Preliminär utgåva
DOMSTOLENS DOM (plenum)
den 30 april 2024 (*)
Innehållsförteckning
Tillämpliga bestämmelser
Unionsrätt
Lagstiftningen om skydd av personuppgifter
– Direktiv 95/46/EG
– Dataskyddsförordningen
Den sektorsspecifika lagstiftningen om skydd av personuppgifter
– Direktiv 2002/58
– Direktiv (EU) 2016/680
Lagstiftningen om skydd för immateriella rättigheter
Fransk rätt
Lagen om immateriella rättigheter
Dekret nr 2010 236
Lagen om post och elektronisk kommunikation
Målet vid den nationella domstolen och tolkningsfrågorna
Prövning av tolkningsfrågorna
Inledande synpunkter
Frågan huruvida det är motiverat enligt artikel 15.1 i direktiv 2002/58 att en myndighet ges åtkomst till uppgifter om fysisk identitet som är förbunden med en ip-adress, vilka lagras av leverantörer av elektroniska kommunikationstjänster i syfte att bekämpa upphovsrättsintrång på internet
De krav som gäller för leverantörer av elektroniska kommunikationstjänster då de lagrar uppgifter avseende fysisk identitet och därmed förbundna ip-adresser
De krav som gäller för åtkomst till uppgifter om den fysiska identitet som är förbunden med en ip-adress, vilka lagras av leverantörer av elektroniska kommunikationstjänster
Kravet att en domstol eller ett oberoende förvaltningsorgan ska göra en kontroll innan en myndighet ges åtkomst till uppgifter om fysisk identitet som är förbunden med en ip-adress.
De materiella och processuella villkor samt de skyddsåtgärder mot missbruk och olovlig åtkomst till och användning av uppgifterna som gäller för en myndighets åtkomst till uppgifter om den fysiska identitet som är förenade med en ip-adress
Rättegångskostnader
”Begäran om förhandsavgörande – Behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation – Direktiv 2002/58/EG – Konfidentialitet vid elektronisk kommunikation – Skydd – Artikel 5 och artikel 15.1 – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8, 11 och 52.1 – Nationell lagstiftning som syftar till att, genom ingripande från en statlig myndighet, bekämpa upphovsrättsintrång på internet – Det så kallade graduated response-förfarandet – Upphovsrättsorganisationers insamling, i ett första skede, av ip-adresser som använts för handlande som utgör intrång i upphovsrätten eller i närstående rättigheter – Åtkomst, i ett andra skede, för myndigheten med ansvar för skyddet av upphovsrätten och närstående rättigheter till uppgifter om den fysiska identitet som är förbunden med dessa ip-adresser, vilka lagrats av leverantörerna av elektroniska kommunikationstjänster – Automatisk behandling – Krav på förhandskontroll av en domstol eller ett oberoende förvaltningsorgan – Materiella och processuella villkor – Garantier mot riskerna för missbruk samt mot olovlig åtkomst till och användning av uppgifterna”
I mål C‑470/21,
angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Conseil d’État (Högsta förvaltningsdomstolen, Frankrike) genom beslut av den 5 juli 2021, som inkom till domstolen den 30 juli 2021, i målet
La Quadrature du Net,
Fédération des fournisseurs d’access à Internet associatifs,
Franciliens.net,
French Data Network
mot
Premier ministre,
Ministre de la Culture,
meddelar
DOMSTOLEN (plenum)
sammansatt av ordföranden K. Lenaerts, vice ordföranden L. Bay Larsen, avdelningsordförandena A. Arabadjiev, A. Prechal (referent), K. Jürimäe, C. Lycourgos, E. Regan, T. von Danwitz, F. Biltgen, N. Piçarra och Z. Csehi samt domarna M. Ilešič, J.-C. Bonichot, S. Rodin, P.G. Xuereb, L.S. Rossi, I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl, I. Ziemele, J. Passer, D. Gratsias, M.L. Arastey Sahún och M. Gavalec,
generaladvokat: M. Szpunar,
justitiesekreterare: handläggarna V. Giacobbo och M. Krausenböck,
efter det skriftliga förfarandet och förhandlingen den 5 juli 2022,
med beaktande av de yttranden som avgetts av:
– La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net och French Data Network, genom A. Fitzjean Ó Cobhthaigh, avocat,
– Frankrikes regering, genom A. Daniel, A.-L. Desjonquères och J. Illouz, samtliga i egenskap av ombud,
– Danmarks regering, genom J.F. Kronborg och V. Pasternak Jørgensen, båda i egenskap av ombud,
– Estlands regering, genom M. Kriisa, i egenskap av ombud,
– Finlands regering, genom H. Leppo, i egenskap av ombud,
– Sveriges regering, genom H. Shev, i egenskap av ombud,
– Norges regering, genom F. Bergsjø, S.-E. Dahl, J.T. Kaasin och P. Wennerås, samtliga i egenskap av ombud,
– Europeiska kommissionen, genom S.L. Kalėda, H. Kranenborg, P.‑J. Loewenthal och F. Wilman, samtliga i egenskap av ombud,
och efter att den 27 oktober 2022 ha hört generaladvokatens förslag till avgörande,
med beaktande av beslutet av den 23 mars 2023 att återuppta det muntliga förfarandet och efter förhandlingen den 15 maj 2023,
med beaktande av de yttranden som avgetts av:
– La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net och French Data Network, genom A. Fitzjean Ó Cobhthaigh, avocat,
– Frankrikes regering, genom R. Bénard, J. Illouz och T. Stéhelin, samtliga i egenskap av ombud,
– Tjeckiens regering, genom T. Suchá och J. Vláčil, båda i egenskap av ombud,
– Danmarks regering, genom J.F. Kronborg och C.A.-S. Maertens, båda i egenskap av ombud,
– Estlands regering, genom M. Kriisa, i egenskap av ombud,
– Irland, genom M. Browne, Chief State Solicitor, A. Joyce och D. O’Reilly, samtliga i egenskap av ombud, biträdda av D. Fenelly, BL,
– Spaniens regering, genom A. Gavela Llopis, i egenskap av ombud,
– Cyperns regering, genom I. Neophytou, i egenskap av ombud,
– Lettlands regering, genom J. Davidoviča och K. Pommere, båda i egenskap av ombud,
– Nederländernas regering, genom E.M.M. Besselink, K. Bultermann och A. Hanje, samtliga i egenskap av ombud,
– Finlands regering, genom A. Laine och H. Leppo, båda i egenskap av ombud,
– Sveriges regering, genom F.-D. Göransson och H. Shev, båda i egenskap av ombud,
– Norges regering, genom S.-E. Dahl och P. Wennerås, båda i egenskap av ombud,
– Europeiska kommissionen, genom S.L. Kalėda, H. Kranenborg, P.‑J. Loewenthal och F. Wilman, samtliga i egenskap av ombud,
– Europeiska datatillsynsmannen, genom V. Bernardo, C.-A. Marnier, D. Nardi och M. Pollmann, samtliga i egenskap av ombud,
– Europeiska unionens cybersäkerhetsbyrå, genom A. Bourka, i egenskap av ombud,
och efter att den 28 september 2023 ha hört generaladvokatens förslag till avgörande,
följande
Dom
1 Begäran om förhandsavgörande avser tolkningen av Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009 (EUT L 337, 2009, s. 11) (nedan kallat direktiv 2002/58), jämfört med Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan).
2 Begäran har framställts i ett mål mellan, å ena sidan, föreningarna La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net och French Data Network och, å andra sidan, Premier ministre (Premiärministern, Frankrike) och ministre de la Culture (Kulturministern, Frankrike). Målet rör lagenligheten av décret no 2010–236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du code de la propriété intellectuelle dénommé ”Système de gestion des mesures pour la protection des œuvres sur internet” (dekret nr 2010‑236 av den 5 mars 2010 om automatiserad behandling av personuppgifter som är tillåten enligt artikel L. 331-29 i lagen om immateriella rättigheter, kallat Systemet för tillämpning av åtgärder till skydd för verk på internet) (JORF nr 56 av den 7 mars 2010, text nr 19), i dess lydelse enligt décret no 2017–924, du 6 mai 2017, relatif à la gestion des droits d’auteur et des droits voisins par un organisme de gestion de droits et modifiant le code de la propriété intellectuelle (dekret nr 2017‑924 av den 6 maj 2017 om förvaltning av upphovsrätt och närstående rättigheter genom en upphovsrättsorganisation och om ändring av Code de la propriété intellectuelle (lagen om immateriella rättigheter) (JORF nr 109 av den 10 maj 2017, text nr 176) (nedan kallat dekret nr 2010‑236).
Tillämpliga bestämmelser
Unionsrätt
Lagstiftningen om skydd av personuppgifter
– Direktiv 95/46/EG
3 Artikel 7 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31) ingick i avsnitt II, med rubriken ”Principer som gör att uppgiftsbehandling kan tillåtas”, i kapitel II i det direktivet. Denna artikel hade följande lydelse:
”Medlemsstaterna skall föreskriva att personuppgifter får behandlas endast om
…
f) behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd under artikel 1.1.”
4 I artikel 13.1 i det direktivet föreskrevs följande:
”Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 6.1, 10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till
…
g) skydd av den registrerades eller andras fri- och rättigheter.”
– Dataskyddsförordningen
5 Artikel 2 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelser i EUT L 127, 2018, s. 2 och EUT L 74, 2021, s. 35) (nedan kallad dataskyddsförordningen) har rubriken ”Materiellt tillämpningsområde”. I artikel 2.1 och 2.2 föreskrivs följande:
”1. Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
2. Denna förordning ska inte tillämpas på behandling av personuppgifter som
…
d) behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.”
6 I artikel 4 i dataskyddsförordningen, med rubriken ”Definitioner”, anges följande:
”I denna förordning avses med
1) personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad en registrerad), …
2) behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring,
…”
7 Artikel 6 i förordningen har rubriken ”Laglig behandling av personuppgifter”. I artikel 6.1 föreskrivs följande:
”Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
…
f) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, …
Led f i första stycket ska inte gälla för behandling som utförs av offentliga myndigheter när de fullgör sina uppgifter.”
8 I artikel 9 i förordningen, med rubriken ”Behandling av särskilda kategorier av personuppgifter”, föreskrivs i punkt 2 e och f att förbudet mot behandling av vissa typer av personuppgifter som avslöjar bland annat uppgifter om en fysisk persons sexualliv eller sexuella läggning inte ska tillämpas när behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade eller när behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolarnas dömande verksamhet.
9 I artikel 23.1 i dataskyddsförordningen, med rubriken ”Begränsningar”, föreskrivs följande:
”Det ska vara möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftsbiträdet omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artiklarna 12–22 och 34, samt artikel 5 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 12–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa
…
i) skydd av den registrerade eller andras rättigheter och friheter,
j) verkställighet av civilrättsliga krav.”
Den sektorsspecifika lagstiftningen om skydd av personuppgifter
– Direktiv 2002/58
10 I skälen 2, 6, 7, 11, 26 och 30 i direktiv 2002/58 anges följande:
”(2) I detta direktiv eftersträvas respekt för de grundläggande rättigheterna och iakttagande av de principer som erkänns i synnerhet i [stadgan]. I synnerhet eftersträvas i detta direktiv att säkerställa full respekt för rättigheterna i artiklarna 7 och 8 i den stadgan.
…
(6) Internet bryter upp traditionella marknadsstrukturer genom att tillhandahålla en gemensam, global infrastruktur för leverans av en mängd olika elektroniska kommunikationstjänster. Allmänt tillgängliga kommunikationstjänster via Internet öppnar nya möjligheter för användarna, men för även med sig nya risker för deras personuppgifter och integritet.
(7) När det gäller allmänna kommunikationsnät bör särskilda rättsliga och tekniska bestämmelser antas för att skydda fysiska personers grundläggande fri- och rättigheter samt juridiska personers berättigade intressen, särskilt med hänsyn till den ökade kapaciteten för automatisk lagring och behandling av uppgifter om abonnenter och användare.
…
(11) I likhet med direktiv [95/46], omfattar det här direktivet inte sådana frågor om skydd av grundläggande fri- och rättigheter som rör verksamhet som inte regleras av gemenskapslagstiftningen. Det ändrar därför inte den befintliga jämvikten mellan den enskildes rätt till integritet och medlemsstaternas möjligheter att vidta sådana åtgärder, enligt artikel 15.1 i det här direktivet, som krävs för att skydda allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när verksamheten rör statens säkerhet) och brottsbekämpning. Det här direktivet påverkar följaktligen inte medlemsstaternas möjlighet att utföra laglig avlyssning av elektronisk kommunikation eller att vidta andra åtgärder om det är nödvändigt för något av dessa ändamål och sker i enlighet med Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna [som undertecknades i Rom den 4 november 1950] i den tolkning dessa fått i rättspraxis från Europeiska domstolen för de mänskliga rättigheterna. Sådana åtgärder måste vara lämpliga, i strikt proportion till det avsedda ändamålet och nödvändiga i ett demokratiskt samhälle. De bör omfattas av lämpliga skyddsmekanismer i överensstämmelse med Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.
…
(26) De uppgifter om abonnenter som behandlas inom elektroniska kommunikationsnät i samband med uppkoppling och överföring av information innehåller upplysningar om fysiska personers privatliv och gäller rätten till skydd för deras korrespondens eller omsorgen om juridiska personers berättigade intressen. Sådana uppgifter får endast lagras i den utsträckning det är nödvändigt för att tillhandahålla tjänsten när det gäller fakturering och betalning av samtrafikavgifter, och endast under en begränsad tid. [Ytterligare behandling av sådana uppgifter får] endast ske om abonnenten givit sitt samtycke till detta efter att ha erhållit korrekt och uttömmande information av den berörda leverantören om vilka typer av ytterligare behandling som denne avser att företa och om abonnentens rätt att inte ge sitt samtycke eller att återkalla sitt samtycke till en sådan behandling. …
…
(30) Systemen för tillhandahållande av elektroniska kommunikationsnät och elektroniska kommunikationstjänster bör utformas så att mängden nödvändiga personuppgifter begränsas till ett absolut minimum. …”
11 I artikel 2 i direktiv 2002/58, som har rubriken ”Definitioner”, anges följande:
”…
Dessutom skall följande definitioner gälla:
a) användare: en fysisk person som använder en allmänt tillgänglig elektronisk kommunikationstjänst för privat eller affärsmässigt bruk utan att nödvändigtvis ha abonnerat på denna tjänst.
b) trafikuppgifter: alla uppgifter som behandlas i syfte att överföra en kommunikation via ett elektroniskt kommunikationsnät eller för att fakturera den.
c) lokaliseringsuppgifter: alla uppgifter som behandlas i ett elektroniskt kommunikationsnät eller av en elektronisk kommunikationstjänst och som visar den geografiska positionen för terminalutrustningen för en användare av en allmänt tillgänglig elektronisk kommunikationstjänst.
…”
12 I artikel 3 i direktivet, med rubriken ”Berörda tjänster”, föreskrivs följande:
”Detta direktiv ska tillämpas på behandling av personuppgifter i samband med att allmänt tillgängliga elektroniska kommunikationstjänster tillhandahålls i allmänna kommunikationsnät inom gemenskapen, inbegripet allmänna kommunikationsnät som stöder datainsamling och identifieringsutrustning.”
13 I artikel 5 i direktivet, som har rubriken ”Konfidentialitet vid kommunikation”, föreskrivs följande:
”1. Medlemsstaterna skall genom nationell lagstiftning säkerställa konfidentialitet vid kommunikation och därmed förbundna trafikuppgifter via allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster. De skall särskilt förbjuda avlyssning, uppfångande med tekniskt hjälpmedel, lagring eller andra metoder som innebär att kommunikationen och de därmed förbundna trafikuppgifterna kan fångas upp eller övervakas av andra personer än användarna utan de berörda användarnas samtycke, utom när de har laglig rätt att göra detta i enlighet med artikel 15.1. Denna punkt får inte förhindra teknisk lagring som är nödvändig för överföring av kommunikationen utan att det påverkar principen om konfidentialitet.
