Quadro jurídico

Direito da União

Regulamentação geral relativa à proteção dos dados pessoais

– Diretiva 95/46/CE

– RGPD

Regulamentação setorial relativa à proteção de dados pessoais

– Diretiva 2002/58

– Diretiva (UE) 2016/680

Regulamentação relativa à proteção dos direitos de propriedade intelectual

Direito francês

CPI

Decreto n.o 2010‑236

Code des postes et des communications électroniques (Código das Comunicações Postais e Eletrónicas)

Litígio no processo principal e questões prejudiciais

Quanto às questões prejudiciais

Observações preliminares

Quanto à existência de uma justificação ao abrigo do artigo 15.o, n.o 1, da Diretiva 2002/58 para o acesso de uma autoridade pública a dados relativos à identidade civil correspondente a um endereço IP conservados pelos prestadores de serviços de comunicações eletrónicas para efeitos do combate à contrafação cometida em linha

Quanto às exigências que envolvem a conservação dos dados relativos à identidade civil e aos endereços IP correspondentes pelos prestadores de serviços de comunicações eletrónicas

Quanto às exigências que envolvem o acesso aos dados relativos à identidade civil correspondente a um endereço IP conservados pelos prestadores de serviços de comunicações eletrónicas

Quanto à exigência de um controlo por um órgão jurisdicional ou por uma entidade administrativa independente antes do acesso por uma autoridade pública a dados relativos à identidade civil correspondente a um endereço IP

Quanto às exigências relativas às condições materiais e processuais, bem como às garantias contra os riscos de abuso e contra qualquer acesso e qualquer utilização ilícitos desses dados que se impõem ao acesso por uma autoridade pública a dados relativos à identidade civil correspondente a um endereço IP

Quanto às despesas

–

em representação da La Quadrature du Net, da Fédération des fournisseurs d’accès à Internet associatifs, da Franciliens.net e da French Data Network, por A. Fitzjean Ó Cobhthaigh, avocat,

–

em representação do Governo Francês, por A. Daniel, A.‑L. Desjonquères e J. Illouz, na qualidade de agentes,

–

em representação do Governo Dinamarquês, por J. F. Kronborg e V. Pasternak Jørgensen, na qualidade de agentes,

–

em representação do Governo Estónio, por M. Kriisa, na qualidade de agente,

–

em representação do Governo Finlandês, por H. Leppo, na qualidade de agente,

–

em representação do Governo Sueco, por H. Shev, na qualidade de agente,

–

em representação do Reino da Noruega, por F. Bergsjø, S.‑E. Dahl, J. T. Kaasin e P. Wennerås, na qualidade de agentes,

–

em representação da Comissão Europeia, por S. L. Kalėda, H. Kranenborg, P.‑J. Loewenthal e F. Wilman, na qualidade de agentes,

–

em representação da La Quadrature du Net, da Fédération des fournisseurs d’accès à Internet associatifs, da Franciliens.net e da French Data Network, por A. Fitzjean Ó Cobhthaigh, avocat,

–

em representação do Governo Francês, por R. Bénard, J. Illouz e T. Stéhelin, na qualidade de agentes,

–

em representação do Governo Checo, por T. Suchá e J. Vláčil, na qualidade de agentes,

–

em representação do Governo Dinamarquês, por J. F. Kronborg e C. A.‑S. Maertens, na qualidade de agentes,

–

em representação do Governo Estónio, por M. Kriisa, na qualidade de agente,

–

em representação da Irlanda, por M. Browne, Chief State Solicitor, A. Joyce e D. O’Reilly, na qualidade de agentes, assistidos por D. Fenelly, BL,

–

em representação do Governo Espanhol, por A. Gavela Llopis, na qualidade de agente,

–

em representação do Governo Cipriota, por I. Neophytou, na qualidade de agente,

–

em representação do Governo Letão, por J. Davidoviča e K. Pommere, na qualidade de agentes,

–

em representação do Governo Neerlandês, por E. M. Besselink, K. Bultermann e A. Hanje, na qualidade de agentes,

–

em representação do Governo Finlandês, por A. Laine e H. Leppo, na qualidade de agentes,

–

em representação do Governo Sueco, por F.‑D. Göransson e H. Shev, na qualidade de agentes,

–

em representação do Reino da Noruega, por S.‑E. Dahl e P. Wennerås, na qualidade de agentes,

–

em representação da Comissão Europeia, por S. L. Kalėda, H. Kranenborg, P.‑J. Loewenthal e F. Wilman, na qualidade de agentes,

–

em representação da Autoridade Europeia para a Proteção de Dados, por V. Bernardo, C.‑A. Marnier, D. Nardi e M. Pollmann, na qualidade de agentes,

–

em representação da Agência da União Europeia para a Cibersegurança, por A. Bourka, na qualidade de agente,

1

O pedido de decisão prejudicial tem por objeto a interpretação da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO 2002, L 201, p. 37), conforme alterada pela Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de novembro de 2009 (JO 2009, L 337, p. 11) (a seguir «Diretiva 2002/58»), lida à luz da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»).

2

Este pedido foi apresentado no âmbito de um litígio que opõe a La Quadrature du Net, a Fédération des fournisseurs d’accès à Internet associatifs, a Franciliens.net e a French Data Network, associações, ao Premier ministre (Primeiro‑Ministro, França) e ao ministre de la Culture (Ministro da Cultura, França) a respeito da legalidade do Decreto n.o 2010‑236, de 5 de março de 2010, relativo ao tratamento automatizado de dados pessoais autorizado pelo artigo L. 331‑29 do Código da Propriedade Intelectual denominado «Sistema de gestão das medidas de proteção das obras na Internet» (JORF n.o 56, de 7 de março de 2010, texto n.o 19), conforme alterado pelo Decreto n.o 2017‑924, de 6 de maio de 2017, relativo à gestão dos direitos de autor e dos direitos conexos por um organismo de gestão de direitos e que altera o Código da Propriedade Intelectual (JORF n.o 109, de 10 de maio de 2017, texto n.o 176) (a seguir «Decreto n.o 2010‑236»).

3

O artigo 7.o, que figura na secção II, sob a epígrafe «Princípios relativos à legitimidade do tratamento de dados», do capítulo II da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31), tinha a seguinte redação:

«Os Estados‑Membros estabelecerão que o tratamento de dados pessoais só poderá ser efetuado se:

[…]

4

O artigo 13.o, n.o 1, da referida diretiva dispunha:

«Os Estados‑Membros podem tomar medidas legislativas destinadas a restringir o alcance das obrigações e direitos referidos no n.o 1 do artigo 6.o, no artigo 10.o, no n.o 1 do artigo 11.o e nos artigos 12.o e 21.o, sempre que tal restrição constitua uma medida necessária à proteção:

[…]

5

O artigo 2.o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, a seguir «RGPD»), sob a epígrafe «Âmbito de aplicação material», dispõe, nos seus n.os 1 e 2:

«1.   O presente regulamento aplica‑se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.

2.   O presente regulamento não se aplica ao tratamento de dados pessoais:

[…]

6

O artigo 4.o do RGPD, sob a epígrafe «Definições», especifica:

«Para efeitos do presente regulamento, entende‑se por:

[…]»

7

O artigo 6.o deste regulamento, sob a epígrafe «Licitude do tratamento», prevê, no seu n.o 1:

«O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

[…]

O primeiro parágrafo, alínea f), não se aplica ao tratamento de dados efetuado por autoridades públicas na prossecução das suas atribuições por via eletrónica.»

8

O artigo 9.o do referido regulamento, sob a epígrafe «Tratamento de categorias especiais de dados pessoais», prevê, no seu n.o 2, alíneas e) e f), que a proibição do tratamento de certos tipos de dados pessoais que revelem, nomeadamente, dados relativos à vida sexual ou orientação sexual de uma pessoa não se aplica se o tratamento se referir a dados pessoais que tenham sido manifestamente tornados públicos pelo seu titular ou for necessário, nomeadamente, à declaração, ao exercício ou à defesa de um direito num processo judicial.

9

O artigo 23.o do RGPD, sob a epígrafe «Limitações», dispõe, no seu n.o 1:

«O direito da União ou dos Estados‑Membros a que estejam sujeitos o responsável pelo tratamento ou o seu subcontratante pode limitar por medida legislativa o alcance das obrigações e dos direitos previstos nos artigos 12.o a 22.o e no artigo 34.o, bem como no artigo 5.o, na medida em que tais disposições correspondam aos direitos e obrigações previstos nos artigos 12.o a 22.o, desde que tal limitação respeite a essência dos direitos e liberdades fundamentais e constitua uma medida necessária e proporcionada numa sociedade democrática para assegurar, designadamente:

[…]

i) A defesa do titular dos dados ou dos direitos e liberdades de outrem;

j) A execução de ações cíveis.»

10

Os considerandos 2, 6, 7, 11, 26 e 30 da Diretiva 2002/58 enunciam:

[…]

[…]

[…]

[…]

11

Nos termos do artigo 2.o da Diretiva 2002/58, sob a epígrafe «Definições»:

«[…]

São também aplicáveis as seguintes definições:

[…]»

12

O artigo 3.o dessa diretiva, sob a epígrafe «Serviços abrangidos», prevê:

«A presente diretiva é aplicável ao tratamento de dados pessoais no contexto da prestação de serviços de comunicações eletrónicas acessíveis ao público em redes de comunicações públicas na Comunidade, nomeadamente nas redes públicas de comunicações que servem de suporte a dispositivos de recolha de dados e de identificação.»

13

Nos termos do artigo 5.o da referida diretiva, sob a epígrafe «Confidencialidade das comunicações»:

«1.   Os Estados‑Membros garantirão, através da sua legislação nacional, a confidencialidade das comunicações e respetivos dados de tráfego realizadas através de redes públicas de comunicações e de serviços de comunicações eletrónicas publicamente disponíveis. Proibirão, nomeadamente, a escuta, a instalação de dispositivos de escuta, o armazenamento ou outras formas de interceção ou vigilância de comunicações e dos respetivos dados de tráfego por pessoas que não os utilizadores, sem o consentimento dos utilizadores em causa, exceto quando legalmente autorizados a fazê‑lo, de acordo com o disposto no n.o 1 do artigo 15.o O presente número não impede o armazenamento técnico que é necessário para o envio de uma comunicação, sem prejuízo do princípio da confidencialidade.

[…]

3.   Os Estados‑Membros asseguram que o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador só sejam permitidos se este tiver dado o seu consentimento prévio com base em informações claras e completas, nos termos da Diretiva [95/46], nomeadamente sobre os objetivos do processamento. […]»

14

O artigo 6.o da mesma diretiva, sob a epígrafe «Dados de tráfego», dispõe:

«1.   Sem prejuízo do disposto nos n.os 2, 3 e 5 do presente artigo e no n.o 1 do artigo 15.o, os dados de tráfego relativos a assinantes e utilizadores tratados e armazenados pelo fornecedor de uma rede pública de comunicações ou de um serviço de comunicações eletrónicas publicamente disponíveis devem ser eliminados ou tornados anónimos quando deixem de ser necessários para efeitos da transmissão da comunicação.

2.   Podem ser tratados dados de tráfego necessários para efeitos de faturação dos assinantes e de pagamento de interligações. O referido tratamento é lícito apenas até [ao] final do período durante o qual a fatura pode ser legalmente contestada ou o pagamento reclamado.

3.   Para efeitos de comercialização dos serviços de comunicações eletrónicas ou para a prestação de serviços de valor acrescentado, o prestador de um serviço de comunicações eletrónicas acessível ao público pode tratar os dados referidos no n.o 1 na medida do necessário e pelo tempo necessário para a prestação desses serviços ou essa comercialização, se o assinante ou utilizador a quem os dados dizem respeito tiver dado o seu consentimento prévio. Deve ser dada a possibilidade aos utilizadores ou assinantes de retirarem a qualquer momento o seu consentimento para o tratamento dos dados de tráfego.

[…]

5.   O tratamento de dados de tráfego, em conformidade com o disposto nos n.os 1 a 4, será limitado ao pessoal que trabalha para os fornecedores de redes públicas de comunicações ou de serviços de comunicações eletrónicas publicamente disponíveis encarregado da faturação ou da gestão do tráfego, das informações a clientes, da deteção de fraudes, da comercialização dos serviços de comunicações eletrónicas publicamente disponíveis, ou da prestação de um serviço de valor acrescentado, devendo ser limitado ao necessário para efeitos das referidas atividades.»

15

O artigo 15.o, n.o 1, da Diretiva 2002/58, sob a epígrafe «Aplicação de determinadas disposições da Diretiva [95/46]», enuncia:

«1.   Os Estados‑Membros podem adotar medidas legislativas para restringir o âmbito dos direitos e obrigações previstos nos artigos 5.o e 6.o, nos n.os 1 a 4 do artigo 8.o e no artigo 9.o da presente diretiva sempre que essas restrições constituam uma medida necessária, adequada e proporcionada numa sociedade democrática para salvaguardar a segurança nacional (ou seja, a segurança do Estado), a defesa, a segurança pública, e a prevenção, a investigação, a deteção e a repressão de infrações penais ou a utilização não autorizada do sistema de comunicações eletrónicas, tal como referido no n.o 1 do artigo 13.o da Diretiva [95/46]. Para o efeito, os Estados‑Membros podem designadamente adotar medidas legislativas prevendo que os dados sejam conservados durante um período limitado, pelas razões enunciadas no presente número. Todas as medidas referidas no presente número deverão ser conformes com os princípios gerais do direito comunitário, incluindo os mencionados nos n.os 1 e 2 do artigo 6.o [TUE].

