CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:711

Voorlopige editie

CONCLUSIE VAN ADVOCAAT-GENERAAL

M. SZPUNAR

van 28 september 2023 (1)

Zaak C‑470/21

La Quadrature du Net,

Fédération des fournisseurs d’accès à Internet associatifs,

Franciliens.net,

French Data Network

tegen

Premier ministre,

Ministère de la Culture

[verzoek van de Conseil d’État (hoogste bestuursrechter, Frankrijk) om een prejudiciële beslissing]

„Prejudiciële verwijzing – Verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Richtlijn 2002/58/EG – Artikel 15, lid 1 – Mogelijkheid voor de lidstaten om de reikwijdte van bepaalde rechten en plichten te beperken – Verplichting tot voorafgaande toetsing door een rechterlijke instantie of onafhankelijke administratieve entiteit met dwingende bevoegdheden – Met een IP-adres overeenkomende gegevens over de burgerlijke identiteit”

I. Inleiding

1. Op verzoek van de Grote kamer, gedaan overeenkomstig artikel 60, lid 3, van het Reglement voor de procesvoering van het Hof, heeft het Hof op 7 maart 2023 besloten de onderhavige zaak naar de voltallige zitting te verwijzen.

2. Bij beschikking van 23 maart 2023 heeft het Hof (Voltallige zitting) de mondelinge behandeling heropend en de in artikel 23 van het Statuut van het Hof van Justitie van de Europese Unie bedoelde belanghebbenden, de Europese Toezichthouder voor gegevensbescherming (EDPS) en het Agentschap van de Europese Unie voor cyberbeveiliging (Enisa) verzocht deel te nemen aan een nieuwe terechtzitting.

3. Op 27 oktober 2022, vóór de sluiting van de mondelinge behandeling, heb ik mijn eerste conclusie in deze zaak genomen. De onderhavige nieuwe conclusie biedt mij dan ook de gelegenheid om dieper in te gaan op bepaalde onderdelen van mijn redenering in deze zaak, die betrekking heeft op belangrijke kwesties die verband houden met de bewaring van en de toegang tot persoonsgegevens.

II. Toepasselijke bepalingen

A. Unierecht

4. In de overwegingen 2, 6, 7, 11, 22, 26 en 30 van richtlijn 2002/58/EG(2) staat te lezen:

„(2) Deze richtlijn strekt tot eerbiediging van de grondrechten en beginselen die tot uitdrukking zijn gebracht in met name het Handvest van de grondrechten van de Europese Unie [(hierna: ‚Handvest’)]. In het bijzonder strekt deze richtlijn tot volledige eerbiediging van de in de artikelen 7 en 8 [van het Handvest] bedoelde rechten [...].

[...]

(6) Het internet vervangt traditionele marktstructuren door te voorzien in een gemeenschappelijke, wereldwijde infrastructuur voor de levering van een breed scala van elektronische-communicatiediensten. Algemeen beschikbare elektronische-communicatiediensten via het internet bieden de gebruikers nieuwe mogelijkheden, maar houden ook nieuwe gevaren in voor de bescherming van hun persoonsgegevens en persoonlijke levenssfeer.

(7) Voor openbare communicatienetwerken moeten specifieke wettelijke, bestuursrechtelijke en technische bepalingen worden vastgesteld teneinde de fundamentele rechten en vrijheden van natuurlijke personen en de rechtmatige belangen van rechtspersonen te beschermen tegen met name de steeds grotere mogelijkheden in verband met de geautomatiseerde opslag en verwerking van gegevens met betrekking tot de abonnees en de gebruikers.

[...]

(11) Deze richtlijn is evenmin [als] richtlijn 95/46/EG^[(3)^]van toepassing op vraagstukken met betrekking tot de bescherming van fundamentele rechten en vrijheden in verband met niet onder het gemeenschapsrecht vallende activiteiten. Zij verandert bijgevolg niets aan het bestaande evenwicht tussen het recht van personen op persoonlijke levenssfeer en de mogelijkheid voor de lidstaten om de in artikel 15, lid 1, van deze richtlijn bedoelde maatregelen te nemen, die nodig zijn voor de bescherming van de openbare veiligheid, defensie, staatsveiligheid (met inbegrip van het economisch welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid) en de wetshandhaving op strafrechtelijk gebied. Bijgevolg doet deze richtlijn geen afbreuk aan de mogelijkheid voor de lidstaten om wettelijk toegestane interceptie van elektronische communicatie uit te voeren of andere maatregelen vast te stellen, wanneer dat voor één van voornoemde doeleinden noodzakelijk is, mits zij daarbij het [op 4 november 1950 te Rome ondertekende] Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, zoals geïnterpreteerd in de uitspraken van het Europees Hof voor de Rechten van de Mens, in acht nemen. Zulke maatregelen dienen passend te zijn voor, en strikt evenredig met, het beoogde doel en noodzakelijk in een democratische samenleving en moeten adequate waarborgen bevatten overeenkomstig het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.

[...]

(22) Het verbod op het opslaan van communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers of zonder hun toestemming is niet bedoeld om de automatische, tussentijdse en tijdelijke opslag van die informatie te verbieden, voor zover deze opslag uitsluitend dient voor het doorzenden in het elektronische-communicatienetwerk en mits de informatie niet langer wordt opgeslagen dan nodig voor het doorzenden en het beheer van het verkeer, en het vertrouwelijk karakter tijdens de opslag gewaarborgd blijft. [...]

[...]

(26) De gegevens over abonnees die in elektronische-communicatienetwerken worden verwerkt om verbindingen tot stand te brengen en informatie over te dragen, bevatten informatie over het privéleven van natuurlijke personen en betreffen het recht op respect voor hun correspondentie of de rechtmatige belangen van rechtspersonen. Dergelijke gegevens mogen slechts worden opgeslagen voor zover dat nodig is voor het leveren van de dienst, voor facturering en voor interconnectiebetalingen, en slechts gedurende een beperkte tijd. Elke verdere verwerking van dergelijke gegevens [...] is slechts toegestaan indien de abonnee daarmee heeft ingestemd op basis van precieze en volledige informatie van de aanbieder van de openbare elektronische-communicatiedienst over de door hem geplande verdere verwerking van de gegevens en over het recht van de abonnee een dergelijke verwerking niet toe te staan of de toestemming daartoe in te trekken. [...]

[...]

(30) Systemen voor elektronische-communicatienetwerken en -diensten moeten op dusdanige wijze worden ontworpen dat het aantal persoonsgegevens tot het strikt noodzakelijke minimum wordt beperkt. [...]”

5. Artikel 2 van deze richtlijn, met als opschrift „Definities”, bepaalt:

„[...]

Daarnaast wordt in deze richtlijn verstaan onder:

a) ‚gebruiker’: natuurlijke persoon die gebruikmaakt van een openbare elektronische-communicatiedienst voor particuliere of zakelijke doeleinden zonder noodzakelijkerwijze op die dienst te zijn geabonneerd;

b) ‚verkeersgegevens’: gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronische-communicatienetwerk of voor de facturering ervan;

c) ‚locatiegegevens’: gegevens die in een elektronische-communicatienetwerk of door een elektronische-communicatiedienst worden verwerkt, waarmee de geografische positie van de eindapparatuur van een gebruiker van een openbare elektronische-communicatiedienst wordt aangegeven;

d) ‚communicatie’: informatie die wordt uitgewisseld of overgebracht tussen een eindig aantal partijen door middel van een openbare elektronische-communicatiedienst. Dit omvat niet de informatie die via een omroepdienst over een elektronische-communicatienetwerk wordt overgebracht, behalve wanneer de informatie kan worden gerelateerd aan de identificeerbare abonnee of gebruiker die de informatie ontvangt;

[...]”

6. Artikel 3 van die richtlijn, met als opschrift „Betrokken diensten”, luidt:

„Deze richtlijn is van toepassing op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare communicatienetwerken in de Gemeenschap, met inbegrip van openbare communicatienetwerken die systemen voor gegevensverzameling en identificatie ondersteunen.”

7. In artikel 5 van diezelfde richtlijn, met als opschrift „Vertrouwelijk karakter van de communicatie”, is bepaald:

„1. De lidstaten garanderen via nationale wetgeving het vertrouwelijke karakter van de communicatie en de daarmee verband houdende verkeersgegevens via openbare communicatienetwerken en via openbare elektronische-communicatiediensten. Zij verbieden met name het afluisteren, aftappen, opslaan of anderszins onderscheppen of controleren van de communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers, indien de betrokken gebruikers daarin niet hebben toegestemd, tenzij dat bij wet is toegestaan overeenkomstig artikel 15, lid 1. Dit lid laat de technische opslag die nodig is voor het overbrengen van informatie onverlet, onverminderd het vertrouwelijkheidsbeginsel.

[...]

3. De lidstaten dragen ervoor zorg dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig [richtlijn 95/46], onder meer over de doeleinden van de verwerking. Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een communicatie over een elektronisch communicatienetwerk, of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert.”

8. In artikel 6 van richtlijn 2002/58, met als opschrift „Verkeersgegevens”, staat te lezen:

„1. Verkeersgegevens met betrekking tot abonnees en gebruikers die worden verwerkt en opgeslagen door de aanbieder van een openbaar elektronische-communicatienetwerk of -dienst, moeten, wanneer ze niet langer nodig zijn voor het doel van de transmissie van communicatie, worden gewist of anoniem gemaakt, onverminderd de leden 2, 3 en 5, alsmede artikel 15, lid 1.

2. Verkeersgegevens die noodzakelijk zijn ten behoeve van de facturering van abonnees en interconnectiebetalingen mogen worden verwerkt. Die verwerking is slechts toegestaan tot aan het einde van de termijn waarbinnen de rekening in rechte kan worden aangevochten of de betaling kan worden afgedwongen.

[...]”