…
3. Medlemsstaterna ska se till att lagring av information eller tillgång till information som redan är lagrad i en abonnents eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har gett sitt samtycke efter att ha fått tillgång till tydlig och fullständig information, i enlighet med direktiv [95/46], bland annat om ändamålen med behandlingen av uppgifterna. …”
14 I artikel 6 i direktivet, med rubriken ”Trafikuppgifter”, föreskrivs följande:
”1. Trafikuppgifter om abonnenter och användare som behandlas och lagras av leverantören av ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst skall utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra en kommunikation, utan att det påverkar tillämpningen av punkterna 2, 3 och 5 i den här artikeln samt artikel 15.1.
2. Trafikuppgifter som krävs för abonnentfakturering och betalning av samtrafikavgifter får behandlas. Sådan behandling är tillåten endast fram till utgången av den period under vilken det lagligen går att göra invändningar mot fakturan eller kräva betalning.
3. I syfte att saluföra elektroniska kommunikationstjänster eller i syfte att tillhandahålla mervärdestjänster får en leverantör av en allmänt tillgänglig elektronisk kommunikationstjänst behandla de uppgifter som avses i punkt 1 i den utsträckning och under den tidsperiod som är nödvändig för sådana tjänster eller sådan marknadsföring, om den abonnent eller användare som uppgifterna gäller har samtyckt till detta. Användare eller abonnenter skall ha möjlighet att när som helst dra tillbaka sitt samtycke till behandling av trafikuppgifter.
…
5. Behandlingen av trafikuppgifter skall, i enlighet med punkterna 1, 2, 3 och 4, begränsas till sådana personer som av leverantören av allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster getts i uppdrag att sköta fakturering, trafikstyrning, kundförfrågningar, spårning av bedrägerier, marknadsföring av elektroniska kommunikationstjänster eller tillhandahållande av en mervärdestjänst, och behandlingen skall begränsas till sådant som är nödvändigt för dessa verksamheter.”
15 Artikel 15 i direktiv 2002/58 har rubriken ”Tillämpningen av vissa bestämmelser i direktiv [95/46]”. I artikel 15.1 anges följande:
”1. Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i artikel 5, artikel 6, artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i detta direktiv när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem enligt artikel 13.1 i direktiv [95/46]. Medlemsstaterna får för detta ändamål bland annat vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period som motiveras av de skäl som fastställs i denna punkt. Alla åtgärder som avses i denna punkt skall vara i enlighet med de allmänna principerna i gemenskapslagstiftningen, inklusive principerna i artikel 6.1 och 6.2 [FEU].
…
2. Bestämmelserna om rättslig prövning, ansvar och sanktioner i kapitel III i direktiv [95/46] skall gälla för de nationella bestämmelser som antas i enlighet med det här direktivet och för de individuella rättigheter som kan härledas från det här direktivet.
…”
– Direktiv (EU) 2016/680
16 Artikel 1 i Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89, och rättelse i EUT L 127, 2018, s. 16) har rubriken ”Syfte och mål”. I artikel 1.1 föreskrivs följande:
”I detta direktiv fastställs bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.”
17 I artikel 3 i direktivet, som har rubriken ”Definitioner”, föreskrivs följande:
I detta direktiv avses med
…
7. behörig myndighet:
a) en offentlig myndighet som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga hot mot den allmänna säkerheten, eller
b) annat organ eller annan enhet som genom medlemsstaternas nationella rätt har anförtrotts myndighetsutövning för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot eller förebygga och förhindra hot mot den allmänna säkerheten,
…”
Lagstiftningen om skydd för immateriella rättigheter
18 I artikel 8 i Europaparlamentets och rådets direktiv 2004/48/EG av den 29 april 2004 om säkerställande av skyddet för immateriella rättigheter (EUT L 157, 2004, s. 45, och rättelser i EUT L 195, 2004, s. 16, EUT L 204, 2007, s. 27 och EUT L 351, 2007, s.27), med rubriken ”Rätt till information”, anges följande:
”1. Medlemsstaterna skall se till att de behöriga rättsliga myndigheterna, i samband med en rättegång om immaterialrättsintrång och som svar på en berättigad och proportionell begäran av käranden, får besluta att information om ursprung och distributionsnät för de intrångsgörande varorna eller tjänsterna skall lämnas av intrångsgöraren …
2. Informationen i punkt 1 skall, om lämpligt, omfatta
a) namn och adress på producenter, tillverkare, distributörer, leverantörer och andra som tidigare innehaft respektive använt varorna eller tjänsterna, samt på tilltänkta grossister och detaljister,
…
3. Punkterna 1 och 2 skall inte påverka tillämpningen av andra lagbestämmelser som
a) ger rättighetshavaren rätt till ytterligare information,
b) reglerar hur information som lämnas enligt denna artikel får användas i civilrättsliga eller straffrättsliga förfaranden,
c) reglerar ansvar för missbruk av rätten till information,
d) gör det möjligt att vägra lämna sådan information som skulle tvinga den person som avses i punkt 1 att medge egen eller nära anhörigs medverkan i ett immaterialrättsintrång, eller
reglerar sekretesskydd för informationskällor eller behandling av personuppgifter.”
Fransk rätt
Lagen om immateriella rättigheter
19 I artikel L. 331-12 i Code de la propriété intellectuelle (lagen om immateriella rättigheter), i den lydelse som var i kraft vid tidpunkten för det beslut som sökandena i det nationella målet har överklagat, föreskrivs följande:
”Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (central myndighet för spridning av verk och rättighetsskydd på internet) [(nedan kallad Hadopi)] är en oberoende statlig myndighet. …”
20 I artikel L. 331-13 i denna lag föreskrivs följande:
”[Hadopi] ska sörja för:
1° främjandet av utvecklingen av ett lagligt utbud på elektroniska kommunikationsnät som används för tillhandahållandet av onlinekommunikationstjänster till allmänheten, samt bevakningen av tillåten och otillåten användning av verk och alster som är föremål för upphovsrätt eller en närstående rättighet på sådana nät.
2° skyddet av sådana verk och alster mot intrång i dessa rättigheter på elektroniska kommunikationsnät som används för tillhandahållandet av onlinekommunikationstjänster till allmänheten.
…”
21 I artikel L. 331-15 i samma lag föreskrivs följande:
”[Hadopi] består av ett kollegium och en kommitté för rättighetsskydd. … …
…
Kollegiets ledamöter och ledamöterna av kommittén för rättighetsskydd ska utföra sina uppgifter utan att ta emot instruktioner från någon annan myndighet.”
22 I artikel L. 331-17 första stycket i samma lag föreskrivs följande:
”Kommittén för rättighetsskydd är ansvarig för att vidta åtgärder enligt artikel L. 331-25.”
23 Artikel L. 331-21 lagen om immateriella rättigheter har följande lydelse:
”För att kommittén för rättighetsskydd ska kunna utöva sina befogenheter förfogar [Hadopi] över auktoriserade tjänstemän som bemyndigats av [Hadopis] ordförande i enlighet med ett dekret meddelat efter yttrande av Conseil d’État [(Högsta förvaltningsdomstolen, Frankrike)]. …
Kommitténs ledamöter och de tjänstemän som avses i första stycket ska ta emot klagomål till denna kommitté på de villkor som anges i artikel L. 331-24. De ska granska de faktiska omständigheterna.
I samband med ärendets handläggning kan de begära ut handlingar i vilken form som helst, inklusive de uppgifter som lagrats och behandlats av operatörer som tillhandahåller elektronisk kommunikation med tillämpning av artikel L. 34-1 i code des postes et des communications électroniques (lagen om post och elektronisk kommunikation) och de leverantörer som avses i artikel 6-I leden 1 och 2 i loi no 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (lag nr 2004-575 av den 21 juni 2004 om förtroende för den digitala ekonomin).
De får också begära in kopior av de handlingar som avses i föregående stycke.
De kan bland annat begära att operatörer som tillhandahåller elektronisk kommunikation lämnar ut namn, postadress, e‑postadress och telefonnummer till en abonnent vars uppkoppling till allmänt tillgängliga onlinekommunikationstjänster, utan tillstånd från [rättsinnehavarna], har använts för mångfaldigande, återgivning, tillgängliggörande eller överföring av skyddade verk eller alster, om ett sådant tillstånd krävs.”
24 I artikel L. 331-24 i denna lag föreskrivs följande:
”Kommittén för rättighetsskydd ska agera efter det att ett ärende har hänskjutits av auktoriserade och bemyndigade tjänstemän … som utses av
– lagenligt konstituerade organ som tillvaratar branschintressen,
– kollektiva förvaltningsorgan,
– Centre national du cinéma et de l’image animée (nationellt centrum för film och animerade bilder).
Kommittén för rättighetsskydd får även agera på grundval av upplysningar som erhålls från Procureur de la République (Allmän åklagare).
Kommittén får inte ta upp ärenden om faktiska omständigheter som är äldre än sex månader.”
25 I artikel L. 331-25 i denna lag, som reglerar det så kallade graduated response-förfarandet, föreskrivs följande:
”Om ett ärende avseende handlande som kan utgöra åsidosättande av skyldigheten enligt artikel L. 336‑3 [i lagen om immateriella rättigheter] hänskjuts till kommittén för rättighetsskydd får den översända … en rekommendation till abonnenten med en erinran om bestämmelserna i artikel L. 336-3 och en anmodan om att iaktta skyldigheten enligt dessa bestämmelser samt upplysa abonnenten om de påföljder som han eller hon kan påföras enligt artiklarna L. 335-7 och L. 335‑7‑1. Denna rekommendation ska även innehålla information till abonnenten om det lagenliga kulturutbudet på internet, skyddsåtgärder som finns att tillgå för att förhindra åsidosättande av skyldigheten enligt artikel L. 336-3 och om hotet mot det konstnärliga skapandet och ekonomin i kultursektorn från handlande som innebär intrång i upphovsrätten och närstående rättigheter.
För det fall att handlande som kan utgöra åsidosättande av skyldigheten enligt artikel L. 336-3 upprepas inom en period på sex månader efter översändande av rekommendationen enligt första stycket får kommittén översända en ny rekommendation med e‑post med samma innehåll som den föregående … Kommittén ska se till att rekommendationen åtföljs av en skrivelse som överlämnas såsom rekommenderad försändelse med mottagningsbevis eller på något annat sätt som kan styrka dagen för överlämnandet av rekommendationen.
Rekommendationer enligt denna artikel ska innehålla uppgift om datum och klockslag då gärningar som kan utgöra åsidosättande av skyldigheten enligt artikel L. 336-3 fastställts. Innehållet i de skyddade verk eller alster som berörs av åsidosättandet ska däremot inte anges. En rekommendation ska innehålla telefonnummer, postadress och elektroniska kontaktuppgifter som mottagaren kan använda sig av om han eller hon vill yttra sig till kommittén för rättighetsskydd och, om mottagaren uttryckligen begär det, erhålla klargöranden om innehållet i de skyddade verk eller alster som berörs av det åsidosättande som han eller hon klandrats för.”
26 Artikel L. 331-29 lagen om immateriella rättigheter har följande lydelse:
”[Hadopi] får utföra en automatiserad behandling av personuppgifter för personer som är föremål för ett förfarande enligt detta underavsnitt.
Ändamålet med denna behandling ska vara att kommittén för rättighetsskydd ska kunna vidta de åtgärder som föreskrivs i detta underavsnitt, upprätta alla handlingar i ärendet, fastställa villkoren för att underrätta organ som tillvaratar branschintressen och kollektiva förvaltningsorgan om ärenden som hänskjutits till rättsliga myndigheter samt för delgivningar enligt vad som föreskrivs i artikel L. 335-7 femte stycket.
Tillämpningsföreskrifter för denna artikel ska fastställas i dekret. I dekretet ska bland annat anges följande:
– kategorier av registrerade uppgifter och deras lagringstid,
– mottagare som har rätt att ta emot sådana uppgifter, däribland personer vars verksamhet består i att tillhandahålla elektroniska kommunikationstjänster till allmänheten,
– under vilka förutsättningar berörda personer kan utöva sin rätt att få tillgång till sina uppgifter hos [Hadopi] …”
27 I artikel L. 335-2 första och andra styckena i denna lag föreskrivs följande:
”Varje utgivning av skrifter, musikaliska kompositioner, mönster, målningar eller annan framställning, tryckt eller graverad, helt eller delvis, som sker i strid med lagar och andra författningar om upphovsrätt, utgör intrång och varje intrång är ett brott.
Till fängelse i tre år och 300 000 euro i böter döms den som i Frankrike begår intrång i verk som offentliggjorts i Frankrike eller i utlandet.”
28 I artikel L. 335-4 första stycket i nämnda lag föreskrivs följande:
”Den som, mot eller utan vederlag, ställer ut, återger, kommunicerar till eller gör tillgänglig för allmänheten, en tv-sändning av ett framträdande, ett fonogram, ett videogram, ett program eller en tidnings- eller tidskriftsartikel döms till fängelse i tre år och böter på 300 000 euro, om detta gjorts utan tillstånd, om sådant erfordras, från den konstnärliga utövaren, fonogram- eller videogramproducenten, radio- och tv-bolaget, utgivaren eller nyhetsbyrån.”
29 I artikel L. 335-7 lagen om immateriella rättigheter föreskrivs regler om att personer som har gjort sig skyldiga till de brott som avses i bland annat artiklarna L. 335-2 och L. 335-4 i denna lag ska åläggas en kompletterande påföljd i form av ett förbud mot att få tillgång till en allmänt tillgänglig onlinekommunikationstjänst under högst ett år.
30 Artikel L. 335-7-1 första stycket i nämnda lag har följande lydelse:
”För förseelser i klass 5 som föreskrivs i denna lag får, när detta föreskrivs i förordningen, den kompletterande påföljden som avses i artikel L.335-7 utdömas under samma förutsättningar om det föreligger grov oaktsamhet i förhållande till den innehavare av anslutningen till den allmänt tillgängliga onlinekommunikationstjänsten till vilken kommittén för rättighetsskydd i enlighet med artikel L.331-25 tidigare skickat en rekommenderad försändelse med mottagningsbevis med en anmodan om att trygga sin internetanslutning, eller på annat lämpligt sätt kontaktat vederbörande och kunnat styrka mottagandet.”
31 Artikel L. 336-3 i samma lag har följande lydelse:
”Den som har en anslutning till allmänt tillgängliga onlinekommunikationstjänster ska se till att denna anslutning inte används för mångfaldigande, återgivning, tillgängliggörande eller kommunikation till allmänheten av verk eller alster som skyddas av upphovsrätt eller närstående rättigheter utan tillstånd från [rättsinnehavarna], om ett sådant tillstånd krävs.
Den person som innehar anslutningen blir inte straffrättsligt ansvarig på grund av åsidosättande av skyldigheten enligt första stycket …”
32 I artikel R. 331-37 första stycket lagen om immateriella rättigheter föreskrivs följande:
”Operatörer som tillhandahåller elektronisk kommunikation… och leverantörer … är skyldiga att, genom uppkoppling till den automatiserade behandling av personuppgifter som avses i artikel L. 331-29 eller genom att använda ett lagringsmedium som garanterar uppgifternas integritet och säkerhet, översända de personuppgifter och den information som anges i punkt 2 i bilagan till dekret [nr 2010-236] inom åtta dagar från det att kommittén för rättighetsskydd meddelat de tekniska uppgifter som krävs för att identifiera den abonnent vars uppkoppling till allmänt tillgängliga onlinekommunikationstjänster har använts för att mångfaldiga, återge, tillgängliggöra eller överföra till allmänheten skyddade verk eller alster, utan att rättsinnehavarna lämnat sitt tillstånd … om sådant tillstånd krävs.”
