«Προδικαστική παραπομπή – Επεξεργασία των δεδομένων προσωπικού χαρακτήρα και προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών – Οδηγία 2002/58/ΕΚ – Άρθρο 15, παράγραφος 1 – Δυνατότητα των κρατών μελών να περιορίζουν ορισμένα δικαιώματα και υποχρεώσεις – Υποχρέωση προηγούμενου ελέγχου από δικαστήριο ή ανεξάρτητη διοικητική οντότητα με δεσμευτική εξουσία – Δεδομένα ταυτότητας που αντιστοιχούν σε ορισμένη διεύθυνση IP»
I. Εισαγωγή
1. Κατόπιν αιτήματος του τμήματος μείζονος συνθέσεως βάσει του άρθρου 60, παράγραφος 3, του Κανονισμού Διαδικασίας του Δικαστηρίου, το Δικαστήριο αποφάσισε, στις 7 Μαρτίου 2023, να παραπέμψει την υπό κρίση υπόθεση στην ολομέλεια.
2. Με διάταξη της 23ης Μαρτίου 2023, η ολομέλεια του Δικαστηρίου αποφάσισε να επαναλάβει την προφορική διαδικασία και κάλεσε τους κατά το άρθρο 23 του Οργανισμού του Δικαστηρίου της Ευρωπαϊκής Ένωσης ενδιαφερομένους, τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) και τον Οργανισμό της Ευρωπαϊκής Ένωσης για την Κυβερνοασφάλεια (ENISA) να παραστούν σε νέα επ’ ακροατηρίου συζήτηση.
3. Στις 27 Οκτωβρίου 2022 ανέπτυξα τις πρώτες προτάσεις μου στην υπό κρίση υπόθεση πριν από την περάτωση της προφορικής διαδικασίας. Επομένως, με τις παρούσες νέες προτάσεις θα εμβαθύνω σε ορισμένα κρίσιμα στοιχεία της συλλογιστικής μου στην υπό κρίση υπόθεση τα οποία αφορούν τη διατήρηση δεδομένων προσωπικού χαρακτήρα και την πρόσβαση σε αυτά.
II. Το νομικό πλαίσιο
Α. Το δίκαιο της Ένωσης
4. Οι αιτιολογικές σκέψεις 2, 6, 7, 11, 22, 26 και 30 της οδηγίας 2002/58/ΕΚ (2) διαλαμβάνουν τα εξής:
«(2) Επιδίωξη της παρούσας οδηγίας είναι να σεβαστεί τα θεμελιώδη δικαιώματα, τηρεί δε τις βασικές αρχές που αναγνωρίζονται ιδίως από τον Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης [(στο εξής: Χάρτης)]. Συγκεκριμένα, η παρούσα οδηγία επιδιώκει να διασφαλισθεί η πλήρης τήρηση των δικαιωμάτων που προβλέπονται στα άρθρα 7 και 8 του [Χ]άρτη αυτού.
[…]
(6) Το Διαδίκτυο ανατρέπει τις παραδοσιακές δομές της αγοράς παρέχοντας ενιαία, παγκόσμια υποδομή για την παροχή ευρέος φάσματος υπηρεσιών ηλεκτρονικών επικοινωνιών. Οι διαθέσιμες στο κοινό υπηρεσίες επικοινωνιών στο Διαδίκτυο δημιουργούν νέες δυνατότητες για τους χρήστες αλλά και νέους κινδύνους για τα προσωπικά τους δεδομένα και την ιδιωτική τους ζωή.
(7) Στην περίπτωση των δημόσιων δικτύων επικοινωνίας, θα πρέπει να θεσπισθούν ειδικές νομοθετικές, κανονιστικές και τεχνικές διατάξεις προκειμένου να προστατευθούν τα θεμελιώδη δικαιώματα και οι ελευθερίες των φυσικών προσώπων, καθώς και τα έννομα συμφέροντα των νομικών προσώπων, ιδίως έναντι των αυξανομένων δυνατοτήτων αυτόματης αποθήκευσης και επεξεργασίας δεδομένων που αφορούν συνδρομητές και χρήστες.
