begået.
28. I dette forslag til afgørelse vil jeg bestræbe mig på at uddybe visse dele af min tidligere bedømmelse og de punkter, der blev drøftet under retsmødet den 15. maj 2023, med henblik på at redegøre for grundene til, at jeg fastholder både mit forslag til besvarelse af de præjudicielle spørgsmål og argumentationen, der førte til forslaget til besvarelse (7).
29. Jeg vil nærmere bestemt påvise, at det forhold at tillade lagring og adgang til data vedrørende personers identitet i form af oplysninger om IP-adresser uden forudgående kontrol med henblik på at identificere ophavsmændene til lovovertrædelserne, når disse oplysninger er det eneste middel til at identificere ophavsmændene, opfylder de krav, som Domstolen har opstillet i forbindelse med undersøgelsen af foranstaltninger, der er vedtaget i henhold til artikel 15, stk. 1, i direktiv 2002/58 (afsnit B).
30. Samtidig vil jeg tydeliggøre, at en sådan løsning ikke er en omgørelse af den retspraksis, der er krævende og beskytter de grundlæggende rettigheder, som Domstolen har udviklet ved dommene i sagerne Tele2 Sverige og Watson m.fl. (8) og La Quadrature du Net m.fl. (9), men en nødvendig udvikling af denne retspraksis, som følger, efter min opfattelse, i forlængelse af de principper, som Domstolen har opstillet. Denne sondring er ikke kun semantisk. Den løsning, som jeg foreslår, har nemlig ikke til formål at rejse tvivl om den eksisterende retspraksis, men at gøre det muligt – i en vis pragmatismes navn – at tilpasse den eksisterende retspraksis til specifikke og meget snævert afgrænsede omstændigheder (afsnit C).
31. Af hensyn til klarheden og for så vidt som drøftelserne under retsmødet viste et behov for en præcisering i denne henseende, vil jeg indlede min bedømmelse med at minde om, hvordan ordningen med gradvise foranstaltninger, der drives af Hadopi, fungerer (afsnit A).
A. Ordningen med gradvise foranstaltninger, der drives af Hadopi
32. Hadopi er en uafhængig administrativ myndighed, som har til opgave at beskytte ophavsrettigheder og beslægtede rettigheder mod krænkelser af disse rettigheder, som begås på internettet, Med henblik herpå er den såkaldte »ordning med gradvise foranstaltninger« blevet oprettet, og gennemførelsen heraf overlades til Hadopis kommission for beskyttelse af rettigheder.
33. Denne kommission anmodes om at optage en sag til behandling af de rettighedshavende organer, hvori visse embedsmænd, der er edsvorne og befuldmægtigede af ministre de la Culture (kulturministeren), på peer-to-peer-netværk indsamler IP-adresser på internetbrugere, der stiller værker til rådighed for almenheden uden tilladelse fra indehaverne af værkerne. Derefter bliver der udarbejdet rapporter. Rapporterne indeholder bl.a. IP-adressen på den internetadgang, der blev anvendt til at begå disse krænkelser af ophavsretten, dato og tidspunkt for den konstaterede krænkelse samt titlen på det pågældende værk, og de sendes til Hadopis kommission for beskyttelse af rettigheder. Det skal i denne forbindelse, og som EDPS har anført, bemærkes, at den behandling af personoplysninger, der foretages af embedsmænd i de rettighedshavende organer, er omfattet af en tilladelse fra Commission nationale de l’informatique et des libertés (den nationale kommission for databehandling og frihedsrettigheder) (CNIL) (10).
34. Ved modtagelsen af rapporterne og efter en automatiseret kontrol for at sikre, at rapporterne indeholder alle de påkrævede data, kan Hadopis kommission for beskyttelse af rettigheder fra udbyderne af elektroniske kommunikationstjenester indhente navn, postadresse, e-mailadresse og telefonnummer på indehaveren af det abonnement, der er blevet brugt til at begå en krænkelse af ophavsretten.
35. Hadopi kan derefter rette en »henstilling« til denne person, der informerer den pågældende om, at vedkommendes internetadgang har været genstand for en brug, der er i strid med ophavsretten, og som indebærer at pålægge den person, der mistænkes for ikke at have overholdt sin pligt til årvågenhed med hensyn til på internettet at respektere værker, som er beskyttede af ophavsretten eller en beslægtet ret, at overholde denne forpligtelse. Med andre ord er henstillingen rettet til indehaveren af internetadgangen, som i henhold til de faktiske omstændigheder kan være en anden person end den person, der har stillet værket til rådighed i strid med ophavsretten. Der kan rettes en anden henstilling i tilfælde af en anden konstatering af krænkelser via samme internetadgang. I tilfælde af nye gentagelser kan Hadopis kommission for beskyttelse af rettigheder beslutte at indbringe sagen for procureur de la République (den offentlige anklagemyndighed) med henblik på strafferetlig forfølgning. Som den franske regering i denne forbindelse har anført i sit første indlæg, er de af Hadopis embedsmænd, der driver ordningen med gradvise foranstaltninger, edsvorne embedsmænd, som er bemyndiget af præsidenten for Hadopi, underlagt tavshedspligt, og er de eneste i Hadopi, der har adgang til de personoplysninger, der behandles i henhold til denne ordning.