33 I artikel R. 331-40 i denna lag anges följande:
”Om kommittén för rättighetsskydd inom ett år efter det att den skickat en sådan rekommendation som avses i artikel L.335-7-1 första stycket mottar en ny anmälan angående en ny gärning som kan utgöra grov oaktsamhet, i den betydelse som avses i artikel R-335-5, ska den – genom rekommenderad försändelse med mottagningsbevis – underrätta abonnenten om att denna gärning kan bli föremål för lagföring. I denna skrivelse ska abonnenten anmodas att yttra sig inom femton dagar. I skrivelsen ska dessutom anges att abonnenten har rätt att, inom samma tid, begära att enligt artikel L. 331-21-1 höras vid ett sammanträde och att vederbörande har rätt att biträdas av ett juridiskt ombud. I skrivelsen ska abonnenten även anmodas att uppge sina familjeåtaganden och sina tillgångar.
Kommittén får även på eget initiativ kalla abonnenten till ett sammanträde för att höra vederbörande. I kallelsen till detta sammanträde ska det anges att abonnenten har rätt att biträdas av ett juridiskt ombud.”
34 Artikel R. 335-5 lagen om immateriella rättigheter har följande lydelse:
”I. – Den som har en uppkoppling till allmänt tillgängliga onlinekommunikationstjänster gör sig skyldig till grov oaktsamhet, vilket är förenat med böter i enlighet med vad som föreskrivs för förseelser av femte graden, om han eller hon utan legitimt skäl, och om villkoren i II är uppfyllda,
1° inte har installerat ett hjälpmedel för att säkra denna uppkoppling, eller
2° har brustit i aktsamhet vid användningen av detta hjälpmedel.
II. – Bestämmelserna i I är endast tillämpliga om följande två villkor är uppfyllda:
1° Kommittén för rättighetsskydd ska i enlighet med artikel L. 331-25 och på det sätt som föreskrivs i denna artikel ha rekommenderat innehavaren av uppkopplingen att installera ett hjälpmedel för att säkra sin uppkoppling som gör det möjligt att förhindra att anslutningen återigen används för mångfaldigande, återgivning, tillgängliggörande eller överföring till allmänheten av verk eller alster som skyddas av upphovsrätt eller närstående rättigheter utan tillstånd från [rättsinnehavarna], om ett sådant tillstånd krävs.
2° Uppkopplingen används på nytt för de ändamål som anges i 1° i denna II under en period av ett år efter det att rekommendationen lämnades.”
35 Enligt loi no 2021-1382, du 25 octobre 2021, relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique (lag nr 2021-1382 av den 25 oktober 2021 om reglering och skydd för tillgång till kulturella verk i den digitala eran) (JORF nr 250 av den 26 oktober 2021, text nr 2) slogs Hadopi den 1 januari 2022 samman med Conseil supérieur de l’audiovisuel (CSA) (Tillsynsmyndigheten för radio och tv, Frankrike), en annan oberoende statlig myndighet, för att bilda Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) (Tillsynsmyndigheten för audiovisuell och digital kommunikation).
36 Det ovan i punkt 25 nämnda ”graduated response”-förfarandet kvarstår emellertid i princip oförändrat. Förfarandet genomförs inte längre av Hadopis kommitté för rättighetsskydd (vilken var sammansatt av tre ledamöter utsedda av Conseil d’État (Högsta förvaltningsdomstolen), Cour des comptes (Revisionsrätten, Frankrike) respektive Cour de cassation (Högsta domstolen, Frankrike)), utan av två ledamöter i ARCOM:s styrelse som utsetts av Conseil d’État (Högsta förvaltningsdomstolen) respektive av Cour de cassation (Högsta domstolen).
Dekret nr 2010‑236
37 I artikel 1 i dekret nr 2010‑236, som antagits med stöd av bland annat artikel L. 331-29 lagen om immateriella rättigheter, föreskrivs följande:
”Syftet med behandlingen av personuppgifter i ’Systemet för hantering av åtgärder för att skydda verk på internet’ är att [Hadopis] kommitté för rättighetsskydd ska
1° vidta åtgärder enligt del III i lagstiftningsdelen [lagen om immateriella rättigheter] (avdelning III, kapitel I, avsnitt 3, underavsnitt 3) och del III i regleringsdelen av samma lag (avdelning III, kapitel I, avsnitt 2, underavsnitt 2),
2° anmäla faktiska omständigheter som kan utgöra brott enligt artiklarna L. 335‑2, L. 335-3, L. 335-4 och R. 335-5 i samma lag till allmän åklagare och informera organ som tillvaratar branschintressen och kollektiva förvaltningsorgan om dessa anmälningar,
…”
38 I artikel 4 i dekretet anges följande:
”I. – De auktoriserade offentliga tjänstemän som bemyndigats av [Hadopis] ordförande i enlighet med artikel L. 331-21 [lagen om immateriella rättigheter] och ledamöterna i den kommitté för rättighetsskydd som anges i artikel 1 ska ha direkt tillgång till personuppgifter och den information som anges i bilaga till detta dekret.
II – De operatörer som tillhandahåller elektronisk kommunikation och de leverantörer som anges i 2° i bilagan till detta dekret ska erhålla
– de tekniska uppgifter som krävs för att identifiera abonnenten,
– de rekommendationer som föreskrivs i artikel L. 331-25 [lagen om immateriella rättigheter] för elektronisk vidarebefordran till abonnenterna,
– de uppgifter som behövs för att genomföra kompletterande sanktionsåtgärder i form av avstängning av uppkopplingen till en allmänt tillgänglig kommunikationstjänst på internet som allmän åklagare underrättat kommittén för rättighetsskydd om.
III – Organ som tillvaratar branschintressen och kollektiva förvaltningsorgan ska erhålla information om en anmälan till allmän åklagare.
IV – Rättsliga myndigheterna ska tillställas utredningsprotokoll avseende gärningar som kan utgöra överträdelser enligt artiklarna L. 335‑2, L. 335‑3, L. 335‑4, L. 335‑7, R. 331‑37, R. 331‑38 och R. 335‑5 [i lagen om immateriella rättigheter].
Det automatiska belastningsregistret ska underrättas om verkställighet av en avstängningspåföljd.”
39 I bilagan till dekretet föreskrivs följande:
”Följande personuppgifter och information ska registreras i systemet för hantering av åtgärder för skydd av verk på internet:
1° Personuppgifter och information som härrör från lagligt konstituerade organ som tillvaratar branschintressen, kollektiva förvaltningsorgan, Nationella centrumet för film och animerade bilder samt från allmän åklagare.
Beträffande omständigheter som kan utgöra åsidosättande av skyldigheten enligt artikel L. 336-3 [i lagen om immateriella rättigheter]:
Datum och klockslag för omständigheterna.
Berörda abonnenters ip-adress.
Använt peer-to-peer-protokoll.
Pseudonym som använts av abonnenten.
Information om skyddade verk eller alster som handlandet avser.
Filens namn på abonnentens dator (i förekommande fall).
Internetleverantör som tillhandahållit uppkopplingen eller som tillhandahållit den tekniska ip-resursen. …
…
2° Personuppgifter och information om abonnenten som inhämtats från operatörer som tillhandahåller elektronisk kommunikation … och från leverantörer …:
För- och efternamn.
Postadress och e‑postadresser.
Telefonnummer.
Adress till abonnentens telefoninstallation.
Internetleverantör som använder de tekniska resurserna från den leverantör som anges i 1°, hos vilken abonnenten har tecknat avtal; kundnummer.
Datum då åtkomsten till en allmänt tillgänglig kommunikationstjänst på internet stängs av.
…”
Lagen om post och elektronisk kommunikation
40 I artikel L. 34-1, II bis lag om post och elektronisk kommunikation föreskrivs följande:
”Operatörer som tillhandahåller elektronisk kommunikation är skyldiga att lagra
1° Information om användarens fysiska identitet, upp till fem år efter det att vederbörandes avtal har upphört att gälla, för att möjliggöra genomförande av straffrättsliga förfaranden, förebyggande av hot mot allmän säkerhet och skydd av nationell säkerhet.
2° Annan information som användaren lämnat i samband med tecknandet av ett avtal eller skapandet av ett konto samt betalningsinformation, upp till ett år efter det att vederbörandes avtal har upphört att gälla eller dennes konto har avslutats, för samma ändamål som de som avses i punkt 1 i denna bestämmelse.
3° Tekniska uppgifter som gör det möjligt att identifiera källan till en uppkoppling eller den terminalutrustning som använts, upp till ett år efter uppkopplingen eller användningen av terminalutrustningen, för att möjliggöra bekämpande av grov brottslighet, förebyggande av allvarliga hot mot allmän säkerhet och skydd av nationell säkerhet.”
Målet vid den nationella domstolen och tolkningsfrågorna
41 Premier ministre (Premiärministern, Frankrike) avslog underförstått sökandenas begäran om upphävande av dekret nr 2010‑236. De ansökte därför den 12 augusti 2019 vid Conseil d’État (Högsta förvaltningsdomstolen) om ogiltigförklaring av detta avslagsbeslut. Sökandena gjorde i huvudsak gällande att artikel L. 331-21 tredje–femte styckena i lagen om immateriella rättigheter, som utgör en del av den rättsliga grunden för dekretet, dels strider mot rätten till respekt för privatlivet enligt den franska konstitutionen, dels strider mot unionsrätten, särskilt artikel 15 i direktiv 2002/58 och artiklarna 7, 8, 11 och 52 i stadgan.
42 Vad gäller den del av talan som avsåg det påstådda åsidosättandet av konstitutionen, hänsköt Conseil d’État (Högsta förvaltningsdomstolen) en förtursfråga om grundlagsförenlighet till Conseil constitutionnel (Författningsdomstolen, Frankrike).
43 Genom beslut nr 2020-841 QPC av den 20 maj 2020, La Quadrature du Net m.fl. (Rätten att överföra uppgifter till Hadopi), slog Conseil constitutionnel (Författningsdomstolen) fast att tredje och fjärde styckena i artikel L. 331-21 i lagen om immateriella rättigheter stred mot konstitutionen, men förklarade att artikel L. 331-21 femte stycket var förenligt med konstitutionen, med undantag för det däri använda uttrycket ”bland annat”.
44 När det gäller den del av talan som avsåg ett påstått åsidosättande av unionsrätten har sökandena i det nationella målet särskilt gjort gällande att dekret nr 2010‑236 och de bestämmelser som utgör den rättsliga grunden för detta dekret tillåter att det – utan någon förhandskontroll av en domstol eller en myndighet som erbjuder garantier för oavhängighet och opartiskhet – ges åtkomst till uppkopplingsuppgifter som inte står i proportion till ringa överträdelser av upphovsrätten som begåtts på internet. I synnerhet kan dessa överträdelser inte anses utgöra ”grov brottslighet” i den mening som avses i domen av den 21 december 2016, Tele2 Sverige och Watson m.fl. (C‑203/15 och C‑698/15, EU:C:2016:970).
45 Conseil d’État (Högsta förvaltningsdomstolen) har, för det första, erinrat om att EU-domstolen i dom av den 6 oktober 2020, La Quadrature du Net m.fl. (C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791), slog fast att artikel 15.1 i direktiv 2002/58, jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan, inte utgör hinder för lagstiftningsåtgärder som, för att skydda nationell säkerhet, bekämpa brottslighet och skydda allmän säkerhet, föreskriver en generell och odifferentierad lagring av uppgifter om den fysiska identiteten för användare av elektroniska kommunikationsmedel. Uppgifter om den fysiska identiteten för användare av elektroniska kommunikationsmedel får således lagras utan någon specifik tidsbegränsning i syfte att utreda, avslöja och lagföra brott i allmänhet. Enligt Conseil d’État (Högsta förvaltningsdomstolen) utgör direktiv 2002/58 inte heller hinder för att det ges åtkomst till dessa uppgifter för sådana ändamål.
46 Den hänskjutande domstolen har härav dragit slutsatsen att när det gäller åtkomst till uppgifter om den fysiska identiteten för användare av elektroniska kommunikationsmedel, kan sökandena inte vinna framgång med argumentet att dekret nr 2010‑236 är rättsstridigt i det att det avser bekämpning av ringa överträdelser.
47 Conseil d’État (Högsta förvaltningsdomstolen) har, för det andra, erinrat om att EU-domstolen i dom av den 21 december 2016, Tele2 Sverige och Watson m.fl. (C‑203/15 och C‑698/15, EU:C:2016:970), slagit fast att artikel 15.1 i direktiv 2002/58, jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan, ska tolkas på så sätt att den utgör hinder för en nationell lagstiftning som reglerar skydd och säkerhet för trafikuppgifter och lokaliseringsuppgifter och, i synnerhet, behöriga nationella myndigheters åtkomst till lagrade uppgifter och som inte föreskriver att åtkomsten ska vara underkastad förhandskontroll av en domstol eller ett oberoende förvaltningsorgan.
48 Den hänskjutande domstolen har specifikt hänvisat till punkt 120 i den domen, i vilken EU-domstolen preciserade att det är väsentligt att behöriga nationella myndigheters åtkomst till lagrade uppgifter i princip, utom i vederbörligen motiverade brådskande fall, är underkastad förhandskontroll av en domstol eller ett oberoende förvaltningsorgan, och att denna domstol eller detta förvaltningsorgan meddelar sitt avgörande efter det att de behöriga nationella myndigheterna framställt en motiverad ansökan, vilket kan ske bland annat inom ramen för ett förfarande för förebyggande, avslöjande eller lagföring av brott.
49 Enligt Conseil d’État (Högsta förvaltningsdomstolen) erinrade EU-domstolen om detta krav i dom av den 6 oktober 2020, La Quadrature du Net m.fl. (C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791), avseende underrättelsetjänsters insamling i realtid av uppkopplingsuppgifter, och i dom av den 2 mars 2021, Prokuratuur (Villkor för att ge tillgång till uppgifter avseende elektronisk kommunikation) (C‑746/18, EU:C:2021:152), avseende nationella myndigheters åtkomst till uppkopplingsuppgifter.
50 Den hänskjutande domstolen har även påpekat att Hadopi, sedan myndigheten bildades år 2009, har skickat mer än 12,7 miljoner rekommendationer till abonnemangsinnehavare enligt det graduated response-förfarande som föreskrivs i artikel L. 331-25 i lagen om immateriella rättigheter, varav 827 791 rekommendationer enbart under år 2019. Denna omständighet innebär att tjänstemännen vid Hadopis kommitté för rättighetsskydd med nödvändighet varit tvungna att varje år samla in ett stort antal uppgifter om de berörda användarnas fysiska identitet. Den hänskjutande domstolen anser att det med hänsyn till det stora antalet rekommendationer finns risk för att det blir omöjligt att skicka ut några rekommendationer om det uppställdes ett krav på förhandskontroll för insamlingen av dessa uppgifter.
51 Mot denna bakgrund beslutade Conseil d’État (Högsta förvaltningsdomstolen) att vilandeförklara målet och ställa följande tolkningsfrågor till EU-domstolen:
”1) Ingår de uppgifter om den fysiska identitet som är förbunden med en ip‑adress bland de trafik- och lokaliseringsuppgifter som i princip är underkastade förhandskontroll av en domstol eller av ett oberoende förvaltningsorgan vars avgöranden har bindande verkan?
2) Om fråga 1 besvaras jakande, och med beaktande av att uppgifter om användarnas fysiska identitet, inklusive deras kontaktuppgifter, är föga känsliga, ska [direktiv 2002/58], jämfört med [stadgan], tolkas så, att det utgör hinder för en nationell lagstiftning som föreskriver att en myndighet ska samla in uppgifter om användarnas ip-adresser, utan någon förhandskontroll av en domstol eller av ett oberoende förvaltningsorgan vars avgöranden har bindande verkan?
