Acest document este un extras de pe site-ul EUR-Lex
Document 62012CJ0293
Judgment of the Court (Grand Chamber), 8 April 2014.#Digital Rights Ireland Ltd v Minister for Communications, Marine and Natural Resources and Others and Kärntner Landesregierung and Others.#Requests for a preliminary ruling from the High Court (Ireland) and the Verfassungsgerichtshof.#Electronic communications — Directive 2006/24/EC — Publicly available electronic communications services or public communications networks services — Retention of data generated or processed in connection with the provision of such services — Validity — Articles 7, 8 and 11 of the Charter of Fundamental Rights of the European Union.#Joined Cases C‑293/12 and C‑594/12.
Hotărârea Curții (Marea Cameră) din 8 aprilie 2014.
Digital Rights Ireland Ltd împotriva Minister for Communications, Marine and Natural Resources și alții și Kärntner Landesregierung și alții.
Cereri de decizie preliminară formulate de High Court (Irlanda) și de Verfassungsgerichtshof.
Comunicații electronice – Directiva 2006/24/CE – Servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice – Păstrarea datelor generate sau prelucrate în legătură cu furnizarea unor astfel de servicii – Validitate – Articolele 7, 8 și 11 din Carta drepturilor fundamentale a Uniunii Europene.
Cauzele conexate C‑293/12 și C‑594/12.
Hotărârea Curții (Marea Cameră) din 8 aprilie 2014.
Digital Rights Ireland Ltd împotriva Minister for Communications, Marine and Natural Resources și alții și Kärntner Landesregierung și alții.
Cereri de decizie preliminară formulate de High Court (Irlanda) și de Verfassungsgerichtshof.
Comunicații electronice – Directiva 2006/24/CE – Servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice – Păstrarea datelor generate sau prelucrate în legătură cu furnizarea unor astfel de servicii – Validitate – Articolele 7, 8 și 11 din Carta drepturilor fundamentale a Uniunii Europene.
Cauzele conexate C‑293/12 și C‑594/12.
Culegeri de jurisprudență - general
Identificator ECLI: ECLI:EU:C:2014:238
HOTĂRÂREA CURȚII (Marea Cameră)
8 aprilie 2014 ( *1 )
„Comunicații electronice — Directiva 2006/24/CE — Servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice — Păstrarea datelor generate sau prelucrate în legătură cu furnizarea unor astfel de servicii — Validitate — Articolele 7, 8 și 11 din Carta drepturilor fundamentale a Uniunii Europene”
În cauzele conexate C‑293/12 și C‑594/12,
având ca obiect cereri de decizie preliminară formulate în temeiul articolului 267 TFUE de High Court (Irlanda) și de Verfassungsgerichtshof (Austria), prin deciziile din 27 ianuarie și, respectiv, din 28 noiembrie 2012, primite de Curte la 11 iunie și la 19 decembrie 2012, în procedurile
Digital Rights Ireland Ltd (C‑293/12)
împotriva
Minister for Communications, Marine and Natural Resources,
Minister for Justice, Equality and Law Reform,
Commissioner of the Garda Síochána,
Irlandei,
The Attorney General,
cu participarea:
Irish Human Rights Commission,
și
Kärntner Landesregierung (C‑594/12),
Michael Seitlinger,
Christof Tschohl și alții,
CURTEA (Marea Cameră),
compusă din domnul V. Skouris, președinte, domnul K. Lenaerts, vicepreședinte, domnul A. Tizzano, doamna R. Silva de Lapuerta, domnii T. von Danwitz (raportor), E. Juhász, A. Borg Barthet, C. G. Fernlund și J. L. da Cruz Vilaça, președinți de cameră, și domnii A. Rosas, G. Arestis, J.‑C. Bonichot, A. Arabadjiev, doamna C. Toader și domnul C. Vajda, judecători,
avocat general: domnul P. Cruz Villalón,
grefier: domnul K. Malacek, administrator,
având în vedere procedura scrisă și în urma ședinței din 9 iulie 2013,
luând în considerare observațiile prezentate:
— |
pentru Digital Rights Ireland Ltd, de F. Callanan, SC, și de F. Crehan, BL, mandatați de S. McGarr, solicitor; |
— |
pentru domnul Seitlinger, de G. Otto, Rechtsanwalt; |
— |
pentru domnul Tschohl și alții, de E. Scheucher, Rechtsanwalt; |
— |
pentru Irish Human Rights Commission, de P. Dillon Malone, BL, mandatat de S. Lucey, solicitor; |
— |
pentru Irlanda, de E. Creedon și de D. McGuinness, în calitate de agenți, asistați de E. Regan, SC, și de D. Fennelly, JC; |
— |
pentru guvernul austriac, de G. Hesse și de G. Kunnert, în calitate de agenți; |
— |
pentru guvernul spaniol, de N. Díaz Abad, în calitate de agent; |
— |
pentru guvernul francez, de G. de Bergues și de D. Colas, precum și de B. Beaupère‑Manokha, în calitate de agenți; |
— |
pentru guvernul italian, de G. Palmieri, în calitate de agent, asistată de A. De Stefano, avvocato dello Stato; |
— |
pentru guvernul polonez, de B. Majczyna și de M. Szpunar, în calitate de agenți; |
— |
pentru guvernul portughez, de L. Inez Fernandes și de C. Vieira Guerra, în calitate de agenți; |
— |
pentru guvernul Regatului Unit, de L. Christie, în calitate de agent, asistat de S. Lee, barrister; |
— |
pentru Parlamentul European, de U. Rösslein și de A. Caiola, precum și de K. Zejdová, în calitate de agenți; |
— |
pentru Consiliul Uniunii Europene, de J. Monteiro și de E. Sitbon, precum și de I. Šulce, în calitate de agenți; |
— |
pentru Comisia Europeană, de D. Maidani, precum și de B. Martenczuk și de M. Wilderspin, în calitate de agenți, |
după ascultarea concluziilor avocatului general în ședința din 12 decembrie 2013,
pronunță prezenta
Hotărâre
1 |
Cererile de decizie preliminară privesc validitatea Directivei 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE (JO L 105, p. 54, Ediție specială, 13/vol. 53, p. 51). |
2 |
Cererea formulată de High Court (cauza C‑293/12) privește un litigiu între Digital Rights Ireland Ltd. (denumită în continuare „Digital Rights”), pe de o parte, și Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, Commissioner of the Garda Síochána, Irlanda, precum și Attorney General, pe de altă parte, având ca obiect legalitatea măsurilor legislative și administrative naționale referitoare la păstrarea unor date privind comunicațiile electronice. |
3 |
Cererea formulată de Verfassungsgerichtshof (cauza C‑594/12) se referă la acțiuni în materie constituțională introduse în fața acestei instanțe de Kärntner Landesregierung (guvernul landului Carintia), precum și, respectiv, de domnii Seitlinger, Tschohl și de alți 11128 de reclamanți având ca obiect compatibilitatea legii de transpunere a Directivei 2006/24 în dreptul intern austriac cu Legea constituțională federală (Bundes‑Verfassungsgesetz). |
Cadrul juridic
Directiva 95/46/CE
4 |
Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO L 281, p. 31, Ediție specială, 13/vol. 17, p. 10) are, conform articolului 1 alineatul (1), drept obiect asigurarea protecției drepturilor și libertăților fundamentale ale persoanei și în special a dreptului la viața privată în ceea ce privește prelucrarea datelor cu caracter personal. |