36. Jeg vil i denne forbindelse præcisere, at det ikke er oplysningerne vedrørende samtlige brugere af peer-to-peer-netværkene, der indsamles og videregives til Hadopi, når disse brugere blot downloader sådant indhold, (11) men kun oplysninger vedrørende personer, der har stillet indhold, der krænker ophavsretten, til rådighed, dvs. uploadet sådant indhold.
37. Som illustration modtog Hadopi i 2021 således næsten 4 mio. rapporter fra de rettighedshavende organer, rettede 210 595 henstillinger i første tilfælde og 53 564 henstillinger i andet tilfældet og indbragte 1 484 sager for procureur de la République (den offentlige anklagemyndighed).
38. Med disse påmindelser foretaget vil nu jeg begrunde, hvordan en sådan ordning, der forudsætter lagring af og adgang til data vedrørende personers identitet i form af oplysninger om IP-adresser, efter min opfattelse opfylder kravene i retspraksis vedrørende nationale foranstaltninger vedtaget i henhold til artikel 15, stk. 1, i direktiv 2002/58.
B. Overholdelse af kravene i Domstolens praksis vedrørende fortolkningen af artikel 15, stk. 1, i direktiv 2002/58
39. Efter allerede i mit første forslag til afgørelse at have gengivet Domstolens praksis vedrørende lagring af og adgang til IP-adresser, der er tildelt kilden til en forbindelse (12), vil jeg i dette forslag til afgørelse koncentrere mig om, hvad der efter min opfattelse er kernen i denne retspraksis, nemlig dels proportionalitetskravet, dels – for så vidt angår adgangen til disse oplysninger – hvorvidt der kræves en forudgående kontrol foretaget af en domstol eller en uafhængig administrativ myndighed.
1. Den omtvistede foranstaltnings forholdsmæssighed
40. Med henblik på at afgøre, om en foranstaltning vedrørende lagring af eller adgang til data vedrørende personers identitet i form af oplysninger om en IP-adresse er forenelig med EU-retten, er det, som Domstolen gentagne gange har fastslået, nødvendigt at foretage en afvejning af de omhandlede forskellige legitime interesser og rettigheder, nemlig på den ene side retten til beskyttelse af privatlivets fred og beskyttelsen af personoplysninger (13), der er sikret i chartrets artikel 7 og 8, og på den anden side beskyttelsen af andres rettigheder og friheder samt de rettigheder, der er sikret i chartrets artikel 3, 4, 6 og 7 (14). Jeg vil tilføje, at i den foreliggende sag skal retten til beskyttelse af privatlivets fred og til beskyttelse af personoplysninger ligeledes afvejes over for ejendomsretten, der er sikret i chartrets artikel 17, for så vidt som ordningen med gradvise foranstaltninger i sidste ende vedrører beskyttelsen af ophavsret og beslægtede rettigheder.
41. Domstolen har i denne forbindelse præciseret, at denne afvejning inden for rammerne af artikel 15, stk. 1, i direktiv 2002/58 giver medlemsstaterne mulighed for at vedtage en forskrift, der fraviger fortrolighedsprincippet, når en sådan forskrift er »nødvendig, passende og forholdsmæssig i et demokratisk samfund« (min fremhævelse). 11. betragtning til direktivet præciserer, at en foranstaltning af denne art skal stå i »åbenbart« rimeligt forhold til det mål, der forfølges (15).
42. Domstolen har derudover henvist til proportionalitetsprincippet gennem hele sin argumentation vedrørende fortolkningen af artikel 15, stk. 1, i direktiv 2002/58 og har således gjort dette princip til hjørnestenen i undersøgelsen af en national foranstaltning om lagring af eller adgang til personoplysninger, der er vedtaget i henhold til denne bestemmelse.
43. En mere dybdegående læsning af argumentationen viser, at proportionalitetsprincippet inden for rammerne af artikel 15, stk. 1, i direktiv 2002/58 kommer til udtryk ved forskellige elementer vedrørende dels alvoren af indgrebet i de grundlæggende rettigheder, der er forbundet med lagringen af eller adgangen til trafikdata, dels nødvendigheden af den omhandlede foranstaltning.