3) Om fråga 2 besvaras jakande, och med beaktande av att uppgifter om den fysiska identiteten är föga känsliga, att dessa uppgifter endast får samlas in i syfte att förebygga underlåtenhet att uppfylla skyldigheter som i nationell rätt blivit definierade på ett precist, uttömmande och restriktivt sätt, och att en systematisk kontroll av åtkomsten till respektive användares uppgifter som utförs av en domstol eller ett utomstående förvaltningsorgan, vars avgöranden har bindande verkan, skulle kunna äventyra fullgörandet av det allmännyttiga uppdrag som anförtrotts den oberoende myndighet som samlar in uppgifterna, utgör [direktiv 2002/58] hinder för att denna kontroll utförs på ett anpassat sätt, såsom genom automatiserad kontroll, vilken, i förekommande fall, sker under överinseende av en intern avdelning inom förvaltningsorganet som uppfyller krav på oavhängighet och opartiskhet i förhållande till de tjänstemän som ansvarar för insamlingen?”
Prövning av tolkningsfrågorna
52 Den hänskjutande domstolen har ställt sina tre tolkningsfrågor, vilka ska prövas tillsammans, för att få klarhet i huruvida artikel 15.1 i direktiv 2002/58, jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan, ska tolkas så, att den utgör hinder för en nationell lagstiftning som innebär att den statliga myndighet som ansvarar för skyddet av upphovsrätt och närstående rättigheter mot intrång i dessa rättigheter som begås på internet – utan någon förhandskontroll av en domstol eller ett oberoende förvaltningsorgan – ges åtkomst till de uppgifter, som lagrats av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster, avseende den fysiska identitet som är förbunden med ip-adresser, vilka i ett tidigare skede samlats in av upphovsrättsorganisationer, i syfte att myndigheten ska kunna identifiera innehavarna av dessa adresser, vilka används för handlande som kan utgöra intrång i upphovsrätten och närstående rättigheter, och för att myndigheten, i förekommande fall, ska kunna vidta åtgärder gentemot innehavarna.
Inledande synpunkter
53 I det nationella målet är det fråga om två separata och på varandra följande personuppgiftsbehandlingar som sker inom ramen för Hadopis verksamhet. Hadopi är en oberoende statlig myndighet, vars uppgift enligt artikel L. 331-13 i lagen om immateriella rättigheter bland annat är att skydda verk och alster som omfattas av upphovsrätt eller en närstående rättighet mot intrång som begås i elektroniska kommunikationsnät som används för att tillhandahålla onlinekommunikationstjänster till allmänheten.
54 Den första behandlingen äger rum i ett föregående skede och utförs av upphovsrättsorganisationernas auktoriserade och bemyndigade tjänstemän. Denna behandling består av två steg. Först samlas ip-adresser som förefaller användas för handlande som kan utgöra intrång i upphovsrätten eller en närstående rättighet in från peer-to-peer-nätverk. Därefter upprättas anmälningsprotokoll i vilka en uppsättning av personuppgifter och personlig information görs tillgängliga för Hadopi. Dessa uppgifter är, enligt förteckningen i punkt 1° i bilagan till dekret nr 2010‑236, datum och klockslag för handlandet, de berörda abonnenternas ip‑adresser, det peer-to-peer-protokoll som använts, den pseudonym som abonnenten använder, uppgifter om de skyddade verk eller alster som handlandet avser, namnet på filen såsom det finns på abonnentens dator (i förekommande fall) och den internetleverantör som tillhandahåller abonnemanget för internetuppkopplingen eller den tekniska ip-resursen.
55 Den andra behandlingen, som utförs i ett senare led av internetleverantörerna på begäran av Hadopi, sker även den i två steg. Först knyts de ip-adresser som samlats in ihop med innehavarna av adresserna. Därefter görs en rad personuppgifter och andra upplysningar avseende innehavarna tillgängliga för Hadopi. Dessa uppgifter och upplysningar avser i första hand innehavarnas fysiska identitet. Enligt förteckningen i punkt 2° i bilagan till dekret nr 2010‑236 är det i huvudsak fråga om för- och efternamn, post- och e‑postadress, telefonnummer samt adressen för abonnentens teleanläggning.
56 I artikel L. 331-21 femte stycket i lagen om immateriella rättigheter, i den lydelse som gäller sedan Conseil constitutionnels ovan i punkt 43 nämnda avgörande, föreskrivs att ledamöterna i Hadopis kommitté för rättighetsskydd och de auktoriserade tjänstemän som bemyndigats av Hadopis ordförande har rätt att från operatörer som tillhandahåller elektroniska kommunikationstjänster få ut uppgifter om identitet, postadress, e‑postadress och telefonnummer avseende abonnenter vilkas uppkoppling för elektroniska kommunikationstjänster använts för att mångfaldiga, återge, tillgängliggöra eller till allmänheten överföra skyddade verk eller alster utan erforderligt tillstånd från rättsinnehavarna.
57 Syftet med dessa behandlingar av personuppgifter är att göra det möjligt för Hadopi att, gentemot innehavarna av de sålunda identifierade ip-adresserna, vidta åtgärder enligt det administrativa förfarande som kallas ”graduated response” och som regleras i artikel L 331-25 lagen om immateriella rättigheter. Dessa åtgärder inleds med att ”rekommendationer” (som närmast kan likställas med varningar) skickas. När det är fråga om handlande som kan utgöra en upprepning av en konstaterad överträdelse, kan ärendet överlämnas till Hadopis kommitté för rättighetsskydd inom ett år efter utsändande av rekommendation nummer 2. Kommittén för rättighetsskydd upplyser i detta fall abonnenten enligt artikel R. 331-40 lagen om immateriella rättigheter att handlandet kan kvalificeras som förseelsen ”grov oaktsamhet” enligt artikel R. 335-5 i lagen om immateriella rättigheter, vilket är förenat med en straffavgift på 1 500 euro (3 000 euro vid upprepade överträdelser). Vid återfall kan kommittén för rättighetsskydd, efter överläggning, besluta om att överlämna ärendet till åklagare för utredning av huruvida handlande ska kvalificeras som nämnda förseelse eller som brottet upphovsrättsintrång enligt artikel L. 335-2 lagen om immateriella rättigheter eller artikel L. 335-4 i samma lag, vilket är förenat med fängelse i tre år och böter på 300 000 euro.
58 De frågor som den hänskjutande domstolen ställt avser emellertid endast den behandling av personuppgifter i ett senare led som beskrivs i punkt 55 ovan och inte den behandling av personuppgifter som sker i ett föregående led, vars väsentliga kännetecken beskrivs i punkt 54 ovan.
59 Det ska emellertid påpekas att om den insamling av ip-adresser som upphovsrättsorganisationer gör i ett föregående led stred mot unionsrätten skulle unionsrätten även utgöra hinder för den efterföljande behandling av dessa uppgifter som leverantörerna av elektroniska kommunikationstjänster gör genom att knyta samman ip-adresserna med uppgifter om ip-adressinnehavarnas fysiska identitet.
60 Det ska i detta sammanhang inledningsvis erinras om att enligt domstolens praxis utgör ip-adresser både trafikuppgifter enligt direktiv 2002/58 och personuppgifter enligt dataskyddsförordningen (se, för ett liknande resonemang, dom av den 17 juni 2021, M.I.C.M., C‑597/19, EU:C:2021:492, punkterna 102 och 113 och där angiven rättspraxis).
61 Den insamling av ip-adresser, som är offentliga och synliga för alla, vilken utförs av anställda vid upphovsrättsorganisationer omfattas emellertid inte av tillämpningsområdet för direktiv 2002/58, eftersom det är uppenbart att en sådan behandling inte utförs ”i samband med att allmänt tillgängliga elektroniska kommunikationstjänster tillhandahålls”, i den mening som avses i artikel 3 i direktivet.
62 Det framgår av handlingarna i målet att en sådan insamling av ip-adresser är tillåten i viss omfattning och på vissa villkor av Commission nationale de l’informatique et des libertés (CNIL) (Nationella myndigheten för informationsteknik och grundläggande rättigheter, Frankrike) i syfte att de insamlade ip-adresserna överförs till Hadopi för att eventuellt senare användas i administrativa förfaranden eller domstolsförfaranden för att beivra intrång i upphovsrätten och närstående rättigheter. En sådan insamling av ip-adresser utgör däremot en ”behandling”, i den mening som avses i artikel 4.2 i dataskyddsförordningen, vars lagenlighet beror på de villkor som anges i artikel 6.1 första stycket f i samma förordning, tolkad mot bakgrund av domstolens praxis – bland annat dom av den 17 juni 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punkterna 102 och 103), och dom av den 4 juli 2023, Meta Platforms m.fl. (Ett socialt nätverks användarvillkor) (C‑252/21, EU:C:2023:537, punkterna 106–112 och där angiven rättspraxis).
63 När det gäller den behandling i ett efterföljande led som beskrivs i punkt 55 ovan, omfattas den emellertid av tillämpningsområdet för direktiv 2002/58, eftersom den sker ”i samband med att allmänt tillgängliga elektroniska kommunikationstjänster tillhandahålls”, i den mening som avses i artikel 3 i det direktivet, förutsatt att de aktuella uppgifterna erhållits från leverantörer av elektroniska kommunikationstjänster i enlighet med artikel L. 331-21 lagen om immateriella rättigheter.
Frågan huruvida det är motiverat enligt artikel 15.1 i direktiv 2002/58 att en myndighet ges åtkomst till uppgifter om fysisk identitet som är förbunden med en ip-adress, vilka lagras av leverantörer av elektroniska kommunikationstjänster i syfte att bekämpa upphovsrättsintrång på internet
64 Mot bakgrund av de inledande synpunkterna ovan uppkommer frågan, vilken även den hänskjutande domstolen har ställt sig, huruvida den begränsning av de grundläggande rättigheterna enligt artiklarna 7, 8 och 11 i stadgan som följer av en myndighets, såsom Hadopi, åtkomst till uppgifter om den fysiska identitet som är förbunden med en ip-adress, vilka myndigheten redan har, kan motiveras enligt artikel 15.1 i direktiv 2002/58.
65 Åtkomsten till sådana personuppgifter får dock endast beviljas under förutsättning att uppgifterna har lagrats i enlighet med direktiv 2002/58 (se, för ett liknande resonemang, dom av den 2 mars 2021, Prokuratuur (Villkor för att ge tillgång till uppgifter avseende elektronisk kommunikation), C‑746/18, EU:C:2021:152, punkt 29).
De krav som gäller för leverantörer av elektroniska kommunikationstjänster då de lagrar uppgifter avseende fysisk identitet och därmed förbundna ip-adresser
66 Enligt artikel 15.1 i direktiv 2002/58 får medlemsstaterna införa undantag från den principiella skyldigheten enligt artikel 5.1 i direktivet att garantera konfidentialiteten för personuppgifter och från motsvarande skyldigheter, vilka nämns bland annat i artiklarna 6 och 9 i direktivet, när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet, försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem. Medlemsstaterna får för detta ändamål bland annat vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period när det är motiverat av ett av dessa skäl. Möjligheten att göra undantag från de rättigheter och skyldigheter som föreskrivs i artiklarna 5, 6 och 9 i direktiv 2002/58 kan emellertid inte motivera att ett undantag från den principiella skyldigheten att säkerställa konfidentialiteten för elektronisk kommunikation och därmed tillhörande uppgifter, och i synnerhet från det förbud mot lagring av sådana uppgifter som uttryckligen föreskrivs i artikel 5 i direktivet, blir huvudregeln (dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkterna 110 och 111).
67 En lagstiftningsåtgärd som har vidtagits med stöd av den bestämmelsen måste därför faktiskt och strikt avse något av de mål som nämns i föregående punkt då den uppräkning av mål som görs i artikel 15.1 första meningen i direktiv 2002/58 är uttömmande, samt iaktta de allmänna principerna i unionsrätten, däribland proportionalitetsprincipen, och de grundläggande rättigheter som garanteras i stadgan. Domstolen har tidigare slagit fast att när en medlemsstat i nationell lagstiftning ålägger leverantörer av elektroniska kommunikationstjänster en skyldighet att lagra trafikuppgifter i syfte att, i förekommande fall, göra dem tillgängliga för behöriga nationella myndigheter väcker detta frågor om en sådan lagstiftnings förenlighet inte bara med artiklarna 7 och 8 i stadgan, vilka rör skyddet för privatlivet respektive skyddet av personuppgifter, utan även med artikel 11 i stadgan, som rör yttrandefriheten (se, för ett liknande resonemang, dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkterna 112 och 113).
68 Vid tolkningen av artikel 15.1 i direktiv 2002/58 ska man således beakta betydelsen av såväl rätten till respekt för privatlivet, vilken garanteras i artikel 7 i stadgan, som rätten till skydd av personuppgifter, vilken garanteras i artikel 8 i stadgan, såsom denna betydelse framgår av domstolens praxis, samt betydelsen av rätten till yttrandefrihet. Denna grundläggande rättighet, som garanteras i artikel 11 i stadgan, utgör nämligen en av grundvalarna för ett demokratiskt och pluralistiskt samhälle och ingår i de värden som unionen enligt artikel 2 FEU bygger på (dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 114 och där angiven rättspraxis).
69 Det ska i detta avseende preciseras att lagring av trafik- och lokaliseringsuppgifter i sig utgör dels ett undantag från förbudet i artikel 5.1 i direktiv 2002/58 för andra personer än användarna att lagra dessa uppgifter, dels ett ingrepp i de grundläggande rättigheterna till respekt för privatlivet och skydd av personuppgifter, vilka är stadfästa i artikel 7 respektive artikel 8 i stadgan, oberoende av om de uppgifter som avser privatlivet är av känslig art eller ej eller om de berörda har fått utstå eventuella olägenheter på grund av ingreppet. Det är inte heller relevant huruvida de lagrade uppgifterna därefter används eller inte, eftersom åtkomsten till sådana uppgifter, oberoende av hur de senare används, utgör ett separat ingrepp i de grundläggande rättigheter som avses i föregående punkt (dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkterna 115 och 116).
70 Möjligheten för medlemsstaterna att enligt artikel 15.1 i direktiv 2002/58 införa vissa undantag, vilken det erinrats om i punkt 66 ovan, avspeglar den omständigheten att de rättigheter som är stadfästa i artiklarna 7, 8 och 11 i stadgan inte är några absoluta rättigheter, utan måste bedömas utifrån deras funktion i samhället. Såsom framgår av artikel 52.1 i stadgan är det enligt stadgan tillåtet att begränsa utövandet av dessa rättigheter, under förutsättning att begränsningarna föreskrivs i lag, att de är förenliga med det väsentliga innehållet i dessa rättigheter och att de, med beaktande av proportionalitetsprincipen, är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller mot behovet av skydd för andra människors fri- och rättigheter (dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkterna 120 och 121).
71 I förevarande fall påpekar domstolen att även om Hadopi formellt sett endast har tillstånd att få åtkomst till de uppgifter om fysisk identitet som är förbunden med en ip-adress, kännetecknas denna åtkomst av att den förutsätter leverantörerna av elektroniska kommunikationstjänster dessförinnan knutit ip-adressen till uppgifterna om ip-adressinnehavarens fysiska identitet. Denna åtkomst förutsätter således att leverantörerna har tillgång till både ip-adresserna och uppgifter om ip-adressinnehavarnas identitet.
72 Dessutom söker denna myndighet åtkomst till dessa uppgifter för det enda ändamålet att identifiera innehavaren av en ip-adress som använts för handlande som kan utgöra intrång i upphovsrätten eller närstående rättigheter, eftersom vederbörande olagligen gjort skyddade verk tillgängliga på internet i avsikt att de ska laddas ned av andra personer. Under dessa omständigheter ska uppgifterna om den fysiska identiteten anses ha ett nära samband med både ip-adressen och Hadopis uppgifter om det verk som gjorts tillgängligt på internet.