5 |
În ceea ce privește securitatea prelucrărilor unor astfel de date, articolul 17 alineatul (1) din directiva menționată prevede: „Statele membre prevăd aplicarea obligatorie de către operator a unor măsuri tehnice și organizatorice de protecție adecvate pentru protejarea datelor cu caracter personal împotriva distrugerii accidentale sau ilegale, pierderii accidentale, modificării, dezvăluirii sau accesului neautorizat, în special atunci când prelucrarea presupune transmiterea datelor într‑o rețea, precum și împotriva oricărei alte forme de prelucrare ilegală. Având în vedere cele mai noi tehnici din sector și costurile punerii lor în aplicare, aceste măsuri trebuie să asigure un nivel de securitate adecvat în ceea ce privește riscurile prezentate de prelucrare și caracterul datelor de protejat.” |
Directiva 2002/58/CE
6 |
Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO L 201, p. 37, Ediție specială, 13/vol. 36, p. 63), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din25 noiembrie 2009 (JO L 337, p. 11, denumită în continuare „Directiva 2002/58”), are drept obiectiv, conform articolului 1 alineatul (1), armonizarea dispozițiilor din statele membre, necesară în vederea asigurării unui nivel echivalent de protecție a drepturilor și a libertăților fundamentale și în special a dreptului la viața privată și a dreptului la confidențialitate, în ceea ce privește prelucrarea datelor cu caracter personal în sectorul comunicațiilor electronice și în vederea asigurării liberei circulații a acestor date și a echipamentelor și serviciilor de comunicații electronice în cadrul Uniunii Europene. În temeiul alineatului (2) al aceluiași articol, prevederile prezentei directive precizează și completează Directiva 95/46 în scopurile menționate la alineatul (1) sus‑menționat. |
7 |
În ceea ce privește securitatea prelucrării datelor, articolul 4 din Directiva 2002/58 prevede: „(1) Prestatorul unui serviciu public de comunicații electronice trebuie să ia măsurile tehnice și organizaționale corespunzătoare pentru protejarea securității serviciilor sale, dacă este necesar împreună cu furnizorul rețelei de comunicații electronice, în privința securității rețelei. Având în vedere noutatea și costurile punerii lor în aplicare, aceste măsuri trebuie să asigure un nivel de securitate corespunzător riscurilor. (1a) Fără a aduce atingere Directivei 95/46/CE, măsurile menționate la alineatul (1) realizează cel puțin următoarele:
Autoritățile naționale competente pot să auditeze măsurile adoptate de furnizorii de servicii de comunicații electronice accesibile publicului și să emită recomandări cu privire la cele mai bune practici privind nivelul de securitate care trebuie atins de aceste măsuri. (2) În cazul riscului de încălcare a securității rețelei, prestatorul de servicii de comunicații electronice trebuie să informeze abonații despre acest risc și, dacă riscul este în afara sferei măsurilor pe care le poate lua prestatorul de servicii, despre remediile posibile, inclusiv prin indicarea costurilor implicate.” |
8 |
În ceea ce privește confidențialitatea comunicațiilor și a datelor de transfer, articolul 5 alineatele (1) și (3) din directiva menționată prevede: „(1) Statele membre trebuie să asigure confidențialitatea comunicațiilor și a datelor de transfer aferente transmise prin intermediul unei rețele de comunicații publice sau unor servicii publice de comunicații electronice, prin legislația internă. Acestea interzic astfel în special ascultarea, înregistrarea, stocarea sau alte tipuri de interceptare sau supraveghere a comunicațiilor și a datelor de transfer aferente de către persoane altele decât utilizatorul, fără acordul utilizatorului în cauză, cu excepția cazurilor în care acest lucru este permis în temeiul articolului 15 alineatul (1). Prezentul alineat nu interzice stocarea tehnică necesară pentru transmisia comunicației care nu aduce atingere principiului confidențialității. […] (3) Statele membre se asigură că stocarea de informații sau dobândirea accesului la informațiile deja stocate în echipamentul terminal al unui abonat sau utilizator este permisă doar cu condiția ca abonatul sau utilizatorul în cauză să își fi dat acordul, după ce a primit informații clare și complete, în conformitate cu Directiva 95/46/CE, inter alia, cu privire la scopurile prelucrării. Aceasta nu împiedică stocarea sau accesul tehnic cu unicul scop de a efectua transmisia comunicării printr‑o rețea de comunicații electronice sau în cazul în care acest lucru este strict necesar în vederea furnizării de către furnizor a unui serviciu al societății informaționale cerut în mod expres de către abonat sau utilizator.” |
9 |
Potrivit articolului 6 alineatul (1) din Directiva 2002/58: „Datele de transfer referitoare la abonați și utilizatori prelucrate și stocate de către furnizorul rețelei de comunicații publice sau al serviciilor publice de comunicații electronice trebuie șterse sau trecute în anonimat de îndată ce nu mai sunt necesare în scopul transmiterii comunicației, fără a aduce atingere alineatelor (2), (3) și (5) din prezentul articol sau articolului 15 alineatul (1).” |
10 |
Articolul 15 din Directiva 2002/58 prevede la alineatul (1): „Statele membre pot adopta măsuri legislative pentru a restrânge sfera de aplicare a drepturilor și obligațiilor prevăzute la articolul 5, articolul 6, articolul 8 alineatele (1), (2), (3) și (4) și articolul 9 ale prezentei directive, în cazul în care restrângerea lor constituie o măsură necesară, corespunzătoare și proporțională în cadrul unei societăți democratice pentru a proteja securitatea națională (de exemplu siguranța statului), apărarea, siguranța publică sau pentru prevenirea, investigarea, detectarea și urmărirea penală a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicații electronice, în conformitate cu articolul 13 alineatul (1) al Directivei 95/46/CE. În acest scop, statele membre pot adopta, inter alia, măsuri legislative care să permită reținerea de date, pe perioadă limitată, pentru motivele arătate anterior în acest alineat. Toate măsurile menționate în acest alineat trebuie să fie conforme cu principiile generale ale legislației comunitare, inclusiv cu cele menționate la articolul 6 alineatele (1) și (2) al Tratatului privind Uniunea Europeană.” |
Directiva 2006/24
11 |