[…]

2.   O disposto no capítulo III da Diretiva [95/46] relativo a recursos judiciais, responsabilidade e sanções é aplicável no que respeita às disposições nacionais adotadas nos termos da presente diretiva e aos direitos individuais decorrentes da presente diretiva.

[…]»

16

O artigo 1.o da Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão‑Quadro 2008/977/JAI do Conselho (JO 2016, L 119, p. 89), sob a epígrafe «Objeto e objetivos», prevê, no seu n.o 1:

«A presente diretiva estabelece as regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e prevenção de ameaças à segurança pública.»

17

O artigo 3.o da referida diretiva, sob a epígrafe «Definições», dispõe:

«Para efeitos da presente diretiva, entende‑se por:

[…]

7. “Autoridade competente”:

[…]»

18

O artigo 8.o da Diretiva 2004/48/CE do Parlamento Europeu e do Conselho, de 29 de abril de 2004, relativa ao respeito dos direitos de propriedade intelectual (JO 2004, L 157, p. 45, e retificação no JO 2004, L 195, p. 16), sob a epígrafe «Direito de informação», dispõe:

«1.   Os Estados‑Membros devem assegurar que, no contexto dos procedimentos relativos à violação de um direito de propriedade intelectual, e em resposta a um pedido justificado e razoável do queixoso, as autoridades judiciais competentes possam ordenar que as informações sobre a origem e as redes de distribuição dos bens ou serviços que violam um direito de propriedade intelectual sejam fornecidas pelo infrator […]

2.   As informações referidas no n.o 1 incluem, se necessário:

[…]

3.   Os n.os 1 e 2 são aplicáveis, sem prejuízo de outras disposições legislativas ou regulamentares que:

19

O artigo L. 331‑12 do code de la propriété intellectuelle (Código da Propriedade Intelectual), na sua redação em vigor à data da decisão impugnada pelas recorrentes no processo principal (a seguir «CPI»), dispõe:

«A Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet [Alta Autoridade para a Divulgação das Obras e a Proteção dos Direitos na Internet (Hadopi)] é uma autoridade pública independente. […]»

20

O artigo L. 331‑13 deste código prevê:

«A [Hadopi] deve assegurar:

1.o A missão de incentivar o desenvolvimento da oferta legal e de observação da utilização lícita e ilícita das obras e dos objetos aos quais está associado um direito de autor ou um direito conexo nas redes de comunicações eletrónicas utilizadas para a prestação de serviços de comunicação ao público em linha;

2.o A defesa dessas obras e objetos contra a violação desses direitos cometida nas redes de comunicações eletrónicas utilizadas na prestação de serviços de comunicação ao público em linha;

[…]»

21

Nos termos do artigo L. 331‑15 do referido código:

«A [Hadopi] é constituída por um órgão colegial e por uma Comissão de Proteção de Direitos. […]

[…]

No exercício das suas funções, os membros do órgão colegial e da Comissão de Proteção de Direitos não recebem instruções de nenhuma autoridade.»

22

O artigo L. 331‑17, primeiro parágrafo, do mesmo código dispõe:

«Compete à Comissão de Proteção de Direitos tomar as medidas previstas no artigo L. 331‑25.»

23

Nos termos do artigo L. 331‑21 do CPI:

«Para o exercício, pela Comissão de Proteção de Direitos, das suas funções, a [Hadopi] dispõe de agentes públicos ajuramentados autorizados pelo [seu] presidente em condições fixadas por decreto adotado em conformidade com o parecer do Conseil d’État [Conselho de Estado, em formação jurisdicional, França]. […]

Os membros da Comissão de Proteção de Direitos e os agentes mencionados no primeiro parágrafo recebem os pedidos endereçados à referida comissão nas condições previstas no artigo L. 331‑24 e procedem à análise dos factos.

Podem, para a instrução do processo, obter todos os documentos, qualquer que seja o suporte, incluindo os dados conservados e tratados pelos operadores de comunicações eletrónicas nos termos do artigo L. 34‑1 do code des postes et des communications électroniques (Código das Comunicações Postais e Eletrónicas) e pelos prestadores mencionados nos n.os 1 e 2 do ponto I do artigo 6.o da Lei n.o 2004‑575, de 21 de junho de 2004, para a confiança na economia digital.

Podem também obter cópia dos documentos referidos no parágrafo anterior.

Podem, nomeadamente, obter dos operadores de comunicações eletrónicas a identidade, o endereço postal, o endereço de correio eletrónico e os dados telefónicos do assinante cujo acesso a serviços de comunicação ao público em linha foi utilizado para fins de reprodução, representação, disponibilização ou comunicação ao público de obras ou de material protegido sem autorização dos titulares dos direitos […] quando esta última for necessária.»

24

O artigo L. 331‑24 desse código dispõe:

«A Comissão de Proteção de Direitos atua mediante requerimento dos agentes ajuramentados e autorizados […] designados por:

A Comissão de Proteção de Direitos também pode atuar com base em informações que lhe sejam transmitidas pelo Procurador da República.

Não se pode pronunciar sobre factos ocorridos há mais de seis meses.»

25

Nos termos do artigo L. 331‑25 do referido código, que rege o procedimento designado «resposta graduada»:

«Quando lhe seja solicitado que se pronuncie sobre a prática de factos suscetíveis de configurar um incumprimento da obrigação definida no artigo L. 336‑3 [do CPI], a Comissão de Proteção de Direitos pode enviar ao assinante […] uma recomendação na qual lhe são indicadas as disposições do artigo L. 336‑3, intimando‑o a cumprir a obrigação aí estabelecida e advertindo‑o das sanções em que incorre por força dos artigos L. 335‑7 e L. 335‑7‑1. Nessa recomendação, o assinante é igualmente informado da oferta legal de conteúdos culturais em linha, sobre a existência de meios de segurança destinados a evitar os incumprimentos da obrigação definida no artigo L. 336‑3, bem como sobre as ameaças à renovação da criação artística e à economia do setor da cultura decorrentes de práticas que não respeitam o direito de autor e os direitos conexos.

Em caso de prática reiterada, no prazo de seis meses a contar do envio da recomendação referida no primeiro parágrafo, dos factos suscetíveis de configurar um incumprimento da obrigação definida no artigo L. 336‑3 a comissão pode enviar por escrito uma nova recomendação com as mesmas informações que a anterior enviada por via eletrónica […], a qual deve ser acompanhada de uma carta com aviso de receção ou qualquer outro meio adequado a fazer prova da data de receção dessa recomendação.

As recomendações enviadas com base no presente artigo devem mencionar a data e hora em que se verificou a prática dos factos suscetíveis de configurar um incumprimento da obrigação definida no artigo L. 336‑3. Em contrapartida, não divulgam o conteúdo das obras ou de material protegido a que respeita esse incumprimento. Indicam os dados de contacto telefónico, postal e eletrónico para que o destinatário possa enviar, caso o pretenda, observações à Comissão de Proteção de Direitos e obter, mediante requerimento expresso nesse sentido, informação pormenorizada sobre o conteúdo das obras ou de material protegido a que respeita o incumprimento que lhe é imputado.»

26

O artigo L. 331‑29 do CPI dispõe:

«É autorizada a criação, pela [Hadopi], de um tratamento automatizado de dados pessoais das pessoas sujeitas a um processo no âmbito da presente subsecção.

Este tratamento tem por finalidade a execução, pela Comissão de Proteção de Direitos, das medidas previstas na presente subsecção, de todos os atos processuais correspondentes e das modalidades de informação dos organismos de defesa profissional e dos organismos de gestão coletiva dos eventuais pedidos de intervenção junto da autoridade judiciária, bem como das notificações previstas no quinto parágrafo do artigo L. 335‑7.

As disposições de aplicação do presente artigo são estabelecidas por decreto […], que precisa, nomeadamente:

27

O artigo L. 335‑2, primeiro e segundo parágrafos, deste código especifica:

«Qualquer publicação, de composição musical, de desenho, de pintura ou de qualquer outra produção, impressa ou gravada na totalidade ou em parte, em violação das leis e dos regulamentos relativos à propriedade dos autores, é contrafação e qualquer contrafação é considerada crime.

A contrafação em França de obras publicadas em França ou no estrangeiro é punível com três anos de prisão e com multa de 300000 euros.»

28

O artigo L. 335‑4, primeiro parágrafo, do referido código enuncia:

«É punível com três anos de prisão e 300000 euros de multa qualquer fixação, reprodução, comunicação ou disponibilização ao público, a título oneroso ou gratuito, ou qualquer transmissão televisiva de uma prestação, de um fonograma, de um videograma, de um programa ou de uma publicação de imprensa realizada sem autorização, quando exigida, do artista‑intérprete, do produtor de fonogramas ou de videogramas, da empresa de comunicação audiovisual, do editor ou da agência noticiosa.»

29

O artigo L. 335‑7 do CPI estabelece as regras relativas à imposição às pessoas culpadas das infrações penais referidas, nomeadamente, nos artigos L. 335‑2 e L. 335‑4 deste código da pena acessória de suspensão do acesso a um serviço de comunicação ao público em linha por um período máximo de um ano.

30

O artigo L. 335‑7‑1, primeiro parágrafo, do referido código tem a seguinte redação:

«Relativamente às contraordenações da quinta classe previstas no presente código, sempre que o regulamento o preveja, a pena acessória definida no artigo L. 335‑7 pode ser aplicada de acordo com as mesmas modalidades, em caso de negligência grave, contra o titular do acesso a um serviço de comunicação ao público em linha ao qual a Comissão de Proteção dos Direitos, em aplicação do artigo L. 331‑25, tenha previamente enviado, por carta entregue mediante assinatura ou por qualquer outro meio adequado para fazer prova da data de apresentação, uma recomendação convidando‑o a utilizar um meio de segurança do seu acesso à Internet.»

31

Nos termos do artigo L. 336‑3 do mesmo código:

«O titular do acesso a serviços de comunicação ao público em linha é obrigado a garantir que esse acesso não seja objeto de uma utilização para fins de reprodução, representação, disponibilização ou comunicação ao público de obras ou de material protegido por um direito de autor ou por um direito conexo sem autorização dos titulares […] quando esta última for necessária.

O incumprimento, por parte do titular do acesso, da obrigação definida no primeiro parágrafo não dá origem à responsabilidade penal do interessado […]»

32

O artigo R. 331‑37, primeiro parágrafo, do CPI prevê:

«Os operadores de comunicações eletrónicas […] e os prestadores […] são obrigados a comunicar, através de interligação com o tratamento automatizado de dados pessoais referido no artigo L. 331‑29 ou por recurso a um suporte de registo que garanta a sua integridade e a sua segurança, os dados pessoais e informações mencionados no n.o 2 do anexo ao Decreto [n.o 2010‑236] no prazo de oito dias após a transmissão pela Comissão de Proteção de Direitos dos dados técnicos necessários para identificar o assinante cujo acesso aos serviços de comunicação ao público em linha tenha sido utilizado para fins de reprodução, representação, disponibilização ou comunicação ao público de obras ou de material protegido sem autorização dos titulares dos direitos […] quando esta última for necessária.»

33

Nos termos do artigo R. 331‑15 deste código:

«Quando, no prazo de um ano a contar da apresentação da recomendação referida no primeiro parágrafo do artigo L. 335‑7‑1, a Comissão de Proteção de Direitos for chamada a pronunciar‑se sobre novos factos suscetíveis de constituir uma negligência grave definida no artigo R. 335‑5, notifica o assinante, por carta com aviso de receção, de que esses factos são passíveis de ação penal. Esta notificação convida o interessado a apresentar as suas observações no prazo de quinze dias. Especifica que pode, no mesmo prazo, solicitar uma audição nos termos do artigo L. 331‑21‑1 e que tem direito a ser assistido por um advogado. Convida‑a igualmente a especificar os seus encargos familiares e os seus rendimentos.

A comissão pode, por sua própria iniciativa, convocar o interessado para uma audição. A convocatória indica que tem direito a ser assistida por um advogado.»

34

O artigo R. 335‑5 do CPI dispõe:

«I. — Constitui negligência grave, punida com a coima prevista para as contraordenações de quinto grau, o facto de, sem justificação legítima e estando preenchidas as condições previstas no ponto II, o titular de um acesso a serviços de comunicação ao público em linha:

1.o Não ter instalado qualquer meio de segurança desse acesso;

2.o Ter revelado falta de diligência na aplicação desse meio.

II. — O disposto no ponto I só é aplicável quando se encontrem cumulativamente preenchidas as seguintes duas condições:

1.o Que, em aplicação do artigo L. 331‑25 e nos termos previstos neste artigo, a Comissão de Proteção de Direitos tenha recomendado ao titular do acesso a implementação de um meio de segurança do seu acesso que permita evitar a renovação dessa utilização para fins de reprodução, representação, disponibilização ou comunicação ao público de obras ou material protegido por um direito de autor ou por um direito conexo sem a autorização dos titulares desses direitos […] quando tal for necessário;

2.o Que, no ano seguinte à apresentação da referida recomendação, esse acesso tenha sido novamente utilizado para os fins mencionados no n.o 1 do presente ponto II.»

35

A partir de 1 de janeiro de 2022, em aplicação da Lei n.o 2021‑1382, de 25 de outubro de 2021, relativa à Regulação e à Proteção do Acesso às Obras Culturais na Era Digital (JORF n.o 250, de 26 de outubro de 2021, texto n.o 2), a Hadopi foi fundida com o Conseil supérieur de l’audiovisuel (Conselho Superior do Audiovisual, CSA), outra autoridade pública independente, para constituir a Autorité de régulation de la communication audiovisuelle et numérique (Autoridade Reguladora da Comunicação Audiovisual e Digital, ARCOM).

