This document is an excerpt from the EUR-Lex website
Document 62021CJ0548
Hotărârea Curții (Marea Cameră) din 4 octombrie 2024.
C.G. împotriva Bezirkshauptmannschaft Landeck.
Trimitere preliminară – Protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor – Directiva (UE) 2016/680 – Articolul 3 punctul 2 – Noțiunea de «prelucrare» – Articolul 4 – Principii referitoare la prelucrarea datelor cu caracter personal – Articolul 4 alineatul (1) litera (c) – Principiul «reducerii la minimum a datelor» – Articolele 7, 8 și 47, precum și articolul 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene – Cerința potrivit căreia o restrângere a exercițiului unui drept fundamental trebuie să fie «prevăzută de lege» – Proporționalitate – Aprecierea proporționalității în raport cu ansamblul datelor relevante – Control prealabil din partea unei instanțe sau a unei autorități administrative independente – Articolul 13 – Informații care se pun la dispoziția persoanei vizate sau se comunică acesteia – Limite – Articolul 54 – Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau a unei persoane împuternicite de către operator – Anchetă polițienească în materie de trafic de stupefiante – Tentativă a autorităților polițienești de deblocare a unui telefon mobil pentru a accesa, în scopurile acestei anchete, datele conținute în acest telefon.
Cauza C-548/21.
Hotărârea Curții (Marea Cameră) din 4 octombrie 2024.
C.G. împotriva Bezirkshauptmannschaft Landeck.
Trimitere preliminară – Protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor – Directiva (UE) 2016/680 – Articolul 3 punctul 2 – Noțiunea de «prelucrare» – Articolul 4 – Principii referitoare la prelucrarea datelor cu caracter personal – Articolul 4 alineatul (1) litera (c) – Principiul «reducerii la minimum a datelor» – Articolele 7, 8 și 47, precum și articolul 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene – Cerința potrivit căreia o restrângere a exercițiului unui drept fundamental trebuie să fie «prevăzută de lege» – Proporționalitate – Aprecierea proporționalității în raport cu ansamblul datelor relevante – Control prealabil din partea unei instanțe sau a unei autorități administrative independente – Articolul 13 – Informații care se pun la dispoziția persoanei vizate sau se comunică acesteia – Limite – Articolul 54 – Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau a unei persoane împuternicite de către operator – Anchetă polițienească în materie de trafic de stupefiante – Tentativă a autorităților polițienești de deblocare a unui telefon mobil pentru a accesa, în scopurile acestei anchete, datele conținute în acest telefon.
Cauza C-548/21.
Court reports – general
ECLI identifier: ECLI:EU:C:2024:830
Cauza C‑548/21
CG
împotriva
Bezirkshauptmannschaft Landeck
(cerere de decizie preliminară formulată de Landesverwaltungsgericht Tirol)
Hotărârea Curții (Marea Cameră) din 4 octombrie 2024
„Trimitere preliminară – Protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor – Directiva (UE) 2016/680 – Articolul 3 punctul 2 – Noțiunea de «prelucrare» – Articolul 4 – Principii referitoare la prelucrarea datelor cu caracter personal – Articolul 4 alineatul (1) litera (c) – Principiul «reducerii la minimum a datelor» – Articolele 7, 8 și 47, precum și articolul 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene – Cerința potrivit căreia o restrângere a exercițiului unui drept fundamental trebuie să fie «prevăzută de lege» – Proporționalitate – Aprecierea proporționalității în raport cu ansamblul datelor relevante – Control prealabil din partea unei instanțe sau a unei autorități administrative independente – Articolul 13 – Informații care se pun la dispoziția persoanei vizate sau se comunică acesteia – Limite – Articolul 54 – Dreptul la o cale de atac judiciară eficientă împotriva unui operator sau a unei persoane împuternicite de către operator – Anchetă polițienească în materie de trafic de stupefiante – Tentativă a autorităților polițienești de deblocare a unui telefon mobil pentru a accesa, în scopurile acestei anchete, datele conținute în acest telefon”
-