44. For så vidt angår lagringen og Hadopis adgang til data vedrørende personers identitet i form af oplysninger om IP-adresser er jeg af den opfattelse, at såvel alvoren af indgrebet som den uundværlige karakter af disse oplysninger bør føre Domstolen til at tilpasse sin undersøgelse af forholdsmæssigheden af en national foranstaltning, der er vedtaget i henhold til artikel 15, stk. 1, i direktiv 2002/58.
a) Den relative alvor af indgrebet i de grundlæggende rettigheder
45. Det følger klart af Domstolens faste praksis, at i overensstemmelse med proportionalitetsprincippet skal betydningen af det mål, der forfølges med en forskrift, der er vedtaget i henhold til artikel 15, stk. 1, i direktiv 2002/58, stå i forhold til alvoren af det indgreb, som den medfører (16).
46. Domstolen har nærmere bestemt fastslået, som jeg fremhævede i mit første forslag til afgørelse, at et alvorligt indgreb kun er begrundet med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning af straffelovsovertrædelser, der har til formål at bekæmpe kriminalitet, der på samme måde kan kvalificeres som grov (17).
47. Hvad angår IP-adresser har Domstolen fastslået, at selv om IP-adresser har en mindre følsomhedsgrad end andre trafikdata, udgør deres lagring og analyse stadig alvorlige indgreb i de grundlæggende rettigheder, idet de kan anvendes til at foretage en udtømmende sporing af en internetbrugers søgemønstre og følgelig gør det muligt at skabe en detaljeret profil af denne internetbruger og at drage præcise slutninger vedrørende dennes privatliv (18).
48. I hovedsagen har lagringen af og adgangen til data vedrørende personers identitet i form af oplysninger om IP-adresser til formål at bekæmpe krænkelser af ophavsretten og beslægtede rettigheder. Det er efter min opfattelse klart, at denne kamp ikke kan siges at vedrøre bekæmpelsen af grov kriminalitet (19), selv om omfanget af disse krænkelser kan have en omfattende karakter. Der er således en forskydning mellem alvoren af indgrebet i de grundlæggende rettigheder, som den omhandlede foranstaltning medfører, og det formål, som foranstaltningen forfølger.
49. I mit første forslag til afgørelse fandt jeg i overensstemmelse med Domstolens praksis, at Hadopis adgang til data vedrørende personers identitet i form af oplysninger om en IP-adresse udgør et alvorligt indgreb i de grundlæggende rettigheder. Idet jeg også fandt, at lagringen af og adgangen til disse oplysninger ikke desto mindre burde tillades i den foreliggende sag, skal jeg – som opfølgning på retsmødet – give nogle yderligere præciseringer.
50. Ordningen med gradvise foranstaltninger gør det muligt for Hadopi at sammenstille den IP-adresse, der videregives af de rettighedshavende organer, tilhørende personer, der mistænkes for at have brugt deres internetadgang til at begå en krænkelse af ophavsretten via peer-to-peer-netværk, med denne persons civile identitet, samt et uddrag af den fil, der uploadedes i strid med ophavsretten. Som Kommissionen og EDPS har anført i retsmødet, fører sådanne elementer, selv om de ganske vist gør det muligt at få flere oplysninger end blot identiteten af den mistænkte ophavsmand til en krænkelse, imidlertid ikke til at drage meget præcise konklusioner om denne persons privatliv. Som jeg anførte i mit første forslag til afgørelse (20), er der nemlig blot tale om afsløringen af et bestemt internetbesøg på et indhold, som isoleret set ikke gør det muligt at skabe en detaljeret profil af den person, der har foretaget besøget.
51. Dette gælder så meget desto mere, som langt størstedelen af de IP-adresser, der videregives til Hadopi, er såkaldte »dynamiske« IP-adresser, som af natur er foranderlige, og som kun svarer til en præcis identitet på et enkelt tidspunkt, som er sammenfaldende med tilrådighedsstillelsen af det pågældende indhold. Disse IP-adresser udelukker derfor enhver udtømmende sporing.
52. Endvidere vil jeg anføre, at beskyttelsen af de grundlæggende rettigheder på internettet efter min opfattelse ikke kan begrunde, at man ikke kan få adgang til oplysningerne om IP-adressen, indholdet af et værk og identiteten på den person, der har stillet værket til rådighed i strid med ophavsretten, men kun at lagringen og adgangen til disse oplysninger skal være omfattet af garantier. En analogi med den virkelige verden forekommer mig at være overbevisende i denne henseende: En person, der mistænkes for at have begået et tyveri, kan ikke påberåbe sig sin ret til beskyttelse af privatlivets fred med henblik på, at de personer, der er ansvarlige for retsforfølgningen af lovovertrædelsen, ikke kan få kendskab til det stjålne indhold. På den anden side kan denne person med rette påberåbe sig sine grundlæggende rettigheder med henblik på, at der under sagens behandling ikke tilgås en større samling oplysninger end de oplysninger, der er nødvendige for at bedømme den angivelige lovovertrædelse.