36

No entanto, o procedimento de resposta graduada, referido no n.o 25 do presente acórdão, manteve‑se essencialmente inalterado, embora seja agora aplicado não pela Comissão de Proteção de Direitos da Hadopi, que era composta por três membros designados, respetivamente, pelo Conseil d’État (Conselho de Estado, em formação jurisdicional), pela Cour des comptes (Tribunal de Contas, França) e pela Cour de cassation (Tribunal de Cassação, França), mas por dois membros do órgão colegial da ARCOM, um dos quais é nomeado pelo Conseil d’État (Conselho de Estado, em formação jurisdicional) e o outro pela Cour de cassation (Tribunal de Cassação).

37

O Decreto n.o 2010‑236, adotado nomeadamente com base no artigo L. 331‑29 do CPI, prevê, no seu artigo 1.o:

«O tratamento de dados pessoais denominado “Sistema de gestão das medidas para a proteção das obras na Internet” tem por finalidade a execução, pela Comissão de Proteção de Direitos da [Hadopi]:

1.o Das medidas previstas no livro III da parte legislativa do [CPI] (título III, capítulo I, secção 3, subsecção 3) e no livro III da parte regulamentar do mesmo código (título III, capítulo I, secção 2, subsecção 2);

2.o Dos pedidos de consulta submetidos pelo Procurador da República relativos à prática de factos suscetíveis de configurar as infrações previstas nos artigos L. 335‑2, L. 335‑3, L. 335‑4 e R. 335‑5 do mesmo código, bem como da informação proveniente dos organismos de defesa profissional e dos organismos de gestão coletiva desses pedidos de consulta submetidos;

[…]»

38

O artigo 4.o deste decreto dispõe:

«I. — Têm acesso direto aos dados pessoais e às informações mencionadas no anexo do presente decreto os agentes públicos ajuramentados autorizados pelo presidente da [Hadopi] nos termos do artigo L. 331‑21 do [CPI] e os membros da Comissão de Proteção de Direitos referida no artigo 1.o

II. — Os operadores de comunicações eletrónicas e os prestadores mencionados no n.o 2 do anexo do presente decreto são destinatários:

III — Os organismos de defesa profissional e os organismos de gestão coletiva são destinatários de uma informação relativa ao pedido de consulta submetido pelo Procurador da República.

IV — As autoridades judiciárias são destinatárias das atas de verificação da prática de factos suscetíveis de configurar as infrações previstas nos artigos L. 335‑2, L. 335‑3, L. 335‑4, L. 335‑7, R. 331‑37, R. 331‑38 e R. 335‑5 do [CPI].

A execução da sanção de suspensão é comunicada ao registo criminal automatizado.»

39

O anexo ao referido decreto prevê:

«Os dados pessoais e informações registadas no tratamento denominado “Sistema de gestão das medidas para a proteção das obras na internet” são os seguintes:

1.o Dados pessoais e informações provenientes de organismos de defesa profissional regularmente constituídos, de organismos de gestão coletiva, do Centre national du cinéma et de l’image animée (Centro Nacional do Cinema e da Imagem Animada), bem como do Procurador da República:

Quanto aos factos suscetíveis de configurar um incumprimento da obrigação definida no artigo L. 336‑3 do [CPI]:

Data e hora da prática dos factos;

Endereço IP dos assinantes em causa;

Protocolo descentralizado (peer‑to‑peer) utilizado;

Pseudónimo utilizado pelo assinante;

Informações relativas às obras ou material protegido objeto da prática dos factos;

Nome do ficheiro conforme consta do posto do assinante (se necessário);

Fornecedor de acesso à internet com o qual foi contratado o acesso ou que forneceu o equipamento técnico IP.

[…]

2.o Dados pessoais e informações relativas ao assinante recolhidas junto dos operadores de comunicações eletrónicas […] e dos prestadores […]:

Apelido e nome;

Endereço postal e endereços eletrónicos;

Dados telefónicos;

Endereço do equipamento telefónico do assinante;

Fornecedor de acesso à internet, que utiliza os meios técnicos do fornecedor de acesso referido no n.o 1, com o qual o assinante celebrou o seu contrato; número de processo;

Data do início da suspensão do acesso a um serviço de comunicação ao público em linha.

[…]»

40

O artigo L. 34‑1, II bis, do code des postes et des communications électroniques (Código das Comunicações Postais e Eletrónicas) dispõe:

«Os operadores de comunicações eletrónicas devem conservar:

1.o Para efeitos do processo penal, da prevenção de ameaças contra a segurança pública e da salvaguarda da segurança nacional, as informações relativas à identidade civil do utilizador, até ao final do prazo de cinco anos a contar do termo do seu contrato;

2.o Para as mesmas finalidades que as enunciadas no n.o 1 do presente ponto II‑A, as outras informações fornecidas pelo utilizador no momento da subscrição de um contrato ou da criação de uma conta, bem como as informações relativas ao pagamento, até ao final do prazo de um ano a contar do termo do seu contrato ou do encerramento da sua conta;

3.o Para efeitos da luta contra a criminalidade e criminalidade grave, da prevenção de ameaças graves contra a segurança pública e da salvaguarda da segurança nacional, os dados técnicos que permitam identificar a fonte da ligação ou os dados relativos aos equipamentos terminais utilizados, até ao final do prazo de um ano a contar da ligação ou da utilização dos equipamentos terminais.»

41

Uma vez que o Premier ministre (Primeiro‑Ministro, França) indeferiu tacitamente o seu pedido de revogação do Decreto n.o 2010‑236, as recorrentes no processo principal interpuseram no Conseil d’État (Conselho de Estado, em formação jurisdicional, França), por petição de 12 de agosto de 2019, um recurso de anulação dessa decisão tácita de indeferimento. Alegaram, em substância, que o artigo L. 331‑21, parágrafos terceiro a quinto, do CPI, que faz parte da base legal deste decreto, por um lado, é contrário ao direito ao respeito pela vida privada consagrado na Constituição francesa e, por outro, viola o direito da União, particularmente, o artigo 15.o da Diretiva 2002/58 e os artigos 7.o, 8.o, 11.o e 52.o da Carta.

42

No que respeita ao aspeto do recurso relativo à alegada violação da Constituição, o Conseil d’État (Conselho de Estado, em formação jurisdicional) submeteu ao Conseil constitutionnel (Tribunal Constitucional, França) uma questão prioritária de constitucionalidade.

43

Com a sua Decisão n.o 2020‑841 QPC de 20 de maio de 2020, La Quadrature du Net e outros [Direito de comunicação à Hadopi], o Conseil constitutionnel (Tribunal Constitucional) declarou contrários à Constituição os parágrafos terceiro e quarto do artigo L. 331‑21 do CPI, mas declarou conforme com esta o quinto parágrafo do referido artigo, com exceção da palavra «nomeadamente» que aí figura.

44

No que se refere ao aspeto do recurso relativo à alegada violação do direito da União, as recorrentes no processo principal alegaram, particularmente, que o Decreto n.o 2010‑236 e as disposições que constituem a sua base jurídica autorizam o acesso a dados de ligação de forma desproporcionada relativamente a infrações aos direitos de autor e cometidas na Internet desprovidas de gravidade, sem que haja um controlo prévio de um juiz ou de uma autoridade que dê garantias de independência e imparcialidade. Em especial, estas infrações não estão abrangidas pela «criminalidade grave» visada pelo Acórdão de 21 de dezembro de 2016, Tele2 Sverige e Watson e o. (C‑203/15 e C‑698/15, EU:C:2016:970).

45

A este respeito, o Conseil d’État (Conselho de Estado, em formação jurisdicional) recorda, por um lado, que, através do Acórdão de 6 de outubro de 2020, La Quadrature du Net e o. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791), o Tribunal de Justiça declarou, nomeadamente, que o artigo 15.o, n.o 1, da Diretiva 2002/58, lido à luz dos artigos 7.o, 8.o e 11.o e do artigo 52.o, n.o 1, da Carta, não se opõe a medidas legislativas que prevejam, para efeitos da salvaguarda da segurança nacional, da luta contra a criminalidade e da salvaguarda da segurança pública, uma conservação generalizada e indiferenciada de dados relativos à identidade civil dos utilizadores de meios de comunicações eletrónicos. Por conseguinte, no que respeita aos dados relativos à identidade civil dos utilizadores de meios de comunicações eletrónicas, essa conservação seria possível, sem prazo, para efeitos de investigação, deteção e repressão de infrações penais em geral. A Diretiva 2002/58 também não se opõe a um acesso a esses dados para esses fins.

46

O órgão jurisdicional de reenvio deduz daqui que, no que respeita ao acesso a dados relativos à identidade civil dos utilizadores de meios de comunicações eletrónicos, o fundamento das recorrentes no processo principal relativo à ilegalidade do Decreto n.o 2010‑236, por ter sido adotado no âmbito da luta contra infrações sem gravidade, deve ser julgado improcedente.

47

O órgão jurisdicional de reenvio recorda, por outro lado, que, com o Acórdão de 21 de dezembro de 2016, Tele2 Sverige e Watson e o. (C‑203/15 e C‑698/15, EU:C:2016:970), o Tribunal de Justiça declarou, nomeadamente, que o artigo 15.o, n.o 1, da Diretiva 2002/58, lido à luz dos artigos 7.o, 8.o e 11.o e do artigo 52.o, n.o 1, da Carta, deve ser interpretado no sentido de que se opõe a uma regulamentação nacional que regula a proteção e a segurança dos dados de tráfego e dos dados de localização, em especial o acesso das autoridades nacionais competentes aos dados conservados, sem submeter o referido acesso a um controlo prévio por parte de um órgão jurisdicional ou de uma entidade administrativa independente.

48

O órgão jurisdicional de reenvio faz referência, mais especificamente, ao n.o 120 desse acórdão, no qual o Tribunal de Justiça especificou que é essencial que esse acesso aos dados conservados seja, em princípio, salvo em casos de urgência devidamente justificados, sujeito à exigência de um controlo prévio efetuado por um órgão jurisdicional ou por uma entidade administrativa independente, e que a decisão desse órgão jurisdicional ou dessa entidade ocorra na sequência de um pedido fundamentado dessas autoridades apresentado, nomeadamente, no âmbito de processos de prevenção, deteção ou ação penal.

49

O Tribunal de Justiça recordou esta exigência no Acórdão de 6 de outubro de 2020, La Quadrature du Net e o. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791), no que respeita à recolha em tempo real dos dados de ligação pelos serviços de informação, e no Acórdão de 2 de março de 2021, Prokuratuur (Condições de acesso aos dados relativos às comunicações eletrónicas) (C‑746/18, EU:C:2021:152), quanto ao acesso das autoridades nacionais aos dados de ligação.

50

O órgão jurisdicional de reenvio observa ainda que a Hadopi, desde a sua criação em 2009, enviou mais de 12,7 milhões de recomendações a titulares de assinaturas, em aplicação do procedimento de resposta graduada previsto no artigo L. 331‑25 do CPI, das quais 827791 apenas em 2019. Esta circunstância implica que os agentes da Comissão da Proteção dos Direitos da Hadopi tiveram necessariamente de recolher, todos os anos, um número considerável de dados relativos à identidade civil dos utilizadores em causa. Considera que, atendendo ao volume dessas recomendações, o facto de submeter essa recolha a um controlo prévio implicaria o risco de tornar impossível a execução das referidas recomendações.

51

Nestas circunstâncias, o Conseil d’État (Conselho de Estado, em formação jurisdicional) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

52

Por meio das suas três questões prejudiciais, que importa examinar em conjunto, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 15.o, n.o 1, da Diretiva 2002/58, lido à luz dos artigos 7.o, 8.o e 11.o e do artigo 52.o, n.o 1, da Carta, deve ser interpretado no sentido de que se opõe a uma regulamentação nacional que autoriza a autoridade pública responsável pela proteção dos direitos de autor e dos direitos conexos contra as violações desses direitos cometidas na Internet a aceder aos dados, conservados pelos prestadores de serviços de comunicações eletrónicas acessíveis ao público, relativos à identidade civil correspondente a endereços IP recolhidos previamente por organismos de titulares de direitos, para que essa autoridade pública possa identificar os titulares desses endereços, utilizados para atividades suscetíveis de constituir tais violações, e possa tomar, se necessário, medidas a seu respeito, sem que esse acesso esteja subordinado à exigência de um controlo prévio por um órgão jurisdicional ou por uma entidade administrativa independente.

53

No processo principal, estão em causa dois tratamentos de dados pessoais distintos e sucessivos que ocorrem no âmbito das atividades da Hadopi, autoridade pública independente, cuja missão consiste, nomeadamente, em conformidade com o artigo L. 331‑13 do CPI, na proteção das obras e dos objetos abrangidos por um direito de autor ou um direito conexo contra violações desses direitos cometidas nas redes de comunicações eletrónicas utilizadas para a prestação de serviços de comunicação ao público em linha.