Apropierea legislațiilor – Sectorul telecomunicațiilor – Prelucrarea datelor cu caracter personal și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58 – Domeniu de aplicare – Tentativă a autorităților polițienești de accesare a datelor cu caracter personal conținute într‑un telefon mobil în scopul unei anchete penale – Lipsa intervenției furnizorilor de servicii de comunicații electronice – Excludere
[Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 1 alin. (1) și (3) și art. 3]
(a se vedea punctele 57-59)
-
Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în materie penală – Directiva 2016/680 – Domeniu de aplicare – Tentativă a autorităților polițienești de accesare a datelor cu caracter personal conținute într‑un telefon mobil în scopul unei anchete penale – Includere
[Directiva 2016/680 a Parlamentului European și a Consiliului, art. 2 alin. (1) și art. 3 pct. 2]
(a se vedea punctele 71-77)
-
Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în materie penală – Directiva 2016/680 – Principii referitoare la prelucrarea datelor cu caracter personal – Principiile reducerii la minimum a datelor și proporționalității – Anchetă polițienească în materie de trafic de stupefiante – Reglementare națională care acordă autorităților competente posibilitatea de a accesa datele conținute într‑un telefon mobil în scopul prevenirii, investigării, depistării și urmăririi penale a infracțiunilor în general – Admisibilitate – Condiții
[Carta drepturilor fundamentale a Uniunii Europene, art. 7 și 8 și art. 52 alin. (1); Directiva 2016/680 a Parlamentului European și a Consiliului, art. 4 alin. (1) lit. (c)]
(a se vedea punctele 84-86, 89-93, 95-106, 109 și 110 și dispozitiv 1)
-
Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în materie penală – Directiva 2016/680 – Informarea persoanei vizate – Dreptul la o cale de atac jurisdicțională efectivă – Anchetă polițienească în materie de trafic de stupefiante – Reglementare națională care autorizează autoritățile competente să încerce să acceseze datele conținute într‑un telefon mobil fără a informa persoana vizată cu privire la motivele unei astfel de autorizări – Inadmisibilitate – Obligația autorităților competente de a informa persoana vizată cu privire la aceste motive – Domeniu de aplicare
[Carta drepturilor fundamentale a Uniunii Europene, art. 47 și art. 52 alin. (1); Directiva 2016/680 a Parlamentului European și a Consiliului, art. 13 și 54)
(a se vedea punctele 115-123 și dispozitiv 2)
Rezumat
Sesizată cu titlu preliminar de Landesverwaltungsgericht Tirol (Tribunalul Administrativ Regional din Tirol, Austria), Marea Cameră a Curții precizează, pe de o parte, condițiile în care autoritățile naționale competente pot accesa datele conținute într‑un telefon mobil în scopul prevenirii, depistării, investigării și urmăririi penale a infracțiunilor în general, în raport cu Directiva 2016/680 ( 1 ). Pe de altă parte, ea recunoaște dreptul persoanei în cauză de a fi informată cu privire la motivele pe care se întemeiază autorizația de acces la astfel de date, începând din momentul în care comunicarea acestei informații nu mai este susceptibilă să compromită misiunile care revin autorităților menționate.
La 23 februarie 2021, în timp ce efectuau un control cu privire la stupefiante, agenții vamali austrieci au interceptat un pachet adresat lui CG care conținea 85 de grame de canabis. Acest pachet a fost transmis spre examinare autorităților polițienești austriece. La 6 martie 2021, în cadrul unei anchete polițienești în materie de trafic de stupefiante, doi agenți de poliție au efectuat o percheziție la domiciliul lui CG și l‑au interogat cu privire la expeditorul pachetului. În urma refuzului lui CG de a acorda agenților de poliție acces la datele de conexiune ale telefonului său mobil, aceștia din urmă au procedat la ridicarea telefonului.
Ulterior, telefonul mobil al CG a făcut obiectul mai multor tentative de deblocare efectuate de diferiți agenți de poliție. În speță, atât ridicarea telefonului, cât și tentativele ulterioare de examinare a acestuia au fost efectuate de agenții de poliție fără autorizarea Ministerului Public sau a unei instanțe.
