Cauza C‑470/21

La Quadrature du Net
și
Fédération des fournisseurs d’accès à Internet associatifs
și
Franciliens.net și French Data Network

împotriva

Premier ministre
și
Ministère de la Culture

[cerere de decizie preliminară formulată de Conseil d’État (Consiliul de Stat, Franța)]

Hotărârea Curții (Plen) din 30 aprilie 2024

„Trimitere preliminară – Prelucrarea datelor cu caracter personal și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58/CE – Confidențialitatea comunicațiilor electronice – Protecție – Articolul 5 și articolul 15 alineatul (1) – Carta drepturilor fundamentale a Uniunii Europene – Articolele 7, 8, 11 și articolul 52 alineatul (1) – Legislație națională care urmărește să combată, prin acțiunea unei autorități publice, contrafacerile săvârșite pe internet – Procedură numită de «răspuns gradual» – Colectarea în amonte de către organisme ale titularilor de drepturi a adreselor IP utilizate pentru activități care încalcă drepturile de autor sau drepturile conexe – Accesul în aval al autorității publice responsabile cu protecția drepturilor de autor și a drepturilor conexe la date referitoare la identitatea civilă corespunzătoare acestor adrese IP păstrate de furnizorii de servicii de comunicații electronice – Prelucrarea prin mijloace automatizate – Cerința unui control prealabil de către o instanță sau o entitate administrativă independentă – Condiții materiale și procesuale – Garanții împotriva riscurilor de abuz, precum și împotriva oricărui acces la aceste date și a oricărei utilizări ilicite a acestora”

  1. Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal – Regulamentul 2016/679 – Noțiunea de prelucrare a unor date cu caracter personal – Colectarea de către organismele titularilor de drepturi a adreselor IP ale utilizatorilor unei rețele peer‑to‑peer în vederea utilizării lor în procedurile administrative sau jurisdicționale – Includere

    [Regulamentul 2016/679 al Parlamentului European și al Consiliului, art. 4 pct. 2 și art. 6 alin. (1) primul paragraf lit. (f)]

    (a se vedea punctele 54 și 60-62)

  2. Apropierea legislațiilor – Sectorul telecomunicațiilor – Prelucrarea datelor cu caracter personal și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58 – Domeniu de aplicare – Corelarea de către furnizorii de servicii de comunicații electronice a adreselor IP colectate cu titularii adreselor respective în vederea utilizării acestor date în procedurile administrative sau jurisdicționale – Includere

    (Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 3)

    (a se vedea punctele 55 și 63)

  3. Apropierea legislațiilor – Sectorul telecomunicațiilor – Prelucrarea datelor cu caracter personal și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58 – Posibilitatea statelor membre de a limita întinderea anumitor drepturi și obligații – Reglementare națională care prevede păstrarea generalizată și nediferențiată a datelor referitoare la identitatea civilă corespunzătoare unor adrese IP – Obiectivul combaterii infracțiunilor în general – Admisibilitate – Condiții – Obligația unui stat membru de a prevedea cerințe stricte cu privire la modalitățile de păstrare a datelor menționate

    [Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8, 11 și art. 52 alin. (1); Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 15 alin. (1)]

    (a se vedea punctele 65-70 și 73-93)

  4. Apropierea legislațiilor – Sectorul telecomunicațiilor – Prelucrarea datelor cu caracter personal și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58 – Posibilitatea statelor membre de a limita întinderea anumitor drepturi și obligații – Reglementare națională care permite unei autorități publice să aibă acces la datele referitoare la identitatea civilă care sunt corelative unor adrese IP – Reglementare care urmărește combaterea încălcărilor drepturilor de autor și ale drepturilor conexe săvârșite pe internet – Admisibilitate – Condiții

    [Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8, 11 și art. 52 alin. (1); Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 15 alin. (1)]

    (a se vedea punctele 95-104, 110-114, 116-119, 122 și 164 și dispozitivul)