54

O primeiro tratamento, efetuado a montante por agentes ajuramentados e autorizados de organismos de titulares de direitos, decorre em duas fases. Numa primeira fase, são recolhidos endereços IP que pareçam ter sido utilizados para atividades suscetíveis de constituir uma violação de um direito de autor ou de um direito conexo através de redes descentralizadas (peer‑to‑peer). Numa segunda fase, é disponibilizado à Hadopi um conjunto de dados pessoais e de informações sob a forma de atas. De acordo com a lista que figura no ponto 1.o do anexo do Decreto n.o 2010-236, esses dados são a data e a hora dos factos, o endereço IP dos assinantes em causa, o protocolo descentralizado (peer‑to‑peer) utilizado, o pseudónimo utilizado pelo assinante, as informações relativas às obras ou material protegido objeto da prática dos factos, o nome do ficheiro conforme consta do posto do assinante (se necessário), e o fornecedor de acesso à Internet com o qual foi contratado o acesso ou que forneceu o equipamento técnico IP.

55

O segundo tratamento, efetuado a jusante pelos fornecedores de acesso à Internet a pedido da Hadopi, decorre igualmente em duas fases. Numa primeira fase, os endereços IP recolhidos a montante são comparados com os titulares desses endereços. Numa segunda fase, um conjunto de dados pessoais e de informações relativas aos referidos titulares, que incidem essencialmente sobre a sua identidade civil, é disponibilizado a essa autoridade pública. Estes dados são, segundo a lista que figura no ponto 2.o do anexo do Decreto n.o 2010-236, essencialmente, o apelido e o nome, o endereço postal e os endereços de correio eletrónico, os dados telefónicos e o endereço do equipamento telefónico do assinante.

56

A este último respeito, o artigo L. 331‑21 do CPI prevê, no seu quinto parágrafo, na sua versão resultante da decisão do Conseil constitutionnel (Tribunal Constitucional) referida no n.o 43 do presente acórdão, que os membros da Comissão de Proteção de Direitos da Hadopi e os agentes públicos ajuramentados dessa autoridade habilitados pelo seu presidente possam obter dos operadores de comunicações eletrónicas a identidade, o endereço postal, o endereço de correio eletrónico e os dados telefónicos do assinante cujo acesso a serviços de comunicação ao público em linha foi utilizado para fins de reprodução, representação, disponibilização ou comunicação ao público de obras ou de material protegido sem autorização dos titulares dos direitos, quando esta última for necessária.

57

Estes diferentes tratamentos de dados pessoais visam permitir à Hadopi tomar, relativamente aos titulares de endereços IP assim identificados, as medidas previstas no âmbito do procedimento administrativo designado «resposta graduada» regulado pelo artigo L. 331‑25 do CPI. Estas medidas são, antes de mais, o envio de «recomendações», que se assemelham a advertências, em seguida, em caso de recurso à Comissão de Direitos da Hadopi, no prazo de um ano após o envio de uma segunda recomendação, por factos que possam constituir uma reiteração do incumprimento verificado, a informação dada ao assinante, referida no artigo R. 331‑40 do CPI, de que os factos são suscetíveis de constituir a infração designada «negligência grave», definida no artigo R. 335‑5 do CPI, punida com uma multa máxima de 1500 euros e de 3000 euros em caso de reincidência, por último, após deliberação, a submissão de factos ao Ministério Público que possam constituir tal contraordenação ou, se for caso disso, o crime de contrafação previsto no artigo L. 335‑2 do CPI ou no artigo L. 335‑4 desse código, punível com três anos de prisão e 300000 euros de multa.

58

Não obstante, as questões submetidas pelo órgão jurisdicional de reenvio dizem unicamente respeito ao tratamento a jusante descrito no n.o 55 do presente acórdão e não ao tratamento a montante cujas características essenciais foram expostas no n.o 54 do mesmo acórdão.

59

No entanto, há que salientar que, se a recolha prévia dos endereços IP pelos organismos de titulares de direitos em causa fosse contrária ao direito da União, esse direito também se oporia à exploração desses dados no âmbito do tratamento subsequente pelos prestadores de serviços de comunicações eletrónicas que consiste em comparar os referidos endereços com os dados relativos à identidade civil dos titulares desses mesmos endereços.

60

Neste contexto, há que recordar antes de mais que, segundo a jurisprudência do Tribunal de Justiça, os endereços IP constituem tanto dados de tráfego para efeitos da Diretiva 2002/58 como dados pessoais para efeitos do RGPD (v., neste sentido, Acórdão de 17 de junho de 2021, M.I.C.M., C‑597/19, EU:C:2021:492, n.os 102 e 113 e jurisprudência referida).

61

A recolha, por agentes de organismos de titulares de direitos, de endereços IP públicos e visíveis por todos não está, contudo, abrangida pelo âmbito de aplicação da Diretiva 2002/58, uma vez que esse tratamento não ocorre manifestamente «no contexto da prestação de serviços de comunicações eletrónicas», na aceção do artigo 3.o desta diretiva.

62

Em contrapartida, essa recolha de endereços IP, autorizada, como resulta dos autos submetidos ao Tribunal de Justiça, dentro de certos limites quantitativos e sob certas condições, pela Commission nationale de l'informatique et des libertés (Comissão Nacional da Informática e das Liberdades; a seguir «CNIL») (França), com vista à sua transmissão à Hadopi para eventual utilização em procedimentos administrativos ou processos judiciais posteriores destinados a lutar contra atividades que violem direitos de autor e direitos conexos constitui um «tratamento», na aceção do artigo 4.o, n.o 2, do RGPD, cuja licitude depende das condições previstas no artigo 6.o, n.o 1, primeiro parágrafo, alínea f), do referido regulamento, à luz da jurisprudência do Tribunal de Justiça, que resulta, nomeadamente, dos Acórdãos de 17 de junho de 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, n.os 102 e 103), e de 4 de julho de 2023, Meta Platforms e o. (Condições gerais de utilização de uma rede social) (C‑252/21, EU:C:2023:537, n.os 106 a 112 e jurisprudência referida).

63

Quanto ao tratamento a jusante descrito no n.o 55 do presente acórdão, este está abrangido, por sua vez, pelo âmbito de aplicação da Diretiva 2002/58, uma vez que ocorre «no contexto da prestação de serviços de comunicações eletrónicas», na aceção do artigo 3.o desta diretiva, desde que os dados em causa sejam obtidos junto dos fornecedores de serviços de comunicações eletrónicas, em conformidade com o artigo L. 331‑21 do CPI.

64

Atendendo às observações preliminares precedentes, coloca‑se a questão de saber se, como pergunta o órgão jurisdicional de reenvio, a restrição dos direitos fundamentais consagrados nos artigos 7.o, 8.o e 11.o da Carta que comporta o acesso por uma autoridade pública, como a Hadopi, a dados relativos à identidade civil correspondentes a um endereço IP de que já dispõe pode ser justificada ao abrigo do artigo 15.o, n.o 1, da Diretiva 2002/58.

65

Ora, o acesso a esses dados pessoais só pode ser concedido se estes tiverem sido conservados em conformidade com a Diretiva 2002/58 [v., neste sentido, Acórdão de 2 de março de 2021, Prokuratuur (Condições de acesso aos dados relativos às comunicações eletrónicas), C‑746/18, EU:C:2021:152, n.o 29].

66

O artigo 15.o, n.o 1, da Diretiva 2002/58 permite que os Estados‑Membros introduzam exceções à obrigação de princípio, prevista no artigo 5.o, n.o 1, desta diretiva, de garantir a confidencialidade dos dados pessoais e às obrigações correspondentes, mencionadas, nomeadamente, nos artigos 6.o e 9.o da referida diretiva, sempre que constituam uma medida necessária, adequada e proporcionada numa sociedade democrática para salvaguardar a segurança nacional, a defesa e a segurança pública, e a prevenção, a investigação, a deteção e a repressão de infrações penais ou a utilização não autorizada do sistema de comunicações eletrónicas. Para o efeito, os Estados‑Membros podem, designadamente, adotar medidas legislativas prevendo que os dados sejam conservados durante um período limitado, por uma destas razões. Assim sendo, a faculdade de derrogar os direitos e as obrigações previstos nos artigos 5.o, 6.o e 9.o da Diretiva 2002/58 não pode justificar que a derrogação à obrigação de princípio de garantir a confidencialidade das comunicações eletrónicas e dos respetivos dados e, em especial, a proibição de armazenar estes dados, prevista no artigo 5.o desta diretiva, se converta na regra (Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.os 110 e 111).

67

Uma medida legislativa adotada ao abrigo desta disposição deve, por conseguinte, responder efetiva e estritamente a um dos objetivos mencionados no número anterior, uma vez que a enumeração dos mesmos no artigo 15.o, n.o 1, primeiro período, da Diretiva 2002/58 tem caráter exaustivo, e respeitar os princípios gerais do direito da União, entre os quais figura o princípio da proporcionalidade, e dos direitos fundamentais garantidos pela Carta. A este respeito, o Tribunal de Justiça já declarou que a obrigação imposta por um Estado‑Membro aos prestadores de serviços de comunicações eletrónicas, através de uma regulamentação nacional, de conservarem os dados de tráfego para, se for caso disso, os disponibilizarem às autoridades nacionais competentes coloca questões não apenas quanto ao respeito dos artigos 7.o e 8.o da Carta, relativos, respetivamente, à proteção da vida privada e à proteção dos dados pessoais, mas igualmente do artigo 11.o da Carta, relativo à liberdade de expressão (v., neste sentido, Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.os 112 e 113).

68

Assim, a interpretação do artigo 15.o, n.o 1, da Diretiva 2002/58 deve ter em conta a importância tanto do direito ao respeito da vida privada, garantido pelo artigo 7.o da Carta, como do direito à proteção dos dados pessoais, garantido pelo artigo 8.o da mesma, conforme resulta da jurisprudência do Tribunal de Justiça, assim como do direito à liberdade de expressão, direito fundamental, garantido pelo artigo 11.o da Carta, que constitui um dos fundamentos essenciais de uma sociedade democrática e pluralista, fazendo parte dos valores nos quais, em conformidade com o artigo 2.o TUE, se baseia a União (Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.o 114 e jurisprudência referida).

69

Importa sublinhar, a este respeito, que a conservação de dados de tráfego e de dados de localização constitui, em si mesma, por um lado, uma derrogação da proibição, prevista no artigo 5.o, n.o 1, da Diretiva 2002/58, imposta a qualquer pessoa distinta dos utilizadores de armazenar estes dados e, por outro, uma ingerência nos direitos fundamentais do respeito pela vida privada e da proteção dos dados pessoais, consagrados nos artigos 7.o e 8.o da Carta, não sendo importante que as informações relativas à vida privada em questão sejam ou não sensíveis, ou que os interessados tenham ou não sofrido inconvenientes em razão dessa ingerência. É igualmente irrelevante que os dados conservados sejam ou não utilizados posteriormente, uma vez que o acesso a tais dados constitui, independentemente da utilização que deles seja feita posteriormente, uma ingerência distinta nos direitos fundamentais referidos no número anterior (Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.os 115 e 116).

70

Não obstante, na medida em que permite aos Estados‑Membros introduzir determinadas medidas derrogatórias, como foi recordado no n.o 66 do presente acórdão, o artigo 15.o, n.o 1, da Diretiva 2002/58 reflete o facto de os direitos consagrados nos artigos 7.o, 8.o e 11.o da Carta não serem prerrogativas absolutas, mas deverem ser tomados em consideração relativamente à sua função na sociedade. Com efeito, conforme resulta do seu artigo 52.o, n.o 1, a Carta admite a introdução de restrições ao exercício desses direitos, desde que essas restrições sejam previstas por lei, respeitem o conteúdo essencial desses direitos e, na observância do princípio da proporcionalidade, sejam necessárias e correspondam efetivamente a objetivos de interesse geral reconhecidos pela União ou à necessidade de proteção dos direitos e liberdades de terceiros (Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.os 120 e 121).

71

No caso em apreço, há que salientar que, embora, formalmente, a Hadopi só esteja autorizada a aceder aos dados relativos à identidade civil correspondente a um endereço IP, este acesso tem a particularidade de exigir, previamente, que os prestadores de serviços de comunicações eletrónicas em causa façam corresponder o endereço IP aos dados de identificação civil do seu titular. O referido acesso pressupõe, por isso, necessariamente que os prestadores disponham dos endereços IP e dos dados relativos à identidade dos seus titulares.

72

Além disso, esta autoridade pública procura obter o acesso a esses dados com o único objetivo de identificar o titular de um endereço IP que foi utilizado para atividades suscetíveis de violar direitos de autor ou direitos conexos, uma vez que disponibilizou ilegalmente na Internet obras protegidas, para serem descarregadas por outras pessoas. Nestas condições, os dados relativos à identidade civil devem ser considerados estreitamente ligados tanto ao endereço IP como às informações relativas à obra disponibilizada na Internet de que dispõe a Hadopi.

73

Ora, não se pode ignorar esse contexto específico no âmbito da análise da eventual justificação de uma medida de conservação de dados pessoais ao abrigo do artigo 15.o, n.o 1, da Diretiva 2002/58, interpretado à luz dos artigos 7.o, 8.o e 11.o da Carta (v., por analogia, TEDH, 24 de abril de 2018, Benedik c. Eslovénia, CE:ECHR:2018:0424JUD006235714, § 109).

74

Por conseguinte, é à luz das exigências que decorrem, em matéria de conservação de endereços IP, do referido artigo 15.o, n.o 1, interpretado à luz dos artigos 7.o, 8.o e 11.o da Carta, que há que examinar uma eventual justificação da ingerência nos direitos fundamentais consagrados por estes últimos artigos da Carta que implica a conservação, pelos prestadores de serviços de comunicações eletrónicas acessíveis ao público, dos dados aos quais a Hadopi tem poder de acesso.