9. Artikel 15 van deze richtlijn, met als opschrift „Toepassing van een aantal bepalingen van [richtlijn 95/46]”, bepaalt in lid 1:

„De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1, 2, 3 en 4, en artikel 9 van deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem als bedoeld in artikel 13, lid 1, van [richtlijn 95/46]. Daartoe kunnen de lidstaten o.a. wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren om de redenen die in dit lid worden genoemd. Alle in dit lid bedoelde maatregelen dienen in overeenstemming te zijn met de algemene beginselen van het [Unierecht], met inbegrip van de beginselen als bedoeld in artikel 6, leden 1 en 2, [VEU].”

B. Frans recht

1. Code de la propriété intellectuelle

10. Artikel L. 331-12 van de code de la propriété intellectuelle (wetboek van intellectuele eigendom; hierna: „CPI”), in de op het hoofdgeding toepasselijke versie, bepaalt:

„De Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet [(hoge autoriteit voor de verspreiding van werken en de bescherming van rechten op het internet; hierna: ‚Hadopi’)] is een onafhankelijke overheidsinstantie.”

11. Artikel L. 331‑13 CPI bepaalt:

„[Hadopi]:

[...]

2° heeft tot taak [op elektronische-communicatienetwerken verspreide werken en voorwerpen waarop auteursrechten of naburige rechten rusten] te beschermen tegen inbreuken op deze rechten die worden gepleegd op elektronische-communicatienetwerken die worden gebruikt voor de levering van online communicatiediensten aan het publiek;

[...]”

12. In artikel L. 331‑15 CPI staat te lezen:

„[Hadopi] bestaat uit een college en een commissie voor de bescherming van rechten. [...]

[...]

Bij de uitvoering van hun taken ontvangen de leden van het college en van de commissie voor de bescherming van rechten geen instructies van enige autoriteit.”

13. Artikel L. 331‑17 van datzelfde wetboek luidt:

„De commissie voor de bescherming van rechten is belast met het nemen van de in artikel L. 331‑25 bedoelde maatregelen.”

14. Artikel L. 331‑21 CPI bepaalt:

„Voor de uitoefening van de taken van de commissie voor de bescherming van rechten beschikt [Hadopi] over beëdigde overheidsambtenaren die door [haar] voorzitter gemachtigd zijn onder voorwaarden die zijn vastgesteld in een decreet waarover voorafgaandelijk het advies van de Conseil d’État [(hoogste bestuursrechter, Frankrijk)] is ingewonnen. [...]

De leden van de commissie voor de bescherming van rechten en de in de eerste alinea genoemde ambtenaren ontvangen de aan deze commissie voorgelegde zaken onder de in artikel L. 331‑24 vastgestelde voorwaarden. Zij onderzoeken de feiten.

Zij kunnen ten behoeve van de procedure alle documenten verkrijgen ongeacht de drager ervan, daaronder begrepen de gegevens die bewaard en verwerkt worden door de exploitanten van elektronische-communicatiediensten overeenkomstig artikel L. 34‑1 van de code des postes et des communications électroniques [(wetboek van posterijen en elektronische communicatie)] en door de dienstverrichters die worden genoemd in artikel 6, I, leden 1 en 2, van loi n° 2004‑575 pour la confiance dans l’économie numérique [(wet nr. 2004‑575 voor het vertrouwen in de digitale economie)] van 21 juni 2004.

Zij kunnen ook een afschrift van de in de vorige alinea genoemde documenten ontvangen.

Zij kunnen met name van de exploitanten van elektronische-communicatiediensten de identiteit, het postadres, het e-mailadres en de telefoongegevens verkrijgen van de abonnee van wie de toegang tot openbare online communicatiediensten is gebruikt voor doeleinden van reproductie, weergave, terbeschikkingstelling of mededeling aan het publiek van beschermde werken of voorwerpen zonder toestemming van de houders van de [...] rechten, wanneer deze toestemming wordt vereist.”

15. Artikel L. 331‑24 CPI bepaalt:

„De commissie voor de bescherming van rechten handelt op basis van de voorlegging van zaken door beëdigde en gemachtigde ambtenaren [...] die zijn benoemd door:

– regelmatig opgerichte organisaties voor de bescherming van beroepsbelangen;

– organisaties voor collectief beheer;

– het Centre national du cinéma et de l’image animée [(nationaal centrum voor cinematografie en bewegend beeld)].

De commissie voor de bescherming van rechten kan ook handelen op basis van informatie die haar wordt verstrekt door het openbaar ministerie.

Feiten die van meer dan zes maanden geleden dateren, kunnen haar niet worden voorgelegd.”

16. Artikel L. 331‑25 van dit wetboek, dat de procedure van een stapsgewijze reactie („graduated response”) regelt, luidt:

„Wanneer aan de commissie voor de bescherming van rechten feiten worden voorgelegd die mogelijkerwijs een geval van niet-nakoming van de in artikel L. 336‑3 [CPI] omschreven verplichting vormen, kan die commissie een aanbeveling doen toekomen aan de abonnementhouder [...] waarbij deze wordt gewezen op de inhoud van artikel L. 336‑3, hem wordt gelast de daarin omschreven verplichting na te komen en hij wordt gewaarschuwd voor de sancties die hij op grond van de artikelen L. 335‑7 en L. 335‑7-1 riskeert. Deze aanbeveling bevat ook informatie voor de abonnementhouder over het legale aanbod van culturele online inhoud, over het bestaan van veiligheidsmaatregelen om te voorkomen dat de in artikel L. 336‑3 omschreven verplichting niet wordt nagekomen, en over de gevaren die de praktijken waarbij het auteursrecht en de naburige rechten niet worden geëerbiedigd, inhouden voor de vernieuwing van scheppend werk op artistiek gebied en voor de economie van de culturele sector.

Bij herhaling, binnen een termijn van zes maanden na de in de eerste alinea bedoelde aanbeveling, van feiten die mogelijkerwijs een geval van niet-nakoming van de in artikel L. 336‑3 omschreven verplichting vormen, kan de commissie langs elektronische weg een nieuwe aanbeveling verzenden die dezelfde informatie als de vorige bevat [...]. Zij moet deze aanbeveling vergezeld doen gaan van een brief die tegen ondertekening wordt overhandigd of van enig ander middel waarmee het bewijs kan worden geleverd van de datum van aanbieding van die aanbeveling.

In de op grond van dit artikel verzonden aanbevelingen wordt melding gemaakt van de datum en het tijdstip waarop de feiten zijn geconstateerd die mogelijkerwijs een geval van niet-nakoming van de in artikel L. 336‑3 omschreven verplichting vormen. De inhoud van de beschermde werken of voorwerpen waarop de niet-nakoming betrekking heeft, worden evenwel niet openbaar gemaakt in de aanbevelingen in kwestie. In deze aanbevelingen wordt melding gemaakt van de telefoon-, post- en elektronische contactgegevens waar de geadresseerde desgewenst opmerkingen kan indienen bij de commissie voor de bescherming van rechten en, indien hij daar uitdrukkelijk om verzoekt, gedetailleerde informatie kan verkrijgen over de inhoud van de beschermde werken of voorwerpen waarop de hem verweten niet-nakoming betrekking heeft.”

17. Artikel L. 331‑29 van dat wetboek bepaalt:

„Toegestaan wordt de totstandbrenging door [Hadopi] van een systeem voor de geautomatiseerde verwerking van persoonsgegevens die betrekking hebben op personen tegen wie een procedure is ingesteld in het kader van deze onderafdeling.

Dit systeem strekt ertoe dat de commissie voor de bescherming van rechten de in deze onderafdeling bedoelde maatregelen neemt, alle daarmee verband houdende proceshandelingen verricht, de regels toepast die betrekking hebben op de informatieverstrekking aan de organisaties voor de bescherming van beroepsbelangen en aan de organisaties voor collectief beheer van de eventuele zaken die aan de rechter zijn voorgelegd, en de in de vijfde alinea van artikel L. 335-7 bedoelde mededelingen doet.

Bij decreet [...] worden de nadere regels voor de toepassing van dit artikel vastgesteld. Hierin wordt met name het volgende gepreciseerd:

– de categorieën van gegevens die worden geregistreerd en hoelang deze gegevens worden bewaard;

– degenen die bevoegd zijn om van deze gegevens kennis te nemen, met name degenen van wie de werkzaamheden bestaan in het aanbieden van toegang tot openbare online communicatiediensten;

– de voorwaarden waaronder belanghebbenden bij [Hadopi] hun recht op toegang tot de hen betreffende gegevens kunnen uitoefenen [...].”

18. Artikel R. 331‑37 CPI bepaalt:

„De [...] exploitanten van elektronische-communicatiediensten en de [...] dienstverrichters zijn verplicht om via een koppeling met het in artikel L. 331‑29 genoemde systeem voor de geautomatiseerde verwerking van persoonsgegevens of door middel van een gegevensdrager die de volledigheid en veiligheid van die gegevens waarborgt, de persoonsgegevens en de informatie die wordt vermeld in punt 2 van de bijlage bij [décret no 2010‑236 relatif au traitement automatisé des données à caractère personnel autorisé par l’article L. 331‑29 du CPI dénommé ‚Système de gestion des mesures pour la protection des œuvres sur Internet’^[(4)^] (decreet nr. 2010‑236 betreffende de geautomatiseerde verwerking van persoonsgegevens die bekendstaat onder de benaming ‚Systeem voor het beheer van maatregelen voor de bescherming van werken op het internet’ en die wordt toegestaan door artikel L. 331‑29 CPI) van 5 maart 2010 (hierna: ,decreet van 5 maart 2010’)], mee te delen binnen een termijn van acht dagen die volgt op het tijdstip waarop de commissie voor de bescherming van rechten de technische gegevens verstrekt die nodig zijn voor de identificatie van de abonnee van wie de toegang tot openbare online communicatiediensten is gebruikt voor doeleinden van reproductie, weergave, terbeschikkingstelling of mededeling aan het publiek van beschermde werken of voorwerpen zonder toestemming van de houders van de [...] rechten, wanneer deze toestemming wordt vereist.

