Hotărârea Curții (Plenul) din 30 aprilie 2024 (cerere de decizie preliminară formulată de Conseil d'État – Franța) – La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net, French Data Network/Premier ministre, Ministère de la Culture

[Cauza C-470/21 (1) , La Quadrature du Net și alții (Date personale și combaterea contrafacerii)]

(Trimitere preliminară - Prelucrarea datelor cu caracter personal și protejarea confidențialității în sectorul comunicațiilor electronice - Directiva 2002/58/CE - Confidențialitatea comunicațiilor electronice - Protecție - Articolul 5 și articolul 15 alineatul (1) - Carta drepturilor fundamentale a Uniunii Europene - Articolele 7, 8, 11 și articolul 52 alineatul (1) - Legislație națională care urmărește să combată, prin acțiunea unei autorități publice, contrafacerile săvârșite pe internet - Procedură numită de „răspuns gradual” - Colectarea în amonte, de către organisme ale titularilor de drepturi, a adreselor IP utilizate pentru activități care încalcă drepturile de autor sau drepturile conexe - Accesul în aval al autorității publice responsabile cu protecția drepturilor de autor și a drepturilor conexe la date referitoare la identitatea civilă corelative acestor adrese IP păstrate de furnizorii de servicii de comunicații electronice - Prelucrarea prin mijloace automatizate - Cerința unui control prealabil de către o instanță sau o entitate administrativă independentă - Condiții materiale și procesuale - Garanții împotriva riscurilor de abuz, precum și împotriva oricărui acces la aceste date și a oricărei utilizări ilicite a acestora)

(C/2024/3717)

Limba de procedură: franceza

Instanța de trimitere

Conseil d'État

Părțile din procedura principală

Reclamante: La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net, French Data Network

Pârâți: Premier ministre, Ministère de la Culture

Dispozitivul

Articolul 15 alineatul (1) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009, prin raportare la articolele 7, 8 și 11, precum și la articolul 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene,

trebuie interpretat în sensul că

nu se opune unei reglementări naționale care permite autorității publice însărcinate cu protecția drepturilor de autor și a drepturilor conexe împotriva încălcărilor acestor drepturi săvârșite pe internet să aibă acces la datele păstrate de furnizorii de servicii de comunicații electronice referitoare la identitatea civilă care sunt corelative adreselor IP colectate în prealabil de organisme ale titularilor de drepturi, pentru ca această autoritate publică să poată identifica titularii acestor adrese utilizate pentru activități susceptibile să constituie astfel de încălcări și să poată lua, dacă este cazul, măsuri în privința lor, cu condiția ca, în temeiul acestei reglementări,

—

datele să fie păstrate în condiții și potrivit unor modalități tehnice care să garanteze că este exclusă posibilitatea ca această păstrare să permită să se tragă concluzii precise cu privire la viața privată a acestor titulari, de exemplu prin realizarea profilului lor detaliat, ceea ce se poate realiza în special impunând furnizorilor de servicii de comunicații electronice obligația să păstreze diferitele categorii de date cu caracter personal, cum sunt datele referitoare la identitatea civilă, adresele IP, precum și datele de transfer și datele de localizare, asigurând separarea efectiv etanșă a acestor categorii de date, care să împiedice, în faza de păstrare, orice exploatare combinată a acestor diferite categorii de date, și pentru o perioadă care să nu depășească strictul necesar,

—

accesul acestei autorități publice la astfel de date păstrate în mod separat și efectiv etanș să servească exclusiv pentru identificarea persoanei suspectate de săvârșirea unei infracțiuni și să fie însoțit de garanțiile necesare pentru a exclude posibilitatea ca acest acces să permită, cu excepția unor situații atipice, să se tragă concluzii precise cu privire la viața privată a titularilor adreselor IP, de exemplu prin realizarea profilului lor detaliat, ceea ce presupune în special să li se interzică agenților acestei autorități care sunt autorizați să aibă un asemenea acces să divulge, sub orice formă, informații cu privire la conținutul fișierelor consultate de acești titulari, mai puțin atunci când se are exclusiv în vedere sesizarea Ministerului Public, să reconstituie parcursul de navigare al acestor titulari și, la modul general, să utilizeze aceste adrese IP în alt scop decât acela de a identifica titularii lor în vederea adoptării unor eventuale măsuri față de aceștia,

—

posibilitatea persoanelor însărcinate cu examinarea faptelor din cadrul autorității publice menționate de a corela astfel de date cu fișierele care conțin elemente ce permit aflarea titlului unor opere protejate a căror punere la dispoziție pe internet a justificat colectarea adreselor IP de către organismele titularilor de drepturi să fie supusă, în situația unei noi repetări a unei activități care aduce atingere drepturilor de autor sau drepturilor conexe de către aceeași persoană, unui control exercitat de o instanță sau de o entitate administrativă independentă, care nu poate fi în totalitate efectuat prin mijloace automatizate și care trebuie să fie efectuat înainte de a se face o asemenea corelare, întrucât această corelare este susceptibilă, în astfel de ipoteze, să permită să fie trase concluzii precise cu privire la viața privată a persoanei menționate a cărei adresă IP a fost utilizată pentru activități care pot aduce atingere drepturilor de autor sau drepturilor conexe,

—

la intervale regulate, sistemul de prelucrare a datelor utilizat de autoritatea publică să facă obiectul unui control efectuat de un organism independent și care are calitatea de terț în raport cu această autoritate publică pentru a se verifica integritatea sistemului, inclusiv garanțiile efective împotriva riscurilor de acces și de utilizare abuzivă sau ilegală a acestor date, precum și eficacitatea și fiabilitatea sa în depistarea eventualelor încălcări ale obligațiilor.

(1) JO C 462, 15.11.2021.