75

Neste contexto, há que sublinhar que, segundo a jurisprudência do Tribunal de Justiça, embora, como recordado no n.o 60, os endereços IP constituam dados de tráfego para efeitos da Diretiva 2002/58, esses endereços distinguem‑se das outras categorias de dados de tráfego e dos dados de localização.

76

A este respeito, o Tribunal de Justiça salientou que os endereços IP são gerados sem estarem ligados a uma comunicação específica e servem principalmente para identificar, por intermédio dos prestadores de serviços de comunicações eletrónicas, o proprietário de um equipamento terminal a partir do qual é efetuada uma comunicação através da Internet. Assim, em matéria de correio eletrónico e de comunicações telefónicas através da Internet, desde que apenas sejam conservados os endereços IP da fonte da comunicação e não os do seu destinatário, esses endereços não revelam, enquanto tais, nenhuma informação sobre terceiros que tenham estado em contacto com a pessoa que está na origem da comunicação. Nesta medida, esta categoria de dados tem um grau de sensibilidade menor do que o dos outros dados de tráfego (v., neste sentido, Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.o 152).

77

É certo que, no n.o 156 do Acórdão de 6 de outubro de 2020, La Quadrature du Net e o. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791), o Tribunal de Justiça declarou que, apesar da constatação de uma menor sensibilidade dos endereços IP quando servem exclusivamente para identificar o utilizador de um serviço de comunicações eletrónicas, o artigo 15.o, n.o 1, da Diretiva 2002/58 se opõe a que seja efetuada uma conservação generalizada e indiferenciada apenas dos endereços IP atribuídos à fonte de uma ligação para objetivos diferentes da luta contra a criminalidade grave, a prevenção de ameaças graves contra a segurança pública ou a salvaguarda da segurança nacional. Para chegar a esta conclusão, o Tribunal de Justiça baseou‑se, contudo, expressamente no caráter grave da ingerência nos direitos fundamentais consagrados nos artigos 7.o, 8.o e 11.o da Carta que essa conservação dos endereços IP pode implicar.

78

Com efeito, o Tribunal de Justiça considerou, no n.o 153 do mesmo acórdão, que, na medida em que os endereços IP podem, designadamente, quando são utilizados para efetuar o «rastreio exaustivo da navegação de um internauta» e, por conseguinte, da sua atividade em linha, permitir estabelecer o «perfil pormenorizado» deste último, a conservação e a análise dos referidos endereços IP que tal rastreio exige constituem ingerências graves nos direitos fundamentais da pessoa em causa consagrados nos artigos 7.o e 8.o da Carta, podendo também produzir efeitos dissuasivos sobre o exercício pelos utilizadores dos meios de comunicações eletrónicas da sua liberdade de expressão garantida no artigo 11.o da Carta.

79

No entanto, há que sublinhar que qualquer conservação generalizada e indiferenciada de um conjunto, eventualmente vasto, de endereços IP estáticos e dinâmicos utilizados por uma pessoa num determinado período não constitui necessariamente uma ingerência grave nos direitos fundamentais garantidos nos artigos 7.o, 8.o e 11.o da Carta.

80

A este respeito, antes de mais, os processos que deram origem ao Acórdão de 6 de outubro de 2020, La Quadrature du Net e o. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791), tinham por objeto regulamentações nacionais que implicavam uma obrigação de conservação de um conjunto de dados necessários para determinar a data, a hora, a duração e o tipo da comunicação, identificar o material de comunicação utilizado e localizar os equipamentos terminais e as comunicações, dados entre os quais figuravam, nomeadamente, o nome e o endereço do utilizador, o número de telefone da pessoa que efetua e da pessoa que recebe a chamada, bem como o endereço IP para os serviços Internet. Além disso, em dois desses processos, as regulamentações nacionais em causa pareciam abranger igualmente os dados relativos ao encaminhamento das comunicações eletrónicas pelas redes, permitindo igualmente identificar a natureza das informações consultadas em linha (v., neste sentido, Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.os 82 e 83).

81

Por conseguinte, a conservação dos endereços IP efetuada no âmbito dessas regulamentações nacionais era suscetível, à luz dos outros dados cuja conservação era exigida por essas regulamentações e da possibilidade de combinar esses diferentes dados, de permitir tirar conclusões específicas sobre a vida privada das pessoas cujos dados estavam em causa e, por isso, conduzir a uma ingerência grave nos direitos fundamentais, consagrados nos artigos 7.o e 8.o da Carta, relativos à proteção da vida privada e dos dados pessoais dessas pessoas, bem como no artigo 11.o desta Carta, relativo à liberdade de expressão das mesmas.

82

Em contrapartida, a obrigação imposta aos prestadores de serviços de comunicações eletrónicas, através de uma medida legislativa nos termos do artigo 15.o, n.o 1, da Diretiva 2002/58, de assegurar a conservação generalizada e indiferenciada dos endereços IP pode, se for caso disso, ser justificada pelo objetivo da luta contra as infrações penais em geral quando se exclui efetivamente que essa conservação possa resultar em ingerências graves na vida privada da pessoa em causa devido à possibilidade de tirar conclusões precisas sobre esta, nomeadamente, ao associar esses endereços IP a um conjunto de dados de tráfego ou de localização que também foram conservados por esses prestadores.

83

Um Estado‑Membro que pretenda impor aos prestadores de serviços de comunicações eletrónicas uma obrigação de conservação generalizada e indiferenciada dos endereços IP com vista a alcançar um objetivo ligado à luta contra as infrações penais em geral deve, consequentemente, assegurar‑se de que as modalidades de conservação desses dados sejam suscetíveis de garantir a exclusão de qualquer combinação dos referidos endereços IP com outros dados conservados, em conformidade com a Diretiva 2002/58, que permita tirar conclusões precisas sobre a vida privada das pessoas cujos dados são assim conservados.

84

Para assegurar que seja excluída uma combinação de dados que permita tirar conclusões específicas sobre a vida privada da pessoa em causa, as modalidades de conservação devem dizer respeito à própria estrutura da conservação que, em substância, deve ser organizada de modo que garanta uma separação efetivamente estanque das diferentes categorias de dados conservados.

85

A este respeito, é certo que cabe ao Estado‑Membro, que pretende impor aos prestadores de serviços de comunicações eletrónicas uma obrigação de conservação generalizada e indiferenciada dos endereços IP com vista a alcançar um objetivo relacionado com a luta contra as infrações penais em geral, prever, na sua legislação, regras claras e precisas relativas às referidas modalidades de conservação, devendo essas modalidades respeitar exigências estritas. No entanto, o Tribunal de Justiça pode clarificar essas modalidades.

86

Em primeiro lugar, as regras nacionais mencionadas no número anterior devem assegurar que cada categoria de dados, incluindo os dados relativos à identidade civil e os endereços IP, seja conservada de forma totalmente separada das outras categorias de dados conservados.

87

Em segundo lugar, essas regras devem garantir que, no plano técnico, a separação das diferentes categorias de dados conservados, nomeadamente os dados relativos à identidade civil, os endereços IP, os diferentes dados de tráfego distintos dos endereços IP e os diferentes dados de localização, seja efetivamente estanque, através de um dispositivo informático seguro e fiável.

88

Em terceiro lugar, uma vez que as referidas regras preveem a possibilidade de associar os endereços IP conservados à identidade civil da pessoa em causa, no respeito das exigências decorrentes do artigo 15.o, n.o 1, da Diretiva 2002/58, lido à luz dos artigos 7.o, 8.o e 11.o da Carta, só devem permitir essa associação através da utilização de um processo técnico de desempenho elevado que não ponha em causa a eficácia da separação estanque dessas categorias de dados.

89

Em quarto lugar, a fiabilidade desta separação estanque deve ser objeto de um controlo regular por uma autoridade pública diferente daquela que pretende obter o acesso aos dados pessoais conservados pelos fornecedores de serviços de comunicações eletrónicas.

90

Desde que essas exigências estritas relativas às modalidades de conservação generalizada e indiferenciada dos endereços IP e dos outros dados conservados pelos prestadores de serviços de comunicações eletrónicas estejam previstas na legislação nacional aplicável, a ingerência resultante dessa conservação dos endereços IP não pode, devido à própria estrutura da referida conservação, ser qualificada de «grave».

91

Com efeito, no caso de esse dispositivo legislativo ser instituído, as modalidades de conservação dos endereços IP assim prescritas excluem que esses dados possam ser combinados com outros dados conservados no respeito da Diretiva 2002/58, permitindo tirar conclusões precisas sobre a vida privada da pessoa em causa.

92

Por conseguinte, perante um dispositivo legislativo conforme às exigências expostas nos n.os 86 a 89 do presente acórdão, que garanta que nenhuma combinação de dados permitirá tirar conclusões precisas sobre a vida privada da pessoa em causa, o artigo 15.o, n.o 1, da Diretiva 2002/58, lido à luz dos artigos 7.o, 8.o e 11.o da Carta, não se opõe a que o Estado‑Membro em causa imponha uma obrigação de conservação generalizada e indiferenciada dos endereços IP para efeitos de luta contra as infrações penais em geral.

93

Por último, como resulta do n.o 168 do Acórdão de 6 de outubro de 2020, La Quadrature du Net e o. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791), tal dispositivo legislativo deve prever um período de conservação limitado ao estritamente necessário e assegurar, mediante regras claras e precisas, que a conservação dos dados em causa está sujeita ao respeito das respetivas condições materiais e processuais e que as pessoas em causa dispõem de garantias efetivas contra os riscos de abuso, bem como contra qualquer acesso a esses dados e qualquer utilização ilícita dos mesmos.

94

Compete ao órgão jurisdicional de reenvio verificar se a regulamentação nacional em causa no processo principal respeita as exigências recordadas nos n.os 85 e 93 do presente acórdão.

95

Resulta da jurisprudência do Tribunal de Justiça que, no domínio da luta contra as infrações penais, só os objetivos de luta contra a criminalidade grave ou de prevenção de ameaças graves para a segurança pública podem justificar a ingerência grave nos direitos fundamentais consagrados nos artigos 7.o e 8.o da Carta pelo acesso das autoridades públicas a um conjunto de dados de tráfego ou de dados de localização, suscetíveis de fornecer informações sobre as comunicações efetuadas por um utilizador de um meio de comunicação eletrónica ou sobre a localização dos equipamentos terminais por ele utilizados e que permitem tirar conclusões precisas sobre a vida privada das pessoas em causa, sem que outros fatores respeitantes à proporcionalidade de um pedido de acesso, como a duração do período em relação ao qual o acesso a esses dados é solicitado, possam ter por efeito que o objetivo de prevenção, de investigação, de deteção e de perseguição de infrações penais em geral seja suscetível de justificar esse acesso [Acórdão de 2 de março de 2021, Prokuratuur (Condições de acesso aos dados relativos às comunicações eletrónicas), C‑746/18, EU:C:2021:152, n.o 35].

96

Em contrapartida, quando a ingerência nos direitos fundamentais consagrados nos artigos 7.o e 8.o da Carta pelo acesso das autoridades públicas aos dados relativos à identidade civil conservados pelos prestadores de serviços de comunicações eletrónicas, sem que esses dados possam ser associados a informações relativas às comunicações efetuadas, não é grave, uma vez que, considerados no seu conjunto, esses dados não permitem tirar conclusões precisas sobre a vida privada das pessoas cujos dados estão em causa, o referido acesso é suscetível de ser justificado por um objetivo de prevenção, de investigação, de deteção e de repressão de infrações penais em geral (v., neste sentido, Acórdão de 2 de outubro de 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, n.os 54, 57 e 60).

97

Importa igualmente acrescentar que, segundo um princípio consagrado por jurisprudência constante do Tribunal de Justiça, o acesso a dados de tráfego e a dados de localização só pode ser justificado ao abrigo do artigo 15.o, n.o 1, da Diretiva 2002/58 pelo objetivo de interesse geral pelo qual a sua conservação foi imposta aos prestadores de serviços de comunicações eletrónicas, salvo se esse acesso for justificado por um objetivo de interesse geral de maior importância. Decorre, nomeadamente, deste princípio que esse acesso para efeitos de luta contra as infrações em geral não pode, em nenhum caso, ser concedido quando a conservação dos referidos dados tenha sido justificada pelo objetivo de luta contra a criminalidade grave ou, a fortiori, de salvaguarda da segurança nacional (v., neste sentido, Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.o 166).

98

Em contrapartida, tal objetivo de luta contra as infrações penais em geral permite justificar que seja dado acesso aos dados de tráfego e de localização que foram armazenados e, consequentemente, conservados na medida e pelo período necessário à comercialização dos serviços, à faturação e à prestação de serviços de valor acrescentado, como autorizado pelo artigo 6.o da Diretiva 2002/58 (v., neste sentido, Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.os 108 e 167).

99

No caso em apreço, em primeiro lugar, resulta da regulamentação nacional em causa no processo principal que a Hadopi não tem acesso a um «conjunto de dados de tráfego ou de dados de localização», na aceção da jurisprudência recordada no n.o 95 do presente acórdão, pelo que não pode, em princípio, tirar conclusões precisas sobre a vida privada das pessoas em causa. Ora, um acesso que não permita tirar tais conclusões não constitui uma ingerência grave nos direitos fundamentais garantidos nos artigos 7.o e 8.o da Carta.