După ce a lansat o consultare cu reprezentanții serviciilor de aplicare a legii, ai sectorului comunicațiilor electronice și ai experților în materia protecției datelor, Comisia a prezentat, la 21 septembrie 2005, o analiză a impactului opțiunilor politice în legătură cu normele privind păstrarea datelor de trafic (denumită în continuare „analiza de impact”). Această analiză a servit ca bază pentru elaborarea Propunerii de directivă a Parlamentului European și a Consiliului privind păstrarea datelor prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului și de modificare a Directivei 2002/58/CE [COM(2005) 438 final, denumită în continuare „propunerea de directivă”], prezentată în aceeași zi, care a condus la adoptarea Directivei 2006/24 în temeiul articolului 95 CE. |
12 |
În considerentul (4) al Directivei 2006/24 se precizează: „Articolul 15 alineatul (1) din Directiva 2002/58/CE stabilește condițiile în temeiul cărora statele membre pot limita domeniul de aplicare al drepturilor și obligațiilor prevăzute la articolul 5, articolul 6, articolul 8 alineatele (1), (2), (3) și (4) și articolul 9 din această directivă. Orice astfel de restricție este necesară, adecvată și proporționată în cadrul unei societăți democratice pentru scopuri specifice ordinii publice, de exemplu: garantarea siguranței naționale (de exemplu siguranța statului), apărare, siguranță publică sau prevenirea, cercetarea, detectarea și urmărirea penală a infracțiunilor sau a utilizării neautorizate a sistemelor de comunicații electronice.” |
13 |
Conform primei teze a considerentului (5) al Directivei 2006/24, „[m]ai multe state membre au adoptat legislația care prevede păstrarea datelor de către furnizorii de servicii în vederea prevenirii, cercetării, detectării și urmăririi penale a infracțiunilor”. |
14 |
Considerentele (7)-(11) ale Directivei 2006/24 au următorul cuprins:
|
15 |
Considerentele (16), (21) și (22) ale directivei menționate precizează:
|
16 |
Directiva 2006/24 prevede obligația furnizorilor de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice de a păstra anumite date generate sau prelucrate de către acești furnizori. În această privință, articolele 1-9, 11 și 13 din directiva menționată prevăd: „Articolul 1 Obiectul și domeniul de aplicare (1) Prezenta directivă urmărește să armonizeze dispozițiile statelor membre privind obligațiile furnizorilor de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice cu privire la păstrarea anumitor date generate sau prelucrate de către aceștia, pentru a se asigura că datele sunt disponibile în vederea cercetării, depistării și urmăririi penale a infracțiunilor grave, astfel cum sunt definite de fiecare stat membru în dreptul său intern. (2) Prezenta directivă se aplică datelor de trafic și localizare, atât pentru entități juridice, cât și pentru persoane fizice, precum și datelor necesare pentru identificarea abonatului sau a utilizatorului înregistrat. Nu se aplică pentru conținutul comunicațiilor electronice, inclusiv informațiile consultate prin utilizarea unei rețele de comunicații electronice. Articolul 2 Definiții (1) În sensul prezentei directive, se aplică definițiile din Directiva 95/46/CE, din Directiva 2002/21/CE a Parlamentului European și a Consiliului din 7 martie 2002 privind cadrul de reglementare comun pentru serviciile și rețelele de comunicații electronice (Directivă‑cadru) […], și cele din Directiva 2002/58/CE. (2) În sensul prezentei directive:
Articolul 3 Obligația de păstrare a datelor (1) Prin derogare de la articolele 5, 6 și 9 din Directiva 2002/58/CE, statele membre adoptă măsuri pentru a se asigura că datele menționate la articolul 5 din prezenta directivă sunt păstrate în conformitate cu dispozițiile acesteia, în măsura în care acele date sunt generate sau prelucrate de către furnizorii de comunicații electronice accesibile publicului sau de rețele publice de comunicații, de competența acestora, în procesul de furnizare a serviciilor de comunicații respective. (2) Obligația de a păstra datele prevăzute la alineatul (1) include păstrarea datelor specificate la articolul 5 referitoare la încercări nereușite de apeluri telefonice, în cazul în care aceste date sunt generate sau prelucrate și păstrate (în ceea ce privește datele de telefonie), sau înregistrate în jurnal electronic (în ceea ce privește datele de internet) de către furnizorii de servicii de comunicații electronice accesibile publicului sau de rețele publice de comunicații în cadrul competenței statului membru respectiv, în procesul de furnizare a serviciilor de comunicații în cauză. Prezenta directivă nu impune păstrarea datelor referitoare la apelurile care nu se conectează. Articolul 4 Accesul la date Statele membre adoptă măsuri pentru a se asigura că datele păstrate în conformitate cu prezenta directivă sunt furnizate numai autorităților naționale competente în cazuri specifice și în conformitate cu dreptul intern. Procedurile care trebuie să fie urmate și condițiile care trebuie să fie îndeplinite pentru a obține acces la datele păstrate în conformitate cu cerințele de necesitate și de proporționalitate sunt definite de fiecare stat membru, în dreptul intern al fiecăruia, sub rezerva dispozițiilor relevante ale dreptului Uniunii Europene sau ale dreptului internațional public și, în special, a dispozițiilor CEDO, astfel cum au fost interpretate de către Curtea Europeană pentru Drepturile Omului. Articolul 5 Categorii de date care sunt păstrate (1) Statele membre se asigură că, în temeiul prezentei directive, sunt păstrate următoarele categorii de date:
(2) În temeiul prezentei directive, nu se pot păstra date care dezvăluie conținutul comunicației. Articolul 6 Perioade de păstrare Statele membre se asigură că toate categoriile de date specificate la articolul 5 se păstrează pe perioade de cel puțin șase luni și nu mai mult de doi ani de la data efectuării comunicației. Articolul 7 Protecția și securitatea datelor Fără a aduce atingere dispozițiilor adoptate în temeiul Directivei 95/46/CE și al Directivei 2002/58/CE, fiecare stat membru se asigură că furnizorii de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice respectă, cel puțin la nivel minim, următoarele principii de securitate a datelor privind datele păstrate în conformitate cu prezenta directivă:
Articolul 8 Cerințe de depozitare pentru datele păstrate Statele membre se asigură că datele specificate la articolul 5 sunt păstrate în conformitate cu prezenta directivă astfel încât datele păstrate sau orice alte informații necesare referitoare la astfel de date să poată fi transmise la cerere, fără întârziere, autorităților competente. Articolul 9 Autoritatea de supraveghere (1) Fiecare stat membru desemnează una sau mai multe autorități publice responsabile pentru monitorizarea aplicării pe teritoriul său a dispozițiilor adoptate de către statele membre în temeiul articolului 7 privind securitatea datelor stocate. Aceste autorități pot fi aceleași cu cele menționate la articolul 28 din Directiva 95/46/CE. (2) Autoritățile menționate la alineatul (1) hotărăsc în mod absolut independent în materie de realizare a monitorizării menționate la respectivul alineat. […] Articolul 11 Modificarea Directivei 2002/58/CE La articolul 15 din Directiva 2002/58/CE se inserează următorul alineat: «(1a) Alineatul (1) nu se aplică datelor solicitate în mod specific de [Directiva 2006/24] pentru a fi păstrate în scopurile menționate la articolul 1 alineatul (1) din această directivă.» […] Articolul 13 Căi de atac, răspundere și sancțiuni (1) Fiecare stat membru ia măsurile necesare pentru a se asigura că măsurile de drept intern de punere în aplicare a capitolului III din Directiva 95/46/CE care prevăd căi de atac judiciare, răspundere și sancțiuni sunt aplicate integral în ceea ce privește prelucrarea datelor în temeiul prezentei directive. (2) Fiecare stat membru ia, în special, măsurile necesare pentru a se asigura că orice accesare intenționată sau transfer al datelor păstrate în conformitate cu prezenta directivă, care nu sunt permise în conformitate cu dreptul intern adoptat în temeiul prezentei directive, se pedepsesc prin sancțiuni, inclusiv sancțiuni administrative sau penale, care sunt efective, proporționale și cu efect de descurajare.” |
Litigiile principale și întrebările preliminare
Cauza C‑293/12
17 |
Digital Rights a introdus la 11 august 2006 o acțiune la High Court în cadrul căreia susține că este proprietara unui telefon mobil care a fost înregistrat la 3 iunie 2006 și pe care l‑a folosit de la această dată. Aceasta pune în discuție legalitatea măsurilor legislative și administrative naționale referitoare la păstrarea unor date privind comunicațiile electronice și solicită, printre altele, instanței de trimitere să constate nulitatea Directivei 2006/24 și a părții 7 din Legea din 2005 privind justiția penală (infracțiuni de terorism) [Criminal Justice (Terrorist Offences) Act 2005], care prevede că furnizorii de servicii de comunicații telefonice trebuie să păstreze datele aferente acestora din urmă privind traficul și locația pentru o perioadă prevăzută de lege în scopul prevenirii, depistării, cercetării și urmăririi infracțiunilor, precum și al garantării siguranței statului. |
18 |
Întrucât a considerat că, în lipsa examinării validității Directivei 2006/24, nu este în măsură să se pronunțe asupra întrebărilor referitoare la dreptul național cu care a fost sesizată, High Court a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
|
Cauza C‑594/12
19 |
La originea cererii de decizie preliminară formulate în cauza C‑594/12 se află mai multe acțiuni introduse în fața Verfassungsgerichtshof de Kärntner Landesregierung, precum și, respectiv, de domnii Seitlinger, Tschohl și de alți 11128 de reclamanți care solicită anularea articolului 102 bis din Legea din 2003 privind telecomunicațiile (Telekommunikationsgesetz 2003), care a fost introdus în legea menționată prin Legea federală de modificare a acesteia (Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG 2003 geändert wird, BGBl. I, 27/2011) în vederea transpunerii Directivei 2006/24 în dreptul intern austriac. Părțile respective consideră printre altele că acest articol 102 bis încalcă dreptul fundamental al particularilor la protecția datelor lor. |
20 |
Verfassungsgerichtshof solicită în special să se stabilească dacă Directiva 2006/24 este compatibilă cu carta în măsura în care permite stocarea a numeroase tipuri de date referitoare la un număr nelimitat de persoane pentru o perioadă îndelungată. Păstrarea datelor ar afecta aproape exclusiv persoane al căror comportament nu justifică în niciun fel stocarea datelor care le privesc. Aceste persoane ar fi expuse unui risc ridicat ca autoritățile să investigheze datele lor, să ia cunoștință despre conținutul datelor, să se informeze cu privire la viața lor privată și să utilizeze datele respective în scopuri multiple, ținând seama în special de numărul necuantificabil de persoane care au acces la date într‑o perioadă de cel puțin șase luni. Potrivit instanței de trimitere, există îndoieli, pe de o parte, cu privire la aspectul dacă această directivă este în măsură să atingă obiectivele pe care le urmărește și, pe de altă parte, cu privire la caracterul proporțional al ingerinței în drepturile fundamentale vizate. |
21 |
În aceste condiții, Verfassungsgerichtshof a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
|
22 |
Prin Ordonanța președintelui Curții din 11 iunie 2013, cauzele C‑293/12 și C‑594/12 au fost conexate pentru buna desfășurare a procedurii orale și în vederea pronunțării hotărârii. |
Cu privire la întrebările preliminare
Cu privire la a doua întrebare literele (b)-(d) formulată în cauza C‑293/12 și la prima întrebare formulată în cauza C‑594/12
23 |
Prin intermediul celei de a doua întrebări literele (b)-(d) formulate în cauza C‑293/12 și al primei întrebări formulate în cauza C‑594/12, care trebuie analizate împreună, instanțele de trimitere solicită în esență Curții să examineze validitatea Directivei 2006/24 în lumina articolelor 7, 8 și 11 din cartă. |
Cu privire la relevanța articolelor 7, 8 și 11 din cartă în ceea ce privește problema validității Directivei 2006/24
24 |
Din articolul 1 și din considerentele (4), (5), (7)-(11), (21) și (22) ale Directivei 2006/24 rezultă că aceasta are drept obiectiv principal armonizarea dispozițiilor statelor membre privind obligațiile furnizorilor de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice cu privire la păstrarea anumitor date generate sau prelucrate de către acești furnizori, pentru a se asigura că datele sunt disponibile în vederea prevenirii, cercetării, depistării și urmăririi penale a infracțiunilor grave, cum sunt criminalitatea organizată și terorismul, cu respectarea drepturilor consacrate la articolele 7 și 8 din cartă. |
25 |
Obligația furnizorilor de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice, prevăzută la articolul 3 din Directiva 2006/24, de a păstra datele enumerate la articolul 5 din aceasta în scopul de a le pune, dacă este cazul, la dispoziția autorităților naționale competente ridică probleme cu privire la protecția vieții private și a comunicațiilor consacrată la articolul 7 din cartă, la protecția datelor cu caracter personal prevăzută la articolul 8 din aceasta, precum și cu privire la respectarea libertății de exprimare garantate de articolul 11 din cartă. |
26 |