[...]”

19. Artikel R. 335‑5 CPI luidt:

„I.- Er is sprake van grove nalatigheid, die wordt bestraft met een geldboete voor overtredingen van de vijfde categorie, wanneer de houder van een aansluiting op openbare online communicatiediensten, zonder geldige reden en terwijl aan de in lid II gestelde voorwaarden is voldaan:

1° ofwel geen middel voor de beveiliging van deze aansluiting heeft aangebracht;

2° ofwel bij het gebruik van een dergelijk middel niet de nodige zorgvuldigheid heeft betracht.

II.- Lid I is enkel van toepassing indien aan de volgende twee voorwaarden is voldaan:

1° De houder van de aansluiting heeft overeenkomstig artikel L. 331‑25 en op de in dat artikel bepaalde wijze vanwege de commissie voor de bescherming van rechten een aanbeveling ontvangen om een middel voor de beveiliging van zijn aansluiting aan te brengen waardoor wordt voorkomen dat deze aansluiting opnieuw wordt gebruikt voor doeleinden van reproductie, weergave, terbeschikkingstelling of mededeling aan het publiek van door een auteursrecht of naburig recht beschermde werken of voorwerpen zonder toestemming van de houders van de [...] rechten, wanneer deze toestemming wordt vereist;.

2° In het jaar dat volgt op deze aanbeveling, wordt de aansluiting in kwestie opnieuw gebruikt voor de onder 1° genoemde doeleinden.”

20. In artikel L. 336‑3 van dit wetboek is bepaald:

„De houder van een aansluiting op openbare online communicatiediensten moet ervoor zorgen dat deze aansluiting niet wordt gebruikt voor doeleinden van reproductie, weergave, terbeschikkingstelling of mededeling aan het publiek van door een auteursrecht of naburig recht beschermde werken of voorwerpen zonder toestemming van de [rechthebbenden] [...], wanneer deze toestemming wordt vereist.

Indien de houder van de aansluiting de in de eerste alinea omschreven verplichting niet nakomt, leidt dit niet tot strafrechtelijke aansprakelijkheid van de betrokkene [...].”

2. Decreet van 5 maart 2010

21. Het decreet van 5 maart 2010, in de op de feiten van het hoofdgeding toepasselijke versie, bepaalt in artikel 1:

„Het systeem voor de verwerking van persoonsgegevens dat bekendstaat onder de benaming ‚Systeem voor het beheer van maatregelen voor de bescherming van werken op het internet’, strekt ertoe dat de commissie voor de bescherming van rechten van [Hadopi]:

1° uitvoering geeft aan de maatregelen als bedoeld in boek III van het wetgevende deel van de [CPI] (titel III, hoofdstuk I, afdeling 3, onderafdeling 3) en in boek III van het regelgevende deel van hetzelfde wetboek (titel III, hoofdstuk I, afdeling 2, onderafdeling 2);

2° aan het openbaar ministerie de feiten voorlegt die mogelijkerwijs de in de artikelen L. 335‑2, L. 335‑3, L. 335‑4 en R. 335‑5 van hetzelfde wetboek bedoelde inbreuken kunnen opleveren, alsmede de organisaties voor de bescherming van beroepsbelangen en de organisaties voor collectief beheer ter kennis brengt dat die feiten aan het openbaar ministerie zijn voorgelegd;

[...]”

22. Artikel 4 van dit decreet luidt:

„I.- De door de voorzitter van [Hadopi] overeenkomstig artikel L. 331‑21 [CPI] gemachtigde beëdigde ambtenaren en de leden van de in artikel 1 bedoelde commissie voor de bescherming van rechten hebben rechtstreeks toegang tot de in de bijlage bij dit decreet vermelde persoonsgegevens en informatie.

II.- De in punt 2 van de bijlage bij dit decreet genoemde exploitanten van elektronische-communicatiediensten en dienstverrichters zijn de adressaten van:

– de technische gegevens die nodig zijn om de abonnee te identificeren;

– de aanbevelingen als bedoeld in artikel L. 331‑25 [CPI] met het oog op de verzending ervan via elektronische weg naar hun abonnees;

– de gegevens die nodig zijn voor de uitvoering van bijkomende straffen van opschorting van de toegang tot een openbare online communicatiedienst die door het openbaar ministerie ter kennis van de commissie voor de bescherming van rechten zijn gebracht.

III.- De organisaties voor de bescherming van beroepsbelangen en de organisaties voor collectief beheer zijn de adressaten van informatie over de zaken die aan het openbaar ministerie zijn voorgelegd.

IV.- De gerechtelijke autoriteiten zijn de adressaten van de processen-verbaal waarbij feiten zijn vastgesteld die mogelijkerwijs de in de artikelen L. 335‑2, L. 335‑3, L. 335‑4, L. 335‑7, R. 331‑37, R. 331‑38 en R. 335‑5 [CPI] bedoelde inbreuken kunnen opleveren.

Het geautomatiseerde strafregister wordt in kennis gesteld van de tenuitvoerlegging van de opschortingsstraf.”

23. In de bijlage bij het decreet van 5 maart 2010 staat te lezen:

„In het verwerkingssysteem dat bekendstaat onder de benaming ‚Systeem voor het beheer van maatregelen voor de bescherming van werken op het internet’, worden de volgende persoonsgegevens en informatie vastgelegd:

1° Persoonsgegevens en informatie afkomstig van rechtmatig opgerichte organisaties voor de bescherming van beroepsbelangen, organisaties voor collectief beheer, het nationaal centrum voor cinematografie en bewegend beeld alsook het openbaar ministerie:

Wat betreft de feiten die mogelijkerwijs een geval van niet-nakoming van de in artikel L. 336‑3 [CPI] omschreven verplichting vormen:

datum en tijdstip van de feiten;

IP-adres van de betrokken abonnees;

gebruikt peer-to-peerprotocol;

door de abonnee gebruikt pseudoniem;

informatie over de beschermde werken of voorwerpen waarop de feiten betrekking hebben;

naam van het bestand zoals aanwezig op de computer van de abonnee (indien van toepassing);

internetprovider bij wie het abonnement is genomen of die de IP-technische middelen heeft geleverd.

[...]

2° Persoonsgegevens en abonnee-informatie die [...] worden verzameld bij exploitanten van elektronische-communicatiediensten en [...] dienstverrichters:

achternaam, voornamen;

postadres en e-mailadressen;

telefoonnummer;

adres van de telefooninstallatie van de abonnee;

internetprovider, met gebruikmaking van de technische middelen van de in punt 1 genoemde provider, met wie de abonnee een overeenkomst heeft gesloten; dossiernummer;

aanvangsdatum van de opschorting van de toegang tot een openbare online communicatiedienst.

[...]”

3. CPCE

24. Artikel L. 34‑1 van de code des postes et des communications électroniques (wetboek van posterijen en elektronische communicatie), zoals gewijzigd bij artikel 17 van loi n° 2021‑998(5) (wet nr. 2021‑998) van 30 juli 2021 (hierna: „CPCE”), bepaalt in lid II bis:

„De exploitanten van elektronische-communicatiediensten zijn verplicht om de volgende gegevens te bewaren:

1° ten behoeve van strafprocedures, het voorkomen van bedreigingen van de openbare veiligheid en het beschermen van de nationale veiligheid: gegevens over de burgerlijke identiteit van de gebruiker, tot vijf jaar na het verstrijken van de geldigheidsduur van zijn overeenkomst;

2° voor dezelfde doeleinden als die welke worden genoemd in punt 1 van dit lid II bis: andere gegevens die door de gebruiker bij het aangaan van de overeenkomst of het aanmaken van een account zijn verstrekt, alsmede gegevens over de betaling, tot één jaar na het verstrijken van de geldigheidsduur van zijn overeenkomst of de afsluiting van zijn account;

3° ten behoeve van de bestrijding van ernstige criminaliteit en zware misdaad, het voorkomen van ernstige bedreigingen van de openbare veiligheid en het beschermen van de nationale veiligheid: technische gegevens waarmee de verbindingsbron kan worden geïdentificeerd of gegevens over de gebruikte eindapparatuur, tot één jaar na de datum van de verbinding of het gebruik van de eindapparatuur.”

III. Procedure bij het Hof

25. In antwoord op de uitnodiging aan de in artikel 23 van het Statuut van het Hof van Justitie van de Europese Unie bedoelde belanghebbenden hebben verzoekers in het hoofdgeding, de Franse, de Deense, de Estse, de Ierse, de Nederlandse, de Finse en de Zweedse regering alsook de Europese Commissie de schriftelijke vragen van het Hof beantwoord.

26. Met uitzondering van de Finse regering hebben diezelfde partijen, de Tsjechische, de Spaanse, de Cypriotische, de Letse en de Noorse regering alsook de EDPS en Enisa deelgenomen aan de terechtzitting die heeft plaatsgevonden op 15 mei 2023.

IV. Analyse

27. In mijn eerste conclusie heb ik het Hof op grond van mijn analyse van de prejudiciële vragen in overweging gegeven om te oordelen dat artikel 15, lid 1, van richtlijn 2002/58 aldus moet worden uitgelegd dat het zich niet verzet tegen een nationale regeling op grond waarvan gegevens over de burgerlijke identiteit die overeenkomen met IP-adressen – en enkel deze gegevens – mogen worden bewaard door aanbieders van elektronische-communicatiediensten, en diezelfde gegevens mogen worden geraadpleegd door een administratieve autoriteit als Hadopi(6) opdat deze autoriteit de houders van deze adressen die ervan worden verdacht inbreuk te maken op het auteursrecht en de naburige rechten kan identificeren en eventueel maatregelen tegen hen kan treffen, zonder dat deze raadpleging vooraf door een rechter of onafhankelijke administratieve entiteit wordt getoetst, wanneer die gegevens het enige onderzoeksmiddel vormen aan de hand waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen toen de inbreuk werd gepleegd.