53. Endelig vil jeg i modsætning til, hvad sagsøgerne har gjort gældende, anføre, at ordningen med gradvise foranstaltninger ikke synes at indebære en generel overvågning af brugerne af peer-to-peer-netværkene. Der er nemlig ikke tale om at kontrollere alle brugernes aktiviteter på et givent netværk med henblik på at afgøre, om de har stillet et værk til rådighed i strid med ophavsretten, men snarere på grundlag af en fil, der er identificeret som en krænkelse, at fastslå, hvem der er indehaver af den internetadgang, fra hvilken internetbruger har foretaget tilrådighedsstillelsen. På samme måde, således som EDPS har anført i retsmødet, drejer det sig ikke om at overvåge aktiviteten vedrørende samtlige brugere af peer-to-peer-netværkene, men kun aktiviteten vedrørende personer, der uploader krænkende filer, idet uploadingen af disse filer er desto mindre afslørende af elementer, der vedrører privatlivets fred, da uploadingen kan foretages alene for at gøre det muligt for disse internetbrugere efterfølgende at downloade andre filer.
54. Under disse omstændigheder finder de grunde, der førte Domstolen til at anse lagring af og adgang til IP-adresser for et alvorligt indgreb i de grundlæggende rettigheder, efter min opfattelse ikke anvendelse på en ordning med gradvise foranstaltninger som den, Hadopi driver. Det følger heraf, at grovheden af det indgreb, som denne lagring og adgang indebærer, skal nuanceres i forbindelse med undersøgelsen af proportionalitetsprincippet.
55. Med andre ord er jeg af den opfattelse, at Domstolens praksis vedrørende alvoren af indgrebet i de grundlæggende rettigheder, som følger af lagring og adgang til IP-adresser, ikke bør fortolkes således, at den indebærer, at et sådant indgreb altid er et alvorligt indgreb, men at indgrebet kun er alvorligt, når IP-adresser kan føre til en udtømmende sporing af internetbrugerens søgemønstre og drage meget præcise konklusioner om vedkommendes privatliv.
56. Idet dette er ikke tilfældet i en situation som den i hovedsagen omhandlede, følger det heraf, at det indgreb, der følger af lagringen af og adgangen til data vedrørende personers identitet i form af tilrådighedsstillelse af oplysninger om en IP-adresse, der blev anvendt til et internetbesøg vedrørende indhold, der krænker ophavsretten, skal kunne begrundes i et formål om bekæmpelse af kriminalitet i bredere forstand end blot grov kriminalitet.
57. Jeg vil endvidere præcisere, at det indgreb i de grundlæggende rettigheder, der følger af lagringen af og adgangen til data vedrørende personers identitet i form af oplysninger om en IP-adresse, i en situation som den i hovedsagen omhandlede ikke gøres mere alvorligt af den omstændighed, at indehaveren af internetadgangen, der blev anvendt til tilrådighedsstillelsen af det krænkende indhold, ikke nødvendigvis er ophavsmanden bag denne tilrådighedsstillelse, således at den henstilling, som Hadopi retter, kan føre til, at denne internetadgangsindehaver bliver bekendt med det pågældende indhold, som en tredjemand har kunne få adgang til. For det første vil jeg anføre, at den lovovertrædelse, som Hadopi efterforsker, vedrører tilsidesættelsen af pligten til at sikre sig, at internetadgangen ikke anvendes til tilrådighedsstillelse af indhold i strid med ophavsretten. Det er derfor nødvendigt, at de oplysninger, der gør det muligt at kvalificere lovovertrædelsen, videregives til den formodede gerningsmand. For det andet, som jeg allerede har anført, er jeg af den opfattelse, at oplysningerne om det pågældende værk ikke gør det muligt at drage præcise konklusioner om privatlivet for den person, der har foretaget tilrådighedsstillelsen. Den eventuelle videregivelse af disse oplysninger til indehaveren af internetadgangen går derfor ikke videre end, hvad der er nødvendigt for at forfølge krænkelsen af den pågældende ophavsret.
b) De omhandlede oplysningers uundværlige karakter med henblik på afsløring og retsforfølgning af en lovovertrædelse
58. For at sikre forholdsmæssigheden af en foranstaltning om lagring af og adgang til trafikdata såsom data vedrørende personers identitet i form af oplysninger om en IP-adresse, der er vedtaget i henhold til artikel 15, stk. 1, i direktiv 2002/58, skal det indgreb, som foranstaltningen indebærer, ifølge Domstolens praksis begrænses til, hvad der er strengt nødvendigt for at nå det mål, der forfølges (21). Dette forekommer mig netop at være tilfældet med hensyn til den i hovedsagen omhandlede foranstaltning.