  5. Apropierea legislațiilor – Sectorul telecomunicațiilor – Prelucrarea datelor cu caracter personal și protejarea confidențialității în sectorul comunicațiilor electronice – Directiva 2002/58 – Posibilitatea statelor membre de a limita întinderea anumitor drepturi și obligații – Reglementare națională care permite unei autorități publice să aibă acces la datele referitoare la identitatea civilă care sunt corelative unor adrese IP – Reglementare care urmărește combaterea încălcărilor drepturilor de autor și ale drepturilor conexe săvârșite pe internet – Cerința unui control efectuat de o instanță sau de o entitate administrativă independentă înainte de accesul la respectivele date – Întindere – Modalitățile de control prealabil menționat

    [Carta drepturilor fundamentale a Uniunii Europene, art. 7, 8, 11 și art. 52 alin. (1); Directiva 2002/58 a Parlamentului European și a Consiliului, astfel cum a fost modificată prin Directiva 2009/136, art. 15 alin. (1)]

    (a se vedea punctele 124-143, 145, 146, 148-151 și 164 și dispozitivul)

  6. Apropierea legislațiilor – Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal în materie penală – Directiva 2016/680 – Domeniu de aplicare – Noțiunea de „autoritate publică” – Autoritate națională fără competențe decizionale, însărcinată să avertizeze persoanele bănuite că au săvârșit infracțiuni – Includere – Aplicabilitatea garanțiilor de drept material și procedural

    (Directiva 2016/680 a Parlamentului European și a Consiliului, art. 3)

    (a se vedea punctele 157-163)

Rezumat

În acești ultimi ani, Curtea a fost chemată, în mai multe rânduri, să se pronunțe cu privire la păstrarea și accesul la datele cu caracter personal în domeniul comunicațiilor electronice și a creat, prin urmare, o jurisprudență bogată în materie ( 1 ). Sesizat cu titlu preliminar de Conseil d’État (Consiliul de Stat, Franța), Plenul Curții dezvoltă această jurisprudență aducând precizări, pe de o parte, cu privire la condițiile în care o păstrare generalizată a adreselor IP de către furnizorii de servicii de comunicații electronice poate să nu fie considerată ca determinând o ingerință gravă în drepturile la respectarea vieții private, la protecția datelor cu caracter personal, precum și la libertatea de exprimare garantate de cartă ( 2 ) și, pe de altă parte, cu privire la posibilitatea unei autorități publice de a avea acces la anumite date cu caracter personal păstrate cu respectarea unor astfel de condiții, în cadrul combaterii încălcărilor drepturilor de proprietate intelectuală săvârșite online.

În speță, patru asociații au adresat prim‑ministrului (Franța) o cerere de abrogare a decretului privind prelucrarea prin mijloace automatizate a datelor cu caracter personal ( 3 ). Întrucât nu s‑a dat curs acestei cereri, aceste asociații au sesizat Conseil d’État cu o acțiune având ca obiect anularea acestei decizii implicite de respingere. În opinia lor, acest decret, dar și dispozițiile în temeiul cărora a fost adoptat ( 4 ) încalcă dreptul Uniunii.

Potrivit legislației franceze, Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (Înalta Autoritate pentru Difuzarea Operelor și Protecția Drepturilor pe Internet, Hadopi), pentru a putea identifica persoanele răspunzătoare de încălcările drepturilor de autor sau ale drepturilor conexe săvârșite online, este autorizată să aibă acces la anumite date pe care furnizorii de servicii de comunicații electronice sunt obligați să le păstreze. Aceste date privesc identitatea civilă a unei persoane vizate care sunt corelative unei adrese IP colectată în prealabil de organismele titularilor de drepturi. Din momentul în care titularul adresei IP utilizate pentru desfășurarea de activități prin care se săvârșesc astfel de încălcări este identificat, Hadopi urmează procedura denumită de „răspuns gradual”. În mod concret, ea este abilitată să îi trimită acestei persoane două recomandări care sunt similare cu avertismentele și, dacă activitățile continuă, o scrisoare prin care îi notifică faptul că activitățile sale pot face obiectul urmăririi penale. În sfârșit, ea este în drept să sesizeze Ministerul Public în vederea urmăririi penale a persoanei respective ( 5 ).

