Cauzele conexate C‑511/18, C‑512/18 și C‑520/18

La Quadrature du Net și alții

împotriva

Premier ministre și alții

[cereri de decizie preliminară formulate de Conseil d’État (Franța) și de Cour constitutionnelle (Belgia)]

Hotărârea Curții (Marea Cameră) din 6 octombrie 2020

„Trimitere preliminară – Prelucrarea datelor cu caracter personal în sectorul comunicațiilor electronice – Furnizori de servicii de comunicații electronice – Furnizori de servicii de stocare‑hosting și furnizori de acces la internet – Stocare generalizată și nediferențiată a datelor de transfer și a datelor de localizare – Analiză automatizată a datelor – Acces în timp real la date – Protejarea securității naționale și combaterea terorismului – Combaterea infracționalității – Directiva 2002/58/CE – Domeniu de aplicare – Articolul 1 alineatul (3) și articolul 3 – Confidențialitatea comunicațiilor electronice – Protecție – Articolul 5 și articolul 15 alineatul (1) – Directiva 2000/31/CE – Domeniu de aplicare – Carta drepturilor fundamentale a Uniunii Europene – Articolele 4, 6-8 și 11 și articolul 52 alineatul (1) – Articolul 4 alineatul (2) TUE”

  1. Apropierea legislațiilor – Sectorul telecomunicațiilor – Prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58 – Domeniu de aplicare – Reglementare națională care impune furnizorilor de servicii de comunicații electronice să stocheze date de transfer și de localizare – Obiectivele de protejare a securității naționale și de combatere a infracționalității – Includere

    [art. 4 alin. (2) TUE; Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 1 alin. (1) și (3), art. 3 și art. 15 alin. (1)]

    (a se vedea punctele 92-96, 98-101, 103 și 104)

  2. Apropierea legislațiilor – Sectorul telecomunicațiilor – Prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58 – Posibilitatea statelor membre de a limita întinderea anumitor drepturi și obligații – Măsuri naționale care impun furnizorilor de servicii de comunicații electronice stocarea generalizată și nediferențiată a datelor de transfer și de localizare – Obiectivul de protejare a securității naționale – Inadmisibilitate – Măsuri naționale care permit stocarea generalizată și nediferențiată a acestor date în cazul unei amenințări grave și iminente la adresa securității naționale – Admisibilitate – Măsuri naționale care permit stocarea direcționată și conservarea rapidă a acestor date pentru o durată determinată, pe baza unor elemente obiective și nediscriminatorii – Măsuri naționale care prevăd stocarea generalizată și nediferențiată a adreselor IP atribuite sursei unei conexiuni, pentru o perioadă limitată în timp la strictul necesar – Măsuri naționale care prevăd stocarea generalizată și nediferențiată a datelor referitoare la identitatea civilă a utilizatorilor de mijloace de comunicații electronice fără un termen specific – Obiectivul de protejare a securității naționale – Admisibilitate – Condiții

    [art. 4 alin. (2) TUE; Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8, 11 și art. 52 alin. (1); Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 5 alin. (1) și art. 15 alin. (1)]

    (a se vedea punctele 107, 109, 111-119, 122-128, 130-165 și 168 și dispozitiv 1)

  3. Apropierea legislațiilor – Sectorul telecomunicațiilor – Prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58 – Posibilitatea statelor membre de a limita întinderea anumitor drepturi și obligații – Reglementare națională care impune furnizorilor de servicii de comunicații electronice recurgerea la analiza automatizată și la colectarea în timp real a datelor de transfer și de localizare – Admisibilitate – Condiții

    [art. 4 alin. (2) TUE; Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8, 11 și art. 52 alin. (1); Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 5 alin. (1) și art. 15 alin. (1)]

    (a se vedea punctele 172-174, 175-182 și 186-192 și dispozitiv 2)

  4. Apropierea legislațiilor – Comerț electronic – Directiva 2000/31 – Domeniu de aplicare – Protecția confidențialității comunicațiilor și a persoanelor fizice în raport cu prelucrarea datelor cu caracter personal în cadrul serviciilor societății informaționale – Excludere – Aplicabilitate, după caz, a Directivei 2002/58 sau a Regulamentului 2016/679

    [Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8, 11 și art. 52 alin. (1); Regulamentul 2016/679 al Parlamentului European și al Consiliului, considerentul (10) și art. 23 alin. (1) și (2); Directiva 2000/31 a Parlamentului European și a Consiliului, considerentele (14) și (15), art. 1 alin. (2) și (5), art. 2 lit. (a), și Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 5 alin. (1) și art. 15 alin. (1)]

    (a se vedea punctele 197-202, 204, 205 și 207-212 și dispozitiv 3)