59. Som jeg har anført i mit første forslag til afgørelse (22), fremgår det af Domstolens egen praksis, at IP-adressen i tilfælde, hvor en lovovertrædelse udelukkende er begået online, kan udgøre det eneste efterforskningsmiddel, der kan gøre det muligt at identificere den person, som denne adresse var tildelt på det tidspunkt, hvor den pågældende overtrædelse blev begået (23). Det følger efter min opfattelse heraf, at lagring af og adgang til data vedrørende personers identitet i form af oplysninger om en IP-adresse med henblik på at afsløre og retsforfølge ophavsretskrænkelser begået online er – i overensstemmelse med retspraksis – strengt nødvendig for at nå det mål, der forfølges.
60. Det er korrekt, at ethvert krav om beskyttelse af personoplysninger indebærer en begrænsning af efterforskningsbeføjelserne. Dette følger af selve princippet om afvejning af modstridende interesser, og et sådant resultat kan ikke i sig selv bestrides. I tilfælde af, at IP-adressen er det eneste middel til at identificere den person, der mistænkes for at have begået en krænkelse af en intellektuel ejendomsrettighed på internettet, adskiller en sådan situation sig imidlertid fra størstedelen af strafferetlige forfølgelser, i forhold til hvilke Domstolen har bemærket, at »effektiviteten […] generelt ikke afhænger af et enkelt efterforskningsredskab, men af alle de efterforskningsredskaber, som de kompetente nationale myndigheder har til rådighed i efterforskningsøjemed« (24). At acceptere, at data vedrørende personers identitet i form af oplysninger om en IP-adresse ikke skal kunne lagres og tilgås i en situation som den i hovedsagen omhandlede, ville ikke som enhver foranstaltning, der sikrer beskyttelsen af trafikdata, blot føre til en begrænsning af efterforskningsbeføjelserne, men til at fratage de nationale myndigheder det eneste middel til at afsløre og retsforfølge visse lovovertrædelser.
61. Med andre er ord er der med den fortolkning af artikel 15, stk. 1, i direktiv 2002/58, som jeg foreslår, ikke tale om – som resultatet af en vurdering af en sådan foranstaltnings forholdsmæssighed – at tillade lagring af og adgang til oplysninger, der blot gør det lettere at afsløre og retsforfølge lovovertrædelser, når disse overtrædelser også kan afsløres og retsforfølges ved alternative midler, selv om disse måtte være mindre effektive. Det drejer sig derimod om at tillade lagring af og adgang til disse oplysninger, når de er uundværlige for at identificere den person, der mistænkes for at have begået en lovovertrædelse, som ikke kunne retsforfølges uden disse midler, eftersom de omhandlede oplysninger er det eneste middel til identifikation af internetbrugeren, for så vidt som overtrædelsen udelukkende er begået online.
62. En sådan fortolkning er efter min opfattelse nødvendig, medmindre det accepteres, at en lang række straffelovsovertrædelser aldrig vil kunne retsforfølges (25).
63. Det følger af det ovenstående, at efter min opfattelse står en national lovgivning, der tillader lagring, som foretages af udbydere af elektroniske kommunikationstjenester, og giver en administrativ myndighed ret til adgang, der er begrænset til data vedrørende personers identitet i form af oplysninger om IP-adresser, fuldt ud i forhold til det mål, der forfølges, nemlig retsforfølgning af krænkelser af ophavsretten og beslægtede rettigheder begået på internettet, for så vidt som indgrebet i de grundlæggende rettigheder, som foranstaltningerne indebærer, er af en begrænset alvor, og at disse oplysninger er det eneste efterforskningsmiddel, der gør det muligt at identificere den person, som denne IP-adresse blev tildelt på det tidspunkt, hvor den pågældende overtrædelse blev begået.
64. Jeg er derfor af den opfattelse, at artikel 15, stk. 1, i direktiv 2002/58 skal fortolkes således, at bestemmelsen ikke er til hinder for en sådan lovgivning.
2. Spørgsmålet om, hvorvidt der foreligger tilstrækkelige materielle og proceduremæssige garantier
65. Hvad nærmere angår adgangen til data vedrørende personers identitet i form af oplysninger om IP-adresser fremgår det af Domstolens praksis, at foranstaltningens blotte forholdsmæssighed i snæver forstand ikke er tilstrækkelig til at gøre den forenelig med artikel 15, stk. 1, i direktiv 2002/58.
