Sprawa C‑470/21

La Quadrature du Net
i
Fédération des fournisseurs d’accès à Internet associatifs
i
Franciliens.net i French Data Network

przeciwko

Premier ministre
i
Ministère de la Culture

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Conseil d’État (Francja)]

Wyrok Trybunału (pełny skład) z dnia 30 kwietnia 2024 r.

Odesłanie prejudycjalne – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58/WE – Poufność komunikacji elektronicznej – Ochrona – Artykuł 5 i art. 15 ust. 1 – Karta praw podstawowych Unii Europejskiej – Artykuły 7, 8 i 11 oraz art. 52 ust. 1 – Przepisy krajowe mające na celu zwalczanie, poprzez działania podejmowane przez organ publiczny, naruszeń praw własności intelektualnej, do których dochodzi w Internecie – Tak zwana procedura stopniowej odpowiedzi – Mające miejsce w pierwszej kolejności zbieranie, przez organizacje zrzeszające uprawnionych, adresów IP wykorzystywanych do aktywności naruszającej prawa autorskie lub prawa pokrewne – Mający miejsce w drugiej kolejności dostęp odpowiedzialnego za ochronę praw autorskich i praw pokrewnych organu publicznego do przechowywanych przez dostawców usług łączności elektronicznej danych dotyczących tożsamości cywilnej odpowiadających tym adresom IP – Przetwarzanie zautomatyzowane – Wymóg dokonania uprzedniej kontroli przez sąd lub niezależny organ administracyjny – Warunki materialne i proceduralne – Gwarancje chroniące przed ryzykiem nadużyć oraz przed wszelkim niezgodnym z prawem dostępem do tych danych i wszelkim niezgodnym z prawem ich wykorzystywaniem

1. Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych – Rozporządzenie 2016/679 – Pojęcie przetwarzania danych osobowych – Zbieranie, przez organizacje zrzeszające uprawnionych, adresów IP użytkowników sieci peer‑to‑peer na potrzeby ich wykorzystania w postępowaniach administracyjnych lub sądowych – Włączenie

   [rozporządzenie Parlamentu Europejskiego i Rady 2016/679, art. 4 pkt 2, art. 6 ust. 1 akapit pierwszy lit. f)]

   (zob. pkt 54, 60–62)

2. Zbliżanie ustawodawstw – Sektor telekomunikacji – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58 – Zakres stosowania – Powiązanie, przez dostawców usług łączności elektronicznej, zebranych adresów IP z posiadaczami tych adresów na potrzeby wykorzystania owych danych w postępowaniach administracyjnych lub sądowych – Włączenie

   (dyrektywa 2002/58 Parlamentu Europejskiego i Rady, zmieniona dyrektywą 2009/136, art. 3)

   (zob. pkt 55, 63)

3. Zbliżanie ustawodawstw – Sektor telekomunikacji – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58 – Możliwość ograniczenia przez państwa członkowskie zakresu pewnych praw i obowiązków – Uregulowanie krajowe przewidujące uogólnione i niezróżnicowane przechowywanie danych dotyczących tożsamości cywilnej odpowiadających adresom IP – Cel polegający na zwalczaniu ogółu czynów zabronionych – Dopuszczalność – Warunki – Obowiązek przewidzenia przez państwo członkowskie rygorystycznych wymogów dotyczących zasad przechowywania owych danych

   (Karta praw podstawowych Unii Europejskiej, art. 7, 8, 11, art. 52 ust. 1; dyrektywa 2002/58 Parlamentu Europejskiego i Rady, zmieniona dyrektywą 2009/136, art. 15 ust. 1)

   (zob. pkt 65–70, 73–93)

4. Zbliżanie ustawodawstw – Sektor telekomunikacji – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58 – Możliwość ograniczenia przez państwa członkowskie zakresu pewnych praw i obowiązków – Uregulowanie krajowe pozwalające organowi publicznemu na dostęp do danych dotyczących tożsamości cywilnej odpowiadających adresom IP – Uregulowanie mające na celu zwalczanie naruszeń praw autorskich i praw pokrewnych, do których dochodzi w Internecie – Dopuszczalność – Warunki

   (Karta praw podstawowych Unii Europejskiej, art. 7, 8, 11, art. 52 ust. 1; dyrektywa 2002/58 Parlamentu Europejskiego i Rady, zmieniona dyrektywą 2009/136, art. 15 ust. 1)

   (zob. pkt 95–104, 110–114, 116–119, 122, 164; sentencja)