În acest context, Conseil d’État a adresat Curții întrebări cu privire la interpretarea Directivei asupra confidențialității și comunicațiilor electronice în lumina dispozițiilor cartei ( 6 ).

Aprecierea Curții

În primul rând, în ceea ce privește păstrarea datelor referitoare la identitatea civilă și a adreselor IP corelative, Curtea subliniază că nu orice păstrare generalizată și nediferențiată a adreselor IP constituie neapărat o ingerință gravă în drepturile la respectarea vieții private, la protecția datelor cu caracter personal și la libertatea de exprimare, garantate de cartă.

Obligația de a asigura o astfel de păstrare poate fi justificată prin obiectivul combaterii infracțiunilor în general, atunci când este efectiv exclus ca această păstrare să determine ingerințe grave în viața privată a persoanei vizate din cauza posibilității de a trage concluzii precise cu privire la aceasta prin intermediul printre altele al corelării acestor adrese cu un set de date de transfer sau de localizare.

Prin urmare, un stat membru care intenționează să impună furnizorilor de servicii de comunicații electronice o astfel de obligație trebuie să se asigure că modalitățile de păstrare a acestor date exclud posibilitatea de a se trage concluzii precise cu privire la viața privată a persoanelor vizate.

Curtea precizează că modalitățile de păstrare trebuie, în acest sens, să privească chiar structura păstrării care în esență trebuie organizată în așa fel încât să garanteze o separare efectiv etanșă a diferitelor categorii de date păstrate. Astfel, normele naționale referitoare la aceste modalități trebuie să garanteze că fiecare categorie de date, inclusiv datele referitoare la identitatea civilă și adresele IP, este păstrată pe deplin separat de alte categorii de date păstrate și că această separare este efectiv etanșă cu ajutorul unui dispozitiv informatic securizat și fiabil. Mai mult, în măsura în care aceste norme prevăd posibilitatea unei corelări a adreselor IP păstrate cu identitatea civilă a persoanei vizate în vederea combaterii infracționalității, ele nu trebuie să permită o astfel de corelare decât prin utilizarea unui procedeu tehnic performant care să nu pună sub semnul întrebării eficacitatea separării etanșe a acestor categorii de date. Fiabilitatea acestei separări trebuie să facă obiectul unui control regulat de către o autoritate publică terță. În măsura în care legislația națională aplicabilă prevede astfel de cerințe stricte, ingerința rezultată din această păstrare a adreselor IP nu poate fi calificată drept „gravă”.

De aceea, Curtea concluzionează că, în cazul în care există o măsură legislativă care garantează că nicio combinare de date nu va permite să se tragă concluzii precise cu privire la viața privată a persoanelor ale căror date sunt păstrate, Directiva asupra confidențialității și comunicațiilor electronice, interpretată în lumina cartei, nu se opune ca un stat membru să impună o obligație de păstrare generalizată și nediferențiată a adreselor IP, pentru o durată care să nu depășească strictul necesar, în vederea atingerii obiectivului combaterii infracțiunilor în general.

În al doilea rând, în ceea ce privește accesul la datele referitoare la identitatea civilă care sunt corelative unei adrese IP, Curtea hotărăște că Directiva asupra confidențialității și comunicațiilor electronice, interpretată în lumina cartei, nu se opune în principiu unei reglementări naționale care permite accesul unei autorități publice la aceste date păstrate de furnizorii de servicii de comunicații electronice în mod separat și efectiv etanș, doar cu scopul ca această autoritate să poată identifica titularii acestor adrese suspectați a fi răspunzători pentru aceste încălcări ale drepturilor de autor și ale drepturilor conexe săvârșite pe internet și să poată lua măsuri în privința lor. Într‑un astfel de caz, reglementarea națională trebuie să interzică agenților care dispun de un astfel de acces, în primul rând, să divulge sub orice formă informații cu privire la conținutul fișierelor consultate de acești titulari, mai puțin în cazul în care se are exclusiv în vedere sesizarea Ministerului Public, în al doilea rând, să efectueze orice reconstituire a parcursului de navigare al acestor titulari și, în al treilea rând, să utilizeze aceste adrese IP în alte scopuri decât cel al adoptării acestor măsuri.