66. For at sikre, at adgangen til trafik- og lokaliseringsdata begrænses til, hvad der er strengt nødvendigt, har Domstolen fastslået, at det er afgørende, at en sådan adgang er undergivet en forudgående kontrol, der foretages af enten en domstol eller en uafhængig administrativ enhed, der har alle de beføjelser og frembyder alle de garantier, der er nødvendige for at sikre en afvejning af de forskellige berørte interesser og rettigheder (26).
67. En streng fortolkning af retspraksis ville derfor føre til den konklusion, at Hadopis adgang til data vedrørende personers identitet i form af oplysninger om IP-adresser tilhørende personer, der mistænkes for at have begået en krænkelse af ophavsretten på internettet, skal undergives en sådan forudgående kontrol, hvilket mangler i ordningen med gradvise foranstaltninger, som den ser ud.
68. Som Irland har gjort gældende i retsmødet, og som jeg har anført i mit første forslag til afgørelse, er jeg imidlertid af den opfattelse, at kravet om forudgående kontrol ved en domstol eller en uafhængig administrativ enhed ikke er et systematisk krav, men afhænger af en mere samlet vurdering af den pågældende foranstaltning, der tager hensyn til såvel alvoren af det indgreb, som foranstaltningen indebærer, som de garantier, foranstaltningen fastsætter.
69. Jeg vil fremhæve, at der nemlig i hver af de domme, der fastsatte dette krav om forudgående kontrol ved en domstol eller en uafhængig administrativ enhed, var tale om nationale bestemmelser, der gav adgang til samtlige trafik- og lokaliseringsdata om brugerne, der vedrørte alle typer af brugernes elektroniske kommunikationsmidler (27) eller i det mindste identificerede brugeres fastnet- og mobiltelefoni (28).
70. Jeg udleder heraf, at kravet om en sådan forudgående kontrol følger alvoren af det pågældende indgreb i de omhandlede sager. Som Domstolen har bemærket, var der tale om oplysninger, »der faktisk [kunne] gøre det muligt at drage præcise og endog meget præcise slutninger vedrørende privatlivet for de personer, […] såsom vaner i dagligdagen, midlertidige eller varige opholdssteder, daglige eller andre rejser, hvilke aktiviteter der udøves, disse personers sociale relationer og de sociale miljøer, de frekventerer« (29). Desuden var der tale om oplysninger om personer, der allerede var identificeret og mistænkt for at have begået en lovovertrædelse på grundlag af andre indicier, således at de pågældende data gjorde det muligt at styrke beviserne mod den pågældende bruger ved at udvide omfanget af de oplysninger, der vedrørte vedkommende.
71. Hvad angår den i hovedsagen omhandlede lovgivning, og som jeg har anført, er alvoren af det indgreb, der følger af sammenstillingen af data vedrørende en persons identitet og en IP-adresse, langt mindre end den, der følger af adgangen til samtlige trafik- og lokaliseringsdata vedrørende en person, for så vidt som denne sammenstilling ikke frembringer noget, der gør det muligt at drage præcise konklusioner vedrørende den berørte persons privatliv.
72. Som jeg har anført i mit første forslag til afgørelse (30),vedrører disse oplysninger desuden alene personer, som efter en objektiv konstatering af anvendelsen af IP-adressen i strid med en ophavsret, der er fastslået af de rettighedshavende organer, har givet sig af med faktiske forhold, der kan udgøre en tilsidesættelse af forpligtelsen til årvågenhed, der er fastsat artikel L.336-3 i CPI. Personerne er ikke forudgående identificeret på anden måde, da sammenstillingen af IP-adressen med de civile identitetsoplysninger er det eneste middel til at identificere den pågældende person. Adgangen til disse oplysninger gør det således ikke muligt, som det var tilfældet i de sager, som Domstolen tidligere har skullet tage stilling til, at få supplerende og præcise oplysninger om aktiviteten, der udøves af personer, der allerede er mistænkt på grundlag af andre elementer, men kun at kunne anvende IP-adressen, som ellers ingen interesse har. Under disse omstændigheder er de data, som Hadopi har adgang til, de facto begrænset.
73. Der er efter min opfattelse en grundlæggende forskel mellem adgangen til personoplysninger om en person, der mistænkes for at have begået en lovovertrædelse, med henblik på at påvise dennes skyld, og den adgang, der gør det muligt at afsløre identiteten af en ophavsmand til en allerede konstateret lovovertrædelse.
74. Dette er efter min opfattelse så meget desto mere tilfældet, eftersom indsamlingen af IP-adresser på peer-to-peer-netværk er underlagt en forudgående tilladelse, der er begrænset til disse data alene, således at Hadopi aldrig er i besiddelse af et ubegrænset sæt oplysninger om internetbrugere, der mistænkes for at have begået en krænkelse af ophavsretten på internettet (31).