5. Zbliżanie ustawodawstw – Sektor telekomunikacji – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58 – Możliwość ograniczenia przez państwa członkowskie zakresu pewnych praw i obowiązków – Uregulowanie krajowe pozwalające organowi publicznemu na dostęp do danych dotyczących tożsamości cywilnej odpowiadających adresom IP – Uregulowanie mające na celu zwalczanie naruszeń praw autorskich i praw pokrewnych, do których dochodzi w Internecie – Wymóg dokonania kontroli przez sąd lub niezależny organ administracyjny przed uzyskaniem dostępu do owych danych – Zakres – Tryb owej uprzedniej kontroli

   (Karta praw podstawowych Unii Europejskiej, art. 7, 8, 11, art. 52 ust. 1; dyrektywa 2002/58 Parlamentu Europejskiego i Rady, zmieniona dyrektywą 2009/136, art. 15 ust. 1)

   (zob. pkt 124–143, 145, 146, 148–151, 164; sentencja)

6. Zbliżanie ustawodawstw – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych w sprawach karnych – Dyrektywa 2016/680 – Zakres stosowania – Pojęcie organu publicznego – Organ krajowy nieposiadający uprawnień decyzyjnych, odpowiedzialny za ostrzeganie osób podejrzewanych o dopuszczenie się czynów zabronionych – Włączenie – Stosowanie gwarancji materialnych i proceduralnych

   (dyrektywa Parlamentu Europejskiego i Rady 2016/680, art. 3)

   (zob. pkt 157–163)

Streszczenie

W ostatnich latach Trybunał wielokrotnie orzekał w przedmiocie przechowywania danych osobowych i dostępu do nich w dziedzinie łączności elektronicznej, w związku z czym w tym obszarze ukształtowało się bogate orzecznictwo ( 1 ). Trybunał, do którego z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym zwróciła się Conseil d’État (rada stanu, Francja), rozwinął to orzecznictwo, przedstawiając w wyroku, który zapadł w pełnym składzie, wyjaśnienia dotyczące, po pierwsze, warunków, w jakich uogólnionego przechowywania adresów IP przez dostawców usług łączności elektronicznej nie można postrzegać jako wiążącego się z poważną ingerencją w zagwarantowane w Karcie prawa do poszanowania życia prywatnego, do ochrony danych osobowych oraz do wolności wypowiedzi ( 2 ), oraz, po drugie, możliwości uzyskania przez organ publiczny dostępu do niektórych przechowywanych w poszanowaniu owych warunków danych osobowych w ramach zwalczania naruszeń praw własności intelektualnej, do których dochodzi w Internecie.

W rozpatrywanym wypadku cztery stowarzyszenia złożyły do premiera (Francja) wniosek o uchylenie décret relatif au traitement automatisé de données à caractère personnel (dekretu w sprawie zautomatyzowanego przetwarzania danych osobowych) ( 3 ). Z uwagi na to, że wniosek ten nie wywołał zamierzonych skutków, wspomniane stowarzyszenia wniosły do Conseil d’État (rady stanu) skargę o uchylenie tej dorozumianej decyzji oddalającej. Ich zdaniem ów dekret oraz przepisy, które stanowią jego podstawę prawną ( 4 ), naruszają prawo Unii.

Zgodnie z prawem francuskim Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi, wysoki urząd ds. rozpowszechniania utworów i ochrony praw w Internecie) – aby móc identyfikować osoby, które dopuściły się naruszeń praw autorskich lub praw pokrewnych w Internecie – jest upoważniony do dostępu do niektórych danych, które dostawcy usług łączności elektronicznej mają obowiązek przechowywać. Dane te odnoszą się do tożsamości cywilnej danej osoby, odpowiadającej jej adresowi IP zebranemu wcześniej przez organizacje zrzeszające uprawnionych. Po zidentyfikowaniu posiadacza adresu IP wykorzystanego do aktywności wiążącej się z takim naruszeniem Hadopi wszczyna tzw. procedurę stopniowej odpowiedzi. Konkretnie jest on uprawniony do wysłania tej osobie dwóch zaleceń, które są podobne do ostrzeżeń, a w przypadku kontynuacji aktywności – pisma informującego ją, że jej aktywność może być przedmiotem ścigania. Wreszcie ma on prawo zawiadomić prokuraturę w celu ścigania owej osoby ( 5 ).

W tym kontekście Conseil d’État (rada stanu) zwróciła się do Trybunału z pytaniami dotyczącymi wykładni dyrektywy o prywatności i łączności elektronicznej w świetle Karty ( 6 ).