[…]
(11) Η παρούσα οδηγία, όπως και η οδηγία 95/46/ΕΚ [(3)], δεν υπεισέρχεται σε θέματα προστασίας των θεμελιωδών δικαιωμάτων και ελευθεριών που συνδέονται με δραστηριότητες οι οποίες δεν διέπονται από το κοινοτικό δίκαιο. Επομένως, δεν αλλάζει την υφιστάμενη ισορροπία ανάμεσα στο δικαίωμα του ατόμου στην ιδιωτική ζωή και τη δυνατότητα των κρατών μελών να θεσπίζουν μέτρα όπως αυτά που αναφέρονται στο άρθρο 15 παράγραφος 1 της παρούσας οδηγίας, εφόσον είναι αναγκαία για την προστασία της δημόσιας ασφάλειας, της εθνικής άμυνας, της ασφάλειας του κράτους (περιλαμβανομένης της οικονομικής ευημερίας του κράτους εφόσον οι δραστηριότητες συνδέονται με θέματα ασφάλειας του κράτους) και την εφαρμογή του ποινικού δικαίου. Ως εκ τούτου, η παρούσα οδηγία δεν θίγει τη δυνατότητα των κρατών μελών να προβαίνουν σε νόμιμη παρακολούθηση των ηλεκτρονικών επικοινωνιών ή να λαμβάνουν άλλα μέτρα, όταν αυτό είναι αναγκαίο, για οποιονδήποτε από τους προαναφερόμενους σκοπούς και σύμφωνα με την ευρωπαϊκή σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών, [η οποία υπεγράφη στη Ρώμη στις 4 Νοεμβρίου 1950], όπως ερμηνεύθηκε από τις αποφάσεις του Ευρωπαϊκού Δικαστηρίου για τα Δικαιώματα του Ανθρώπου. Τα μέτρα αυτά πρέπει να είναι κατάλληλα, αυστηρώς ανάλογα των προς επίτευξη σκοπών και αναγκαία στα πλαίσια μιας δημοκρατικής κοινωνίας και θα πρέπει επίσης να υπόκεινται σε επαρκείς διασφαλίσεις σύμφωνα με την ευρωπαϊκή σύμβαση για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών.
[…]
(22) Η απαγόρευση της αποθήκευσης των επικοινωνιών από πρόσωπα άλλα πέραν των χρηστών ή χωρίς τη συγκατάθεσή τους δεν αποκλείει την τυχόν αυτόματη, ενδιάμεση και παροδική αποθήκευση των πληροφοριών εφόσον αυτή γίνεται με μοναδικό σκοπό την πραγματοποίηση της μετάδοσης στο ηλεκτρονικό δίκτυο επικοινωνιών και υπό την προϋπόθεση ότι οι πληροφορίες δεν φυλάσσονται για διάστημα μεγαλύτερο απ’ όσο απαιτείται για τη μετάδοση και για σκοπούς διαχείρισης της κίνησης, και ότι κατά τη διάρκεια της περιόδου αποθήκευσης διατηρούνται οι εγγυήσεις του απορρήτου. […]
[…]
(26) Τα δεδομένα που αφορούν συνδρομητές και υποβάλλονται σε επεξεργασία σε δίκτυα ηλεκτρονικών επικοινωνιών για την αποκατάσταση συνδέσεων και για τη μετάδοση πληροφοριών περιέχουν πληροφορίες για την ιδιωτική ζωή φυσικών προσώπων, άπτονται δε του δικαιώματος σεβασμού της αλληλογραφίας τους ή των εννόμων συμφερόντων νομικών προσώπων. Τα δεδομένα αυτά επιτρέπεται να αποθηκεύονται μόνον εφόσον είναι απαραίτητο για την παροχή υπηρεσιών για τη χρέωση και την πληρωμή διασυνδέσεων, και μόνο για περιορισμένο χρόνο. Κάθε άλλη επεξεργασία […] επιτρέπεται μόνον εφόσον συμφωνεί με αυτήν ο συνδρομητής, με βάση ακριβείς και πλήρεις πληροφορίες που παρέχει ο φορέας παροχής των διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σχετικά με τα είδη περαιτέρω επεξεργασίας που σκοπεύει να διενεργήσει, καθώς και με το δικαίωμα του συνδρομητή να μην συναινεί ή να αποσύρει τη συναίνεσή του για την εν λόγω επεξεργασία. […]
[…]
(30) Τα συστήματα για την παροχή ηλεκτρονικών επικοινωνιακών δικτύων και υπηρεσιών θα πρέπει να σχεδιάζονται έτσι ώστε να περιορίζουν την ποσότητα των απαιτούμενων δεδομένων προσωπικού χαρακτήρα στο ελάχιστο δυνατό. […]»
5. Κατά το άρθρο 2 της οδηγίας 2002/58, το οποίο επιγράφεται «Ορισμοί»:
«[…]
Επίσης, ισχύουν και οι ακόλουθοι ορισμοί, βάσει των οποίων νοούνται ως:
α) “χρήστης”, κάθε φυσικό πρόσωπο που χρησιμοποιεί διαθέσιμη στο κοινό υπηρεσία ηλεκτρονικών επικοινωνιών, για προσωπικούς ή επαγγελματικούς σκοπούς, χωρίς να είναι απαραίτητα συνδρομητής της εν λόγω υπηρεσίας·
β) “δεδομένα κίνησης”, τα δεδομένα που υποβάλλονται σε επεξεργασία για τους σκοπούς της διαβίβασης μιας επικοινωνίας σε δίκτυο ηλεκτρονικών επικοινωνιών ή της χρέωσής της·
γ) “δεδομένα θέσης”, τα δεδομένα που υποβάλλονται σε επεξεργασία σε δίκτυο ηλεκτρονικών επικοινωνιών ή από υπηρεσία ηλεκτρονικών επικοινωνιών και που υποδεικνύουν τη γεωγραφική θέση του τερματικού εξοπλισμού του χρήστη μιας διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών·
δ) “επικοινωνία”, κάθε πληροφορία που ανταλλάσσεται ή διαβιβάζεται μεταξύ ενός πεπερασμένου αριθμού μερών, μέσω μιας διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών. Δεν περιλαμβάνονται πληροφορίες που διαβιβάζονται ως τμήμα ραδιοτηλεοπτικών υπηρεσιών στο κοινό μέσω δικτύου ηλεκτρονικών επικοινωνιών, εκτός από τις περιπτώσεις κατά τις οποίες οι πληροφορίες μπορούν να αφορούν αναγνωρίσιμο συνδρομητή ή χρήστη που τις λαμβάνει.