28. In deze conclusie zal ik nader ingaan op bepaalde onderdelen van mijn eerdere analyse en op de ter terechtzitting van 15 mei 2023 besproken punten, om toe te lichten waarom ik vasthoud aan de door mij voorgestelde beantwoording van de prejudiciële vragen en aan de redenering die daartoe heeft geleid.(7)

29. Meer in het bijzonder zal ik aantonen dat aan de door het Hof gestelde eisen met betrekking tot het onderzoek van de maatregelen die worden genomen op grond van artikel 15, lid 1, van richtlijn 2002/58, is voldaan ingeval wordt toegestaan dat gegevens over de burgerlijke identiteit die overeenkomen met IP-adressen, worden bewaard en zonder voorafgaande toetsing worden geraadpleegd om de plegers van een strafbaar feit te identificeren wanneer die gegevens het enige middel zijn aan de hand waarvan die personen kunnen worden geïdentificeerd (deel B).

30. Daarbij zal ik aantonen dat die oplossing geen kentering vormt in de strenge en op de bescherming van de grondrechten gerichte rechtspraak die het Hof heeft ontwikkeld sinds de arresten Tele2 Sverige en Watson e.a.(8) en La Quadrature du Net e.a.(9), maar een noodzakelijke ontwikkeling daarvan die mijns inziens in het verlengde ligt van de door het Hof geformuleerde beginselen. Dit onderscheid is niet louter semantisch. De door mij voorgestelde oplossing is namelijk niet bedoeld om de bestaande rechtspraak ter discussie te stellen, maar om, uit naam van een zeker pragmatisme, de aanpassing ervan in specifieke en zeer strikt omschreven omstandigheden mogelijk te maken (deel C).

31. Ter wille van de duidelijkheid en aangezien uit de debatten ter terechtzitting is gebleken dat er in dit opzicht behoefte was aan opheldering, begin ik mijn analyse met een overzicht van de werking van het „graduated response”-mechanisme van Hadopi (deel A).

A. „Graduated response”-mechanisme van Hadopi

32. Hadopi is een onafhankelijke administratieve autoriteit die tot taak heeft het auteursrecht en de naburige rechten te beschermen tegen op het internet gepleegde inbreuken op die rechten. Daartoe is het „graduated response”-mechanisme ingevoerd, waarvan de toepassing is toevertrouwd aan de commissie voor de bescherming van rechten van Hadopi.

33. Deze commissie wordt aangezocht door organisaties van rechthebbenden, waarbinnen een aantal door de minister van Cultuur beëdigde en gemachtigde ambtenaren op peer-to-peernetwerken IP-adressen verzamelt van internetgebruikers die zonder toestemming van de rechthebbenden werken aan het publiek beschikbaar stellen. Vervolgens worden er processen-verbaal opgesteld. Deze processen-verbaal vermelden onder meer het IP-adres van de internetverbinding waarmee deze inbreuken op het auteursrecht zijn gepleegd, de datum en het tijdstip van de vastgestelde inbreuk alsook de titel van het werk in kwestie. Zij worden toegezonden aan de commissie voor de bescherming van rechten van Hadopi. In dit verband zij beklemtoond dat – zoals de EDPS heeft opgemerkt – voor de verwerking van persoonsgegevens door de ambtenaren binnen de organisaties van rechthebbenden toestemming moet worden verleend door de Commission nationale de l’informatique et des libertés (CNIL, Franse gegevensbeschermingsautoriteit).(10)

34. Na ontvangst van de processen-verbaal, en nadat er een geautomatiseerde controle is uitgevoerd om na te gaan of zij alle vereiste gegevens bevatten, kan de commissie voor de bescherming van rechten van Hadopi bij de aanbieders van elektronische-communicatiediensten de identiteit en de telefoon-, post- en elektronische contactgegevens opvragen van de houder van het abonnement waarmee inbreuk is gemaakt op het auteursrecht.

35. Vervolgens kan Hadopi de betrokken abonnementhouder een „aanbeveling” doen toekomen om hem ter kennis te brengen dat zijn internetaansluiting is gebruikt op een wijze die in strijd is met het auteursrecht, en waarbij de persoon die ervan wordt verdacht niet te hebben voldaan aan zijn zorgvuldigheidsplicht met betrekking tot het eerbiedigen op het internet van door het auteursrecht of een naburig recht beschermde werken, wordt gelast die plicht na te komen. Dit betekent dat die aanbeveling gericht is tot de houder van de internetaansluiting, die feitelijk iemand anders kan zijn dan de persoon die het werk in strijd met het auteursrecht beschikbaar heeft gesteld. Wanneer andermaal wordt geconstateerd dat via dezelfde internetaansluiting inbreuk is gemaakt op het auteursrecht of een naburig recht, kan een tweede aanbeveling worden verzonden. Bij verdere inbreuken kan de commissie voor de bescherming van rechten van Hadopi besluiten om de feiten voor te leggen aan het openbaar ministerie met het oog op strafvervolging. Zoals de Franse regering in haar eerste opmerkingen heeft verduidelijkt, zijn de Hadopi-medewerkers die verantwoordelijk zijn voor het „graduated response”-mechanisme, door de voorzitter van Hadopi beëdigde en gemachtigde ambtenaren die aan het beroepsgeheim zijn gebonden en die binnen Hadopi als enigen toegang hebben tot de persoonsgegevens die worden verwerkt in het kader van dat mechanisme.

36. Dienaangaande zij opgemerkt dat het bij de verzamelde en aan Hadopi doorgegeven gegevens niet gaat om de gegevens van alle gebruikers van peer-to-peernetwerken die dergelijke inhoud alleen maar downloaden(11), maar alleen om de gegevens van de gebruikers die inbreukmakende inhoud beschikbaar hebben gesteld, dat wil zeggen die inhoud hebben geüpload.

37. In 2021 bijvoorbeeld heeft Hadopi bijna vier miljoen processen-verbaal ontvangen van organisaties van rechthebbenden, 210 595 eerste aanbevelingen en 53 564 tweede aanbevelingen verzonden, en 1 484 zaken voorgelegd aan het openbaar ministerie.

38. Na dit overzicht zal ik aantonen hoe een dergelijk mechanisme, dat gepaard gaat met de bewaring van en de toegang tot gegevens over de burgerlijke identiteit die overeenkomen met IP-adressen, mijns inziens voldoet aan de vereisten van de rechtspraak over de nationale maatregelen die worden genomen op grond van artikel 15, lid 1, van richtlijn 2002/58.

B. Naleving van de vereisten die voortvloeien uit de rechtspraak van het Hof over de uitlegging van artikel 15, lid 1, van richtlijn 2002/58

39. Aangezien ik reeds in mijn eerste conclusie een overzicht heb gegeven van de rechtspraak van het Hof over de bewaring van en de toegang tot de IP-adressen die zijn toegewezen aan de bron van een verbinding(12), zal ik mij in deze conclusie toespitsen op wat mijns inziens de kern van die rechtspraak vormt, namelijk het evenredigheidsvereiste en, wat de toegang tot die gegevens betreft, de eventuele noodzaak van een voorafgaande toetsing door een rechterlijke instantie of onafhankelijke administratieve autoriteit.

1. Evenredigheid van de maatregel in kwestie

40. Om vast te stellen of een maatregel die bestaat in de bewaring van en de toegang tot gegevens over de burgerlijke identiteit die overeenkomen met IP-adressen verenigbaar is met het Unierecht, moeten – zoals het Hof herhaaldelijk benadrukt – de verschillende in het geding zijnde legitieme belangen en rechten tegen elkaar worden afgewogen, te weten enerzijds het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens(13), welke rechten worden gewaarborgd door de artikelen 7 en 8 van het Handvest, en anderzijds de bescherming van de rechten en vrijheden van anderen alsook van de in de artikelen 3, 4, 6 en 7 van het Handvest neergelegde rechten.(14) Met betrekking tot de onderhavige zaak zou ik hieraan willen toevoegen dat het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens ook moeten worden verzoend met het in artikel 17 van het Handvest neergelegde eigendomsrecht, aangezien met het „graduated response”-mechanisme uiteindelijk de bescherming van het auteursrecht en de naburige rechten wordt beoogd.

41. Dienaangaande merkt het Hof op dat die afweging van belangen en rechten op grond van artikel 15, lid 1, van richtlijn 2002/58 de lidstaten de mogelijkheid biedt om een maatregel te treffen waarbij wordt afgeweken van het beginsel van vertrouwelijkheid, wanneer een dergelijke maatregel „in een democratische samenleving noodzakelijk, redelijk en proportioneel is” (cursivering van mij). In overweging 11 van die richtlijn wordt gepreciseerd dat een dergelijke maatregel „strikt” evenredig moet zijn aan het nagestreefde doel.(15)

42. In zijn redenering over de uitlegging van artikel 15, lid 1, van richtlijn 2002/58 heeft het Hof bovendien steevast verwezen naar het evenredigheidsbeginsel en dit dus verheven tot de hoeksteen van de toetsing van een op grond van die bepaling vastgestelde nationale maatregel die bestaat in de bewaring van of de toegang tot persoonsgegevens.

43. Bij nadere lezing van die redenering blijkt het evenredigheidsbeginsel in de context van artikel 15, lid 1, van richtlijn 2002/58 verschillende aspecten te omvatten die verband houden met enerzijds de ernst van de inbreuk die op de grondrechten wordt gemaakt doordat verkeersgegevens worden bewaard of geraadpleegd, en anderzijds de noodzakelijkheid van de maatregel in kwestie.