În această privință, trebuie arătat că datele pe care trebuie să le păstreze furnizorii de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice, în temeiul articolelor 3 și 5 din Directiva 2006/24, sunt printre altele datele necesare pentru urmărirea și identificarea sursei unei comunicații și a destinației acesteia, pentru identificarea datei, a orei, a duratei și a tipului unei comunicații, pentru identificarea echipamentului de comunicație al utilizatorilor, precum și pentru localizarea echipamentului de comunicație mobilă, date care includ printre altele numele și adresa abonatului sau ale utilizatorului înregistrat, numărul de telefon al apelantului și numărul apelat, precum și o adresă IP pentru serviciile de internet. Aceste date permit în special stabilirea persoanei cu care a comunicat un abonat sau un utilizator înregistrat și prin ce mijloace, precum și stabilirea duratei comunicației și a locului de unde a fost inițiată aceasta. În plus, cu ajutorul datelor în cauză se poate cunoaște frecvența comunicațiilor abonatului sau ale utilizatorului înregistrat cu anumite persoane într‑o perioadă determinată. |
27 |
Considerate în ansamblu, datele respective pot permite deducerea unor concluzii foarte precise privind viața privată a persoanelor ale căror date au fost păstrate, precum obiceiurile din viața cotidiană, locurile de ședere permanente sau temporare, deplasările zilnice sau alte deplasări, activitățile desfășurate, relațiile sociale ale acestor persoane și mediile sociale frecventate de ele. |
28 |
În astfel de împrejurări, chiar dacă, astfel cum decurge din articolul 1 alineatul (2) și din articolul 5 alineatul (2), Directiva 2006/24 nu autorizează păstrarea conținutului comunicației și a informațiilor consultate prin utilizarea unei rețele de comunicații electronice, nu este exclusă posibilitatea ca păstrarea datelor în cauză să aibă un efect asupra utilizării de către abonați sau de către utilizatorii înregistrați a mijloacelor de comunicare prevăzute de această directivă și, în consecință, asupra exercitării de către aceștia din urmă a libertății lor de exprimare, garantată de articolul 11 din cartă. |
29 |
Păstrarea datelor în scopul de a asigura eventualul acces al autorităților naționale competente la acestea, astfel cum este prevăzută de Directiva 2006/24, privește în mod direct și specific viața privată și, astfel, drepturile garantate de articolul 7 din cartă. În plus, o astfel de păstrare a datelor intră de asemenea sub incidența articolului 8 din cartă întrucât constituie o prelucrare a datelor cu caracter personal în sensul acestui articol și trebuie, prin urmare, să îndeplinească în mod necesar cerințele de protecție a datelor care decurg din articolul menționat (Hotărârea Volker und Markus Schecke și Eifert, C‑92/09 și C‑93/09, EU:C:2010:662, punctul 47). |
30 |
Deși întrebările preliminare formulate în prezentele cauze ridică în special problema de principiu dacă datele abonaților și ale utilizatorilor înregistrați pot sau nu pot fi păstrate în lumina articolului 7 din cartă, acestea privesc în egală măsură problema dacă Directiva 2006/24 îndeplinește cerințele de protecție a datelor cu caracter personal care decurg din articolul 8 din cartă. |
31 |
Având în vedere considerațiile care precedă, pentru a răspunde la a doua întrebare literele (b)-(d) formulată în cauza C‑293/12 și la prima întrebare formulată în cauza C‑594/12, este necesar să se examineze validitatea directivei în lumina articolelor 7 și 8 din cartă. |
Cu privire la existența unei ingerințe în drepturile consacrate la articolele 7 și 8 din cartă
32 |
Prin faptul că impune păstrarea datelor enumerate la articolul 5 alineatul (1) din Directiva 2006/24 și prin faptul că permite accesul autorităților naționale competente la acestea, directiva menționată derogă, astfel cum a arătat avocatul general în special la punctele 39 și 40 din concluzii, de la regimul de protecție al dreptului la respectarea vieții private, instituit de Directivele 95/46 și 2002/58, în ceea ce privește prelucrarea datelor cu caracter personal în sectorul comunicațiilor electronice, întrucât aceste din urmă directive prevăd confidențialitatea comunicațiilor și a datelor de trafic, precum și obligația de a șterge sau de a trece în anonimat datele respective atunci când ele nu mai sunt necesare pentru transmiterea unei comunicații, cu excepția cazului în care datele sunt necesare facturării și doar atât timp cât persistă această necesitate. |
33 |
Pentru a stabili existența unei ingerințe în dreptul fundamental la respectarea vieții private, are puțină relevanță dacă informațiile vizate referitoare la viața privată prezintă sau nu prezintă un caracter sensibil sau dacă persoanele interesate au suferit sau nu au suferit eventuale dezavantaje ca urmare a acestei ingerințe (a se vedea în acest sens Hotărârea Österreichischer Rundfunk și alții, C‑465/00, C‑138/01 și C‑139/01, EU:C:2003:294, punctul 75). |
34 |
Rezultă de aici că obligația impusă de articolele 3 și 6 din Directiva 2006/24 furnizorilor de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice de a păstra pentru o anumită perioadă date referitoare la viața privată a unei persoane și la comunicațiile sale precum cele prevăzute la articolul 5 din această directivă constituie per se o ingerință în drepturile garantate de articolul 7 din cartă. |
35 |
În plus, accesul autorităților naționale competente la date constituie o ingerință suplimentară în acest drept fundamental (a se vedea, în ceea ce privește articolul 8 din CEDO, Hotărârea Curții EDO din 26 martie 1987, Leander împotriva Suediei, seria A nr. 116, § 48, Hotărârea Rotaru împotriva României [GC], nr. 28341/95, § 46, CEDO 2000‑V, precum și Hotărârea Weber și Saravia împotriva Germaniei (dec.), nr. 54934/00, § 79, CEDO 2006-XI). Astfel, articolele 4 și 8 din Directiva 2006/24, care prevăd norme privind accesul autorităților naționale competente la date, constituie de asemenea o ingerință în drepturile garantate de articolul 7 din cartă. |
36 |
În mod similar, Directiva 2006/24 constituie o ingerință în dreptul fundamental la protecția datelor cu caracter personal garantat de articolul 8 din cartă întrucât prevede o prelucrare a datelor cu caracter personal. |
37 |
Trebuie să se constate că ingerința în drepturile fundamentale consacrate la articolele 7 și 8 din cartă cauzată de Directiva 2006/24 este, astfel cum a arătat și avocatul general în special la punctele 77 și 80 din concluzii, de o mare amploare și trebuie considerată ca fiind deosebit de gravă. În plus, împrejurarea că păstrarea datelor și utilizarea lor ulterioară sunt efectuate fără ca abonatul sau utilizatorul înregistrat să fie informați cu privire la aceasta este susceptibilă să genereze în mintea persoanelor vizate, astfel cum a arătat avocatul general la punctele 52 și 72 din concluzii, sentimentul că viața lor privată face obiectul unei supravegheri constante. |