75. Følgelig finder den underliggende logik bag en forudgående kontrol foretaget af en domstol eller en uafhængig administrativ enhed ikke anvendelse på ordningen med gradvise foranstaltninger som den i hovedsagen omhandlede, hvorfor et sådant krav ikke efter min opfattelse synes nødvendigt for at sikre, at indgrebet i de grundlæggende rettigheder, som den ordning indebærer, er begrænset til det strengt nødvendige.
76. Det følger af de ovenfor anførte betragtninger, at en national lovgivning, der tillader lagring og giver en uafhængig administrativ myndighed, såsom Hadopi, ret til adgang til data vedrørende personers identitet i form af oplysninger om IP-adresser, med henblik på identificere de indehavere af disse adresser, som er mistænkt for at være ansvarlige for krænkelser af ophavsretten, uden at en sådan adgang gøres til genstand for en forudgående kontrol foretaget af en domstol eller en uafhængig administrativ enhed, i sidste ende overholder de principper, der er fastsat i Domstolens praksis, når disse oplysninger udgør det eneste middel til at identificere den person, som denne IP-adresse var tildelt på det tidspunkt, hvor den pågældende overtrædelse blev begået, hvorfor artikel 15, stk. 1 i direktiv 2002/58 skal fortolkes således, at bestemmelsen ikke er til hinder for en sådan lovgivning.
77. Ud over disse betragtninger, der er specifikke for den i hovedsagen omhandlede sag, vil jeg endvidere fremsætte mere generelle betragtninger om nødvendigheden af at udvikle Domstolens praksis.
C. En nødvendig og begrænset udvikling af retspraksis
78. Flere argumenter understøtter en præcisering af Domstolens praksis vedrørende lagring af og adgang til data såsom IP-adresser kombineret med civile identitetsdata.
79. For det første, og som jeg allerede har anført (32), er opnåelsen af data vedrørende personers identitet i form af oplysninger om en IP-adresse i den i hovedsagen omhandlede situation det eneste efterforskningsmiddel, der gør det muligt at identificere den person, som denne IP-adresse blev tildelt på det tidspunkt, hvor den pågældende overtrædelse blev begået.
80. Det følger nødvendigvis heraf, at såfremt Domstolen fastslår, at artikel 15, stk. 1, i direktiv 2002/58 alligevel er til hinder for lagring af og adgang til disse oplysninger, vil de nationale myndigheder de facto blive frataget den eneste identifikationsmetode, og følgelig vil gerningsmændene til den omhandlede lovovertrædelse aldrig kunne retsforfølges (33). Dette fik mig i mit første forslag til afgørelse til at nævne muligheden for systematisk straffrihed for denne lovovertrædelse (34).
81. Risikoen for systematisk straffrihed er ikke begrænset til krænkelser af ophavsretten, der er begået via peer-to-peer-netværk, men omfatter, således som den tjekkiske regering har gjort gældende i retsmødet, samtlige lovovertrædelser, der udelukkende er begået online.
82. Lovovertrædelser, hvis ophavsmand kun kan identificeres ved hjælp af dennes IP-adresse, ville aldrig kunne retsforfølgelses, og de regler, der sanktionerer lovovertrædelserne, ville aldrig kunne blive anvendt, såfremt det skulle blive fastslået, at lagring af og adgang til disse data er i strid med EU-retten.
83. I denne forbindelse vil jeg medgive, at det er korrekt, således som sagsøgerne i hovedsagen har gjort gældende, at andre metoder i teorien ville gøre det muligt at identificere ophavsmændene til lovovertrædelser, der udelukkende er begået online. Sagsøgerne i hovedsagen henviser navnlig til brugeroplysningerne, der anvendes på de sociale medier, og de data, der er knyttet brugerkontoen, vedkommendes e-mailadresse, vedkommendes telefonnummer eller et andet element vedrørende vedkommendes privatliv, som personen har oplyst. For at forbinde sådanne data til personens identitet kræver det imidlertid grundige undersøgelser, hvorunder internetbrugerens onlineaktivitet undersøges. Anvendelsen af sådanne efterforskningsmidler forekommer mig derfor at kunne gøre det muligt at drage – i modsætning til IP-adressen alene – meget præcise slutninger om personernes privatliv, således at lagringen af og adgangen til disse oplysninger i denne henseende ville være i strid med artikel 15, stk. 1, i direktiv 2002/58.