Ocena Trybunału

W pierwszej kolejności, co się tyczy przechowywania danych dotyczących tożsamości cywilnej i odpowiadających im adresów IP, Trybunał podkreślił, że nie każde uogólnione i niezróżnicowane przechowywanie adresów IP stanowi w sposób konieczny poważną ingerencję w zagwarantowane w Karcie prawa do poszanowania życia prywatnego, do ochrony danych osobowych oraz do wolności wypowiedzi.

Obowiązek zapewnienia takiego przechowywania może być uzasadniony celem polegającym na zwalczaniu ogółu czynów zabronionych, jeżeli rzeczywiście wykluczono ewentualność wywołania przez owo przechowywanie poważnej ingerencji w życie prywatne osoby, której dane dotyczą, ze względu na możliwość wyciągnięcia precyzyjnych wniosków na temat jej życia prywatnego w szczególności poprzez powiązanie tych adresów IP ze zbiorem danych o ruchu lub danych dotyczących lokalizacji.

W związku z tym państwo członkowskie, które zamierza nałożyć na dostawców usług łączności elektronicznej taki obowiązek, musi zapewnić, by zasady przechowywania tych danych wykluczały możliwość wyciągnięcia precyzyjnych wniosków na temat życia prywatnego osób, których dane dotyczą.

Trybunał uściślił, że aby osiągnąć ten skutek, zasady przechowywania muszą odnosić się do samej struktury przechowywania, która zasadniczo musi być zorganizowana w taki sposób, aby gwarantować rzeczywiście szczelne odseparowanie poszczególnych kategorii przechowywanych danych. Przepisy krajowe dotyczące tych zasad muszą zatem zapewniać, aby każda kategoria danych, w tym dane dotyczące tożsamości cywilnej i adresy IP, była przechowywana w sposób w pełni odseparowany od pozostałych kategorii przechowywanych danych i aby to odseparowanie było rzeczywiście szczelne dzięki wykorzystaniu bezpiecznego i niezawodnego systemu informatycznego. Ponadto w zakresie, w jakim owe przepisy przewidują możliwość powiązania przechowywanych adresów IP z tożsamością cywilną osoby, której dane dotyczą, na potrzeby zwalczania czynów zabronionych, muszą one pozwalać na dokonanie takiego powiązania wyłącznie poprzez zastosowanie efektywnego rozwiązania technicznego, które nie wpływa na skuteczność szczelnego odseparowania tych kategorii danych. Niezawodność tego odseparowania musi podlegać regularnej kontroli osobnego organu publicznego. Pod warunkiem, że we właściwych przepisach krajowych przewidziano takie rygorystyczne wymogi, wynikającej z tego przechowywania adresów IP ingerencji nie można uznać za „poważną”.

W związku z tym Trybunał doszedł do wniosku, że w przypadku przyjęcia regulacji prawnej gwarantującej, że żadne powiązanie danych nie pozwala na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego osób, których dane są przechowywane, dyrektywa o prywatności i łączności elektronicznej w świetle Karty nie stoi na przeszkodzie nałożeniu przez państwo członkowskie obowiązku uogólnionego i niezróżnicowanego przechowywania adresów IP przez okres nieprzekraczający tego, co ściśle niezbędne, do celów zwalczania ogółu czynów zabronionych.

W drugiej kolejności, co się tyczy dostępu do danych dotyczących tożsamości cywilnej odpowiadających adresom IP, Trybunał orzekł, że dyrektywa o prywatności i łączności elektronicznej interpretowana w świetle Karty co do zasady nie stoi na przeszkodzie uregulowaniu krajowemu zezwalającemu organowi publicznemu na dostęp do tych danych przechowywanych przez dostawców usług łączności elektronicznej w sposób odseparowany i rzeczywiście szczelny, wyłącznie w tym celu, aby ów organ publiczny mógł zidentyfikować posiadaczy tych adresów podejrzewanych o dopuszczenie się naruszeń praw autorskich lub praw pokrewnych w Internecie i zastosować wobec nich środki. W takim przypadku uregulowanie krajowe musi zakazywać urzędnikom mającym taki dostęp, po pierwsze, ujawniania w jakiejkolwiek formie informacji na temat zawartości plików przeglądanych przez tych posiadaczy, z jedynym wyjątkiem wiążącym się z ujawnieniem ich w celu zawiadomienia prokuratury, po drugie, wszelkiego śledzenia historii treści przeglądanych przez owych posiadaczy, oraz po trzecie, wykorzystywania tych adresów IP do celów innych niż zastosowanie owych środków.