[…]»
6. Το άρθρο 3 της οδηγίας, το οποίο φέρει τον τίτλο «Σχετικές υπηρεσίες», προβλέπει τα εξής:
«Η παρούσα οδηγία εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της παροχής διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών σε δημόσια δίκτυα επικοινωνιών στην Κοινότητα, περιλαμβανομένων των δημοσίων δικτύων επικοινωνιών που υποστηρίζουν συσκευές συλλογής δεδομένων και ταυτοποίησης.»
7. Το άρθρο 5 οδηγίας, το οποίο επιγράφεται «Απόρρητο των επικοινωνιών», προβλέπει τα εξής:
«1. Τα κράτη μέλη κατοχυρώνουν, μέσω της εθνικής νομοθεσίας, το απόρρητο των επικοινωνιών που διενεργούνται μέσω δημόσιου δικτύου επικοινωνιών και των διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικών επικοινωνιών, καθώς και των συναφών δεδομένων κίνησης. Ειδικότερα, απαγορεύουν την ακρόαση, υποκλοπή, αποθήκευση ή άλλο είδος παρακολούθησης ή επιτήρησης των επικοινωνιών και των συναφών δεδομένων κίνησης από πρόσωπα πλην των χρηστών, χωρίς τη συγκατάθεση των ενδιαφερομένων χρηστών, εκτός αν υπάρχει σχετική νόμιμη άδεια, σύμφωνα με το άρθρο 15 παράγραφος 1. Η παρούσα παράγραφος δεν εμποδίζει την τεχνική αποθήκευση, η οποία είναι αναγκαία για τη διαβίβαση επικοινωνίας, με την επιφύλαξη της αρχής του απορρήτου.
[…]
3. Τα κράτη μέλη μεριμνούν ώστε η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη επιτρέπεται μόνον εάν ο συγκεκριμένος συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεσή του με βάση σαφείς και εκτενείς πληροφορίες σύμφωνα με την οδηγία [95/46], μεταξύ άλλων για το σκοπό της επεξεργασίας. Τούτο δεν εμποδίζει οιαδήποτε τεχνικής φύσεως αποθήκευση ή πρόσβαση, αποκλειστικός σκοπός της οποίας είναι η διενέργεια της διαβίβασης μιας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών ή που είναι απολύτως αναγκαία για να μπορεί ο πάροχος υπηρεσίας της κοινωνίας της πληροφορίας την οποία έχει ζητήσει ρητά ο συνδρομητής ή ο χρήστης να παρέχει τη συγκεκριμένη υπηρεσία.»
8. Το άρθρο 6 της οδηγίας 2002/58, το οποίο φέρει τον τίτλο «Δεδομένα κίνησης», έχει ως εξής:
«1. Τα δεδομένα κίνησης που αφορούν συνδρομητές και χρήστες, τα οποία υποβάλλονται σε επεξεργασία και αποθηκεύονται από τον πάροχο δημόσιου δικτύου ή διαθέσιμης στο κοινό υπηρεσίας ηλεκτρονικών επικοινωνιών, πρέπει να απαλείφονται ή να καθίστανται ανώνυμα όταν δεν είναι πλέον απαραίτητα για το σκοπό της μετάδοσης μιας επικοινωνίας, με την επιφύλαξη των παραγράφων 2, 3 και 5 του παρόντος άρθρου και του άρθρου 15 παράγραφος 1.
2. Τα δεδομένα κίνησης που είναι απαραίτητα για τη χρέωση των συνδρομητών και την πληρωμή των διασυνδέσεων μπορούν να υποβάλλονται σε επεξεργασία. Η επεξεργασία αυτή επιτρέπεται μόνον έως το τέλος της χρονικής περιόδου εντός της οποίας δύναται να αμφισβητείται νομίμως ο λογαριασμός ή να επιδιώκεται η πληρωμή.