44. Wat betreft het feit dat gegevens over de burgerlijke identiteit die met IP-adressen overeenkomen worden bewaard en door Hadopi worden geraadpleegd, ben ik van mening dat zowel de ernst van de inbreuk als de onontbeerlijke aard van die gegevens het Hof ertoe moet brengen om genuanceerd te werk te gaan bij zijn onderzoek naar de evenredigheid van een op grond van artikel 15, lid 1, van richtlijn 2002/58 genomen nationale maatregel.

a) Relatieve ernst van de op de grondrechten gemaakte inbreuk

45. Uit de vaste rechtspraak van het Hof volgt duidelijk dat het belang van de doelstelling die wordt nagestreefd met een op grond van artikel 15, lid 1, van richtlijn 2002/58 genomen maatregel, overeenkomstig het evenredigheidsbeginsel in verhouding moet staan tot de ernst van de uit die maatregel voortvloeiende inbreuk op de grondrechten.(16)

46. Meer in het bijzonder heeft het Hof – zoals ik in mijn eerste conclusie heb benadrukt – geoordeeld dat, wanneer het gaat om het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, een ernstige inbreuk alleen kan worden gerechtvaardigd door de doelstelling om – eveneens als „ernstig” aan te merken – criminaliteit te bestrijden.(17)

47. Over IP-adressen heeft het Hof opgemerkt dat deze weliswaar van minder gevoelige aard zijn dan de overige verkeersgegevens, maar dat de bewaring en analyse ervan niettemin op ernstige wijze inbreuk maken op de grondrechten, aangezien IP-adressen kunnen worden gebruikt om de volledige zoekgeschiedenis van een internetgebruiker te traceren en dus om een gedetailleerd profiel van hem op te stellen en nauwkeurige conclusies te trekken over zijn privéleven.(18)

48. In het hoofdgeding hebben de bewaring van en de toegang tot gegevens over de burgerlijke identiteit die overeenkomen met IP-adressen, tot doel schendingen van het auteursrecht en de naburige rechten tegen te gaan. Mijns inziens is het evenwel duidelijk dat dit niet onder de bestrijding van zware criminaliteit kan vallen(19), ook al is de omvang van die schendingen enorm groot. Er is dus sprake van een wanverhouding tussen de ernst van de inmenging in de grondrechten die de maatregel in kwestie met zich meebrengt en het doel dat daarmee wordt nagestreefd.

49. In mijn eerste conclusie heb ik mij overeenkomstig de rechtspraak van het Hof op het standpunt gesteld dat er wel degelijk op ernstige wijze inbreuk wordt gemaakt op de grondrechten doordat Hadopi toegang heeft tot gegevens over de burgerlijke identiteit die overeenkomen met een IP-adres. Hoewel ik tevens heb geconcludeerd dat niettemin moet worden toegestaan dat die gegevens worden bewaard en geraadpleegd, acht ik het na de terechtzitting toch nodig om nog enkele verduidelijkingen aan te brengen.

50. Het „graduated response”-mechanisme stelt Hadopi in staat om het door de organisaties van rechthebbenden meegedeelde IP-adres van personen die ervan worden verdacht hun internetaansluiting te hebben gebruikt om auteursrechten te schenden op een peer-to-peernetwerk, te koppelen aan de burgerlijke identiteit van die personen, alsmede aan een fragment van het in strijd met het auteursrecht geüploade bestand. Zoals de Commissie en de EDPS ter terechtzitting hebben opgemerkt, leveren die gegevens weliswaar ongetwijfeld meer informatie op dan enkel de identiteit van de vermeende inbreukpleger, maar hebben zij niet tot gevolg dat er zeer nauwkeurige conclusies worden getrokken over het privéleven van die persoon. Zoals ik in mijn eerste conclusie heb vermeld(20), kan op basis van die gegevens immers alleen worden achterhaald welke inhoud op een bepaald tijdstip is geraadpleegd, wat het op zichzelf beschouwd niet mogelijk maakt om een gedetailleerd profiel van de betrokken gebruiker op te stellen.

51. Dit geldt a fortiori omdat – om te beginnen – veruit de meeste van de aan Hadopi meegedeelde IP-adressen zogenoemde dynamische IP-adressen zijn die per definitie veranderlijk zijn en slechts op één enkel tijdstip – namelijk het tijdstip waarop de betreffende inhoud beschikbaar wordt gesteld – overeenkomen met een welbepaalde identiteit. Een volledige tracering is dan ook onmogelijk.

52. Voorts moet ik beklemtonen dat de bescherming van de grondrechten op het internet mijns inziens niet kan rechtvaardigen dat er geen toegang kan worden verkregen tot gegevens die betrekking hebben op het IP-adres, de inhoud van een werk en de identiteit van de persoon die deze inhoud beschikbaar heeft gesteld in strijd met het auteursrecht, maar uitsluitend dat bepaalde waarborgen gelden wanneer deze gegevens worden bewaard en geraadpleegd. In zoverre kan een vergelijking met de echte wereld mijns inziens verhelderend zijn: een persoon die ervan wordt verdacht een diefstal te hebben gepleegd, kan zich niet beroepen op zijn recht op eerbiediging van het privéleven om te voorkomen dat de met de vervolging van dat strafbare feit belaste personen kennisnemen van de gestolen inhoud. Diezelfde persoon kan zich daarentegen terecht beroepen op zijn grondrechten om te beletten dat in de loop van de procedure toegang wordt verkregen tot een groter aantal gegevens dan de gegevens die strikt noodzakelijk zijn voor de kwalificatie van het vermeende strafbare feit.

53. Tot slot merk ik op dat het „graduated response”-mechanisme – anders dan verzoekers hebben aangevoerd – niet gepaard lijkt te gaan met een veralgemeend toezicht op gebruikers van peer-to-peernetwerken. Dat mechanisme heeft namelijk niet zozeer tot doel al hun activiteiten op een bepaald netwerk te controleren teneinde vast te stellen of zij een werk beschikbaar hebben gesteld in strijd met het auteursrecht, als wel op basis van een als auteursrechtelijke inbreuk aangemerkt bestand vast te stellen wie de houder is van de internetaansluiting waarmee de betrokken internetgebruiker het werk beschikbaar heeft gesteld. Evenmin heeft dit mechanisme – zoals de EDPS ter terechtzitting heeft benadrukt – tot doel de activiteiten van alle gebruikers van peer-to-peernetwerken te controleren, doch alleen de activiteiten van personen die inbreukmakende bestanden uploaden, waarbij het uploaden van deze bestanden des te minder informatie onthult over het privéleven van die personen omdat het mogelijkerwijs enkel gebeurt om die internetgebruikers vervolgens in staat te stellen andere bestanden te downloaden.

54. Het komt mij dan ook voor dat de redenen die het Hof ertoe hebben gebracht om de bewaring van en de toegang tot IP-adressen te beschouwen als een ernstige inmenging in de grondrechten, niet gelden voor een „graduated response”-mechanisme zoals dat door Hadopi wordt toegepast. Hieruit volgt dat de ernst van de inmenging die voortvloeit uit het feit dat IP-adressen worden bewaard en geraadpleegd, bij de beoordeling van het evenredigheidsbeginsel moet worden genuanceerd.

55. Met andere woorden, ik ben van mening dat de rechtspraak van het Hof over de ernst van de inmenging in de grondrechten ten gevolge van de bewaring van en de toegang tot IP-adressen niet aldus moet worden opgevat dat deze inmenging altijd ernstig is, maar dat zij alleen ernstig is wanneer die IP-adressen kunnen worden gebruikt om de volledige zoekgeschiedenis van een internetgebruiker te traceren en zeer precieze conclusies over zijn privéleven te trekken.

56. Aangezien dit niet het geval is in een situatie als die welke aan de orde is in het hoofdgeding, moet de inmenging die voortvloeit uit de bewaring van en de toegang tot gegevens over de burgerlijke identiteit die overeenkomen met een IP-adres dat is gebruikt om inhoud beschikbaar te stellen in strijd met het auteursrecht, kunnen worden gerechtvaardigd door een doelstelling van criminaliteitsbestrijding die ruimer is dan alleen de bestrijding van zware criminaliteit.

57. Ik wijs er bovendien op dat de inmenging in de grondrechten die voortvloeit uit de bewaring van en de toegang tot de met een IP-adres overeenkomende gegevens over de burgerlijke identiteit die overeenkomen met een IP-adres, in een situatie als die van het hoofdgeding niet wordt verergerd door de omstandigheid dat de houder van de internetaansluiting waarmee inbreukmakende inhoud beschikbaar wordt gesteld, niet noodzakelijk de persoon is die deze inhoud beschikbaar heeft gesteld, zodat de aanbeveling van Hadopi ertoe kan leiden dat aan die houder de inhoud wordt onthuld waartoe een derde toegang heeft gehad. Ten eerste herinner ik eraan dat de door Hadopi onderzochte inbreuk bestaat in de niet-nakoming van de verplichting om ervoor te zorgen dat de internetverbinding niet wordt gebruikt om inhoud beschikbaar te stellen in strijd met het auteursrecht. Het is bijgevolg noodzakelijk dat de informatie die de kwalificatie van die inbreuk mogelijk maakt, wordt toegezonden aan degene van wie wordt vermoed dat hij dit feit heeft begaan. Ten tweede ben ik – zoals ik reeds heb vermeld – van mening dat uit de informatie over het betreffende werk geen nauwkeurige conclusies kunnen worden getrokken over het privéleven van de persoon die dat werk beschikbaar heeft gesteld. De mogelijke toezending van die informatie aan de houder van de internetaansluiting gaat dus niet verder dan noodzakelijk is om vervolging mogelijk te maken van de betreffende schending van het auteursrecht.

b) Onmisbaarheid van de gegevens in kwestie voor de opsporing en vervolging van een strafbaar feit

58. Teneinde te zorgen voor de evenredigheid van een op grond van artikel 15, lid 1, van richtlijn 2002/58 genomen maatregel die bestaat in de bewaring van en de toegang tot verkeersgegevens, zoals gegevens over de burgerlijke identiteit die overeenkomen met een IP-adres, is het volgens de rechtspraak van het Hof noodzakelijk dat de uit die maatregel voortvloeiende inmenging niet verder gaat dan strikt noodzakelijk is om het beoogde doel te bereiken.(21) Mijns inziens is dat precies het geval bij de in het hoofdgeding aan de orde zijnde maatregel.