W tym kontekście Trybunał przypomniał w szczególności, że chociaż wolność wypowiedzi i poufność danych osobowych są kwestiami o fundamentalnym znaczeniu, to jednak te prawa podstawowe nie mają charakteru absolutnego. Przy dokonywaniu wyważenia wchodzących w grę praw i interesów muszą one bowiem niekiedy ustąpić przed innymi prawami podstawowymi i nadrzędnymi względami interesu ogólnego, takimi jak ochrona porządku publicznego, zapobieganie czynom zabronionym czy ochrona praw i wolności innych osób. Jest tak zwłaszcza w przypadku, gdy nadrzędna rola przypisywana owym kwestiom o fundamentalnym znaczeniu mogłaby prowadzić do ograniczenia skuteczności dochodzenia karnego, w szczególności poprzez uniemożliwienie lub nadmierne utrudnienie skutecznej identyfikacji sprawcy czynu zabronionego i nałożenia na niego kary.

W tym samym kontekście Trybunał odniósł się również do swojego orzecznictwa, zgodnie z którym w zakresie zwalczania czynów zabronionych naruszających prawa autorskie lub prawa pokrewne, do których dochodzi w Internecie, okoliczność, że dostęp do adresów IP może stanowić jedyny środek dochodzeniowy umożliwiający ustalenie tożsamości danej osoby, skłania do stwierdzenia, że przechowywanie tych adresów i dostęp do nich są ściśle niezbędne do osiągnięcia zamierzonego celu, a zatem spełniają wymóg proporcjonalności. Nieumożliwienie takiego dostępu wiązałoby się ponadto z rzeczywistym ryzykiem systemowej bezkarności w zakresie czynów zabronionych, które popełniono w Internecie bądź których popełnienie lub do których przygotowanie ułatwiają szczególne cechy Internetu. Otóż istnienie takiego ryzyka stanowi okoliczność istotną dla oceny, w ramach dokonywania wyważenia różnych wchodzących w grę praw i interesów, czy dana ingerencja w prawa do poszanowania życia prywatnego, do ochrony danych osobowych oraz do wolności wypowiedzi jest środkiem proporcjonalnym w świetle celu polegającego na zwalczaniu czynów zabronionych.

W trzeciej kolejności, wypowiadając się w kwestii, czy dostęp organu publicznego do danych dotyczących tożsamości cywilnej odpowiadających adresowi IP powinien być uzależniony od dokonania uprzedniej kontroli przez sąd lub niezależny organ administracyjny, Trybunał uznał, że wymóg takiej kontroli znajduje zastosowanie, gdy w kontekście uregulowania krajowego dostęp ten wiąże się z ryzykiem poważnej ingerencji w prawa podstawowe osoby, której dane dotyczą, w tym znaczeniu, że mógłby on pozwolić temu organowi publicznemu na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego tej osoby i, w stosownych przypadkach, na ustalenie jej szczegółowego profilu. Ów wymóg uprzedniej kontroli nie ma natomiast zastosowania, gdy ingerencji w prawa podstawowe nie można uznać za poważną.

W tym względzie Trybunał wyjaśnił, że w razie wprowadzenia mechanizmu przechowywania gwarantującego rzeczywiście szczelne odseparowanie poszczególnych kategorii przechowywanych danych dostęp organu publicznego do danych dotyczących tożsamości cywilnej odpowiadających adresom IP co do zasady nie jest uzależniony od wymogu uprzedniej kontroli. Taki dostęp wyłącznie w celu zidentyfikowania posiadacza adresu IP zasadniczo nie stanowi bowiem poważnej ingerencji w wyżej wymienione prawa.

Trybunał nie wykluczył jednak istnienia – w nietypowych sytuacjach – ryzyka, że w ramach procedury takiej jak procedura stopniowej odpowiedzi rozpatrywana w postępowaniu głównym organ publiczny może wyciągnąć precyzyjne wnioski na temat życia prywatnego osoby, której dane dotyczą, w szczególności wtedy, gdy osoba ta podejmuje aktywność naruszającą prawa autorskie lub prawa pokrewne w sieciach peer‑to‑peer wielokrotnie, czy wręcz na dużą skalę, w związku z chronionymi utworami określonego rodzaju, co może prowadzić do ujawnienia informacji, potencjalnie wrażliwych, na temat jej życia prywatnego.