La 31 martie 2021, CG a introdus o acțiune la instanța de trimitere pentru a contesta legalitatea ridicării telefonului său mobil, care i‑a fost returnat la 20 aprilie 2021. CG nu a fost informat imediat cu privire la tentativele de examinare a telefonului său și a luat cunoștință despre acestea în cadrul procedurii pendinte în fața instanței de trimitere.
În acest context, instanța de trimitere solicită să se stabilească dacă, în raport cu Directiva asupra confidențialității și comunicațiilor electronice ( 2 ), un acces complet și necontrolat la toate datele conținute într‑un telefon mobil constituie o ingerință atât de gravă în drepturile fundamentale ( 3 ) încât acest acces trebuie să fie limitat la combaterea infracțiunilor grave. Ea ridică de asemenea problema dacă, pe de o parte, această directivă ( 4 ) se opune unei reglementări naționale în temeiul căreia poliția judiciară poate, în cursul unei proceduri de anchetă penală, să obțină un acces complet și necontrolat la toate datele conținute într‑un telefon mobil, fără autorizarea unei instanțe sau a unei entități administrative independente și, pe de altă parte, dacă aceeași reglementare națională este compatibilă cu dreptul la o cale de atac jurisdicțională efectivă, în măsura în care nu obligă autoritățile polițienești să informeze proprietarul unui telefon mobil cu privire la măsurile de examinare digitală a acestui telefon.
Aprecierea Curții
Cu titlu introductiv, Curtea arată că o tentativă de accesare a datelor cu caracter personal conținute într‑un telefon mobil în mod direct de către autoritățile polițienești, fără nicio intervenție a unui furnizor de servicii de comunicații electronice, precum cea care îl privește pe CG, nu intră în domeniul de aplicare al Directivei asupra confidențialității și comunicațiilor electronice.
În primul rând, Curtea constată că o astfel de tentativă de accesare intră în domeniul de aplicare al Directivei 2016/680. În această privință, ea precizează că, având în vedere domeniul de aplicare larg pe care legiuitorul Uniunii Europene a intenționat să îl confere noțiunii de „prelucrare” ( 5 ), atunci când autoritățile polițienești ridică un telefon și îl manipulează în scopul extragerii și consultării datelor cu caracter personal conținute în acest telefon, ele efectuează o „prelucrare”, chiar dacă autoritățile respective nu ar reuși, din motive tehnice, să acceseze aceste date. Astfel, efectivitatea principiului limitării scopurilor ( 6 ) impune în mod necesar ca scopul colectării să fie determinat încă din stadiul în care autoritățile competente încearcă să acceseze date cu caracter personal, întrucât o astfel de tentativă, dacă se dovedește fructuoasă, este de natură să le permită, printre altele, să colecteze, să extragă sau să consulte imediat datele în cauză. Dacă o astfel de tentativă nu ar putea fi calificată drept „prelucrare” a datelor, nivelul ridicat de protecție a datelor cu caracter personal ale persoanelor fizice ar fi repus în discuție. De asemenea, dacă aplicabilitatea Directivei 2016/680 ar depinde de succesul tentativei de accesare a datelor cu caracter personal conținute într‑un telefon mobil, aceasta ar crea atât pentru autoritățile naționale competente, cât și pentru justițiabili o incertitudine incompatibilă cu principiul securității juridice.