Cu privire la justificarea ingerinței în drepturile garantate de articolele 7 și 8 din cartă
38 |
Conform articolului 52 alineatul (1) din cartă, orice restrângere a exercițiului drepturilor și libertăților consacrate de aceasta trebuie să fie prevăzută de lege, să respecte substanța lor și, prin respectarea principiului proporționalității, pot fi impuse restrângeri privind aceste drepturi și libertăți numai în cazul în care acestea sunt necesare și numai dacă răspund efectiv obiectivelor de interes general recunoscute de Uniune sau necesității protejării drepturilor și libertăților celorlalți. |
39 |
În ceea ce privește substanța dreptului fundamental la respectarea vieții private și a celorlalte drepturi consacrate la articolul 7 din cartă, trebuie constatat că, chiar dacă păstrarea datelor impusă de Directiva 2006/24 constituie o ingerință deosebit de gravă în aceste drepturi, ea nu este de natură să aducă atingere substanței menționate, dat fiind faptul că, astfel cum rezultă din articolul 1 alineatul (2), această directivă nu permite cunoașterea conținutului comunicațiilor electronice ca atare. |
40 |
Această păstrare a datelor nu este nici de natură să aducă atingere substanței dreptului fundamental la protecția datelor cu caracter personal, consacrat la articolul 8 din cartă, întrucât Directiva 2006/24 prevede la articolul 7 o normă privind protecția și securitatea datelor potrivit căreia, fără a aduce atingere dispozițiilor adoptate în temeiul Directivelor 95/46 și 2002/58, furnizorii de servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice trebuie să respecte anumite principii de protecție și de securitate a datelor, principii în temeiul cărora statele membre asigură adoptarea de măsuri tehnice și organizaționale adecvate împotriva distrugerii accidentale sau ilegale, a pierderii sau a modificării accidentale a datelor. |
41 |
În ceea ce privește problema dacă ingerința menționată răspunde unui obiectiv de interes general, trebuie arătat că, deși Directiva 2006/24 urmărește armonizarea dispozițiilor statelor membre privind obligațiile furnizorilor menționați cu privire la păstrarea anumitor date generate sau prelucrate de către aceștia, obiectivul material al acestei directive vizează, după cum rezultă din articolul 1 alineatul (1), garantarea disponibilității datelor în cauză în vederea cercetării, depistării și urmăririi penale a infracțiunilor grave, astfel cum sunt definite de fiecare stat membru în dreptul său intern. Prin urmare, obiectivul material al acestei directive este de a contribui la combaterea criminalității grave și astfel, în final, la siguranța publică. |
42 |
Reiese din jurisprudența Curții că combaterea terorismului internațional pentru menținerea păcii și a securității internaționale constituie un obiectiv de interes general al Uniunii (a se vedea în acest sens Hotărârea Kadi și Al Barakaat International Foundation/Consiliul și Comisia, C‑402/05 P și C‑415/05 P, EU:C:2008:461, punctul 363, precum și Hotărârea Al‑Aqsa/Consiliul, C‑539/10 P și C‑550/10 P, EU:C:2012:711, punctul 130). Același lucru este valabil în ceea ce privește combaterea criminalității grave în scopul garantării siguranței publice (a se vedea în acest sens Hotărârea Tsakouridis, C‑145/09, EU:C:2010:708, punctele 46 și 47). Pe de altă parte, trebuie arătat în această privință că articolul 6 din cartă prevede dreptul oricărei persoane nu doar la libertate, ci și la siguranță. |
43 |
În această privință, din considerentul (7) al Directivei 2006/24 reiese că, din cauza creșterii semnificative a posibilităților oferite de comunicațiile electronice, Consiliul de Justiție și Afaceri Interne din 19 decembrie 2002 a considerat că datele referitoare la utilizarea comunicațiilor electronice sunt importante în mod special și, în consecință, reprezintă un instrument valoros în vederea prevenirii infracțiunilor și a combaterii criminalității, mai ales a criminalității organizate. |
44 |
Trebuie să se constate, așadar, că păstrarea datelor pentru a permite autorităților naționale competente să dispună de un eventual acces la acestea, astfel cum este impusă de Directiva 2006/24, răspunde efectiv unui obiectiv de interes general. |
45 |
În aceste condiții, este necesar să se verifice proporționalitatea ingerinței constatate. |
46 |
În această privință, trebuie amintit că principiul proporționalității impune, potrivit unei jurisprudențe constante a Curții, ca actele instituțiilor Uniunii să fie de natură să atingă obiectivele legitime urmărite de reglementarea în cauză și să nu depășească limitele a ceea ce este adecvat și necesar pentru realizarea acestor obiective (a se vedea în acest sens Hotărârea Afton Chemical, C‑343/09, EU:C:2010:419, punctul 45, Hotărârea Volker und Markus Schecke și Eifert, EU:C:2010:662, punctul 74, Hotărârea Nelson și alții, C‑581/10 și C‑629/10, EU:C:2012:657, punctul 71, Hotărârea Sky Österreich, C‑283/11, EU:C:2013:28, punctul 50, precum și Hotărârea Schaible, C‑101/12, EU:C:2013:661, punctul 29). |
47 |
În ceea ce privește controlul jurisdicțional al respectării acestor condiții, întrucât sunt în discuție ingerințe în drepturile fundamentale, întinderea puterii de apreciere a legiuitorului Uniunii poate fi limitată în funcție de un anumit număr de elemente, printre care figurează în special domeniul vizat, natura dreptului în cauză garantat de cartă, natura și gravitatea ingerinței, precum și finalitatea acesteia (a se vedea prin analogie, în ceea ce privește articolul 8 din CEDO, Hotărârea Curții EDO S și Marper împotriva Regatului Unit [GC], nr. 30562/04 și 30566/04, § 102, CEDO 2008‑V). |
48 |
În speță, ținând seama, pe de o parte, de rolul important pe care îl are protecția datelor cu caracter personal în lumina dreptului fundamental la respectarea vieții private și, pe de altă parte, de amploarea și de gravitatea ingerinței în acest drept cauzate de Directiva 2006/24, puterea de apreciere a legiuitorului Uniunii este redusă, astfel încât este necesară efectuarea unui control strict. |
49 |
În ceea ce privește problema dacă păstrarea datelor este de natură să atingă obiectivul urmărit de Directiva 2006/24, trebuie constatat că, având în vedere importanța în creștere a mijloacelor de comunicare electronică, datele care trebuie păstrate în temeiul acestei directive permit autorităților naționale competente în materia urmăririi penale să dispună de posibilități suplimentare de elucidare a infracțiunilor grave și, în această privință, ele reprezintă, așadar, un instrument util pentru desfășurarea anchetelor penale. Astfel, păstrarea unor astfel de date poate fi considerată ca fiind de natură să realizeze obiectivul urmărit de directiva menționată. |