100

Com efeito, segundo esta regulamentação e as explicações fornecidas pelo Governo Francês a este respeito, o acesso concedido a essa autoridade pública está estritamente limitado a certos dados relativos à identidade civil do titular de um endereço IP e é autorizado com o único objetivo de poder identificar esse titular suspeito de ter exercido uma atividade que viola direitos de autor ou direitos conexos, uma vez que disponibilizou ilegalmente na Internet obras protegidas, para serem descarregadas por outras pessoas. Esse acesso visa, eventualmente, a adoção, em relação a esse titular, de uma das medidas pedagógicas ou repressivas previstas no âmbito do procedimento de resposta graduada, a saber, o envio de uma primeira e de uma segunda recomendação e, em seguida, de uma carta a notificá‑lo de que essa atividade é suscetível de constituir uma infração por negligência grave e, por último, o recurso ao Ministério para efeitos de procedimento penal ou do crime de contrafação.

101

É ainda necessário que a referida regulamentação nacional preveja regras claras e precisas suscetíveis de assegurar que os endereços IP conservados em conformidade com a Diretiva 2002/58 só possam ser utilizados para identificar a pessoa à qual foi atribuído um determinado endereço IP, excluindo uma utilização que permita controlar, através de um ou vários desses endereços, a atividade em linha da pessoa em causa. Quando um endereço IP é assim utilizado com o único objetivo de identificar o seu titular no âmbito de um procedimento administrativo específico que pode conduzir a ações penais contra esse titular e não com o objetivo, por exemplo, de revelar os contactos ou a localização desse titular, o acesso a esse endereço com esse único objetivo diz respeito ao referido endereço enquanto dado relativo à identidade civil e não enquanto dado relativo ao tráfego.

102

Além disso, decorre do princípio consagrado pela jurisprudência constante recordada no n.o 97 do presente acórdão que um acesso como aquele de que beneficia a Hadopi ao abrigo da regulamentação nacional em causa no processo principal, uma vez que prossegue o objetivo da luta contra as infrações penais em geral, só pode ser justificado se disser respeito a endereços IP que devem ser conservados pelos prestadores de serviços de comunicações eletrónicas para efeitos desse mesmo objetivo e não para efeitos de um objetivo de maior importância como o da luta contra a criminalidade grave, sem prejuízo, todavia, de um acesso justificado por esse objetivo de luta contra as infrações em geral quando diga respeito a endereços IP armazenados e, consequentemente, conservados nas condições previstas no artigo 6.o da Diretiva 2002/58.

103

Acresce que, como resulta dos n.os 85 a 92 do presente acórdão, a conservação de endereços IP, baseada numa medida legislativa ao abrigo do artigo 15.o, n.o 1, da Diretiva 2002/58, para efeitos do objetivo da luta contra as infrações penais em geral, pode ser justificada quando as modalidades dessa conservação instituídas pelo dispositivo legislativo em causa cumprem um conjunto de requisitos que visam assegurar, em substância, uma separação efetivamente estanque das diferentes categorias de dados conservados, pelo que a combinação de dados pertencentes a diferentes categorias está efetivamente excluída. Com efeito, no caso de tais modalidades de conservação serem impostas aos prestadores de serviços de comunicações eletrónicas, uma conservação generalizada e indiferenciada dos endereços IP não constitui uma ingerência grave na vida privada dos seus titulares, uma vez que esses dados não permitem tirar conclusões precisas sobre a sua vida privada.

104

Por conseguinte, tendo em conta a jurisprudência recordada nos n.os 95 a 97 do presente acórdão, no caso de esse dispositivo legislativo ser instituído, o acesso aos endereços IP conservados para efeitos do objetivo da luta contra as infrações penais em geral pode ser justificado à luz do artigo 15.o, n.o 1, da Diretiva 2002/58 se esse acesso for autorizado com o único objetivo de identificar a pessoa suspeita de estar envolvida nessas infrações.

105

De resto, permitir a uma autoridade pública como a Hadopi ter acesso a dados relativos à identidade civil correspondente a um endereço IP público que lhe foi transmitido por organismos de titulares de direitos com o único objetivo de identificar o titular desse endereço utilizado para atividades cometidas em linha e suscetíveis de violar direitos de autor ou direitos conexos com vista a impor‑lhe uma das medidas previstas no âmbito do procedimento de resposta graduada é conforme com a jurisprudência do Tribunal de Justiça relativa ao «direito de informação» no contexto de um procedimento relativo a uma violação de um direito de propriedade intelectual conforme previsto no artigo 8.o da Diretiva 2004/48 (v., neste sentido, Acórdão de 29 de janeiro de 2008, Promusicae, C‑275/06, EU:C:2008:54, n.os 47 e segs.).

106

Com efeito, no âmbito desta jurisprudência, o Tribunal de Justiça, embora sublinhando que a aplicação das medidas previstas na Diretiva 2004/48 não pode afetar o RGPD nem a Diretiva 2002/58, declarou que o artigo 8.o, n.o 3, da Diretiva 2004/48, lido em conjugação com o artigo 15.o, n.o 1, da Diretiva 2002/58 e com o artigo 7.o, alínea f), da Diretiva 95/46, não se opõe a que os Estados‑Membros estabeleçam aos prestadores de serviços de comunicações eletrónicas uma obrigação de transmitir a entidades privadas dados pessoais para permitir o procedimento judicial, em instâncias cíveis, contra violações do direito de autor, mas também não obriga esses Estados a prever essa obrigação (v., neste sentido, Acórdão de 17 de junho de 2021, M.I.C.M., C‑597/19, EU:C:2021:492, n.os 124 e 125 e jurisprudência referida).

107

No entanto, em segundo lugar, para efeitos da apreciação concreta do grau de ingerência na vida privada por um acesso de uma autoridade pública a dados pessoais, não podem ser ignoradas as especificidades do contexto em que esse acesso ocorre e, em especial, o conjunto dos dados e das informações comunicados a essa autoridade nos termos da regulamentação nacional aplicável, incluindo dados e informações preexistentes reveladores do conteúdo (v., por analogia, TEDH, 24 de abril de 2018, Benedik c. Eslovénia, CE:ECHR:2018:0424JUD006235714, § 109).

108

Assim, no caso em apreço, importa ter em conta, para efeitos da referida apreciação, o facto de, antes do acesso aos dados relativos à identidade civil em causa de que beneficia, a Hadopi receber das organizações de titulares de direitos, nomeadamente, «informações relativas às obras ou material protegido objeto da prática dos factos» e, «se necessário», o «nome do ficheiro conforme consta do posto do assinante», em conformidade com o ponto 1.o do anexo do Decreto n.o 2010‑236.

109

Resulta dos autos de que o Tribunal de Justiça dispõe, mas sob reserva de verificação pelo órgão jurisdicional de reenvio, que as informações sobre a obra em causa, conforme constam de uma ata cujo conteúdo é regido pelas Deliberações da CNIL, de 10 de junho de 2010, se limitam, essencialmente, ao título da obra em causa e a um excerto denominado «chunk», que se apresenta sob a forma de uma sequência alfanumérica e não de uma captação áudio ou vídeo da obra.

110

A este respeito, é certo que não se pode excluir, de maneira geral, que o acesso de uma autoridade pública a um número limitado de dados relativos à identidade civil do titular de um endereço IP que lhe foi comunicado por um prestador de serviços de comunicações eletrónicas com o único objetivo de identificar esse titular no caso de esse endereço ter sido utilizado para atividades suscetíveis de violar direitos de autor ou direitos conexos, se combinado com a análise de informações, mesmo limitadas, sobre o conteúdo da obra ilegalmente disponibilizada na Internet que lhe foram anteriormente transmitidas pelos organismos de titulares de direitos, seja suscetível de informar essa autoridade pública sobre certos aspetos da vida privada do referido titular, incluindo sobre informações sensíveis, como a orientação sexual, as opiniões políticas, as convicções religiosas, filosóficas, societais ou outras, bem como sobre o estado de saúde, apesar de esses dados beneficiarem de uma proteção especial no direito da União.

111

No entanto, no caso em apreço, atendendo à natureza dos dados e às informações limitadas de que dispõe a Hadopi, só em situações atípicas é que estas são suscetíveis de revelar informações, eventualmente sensíveis, sobre aspetos da vida privada da pessoa em causa que, considerados em conjunto, poderiam permitir a essa autoridade pública tirar conclusões precisas sobre a sua vida privada, por exemplo, estabelecendo o seu perfil pormenorizado.

112

Tal pode ser, nomeadamente, o caso de uma pessoa cujo endereço IP tenha sido utilizado para atividades que violam direitos de autor ou direitos conexos em redes descentralizadas (peer‑to‑peer) de forma repetida, ou em grande escala, relacionadas com obras protegidas de tipos específicos que podem ser agrupadas com base nos termos do seu título que são suscetíveis de revelar informações, eventualmente sensíveis, sobre aspetos da sua vida privada.

113

Não obstante, diversos elementos permitem considerar que, no caso em apreço, a ingerência na vida privada de uma pessoa suspeita de ter desenvolvido uma atividade que viola direitos de autor ou direitos conexos permitida por uma regulamentação como a que está em causa no processo principal não reveste necessariamente um grau de gravidade elevado. Antes de mais, em conformidade com essa regulamentação, o acesso da Hadopi aos dados pessoais em causa está reservado a um número limitado de agentes autorizados e ajuramentados dessa autoridade pública, órgão que beneficia, aliás, de um estatuto independente em conformidade com o artigo L. 331‑12 do CPI. Em seguida, o único objetivo deste acesso é identificar uma pessoa suspeita de ter desenvolvido uma atividade que viola direitos de autor ou direitos conexos quando se verifique que uma obra protegida foi ilegalmente disponibilizada a partir do seu acesso à Internet. Por último, o acesso da Hadopi aos dados pessoais em causa está estritamente limitado aos dados necessários para esse efeito (v., por analogia, TEDH, 17 de outubro de 2019, López Ribalda e o. c. Espanha, CE:ECHR:2019:1017JUD000187413, §§ 126 e 127).

114

Outro elemento suscetível de reduzir ainda mais o grau de ingerência nos direitos fundamentais à proteção da vida privada e dos dados pessoais que decorre do referido acesso da Hadopi, que parece resultar do processo de que dispõe o Tribunal de Justiça, mas que incumbe ao órgão jurisdicional de reenvio verificar, diz respeito ao facto de, por força da regulamentação nacional aplicável, os agentes da Hadopi que têm acesso aos dados e às informações em causa estarem sujeitos a uma obrigação de confidencialidade que os proíbe de os divulgar sob qualquer forma, exceto com o único objetivo de os remeter ao Ministério Público, e de os utilizar para fins diferentes da identificação do titular de um endereço IP suspeito de ter exercido uma atividade que viola um direito de autor ou um direito conexo, para lhe impor uma das medidas previstas no âmbito do procedimento de resposta graduada (v., por analogia, TEDH, 17 de dezembro de 2009, Gardel c. França, CE:ECHR:2009:1217JUD001642805, § 70).

115

Assim, desde que uma regulamentação nacional preencha as condições recordadas no n.o 101 do presente acórdão, os endereços IP comunicados a uma autoridade pública como a Hadopi não permitem rastrear a navegação do seu titular, o que tende a confirmar a conclusão de que a ingerência, pelo acesso dessa autoridade aos dados de identificação em causa no processo principal, não pode ser qualificada de grave.

116

Em terceiro lugar, há que recordar que, para efeitos da necessária conciliação dos direitos e interesses em causa que impõe a exigência de proporcionalidade prevista no artigo 15.o, n.o 1, primeiro período, da Diretiva 2002/58, ainda que a liberdade de expressão e a confidencialidade dos dados pessoais sejam preocupações primordiais e os utilizadores das telecomunicações e dos serviços Internet devam ter a garantia de que a sua intimidade e a sua liberdade de expressão serão respeitadas, estes direitos fundamentais não são absolutos. Com efeito, após uma ponderação dos direitos e interesses em causa, estes devem por vezes ceder perante outros direitos fundamentais e imperativos de interesse geral como a defesa da ordem pública e a prevenção das infrações penais ou a proteção dos direitos e liberdades de terceiros. É o que sucede, em especial, quando a preponderância concedida às referidas preocupações primordiais é suscetível de prejudicar a eficácia de um inquérito penal, nomeadamente ao tornar impossíveis ou excessivamente difíceis a identificação efetiva do autor de uma infração penal e a aplicação de uma sanção (v., por analogia, TEDH, 2 de março de 2009, K.U. c. Finlândia, CE:ECHR:2008:1202JUD000287202, § 49).

117

Neste contexto, há que ter devidamente em conta que, como o Tribunal de Justiça já declarou, no caso de infrações cometidas em linha, o acesso aos endereços IP pode constituir o único meio de investigação que permite a identificação efetiva da pessoa à qual esse endereço estava atribuído no momento da prática dessa infração (v., neste sentido, Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.o 154).

118

Esta circunstância tende a demonstrar, como sublinhou também, em substância, o advogado‑geral no n.o 59 das suas Conclusões de 28 de setembro de 2023, que a conservação desses endereços e o acesso aos mesmos são, no que respeita à luta contra infrações penais como as que punem atividades que violam direitos de autor ou direitos conexos cometidos em linha, estritamente necessários para alcançar o objetivo pretendido e respeitam, por isso, a exigência de proporcionalidade imposta pelo artigo 15.o, n.o 1, da Diretiva 2002/58, lido à luz do considerando 11 desta diretiva e do artigo 52.o, n.o 2, da Carta.