În al doilea rând, Curtea analizează dacă principiul „reducerii la minimum a datelor” ( 7 ), ca expresie a principiului proporționalității, se opune unei reglementări naționale care acordă autorităților competente posibilitatea de a accesa datele conținute într‑un telefon mobil în scopul prevenirii, cercetării, depistării și urmăririi penale a infracțiunilor în general, fără a supune exercitarea acestei posibilități unui control prealabil din partea unei instanțe sau a unei entități administrative independente. Astfel, Curtea amintește că restrângerile drepturilor fundamentale în domeniul vieții private și de familie și al protecției datelor cu caracter personal ( 8 ) trebuie să respecte principiul proporționalității și pot fi impuse numai în cazul în care sunt necesare și numai dacă răspund efectiv obiectivelor de interes general recunoscute de Uniune. În acest sens, pe de o parte, Curtea constată că o prelucrare de date cu caracter personal în cadrul unei anchete polițienești privind sancționarea unei infracțiuni, cum ar fi o tentativă de accesare a datelor conținute într‑un telefon mobil, trebuie considerată în principiu ca răspunzând efectiv unui obiectiv de interes general recunoscut de Uniune. Pe de altă parte, aceasta observă că caracterul proporțional al restrângerilor exercițiului drepturilor fundamentale în ceea ce privește respectarea vieții private și protecția datelor cu caracter personal, care decurg dintr‑o astfel de prelucrare, implică o ponderare a tuturor elementelor relevante ale speței.
Astfel, primo, în ceea ce privește gravitatea unei restrângeri a acestor drepturi fundamentale rezultate dintr‑o reglementare care permite autorităților polițienești competente să acceseze, fără autorizație prealabilă, datele conținute într‑un telefon mobil, Curtea precizează că un asemenea acces poate privi, în funcție de conținutul telefonului mobil în cauză și de alegerile efectuate de aceste autorități, o paletă foarte largă de date și ar putea permite, așadar, deducerea unor concluzii foarte precise cu privire la viața privată a persoanei vizate. Prin urmare, o astfel de ingerință în drepturile fundamentale în ceea ce privește respectarea vieții private și protecția datelor cu caracter personal trebuie considerată gravă sau chiar deosebit de gravă.
Secundo, Curtea arată că gravitatea infracțiunii care face obiectul anchetei este un element central în cadrul examinării proporționalității ingerinței grave pe care o constituie accesul la datele cu caracter personal conținute într‑un telefon mobil. Cu toate acestea, a considera că numai combaterea infracționalității grave poate justifica accesul la astfel de date ar limita competențele de investigare ale autorităților competente în privința infracțiunilor în general, ar încălca natura specifică a misiunilor îndeplinite de aceste autorități și ar aduce atingere obiectivului de realizare a unui spațiu de libertate, securitate și justiție în cadrul Uniunii. În aceste condiții, pentru a îndeplini cerința potrivit căreia orice restrângere a exercițiului unui drept fundamental trebuie să fie „prevăzută de lege” ( 9 ), revine legiuitorului național sarcina de a defini în mod suficient de precis elementele, în special natura sau categoriile de infracțiuni în cauză, care trebuie luate în considerare.
Tertio, Curtea observă că, pentru a asigura respectarea principiului proporționalității, atunci când accesul autorităților naționale competente la date cu caracter personal presupune riscul unei ingerințe grave sau chiar deosebit de grave în drepturile fundamentale ale persoanei vizate, acest acces trebuie condiționat de un control prealabil efectuat de o instanță sau de o entitate administrativă independentă. Acest control trebuie să intervină înaintea oricărei tentative de accesare a datelor vizate, cu excepția cazurilor de urgență justificate corespunzător, caz în care controlul menționat trebuie să intervină în termen scurt. În cadrul acestui control, instanța sau entitatea administrativă independentă trebuie să fie abilitată să refuze sau să restricționeze o cerere de acces care intră în domeniul de aplicare al Directivei 2016/680 atunci când constată că ingerința în drepturile fundamentale pe care ar constitui‑o acest acces ar fi disproporționată. În speță, un refuz sau o restrângere a accesului autorităților polițienești competente la datele conținute într‑un telefon mobil trebuie, astfel, să aibă loc în cazul în care, ținând seama de gravitatea infracțiunii și de nevoile anchetei, accesul la conținutul comunicațiilor sau la date sensibile nu apare ca fiind justificat.