  5. Apropierea legislațiilor – Sectorul telecomunicațiilor – Prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58 – Posibilitatea statelor membre de a limita întinderea anumitor drepturi și obligații – Măsuri naționale care impun furnizorilor de servicii de comunicații electronice stocarea generalizată și nediferențiată a datelor de transfer și de localizare – Obiectivul de protejare a securității naționale – Inadmisibilitate – Anularea de către instanța națională a unor măsuri incompatibile cu obligațiile care decurg din această directivă – Posibilitatea de a menține efectele acestor măsuri – Condiții – Inaplicabilitate în speță – Consecințe care trebuie deduse din aceasta de către instanța națională

    [Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8, 11 și art. 52 alin. (1); Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 5 alin. (1) și art. 15 alin. (1)]

    (a se vedea punctele 216-220 și 223-228 și dispozitiv 4)

Rezumat

Curtea de Justiție confirmă că dreptul Uniunii se opune unei reglementări naționale care impune unui furnizor de servicii de comunicații electronice, în scopul combaterii infracțiunilor în general sau al protejării securității naționale, transmiterea sau stocarea generalizată și nediferențiată a datelor de transfer și de localizare

În schimb, în situațiile în care se confruntă cu o amenințare gravă la adresa securității naționale, care se dovedește reală și actuală sau previzibilă, un stat membru poate deroga de la obligația de a asigura confidențialitatea datelor aferente comunicațiilor electronice, impunând, prin măsuri legislative, o stocare generalizată și nediferențiată a acestor date pentru o perioadă limitată în timp la strictul necesar, dar care poate fi reînnoită în cazul persistenței amenințării. În ceea ce privește combaterea infracționalității grave și prevenirea amenințărilor grave împotriva siguranței publice, un stat membru poate de asemenea să prevadă stocarea direcționată a datelor menționate, precum și conservarea rapidă a acestora. O astfel de ingerință în drepturile fundamentale trebuie să fie însoțită de garanții efective și controlată de o instanță sau de o autoritate administrativă independentă. De asemenea, un stat membru are posibilitatea să efectueze o stocare generalizată și nediferențiată a adreselor IP atribuite sursei unei comunicații în condițiile în care durata de stocare este limitată la strictul necesar sau chiar să efectueze o stocare generalizată și nediferențiată a datelor referitoare la identitatea civilă a utilizatorilor mijloacelor de comunicații electronice, fără ca aceasta să fie limitată, în cel din urmă caz, la un anumit termen

În ultimii ani, Curtea de Justiție s‑a pronunțat, în mai multe hotărâri, cu privire la stocarea datelor cu caracter personal și la accesul la acestea în domeniul comunicațiilor electronice ( 1 ). Jurisprudența care decurge din acestea – în special Hotărârea Tele2 Sverige și Watson și alții, în care a considerat printre altele că statele membre nu pot impune furnizorilor de servicii de comunicații electronice o obligație de stocare generalizată și nediferențiată a datelor de transfer și de localizare – a creat motive de îngrijorare pentru unele state, care se tem că au fost private de un instrument pe care îl consideră necesar pentru protejarea securității naționale și pentru combaterea infracționalității.

În acest context, Investigatory Powers Tribunal (Tribunalul pentru Litigii referitoare la Competențele de Investigare, Regatul Unit) (Privacy International, C‑623/17), Conseil d’État (Consiliul de Stat, Franța) (La Quadrature du Net și alții, cauzele conexate C‑511/18 și C‑512/18), precum și Cour constitutionnelle (Curtea Constituțională, Belgia) (Ordre des barreaux francophones et germanophone și alții, C‑520/18) au fost sesizate cu litigii privind legalitatea reglementărilor adoptate de anumite state membre în aceste domenii, care prevăd în special o obligație a furnizorilor de servicii de comunicații electronice de a transmite unei autorități publice sau de a stoca în mod generalizat și nediferențiat datele de transfer și de localizare ale utilizatorilor.

Prin două hotărâri pronunțate în Marea Cameră la 6 octombrie 2020, Curtea consideră, mai întâi, că Directiva asupra confidențialității și comunicațiilor electronice se aplică unor reglementări naționale care impun furnizorilor de servicii de comunicații electronice să efectueze, în scopul protejării securității naționale și al combaterii infracționalității, prelucrări de date cu caracter personal, precum transmiterea lor către autoritățile publice sau stocarea lor. În plus, confirmând jurisprudența sa rezultată din Hotărârea Tele2 Sverige și Watson și alții, cu privire la caracterul disproporționat al unei stocări generalizate și nediferențiate a datelor de transfer și de localizare, Curtea face unele precizări printre altele în ceea de privește întinderea competențelor pe care această directivă le recunoaște statelor membre în materie de stocare a unor astfel de date în scopurile citate anterior.