50 |
Această apreciere nu poate fi repusă în discuție de circumstanța, invocată în special de domnii Tschohl și Seitlinger, precum și de guvernul portughez, în observațiile lor scrise prezentate Curții, că există mai multe modalități de comunicații electronice care nu intră în domeniul de aplicare al Directivei 2006/24 sau care permit o comunicare anonimă. Deși este adevărat că această împrejurare este de natură să limiteze capacitatea măsurii de păstrare a datelor de a atinge obiectivul urmărit, ea nu poate totuși să facă această măsură inaptă, astfel cum a arătat avocatul general la punctul 137 din concluzii. |
51 |
În ceea ce privește caracterul necesar al păstrării datelor impuse de Directiva 2006/24, trebuie constatat că, desigur, combaterea criminalității grave, în special a criminalității organizate și a terorismului, prezintă o importanță primordială pentru garantarea siguranței publice, iar eficacitatea sa poate depinde într‑o mare măsură de utilizarea tehnicilor moderne de anchetă. Cu toate acestea, un astfel de obiectiv de interes general, oricât de fundamental ar fi, nu poate justifica per se faptul de a considera o măsură de păstrare precum cea instituită de Directiva 2006/24 ca fiind necesară în scopul combaterii menționate. |
52 |
În ceea ce privește dreptul la respectarea vieții private, potrivit unei jurisprudențe constante a Curții, protecția acestui drept fundamental impune, în orice caz, ca derogările de la protecția datelor cu caracter personal și limitările acesteia să fie efectuate în limitele strictului necesar (Hotărârea IPI, C‑473/12, EU:C:2013:715, punctul 39 și jurisprudența citată). |
53 |
În această privință, trebuie amintit că protecția datelor cu caracter personal, care rezultă din obligația explicită prevăzută la articolul 8 alineatul (1) din cartă, prezintă o importanță deosebită pentru dreptul la respectarea vieții private consacrat la articolul 7 din aceasta. |
54 |
Astfel, reglementarea Uniunii în cauză trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurii respective și să impună o serie de cerințe minime astfel încât persoanele ale căror date au fost păstrate să dispună de garanții suficiente care să permită protejarea în mod eficient a datelor lor cu caracter personal împotriva riscurilor de abuz, precum și împotriva oricărui acces și a oricărei utilizări ilicite a acestor date (a se vedea prin analogie, în ceea ce privește articolul 8 din CEDO, Hotărârea Curții EDO din 1 iulie 2008, Liberty și alții împotriva Regatului Unit, nr. 58243/00, § 62 și 63, Hotărârea Rotaru împotriva României, citată anterior, § 57-59, precum și Hotărârea S și Marper împotriva Regatului Unit, citată anterior, § 99). |
55 |
Necesitatea de a dispune de asemenea garanții este cu atât mai importantă în cazul în care, astfel cum prevede Directiva 2006/24, datele cu caracter personal sunt supuse unei prelucrări automate și există un risc important privind un acces ilicit la aceste date (a se vedea prin analogie, în ceea ce privește articolul 8 din CEDO, Hotărârea Curții EDO S și Marper împotriva Regatului Unit, citată anterior, § 103, precum și Hotărârea din 18 aprilie 2013, M. K. împotriva Franței, nr. 19522/09, § 35). |
56 |
În ceea ce privește problema dacă ingerința cauzată de Directiva 2006/24 este limitată la strictul necesar, trebuie arătat că această directivă impune, conform articolului 3 coroborat cu articolul 5 alineatul (1), păstrarea tuturor datelor de trafic referitoare la telefonia fixă, telefonia mobilă, accesul la internet, poșta electronică prin internet, precum și telefonia prin internet. Astfel, ea vizează toate mijloacele de comunicare electronică a căror utilizare este foarte răspândită și prezintă o importanță tot mai mare în viața cotidiană a fiecărei persoane. În plus, conform articolului 3, directiva menționată acoperă toți abonații și utilizatorii înregistrați. Directiva conține, așadar, o ingerință în drepturile fundamentale ale cvasitotalității populației europene. |
57 |
În această privință, este necesar să se constate în primul rând că Directiva 2006/24 acoperă în mod generalizat toate persoanele și toate mijloacele de comunicare electronică, precum și ansamblul datelor de trafic, fără a face vreo diferențiere, limitare sau excepție în funcție de obiectivul combaterii infracțiunilor grave. |
58 |
Astfel, pe de o parte, Directiva 2006/24 privește în mod global ansamblul persoanelor care utilizează servicii de comunicații electronice, fără însă ca persoanele ale căror date sunt păstrate să se regăsească, fie și în mod indirect, într‑o situație susceptibilă să declanșeze începerea urmăririi penale. Directiva se aplică, așadar, chiar și acelor persoane în privința cărora nu există niciun indiciu de natură să sugereze că comportamentul lor poate avea o legătură, chiar indirectă sau îndepărtată, cu infracțiuni grave. În plus, directiva menționată nu prevede nicio excepție, astfel încât ea se aplică chiar și acelor persoane ale căror comunicații sunt supuse, potrivit normelor dreptului național, secretului profesional. |
59 |
Pe de altă parte, deși urmărește să contribuie la combaterea criminalității grave, directiva menționată nu impune existența unei relații între datele a căror păstrare este prevăzută și o amenințare pentru siguranța publică și în special aceasta nu se limitează la păstrarea fie a unor date aferente unei perioade temporale și/sau unei zone geografice determinate și/sau unui cerc de persoane determinate care ar putea fi implicate, într‑un mod sau altul, în săvârșirea unei infracțiuni grave, fie a unor date referitoare la persoane care ar putea contribui, pentru alte motive, prin păstrarea datelor lor, la prevenirea, la detectarea sau la urmărirea penală a infracțiunilor grave. |
60 |
În al doilea rând, la această lipsă generală de limite se adaugă faptul că Directiva 2006/24 nu prevede niciun criteriu obiectiv care să permită delimitarea accesului autorităților naționale competente la date și utilizarea lor ulterioară în scopul prevenirii, detectării sau urmăririi penale în legătură cu infracțiuni care, având în vedere amploarea și gravitatea ingerinței în drepturile fundamentale consacrate la articolele 7 și 8 din cartă, pot fi considerate ca fiind suficient de grave pentru a justifica o astfel de ingerință. Dimpotrivă, Directiva 2006/24 se limitează la a face trimitere în general, la articolul 1 alineatul (1), la infracțiunile grave, astfel cum sunt definite de fiecare stat membru în dreptul său intern. |
61 |