Având în vedere cele de mai sus, Curtea concluzionează că principiul reducerii la minimum a datelor, interpretat în lumina drepturilor la protecția datelor cu caracter personal și la respectarea vieții private, nu se opune unei reglementări naționale care acordă autorităților competente posibilitatea de a accesa datele conținute într‑un telefon mobil în scopul prevenirii, investigării, depistării și urmăririi penale a infracțiunilor în general. O asemenea admisibilitate este însă condiționată de respectarea principiilor legalității și proporționalității, precum și de existența unui control prealabil al exercitării dreptului de acces la astfel de date efectuat de o instanță sau de o entitate administrativă independentă.
În al treilea rând, Curtea se pronunță cu privire la aspectul dacă CG ar fi trebuit să fie informat cu privire la tentativele de accesare a datelor conținute în telefonul său mobil ( 10 ). Ea constată în această privință că autoritățile naționale competente care au fost autorizate de o instanță sau de o entitate administrativă independentă să acceseze date stocate trebuie să informeze persoanele vizate cu privire la motivele pe care se întemeiază autorizația respectivă, din momentul în care comunicarea acestei informații nu mai poate compromite investigațiile desfășurate de autoritățile menționate. Aceleași autorități trebuie să pună la dispoziția persoanelor vizate toate informațiile prevăzute de Directiva 2016/680 ( 11 ) pentru ca acestea din urmă să își poată exercita, printre altele, dreptul la o cale de atac efectivă ( 12 ). Astfel, o reglementare națională care ar exclude, în general, orice drept de a obține asemenea informații nu ar fi conformă cu dreptul Uniunii. În speță, Curtea constată că CG ar fi trebuit să fie informat în prealabil cu privire la tentativele de accesare a datelor conținute în telefonul său mobil. Astfel, întrucât telefonul mobil al lui CG fusese deja ridicat la momentul tentativelor de deblocare efectuate de autoritățile polițienești, nu rezultă că informarea sa cu privire la aceste tentative de accesare putea prejudicia investigația. Prin urmare, Curtea concluzionează că dispozițiile Directivei 2016/680, interpretate în lumina cartei ( 13 ), se opun unei reglementări naționale care autorizează autoritățile competente să acceseze date conținute într‑un telefon mobil fără a informa persoana vizată cu privire la motivele pe care se întemeiază autorizația de a accesa astfel de date acordată de o instanță sau de o entitate administrativă independentă, din momentul în care comunicarea acestei informații nu mai este susceptibilă să compromită misiunile care revin acestor autorități.
( 1 ) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei‑cadru 2008/977/JAI a Consiliului (JO 2016, L 119, p. 89).
( 2 ) Și, mai precis, articolul 15 alineatul (1) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO 2002, L 201, p. 37, Ediție specială, 13/vol. 36, p. 63), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009 (JO 2009, L 337, p. 11) (denumită în continuare „Directiva asupra confidențialității și comunicațiilor electronice”).
( 3 ) Prevăzute la articolele 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”).
( 4 ) Și, mai precis, articolul 15 alineatul (1) din Directiva asupra confidențialității și comunicațiilor electronice.
( 5 ) În temeiul articolului 3 punctul 2 din Directiva 2016/680, noțiunea de „prelucrare” este definită ca „orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate […]”.
( 6 ) Articolul 4 alineatul (1) litera (b) din Directiva 2016/680.
( 7 ) Astfel cum este prevăzut la articolul 4 alineatul (1) litera (c) din Directiva 2016/680, potrivit căruia statele membre trebuie să garanteze că datele cu caracter personal sunt adecvate, relevante și neexcesive în ceea ce privește scopurile în care sunt prelucrate.
( 8 ) Articolele 7 și 8 din cartă.
( 9 ) Articolul 52 alineatul (1) din cartă.
( 10 ) Articolul 47 din cartă.
( 11 ) Prevăzute la articolul 13 alineatul (1) din Directiva 2016/680.
( 12 ) Articolul 54 din Directiva 2016/680.
( 13 ) Mai precis, articolele 13 și 54 din Directiva 2016/680, interpretate în lumina articolului 47 și a articolului 52 alineatul (1) din cartă.