59. Zoals ik heb benadrukt in mijn eerste conclusie(22), volgt uit de rechtspraak zelf van het Hof dat in het geval van een uitsluitend online gepleegd strafbaar feit – zoals de schending van het auteursrecht op een peer-to-peernetwerk – het IP-adres het enige onderzoeksmiddel kan zijn aan de hand waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen toen dat feit werd gepleegd.(23) Mijns inziens volgt hieruit dat de bewaring van en de toegang tot gegevens over de burgerlijke identiteit die overeenkomen met IP-adressen, met het oog op de opsporing en vervolging van online gepleegde inbreuken op het auteursrecht, strikt noodzakelijk zijn om het nagestreefde doel te bereiken, wat in overeenstemming is met de rechtspraak.

60. Het klopt dat elke verplichting tot bescherming van persoonsgegevens noopt tot een beperking van de onderzoeksbevoegdheden. Dit vloeit voort uit het beginsel zelf van de afweging van tegengestelde belangen, en deze uitkomst kan als zodanig niet worden betwist. Het geval waarin het IP-adres het enige onderzoeksmiddel is aan de hand waarvan de persoon kan worden geïdentificeerd die ervan wordt verdacht online inbreuk te hebben gemaakt op het auteursrecht, onderscheidt zich evenwel van de meeste strafvervolgingen, waarover het Hof heeft opgemerkt dat „de efficiëntie [...] doorgaans niet afhangt van één onderzoeksmaatregel, maar van alle onderzoeksmaatregelen die de bevoegde nationale autoriteiten ter beschikking staan”.(24) Indien werd erkend dat gegevens over de burgerlijke identiteit die overeenkomen met IP-adressen niet mogen worden bewaard en geraadpleegd in een situatie als die welke aan de orde is in het hoofdgeding, zou dit niet – zoals bij elke maatregel ter bescherming van verkeersgegevens het geval is – leiden tot een eenvoudige beperking van de onderzoeksbevoegdheden, maar wel tot gevolg hebben dat de nationale autoriteiten het enige onderzoeksmiddel om bepaalde strafbare feiten op te sporen en te vervolgen wordt ontnomen.

61. Kortom, de door mij voorgestelde uitlegging van artikel 15, lid 1, van richtlijn 2002/58 houdt niet in dat het onderzoek naar de noodzakelijkheid van een dergelijke maatregel het mogelijk moet maken om gegevens te bewaren en te raadplegen die de opsporing en vervolging van strafbare feiten enkel vergemakkelijken wanneer deze feiten ook met andere, zij het minder doeltreffende, middelen kunnen worden opgespoord en vervolgd. Die uitlegging behelst daarentegen dat de bewaring en de raadpleging van die gegevens moeten worden toegestaan wanneer dit onmisbaar is voor de identificatie van de persoon die ervan wordt verdacht een strafbaar feit te hebben gepleegd dat zonder die middelen niet zou kunnen worden vervolgd, omdat de gegevens in kwestie het enige instrument vormen om de betrokken internetgebruiker te identificeren aangezien het strafbare feit uitsluitend online is gepleegd.

62. Een dergelijke uitlegging is naar mijn mening geboden, tenzij wordt aanvaard dat een hele reeks strafbare feiten nooit kan worden vervolgd.(25)

63. Uit het voorgaande volgt mijns inziens dat een nationale regeling op grond waarvan gegevens over de burgerlijke identiteit die overeenkomen met IP-adressen – en enkel deze gegevens – mogen worden bewaard door aanbieders van elektronische-communicatiediensten en diezelfde gegevens mogen worden geraadpleegd door een administratieve autoriteit, volledig evenredig is aan de nagestreefde doelstelling, te weten de vervolging van inbreuken op het auteursrecht en de naburige rechten die zijn gepleegd op het internet, voor zover de daarmee gepaard gaande inmenging in de grondrechten van beperkte ernst is en die gegevens het enige onderzoeksmiddel vormen aan de hand waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen toen de inbreuk werd gepleegd.

64. Ik ben dan ook van mening dat artikel 15, lid 1, van richtlijn 2002/58 aldus moet worden uitgelegd dat het zich niet verzet tegen een dergelijke regeling.

2. Bestaan van passende materiële en procedurele waarborgen

65. Specifiek met betrekking tot de toegang tot gegevens over de burgerlijke identiteit die overeenkomen met IP-adressen, volgt uit de rechtspraak van het Hof dat de strikte evenredigheid van de maatregel op zichzelf niet volstaat opdat deze maatregel verenigbaar is met artikel 15, lid 1, van richtlijn 2002/58.

66. Om te waarborgen dat de toegang tot verkeers- en locatiegegevens niet verder gaat dan strikt noodzakelijk is, heeft het Hof immers geoordeeld dat het van wezenlijk belang is dat die toegang wordt onderworpen aan voorafgaande toetsing door een rechterlijke instantie of door een onafhankelijke administratieve entiteit die over alle bevoegdheden beschikt en die alle noodzakelijke waarborgen biedt om ervoor te zorgen dat de verschillende in het geding zijnde legitieme belangen en rechten met elkaar in overeenstemming worden gebracht.(26)

67. Een strikte lezing van de rechtspraak zou dan ook leiden tot de slotsom dat de toegang van Hadopi tot gegevens over de burgerlijke identiteit die overeenkomen met de IP-adressen van personen die ervan worden verdacht op het internet inbreuk te hebben gemaakt op het auteursrecht, moet worden onderworpen aan een dergelijke voorafgaande toetsing, waarin het bestaande „graduated response”-mechanisme niet voorziet.

68. Zoals de Ierse regering ter terechtzitting heeft aangevoerd en ik in mijn eerste conclusie heb betoogd, is het vereiste van voorafgaande toetsing door een rechterlijke instantie of door een onafhankelijke administratieve entiteit volgens mij evenwel geen systematisch vereiste, maar een vereiste dat afhangt van een meer omvattende analyse van de maatregel in kwestie, waarbij rekening dient te worden gehouden met zowel de ernst van de met deze maatregel gepaard gaande inmenging als de waarborgen waarin hij voorziet.

69. Beklemtoond dient namelijk te worden dat in elk van de arresten waarin dat vereiste van voorafgaande toetsing door een rechterlijke instantie of door een onafhankelijke administratieve entiteit is geformuleerd, nationale regelingen aan de orde waren die voorzagen in de toegang tot alle verkeers- en locatiegegevens van gebruikers met betrekking tot alle elektronische-communicatiemiddelen(27) of op zijn minst de vaste en mobiele telefonie(28) van geïdentificeerde gebruikers.

70. Ik leid daaruit af dat het vereiste van een dergelijke voorafgaande toetsing is ingegeven door de ernst van de inmenging waarvan in die zaken sprake was. Zoals het Hof heeft benadrukt, ging het om gegevens die „het inderdaad mogelijk [maken] precieze, ja zelfs zeer nauwkeurige conclusies te trekken over de persoonlijke levenssfeer van de personen [...], bijvoorbeeld met betrekking tot hun dagelijkse gewoonten, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren”.(29) Bovendien ging het om gegevens van reeds geïdentificeerde personen die er op basis van andere aanwijzingen van werden verdacht een strafbaar feit te hebben begaan, zodat deze gegevens het mogelijk maakten om de bezwarende elementen ten aanzien van de betrokken gebruiker extra te onderbouwen door de omvang van de hem betreffende gegevens uit te breiden.

71. Wat de in het hoofdgeding aan de orde zijnde regeling betreft, is – zoals ik eerder heb benadrukt – de inmenging die de koppeling van gegevens over de burgerlijke identiteit aan een IP-adres met zich meebrengt, echter aanzienlijk minder ernstig dan de inmenging die voortvloeit uit de toegang tot alle verkeers- en locatiegegevens van een persoon, aangezien die koppeling geen informatie oplevert waaruit nauwkeurige conclusies kunnen worden getrokken over het privéleven van de betrokkene.

72. Daarbij komt dat die gegevens – zoals ik in mijn eerste conclusie heb opgemerkt(30) – enkel zien op personen van wie het IP-adres volgens een door de organisaties van rechthebbenden gedane objectieve vaststelling is gebruikt om inbreuk te maken op het auteursrecht, en die bijgevolg handelingen hebben verricht die een geval van niet-nakoming van de zorgvuldigheidsplicht van artikel L. 336‑3 CPI kunnen vormen. Deze personen zijn niet vooraf geïdentificeerd aan de hand van andere onderzoeksmiddelen, aangezien de koppeling van het IP-adres aan de gegevens over de burgerlijke identiteit het enige onderzoeksmiddel vormt waarmee de betrokkene kan worden geïdentificeerd. Anders dan in de zaken waarin het Hof eerder uitspraak heeft gedaan, maakt de toegang tot die gegevens het dan ook niet mogelijk om aanvullende en nauwkeurige informatie te verkrijgen over de activiteiten van personen die reeds op basis van andere elementen worden verdacht, maar alleen om het IP-adres in kwestie – dat anders irrelevant zou zijn – dienstig te maken. In die omstandigheden zijn de gegevens waartoe Hadopi toegang heeft, de facto beperkt.

73. Naar mijn mening bestaat er een fundamenteel onderscheid tussen enerzijds het verkrijgen van toegang tot persoonsgegevens van iemand die van een strafbaar feit wordt verdacht, teneinde zijn schuld te bewijzen, en anderzijds het raadplegen van diezelfde persoonsgegevens teneinde de identiteit te onthullen van de pleger van een reeds vastgesteld strafbaar feit.

74. Mijns inziens geldt dit des te meer omdat voor het verzamelen van IP-adressen op peer-to-peernetwerken een voorafgaande toestemming vereist is die enkel geldt voor deze gegevens, zodat Hadopi nooit in het bezit is van een onbeperkte hoeveelheid gegevens over internetgebruikers die ervan worden verdacht op het internet inbreuk te hebben gemaakt op het auteursrecht.(31)

75. Derhalve is de logica die ten grondslag ligt aan het vereiste van voorafgaande toetsing door een rechterlijke instantie of door een onafhankelijke administratieve entiteit, niet van toepassing op het in het hoofdgeding aan de orde zijnde „graduated response”-mechanisme, zodat dit vereiste mijns inziens niet noodzakelijk is om ervoor te zorgen dat de met dit mechanisme gepaard gaande inmenging in de grondrechten niet verder gaat dan strikt noodzakelijk is.