[…]»
9. Το άρθρο 15 της εν λόγω οδηγίας, το οποίο επιγράφεται «Εφαρμογή ορισμένων διατάξεων της οδηγίας [95/46]», ορίζει στην παράγραφο 1 τα εξής:
«Τα κράτη μέλη δύνανται να λαμβάνουν νομοθετικά μέτρα για να περιορίζουν τα δικαιώματα και τις υποχρεώσεις που προβλέπονται στα άρθρα 5 και 6, στο άρθρο 8, παράγραφοι 1 έως 4 και στο άρθρο 9 της παρούσας οδηγίας, εφόσον ο περιορισμός αυτός αποτελεί αναγκαίο, κατάλληλο και ανάλογο μέτρο σε μια δημοκρατική κοινωνία για τη διαφύλαξη της εθνικής ασφάλειας (δηλαδή της ασφάλειας του κράτους), της εθνικής άμυνας, της δημόσιας ασφάλειας, και για την πρόληψη, διερεύνηση, διαπίστωση και δίωξη ποινικών αδικημάτων ή άνευ αδείας χρησιμοποίησης του συστήματος ηλεκτρονικών επικοινωνιών, όπως προβλέπεται στο άρθρο 13 παράγραφος 1 της οδηγίας [95/46]. Για το σκοπό αυτό, τα κράτη μέλη δύνανται, μεταξύ άλλων, να λαμβάνουν νομοθετικά μέτρα που θα προβλέπουν τη φύλαξη δεδομένων για ορισμένο χρονικό διάστημα για τους λόγους που αναφέρονται στην παρούσα παράγραφο. Όλα τα μέτρα που προβλέπονται στην παρούσα παράγραφο είναι σύμφωνα με τις γενικές αρχές του [ενωσιακού] δικαίου, συμπεριλαμβανομένων αυτών που αναφέρονται στο άρθρο 6 παράγραφοι 1 και 2 της [ΣΕΕ].»
Β. Το γαλλικό δίκαιο
1. Ο κώδικας διανοητικής ιδιοκτησίας
10. Το άρθρο L. 331-12 του code de la propriété intellectuelle (κώδικα διανοητικής ιδιοκτησίας), όπως ίσχυε κατά τον χρόνο των πραγματικών περιστατικών της κύριας δίκης (στο εξής: CPI), ορίζει τα εξής:
«Η Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet [Ανώτατη Αρχή για τη διάδοση των έργων και την προστασία των δικαιωμάτων στο διαδίκτυο, στο εξής: Hadopi] είναι ανεξάρτητη δημόσια αρχή.»
11. Το άρθρο L. 331-13 του CPI ορίζει τα εξής:
«Η [Hadopi] έχει:
[…]
2 ως αποστολή την προστασία [των έργων και αντικειμένων με τα οποία συνδέεται ορισμένο δικαίωμα πνευματικής ιδιοκτησίας ή συγγενικό δικαίωμα στα δίκτυα ηλεκτρονικών επικοινωνιών] έναντι προσβολών των εν λόγω δικαιωμάτων που διαπράττονται στα δίκτυα ηλεκτρονικών επικοινωνιών τα οποία χρησιμοποιούνται για την παροχή υπηρεσιών ηλεκτρονικής επικοινωνίας προς το κοινό […]».
12. Κατά το άρθρο L. 331-15 του CPI:
«Η [Hadopi] απαρτίζεται από ένα συλλογικό όργανο και μια επιτροπή προστασίας δικαιωμάτων. […]
[…]
Κατά την άσκηση των καθηκόντων που τους ανατίθενται, τα μέλη του συλλογικού οργάνου και της επιτροπής προστασίας δικαιωμάτων δεν λαμβάνουν οδηγίες από οποιαδήποτε αρχή.»
13. Το άρθρο L. 331-17 του εν λόγω κώδικα ορίζει τα εξής:
«Η επιτροπή προστασίας δικαιωμάτων είναι επιφορτισμένη με τη λήψη των μέτρων που προβλέπονται στο άρθρο L. 331-25.»
14. Κατά το άρθρο L. 331-21 του ίδιου κώδικα:
«Για την άσκηση των αρμοδιοτήτων της, μέσω της επιτροπής προστασίας δικαιωμάτων, η [Hadopi] διαθέτει ορκωτούς δημόσιους υπαλλήλους, οι οποίοι εξουσιοδοτούνται από τον πρόεδρό της υπό όρους που καθορίζονται με διάταγμα του Conseil d’État [Συμβουλίου της Επικρατείας, Γαλλία]. […]
Τα μέλη της επιτροπής προστασίας δικαιωμάτων και οι υπάλληλοι που αναφέρονται στο πρώτο εδάφιο παραλαμβάνουν τις υποθέσεις που παραπέμπονται στην εν λόγω επιτροπή υπό τους όρους που προβλέπονται στο άρθρο L. 331-24. Προχωρούν στην εξέταση των πραγματικών περιστατικών.
Μπορούν, για τις ανάγκες της διαδικασίας, να λάβουν οποιαδήποτε έγγραφα, ανεξάρτητα από το υπόθεμα, συμπεριλαμβανομένων των δεδομένων που αποθηκεύονται και υποβάλλονται σε επεξεργασία από τους φορείς εκμετάλλευσης ηλεκτρονικών επικοινωνιών κατ’ εφαρμογήν του άρθρου L. 34‑1 του code des postes et des communications électroniques [κώδικα ταχυδρομείων και ηλεκτρονικών επικοινωνιών] και τους παρόχους υπηρεσιών που προβλέπονται στο άρθρο 6, στοιχείο Ι, σημεία 1 και 2, του loi no 2004575 du 21 juin 2004 pour la confiance dans l’économie numérique [νόμου 2004-575, της 21ης Ιουνίου 2004, για την εμπιστοσύνη στην ψηφιακή οικονομία].