73 Det kan inte bortses från detta särskilda sammanhang i samband med prövningen av den eventuella motiveringen enligt artikel 15.1 i direktiv 2002/58, tolkad mot bakgrund av artiklarna 7, 8 och 11 i stadgan, av en åtgärd för lagring av personuppgifter (se, analogt, Europadomstolen, 24 april 2018, Benedik mot Slovenien, CE:ECHR:2018:0424JUD006235714, § 109).
74 Det är följaktligen mot bakgrund av de krav angående lagring av ip-adresser som följer av artikel 15.1 i direktiv 2002/58, tolkad mot bakgrund av artiklarna 7, 8 och 11 i stadgan, som det ska prövas huruvida det finns en motivering för det ingrepp i de grundläggande rättigheterna i nyssnämnda artiklar i stadgan som är resultatet av att leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster lagrar data som Hadopi har rätt att få åtkomst till.
75 Det ska i detta sammanhang understrykas att det följer av domstolens praxis att även om ip-adresser, såsom det erinrats om i punkt 60, utgör trafikuppgifter i den mening som avses i direktiv 2002/58, skiljer sig ip-adresser från andra kategorier av trafikuppgifter och från lokaliseringsuppgifter.
76 Domstolen har härvidlag funnit att ip-adresser genereras utan anknytning till en viss kommunikation och huvudsakligen tjänar till att, via leverantörer av elektroniska kommunikationstjänster, identifiera den som äger den terminalutrustning från vilken en kommunikation sker via internet. När det gäller e‑post och bredbandstelefoni avslöjar dessa adresser, i den mån som endast ip‑adresserna till kommunikationskällan lagras och inte mottagarens ip-adresser, inte i sig någon information om de tredje män som har haft kontakt med den person från vilken kommunikationen utgick. I denna utsträckning har denna kategori av uppgifter således en lägre grad av känslighet än andra trafikuppgifter (se, för ett liknande resonemang, dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 152).
77 I punkt 156 i domen av den 6 oktober 2020, La Quadrature du Net m.fl. (C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791), fann domstolen visserligen att artikel 15.1 i direktiv 2002/58, trots konstaterandet att ip-adresser uppvisar en lägre grad av känslighet när de endast används för att identifiera en användare av en elektronisk kommunikationstjänst, utgör hinder för att det görs en generell och odifferentierad lagring av enbart de ip-adresser som tilldelats källan till en anslutning för andra ändamål än bekämpning av grov brottslighet, förebyggande av allvarliga hot mot allmän säkerhet samt skydd av nationell säkerhet. För att nå denna slutsats grundade sig domstolen emellertid uttryckligen på allvaret i det ingrepp i de grundläggande rättigheterna i artiklarna 7, 8 och 11 i stadgan som en sådan lagring av ip-adresser kan medföra.
78 I punkt 153 i den domen fann domstolen nämligen att eftersom ip-adresser, när de används för att ”på ett uttömmande sätt kartlägga en internetanvändares hela klickström” och därigenom dennes aktivitet på internet, gör det möjligt att ”utförligt kartlägga” internetanvändaren, utgör den lagring och den analys av ip‑adresser som krävs för en sådan kartläggning allvarliga ingrepp i internetanvändarens grundläggande rättigheter enligt artiklarna 7 och 8 i stadgan, något som även kan ha avhållande effekter på utövandet av yttrandefriheten enligt artikel 11 i stadgan för användare av elektroniska kommunikationsmedel.
79 Det ska emellertid understrykas att all generell och odifferentierad lagring av en, i förekommande fall omfattande, uppsättning av fasta och dynamiska ip-adresser som använts av en person under en bestämd tidsperiod inte med nödvändighet utgör ett allvarligt ingrepp i de grundläggande rättigheterna i artiklarna 7, 8 och 11 i stadgan.
80 Först och främst avsåg de mål som avgjordes genom dom av den 6 oktober 2020, La Quadrature du Net m.fl. (C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791), nationell lagstiftning som innebar en skyldighet att lagra en uppsättning av data som krävs för att bestämma datum, klockslag, varaktighet och typ av kommunikation; identifiera den kommunikationsutrustning som används samt för att lokalisera terminalutrustning och kommunikationer. Däribland ingår användarens namn och adress, uppringarens respektive den uppringdas telefonnummer samt ip-adressen för internettjänster I två av målen föreföll det som om de aktuella nationella lagstiftningarna även omfattade uppgifter om överföring av elektronisk kommunikation via nät, vilket gör det möjligt att fastställa vilket slags information som användaren har sökt efter på internet (se, för ett liknande resonemang, dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkterna 82 och 83).
81 Lagringen av ip-adresser i kraft av sådana nationella lagstiftningar var således sådan att den – med hänsyn till övriga uppgifter som nämnda lagstiftningar krävde skulle lagras och möjligheten att kombinera dessa olika uppgifter – gjorde det möjligt att dra precisa slutsatser om privatlivet för de personer vilkas uppgifter berördes och således kunde leda till ett allvarligt ingrepp i de grundläggande rättigheterna i artiklarna 7 och 8 i stadgan, avseende dessa personers rätt till skydd för privatlivet och till skydd av personuppgifter, samt i artikel 11 i stadgan, avseende dessa personers yttrandefrihet.
82 En skyldighet att generellt och odifferentierat lagra ip-adresser, som leverantörer av elektroniska kommunikationstjänster åläggs genom en lagstiftningsåtgärd enligt artikel 15.1 i direktiv 2002/58, kan, i förekommande fall, vara motiverad av ändamålet att bekämpa brott i allmänhet när det är uteslutet att lagringen kan medföra allvarliga ingrepp i den berörda personens privatliv till följd av att det är möjligt att dra precisa slutsatser om vederbörande, bland annat genom att ip‑adresserna knyts till en uppsättning av trafik- eller lokaliseringsuppgifter som leverantörerna även lagrar.
83 En medlemsstat som avser att ålägga leverantörer av elektroniska kommunikationstjänster en generell och odifferentierad skyldighet att lagra ip‑adresser i syfte att uppnå ett mål som är knutet till bekämpning av brott i allmänhet måste således försäkra sig om att dessa uppgifter lagras under sådana former att det är uteslutet att ip-adresserna och andra uppgifter som lagras med iakttagande av direktiv 2002/58, som skulle göra det möjligt att dra precisa slutsatser om privatlivet för de personer vilkas uppgifter sålunda lagras, kombineras.
84 För att försäkra sig om att det är uteslutet att uppgifterna kombineras och sålunda möjliggör precisa slutsatser om den berörda personens privatliv, måste lagringsformerna avse lagringens själva struktur, som i princip ska vara utformad så, att den garanterar att det råder helt vattentäta skott mellan de olika kategorierna av lagrade uppgifter.
85 I detta avseende ankommer det visserligen på den medlemsstat som avser att ålägga leverantörer av elektroniska kommunikationstjänster en generell och odifferentierad skyldighet att lagra ip-adresser för att uppnå ett mål som är knutet till bekämpning av brott i allmänhet, att i sin lagstiftning föreskriva klara och precisa regler för dessa lagringsformer, vilka måste uppfylla stränga krav. Domstolen får emellertid lämna klarlägganden om dessa lagringsformer.
86 För det första måste de nationella regler som nämns i föregående punkt säkerställa att respektive kategori av uppgifter, inbegripet uppgifter om fysisk identitet och ip-adresser, lagras helt åtskilt från övriga kategorier av lagrade uppgifter.
87 För det andra måste dessa regler säkerställa att det på det tekniska planet säkerställs att de olika kategorierna av lagrade uppgifter (bland annat uppgifter om fysisk identitet, ip-adresser, andra trafikuppgifter än ip-adresser och lokaliseringsuppgifter), är helt åtskilda med vattentäta skott genom ett säkert och tillförlitligt it-system.
88 Såvitt dessa regler föreskriver en möjlighet att – med iakttagande av de krav som följer av artikel 15.1 i direktiv 2002/58, tolkad mot bakgrund av artiklarna 7, 8 och 11 i stadgan – knyta samman de lagrade ip-adresserna med den berörda personens fysiska identitet, får de, för det tredje, endast tillåta att sådan sammanknytning sker med användning av en effektiv teknisk process som inte undergräver de vattentäta skott som råder mellan kategorierna av uppgifter.
89 För det fjärde måste tillförlitligheten av denna uppdelning med vattentäta skott vara föremål för regelbunden kontroll av en annan myndighet än den myndighet som söker åtkomst till de personuppgifter som lagras av leverantörerna av elektroniska kommunikationstjänster.
90 Förutsatt att det i tillämplig nationell lagstiftning föreskrivs sådana stränga krav angående formerna för generell och odifferentierad lagring av ip-adresser och andra uppgifter som lagras av leverantörer av elektroniska kommunikationstjänster, kan inte det ingrepp som följer av en sådan lagring av ip‑adresser, till följd av det sätt på vilket lagringen är utformad, kvalificeras som ”allvarligt”.
91 Om en sådan lagreglering inrättas innebär de sålunda föreskrivna formerna för lagring av ip-adresser att det är uteslutet att dessa uppgifter kan kombineras med andra uppgifter som lagras med iakttagande av direktiv 2002/58 och därigenom göra det möjligt att dra precisa slutsatser om den berörda personens privatliv.
92 Artikel 15.1 i direktiv 2002/58, tolkad mot bakgrund av artiklarna 7, 8 och 11 i stadgan, utgör följaktligen inte hinder för att den berörda medlemsstaten, i syfte att bekämpa brott i allmänhet, ålägger en skyldighet att generellt och odifferentierat lagra ip-adresser, om det föreligger en lagreglering som uppfyller de krav som det redogjorts för i punkterna 86–89 ovan vilken garanterar att det inte genom någon kombination av uppgifter är möjligt att dra precisa slutsatser om den berörda personens privatliv.
93 Såsom framgår av punkt 168 i domen av den 6 oktober 2020, La Quadrature du Net m.fl. (C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791), måste det i en sådan lagreglering föreskrivas en lagringstid som är begränsad till vad som är strängt nödvändigt och den måste, genom klara och precisa regler, säkerställa att lagringen av uppgifterna iakttar tillämpliga materiella och formella villkor, och att berörda personer förfogar över effektiva garantier mot riskerna för missbruk och mot olovlig åtkomst och användning av uppgifterna.
94 Det ankommer på den hänskjutande domstolen att kontrollera huruvida den nationella lagstiftning som är aktuell i det nationella målet uppfyller de krav som det erinrats om i punkterna 85–93 ovan.
De krav som gäller för åtkomst till uppgifter om den fysiska identitet som är förbunden med en ip-adress, vilka lagras av leverantörer av elektroniska kommunikationstjänster
95 Det följer av domstolens praxis att det, avseende brottsbekämpning, endast är ändamålen att bekämpa grov brottslighet eller förebygga allvarliga hot mot allmän säkerhet som kan motivera det allvarliga ingrepp i de grundläggande rättigheterna enligt artiklarna 7 och 8 i stadgan som är följden av myndigheters åtkomst till en uppsättning trafik- eller lokaliseringsuppgifter som kan ge information om den kommunikation som en användare av elektronisk kommunikationsutrustning har utfört eller om platsen där vederbörande har använt terminalutrustning, vilka gör det möjligt att dra precisa slutsatser om de berörda personernas privatliv, såvida inte andra faktorer för att bedöma huruvida ansökan om åtkomst är proportionerlig – såsom under hur lång tid myndigheterna begär åtkomst till de begärda uppgifterna – kan leda till att målet bestående i att förebygga, undersöka, avslöja och lagföra brott i allmänhet kan motivera att sådan åtkomst ska beviljas (dom av den 2 mars 2021, Prokuratuur (Villkor för tillgång till uppgifter om elektronisk kommunikation), C‑746/18, EU:C:2021:152, punkt 35).
96 Däremot kan det ingrepp i de grundläggande rättigheterna enligt artiklarna 7 och 8 i stadgan som är följden av myndigheters åtkomst till uppgifter om fysisk identitet som lagras av leverantörer av elektroniska kommunikationstjänster, utan att dessa uppgifter kan koppas till information om utförda kommunikationer, inte anses som allvarligt, eftersom dessa uppgifter sedda som en helhet inte gör det möjligt att dra några precisa slutsatser om privatlivet för de personer vilkas uppgifter berörs. Denna åtkomst kan därför motiveras av ändamålet att förebygga, undersöka, avslöja och lagföra brott i allmänhet (se, för ett liknande resonemang, dom av den 2 oktober 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkterna 54, 57 och 60).
97 Det ska även tilläggas att enligt en princip som följer av domstolens fasta praxis, kan åtkomst till trafik- och lokaliseringsuppgifter motiveras enligt artikel 15.1 i direktiv 2002/58 endast med hänvisning till det mål av allmänt samhällsintresse som ligger till grund för skyldigheten för leverantörer av elektroniska kommunikationstjänster att lagra uppgifterna, med undantag för om åtkomsten motiveras av ett tyngre vägande mål av allmänt samhällsintresse. Det följer bland annat av denna princip att åtkomst inte får ges med hänvisning till ändamålet att bekämpa brott i allmänhet, när lagringen av uppgifterna har motiverats av ändamålet att bekämpa grov brottslighet eller, än mindre, när lagringen har motiverats av skyddet av nationell säkerhet (se, för ett liknande resonemang, dom av den 6 oktober 2020, La Quadrature du Net m.fl. (C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 166).
98 Ändamålet att bekämpa brott i allmänhet motiverar däremot att det ges åtkomst till lagrade trafik- och lokaliseringsuppgifter som bevarats i den utsträckning och under den tid som krävs för att kunna saluföra tjänster, fakturera för dem och tillhandahålla mervärdestjänster i enlighet med vad som är tillåtet enligt artikel 6 i direktiv 2002/58 (se, för ett liknande resonemang, dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkterna 108 och 167).
99 I förevarande fall framgår det för det första av den nationella lagstiftning som är aktuell i det nationella målet att Hadopi inte har åtkomst till ”en uppsättning trafik- eller lokaliseringsuppgifter”, i den mening som avses i den rättspraxis som nämns i punkt 95 ovan, vilket innebär att myndigheten i princip inte kan dra några precisa slutsatser om de berörda personernas privatliv. Åtkomst som inte gör det möjligt att dra några sådana slutsatser utgör inte något allvarligt ingrepp i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan.
100 Det framgår av denna lagstiftning och av de förklaringar som den franska regeringen har lämnat att den åtkomst som Hadopi ges är strängt avgränsad till vissa uppgifter avseende en ip-adressinnehavares fysiska identitet och är endast tillåten i syfte att möjliggöra identifiering av denne innehavare som misstänks för handlande som utgör intrång i upphovsrätten eller närstående rättigheter genom att olovligen göra skyddade verk tillgängliga på internet i avsikt att de ska laddas ned av andra personer. Syftet med åtkomsten är att, i förekommande fall, kunna vidta någon av de pedagogiska eller repressiva åtgärderna enligt graduated response-förfarandet gentemot ip-adressinnehavaren. De åtgärder som kan komma i fråga är tillställandet av en första och en andra rekommendation och därefter av en underrättelse i vilken ip-adressinnehavaren upplyses om att handlandet kan vara brottsligt i form av förseelsen ”grov oaktsamhet”. Ärendet kan slutligen överlämnas till åklagare för lagföring av den förseelsen eller av brottet upphovsrättsintrång.