76. Uit het voorgaande volgt dat een nationale regeling op grond waarvan gegevens over de burgerlijke identiteit die overeenkomen met IP-adressen mogen worden bewaard en door een onafhankelijke administratieve autoriteit als Hadopi mogen worden geraadpleegd teneinde de houders van die adressen te identificeren die ervan worden verdacht inbreuk te hebben gemaakt op het auteursrecht, zonder dat de toegang tot deze gegevens vooraf door een rechter of een onafhankelijke administratieve entiteit wordt getoetst, al bij al met de in de rechtspraak van het Hof neergelegde beginselen strookt wanneer die gegevens het enige middel vormen voor de identificatie van de persoon aan wie het IP-adres was toegewezen toen de inbreuk werd gepleegd, zodat artikel 15, lid 1, van richtlijn 2002/58 aldus moet worden uitgelegd dat het zich niet verzet tegen een dergelijke regeling.

77. Los van deze overwegingen die specifiek verband houden met het hoofdgeding, moet ik nog enkele meer algemene opmerkingen formuleren over de noodzaak van deze ontwikkeling van de rechtspraak van het Hof.

C. Noodzakelijke en beperkte ontwikkeling van de rechtspraak

78. Tal van argumenten pleiten voor een verdere verfijning van de rechtspraak van het Hof over de bewaring van en de toegang tot gegevens zoals IP-adressen die zijn gekoppeld aan gegevens over de burgerlijke identiteit.

79. In de eerste plaats – en zoals ik reeds heb benadrukt(32) – is het verkrijgen van gegevens over de burgerlijke identiteit die met IP-adressen overeenkomen, in de situatie van het hoofdgeding het enige onderzoeksmiddel aan de hand waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen toen de inbreuk werd gepleegd.

80. Hieruit volgt noodzakelijkerwijs dat indien het Hof zou oordelen dat artikel 15, lid 1, van richtlijn 2002/58 zich toch verzet tegen de bewaring van en de toegang tot die gegevens, de nationale autoriteiten de facto zouden worden beroofd van dit enige identificatiemiddel, waardoor de plegers van het strafbare feit in kwestie nooit zouden kunnen worden vervolgd.(33) In mijn eerste conclusie heeft dit mij ertoe gebracht om de mogelijkheid van systemische straffeloosheid voor dat strafbare feit aan de orde te stellen.(34)

81. Zoals de Tsjechische regering ter terechtzitting heeft betoogd, is het risico op systemische straffeloosheid niet beperkt tot inbreuken op het auteursrecht die worden gepleegd op peer-to-peernetwerken, maar bestaat dit risico ten aanzien van alle strafbare feiten die uitsluitend online worden gepleegd.

82. Strafbare feiten waarvan de pleger alleen aan de hand van zijn IP-adres kan worden geïdentificeerd, zouden nooit kunnen worden vervolgd en de daarvoor geldende strafbepalingen zouden nooit kunnen worden toegepast mocht worden geoordeeld dat zowel de bewaring van als de toegang tot de betreffende gegevens in strijd is met het Unierecht.

83. Dienaangaande merk ik op dat het klopt dat – zoals verzoekers in het hoofdgeding hebben aangevoerd – andere middelen het in theorie mogelijk zouden kunnen maken om de plegers van bepaalde uitsluitend online gepleegde strafbare feiten te identificeren. Zo vermelden zij in het bijzonder op sociale netwerken gebruikte inloggegevens en aan het account van de gebruiker gekoppelde gegevens, zijn e-mailadres, zijn telefoonnummer of enige andere informatie die de betrokkene over zijn privéleven zou hebben onthuld. Om dergelijke gegevens aan de identiteit van de persoon te kunnen koppelen, is echter diepgaand onderzoek noodzakelijk waarbij de onlineactiviteiten van de betrokken internetgebruiker worden onderzocht. De aanwending van dergelijke onderzoeksmiddelen lijkt het mij dan ook – anders dan het gebruik van het IP-adres alleen – mogelijk te maken om zeer nauwkeurige conclusies te trekken over het privéleven van personen, zodat de bewaring van en de toegang tot die gegevens in dat opzicht in strijd zouden zijn met artikel 15, lid 1, van richtlijn 2002/58.

84. De toegang tot gegevens over de burgerlijke identiteit die overeenkomen met het IP-adres van een internetgebruiker is dan ook weliswaar niet het enige theoretische onderzoeksmiddel aan de hand waarvan kan worden vastgesteld wie de houder van dat adres was toen de inbreuk werd gepleegd, maar wel het enige onderzoeksmiddel dat het mogelijk maakt om die persoon te vervolgen op een wijze die het minst inbreuk maakt op diens grondrechten, zodat algemene straffeloosheid wordt voorkomen.

85. In de tweede plaats wil ik nogmaals benadrukken dat die oplossing het volgens mij mogelijk maakt om twee lijnen in de rechtspraak van het Hof met elkaar te verzoenen. Deze twee lijnen zijn de bron van een zekere spanning waarop ik had gewezen in mijn eerste conclusie(35) en in mijn conclusie in de zaak M.I.C.M(36). Het gaat enerzijds om de rechtspraak over de bewaring van en de toegang tot gegevens, en anderzijds om de rechtspraak over de mededeling van aan de bron van een verbinding toegewezen IP-adressen in het kader van beroepen die particulieren hebben ingesteld met het oog op de bescherming van intellectuele-eigendomsrechten.

86. In de derde plaats moet de rechtspraak van het Hof sinds de arresten Tele2 en La Quadrature du Net e.a. weliswaar worden verwelkomd – omdat zij heeft gezorgd voor de invoering van een kader ter bescherming van de grondrechten van gebruikers van elektronische-communicatiediensten – maar wordt zij niettemin gekenmerkt door enige casuïstiek. Naarmate zaken werden voorgelegd aan het Hof, heeft dit zijn rechtspraak immers geleidelijk verfijnd, waardoor het uiteenlopende nationale regelingen kon toetsen aan artikel 15, lid 1, van richtlijn 2002/58. Het Hof kan echter niet anticiperen op alle denkbare maatregelen die zouden kunnen worden getoetst aan deze bepaling. Dit wordt overigens bevestigd door het aantal prejudiciële verwijzingen(37) dat betrekking heeft op die bepaling en dat sinds het arrest Tele2 bij het Hof is ingekomen, waaruit mijns inziens blijkt hoe moeilijk het voor de nationale rechterlijke instanties kan zijn om de in de rechtspraak van het Hof neergelegde beginselen toe te passen op situaties die verschillen van die welke hebben geleid tot de arresten in kwestie.(38)

87. Hieruit volgt mijns inziens dan ook dat enige mate van flexibiliteit noodzakelijk is wanneer aan het Hof maatregelen worden voorgelegd die in eerdere arresten niet konden worden voorzien, zoals nooit eerder onder de aandacht van het Hof gebrachte regelingen die betrekking hebben op strafbare feiten die alleen kunnen worden vervolgd voor zover met IP-adressen overeenkomende gegevens over de burgerlijke identiteit worden bewaard en toegankelijk zijn.

88. Anders dan de Deense regering had betoogd, dient de rechtspraak van het Hof dus niet te worden heroverwogen, maar moet veeleer worden erkend dat op basis van de aan die rechtspraak ten grondslag liggende beginselen in zeer beperkte omstandigheden een meer genuanceerde oplossing kan worden uitgewerkt.

89. De door mij voorgestelde uitlegging van artikel 15, lid 1, van richtlijn 2002/58 staat de bewaring van en de toegang tot gegevens over de burgerlijke identiteit die overeenkomen met IP-adressen namelijk alleen toe met het oog op de vervolging van strafbare feiten waarvan de plegers zonder die gegevens niet zouden kunnen worden geïdentificeerd. Zij heeft dus alleen betrekking op uitsluitend online gepleegde strafbare feiten en doet geen afbreuk aan de in de rechtspraak geformuleerde oplossingen die betrekking hebben op de bewaring van en de toegang tot uitgebreidere gegevens, waarmee andere doelstellingen worden nagestreefd.

V. Conclusie

90. Gelet op een en ander geef ik het Hof in overweging de door de Conseil d’État gestelde prejudiciële vragen te beantwoorden als volgt:

„Artikel 15, lid 1, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie,

moet aldus worden uitgelegd dat:

het zich niet verzet tegen een nationale regeling op grond waarvan gegevens over de burgerlijke identiteit die overeenkomen met IP-adressen mogen worden bewaard door aanbieders van elektronische-communicatiediensten en – enkel deze gegevens -mogen worden geraadpleegd door een administratieve autoriteit die belast is met de bescherming van het auteursrecht en de naburige rechten tegen op het internet gepleegde inbreuken op deze rechten, opdat deze autoriteit de houders van deze adressen die ervan worden verdacht die inbreuken te hebben gepleegd kan identificeren en eventueel maatregelen tegen hen kan treffen, zonder dat de toegang vooraf door een rechter of onafhankelijke administratieve entiteit wordt getoetst, wanneer die gegevens het enige onderzoeksmiddel vormen aan de hand waarvan de personen kunnen worden geïdentificeerd aan wie die adressen waren toegewezen toen de inbreuk werd gepleegd.”

1 Oorspronkelijke taal: Frans.

2 Richtlijn van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB 2002, L 201, blz. 37; hierna: „richtlijn 2002/58”), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 (PB 2009, L 337, blz. 11).