Mai întâi, Curtea are grijă să înlăture îndoielile cu privire la aplicabilitatea Directivei asupra confidențialității și comunicațiilor electronice exprimate în cadrul prezentelor cauze. Astfel, mai multe state membre care au prezentat Curții observații scrise au exprimat o opinie divergentă în această privință. Ele au susținut printre altele că această directivă nu s‑ar aplica reglementărilor naționale în discuție, întrucât acestea au ca finalitate protejarea securității naționale, care ar intra în competența lor exclusivă, după cum ar demonstra în special articolul 4 alineatul (2) a treia teză TUE. Curtea consideră însă că reglementările naționale care impun furnizorilor de servicii de comunicații electronice să stocheze date de transfer și de localizare sau chiar să transmită aceste date autorităților naționale de securitate și de informații în acest scop intră în domeniul de aplicare al directivei.

În continuare, Curtea amintește că Directiva asupra confidențialității și comunicațiilor electronice ( 2 ) nu permite ca derogarea de la obligația de principiu de a garanta confidențialitatea comunicațiilor electronice și a datelor aferente acestora și de la interdicția de a stoca datele respective să devină regula. Acest lucru implică faptul că directiva menționată nu permite statelor membre să adopte, printre altele în scopuri legate de securitatea națională, măsuri legislative prin care se urmărește să se limiteze întinderea drepturilor și a obligațiilor prevăzute de această directivă, în special a obligației de a garanta confidențialitatea comunicațiilor și a datelor de transfer ( 3 ), decât cu respectarea principiilor generale ale dreptului Uniunii, printre care figurează principiul proporționalității, și a drepturilor fundamentale garantate de cartă ( 4 ).

În acest context, Curtea consideră, pe de o parte, în cauza Privacy International, că Directiva asupra confidențialității și comunicațiilor electronice, interpretată în lumina cartei, se opune unei reglementări naționale care impune furnizorilor de servicii de comunicații electronice, în vederea protejării securității naționale, transmiterea generalizată și nediferențiată către serviciile de securitate și de informații a datelor de transfer și de localizare. Pe de altă parte, în cauzele conexate La Quadrature du Net și alții, precum și în cauza Ordre des barreaux francophones et germanophone și alții, Curtea apreciază că aceeași directivă se opune unor măsuri legislative care impun furnizorilor de servicii de comunicații electronice, cu titlu preventiv, o stocare generalizată și nediferențiată a datelor de transfer și de localizare. Astfel, aceste obligații de transmitere și de stocare generalizată și nediferențiată a unor asemenea date constituie ingerințe deosebit de grave în drepturile fundamentale garantate de cartă, fără ca comportamentul persoanelor ale căror date sunt vizate să prezinte vreo legătură cu obiectivul urmărit de reglementarea în cauză. În mod similar, Curtea interpretează articolul 23 alineatul (1) din Regulamentul general privind protecția datelor ( 5 ), citit în lumina cartei, în sensul că se opune unei reglementări naționale care impune furnizorilor de acces la servicii de comunicații publice online și furnizorilor de servicii de stocare‑hosting stocarea generalizată și nediferențiată printre altele a datelor cu caracter personal aferente acestor servicii.

În schimb, Curtea apreciază că, în situațiile în care statul membru în cauză se confruntă cu o amenințare gravă la adresa securității naționale, care se dovedește reală și actuală sau previzibilă, Directiva asupra confidențialității și comunicațiilor electronice, interpretată în lumina cartei, nu se opune obligării furnizorilor de servicii de comunicații electronice să stocheze în mod generalizat și nediferențiat date de transfer și de localizare. În acest context, Curtea precizează că decizia care prevede obligația respectivă, pentru o perioadă limitată în timp la strictul necesar, trebuie să facă obiectul unui control efectiv fie de către o instanță, fie de către o entitate administrativă independentă, a cărei decizie are efect obligatoriu, pentru a se verifica existența uneia dintre aceste situații, precum și respectarea condițiilor și a garanțiilor prevăzute. În aceleași condiții, directiva menționată nu se opune nici analizei automatizate a datelor, în special a celor de transfer și de localizare, ale ansamblului utilizatorilor de mijloace de comunicații electronice.