101 Dessutom måste det i den nationella lagstiftningen föreskrivas klara och precisa regler som kan säkerställa att de ip-adresser som lagras med iakttagande av direktiv 2002/58 endast kan användas för att identifiera den person som tilldelats en bestämd ip-adress, samtidigt som de utesluter all användning som gör det möjligt att, genom en eller flera ip-adresser, övervaka personens aktivitet på internet. När en ip-adress sålunda används i det enda syftet att – inom ramen för ett specifikt administrativt förfarande som kan utmynna i lagföring av ip‑adressinnehavaren – identifiera vem som är innehavare till adressen och inte i syfte att exempelvis identifiera ip-adressinnehavarens kontakter eller ta reda på var någonstans vederbörande befinner sig, avser åtkomst till ip-adressen uteslutande i detta syfte snarare åtkomst till adressen i form av en uppgift avseende fysisk identitet, än åtkomst till adressen i form av trafikuppgift.
102 Det framgår dessutom av den princip som slagits fast i den rättspraxis som anges i punkt 97 ovan att den åtkomst som Hadopi ges enligt den nationella lagstiftning som är aktuell i det nationella målet, vilken grundar sig på ändamålet att bekämpa brott i allmänhet, endast kan vara motiverad om den avser ip-adresser som leverantörerna av elektroniska kommunikationstjänster måste lagra för detta ändamål och inte för ett tyngre vägande ändamål, såsom bekämpningen av grov brottslighet. Detta påverkar emellertid inte åtkomst som motiveras av ändamålet att bekämpa brott i allmänhet, när åtkomsten avser ip-adresser som lagras och därför bevaras på de villkor som föreskrivs i artikel 6 i direktiv 2002/58.
103 Dessutom kan, såsom framgår av punkterna 85–92 ovan, lagring av ip-adresser som grundar sig på en lagstiftningsåtgärd enligt artikel 15.1 i direktiv 2002/58 i syfte att bekämpa brott i allmänhet, vara motiverad när de genom lagregleringen inrättade formerna för lagringen uppfyller ett antal krav som i huvudsak avser att säkerställa att det råder helt vattentäta skott mellan de olika kategorierna av lagrade uppgifter, så att det är uteslutet att uppgifter i olika kategorier kan kombineras. I de fall där sådana lagringsformer åläggs leverantörer av elektroniska kommunikationstjänster utgör inte en generell och odifferentierad lagring av ip-adresser ett allvarligt ingrepp i ip-adressinnehavarnas privatliv, eftersom dessa uppgifter inte gör det möjligt att dra några precisa slutsatser om deras privatliv.
104 Om det finns en sådan lagreglering kan åtkomst till ip-adresser som lagrats i syfte att bekämpa brott i allmänhet följaktligen, mot bakgrund av den rättspraxis som nämns i punkterna 95–97 ovan, vara motiverad enligt artikel 15.1 i direktiv 2002/58, när åtkomst endast är tillåten i syfte att identifiera en person som är misstänkt för att vara inblandad i sådana brott.
105 Det är för övrigt förenligt med domstolens praxis angående ”rätten till information” i samband med en rättegång om immaterialrättsintrång enligt artikel 8 i direktiv 2004/48 att tillåta att en myndighet såsom Hadopi – i syfte att gentemot en ip-adressinnehavare vidta någon av de åtgärder som föreskrivs enligt graduated response-förfarandet – ges åtkomst till uppgifter om den fysiska identitet som är förbunden med en offentlig ip-adress, som översänts till myndigheten av upphovsrättsorganisationer i det enda syftet att identifiera vem som är innehavare av denna ip-adress vilken använts för handlande på internet som kan utgöra intrång i upphovsrätten eller i närstående rättigheter (se, för ett liknande resonemang, dom av den 29 januari 2008, Promusicae, C‑275/06, EU:C:2008:54, punkt 47 och följande punkter).
106 Enligt denna rättspraxis har domstolen funnit att artikel 8.3 i direktiv 2004/48, jämförd med artikel 15.1 i direktiv 2002/58 och artikel 7 f i direktiv 95/46, inte hindrar att medlemsstaterna föreskriver en skyldighet för leverantörer av elektroniska kommunikationstjänster att lämna ut personuppgifter till enskilda för att dessa ska kunna väcka talan i tvistemål angående upphovsrättsintrång, men att dessa bestämmelser inte heller ålägger medlemsstaterna att föreskriva någon sådan skyldighet – samtidigt som domstolen har understrukit att tillämpningen av åtgärder som föreskrivs i direktiv 2004/48 inte kan påverka dataskyddsförordningen och direktiv 2002/58 (se, för ett liknande resonemang, dom av den 17 juni 2021, M.I.C.M., C‑597/19, EU:C:2021:492, punkterna 124 och 125 samt där angiven rättspraxis).
107 Mot bakgrund av detta kan det inte, för det andra, i samband med den konkreta bedömningen av hur omfattande ingrepp i privatlivet som en myndighets åtkomst till personuppgifter medför, bortses från det specifika sammanhang i vilket åtkomst sker och det kan i synnerhet inte bortses från samtliga uppgifter och information som i enlighet med tillämplig nationell lagstiftning översänts till myndigheten, inbegripet befintliga, innehållsavslöjande uppgifter och information (se, analogt, Europadomstolen, 24 april 2018, Benedik mot Slovenien, CE:ECHR:2018:0424JUD006235714, § 109).
108 I förevarande fall måste det således vid denna bedömning beaktas att Hadopi, före åtkomsten till uppgifter om fysisk identitet, i enlighet med punkt 1° i bilagan till dekret nr 2010‑236 från upphovsrättsorganisationer bland annat tar emot ”information om de skyddade verk eller alster som handlandet avser” och, ”i förekommande fall”, ”filens namn på abonnentens dator”.
109 Det framgår av handlingarna i målet, med förbehåll för den hänskjutande domstolens prövning, att uppgifterna om det aktuella verket, såsom dessa antecknas i ett anmälningsprotokoll vars innehåll slagits fast vid CNIL:s sammanträde den 10 juni 2010, i princip är begränsade till det aktuella verkets titel samt ett utdrag benämnt ”chunk” i form av en alfanumerisk uppsättning och inte någon ljud- eller videoupptagning av verket.
110 Det är i detta avseende visserligen riktigt att det generellt sett inte kan uteslutas att en myndighets åtkomst till ett begränsat antal uppgifter om en ip-adressinnehavares fysiska identitet som meddelats myndigheten av en leverantör av elektroniska kommunikationstjänster i det enda syftet att identifiera innehavaren när ip-adressen använts för handlande som kan utgöra intrång i upphovsrätten eller närstående rättigheter, kan innebära att myndigheten underrättas om vissa aspekter av ip-adressinnehavarens privatliv om denna åtkomst kombineras med en analys av andra, även begränsade, upplysningar om innehållet i det verk som olagligen gjorts tillgängligt på internet, vilka tidigare översänts till myndigheten av upphovsrättsorganisationer; dessa aspekter av ip‑adressinnehavarens privatliv kan inbegripa känslig information, såsom sexuell läggning, politiska åsikter, religiös, filosofisk, samhällelig eller annan övertygelse och hälsotillstånd, vilka är uppgifter som åtnjuter särskilt skydd i unionsrätten.
111 Med hänsyn till uppgifternas beskaffenhet och de begränsade upplysningar som Hadopi har tillgång till, är det i förevarande fall emellertid endast i atypiska fall som dessa skulle kunna avslöja upplysningar om aspekter av den berörda personens privatliv, som eventuellt kan vara känsliga, och vilka sammantagna skulle kunna göra det möjligt för Hadopi att dra precisa slutsatser om vederbörandes privatliv, exempelvis genom att göra en utförlig kartläggning av personen.
112 Detta skulle bland annat kunna vara fallet beträffande en person vars ip-adress vid upprepade tillfällen, eller i stor omfattning, använts i peer-to-peer-nätverk för handlande som utgör intrång i upphovsrätten eller närstående rättigheter, vilket har samband med särskilda typer av skyddade verk som utifrån ord i sina titlar kan knytas samman och därigenom avslöja information, i förekommande fall känslig sådan, om personens privatliv.
113 I förevarande fall finns det emellertid olika omständigheter som gör det möjligt att anse att det ingrepp i privatlivet för en person som misstänks för handlande som utgör intrång i upphovsrätten eller i närstående rättigheter, vilket den lagstiftning som är aktuell i det nationella målet tillåter, inte med nödvändighet uppvisar en hög grad av allvarlighet. För det första är Hadopis åtkomst till personuppgifter enligt nämnda lagstiftning förbehållen ett begränsat antal auktoriserade och bemyndigade tjänsteman vid den myndigheten, som dessutom är ett organ med oberoende ställning i enlighet med artikel L. 331‑12 lagen om immateriella rättigheter. För det andra har åtkomsten till enda syfte att identifiera en person som misstänks för handlande som utgör intrång i upphovsrätten eller i närstående rättigheter, när det har konstaterats att ett skyddat verk olagligen har gjorts tillgängligt från vederbörandes internetuppkoppling. Slutligen är Hadopis åtkomst till de aktuella personuppgifterna strängt avgränsad till de uppgifter som krävs för detta ändamål (se, analogt, Europadomstolen, 17 oktober 2019, López Ribalda m.fl. mot Spanien, CE:ECHR:2019:1017JUD000187413, §§ 126 och 127).
114 En annan omständighet rörande Hadopis åtkomst till personuppgifter som ytterligare kan minska graden av ingrepp i de grundläggande rättigheterna till skydd för privatlivet och till skyddet av personuppgifter, är det faktum att enligt den tillämpliga nationella lagstiftningen är de tjänstemän vid Hadopi som har åtkomst till de aktuella uppgifterna och den aktuella informationen bundna av sekretess, vilket förbjuder dem att röja uppgifterna och informationen i någon som helst form, med undantag för när ärendet överlämnas till åklagare, och att använda uppgifterna och informationen för andra ändamål än att identifiera den ip‑adressinnehavare som misstänks för handlande som utgör intrång i upphovsrätten eller i en närstående rättighet i syfte att gentemot vederbörande vidta åtgärder enligt graduated response-förfarandet. Detta förefaller framgå av handlingarna i målet, men det ankommer på den hänskjutande domstolen att kontrollera att detta är fallet (se, analogt, Europadomstolen, 17 december 2009, Gardel mot Frankrike, CE:ECHR:2009:1217JUD001642805, § 70).
115 Under förutsättning att en nationell lagstiftning uppfyller de villkor som det erinrats om i punkt 101 ovan, möjliggör således inte de ip-adresser som meddelats en myndighet såsom Hadopi en kartläggning av ip-adressinnehavarens klickström, vilket tycks bekräfta slutsatsen att det ingrepp som denna myndighets åtkomst till de identifikationsuppgifter som är aktuella i det nationella målet medför inte kan kvalificeras som allvarligt.
116 För att – i enlighet med det proportionalitetskrav som är föreskrivet i artikel 15.1 första meningen i direktiv 2002/58 – göra den rätta avvägningen mellan de rättigheter och intressen som är aktuella, ska det, för det tredje, hållas i åtanke att även om yttrandefriheten och konfidentialiteten för personuppgifter är primära hänsyn, och användare av tele- och internettjänster måste kunna vara förvissade om att deras privatliv och yttrandefrihet respekteras, så är dessa grundläggande rättigheter emellertid inte absoluta. Vid en avvägning mellan de rättigheter och intressen som är aktuella måste dessa ibland träda tillbaka för andra grundläggande rättigheter och tvingande skäl av allmänintresse, såsom upprätthållande av allmän ordning och förebyggande av brott eller skydd för andras fri- och rättigheter. Detta är i synnerhet fallet när dessa primära hänsyn ges sådan vikt att de kan hindra effektiviteten av en brottsutredning, bland annat genom att göra det omöjligt eller orimligt svårt att identifiera gärningsmannen för ett brott och ådöma vederbörande straff eller påföljd (se, analogt, Europadomstolen, 2 mars 2009, K.U. mot Finland, CE:ECHR:2008:1202JUD000287202, § 49).
117 Det ska i detta sammanhang tas vederbörlig hänsyn till det faktum att, såsom domstolen redan funnit, när det är fråga om brott som begåtts på internet, kan åtkomst till ip-adressen utgöra den enda utredningsmetod som gör det möjligt att identifiera den person som fått sig tilldelad denna adress vid den tidpunkt då brottet begicks (se, för ett liknande resonemang, dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 154).
118 Såsom generaladvokaten har påpekat i punkt 59 i sitt förslag till avgörande av den 28 september 2023, talar denna omständighet för att – med avseende på bekämpning av sådana brott som intrång i upphovsrätt eller i närstående rättigheter på internet – lagring av ip-adresser och åtkomst till dessa adresser är strängt nödvändiga för att uppnå det eftersträvade målet och uppfyller således proportionalitetskravet i artikel 15.1 i direktiv 2002/58, jämförd med skäl 11 i det direktivet och med artikel 52.2 i stadgan.
119 Att inte tillåta sådan åtkomst skulle dessutom, såsom generaladvokaten har påpekat i punkterna 78–80 i sitt förslag till avgörande av den 27 oktober 2022 samt i punkterna 80 och 81 i sitt förslag till avgörande av den 28 september 2023, innebära en verklig risk för systemisk straffrihet för inte enbart sådana brott som intrång i upphovsrätten eller i närstående rättigheter, utan även för andra brott som begås på internet eller vars utförande eller förberedelse underlättas av internets specifika kännetecken. Förekomsten av en sådan risk utgör en relevant omständighet vid bedömningen – som görs i samband med avvägningen mellan de olika rättigheter och intressen som är aktuella – av huruvida ingreppet i de rättigheter som garanteras i artiklarna 7, 8 och 11 i stadgan står i proportion till målet att bekämpa brott.
120 Det är riktigt att en myndighets, såsom Hadopi, åtkomst till uppgifter om fysisk identitet som är förbunden med en ip-adress från vilken ett brott har begåtts på internet inte nödvändigtvis är den enda möjliga utredningsmetoden för att identifiera den person som är innehavare av ip-adressen vid den tidpunkt då brottet begicks. Det skulle nämligen även i princip kunna vara möjligt att identifiera den aktuella ip-adressinnehavaren genom att analysera vederbörandes samlade aktivitet på internet, särskilt genom att analysera de ”spår” som personen lämnat på sociala medier, såsom användarnamn och kontaktuppgifter.
121 Såsom generaladvokaten har påpekat i punkt 83 i sitt förslag till avgörande av den 28 september 2023, skulle emellertid en sådan utredningsmetod vara särskilt integritetskränkande, eftersom den skulle kunna avslöja precisa uppgifter om de berörda personernas privatliv. För dessa personer skulle den således innebära ett ingrepp i de rättigheter som garanteras i artiklarna 7, 8 och 11 i stadgan som är allvarligare än det ingrepp som följer av den lagstiftning som är aktuell i det nationella målet.
122 Det framgår av det anförda att artikel 15.1 i direktiv 2002/58, mot bakgrund av artiklarna 7, 8, 11 och 52.1 i stadgan, ska tolkas så, att den i princip inte utgör hinder för en nationell lagstiftning som tillåter att en myndighet, som har ansvar för att skydda upphovsrätten och närstående rättigheter från intrång i dessa rättigheter på internet, ges åtkomst till uppgifter om den fysiska identitet som är förbunden med ip-adresser – vilka i ett tidigare skede samlats in av upphovsrättsorganisationer och vilka lagras av leverantörer av elektroniska kommunikationstjänster på ett sätt som är separat och med helt vattentäta skott – för det enda ändamålet att myndigheten ska kunna identifiera de ip‑adressinnehavare som misstänks vara ansvariga för sådana intrång och för att, i förekommande fall, vidta åtgärder gentemot dem. I ett sådant fall måste det enligt den nationella lagstiftningen vara förbjudet för de tjänstemän som har sådan åtkomst, för det första, att på något sätt röja information om innehållet i de filer som ip‑adressinnehavarna öppnat, med undantag för överlämnande av ärendet till åklagare, för det andra, på något sätt kartlägga ip-adressinnehavarnas klickströmmar och, för det tredje, använda ip-adresserna för andra ändamål än vidtagandet av dessa åtgärder.