3 Richtlijn van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31).

4 JORF van 7 maart 2010, tekst nr. 19.

5 JORF van 31 juli 2021, tekst nr. 1. Deze versie van artikel L. 34‑1 CPCE, die sinds 31 juli 2021 van kracht is, is vastgesteld naar aanleiding van de beslissing van de Conseil d’État van 21 april 2021, nr. 393099 (JORF van 25 april 2021), waarbij de voorgaande versie van dat artikel nietig is verklaard. Deze eerdere versie legde de verplichting op om persoonsgegevens te bewaren „ten behoeve van het onderzoeken, opsporen, vaststellen en vervolgen van strafbare feiten of van een geval van niet-nakoming van de in artikel L. 336‑3 [CPI] omschreven verplichting” met als enige oogmerk om, indien nodig, deze gegevens aan onder meer Hadopi ter beschikking te stellen. Bij beslissing nr. 2021‑976‑977 QPC van 25 februari 2022 (Habib A. e.a.) heeft de Conseil constitutionnel (grondwettelijk hof, Frankrijk) die vorige versie van artikel L. 34‑1 CPCE strijdig met de Franse grondwet verklaard, in wezen omdat „de bestreden bepalingen, door de algemene en ongedifferentieerde bewaring van aansluitingsgegevens toe te staan, op onevenredige wijze inbreuk [maakten] op het recht op eerbiediging van het privéleven” (punt 13). Die rechterlijke instantie was namelijk van oordeel dat de aansluitingsgegevens die krachtens die bepalingen moesten worden bewaard, niet enkel betrekking hadden op de identificatie van de gebruikers van elektronische-communicatiediensten, maar ook op andere gegevens die, „gezien hun aard en verscheidenheid en de verwerking die zij kunnen ondergaan, veel en nauwkeurige informatie verschaffen over deze gebruikers en in voorkomend geval over derden, wat hun privéleven ernstig aantast” (punt 11).

6 Op 1 januari 2022 zijn de Conseil supérieur de l'audiovisuel (CSA, hoge raad voor de audiovisuele sector) en Hadopi opgegaan in de Autorité de régulation de la communication audiovisuelle et numérique (Arcom, regulerende autoriteit voor audiovisuele en digitale communicatie). Gezien de periode waarin de feiten in het hoofdgeding hebben plaatsgevonden, zal ik in deze conclusie evenwel verwijzen naar Hadopi.

7 In dit verband handhaaf ik ook mijn voorstel tot herformulering van de prejudiciële vragen en mijn opvatting van het voorwerp van die vragen. Hoewel er in de prejudiciële vragen alleen sprake is van toegang tot gegevens over de burgerlijke identiteit die overeenkomen met IP-adressen, is de toegang tot de gegevens in kwestie namelijk onlosmakelijk verbonden met de bewaring ervan door de aanbieders van elektronische-communicatiediensten, zodat eerst moet worden onderzocht of de bewaring van deze gegevens verenigbaar is met het Unierecht en dan pas kan worden onderzocht of het met het Unierecht verenigbaar is dat die gegevens worden geraadpleegd. Zie dienaangaande de punten 45 e.v. van mijn eerste conclusie. Evenzo hebben de prejudiciële vragen weliswaar alleen betrekking op „de met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit”, maar moeten zij aldus worden opgevat dat zij tevens zien op de toegang tot IP-adressen waarmee de bron van een verbinding kan worden geïdentificeerd. Zie dienaangaande de punten 41 e.v. van mijn eerste conclusie.

8 Arrest van 21 december 2016 (C‑203/15 en C‑698/15, EU:C:2016:970; hierna: „arrest Tele2”).

9 Arret van 6 oktober 2020 (C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791; hierna: „arrest La Quadrature du Net e.a.”).

10 Zie dienaangaande besluit nr. 2010‑225 van de CNIL van 10 juni 2010 tot wijziging van de aan de Société des auteurs compositeurs et éditeurs de musique (SACEM, Frans auteursrechtenbureau voor muziekwerken) verleende toestemming voor de verwerking van persoonsgegevens met het oog op de opsporing en vaststelling van via peer-to-peernetwerken voor bestandsdeling gepleegde inbreuken op het auteursrecht (toestemming nr. 1425421).

11 Over de werking van peer-to-peernetwerken en de verschillende profielen van gebruikers van die netwerken, zie mijn conclusie in de zaak M.I.C.M. (C‑597/19, EU:C:2020:1063, punten 37 e.v.).

12 Punten 53 e.v. van mijn eerste conclusie.

13 In de context van richtlijn 2002/58 komen het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens tot uitdrukking in de in die richtlijn neergelegde beginselen van vertrouwelijkheid van communicatie en van het verbod om daarmee verband houdende gegevens op te slaan.

14 Arrest La Quadrature du Net e.a. (punten 120‑122, 127 en 128), en arresten van 5 april 2022, Commissioner of An Garda Síochána e.a. (C‑140/20, EU:C:2022:258, punten 48 en 50; hierna: „arrest Commissioner of An Garda Síochána e.a.^{”), en} 20 september 2022, SpaceNet en Telekom Deutschland (C‑793/19 en C‑794/19, EU:C:2022:702, punten 63 en 65; hierna: „arrest SpaceNet en Telekom Deutschland^”).

15 Arresten La Quadrature du Net e.a. (punt 129), Commissioner of An Garda Síochána e.a. (punt 51) en SpaceNet en Telekom Deutschland (punt 66).

16 Arresten Commissioner of An Garda Síochána e.a. (punt 56) en SpaceNet en Telekom Deutschland (punt 71).

17 Arrest Tele2 (punt 115), en arresten van 2 oktober 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, punt 56), en 2 maart 2021, Prokuratuur (Voorwaarden voor toegang tot elektronische-communicatiegegevens) (C‑746/18, EU:C:2021:152, punt 33; hierna: „arrest Prokuratuur”). Zie ook punt 92 van mijn eerste conclusie.

18 Zie arresten La Quadrature du Net e.a. (punten 152 en 153), Commissioner of An Garda Síochána e.a. (punt 73) en SpaceNet en Telekom Deutschland (punt 103). Zie ook de punten 63, 64 en 93 van mijn eerste conclusie.

19 In mijn eerste conclusie heb ik betoogd dat het begrip „zware criminaliteit” autonoom moet worden uitgelegd om te vermijden dat de lidstaten de voorschriften van artikel 15, lid 1, van richtlijn 2002/58 omzeilen. Ik blijf bij dat standpunt. Ik moet echter benadrukken dat zelfs indien het Hof zou oordelen dat de definitie van het begrip „zware criminaliteit” aan de lidstaten wordt overgelaten, deze definitie hoe dan ook binnen de grenzen van het Unierecht moet worden opgesteld en niet zodanig mag worden verruimd dat die bepaling wordt uitgehold.

20 Punt 101 van mijn eerste conclusie.

21 Arresten La Quadrature du Net e.a. (punten 120‑122 en 132), Commissioner of An Garda Síochána e.a. (punten 48 en 54) en SpaceNet en Telekom Deutschland (punten 63 en 69).

22 Punt 78 van mijn eerste conclusie.

23 Arresten La Quadrature du Net e.a. (punt 154), Commissioner of An Garda Síochána e.a. (punt 73) en SpaceNet en Telekom Deutschland (punt 100).

24 Arrest Commissioner of An Garda Síochána e.a. (punt 69).

25 Punt 81 van mijn eerste conclusie. Zie dienaangaande ook de punten 79 e.v. van deze conclusie.

26 Arresten Tele2 (punt 120), Prokuratuur (punten 51 en 52) en Commissioner of An Garda Síochána e.a. (punten 106 en 107).

27 Arresten Tele2 en Commissioner of An Garda Síochána e.a.

28 Arrest Prokuratuur.

29 Arrest Prokuratuur (punt 36).

30 Punt 102 van mijn eerste conclusie.

31 Punt 33 van deze conclusie.

32 Punt 59 van deze conclusie.

33 Punt 62 van deze conclusie.

34 Punten 78 e.v. van mijn eerste conclusie.

35 Punten 69 e.v. van mijn eerste conclusie.

36 C‑597/19, EU:C:2020:1063.

37 Arrest van 2 oktober 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788), en arresten La Quadrature du Net e.a., Prokuratuur, Commissioner of An Garda Síochána e.a. en SpaceNet en Telekom Deutschland.

38 In dit verband kan het toenemende aantal verzoeken om een prejudiciële beslissing over de uitlegging van artikel 15, lid 1, van richtlijn 2002/58 ook wijzen op enige terughoudendheid van de nationale rechters om de door het Hof ontwikkelde beginselen toe te passen op enigszins verschillende situaties, en dit wegens de specifieke kenmerken van de nationale rechtsorden. Zie dienaangaande onder meer Cameron, I., „Metadata retention and national security: Privacy international en La Quadrature du Net”, Common Market Law Review, 2021, deel 58, nr. 5, blz. 1433‑1471, of Bertrand, B., „L’audace sans le tact: jusqu’où la Cour de justice peut-elle aller trop loin?”, Dalloz IP/IT, 2021, nr. 9, blz. 468‑472. Daarom lijkt het mij des te belangrijker dat het Hof, om een vruchtbare dialoog tussen het Hof en de rechterlijke instanties van de lidstaten in stand te houden, blijk kan geven van aanpassingsvermogen wanneer de omstandigheden dit vereisen. Zoals in de rechtsleer is opgemerkt, kan het door de rechtspraak van het Hof ingestelde hoge beschermingsniveau niet echt doeltreffend zijn zonder de steun van de nationale rechterlijke instanties, die in de eerste plaats verantwoordelijk zijn voor de handhaving ervan. Zie dienaangaande onder meer Teyssedre, J., „Strictly regulated retention and access regimes for metadata: Commissioner of An Garda Siochana”, Common Market Law Review, deel 60, nr. 2, 2023, blz. 569‑588, en Sirinelli, J., „La protection des données de connexion par la Cour de justice: cartographie d’une jurisprudence européenne inédite”, Revue trimestrielle de droit européen, deel 57, nr. 2, 2021, blz. 313‑329.