În plus, în ceea ce privește accesul autorităților naționale competente la date și utilizarea lor ulterioară, Directiva 2006/24 nu conține condițiile materiale și procedurale aferente. Articolul 4 din această directivă, care reglementează accesul acestor autorități la datele păstrate, nu prevede în mod expres că accesul respectiv și utilizarea ulterioară a datelor în cauză trebuie să fie restricționate în mod strict la scopul prevenirii și al detectării infracțiunilor delimitate precis sau al desfășurării urmăririi penale aferente acestora, ci se limitează să prevadă că fiecare stat membru definește procedurile care trebuie să fie urmate și condițiile care trebuie să fie îndeplinite pentru a obține acces la datele păstrate în conformitate cu cerințele de necesitate și proporționalitate. |
62 |
În special, Directiva 2006/24 nu prevede niciun criteriu obiectiv care să permită limitarea numărului de persoane ce dispun de autorizația de acces și de utilizare ulterioară a datelor păstrate la strictul necesar în lumina obiectivului urmărit. Mai ales, accesul la datele păstrate de autoritățile naționale competente nu este condiționat de un control prealabil efectuat fie de o instanță, fie de o entitate administrativă independentă prin a căror decizie se urmărește limitarea accesului la date și a utilizării lor la ceea ce este strict necesar în vederea atingerii obiectivului urmărit și care este adoptată în urma unei cereri motivate a acestor autorități formulate în cadrul procedurilor de prevenire, de detectare sau de urmărire penală. În directivă nu s‑a prevăzut nici o obligație precisă a statelor membre privind stabilirea unor astfel de limitări. |
63 |
În al treilea rând, în ceea ce privește durata de păstrare a datelor, Directiva 2006/24 impune, la articolul 6, păstrarea acestora pentru o perioadă de cel puțin șase luni, fără a se face vreo distincție între categoriile de date prevăzute la articolul 5 din această directivă în funcție de utilitatea lor eventuală în scopul realizării obiectivului urmărit sau în funcție de persoanele vizate. |
64 |
În plus, durata respectivă este de minimum șase luni și maximum 24 de luni, fără a se preciza că stabilirea duratei de păstrare trebuie să fie întemeiată pe criterii obiective pentru a garanta limitarea acesteia la strictul necesar. |
65 |
Din cele ce precedă rezultă că Directiva 2006/24 nu prevede norme clare și precise care reglementează întinderea ingerinței în drepturile fundamentale consacrate la articolele 7 și 8 din cartă. Prin urmare, trebuie să se constate că această directivă conține o ingerință în aceste drepturi fundamentale, care este de o mare amploare și de o gravitate deosebită în ordinea juridică a Uniunii, fără ca o astfel de ingerință să fie încadrată în mod precis de dispoziții care să permită garantarea faptului că ea este limitată efectiv la strictul necesar. |
66 |
În plus, în ceea ce privește normele privind securitatea și protecția datelor păstrate de furnizorii de comunicații electronice accesibile publicului sau de rețele publice de comunicații, trebuie constatat că Directiva 2006/24 nu prevede garanții suficiente, astfel cum sunt impuse de articolul 8 din cartă, care să permită asigurarea unei protecții eficiente a datelor păstrate împotriva riscurilor de abuz, precum și împotriva oricărui acces și a oricărei utilizări ilicite a acestor date. Astfel, în primul rând, articolul 7 din Directiva 2006/24 nu prevede norme specifice și care să fie adaptate la vasta cantitate de date a căror păstrare este impusă de directiva menționată, la caracterul sensibil al datelor respective, precum și la riscul privind accesul ilicit la acestea, norme care ar fi destinate în special să reglementeze în mod clar și strict protecția și securitatea datelor în cauză, pentru a garanta deplina lor integritate și confidențialitate. În plus, nu s‑a prevăzut nici o obligație precisă a statelor membre privind adoptarea unor astfel de norme. |
67 |
Articolul 7 din Directiva 2006/24 coroborat cu articolul 4 alineatul (1) din Directiva 2002/58 și cu articolul 17 alineatul (1) al doilea paragraf din Directiva 95/46 nu garantează aplicarea de către furnizorii menționați a unui nivel deosebit de ridicat de protecție și de securitate prin măsuri tehnice și organizaționale, ci autorizează acești furnizori ca la stabilirea nivelului de securitate pe care îl aplică să țină seama în special de considerații economice în ceea ce privește costurile punerii în aplicare a măsurilor de securitate. În special, Directiva 2006/24 nu garantează distrugerea iremediabilă a datelor la sfârșitul duratei de păstrare a acestora. |
68 |
În al doilea rând, trebuie adăugat că directiva menționată nu impune ca datele în cauză să fie păstrate pe teritoriul Uniunii, astfel încât nu se poate considera că controlul exercitat de o autoritate independentă, impus în mod expres la articolul 8 alineatul (3) din cartă, al respectării cerințelor de protecție și de securitate, astfel cum sunt menționate la cele două puncte precedente, este garantat în totalitate. Or, un astfel de control efectuat în temeiul dreptului Uniunii constituie un element esențial al respectării protecției persoanelor în ceea ce privește prelucrarea datelor cu caracter personal (a se vedea în acest sens Hotărârea Comisia/Austria, C‑614/10, EU:C:2012:631, punctul 37). |
69 |
Având în vedere ansamblul considerațiilor care precedă, trebuie să se considere că, prin adoptarea Directivei 2006/24, legiuitorul Uniunii a depășit limitele impuse de respectarea principiului proporționalității în lumina articolelor 7 și 8 și a articolului 52 alineatul (1) din cartă. |
70 |
În aceste condiții, nu mai este necesară examinarea validității Directivei 2006/24 în lumina articolului 11 din cartă. |
71 |
În consecință, trebuie să se răspundă la a doua întrebare literele (b)-(d) formulată în cauza C‑293/12 și la prima întrebare formulată în cauza C‑594/12 că Directiva 2006/24 este nevalidă. |
Cu privire la prima întrebare și la a doua întrebare literele (a) și (e), precum și cu privire la a treia întrebare formulată în cauza C‑293/12 și cu privire la a doua întrebare formulată în cauza C‑594/12
72 |
Din ceea ce s‑a statuat la punctul precedent rezultă că nu este necesar să se răspundă la prima întrebare, la a doua întrebare literele (a) și (e) și la a treia întrebare formulată în cauza C‑293/12 și nici la a doua întrebare formulată în cauza C‑594/12. |
Cu privire la cheltuielile de judecată
73 |
Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări. |
Pentru aceste motive, Curtea (Marea Cameră) declară: |
Directiva 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE este nevalidă. |
Semnături |
( *1 ) Limbile de procedură: engleza și germana.