Kravet att en domstol eller ett oberoende förvaltningsorgan ska göra en kontroll innan en myndighet ges åtkomst till uppgifter om fysisk identitet som är förbunden med en ip-adress.
123 Frågan är emellertid huruvida myndighetens åtkomst till uppgifter om den fysiska identitet som är förbunden med en ip-adress dessutom ska vara underkastad förhandskontroll av en domstol eller ett oberoende förvaltningsorgan.
124 För att garantera att de villkor som medlemsstaterna är skyldiga att föreskriva för att se till att åtkomsten är begränsad till vad som är strängt nödvändigt är uppfyllda i praktiken, har domstolen funnit att det är ”väsentligt” att behöriga nationella myndigheters åtkomst till trafik- och lokaliseringsuppgifter är underkastad en förhandskontroll av en domstol eller ett oberoende förvaltningsorgan (se, för ett liknande resonemang, dom av den 21 december 2016, Tele2 Sverige och Watson m.fl., C‑203/15 och C‑698/15, EU:C:2016:970, punkt 120, dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 189, dom av den 2 mars 2021, Prokuratuur (Villkor för tillgång till elektroniska kommunikationer), C‑746/18, EU:C:2021:152, punkt 51, och dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 106).
125 En sådan förhandskontroll kräver för det första att den domstol eller det oberoende förvaltningsorgan som ska utföra denna kontroll har alla befogenheter och lämnar alla nödvändiga garantier för att kunna göra en avvägning mellan de olika legitima intressen och rättigheter som är aktuella. Vad särskilt gäller en brottsutredning kräver en sådan kontroll att domstolen eller förvaltningsorganet kan säkerställa den rätta avvägningen mellan de legitima intressen som inom ramen för brottsbekämpning gör sig gällande för att svara mot utredningens behov, å ena sidan, och de grundläggande rättigheter avseende respekt för privatlivet och skydd av personuppgifter som tillkommer de personer vars uppgifter åtkomsten avser, å andra sidan (dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 107 och där angiven rättspraxis).
126 För det andra ska det oberoende förvaltningsorganet ha en ställning som innebär att det kan fullgöra sitt uppdrag på ett objektivt och opartiskt sätt, och det måste därför vara fritt från all yttre påverkan, när kontrollen inte utförs av en domstol utan av ett förvaltningsorgan. Det krav på oavhängighet som det organ som ansvarar för sådan förhandskontroll ska uppfylla innebär således att det måste vara fristående i förhållande till den myndighet som begär åtkomst till uppgifterna, så att organet kan utöva sin kontroll på ett objektivt och opartiskt sätt utan yttre påverkan. På det straffrättsliga området innebär kravet på oavhängighet i synnerhet att den myndighet som ska utföra förhandskontrollen dels inte får vara involverad i den aktuella brottsutredningen, dels ska ha en neutral ställning i förhållande till parterna i det straffrättsliga förfarandet (dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 108 och där angiven rättspraxis).
127 För det tredje ska den oberoende kontroll som krävs enligt artikel 15.1 i direktiv 2002/58 ske innan åtkomst ges till de berörda uppgifterna, utom i vederbörligen motiverade brådskande fall. I sådana fall ska kontrollen genomföras utan dröjsmål. En senare kontroll uppnår nämligen inte det mål som eftersträvas med en förhandskontroll, det vill säga att förhindra att åtkomst till de aktuella uppgifterna beviljas utöver vad som är strängt nödvändigt (dom av den 5 april 2022, Commissioner of An Garda Síochána m.fl., C‑140/20, EU:C:2022:258, punkt 110).
128 Såsom framgår av den rättspraxis som det erinrats om i punkt 124 ovan har domstolen visserligen funnit att det är ”väsentligt” att behöriga nationella myndigheters åtkomst till trafik- och lokaliseringsuppgifter är underkastad förhandskontroll av en domstol eller ett oberoende förvaltningsorgan. Denna rättspraxis har emellertid utvecklats i ett sammanhang som kännetecknas av nationella åtgärder som, i syfte att bekämpa grov brottslighet, medgav generell åtkomst till samtliga lagrade trafik- och lokaliseringsuppgifter, oberoende av huruvida det fanns något, ens indirekt, samband med det eftersträvade målet och vilka sålunda medförde allvarliga och till och med ”synnerligen allvarliga” ingrepp i de aktuella grundläggande rättigheterna.
129 När det däremot var fråga om under vilka förutsättningar som åtkomst till uppgifter om fysisk identitet kunde motiveras enligt artikel 15.1 i direktiv 2002/58, tolkad mot bakgrund av artiklarna 7, 8 och 11 i stadgan, gjorde domstolen inte någon uttrycklig hänvisning till kravet på förhandskontroll (se, för ett liknande resonemang, dom av den 2 oktober 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkterna 59, 60 och 62, dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkterna 157 och 158, och dom av den 2 mars 2021, Prokuratuur (Villkor för tillgång till uppgifter om elektroniska kommunikationer), C‑746/18, EU:C:2021:152, punkt 34).
130 Artikel 15.1 första meningen i direktiv 2002/58 kräver att proportionalitetsprincipen iakttas och av domstolens praxis angående denna princip – i synnerhet den praxis enligt vilken medlemsstaternas möjlighet att motivera en begränsning av de rättigheter och skyldigheter som föreskrivs i bland annat artiklarna 5, 6 och 9 i det direktivet ska bedömas med hänsyn till hur allvarligt det ingrepp är som en sådan begränsning medför för de grundläggande rättigheterna enligt artiklarna 7, 8 och 11 i stadgan, samtidigt som det kontrolleras att betydelsen av det mål av allmänt samhällsintresse som eftersträvas med denna begränsning står i proportion till hur allvarligt ingreppet är (dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkt 131) – framgår följande. Den grad av ingrepp i de berörda grundläggande rättigheterna som den aktuella åtkomsten till personuppgifter medför, samt dessa personuppgifters grad av känslighet, måste även inverka på de materiella och processuella garantier som denna åtkomst ska vara föremål för, däribland kravet på förhandskontroll av en domstol eller ett oberoende förvaltningsorgan.
131 Mot bakgrund av proportionalitetsprincipen ska det följaktligen anses att kravet på förhandskontroll av en domstol eller ett oberoende förvaltningsorgan gäller när, i ett fall där det i en nationell lagstiftning föreskrivs att en myndighet ges åtkomst till personuppgifter, denna åtkomst medför en risk för ett allvarligt ingrepp i den berörda personens grundläggande rättigheter, i den betydelsen att åtkomsten skulle kunna göra det möjligt för myndigheten att dra precisa slutsatser om den personens privatliv och, i förekommande fall, göra en utförlig kartläggning av vederbörande.
132 Omvänt är kravet på förhandskontroll inte tillämpligt när det ingrepp i de berörda grundläggande rättigheterna som en myndighets åtkomst till personuppgifter medför, inte kan kvalificeras som allvarligt.
133 Detta är fallet beträffande åtkomst till uppgifter om den fysiska identiteten hos användare av elektroniska kommunikationsmedel för det enda ändamålet att identifiera den berörda användaren, utan att uppgifterna kan kopplas till information om de kommunikationer som har ägt rum, eftersom det ingrepp som en sådan behandling av dessa uppgifter medför enligt domstolens praxis i princip inte kan kvalificeras som allvarligt (se, för ett liknande resonemang, dom av den 6 oktober 2020, La Quadrature du Net m.fl. (C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkterna 157 och 158).
134 Av detta följer att när ett sådant lagringssystem som det som beskrivits i punkterna 86–89 ovan har inrättats, är myndighetens åtkomst till uppgifter om den fysisk identitet som är förbunden med de i enlighet med detta system lagrade ip‑adresserna i princip inte underkastad kravet på förhandskontroll av en domstol eller ett oberoende förvaltningsorgan.
135 Såsom det redan konstaterats i punkterna 110 och 111 ovan, kan det inte, i atypiska fall, uteslutas att de begränsade uppgifter och den begränsade information som gjorts tillgänglig för en myndighet inom ramen för ett sådant förfarande som graduated response-förfarandet kan lämna upplysningar, i förekommande fall känsliga upplysningar, om aspekter av den berörda personens privatliv, vilka sammantagna skulle kunna göra det möjligt för myndigheten att dra precisa slutsatser om denna persons privatliv och, i förekommande fall, att göra en utförlig kartläggning av vederbörande.
136 Såsom framgår av punkt 112 ovan, kan en sådan risk för respekten för privatlivet uppkomma när en person i peer-to-peer-nätverk, vid upprepade tillfällen, eller i stor omfattning, utför handlande som utgör intrång i upphovsrätten eller i närstående rättigheter, vilket har samband med särskilda typer av skyddade verk som utifrån ord i sina titlar kan knytas samman och därigenom avslöja information, i förekommande fall känslig sådan, om personens privatliv.
137 I förevarande fall kan, inom ramen för det administrativa graduated response-förfarandet, en ip-adressinnehavare vara särskilt utsatt för en sådan risk för respekten för privatlivet när förfarandet nått det skede där Hadopi ska avgöra huruvida ärendet ska överlämnas till åklagare för lagföring av ip-rättsinnehavaren för handlande som kan utgöra förseelsen grov oaktsamhet eller brottet upphovsrättsintrång.
138 Överlämnandet av ärendet till åklagare förutsätter nämligen att en ip‑adressinnehavare redan fått två rekommendationer samt en formell underrättelse om att vederbörandes handlade kan bli föremål för lagföring. Dessa åtgärder innebär att Hadopi vid varje tillfälle haft åtkomst till uppgifter om den fysiska identiteten för innehavaren av den ip-adress som använts för handlande som utgör intrång i upphovsrätten eller i närstående rättigheter samt en fil avseende verket, vilken huvudsakligen innehåller verkets titel.
139 Det kan emellertid inte uteslutas att de uppgifter som lämnas under de olika stegen i graduated response-förfarandet, betraktade tillsammans och allteftersom förfarandet fortskrider, kan avslöja samstämmig och, i förekommande fall, känslig information om aspekter av den berörda personens privatliv, vilka gör det möjligt att, i förekommande fall, kartlägga vederbörande.
140 Ingreppet i rätten till respekt för privatlivet kan således bli allt mer långtgående allteftersom de olika stegen i graduated response-förfarandet genomförs.
141 I förevarande kan Hadopis åtkomst till samtliga uppgifter om den berörda personen som samlats in under de olika stegen i detta förfarande, genom att de knyts samman med varandra, göra det möjligt att dra precisa slutsatser om vederbörandes privatliv. Med avseende på ett sådant förfarande som det graduated response-förfarande som är aktuellt i det nationella målet, måste det därför i den nationella lagstiftningen också föreskrivas att det, under ett visst steg av detta förfarande, genomförs en förhandskontroll av en domstol eller ett oberoende förvaltningsorgan, som uppfyller kraven i punkterna 125–127 ovan, för att utesluta riskerna för oproportionerliga ingrepp i den berörda personens grundläggande rättigheter till respekt för privatlivet och skydd av personuppgifter. Detta innebär i praktiken att en sådan kontroll måste ske innan Hadopi kan knyta samman uppgifter om en persons fysiska identitet (som redan varit föremål för två rekommendationer), vilka erhållits från en leverantör av elektroniska kommunikationstjänster, med en ip-adress och filen avseende det verk som gjorts tillgängligt på internet för nedladdning av andra personer. Denna kontroll måste således ske innan den underrättelse som avses i artikel R-331-40 lagen om immateriella rättigheter skickas, i vilken det konstateras att personen i fråga har ägnat sig åt handlingar som kan utgöra brottet grov oaktsamhet. Det är först efter det att en sådan förhandskontroll av en domstol eller ett oberoende förvaltningsorgan har genomförts och domstolen eller organet lämnat sitt tillstånd som Hadopi kan sända en sådan underrättelse och därefter, i förekommande fall, överlämna ärendet till åklagare för lagföring.
142 Hadopi ska ha rätt att avgöra i vilka fall den berörda ip-adressinnehavaren har nått detta tredje steg i graduated response-förfarandet. Detta förfarande ska således vara utformat och strukturerat på ett sådant sätt att de uppgifter om en persons fysiska identitet som är förbunden med ip-adresser som tidigare samlats in på internet, vilka erhållits från leverantörer av elektroniska kommunikationstjänster, inte – av de tjänstemän som handlägger ärenden hos Hadopi – med automatik kan knytas samman med de filer som innehåller information som kan avslöja titlarna på de skyddade verk vars tillgängliggörande på internet motiverade att ip‑adresserna samlades in.
143 Den sammanknytning som är nödvändig för det tredje steget i graduated response-förfarandet måste således avbrytas i ett fall där det är fråga om en eventuell upprepning av ett handlande som utgör intrång i upphovsrätten eller i närstående rättigheter, när insamlingen av nämnda uppgifter om fysisk identitet innebär att det krav på förhandskontroll av en domstol eller ett oberoende förvaltningsorgan som beskrivs i punkt 141 ovan blir tillämpligt.
144 Den anpassning av kravet på förhandskontroll som beskrivits i punkterna 141– 143 ovan, vilket innebär att en sådan kontroll är begränsad till det tredje steget i graduated response-förfarandet och inte tillämpas under de föregående stegen, gör det också möjligt att ta hänsyn till argumentet om värnandet av förfarandets praktiska genomförbarhet vilket, i synnerhet under de steg som föregår utskicket av underrättelsen och, i förekommande fall, överlämnande av ärendet till åklagare, kännetecknas av ett mycket stort antal ansökningar om åtkomst från myndigheten till följd av att det lika stort antal anmälningsprotokoll som myndigheten mottar från upphovsrättsorganisationerna.
145 Beträffande föremålet för den förhandskontroll som avses i punkterna 141–143 ovan, följer det av den rättspraxis som det erinrats om i punkterna 95 och 96 ovan att i de fall där den berörda personen misstänks för att ha begått förseelsen ”grov oaktsamhet” enligt artikel R. 335-5 i lagen om immateriella rättigheter, som faller inom kategorin brott i allmänhet, ska den domstol eller det oberoende förvaltningsorgan som ansvarar för denna kontroll neka åtkomst när sådan åtkomst skulle göra det möjligt för den myndighet som begärt åtkomst att dra precisa slutsatser om den berörda personens privatliv.
146 I de fall där de omständigheter som kommit till domstolens eller det oberoende förvaltningsorganets kännedom ger grund för misstanken att den berörda personen har begått brottet upphovsrättsintrång enligt artikel L. 335-2 lagen om immateriella rättigheter eller enligt artikel L. 335-4 i samma lag, är däremot en åtkomst som gör det möjligt att dra sådana precisa slutsatser tillåten, eftersom en medlemsstat får anse att ett sådant brott, såvitt det undergräver ett grundläggande samhällsintresse, faller inom kategorin grov brottslighet.
147 Slutligen, beträffande det sätt på vilket denna förhandskontroll ska genomföras, anser den franska regeringen att det – med hänsyn till att Hadopis åtkomst till de aktuella uppgifterna i synnerhet kännetecknas av dess mycket stora omfattning – är lämpligt att förhandskontrollen, om sådan erfordras, är fullständigt automatiserad. Enligt den franska regeringen syftar en sådan fullständigt objektiv kontroll till att i huvudsak kontrollera huruvida anmälningsprotokollet till Hadopi innehåller alla upplysningar och uppgifter som krävs, utan att myndigheten gör någon bedömning av dem.