Curtea adaugă că Directiva asupra confidențialității și comunicațiilor electronice, interpretată în lumina cartei, nu se opune unor măsuri legislative care permit recurgerea la o stocare direcționată, limitată în timp la strictul necesar, a datelor de transfer și de localizare, care să fie delimitată, pe baza unor elemente obiective și nediscriminatorii, în funcție de categoriile de persoane vizate sau prin intermediul unui criteriu geografic. De asemenea, această directivă nu se opune unor astfel de măsuri care prevăd o stocare generalizată și nediferențiată a adreselor IP atribuite sursei unei comunicații, cu condiția ca durata de stocare să fie limitată la strictul necesar, nici celor care prevăd o asemenea stocare a datelor referitoare la identitatea civilă a utilizatorilor mijloacelor de comunicații electronice, statele membre nefiind obligate, în acest din urmă caz, să limiteze în timp stocarea. În plus, directiva menționată nu se opune unei măsuri legislative care permite recurgerea la o conservare rapidă a datelor de care dispun furnizorii de servicii în cazul în care există situații în care survine necesitatea stocării datelor menționate dincolo de termenele legale de stocare a datelor în scopul elucidării unor infracțiuni grave sau a unor atingeri aduse securității naționale, atunci când aceste infracțiuni sau atingeri au fost deja constatate sau atunci când existența lor poate fi suspectată în mod rezonabil.

În plus, Curtea consideră că Directiva asupra confidențialității și comunicațiilor electronice, interpretată în lumina cartei, nu se opune unei reglementări naționale care impune furnizorilor de servicii de comunicații electronice să recurgă la colectarea în timp real printre altele a datelor de transfer și de localizare, atunci când această colectare este limitată la persoanele în privința cărora există un motiv valabil pentru a suspecta că sunt implicate într‑un mod sau altul în activități de terorism și este supusă unui control prealabil efectuat fie de o instanță, fie de o entitate administrativă independentă, a cărei decizie are efect obligatoriu, asigurându‑se că o astfel de colectare în timp real nu este autorizată decât în limita a ceea ce este strict necesar. În caz de urgență, controlul trebuie să aibă loc în termen scurt.

În sfârșit, Curtea abordează problema menținerii efectelor în timp ale unei reglementări naționale declarate incompatibilă cu dreptul Uniunii. În această privință, ea consideră că o instanță națională nu poate aplica o dispoziție a dreptului său național care îi permite să limiteze în timp efectele unei declarații de nelegalitate pe care trebuie să o facă în privința unei reglementări naționale care impune furnizorilor de servicii de comunicații electronice o stocare generalizată și nediferențiată a datelor de transfer și de localizare, considerată incompatibilă cu Directiva asupra confidențialității și comunicațiilor electronice, interpretată în lumina cartei.

Acestea fiind spuse, pentru a da un răspuns util instanței naționale, Curtea amintește că admisibilitatea și aprecierea elementelor de probă care au fost obținute printr‑o stocare a datelor contrară dreptului Uniunii, în cadrul unei proceduri penale inițiate împotriva unor persoane suspectate de infracțiuni grave, intră, în stadiul actual al dreptului Uniunii, numai sub incidența dreptului național. Cu toate acestea, Curtea precizează că Directiva asupra confidențialității și comunicațiilor electronice, interpretată în lumina principiului efectivității, impune ca instanța penală națională să înlăture elementele de probă care au fost obținute printr‑o stocare generalizată și nediferențiată a datelor de transfer și de localizare, incompatibilă cu dreptul Uniunii, în cadrul unei asemenea proceduri penale, în cazul în care persoanele suspectate de săvârșirea unor infracțiuni nu sunt în măsură să își exprime în mod eficient poziția cu privire la aceste elemente de probă.

( 1 ) Astfel, în Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238) (a se vedea CP nr. 54/14), Curtea a declarat nevalidă Directiva 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE (JO 2006, L 105, p. 54, Ediție specială, 13/vol. 53, p. 51), pentru motivul că ingerința în drepturile la respectarea vieții private și la protecția datelor cu caracter personal, recunoscute de Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”), pe care o presupunea obligația generală de stocare a datelor de transfer și de localizare prevăzută de această directivă nu era limitată la strictul necesar. Ulterior, în Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții (C‑203/15 și C‑698/15, EU:C:2016:970) (a se vedea CP nr. 145/16), Curtea a interpretat articolul 15 alineatul (1) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO 2002, L 201, p. 37, Ediție specială, 13/vol. 36, p. 63), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009 (JO 2009, L 337, p. 11) (denumită în continuare „Directiva asupra confidențialității și comunicațiilor electronice”). Acest articol abilitează statele membre – pentru motive legate de protejarea printre altele a securității naționale – să adopte „măsuri legislative” pentru a limita întinderea anumitor drepturi și obligații prevăzute de directivă. În sfârșit, în Hotărârea din 2 octombrie 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788) (a se vedea CP nr. 141/18), Curtea a interpretat același articol 15 alineatul (1) într‑o cauză care privea accesul autorităților publice la datele referitoare la identitatea civilă a utilizatorilor mijloacelor de comunicații electronice.

( 2 ) Articolul 15 alineatele (1) și (3) din Directiva 2002/58.

( 3 ) Articolul 5 alineatul (1) din Directiva 2002/58.

( 4 ) În special, articolele 7, 8 și 11, precum și articolul 52 alineatul (1) din cartă.

( 5 ) Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1).