119

Não permitir esse acesso comportaria, aliás, como sublinhou, em substância, o advogado‑geral nos n.os 78 a 80 das suas Conclusões de 27 de outubro de 2022 e nos n.os 80 e 81 das suas Conclusões de 28 de setembro de 2023, um risco real de impunidade sistémica não só de infrações penais que violam direitos de autor ou direitos conexos mas também de outros tipos de infrações penais cometidas em linha ou cuja prática ou preparação é facilitada pelas características próprias da Internet. Ora, a existência desse risco constitui uma circunstância pertinente para apreciar, no âmbito de uma ponderação dos diferentes direitos e interesses em causa, se uma ingerência nos direitos garantidos nos artigos 7.o, 8.o e 11.o da Carta é uma medida proporcionada à luz do objetivo de luta contra as infrações penais.

120

É verdade que o acesso de uma autoridade pública como a Hadopi a dados de identificação civil correspondentes ao endereço IP a partir do qual foi cometida a infração em linha não é necessariamente o único meio de investigação possível para identificar a pessoa titular desse endereço no momento em que a infração foi cometida. Com efeito, essa identificação poderia também ser possível a priori por meio do exame de todas as atividades em linha da pessoa em causa, nomeadamente através da análise dos «vestígios» que possa ter deixado nas redes sociais, como o identificador utilizado nessas redes ou as suas coordenadas.

121

No entanto, como salientou o advogado‑geral no n.o 83 das suas conclusões de 28 de setembro de 2023, tal meio de investigação seria particularmente intrusivo, uma vez que seria suscetível de revelar informações precisas sobre a vida privada das pessoas em causa. Assim, implica para essas pessoas uma ingerência nos direitos garantidos nos artigos 7.o, 8.o e 11.o da Carta mais grave do que a que decorre de uma regulamentação como a que está em causa no processo principal.

122

Resulta do que precede que o artigo 15.o, n.o 1, da Diretiva 2002/58, lido à luz dos artigos 7.o, 8.o e 11.o e do artigo 52.o, n.o 1, da Carta, deve ser interpretado no sentido de que não se opõe, em princípio, a uma regulamentação nacional que permite o acesso, por uma autoridade pública responsável pela proteção dos direitos de autor e dos direitos conexos contra violações desses direitos cometidas na Internet, a dados relativos à identidade civil que correspondem a endereços IP recolhidos previamente por organismos de titulares de direitos e conservados pelos prestadores de serviços de comunicações eletrónicas de forma separada e efetivamente estanque, com o único objetivo de permitir a essa autoridade identificar os titulares desses endereços suspeitos de serem responsáveis por essas violações e tomar, se necessário, medidas a seu respeito. Neste caso, a regulamentação nacional aplicável deve proibir os agentes que dispõem desse acesso, primeiro, de divulgar sob qualquer forma informações sobre o conteúdo dos ficheiros consultados por esses titulares exceto com o único objetivo de os remeter ao Ministério Público, segundo, de efetuar qualquer rastreio da navegação desses titulares e, terceiro, de utilizar esses endereços IP para fins diferentes da adoção dessas medidas.

123

Coloca‑se, contudo, a questão de saber se o acesso da autoridade pública a dados relativos à identidade civil correspondente a um endereço IP deve estar sujeito, além disso, a um controlo prévio por um órgão jurisdicional ou por uma entidade administrativa independente.

124

A este respeito, é para garantir, na prática, o pleno respeito das condições que os Estados‑Membros são obrigados a prever para assegurar que o acesso seja limitado ao estritamente necessário que o Tribunal de Justiça declarou que é «essencial» que o acesso das autoridades nacionais competentes aos dados de tráfego e aos dados de localização seja sujeito a um controlo prévio por um órgão jurisdicional ou por uma entidade administrativa independente [v., neste sentido, Acórdãos de 21 de dezembro de 2016, Tele2 Sverige e Watson e o., C‑203/15 e C‑698/15, EU:C:2016:970, n.o 120; de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.o 189; de 2 de março de 2021, Prokuratuur (Condições de acesso aos dados relativos às comunicações eletrónicas), C‑746/18, EU:C:2021:152, n.o 51, e de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.o 106].

125

Esse controlo prévio exige, primeiro, que o órgão jurisdicional ou a entidade administrativa independente responsável por o efetuar disponha de todas as atribuições e apresente todas as garantias necessárias com vista a assegurar uma conciliação dos diferentes interesses e direitos em causa. No que respeita, mais especificamente, a um inquérito penal, tal controlo exige que esse órgão jurisdicional ou essa entidade possa assegurar um justo equilíbrio entre, por um lado, os interesses legítimos ligados às necessidades do inquérito no âmbito da luta contra a criminalidade e, por outro, os direitos fundamentais ao respeito da vida privada e à proteção dos dados pessoais das pessoas às quais o acesso diz respeito (Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.o 107 e jurisprudência referida).

126

Segundo, quando esse controlo não é efetuado por um órgão jurisdicional, mas por uma entidade administrativa independente, esta deve gozar de um estatuto que lhe permita agir, quando desempenha as suas missões, de maneira objetiva e imparcial, devendo, para esse efeito, estar ao abrigo de qualquer influência externa. Assim, a exigência de independência que deve satisfazer a entidade encarregada de exercer o controlo prévio impõe que esta tenha a qualidade de terceiro em relação à autoridade que pede o acesso aos dados, de modo que a referida entidade possa exercer esse controlo de maneira objetiva e imparcial, ao abrigo de qualquer influência externa. Em especial, no domínio penal, a exigência de independência implica que a autoridade encarregada desse controlo prévio, por um lado, não esteja implicada na condução do inquérito penal em causa e, por outro, tenha uma posição de neutralidade relativamente às partes no processo penal (Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.o 108 e jurisprudência referida).

127

Terceiro, o controlo independente exigido em conformidade com o artigo 15.o, n.o 1, da Diretiva 2002/58 deve ser efetuado previamente a qualquer acesso aos dados em causa, salvo em caso de urgência devidamente justificada, devendo, nesse caso, o controlo ser efetuado em prazos curtos. Com efeito, um controlo posterior não permitiria responder ao objetivo do controlo prévio, que consiste em impedir que seja autorizado um acesso aos dados em causa que ultrapasse os limites do estritamente necessário [Acórdão de 5 de abril de 2022, Commissioner of An Garda Síochána e o., C‑140/20, EU:C:2022:258, n.o 110].

128

Não obstante, embora, como resulta da jurisprudência recordada no n.o 124 do presente acórdão, o Tribunal de Justiça tenha declarado «essencial» que o acesso das autoridades nacionais competentes aos dados de tráfego e aos dados de localização esteja sujeito a um controlo prévio por um órgão jurisdicional ou por uma entidade administrativa independente, esta jurisprudência desenvolveu‑se no âmbito de medidas nacionais que permitem, para efeitos de um objetivo ligado à luta contra a criminalidade grave, um acesso geral a todos os dados de tráfego e de localização conservados, independentemente de qualquer ligação, ainda que indireta, com o objetivo prosseguido, e que comportavam, assim, ingerências graves e mesmo «particularmente graves» nos direitos fundamentais em causa.

129

Em contrapartida, quando estavam em causa as condições em que um acesso aos dados relativos à identidade civil podia ser justificado à luz do artigo 15.o, n.o 1, da Diretiva 2002/58, lido à luz dos artigos 7.o, 8.o e 11.o da Carta, o Tribunal de Justiça não fez nenhuma menção expressa à exigência desse controlo prévio [v., neste sentido, Acórdãos de 2 de outubro de 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, n.os 59, 60 e 62; de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.os 157 e 158, e de 2 de março de 2021, Prokuratuur (Condições de acesso aos dados relativos às comunicações eletrónicas), C‑746/18, EU:C:2021:152, n.o 34].

130

Ora, decorre da jurisprudência do Tribunal de Justiça relativa ao princípio da proporcionalidade cujo respeito o artigo 15.o, n.o 1, primeiro período, da Diretiva 2002/58 impõe — em especial da jurisprudência segundo a qual a possibilidade de os Estados‑Membros justificarem uma limitação aos direitos e às obrigações previstos, nomeadamente, nos artigos 5.o, 6.o e 9.o desta diretiva deve ser apreciada medindo a gravidade da ingerência nos direitos fundamentais consagrados nos artigos 7.o, 8.o e 11.o da Carta que tal limitação implica e verificando se a importância do objetivo de interesse geral prosseguido por essa limitação está relacionada com essa gravidade (Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.o 131) — que o grau de ingerência nos direitos fundamentais em causa, pelo acesso aos dados pessoais em causa e o grau de sensibilidade destes, devem igualmente influir nas garantias materiais e processuais que acompanham esse acesso, entre as quais figura a exigência de um controlo prévio por um órgão jurisdicional ou por uma entidade administrativa independente.

131

Por conseguinte, tendo em conta este princípio da proporcionalidade, há que considerar que a exigência de um controlo prévio por um órgão jurisdicional ou por uma entidade administrativa independente se impõe quando, no contexto de uma regulamentação nacional que prevê o acesso de uma autoridade pública a dados pessoais, esse acesso comporta o risco de uma ingerência grave nos direitos fundamentais da pessoa em causa no sentido de que poderia permitir a essa autoridade pública tirar conclusões precisas sobre a vida privada dessa pessoa e, se for caso disso, estabelecer o seu perfil pormenorizado.

132

Inversamente, esta exigência de um controlo prévio não é aplicável quando a ingerência nos direitos fundamentais em causa, pelo acesso de uma autoridade pública a dados pessoais, não possa ser qualificada de grave.

133

É esse o caso do acesso a dados relativos à identidade civil dos utilizadores dos meios de comunicações eletrónicas com o único objetivo de identificar o utilizador em causa e sem que esses dados possam ser associados a informações relativas às comunicações efetuadas, uma vez que, segundo a jurisprudência do Tribunal de Justiça, a ingerência que comporta tal tratamento dos referidos dados não pode, em princípio, ser qualificada de grave (v., neste sentido, Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.os 157 e 158).

134

Se for criado um dispositivo de conservação como o descrito nos n.os 86 a 89 do presente acórdão, o acesso da autoridade pública aos dados relativos à identidade civil correspondentes aos endereços IP assim conservados não está, em princípio, sujeito à exigência de um controlo prévio por um órgão jurisdicional ou por uma entidade administrativa independente.

135

Não obstante, como já foi salientado nos n.os 110 e 111 do presente acórdão, não se pode excluir que, em situações atípicas, os dados e as informações limitadas disponibilizados a uma autoridade pública no âmbito de um procedimento como o procedimento de resposta graduada em causa no processo principal sejam suscetíveis de revelar informações, eventualmente sensíveis, sobre aspetos da vida privada da pessoa em causa, informações que, consideradas em conjunto, poderiam permitir a essa autoridade pública tirar conclusões precisas sobre a sua vida privada e, sendo caso disso, estabelecer o seu perfil pormenorizado.

136

Como resulta do n.o 112 do presente acórdão, esse risco para a vida privada pode ocorrer, nomeadamente, quando uma pessoa exerce atividades que violam direitos de autor ou direitos conexos em redes descentralizadas (peer‑to‑peer) de forma reiterada, ou em grande escala, relacionadas com obras protegidas de tipos específicos que podem ser agrupadas com base nos termos do seu título, revelando informações, eventualmente sensíveis, sobre a sua vida privada.

137

Assim, no caso em apreço, no âmbito do procedimento administrativo de resposta graduada, um titular de um endereço IP pode estar particularmente exposto a esse risco para a sua vida privada quando esse procedimento atinge a fase em que a Hadopi é chamada a decidir se deve ou não submeter a questão ao Ministério Público com vista a procedimento penal contra esse titular por factos suscetíveis de ser qualificados de negligência grave ou de contrafação.

138

Com efeito, esse pedido pressupõe que o titular de um endereço IP já tenha sido objeto de duas recomendações e de uma notificação informando‑o de que as suas atividades são suscetíveis de procedimento penal, medidas essas que implicam que, em cada ocasião, a Hadopi tenha tido acesso a dados relativos à identidade civil desse titular cujo endereço IP foi utilizado para atividades que violam direitos de autor ou direitos conexos, bem como a um ficheiro relativo a essa obra que inclui, essencialmente, o seu título.

139

Ora, não se pode excluir que, no seu conjunto e à medida que decorre o procedimento administrativo de resposta graduada, os dados assim fornecidos nas diferentes fases desse procedimento possam revelar informações concordantes e, eventualmente, sensíveis sobre aspetos da vida privada da pessoa em causa que permitam, se for caso disso, estabelecer o seu perfil.

140

Assim, a intensidade da violação do direito ao respeito da vida privada é suscetível de aumentar à medida que o procedimento de resposta graduada, que opera segundo um processo sequencial, percorre as diferentes fases que o compõem.

141

Neste caso, o acesso da Hadopi a todos os dados relativos à pessoa em causa e acumulados durante as várias fases desse procedimento pode, através da ligação entre esses dados, permitir tirar conclusões precisas sobre a sua vida privada. Por conseguinte, no âmbito de um procedimento como o procedimento de resposta graduada em causa no processo principal, a regulamentação nacional deve igualmente prever, numa determinada fase do referido procedimento, um controlo prévio por um órgão jurisdicional ou por um órgão administrativo independente que satisfaça as condições recordadas nos n.os 125 a 127 do presente acórdão, para excluir o risco de uma ingerência desproporcionada nos direitos fundamentais da proteção da vida privada e dos dados pessoais da pessoa em causa. Isto significa que esse controlo deve ocorrer antes de a Hadopi poder associar dados relativos à identidade civil de uma pessoa correspondentes a um endereço IP e obtidos junto de um prestador de serviços de comunicações eletrónicas, que já foi objeto de duas recomendações, ao ficheiro relativo à obra que foi disponibilizada na Internet para ser descarregada por outras pessoas. Por conseguinte, o referido controlo deve ocorrer antes do eventual envio da notificação prevista no artigo R‑331‑40 do CPI, que declara que essa pessoa praticou atos que podem constituir a infração por negligência grave. Só na sequência desse controlo prévio por um órgão jurisdicional ou por uma autoridade administrativa independente e da autorização desta é que a Hadopi poderá enviar essa notificação e, em seguida, se for caso disso, submeter a questão ao Ministério Público com vista a procedimento penal.