Μπορούν επίσης να λάβουν αντίγραφο των εγγράφων που αναφέρονται στο προηγούμενο εδάφιο.
Μπορούν, ειδικότερα, να λάβουν από τους φορείς εκμετάλλευσης ηλεκτρονικών επικοινωνιών την ταυτότητα, την ταχυδρομική διεύθυνση, τη διεύθυνση ηλεκτρονικού ταχυδρομείου και τα τηλεφωνικά στοιχεία του συνδρομητή του οποίου η πρόσβαση σε διαθέσιμες στο κοινό υπηρεσίες ηλεκτρονικής επικοινωνίας έχει χρησιμοποιηθεί για σκοπούς αναπαραγωγής, αναπαράστασης, διάθεσης ή κοινοποίησης στο κοινό έργων ή προστατευόμενων αντικειμένων χωρίς την άδεια των κατόχων των δικαιωμάτων […] όταν αυτή απαιτείται.»
15. Το άρθρο L. 331-24 του CPI ορίζει τα εξής:
«Η επιτροπή προστασίας δικαιωμάτων ενεργεί κατόπιν παραπομπής υποθέσεων σε ορκωτούς και εξουσιοδοτημένους υπαλλήλους […] οι οποίοι ορίζονται από:
– τους δεόντως συσταθέντες οργανισμούς προάσπισης επαγγελματικών συμφερόντων·
– τους οργανισμούς συλλογικής διαχείρισης·
– το Centre national du cinéma et de l’image animée [εθνικό κέντρο κινηματογράφου και κινούμενης εικόνας, Γαλλία].
Η επιτροπή προστασίας δικαιωμάτων μπορεί επίσης να ενεργεί βάσει πληροφοριών που της διαβιβάζει η procureur de la République [εισαγγελική αρχή, Γαλλία].
Δεν επιτρέπεται παραπομπή υποθέσεων στην επιτροπή προστασίας δικαιωμάτων σχετικά με πράξεις από την τέλεση των οποίων έχει παρέλθει διάστημα μεγαλύτερο των έξι μηνών.»
16. Κατά το άρθρο L. 331-25 του CPI, διάταξη που ρυθμίζει την αποκαλούμενη διαδικασία «κλιμακούμενης απάντησης»:
«Όταν παραπέμπονται σε αυτήν πράξεις που μπορεί να στοιχειοθετούν παράβαση της προβλεπόμενης στο άρθρο L. 336-3 [του CPI] υποχρέωσης, η επιτροπή προστασίας δικαιωμάτων μπορεί να αποστείλει στον συνδρομητή […] σύσταση με την οποία του υπενθυμίζει τις διατάξεις του άρθρου L. 336-3, τον παροτρύνει να συμμορφωθεί με την υποχρέωση που ορίζεται σε αυτές και τον προειδοποιεί για τις κυρώσεις που μπορεί να του επιβληθούν κατ’ εφαρμογήν των άρθρων L. 335-7 και L. 335-7-1. Η εν λόγω σύσταση περιέχει επίσης ενημέρωση του συνδρομητή σχετικά με τη νόμιμη προσφορά πολιτιστικού περιεχόμενου στο διαδίκτυο, την ύπαρξη μέσων ασφάλειας που καθιστούν δυνατή την πρόληψη των παραβάσεων της υποχρέωσης που καθορίζεται στο άρθρο L. 336-3 καθώς και τους κινδύνους για την ανανέωση της καλλιτεχνικής δημιουργίας και την οικονομία του πολιτιστικού τομέα που ενέχουν πρακτικές που δεν σέβονται τα δικαιώματα πνευματικής ιδιοκτησίας και τα συγγενικά δικαιώματα.
Σε περίπτωση επανάληψης, εντός διαστήματος έξι μηνών από την αποστολή της σύστασης του πρώτου εδαφίου, πράξεων που μπορεί να στοιχειοθετούν παράβαση της υποχρέωσης που καθορίζεται στο άρθρο L. 336-3, η επιτροπή για την προστασία δικαιωμάτων μπορεί να απευθύνει, με ηλεκτρονικό τρόπο, νέα σύσταση η οποία περιλαμβάνει τις ίδιες πληροφορίες με την προηγούμενη σύσταση […]. Η επιτροπή για την προστασία δικαιωμάτων πρέπει να συνοδεύει την εν λόγω σύσταση με επιστολή που παραδίδεται με υπογεγραμμένη βεβαίωση παραλαβής ή με κάθε άλλο πρόσφορο μέσο που αποδεικνύει την ημερομηνία παράδοσης της σύστασης.