84. På denne baggrund er adgang til data vedrørende personers identitet i form af oplysninger om en internetbrugers IP-adresse ganske vist ikke det eneste teoretiske efterforskningsmiddel, der gør det muligt at identificere den person, der har denne adresse på det tidspunkt, hvor overtrædelsens blev begået, men det middel, som gør det muligt at retsforfølge denne person, samtidig med at det medfører det mindste indgreb i personens grundlæggende rettigheder, og følgelig undgår den generelle straffrihed.
85. For det andet vil jeg igen fremhæve, at en sådan løsning efter min opfattelse ville gøre det muligt at forene de to retninger af Domstolens praksis, der kan være kilde til vis modstrid, som jeg har peget på i mit første forslag til afgørelse (35) og forslaget til afgørelse i M.I.C.M.-sagen (36), nemlig dels retspraksis vedrørende lagring af og adgang til data, dels retspraksis vedrørende overføring af IP-adresser, der er tildelt kilden til en forbindelse, i forbindelse med et søgsmål om beskyttelse af intellektuelle ejendomsrettigheder, der er anlagt af privatpersoner.
86. For det tredje – selv om Domstolens praksis siden Tele2-dommen og dommen i sagen La Quadrature du Net m.fl. skal hilses velkommen, for så vidt som denne retspraksis har gjort det muligt at etablere en ramme til beskyttelse af de grundlæggende rettigheder for brugere af elektroniske kommunikationstjenester – har denne retspraksis ikke desto mindre en vis kasuistisk karakter. Gennem de sager, der er blevet forelagt Domstolen, har Domstolen foretaget en gradvis præcisering af sin praksis, der gør det muligt for Domstolen at undersøge forskellige nationale bestemmelser i lyset af artikel 15, stk. 1, i direktiv 2002/58. Det er imidlertid umuligt for Domstolen at forudse alle de foranstaltninger, der ville kunne undersøges i lyset af denne bestemmelse. Dette kan desuden udledes af antallet af anmodninger om præjudiciel afgørelse (37), som Domstolen har fået forelagt siden Tele2-dommen, hvilket efter min opfattelse vidner om de vanskeligheder, som de nationale retter kan have ved at anvende de principper, der er opstillet i Domstolens praksis, på andre situationer end dem, der gav anledning til de pågældende domme (38).
87. Det følger heraf, at en vis grad af fleksibilitet efter min opfattelse er nødvendig, når Domstolen skal undersøge foranstaltninger, som ikke kunne forudses i tidligere domme, såsom lovgivning om overtrædelser, der kun kan retsforfølges for så vidt som data vedrørende personers identitet i form af oplysninger om IP-adresser lagres og kan tilgås, hvilket Domstolen hidtil aldrig har skulle forholde sig til.
88. Der er derfor ikke tale om, som den danske regering har gjort gældende, at genoverveje Domstolens praksis, men om at acceptere, at der på grundlag af de principper, der ligger til grund for denne retspraksis, kan findes en mere nuanceret løsning under meget begrænsede omstændigheder.
89. Den fortolkning, som jeg foreslår af artikel 15, stk. 1, i direktiv 2002/58, giver kun mulighed for lagring af og adgang til data vedrørende personers identitet i form af oplysninger om IP-adresser for så vidt angår retsforfølgning af lovovertrædelser, hvis ophavsmand ikke kunne identificeres uden disse oplysninger. Fortolkningen vedrører således kun lovovertrædelser, der udelukkende er begået på internettet, og anfægter ikke de løsninger, der er fastsat i retspraksis vedrørende lagring af og adgang til data i bredere forstand, og forfølger andre formål.
V. Forslag til afgørelse
90. Henset til samtlige ovenstående betragtninger foreslår jeg Domstolen at besvare de af Conseil d’État (øverste domstol i forvaltningsretlige sager, Frankrig) forelagte præjudicielle spørgsmål således:
»Artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009, sammenholdt med artikel 7, 8 og 11 og artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder
skal fortolkes således, at
bestemmelsen ikke er til hinder for en national lovgivning, der tillader lagring, som foretages af udbydere af elektroniske kommunikationstjenester, og giver en administrativ myndighed, som har til opgave at beskytte ophavsrettigheder og beslægtede rettigheder mod krænkelser af disse rettigheder, som er begået på internettet, ret til adgang, der er begrænset til data vedrørende personers identitet i form af oplysninger om IP-adresser, med henblik på, at en sådan myndighed kan identificere de indehavere af disse adresser, som er mistænkt for at være ansvarlige for krænkelserne, og i givet fald træffe foranstaltninger i denne henseende, uden at en sådan adgang gøres til genstand for en forudgående kontrol foretaget af en domstol eller en uafhængig administrativ enhed, når disse oplysninger udgør det eneste efterforskningsmiddel, der kan gøre det muligt at identificere personer, som denne adresse var tildelt på det tidspunkt, hvor den pågældende overtrædelse blev begået.«