142

A Hadopi deve ser autorizada a identificar os casos em que o titular do endereço IP em causa atinge esta terceira fase de um procedimento de resposta graduada. Por conseguinte, este procedimento deve ser organizado e estruturado de modo que os dados de identidade civil de uma pessoa correspondentes a endereços IP previamente recolhidos na Internet, recolhidos junto dos prestadores de serviços de comunicações eletrónicas, não sejam automaticamente suscetíveis de ser associados, pelas pessoas responsáveis pela apreciação dos factos na Hadopi, aos ficheiros que contêm elementos que permitem conhecer os títulos das obras protegidas cuja disponibilização na Internet justificou essa recolha.

143

Assim, esta associação para efeitos da terceira fase da resposta graduada deve ser suspensa quando a recolha dos referidos dados de identidade civil, correspondente a uma eventual segunda repetição de uma atividade que viola os direitos de autor ou os direitos conexos, desencadeie a exigência de um controlo prévio por um órgão jurisdicional ou por uma entidade administrativa independente descrita no n.o 141 do presente acórdão.

144

Por outro lado, a adaptação da exigência do controlo prévio exposta nos n.os 141 a 143 do presente acórdão, na medida em que se limita à terceira fase do referido procedimento de resposta graduada e não se aplica às suas fases anteriores, permite também ter em conta o argumento segundo o qual há que salvaguardar a exequibilidade deste procedimento que se caracteriza, sobretudo nas suas etapas anteriores ao eventual envio da notificação e, se for caso disso, ao envio do processo ao Ministério Público, pela natureza maciça dos pedidos de acesso da autoridade pública decorrentes do número igualmente importante de atas que lhe são apresentados pelos organismos de titulares de direitos.

145

Ainda no que respeita ao objeto do controlo prévio referido nos n.os 141 a 143 do presente acórdão, decorre da jurisprudência recordada nos n.os 95 e 96 do referido acórdão que, nos casos em que a pessoa em causa é suspeita de ter cometido a infração de «negligência grave» definida no artigo R. 335‑5 do CPI, que faz parte das infrações penais em geral, o órgão jurisdicional ou a entidade administrativa independente responsável por esse controlo deve recusar o acesso quando este último permita à autoridade pública que a solicitou tirar conclusões precisas sobre a vida privada da referida pessoa.

146

Em contrapartida, mesmo um acesso que permita tirar tais conclusões precisas deve ser autorizado nos casos em que os elementos levados ao conhecimento desse órgão jurisdicional ou entidade administrativa independente permitam suspeitar que a pessoa em causa cometeu o crime de contrafação previsto no artigo L. 335‑2 do CPI ou no artigo L. 335‑4 desse código, uma vez que um Estado‑Membro pode considerar que esse crime, na medida em que viola um interesse fundamental da sociedade, é abrangido pelo âmbito da criminalidade grave.

147

Por último, no que respeita às modalidades desse controlo prévio, o Governo Francês considera que, tendo em conta as características particulares do acesso pela Hadopi aos dados em causa, em especial o seu caráter maciço, seria adequado que um controlo prévio, se fosse exigido, fosse totalmente automatizado. Com efeito, esse controlo, que é de natureza puramente objetiva, destina‑se essencialmente a verificar se o envio para a Hadopi contém todas as informações e dados necessários, sem que esta autoridade seja chamada a avaliá‑las.

148

No entanto, um controlo prévio não pode, em nenhum caso, ser totalmente automatizado, uma vez que, como resulta da jurisprudência recordada no n.o 125 do presente acórdão, no âmbito de um inquérito penal, esse controlo exige, em todo o caso, que o órgão jurisdicional ou a entidade administrativa independente em causa possa assegurar um justo equilíbrio entre, por um lado, os interesses legítimos ligados às necessidades do inquérito no âmbito da luta contra a criminalidade e, por outro, os direitos fundamentais do respeito da vida privada e da proteção dos dados pessoais das pessoas cujos dados são afetados pelo acesso.

149

Com efeito, essa ponderação dos diferentes interesses legítimos e dos direitos em causa necessita da intervenção de uma pessoa singular, sendo esta tanto mais necessária quanto o automatismo e a grande escala do tratamento de dados em causa implicam riscos para a vida privada.

150

Além disso, um controlo totalmente automatizado não é, em princípio, suscetível de assegurar que o acesso não ultrapassa os limites do estritamente necessário e que as pessoas cujos dados pessoais estão em causa dispõem de garantias efetivas contra os riscos de abuso e contra qualquer acesso a esses dados e qualquer utilização ilícita dos mesmos.

151

Assim, embora controlos automatizados possam permitir verificar algumas das informações contidas nas atas dos organismos de titulares de direitos, esses controlos devem, em todo o caso, ser acompanhados de controlos por pessoas singulares que cumpram plenamente as exigências recordadas nos n.os 125 a 127 do presente acórdão.

152

Resulta da jurisprudência do Tribunal de Justiça que o acesso a dados pessoais só pode ser conforme com a exigência de proporcionalidade imposta pelo artigo 15.o, n.o 1, da Diretiva 2002/58 se a medida legislativa que a autoriza previr, através de regras claras e precisas, que o referido acesso está subordinado ao respeito das respetivas condições materiais e processuais e que as pessoas em causa dispõem de garantias efetivas contra os riscos de acesso e de utilização abusivos ou ilícitos desses dados [v., neste sentido, Acórdão de 6 de outubro de 2020, La Quadrature du Net e o., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.os 132 e 173, e de 2 de março de 2021, Prokuratuur (Condições de acesso aos dados relativos às comunicações eletrónicas), C‑746/18, EU:C:2021:152, n.o 49 e jurisprudência referida].

153

Como sublinhou o Tribunal de Justiça, a necessidade de dispor destas garantias é ainda mais importante quando os dados pessoais são sujeitos a um tratamento automatizado (Acórdão de 16 de julho de 2020, Facebook Ireland e Schrems, C‑311/18, EU:C:2020:559, n.o 176 e jurisprudência referida).

154

A este respeito, em resposta a uma questão submetida pelo Tribunal de Justiça com vista à audiência de 5 de julho de 2022, o Governo Francês confirmou que, como aliás indica o artigo L. 331‑29 do CPI, o acesso da Hadopi aos dados relativos à identidade civil no âmbito do procedimento de resposta graduada resulta de um tratamento de dados essencialmente automatizado que se explica pelo caráter maciço das contrafações verificadas nas redes descentralizadas (peer‑to‑peer) pelos organismos de titulares de direitos, constatações que são transmitidas à Hadopi sob a forma de atas.

155

Resulta, particularmente, dos autos de que o Tribunal de Justiça dispõe que, durante esse tratamento de dados, os agentes da Hadopi verificam, de forma essencialmente automatizada e sem apreciar os factos em causa enquanto tais, se as atas que lhe foram apresentadas contêm todas as informações e dados mencionados no ponto 1.o do anexo do Decreto n.o 2010‑236, especialmente os factos em causa relativos à disponibilização ilegal na Internet e os endereços IP utilizados para o efeito. Ora, tais tratamentos devem ser acompanhados de controlos por pessoas singulares.

156

Uma vez que esse tratamento automatizado é suscetível de comportar um certo número de falsos casos positivos e, sobretudo, o risco de um número de dados pessoais potencialmente muito elevado ser desviado por terceiros para fins abusivos ou ilícitos, é importante que, por força de uma medida legislativa, o sistema de tratamento de dados utilizado por uma autoridade pública seja objeto, a intervalos regulares, de um controlo por um organismo independente e que tenha a qualidade de terceiro em relação a essa autoridade, destinados a verificar a integridade do sistema, incluindo as garantias efetivas contra os riscos de abuso, e contra qualquer acesso a esses dados e qualquer utilização ilícita destes últimos que este sistema deve assegurar, bem como a sua eficácia e a sua fiabilidade para detetar os incumprimentos suscetíveis de ser qualificados, em caso de renovação, de negligência grave ou de contrafação.

157

Por último, importa acrescentar que um tratamento de dados pessoais efetuado por uma autoridade pública, como aquele a que procede a Hadopi no âmbito do procedimento de resposta graduada, deve respeitar as regras específicas de proteção desses dados previstas pela Diretiva 2016/680 cujo objeto é, segundo o seu artigo 1.o, estabelecer regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, incluindo a salvaguarda e prevenção de ameaças à segurança pública.

158

Com efeito, no caso em apreço, ainda que, por força do direito nacional aplicável, não disponha de poderes decisórios próprios, a Hadopi, quando trata no âmbito do procedimento de resposta graduada dos dados pessoais e adota medidas como uma recomendação ou a notificação da pessoa em causa segundo a qual os factos em questão são passíveis de ação penal, deve ser qualificada de «autoridade pública», na aceção do artigo 3.o da Diretiva 2016/680, envolvida na prevenção, investigação, deteção ou repressão de infrações penais, a saber, a contravenção de negligência grave ou o crime de contrafação, e está, por conseguinte, abrangida pelo âmbito de aplicação desta diretiva em conformidade com o seu artigo 1.o

159

A este respeito, o Governo Francês indicou, em resposta a uma questão submetida pelo Tribunal de Justiça com vista à audiência de 5 de julho de 2022, que, uma vez que as medidas adotadas pela Hadopi no âmbito da tramitação do procedimento de resposta graduada «têm um caráter pré‑penal diretamente relacionado com o processo judicial», o sistema de gestão das medidas para a proteção das obras na Internet, instituído pela Hadopi, está sujeito, como resulta da jurisprudência do órgão jurisdicional de reenvio, às disposições de direito nacional destinadas a transpor a Diretiva 2016/680.

160

Em contrapartida, esse tratamento de dados pela Hadopi não é abrangido pelo âmbito de aplicação do RGPD. Com efeito, o artigo 2.o, n.o 2, alínea d), do RGPD dispõe que este regulamento não se aplica ao tratamento de dados pessoais efetuado pelas autoridades competentes para efeitos de prevenção, investigação, deteção e repressão de infrações penais ou da execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública.

161

Como salientou o advogado‑geral no n.o 104 das suas conclusões de 27 de outubro de 2022, uma vez que a Hadopi deve cumprir a Diretiva 2016/680 no contexto do procedimento de resposta graduada, as pessoas envolvidas nesse procedimento devem beneficiar de um conjunto de garantias materiais e processuais, incluindo o direito de acesso, retificação e apagamento dos dados pessoais tratados pela Hadopi, bem como a possibilidade de apresentar uma reclamação a uma autoridade de controlo independente, eventualmente seguida de um recurso judicial intentado nos termos do direito comum.

162

Neste contexto, resulta da legislação nacional em causa no processo principal que, no âmbito do procedimento de resposta graduada, mais precisamente no momento do envio da segunda recomendação e no momento da notificação subsequente de que os factos constatados são suscetíveis de ser qualificados de infração penal, o destinatário dessas comunicações beneficia de certas garantias processuais, como o direito de apresentar observações, o direito de obter esclarecimentos sobre o incumprimento que lhe é imputado, bem como, no que respeita à referida notificação, o direito de solicitar uma audição e de ser assistido por um advogado.

163

Em todo o caso, cabe ao órgão jurisdicional de reenvio verificar se esta legislação nacional prevê todas as garantias materiais e processuais previstas na Diretiva 2016/680.

164

Atendendo a todas as considerações precedentes, há que responder às três questões prejudiciais que o artigo 15.o, n.o 1, da Diretiva 2002/58, lido à luz dos artigos 7.o, 8.o e 11.o e do artigo 52.o, n.o 1, da Carta, deve ser interpretado no sentido de que não se opõe a uma regulamentação nacional que autoriza a autoridade pública responsável pela proteção dos direitos de autor e dos direitos conexos contra as violações desses direitos cometidas na Internet a aceder aos dados, conservados pelos prestadores de serviços de comunicações eletrónicas acessíveis ao público, relativos à identidade civil correspondente a endereços IP recolhidos previamente por organismos de titulares de direitos, para que essa autoridade possa identificar os titulares desses endereços, utilizados para atividades suscetíveis de constituir tais violações, e possa tomar, se for caso disso, medidas a seu respeito, desde que, nos termos dessa regulamentação,

165

Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Tribunal Pleno) declara:

O artigo 15.o, n.o 1, da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas), conforme alterada pela Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de novembro de 2009, lido à luz dos artigos 7.o, 8.o e 11.o e do artigo 52.o, n.o 1, da Carta dos Direitos Fundamentais da União Europeia,

deve ser interpretado no sentido de que:

não se opõe a uma regulamentação nacional que autoriza a autoridade pública responsável pela proteção dos direitos de autor e dos direitos conexos contra as violações desses direitos cometidas na Internet a aceder aos dados, conservados pelos prestadores de serviços de comunicações eletrónicas acessíveis ao público, relativos à identidade civil correspondente a endereços IP recolhidos previamente por organismos de titulares de direitos, para que essa autoridade possa identificar os titulares desses endereços, utilizados para atividades suscetíveis de constituir tais violações, e possa tomar, se for caso disso, medidas a seu respeito, desde que, nos termos dessa regulamentação,