Στις συστάσεις που απευθύνονται βάσει του παρόντος άρθρου μνημονεύονται η ημερομηνία και η ώρα κατά τις οποίες διαπιστώθηκαν οι πράξεις που μπορεί να στοιχειοθετούν παράβαση της υποχρέωσης που καθορίζεται στο άρθρο L. 336-3. Αντιθέτως, με τις συστάσεις δεν γνωστοποιείται το περιεχόμενο των προστατευόμενων έργων ή αντικειμένων που αφορά η σχετική παράβαση. Με τις συστάσεις παρέχονται οι αριθμοί τηλεφώνου και οι ταχυδρομικές και ηλεκτρονικές διευθύνσεις στις οποίες ο αποδέκτης των συστάσεων μπορεί να απευθύνει, εφόσον το επιθυμεί, παρατηρήσεις προς την επιτροπή προστασίας δικαιωμάτων και να λάβει, εφόσον υποβάλει ρητό αίτημα, διευκρινίσεις σχετικά με το περιεχόμενο των προστατευόμενων έργων ή αντικειμένων που αφορά η παράβαση η οποία του προσάπτεται.»
17. Το άρθρο L. 331-29 του CPI ορίζει τα εξής:
«Επιτρέπεται η δημιουργία, από τη [Hadopi], συστήματος αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που αφορούν πρόσωπα που υπόκεινται σε διαδικασίες δυνάμει του παρόντος υποτμήματος.
Σκοπός της εν λόγω επεξεργασίας είναι η εφαρμογή, από την επιτροπή προστασίας δικαιωμάτων, των μέτρων που προβλέπονται στο παρόν υποτμήμα, όλων των σχετικών διαδικαστικών πράξεων και των διαδικασιών ενημέρωσης των οργανισμών προάσπισης επαγγελματικών συμφερόντων και των οργανισμών συλλογικής διαχείρισης για τις υποθέσεις που τυχόν παραπέμπονται στη δικαστική αρχή καθώς και των κοινοποιήσεων που προβλέπονται στο πέμπτο εδάφιο του άρθρου L. 335‑7.
Με διάταγμα […] καθορίζονται οι λεπτομέρειες εφαρμογής του παρόντος άρθρου. Συγκεκριμένα, το διάταγμα ορίζει:
– τις κατηγορίες δεδομένων που καταγράφονται και την περίοδο διατήρησής τους·
– τους αποδέκτες οι οποίοι έχουν εξουσιοδοτηθεί να λαμβάνουν κοινοποίηση των εν λόγω δεδομένων, ιδίως τα πρόσωπα των οποίων η δραστηριότητα είναι να παρέχουν στο κοινό πρόσβαση σε διαθέσιμες προς το κοινό υπηρεσίες ηλεκτρονικής επικοινωνίας·
– τους όρους υπό τους οποίους οι ενδιαφερόμενοι μπορούν να ασκήσουν, ενώπιον της [Hadopi], το δικαίωμα πρόσβασης σε δεδομένα που τους αφορούν […]».
18. Το άρθρο R. 331-37 του CPI προβλέπει τα εξής:
«Οι φορείς εκμετάλλευσης ηλεκτρονικών επικοινωνιών […] και οι πάροχοι υπηρεσιών […] οφείλουν να κοινοποιούν, μέσω διασυνδέσεως με το σύστημα αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που προβλέπεται στο άρθρο L. 331-29 ή μέσω μέσου καταγραφής που διασφαλίζει την ακεραιότητα και την ασφάλειά τους, τα δεδομένα προσωπικού χαρακτήρα και τις πληροφορίες που προβλέπονται στο σημείο 2 του παραρτήματος του décret no 2010‑236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du [CPI] dénommé “Système de gestion des mesures pour la protection des œuvres sur Internet” [(4)] {διατάγματος 2010‑236, της 5ης Μαρτίου 2010, περί αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που επιτρέπεται βάσει του άρθρου L. 331-29 του [CPI] με την ονομασία “Σύστημα διαχείρισης μέτρων προστασίας έργων στο διαδίκτυο”, στο εξής: διάταγμα της 5ης Μαρτίου 2010} […] εντός οκτώ ημερών από τη διαβίβαση, από την επιτροπή προστασίας δικαιωμάτων, των τεχνικών δεδομένων που είναι απαραίτητα για την ταυτοποίηση του συνδρομητή του οποίου η πρόσβαση σε διαθέσιμες προς το κοινό υπηρεσίες ηλεκτρονικής επικοινωνίας έχει χρησιμοποιηθεί για σκοπούς αναπαραγωγής, αναπαράστασης, διάθεσης ή κοινοποίησης στο κοινό προστατευόμενων έργων ή αντικειμένων χωρίς την άδεια των κατόχων των δικαιωμάτων […] όταν απαιτείται.
[…]»
19. Το άρθρο R. 335-5 του CPI ορίζει τα εξής:
«I.- Συνιστά βαριά αμέλεια, η οποία τιμωρείται με τη χρηματική ποινή που προβλέπεται για τα αδικήματα της πέμπτης κλάσης, το γεγονός ότι το πρόσωπο με δικαίωμα πρόσβασης σε υπηρεσίες ηλεκτρονικών επικοινωνιών προς το κοινό, χωρίς να συντρέχει νόμιμος λόγος και εφόσον πληρούνται οι προϋποθέσεις που προβλέπονται υπό το στοιχείο II:
1 είτε δεν έχει θεσπίσει μέσο ασφάλειας της εν λόγω πρόσβασης·
2 είτε δεν επέδειξε επιμέλεια κατά την εφαρμογή του εν λόγω μέσου ασφάλειας.