W rozpatrywanym wypadku posiadacze adresów IP mogli być szczególnie narażeni na takie ryzyko wtedy, gdy organ publiczny miał podjąć decyzję o ewentualnym zawiadomieniu prokuratury w celu ich ścigania. Intensywność naruszenia prawa do poszanowania życia prywatnego mogła bowiem wzrastać w miarę osiągania przez procedurę stopniowej odpowiedzi, która przebiega w trybie sekwencyjnym, poszczególnych etapów, które się na nią składają. Dostęp właściwego organu do zbioru zgromadzonych na poszczególnych etapach tej procedury danych osoby, której one dotyczą, mógł pozwalać na wyciągnięcie precyzyjnych wniosków na temat jej życia prywatnego. W związku z tym uregulowanie krajowe musi przewidywać uprzednią kontrolę, która powinna mieć miejsce, zanim organ publiczny będzie mógł powiązać dane dotyczące tożsamości cywilnej z takim zbiorem danych, a także przed ewentualnym wysłaniem pisma informującego, w którym stwierdza się, że osoba ta dopuściła się czynów, które mogą być przedmiotem ścigania. Kontrola ta musi ponadto pozwolić na zachowanie skuteczności procedury stopniowej odpowiedzi poprzez umożliwienie w szczególności wykrywania przypadków możliwego kolejnego ponowienia danego zachowania noszącego znamiona czynu zabronionego. Aby osiągnąć ten skutek, procedura ta powinna być zorganizowana i ustrukturyzowana w taki sposób, aby dane dotyczące tożsamości cywilnej danej osoby odpowiadające zebranym wcześniej w Internecie adresom IP nie mogły być przez osoby odpowiedzialne w ramach właściwego organu publicznego za analizę zdarzeń automatycznie powiązane z elementami, którymi organ ten już dysponuje i które mogłyby pozwalać na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego tej osoby.

Ponadto, co się tyczy przedmiotu uprzedniej kontroli, Trybunał zauważył, że w przypadku gdy osobę, której dane dotyczą, podejrzewa się o to, że dopuściła się naruszenia należącego do czynów zabronionych w ujęciu ogólnym, sąd lub niezależny organ administracyjny odpowiedzialny za tę kontrolę musi odmówić dostępu, gdyby dostęp ten pozwalał organowi publicznemu, który zawnioskował o jego udzielenie, na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego wspomnianej osoby. Należy natomiast dopuścić możliwość udzielenia nawet takiego dostępu, który pozwala na wyciągnięcie takich precyzyjnych wniosków, w przypadku gdy osobę, której dane dotyczą, podejrzewa się o to, że dopuściła się występków, które dane państwo członkowskie uznało za naruszające jeden z podstawowych interesów społeczeństwa i należące w związku z tym do form poważnej przestępczości.

Trybunał wyjaśnił również, że uprzednia kontrola w żadnym razie nie może być w pełni zautomatyzowana, ponieważ – w odniesieniu do dochodzenia karnego – taka kontrola wymaga wyważenia uzasadnionych interesów związanych ze zwalczeniem przestępczości z jednej strony oraz poszanowania życia prywatnego i ochrony danych osobowych z drugiej strony. Owo wyważenie wymaga udziału osoby fizycznej, który jest tym bardziej niezbędny, że zautomatyzowanie i duża skala rozpatrywanego przetwarzania danych wiążą się z ryzykiem dla życia prywatnego.

Trybunał doszedł zatem do wniosku, że możliwość powiązania, przez osoby odpowiedzialne w ramach organu publicznego za analizę zdarzeń, danych dotyczących tożsamości cywilnej danej osoby odpowiadających adresowi IP z plikami zawierającymi elementy umożliwiające poznanie tytułów utworów chronionych, których udostępnienie w Internecie uzasadniało zebranie adresów IP przez organizacje zrzeszające uprawnionych, musi być uzależniona – w przypadkach kolejnego ponowienia aktywności naruszającej prawa autorskie lub prawa pokrewne przez tę samą osobę – od dokonania przez sąd lub niezależny organ administracyjny kontroli. Kontrola ta nie może być w pełni zautomatyzowana i powinna mieć miejsce przed dokonaniem takiego powiązania, które może w takich przypadkach pozwolić na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego wspomnianej osoby, której adres IP wykorzystano do aktywności mogącej naruszać prawa autorskie lub prawa pokrewne.