În acest context, Curtea amintește în special că, deși libertatea de exprimare și confidențialitatea datelor cu caracter personal constituie preocupări primordiale, aceste drepturi fundamentale nu sunt totuși absolute. Astfel, în cadrul unei evaluări comparative a drepturilor și intereselor în cauză, acestea trebuie uneori să fie eliminate în prezența altor drepturi fundamentale și a imperativelor de interes general precum apărarea ordinii publice și prevenirea infracțiunilor sau protecția drepturilor și libertăților celorlalți. Aceasta este situația în special atunci când importanța majoră acordată acestor preocupări primordiale este de natură să împiedice eficacitatea unei anchete penale, în special atunci când face ca identificarea efectivă a autorului unei infracțiuni și impunerea unei sancțiuni în privința acestuia să devină imposibile sau excesiv de dificile.

În același context, Curtea face de asemenea trimitere la jurisprudența sa potrivit căreia, în privința combaterii infracțiunilor care aduc atingere drepturilor de autor sau drepturilor conexe săvârșite online, împrejurarea că accesul la adresele IP poate constitui singurul mijloc de investigare ce permite identificarea persoanei vizate tinde să demonstreze că păstrarea acestor adrese și accesul la ele sunt strict necesare pentru realizarea obiectivului urmărit și îndeplinesc, așadar, cerința privind proporționalitatea. A nu permite un astfel de acces ar implica de altfel un risc real de impunitate sistemică a infracțiunilor săvârșite online sau a căror săvârșire ori pregătire este facilitată de caracteristicile proprii internetului. Or, existența unui asemenea risc constituie o împrejurare relevantă pentru a aprecia, în cadrul unei evaluări comparative a diferitelor drepturi și interese în cauză, dacă o ingerință în drepturile la respectarea vieții private, la protecția datelor personale și la libertatea de exprimare constituie o măsură proporțională în raport cu obiectivul combaterii infracțiunilor.

În al treilea rând, pronunțându‑se asupra aspectului dacă accesul autorității publice la date referitoare la identitatea civilă care sunt corelative unei adrese IP trebuie condiționat de un control prealabil efectuat de o instanță sau de o entitate administrativă independentă, Curtea consideră că cerința unui astfel de control se impune atunci când, în contextul unei reglementări naționale, acest acces implică riscul unei ingerințe grave în drepturile fundamentale ale persoanei vizate în sensul că ar putea permite acestei autorități publice să tragă concluzii precise cu privire la viața privată a acestei persoane și, dacă este cazul, să îi realizeze un profil detaliat. În sens invers, această cerință privind efectuarea unui control prealabil nu are vocația de a se aplica atunci când ingerința în drepturile fundamentale nu poate fi calificată drept gravă.

În această privință, Curtea precizează că, în cazul în care se instituie o măsură de păstrare care garantează o separare efectiv etanșă a diferitelor categorii de date păstrate, accesul autorității publice la datele referitoare la identitatea civilă care sunt corelative adreselor IP nu este în principiu condiționat de cerința efectuării unui control prealabil. Astfel, un asemenea acces doar cu scopul de a identifica titularul unei adrese IP nu constituie, ca regulă generală, o ingerință gravă în drepturile sus‑menționate.

Cu toate acestea, Curtea nu exclude că, în situații atipice, există un risc ca, în cadrul unei proceduri precum procedura de răspuns gradual în discuție în litigiul principal, autoritatea publică să poată tragă concluzii precise cu privire la viața privată a persoanei vizate, în special atunci când această persoană desfășoară activități care aduc atingere drepturilor de autor sau drepturilor conexe pe rețele peer‑to‑peer în mod repetat sau chiar la scară largă, în legătură cu opere protejate de natură specială, care dezvăluie informații, eventual sensibile, cu privire la viața privată a acestei persoane.