II.- Οι διατάξεις υπό το στοιχείο I εφαρμόζονται μόνον εφόσον πληρούνται οι δύο ακόλουθες προϋποθέσεις:
1 κατ’ εφαρμογήν του άρθρου L. 331-25 και τηρουμένων των τυπικών διατυπώσεων που προβλέπονται στο εν λόγω άρθρο, η επιτροπή προστασίας δικαιωμάτων συνέστησε στο πρόσωπο με δικαίωμα πρόσβασης να μεριμνήσει για την ασφάλεια της πρόσβασης κατά τρόπο ώστε να προλαμβάνεται η ανανέωση της χρήσης της για σκοπούς αναπαραγωγής, αναπαράστασης ή διάθεσης ή κοινοποίησης στο κοινό έργων ή αντικειμένων που προστατεύονται από πνευματικό δικαίωμα ή συγγενικό δικαίωμα, χωρίς την άδεια των κατόχων των δικαιωμάτων […] όταν αυτή απαιτείται·
2 κατά το έτος που έπεται της κοινοποίησης της εν λόγω σύστασης, η πρόσβαση χρησιμοποιείται εκ νέου για τους σκοπούς που μνημονεύονται στο σημείο 1 υπό το παρόν στοιχείο II.»
20. Το άρθρο L. 336-3 του CPI ορίζει τα ακόλουθα:
«Το πρόσωπο με δικαίωμα πρόσβασης σε υπηρεσίες ηλεκτρονικών επικοινωνιών προς το κοινό υποχρεούται να διασφαλίζει ότι η εν λόγω πρόσβαση δεν καθίσταται αντικείμενο χρήσης για σκοπούς αναπαραγωγής, αναπαράστασης, διάθεσης ή κοινοποίησης στο κοινό έργων ή αντικειμένων που προστατεύονται από πνευματικό δικαίωμα ή συγγενικό δικαίωμα, χωρίς την άδεια των κατόχων […] όταν αυτή απαιτείται.
Η παράβαση της υποχρέωσης του προσώπου με δικαίωμα πρόσβασης που καθορίζεται στο πρώτο εδάφιο δεν στοιχειοθετεί ποινική ευθύνη του ενδιαφερομένου […]».
2. Το διάταγμα της 5ης Μαρτίου 2010
21. Το décret du 5 mars 2010 (διάταγμα της 5ης Μαρτίου 2010), όπως ίσχυε κατά τον χρόνο των πραγματικών περιστατικών της κύριας δίκης, προβλέπει στο άρθρο του 1 τα εξής:
«Σκοπός της επεξεργασίας δεδομένων προσωπικού χαρακτήρα με την ονομασία “Σύστημα διαχείρισης μέτρων προστασίας έργων στο διαδίκτυο” είναι η εφαρμογή, από την επιτροπή προστασίας δικαιωμάτων της [Hadopi]:
1 των μέτρων που προβλέπονται στο βιβλίο III του νομοθετικού μέρους του [CPI] (τίτλος III, κεφάλαιο I, τμήμα 3, υποτμήμα 3) και στο βιβλίο III του κανονιστικού μέρους του [CPI] (τίτλος III, κεφάλαιο I, τμήμα 2, υποτμήμα 2)·
2 των παραπομπών της procureur de la République [εισαγγελικής αρχής] σχετικά με πράξεις που μπορεί να στοιχειοθετούν αδικήματα που προβλέπονται στα άρθρα L. 335-2, L. 335-3, L. 335-4 και R. 335-5 του ίδιου κώδικα, καθώς και της ενημέρωσης των οργανισμών προάσπισης επαγγελματικών συμφερόντων και των οργανισμών συλλογικής διαχείρισης σχετικά με τις εν λόγω παραπομπές·
[…]».
22. Το άρθρο 4 του εν λόγω διατάγματος προβλέπει τα εξής:
«I.- Άμεση πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και στις πληροφορίες που μνημονεύονται στο παράρτημα του παρόντος διατάγματος έχουν οι ορκωτοί δημόσιοι υπάλληλοι οι οποίοι εξουσιοδοτούνται από τον πρόεδρο της [Hadopi] κατ’ εφαρμογήν του άρθρου L. 331-21 του [CPI] και τα μέλη της επιτροπής προστασίας των δικαιωμάτων που μνημονεύεται στο άρθρο 1.
II.- Οι φορείς εκμετάλλευσης ηλεκτρονικών επικοινωνιών και οι πάροχοι υπηρεσιών που μνημονεύονται στο σημείο 2 του παραρτήματος του παρόντος διατάγματος είναι αποδέκτες:
– των τεχνικών δεδομένων που είναι απαραίτητα για την αναγνώριση του συνδρομητή·
– των συστάσεων που προβλέπονται στο άρθρο L. 331-25 του [CPI] εν όψει της αποστολής τους με ηλεκτρονικό τρόπο στους συνδρομητές τους·
– των αναγκαίων στοιχείων για την εφαρμογή των συμπληρωματικών ποινών της αναστολής της πρόσβασης σε υπηρεσία ηλεκτρονικής επικοινωνίας προς το κοινό που η procureur de la République [εισαγγελική αρχή] κοινοποιεί στην επιτροπή προστασίας δικαιωμάτων.