W czwartej i ostatniej kolejności Trybunał wskazał, że system przetwarzania danych wykorzystywany przez organ publiczny musi podlegać w regularnych odstępach czasu kontroli niezależnego organu mającego status strony trzeciej w stosunku do tego organu publicznego. Kontrola ta ma na celu weryfikację integralności systemu, w tym skutecznych gwarancji chroniących przed ryzykiem takiego dostępu do tych danych lub takiego ich wykorzystywania, które nosiłyby znamiona nadużycia lub byłyby niezgodne z prawem, oraz jego skuteczności i niezawodności w wykrywaniu ewentualnych uchybień.

W tym kontekście Trybunał zauważył, że w rozpatrywanym wypadku zautomatyzowane przetwarzanie danych osobowych dokonywane przez organ publiczny na podstawie informacji dotyczących naruszeń praw własności intelektualnej stwierdzanych przez organizacje zrzeszające uprawnionych mogło wiązać się z pewną liczbą „fałszywych alarmów” oraz, przede wszystkim, z ryzykiem niewłaściwego wykorzystania przez osoby trzecie potencjalnie bardzo dużej ilości danych w celach noszących znamiona nadużycia lub niezgodnych z prawem, co uzasadnia konieczność takiej kontroli.

Trybunał dodał ponadto, że przetwarzanie to musi być zgodne z dotyczącymi ochrony danych osobowych przepisami szczególnymi przewidzianymi w dyrektywie 2016/680 ( 7 ). Nawet bowiem jeżeli w rozpatrywanym wypadku organ publiczny nie posiadał własnych uprawnień decyzyjnych w ramach tzw. procedury stopniowej odpowiedzi, należało uznać, że jest on „organem publicznym” zaangażowanym w zapobieganie czynom zabronionym i wykrywanie takich czynów, w związku z czym jest objęty jej zakresem stosowania. Osobom uczestniczącym w takiej procedurze musi wobec tego przysługiwać szereg gwarancji materialnych i proceduralnych, jakich wymaga dyrektywa 2016/680, a do sądu odsyłającego należy zweryfikowanie, czy przepisy krajowe je przewidują.

( 1 ) Zobacz w szczególności wyroki: z dnia 21 grudnia 2016 r., Tele2 Sverige i Watson i in. (C‑203/15 i C‑698/15, EU:C:2016:970); z dnia 2 października 2018 r., Ministerio Fiscal (C‑207/16, EU:C:2018:788); z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791); z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej) (C‑746/18, EU:C:2021:152); z dnia 17 czerwca 2021 r., M.I.C.M. (C‑597/19, EU:C:2021:492); z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in. (C‑140/20, EU:C:2022:258).

( 2 ) Artykuły 7, 8 i 11 Karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą”).

( 3 ) Décret no 2010‑236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331‑29 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet » (dekret nr 2010‑236 z dnia 5 marca 2010 r. w sprawie zautomatyzowanego przetwarzania danych osobowych dopuszczonego w art. L. 331‑29 kodeksu własności intelektualnej, zwanego „systemem zarządzania środkami ochrony utworów w Internecie”) (JORF nr 56 z dnia 7 marca 2010 r., akt nr 19), zmieniony décret no 2017‑924 du 6 mai 2017 relatif à la gestion des droits d’auteur et des droits voisins par un organisme de gestion de droits et modifiant le code de la propriété intellectuelle (dekretem nr 2017‑924 z dnia 6 maja 2017 r. w sprawie zarządzania prawami autorskimi i prawami pokrewnymi przez organizację zarządzania prawami, zmieniającym kodeks własności intelektualnej) (JORF nr 109 z dnia 10 maja 2017 r., akt nr 176).

( 4 ) W szczególności art. L. 331‑21 akapity od trzeciego do piątego code de la propriété intellectuelle (kodeksu własności intelektualnej).

( 5 ) W dniu 1 stycznia 2022 r. Hadopi połączono z Conseil supérieur de l’audiovisuel (CSA, wyższą radą ds. radiofonii i telewizji), będącą innym niezależnym organem publicznym, tworząc Autorité de régulation de la communication audiovisuelle et numérique (ARCOM, organ ds. regulacji komunikacji radiowo‑telewizyjnej i cyfrowej). Procedura stopniowej odpowiedzi pozostała jednak zasadniczo niezmieniona.

( 6 ) Artykuł 15 ust. 1 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37), zmienionej dyrektywą Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r. (Dz.U. 2009, L 337, s. 11) (zwanej dalej „dyrektywą o prywatności i łączności elektronicznej”), w świetle art. 7, 8 i 11 oraz art. 52 ust. 1 Karty.

( 7 ) Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. 2016, L 119, s. 89).