În speță, titularul unei adrese IP poate fi deosebit de expus unui asemenea risc atunci când autoritatea publică este chemată să decidă dacă sesizează sau nu Ministerul Public în vederea efectuării urmăririi penale. Astfel, intensitatea atingerii aduse dreptului la respectarea vieții private este susceptibilă să crească pe măsură ce procedura de răspuns gradual, care operează potrivit unui proces secvențial, parcurge diferitele etape care o compun. Accesul autorității competente la setul de date referitoare la persoana vizată și cumulate în cursul diferitelor etape ale acestei proceduri poate permite să se tragă concluzii precise cu privire la viața sa privată. În consecință, reglementarea națională trebuie să prevadă un control prealabil care să intervină înainte ca autoritatea publică să poată corela datele de identitate civilă cu un astfel de set de date și înainte de eventuala transmitere a scrisorii de notificare privind constatarea faptului că această persoană a săvârșit fapte care pot face obiectul urmăririi penale. Acest control trebuie, prin urmare, să conserve eficacitatea procedurii de răspuns gradual permițând în special să se identifice cazurile de noi repetări posibile ale comportamentului infracțional în discuție. În acest scop, procedura trebuie să fie organizată și structurată astfel încât datele de identitate civilă ale unei persoane care corespund unor adrese IP colectate în prealabil pe internet să nu poată fi corelate în mod automat, de persoanele însărcinate cu examinarea faptelor din cadrul autorității publice competente, cu elemente de care aceasta din urmă dispune deja și care ar putea permite să se tragă concluzii precise cu privire la viața privată a acestei persoane.

În plus, în ceea ce privește obiectul unui control prealabil, Curtea arată că, în cazurile în care persoana vizată este bănuită că ar fi săvârșit o încălcare care se încadrează la infracțiuni în general, instanța sau entitatea administrativă independentă însărcinată să efectueze acest control trebuie să refuze accesul atunci când accesul ar permite autorității publice să tragă concluzii precise cu privire la viața privată a respectivei persoane. În schimb, ar trebui să fie autorizat chiar un acces care permite să se tragă concluzii precise în cazul în care persoana vizată este bănuită că ar fi săvârșit fapte delictuale pe care statul membru în cauză le consideră ca aducând atingere unui interes fundamental al societății și ca intrând astfel sub incidența unor forme grave de infracționalitate.

Curtea precizează de asemenea că un control prealabil nu poate fi în niciun caz realizat în totalitate prin mijloace automatizate, întrucât un astfel de control impune, în ceea ce privește o anchetă penală, evaluarea comparativă între, pe de o parte, interesele legitime legate de combaterea infracționalității și, pe de altă parte, respectarea vieții private și la protecția datelor cu caracter personal. Această evaluare comparativă necesită intervenția unei persoane fizice, aceasta fiind cu atât mai necesară cu cât automatizarea și prelucrarea la scară largă a datelor în cauză implică riscuri pentru viața privată.

Astfel, Curtea concluzionează că posibilitatea persoanelor însărcinate cu examinarea faptelor din cadrul autorității publice de a corela datele referitoare la identitatea civilă a unei persoane care corespund unei adrese IP cu fișierele care conțin elemente ce permit aflarea titlului unor opere protejate a căror punere la dispoziție pe internet a justificat colectarea adreselor IP de către organismele titularilor de drepturi trebuie să fie supusă unui control exercitat de o instanță sau de o entitate administrativă independentă în cazul în care survine o nouă repetare a unei activități care aduce atingere drepturilor de autor sau drepturilor conexe săvârșite de către aceeași persoană. Acest control nu poate fi efectuat în totalitate prin mijloace automatizate și trebuie să aibă loc înainte de a se face o astfel de corelare, întrucât această corelare poate permite, în astfel de ipoteze, să se tragă concluzii precise cu privire la viața privată a persoanei menționate a cărei adresă IP a fost utilizată pentru activități care pot aduce atingere drepturilor de autor sau drepturilor conexe.

În al patrulea și ultimul rând, Curtea arată că sistemul de prelucrare a datelor utilizat de autoritatea publică trebuie, la intervale regulate, să facă obiectul unui control efectuat de către un organism independent și care are calitatea de terț în raport cu această autoritate publică. Acest control are ca scop să se verifice integritatea sistemului, inclusiv garanțiile efective împotriva riscurilor de acces și de utilizare, abuzive sau ilegale, a acestor date, precum și eficacitatea și fiabilitatea sa în depistarea eventualelor încălcări ale obligațiilor.