148 Förhandskontrollen kan emellertid inte i något fall vara fullständigt automatiserad. Såsom framgår av rättspraxis (se punkt 125 ovan), avseende en brottsutredning, krävs det nämligen i vart fall att en sådan kontroll ger domstolen eller det berörda förvaltningsorganet möjlighet att finna den rätta avvägningen mellan, å ena sidan, de legitima intressena av att tillgodose de behov som föranleds av en brottsbekämpande utredning och, å andra sidan, de grundläggande rättigheterna till respekt för privatlivet och skydd av personuppgifter för de personer vars uppgifter berörs av åtkomsten.
149 En sådan avvägning mellan legitima intressen och grundläggande rättigheter kräver nämligen ett ingripande från en fysisk person, något som är av än större vikt när den automatiserade och omfattande behandlingen av uppgifter som är aktuell medför risker för respekten för privatlivet.
150 En helt automatiserad kontroll är dessutom i princip inte ägnad att säkerställa att åtkomsten inte går utöver vad som är strängt nödvändigt och att de personer vars personuppgifter berörs har effektiva garantier mot riskerna för missbruk samt mot olovlig åtkomst till och användning av dessa uppgifter.
151 Även om automatiserade kontroller kan göra det möjligt att kontrollera vissa uppgifter i anmälningsprotokollen från upphovsrättsorganisationerna, måste sådana kontroller under alla omständigheter gå hand i hand med kontroller som utförs genom fysiska personers försorg, personer som fullständigt uppfyller de krav som det erinrats om i punkterna 125–127 ovan.
De materiella och processuella villkor samt de skyddsåtgärder mot missbruk och olovlig åtkomst till och användning av uppgifterna som gäller för en myndighets åtkomst till uppgifter om den fysiska identitet som är förenade med en ip-adress
152 Det framgår av domstolens praxis att en åtkomst till personuppgifter endast är förenlig med proportionalitetskravet i artikel 15.1 i direktiv 2002/58 om det i den lagstiftningsåtgärd genom vilken det lämnas tillstånd genom klara och precisa bestämmelser föreskrivs att åtkomsten är underkastad kravet att tillämpliga materiella och formella villkor iakttas, att de berörda personerna förfogar över effektiva skyddsregler mot riskerna för åtkomst till eller användning av uppgifterna som är olovlig eller utgör missbruk (se, för ett liknande resonemang, dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, EU:C:2020:791, punkterna 132 och 173, och dom av den 2 mars 2021, Prokuratuur (Villkor för tillgång till uppgifter om elektronisk kommunikation), C‑746/18, EU:C:2021:152, punkt 49 och där angiven rättspraxis).
153 Såsom domstolen har understrukit är behovet av sådana skyddsregler än viktigare när personuppgifterna är föremål för automatiserad behandling (dom av den16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkt 176 och där angiven rättspraxis).
154 Som svar på en fråga från domstolen inför förhandlingen den 5 juli 2022, bekräftade den franska regeringen att, såsom för övrigt framgår av artikel L. 331‑29 i lagen om immateriella rättigheter, Hadopis åtkomst till uppgifter om fysisk identitet inom ramen för graduated response-förfarandet bygger på en i huvudsak automatiserad databehandling, vilken förklaras av det stora antalet intrång i upphovsrätten som konstateras i peer-to-peer-nätverk av upphovsrättsorganisationerna och som översänds till Hadopi i form av anmälningsprotokoll.
155 Det framgår särskilt av handlingarna i målet att i samband med denna databehandling kontrollerar tjänstemännen vid Hadopi, huvudsakligen på automatiserad väg och utan att göra någon bedömning av det aktuella handlandet, huruvida de anmälningsprotokoll som myndigheten mottagit innehåller alla upplysningar och all information som anges i punkt 1° i bilagan till dekret nr 2010‑236 – i synnerhet olagligt tillgängliggörande på internet och de ip‑adresser som använts för detta ändamål. Sådan behandling måste emellertid gå hand i hand med kontroller som utförs genom fysiska personers försorg.
156 Sådan automatiserad behandling kan innefatta ett visst antal falska positiva fall och i synnerhet innebära en risk för att utomstående kommer över ett potentiellt sett mycket stort antal personuppgifter i syfte att missbruka eller olovligen använda dem. Det är därför viktigt att det genom en lagstiftningsåtgärd föreskrivs att det databehandlingssystem som myndigheten använder med regelbundna intervaller kontrolleras av ett oberoende organ som är fristående från myndigheten. Denna kontroll ska omfatta systemets integritet, inbegripet att det finns effektiva skyddsåtgärder mot riskerna för missbruk och mot olovlig åtkomst till och användning av uppgifter, samt att systemet på ett effektivt och tillförlitligt sätt kan upptäcka handlande som, om det upprepas, kan kvalificeras som grov oaktsamhet eller upphovsrättsintrång.
157 Det ska slutligen tilläggas att en personuppgiftsbehandling som utförs av en myndighet, såsom den behandling som utförs av Hadopi inom ramen för graduated response-förfarandet, ska följa specialbestämmelserna om skydd för personuppgifter i direktiv 2016/680, vars syfte enligt artikel 1 i det direktivet är att fastställa bestämmelser om skydd för fysiska personer med avseende på personuppgiftsbehandling som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
158 Det är riktigt att Hadopi enligt tillämplig nationell rätt saknar egna beslutsbefogenheter, men Hadopi ska kvalificeras som ”offentlig myndighet”, i den mening som avses i artikel 3 i direktiv 2016/680, inblandad i att förebygga och avslöja brott i form av ”grov oaktsamhet” eller ”upphovsrättsintrång”, när Hadopi inom ramen för graduated response-förfarandet behandlar personuppgifter och vidtar åtgärder såsom att tillställa den berörda personen en rekommendation eller en underrättelse beroende på om handlandet kan bli föremål för lagföring eller inte. Hadopi omfattas således av direktivets tillämpningsområde i enlighet med dess artikel 1.
159 Den franska regeringen har i detta avseende, som svar på en fråga från domstolen inför förhandlingen den 5 juli 2022, angett att eftersom de åtgärder som Hadopi vidtar inom ramen för graduated response-förfarandet ”omedelbart föregår ett brottmålsförfarande och har direkt samband med ett domstolsförfarande”, omfattas Hadopis system för hantering av åtgärder för skydd av verk på internet, såsom framgår av den hänskjutande domstolens praxis, av de bestämmelser i nationell rätt som syftar till att införliva direktiv 2016/680.
160 En sådan behandling av personuppgifter som Hadopi utför omfattas däremot inte av dataskyddsförordningens tillämpningsområde. I artikel 2.2 d i dataskyddsförordningen föreskrivs nämligen att denna förordning inte ska tillämpas på personuppgiftsbehandling som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
161 Såsom generaladvokaten har påpekat i punkt 104 i sitt förslag till avgörande av den 27 oktober 2022 är Hadopi således skyldig att iaktta direktiv 2016/680 inom ramen för graduated response-förfarandet. De personer som är inblandade i ett sådant förfarande måste därför omfattas av ett antal materiella och processuella skyddsregler som omfattar rätten att få åtkomst till, rätta och radera personuppgifter som behandlas av Hadopi samt möjligheten att inge ett klagomål till en oberoende tillsynsmyndighet, i förekommande fall, följt av ett rättsmedel vid domstol som kan anlitas enligt de förutsättningar som gäller enligt allmänna rättsregler.
162 I detta sammanhang framgår det av den nationella lagstiftning som är aktuell i det nationella målet att, inom ramen för graduated response-förfarandet, omfattas mottagaren av rekommendationer och underrättelser av vissa processuella skyddsregler, såsom rätten att yttra sig, rätten att få ytterligare upplysningar om den brottsliga gärning som läggs vederbörande till last och, när det är fråga om underrättelser, rätten att begära att bli hörd vid ett sammanträde och biträdas av ett ombud. Dessa processuella skyddsregler inträder mer specifikt i samband med utsändandet av den andra rekommendationen och i samband med den därpå följande underrättelsen om att det handlande som konstaterats kan vara brottsligt.
163 Det ankommer under alla omständigheter på den hänskjutande domstolen att pröva huruvida samtliga materiella och processuella skyddsregler i direktiv 2016/680 föreskrivs i den nationella lagstiftningen.
164 Mot bakgrund av det anförda ska de tre tolkningsfrågorna besvaras enligt följande. Artikel 15.1 i direktiv 2002/58, jämförd med artiklarna 7, 8, 11 och 52.1 i stadgan, ska tolkas så, att den inte utgör hinder för en nationell lagstiftning som ger den myndighet som ansvarar för skyddet av upphovsrätt och närstående rättigheter mot intrång på internet åtkomst till uppgifter, som lagrats av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster, avseende den fysiska identitet som är förbunden med ip-adresser som i ett tidigare skede samlats in av upphovsrättsorganisationer, för att denna myndighet ska kunna identifiera innehavarna av de ip-adresser som använts för handlande som kan utgöra sådana intrång, och för att myndigheten, i förekommande fall, ska kunna vidta åtgärder mot dem, under förutsättning att denna lagstiftning föreskriver
– att uppgifterna ska lagras under förutsättningar och i tekniska former som säkerställer att det är uteslutet att lagringen kan göra det möjligt att dra precisa slutsatser om ip-adressinnehavarnas privatliv, såsom exempelvis genom att göra en utförlig kartläggning av dem; detta kan i synnerhet uppnås genom att leverantörerna av elektroniska kommunikationstjänster åläggs en skyldighet att – under en tid som inte överstiger vad som är strängt nödvändigt – lagra olika kategorier av personuppgifter, såsom uppgifter om fysisk identitet och ip‑adresser samt trafik- och lokaliseringsuppgifter, på ett sådant sätt att det garanteras att det råder helt vattentäta skott mellan de olika uppgiftskategorierna, vilket hindrar att de kan kombineras med varandra i lagringsskedet,
– att myndighetens åtkomst till sådana på ett separat sätt och med helt vattentäta skott lagrade uppgifter endast tjänar till att identifiera den person som misstänks för brott och är förenad med erforderliga garantier för att säkerställa att åtkomsten till uppgifterna inte, annat än i atypiska fall, gör det möjligt att dra precisa slutsatser om ip-adressinnehavarnas privatliv, exempelvis genom att göra en utförlig kartläggning av dem; detta innebär i synnerhet att följande måste vara förbjudet för de tjänstemän vid myndigheten som har sådan åtkomst: röjandet, i vilken form som helst, av upplysningar om innehållet i de filer som öppnats av ip-adressinnehavarna, med undantag för i uteslutande syfte att överlämna ärendet till åklagare; kartläggning av ip‑adressinnehavarnas klickströmmar; och, mer allmänt, användning av ip‑adresserna för andra ändamål än att identifiera vem som är innehavare till adresserna i syfte att eventuellt vidta åtgärder gentemot vederbörande,
– att möjligheten för de personer vid myndigheten som utreder ärenden att knyta samman sådana uppgifter med filer som innehåller information som gör det möjligt att få kännedom om titeln på det skyddade verk vars tillgängliggörande på internet motiverat att upphovsrättsorganisationen samlat in ip-adressen är – i fall där samma person upprepat ett handlande som utgör intrång i upphovsrätten eller i närstående rättigheter – underkastad en kontroll av en domstol eller ett oberoende förvaltningsorgan; en sådan kontroll får inte vara fullständigt automatiserad och måste utföras innan någon sådan sammanknytning av uppgifter och filer äger rum, då denna sammanknytning, under sådana förutsättningar, kan göra det möjligt att dra precisa slutsatser om privatlivet för den person vars ip-adress har använts för handlande som kan utgöra intrång i upphovsrätten eller i närstående rättigheter,
– att myndighetens databehandlingssystem, med regelbundna intervaller, är föremål för kontroller genomförda av ett oberoende organ som är fristående från myndigheten, vilka syftar till att kontrollera systemets integritet, inbegripet de effektiva skyddsåtgärderna mot riskerna för sådan åtkomst till och sådan användning av uppgifter som är olovlig eller utgör missbruk, samt systemets effektivitet och tillförlitlighet när det gäller att upptäcka eventuella överträdelser.
Rättegångskostnader
165 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.
Mot denna bakgrund beslutar domstolen (plenum) följande:
Artikel 15.1 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009, jämförd med artiklarna 7, 8, 11 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna,
ska tolkas så,
att den inte utgör hinder för en nationell lagstiftning som ger den myndighet som ansvarar för skyddet av upphovsrätt och närstående rättigheter mot intrång på internet åtkomst till uppgifter, som lagrats av leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster, avseende den fysiska identitet som är förbunden med ip-adresser som i ett tidigare skede samlats in av upphovsrättsorganisationer, för att myndigheten ska kunna identifiera innehavarna av de ip-adresser som använts för handlande som kan utgöra sådana intrång, och för att myndigheten, i förekommande fall, ska kunna vidta åtgärder mot nämnda ip-adressinnehavare, under förutsättning att denna lagstiftning föreskriver
– att uppgifterna ska lagras under förutsättningar och i tekniska former som säkerställer att det är uteslutet att lagringen kan göra det möjligt att dra precisa slutsatser om ip-adressinnehavarnas privatliv, såsom exempelvis genom att göra en utförlig kartläggning av dem; detta kan i synnerhet uppnås genom att leverantörerna av elektroniska kommunikationstjänster åläggs en skyldighet att – under en tid som inte överstiger vad som är strängt nödvändigt – lagra olika kategorier av personuppgifter, såsom uppgifter om fysisk identitet och ip-adresser samt trafik- och lokaliseringsuppgifter, på ett sådant sätt att det garanteras att det råder helt vattentäta skott mellan de olika uppgiftskategorierna, vilket hindrar att de kan kombineras med varandra i lagringsskedet,
– att myndighetens åtkomst till sådana på ett separat sätt och med helt vattentäta skott lagrade uppgifter endast tjänar till att identifiera den person som misstänks för brott och är förenad med erforderliga garantier för att säkerställa att åtkomsten till uppgifterna inte, annat än i atypiska fall, gör det möjligt att dra precisa slutsatser om ip-adressinnehavarnas privatliv, exempelvis genom att göra en utförlig kartläggning av dem; detta innebär i synnerhet att följande måste vara förbjudet för de tjänstemän vid myndigheten som har sådan åtkomst: röjandet, i vilken form som helst, av upplysningar om innehållet i de filer som öppnats av ip-adressinnehavarna, med undantag för i uteslutande syfte att överlämna ärendet till åklagare; kartläggning av ip-adressinnehavarnas klickströmmar; och, mer allmänt, användning av ip-adresserna för andra ändamål än att identifiera vem som är innehavare till adresserna i syfte att eventuellt vidta åtgärder gentemot vederbörande,
– att möjligheten för de personer vid myndigheten som utreder ärenden att knyta samman sådana uppgifter med filer som innehåller information som gör det möjligt att få kännedom om titeln på det skyddade verk vars tillgängliggörande på internet motiverat att upphovsrättsorganisationen samlat in ip-adressen är – i fall där samma person upprepat ett handlande som utgör intrång i upphovsrätten eller i närstående rättigheter – underkastad en kontroll av en domstol eller ett oberoende förvaltningsorgan; en sådan kontroll får inte vara fullständigt automatiserad och måste utföras innan någon sådan sammanknytning av uppgifter och filer äger rum, då denna sammanknytning, under sådana förutsättningar, kan göra det möjligt att dra precisa slutsatser om privatlivet för den person vars ip-adress har använts för handlande som kan utgöra intrång i upphovsrätten eller i närstående rättigheter,
– att myndighetens databehandlingssystem, med regelbundna intervaller, är föremål för kontroller genomförda av ett oberoende organ som är fristående från myndigheten, vilka syftar till att kontrollera systemets integritet, inbegripet de effektiva skyddsåtgärderna mot riskerna för sådan åtkomst till och sådan användning av uppgifter som är olovlig eller utgör missbruk, samt systemets effektivitet och tillförlitlighet när det gäller att upptäcka eventuella överträdelser.
Underskrifter