În acest cadru, Curtea observă că în speță prelucrarea prin mijloace automatizate a datelor cu caracter personal efectuată de autoritatea publică pe baza informațiilor referitoare la contrafacerile constatate de organismele titularilor de drepturi poate conține un anumit număr de cazuri fals pozitive și mai ales poate implica riscul ca un număr de date potențial foarte ridicat să fie deturnate de terți în scopuri abuzive sau ilicite, fapt ce explică necesitatea unui astfel de control.

În plus, Curtea adaugă că această prelucrare trebuie să respecte normele specifice de protecție a datelor cu caracter personal prevăzute de Directiva 2016/680 ( 7 ). Astfel, în speță, chiar dacă autoritatea publică nu dispune de puteri decizionale proprii în cadrul procedurii denumite de răspuns gradual, ea trebuie calificată drept „autoritate publică” implicată în prevenirea și depistarea infracțiunilor și intră, așadar, în domeniul de aplicare al acestei directive. Drept urmare, persoanele implicate într‑o astfel de procedură trebuie să beneficieze de un ansamblu de garanții materiale și procedurale prevăzute de Directiva 2016/680, instanței de trimitere revenindu‑i sarcina de a verifica dacă ele sunt prevăzute de legislația națională.

( 1 ) A se vedea printre altele Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții (C‑203/15 și C‑698/15, EU:C:2016:970), Hotărârea din 2 octombrie 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788), Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții (C‑511/18, C‑512/18 și C‑520/18, EU:C:2020:791), Hotărârea din 2 martie 2021, Prokuratuur (Condițiile de acces la datele privind comunicațiile electronice) (C‑746/18, EU:C:2021:152), Hotărârea din 17 iunie 2021, M.I.C.M. (C‑597/19, EU:C:2021:492), și Hotărârea din 5 aprilie 2022, Commissioner of An Garda Síochána și alții (C‑140/20, EU:C:2022:258).

( 2 ) Articolele 7, 8 și 11 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”).

( 3 ) Decretul nr. 2010‑236 din 5 martie 2010 privind prelucrarea prin mijloace automatizate a datelor cu caracter personal autorizată prin articolul L. 331‑29 din Codul proprietății intelectuale, intitulat „Sistemul de gestionare a măsurilor pentru protecția operelor pe internet” (JORF nr. 56 din 7 martie 2010, textul nr. 19), astfel cum a fost modificat prin Decretul nr. 2017‑924 din 6 mai 2017 privind gestionarea drepturilor de autor și a drepturilor conexe de către un organism de gestiune a drepturilor și de modificare a Codului proprietății intelectuale (JORF nr. 109 din 10 mai 2017, textul nr. 176).

( 4 ) În special articolul L. 331-21 al treilea‑al cincilea paragraf din Codul proprietății intelectuale.

( 5 ) Începând de la data de 1 ianuarie 2022, Hadopi a fuzionat cu Conseil supérieur de l’audiovisuel (Consiliul Superior al Audiovizualului) (CSA), o altă autoritate publică independentă, în vederea constituirii Autorité de régulation de la communication audiovisuelle et numérique (Autoritatea de Reglementare a Comunicațiilor Audiovizuale și Digitale) (ARCOM). Procedura de răspuns gradual a rămas însă în esență neschimbată.

( 6 ) Articolul 15 alineatul (1) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) (JO 2002, L 201, p. 37, Ediție specială, 13/vol. 36, p. 63), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009 (JO 2009, L 337, p. 11) (denumită în continuare „Directiva asupra confidențialității și comunicațiilor electronice”), interpretat în lumina articolelor 7, 8 și 11, precum și a articolului 52 alineatul (1) din cartă.

( 7 ) Directiva (UE) 2016/680 a Parlamentului European și a Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei‑cadru 2008/977/JAI a Consiliului (JO 2016, L 119, p. 89).