III.- Οι οργανισμοί προάσπισης επαγγελματικών συμφερόντων και οι οργανισμοί συλλογικής διαχείρισης είναι αποδέκτες ενημέρωσης σχετικά με την παραπομπή στην procureur de la République [εισαγγελική αρχή].
IV.- Οι δικαστικές αρχές είναι αποδέκτες των εκθέσεων με τις οποίες διαπιστώνονται πράξεις που μπορεί να στοιχειοθετούν αδικήματα τα οποία προβλέπονται στα άρθρα L. 335-2, L. 335-3, L. 335-4, L. 335-7, R. 331-37, R. 331-38 και R. 335-5 του [CPI].
Το αυτοματοποιημένο ποινικό μητρώο ενημερώνεται για την εκτέλεση της ποινής αναστολής.»
23. Το παράρτημα του διατάγματος της 5ης Μαρτίου 2010 προβλέπει τα εξής:
«Τα δεδομένα προσωπικού χαρακτήρα και οι πληροφορίες που καταγράφονται κατά την επεξεργασία με την ονομασία “Σύστημα διαχείρισης μέτρων προστασίας έργων στο διαδίκτυο” είναι τα εξής:
1 δεδομένα προσωπικού χαρακτήρα και πληροφορίες που προέρχονται από δεόντως συσταθέντες οργανισμούς προάσπισης επαγγελματικών συμφερόντων, οργανισμούς συλλογικής διαχείρισης, το Centre national du cinéma et de l’image animée [εθνικό κέντρο κινηματογράφου και κινούμενης εικόνας] καθώς και την procureur de la République [εισαγγελική αρχή]:
Όσον αφορά πράξεις που μπορεί να στοιχειοθετούν παράβαση της υποχρέωσης που καθορίζεται στο άρθρο L. 336-3 του [CPI]:
Ημερομηνία και ώρα τέλεσης της πράξης·
Διεύθυνση IP των ενδιαφερόμενων συνδρομητών·
Χρησιμοποιηθέν διομότιμο πρωτόκολλο·
Ψευδώνυμο συνδρομητή·
Πληροφορίες σχετικά με τα προστατευόμενα έργα ή αντικείμενα τα οποία αφορούν οι πράξεις·
Όνομα του αρχείου που βρίσκεται στη θέση του συνδρομητή (εφόσον συντρέχει περίπτωση)·
Πάροχος πρόσβασης στο διαδίκτυο από τον οποίο αποκτήθηκε πρόσβαση ή ο οποίος παρέσχε τον τεχνικό πόρο IP.
[…]
2 Δεδομένα προσωπικού χαρακτήρα και πληροφορίες σχετικά με τον συνδρομή που συλλέχθηκαν από τους φορείς εκμετάλλευσης ηλεκτρονικών επικοινωνιών […] και τους παρόχους υπηρεσιών […]:
Επώνυμο, ονόματα·
Ταχυδρομική διεύθυνση και ηλεκτρονικές διευθύνσεις·
Αριθμοί τηλεφώνου·
Διεύθυνση της τηλεφωνικής εγκατάστασης του συνδρομητή·
Πάροχος πρόσβασης στο διαδίκτυο, ο οποίος χρησιμοποιεί τους τεχνικούς πόρους του παρόχου πρόσβασης που μνημονεύεται στο σημείο 1, με τον οποίο ο συνδρομητής συνήψε σύμβαση· αριθμός φακέλου·
Ημερομηνία έναρξης της αναστολής της πρόσβασης σε υπηρεσία ηλεκτρονικής επικοινωνίας προς το κοινό.
[…]»
3. Ο κώδικας ταχυδρομείων και ηλεκτρονικών επικοινωνιών
24. Το άρθρο L. 34-1 του code des postes et des communications électroniques (κώδικα ταχυδρομείων και ηλεκτρονικών επικοινωνιών), όπως τροποποιήθηκε με το άρθρο 17 του loi no 2021-998 (νόμου 2021-998), της 30ής Ιουλίου 2021 (στο εξής: CPCE) (5), ορίζει στην παράγραφο IIbis:
«[Ο]ι φορείς εκμετάλλευσης ηλεκτρονικών επικοινωνιών υποχρεούνται να διατηρούν:
1 για τις ανάγκες των ποινικών διαδικασιών, της πρόληψης των απειλών κατά της δημόσιας ασφάλειας και της διαφύλαξης της ασφάλειας του κράτους, τις πληροφορίες σχετικά με την ταυτότητα του χρήστη, για διάστημα πέντε ετών από τη λήξη της ισχύος της σύμβασής του·
2 για τους ίδιους σκοπούς με τους μνημονευόμενους στο σημείο 1 υπό το παρόν στοιχείο IIbis, τις λοιπές πληροφορίες που παρέχει ο χρήστης κατά τη σύναψη σύμβασης ή τη δημιουργία λογαριασμού καθώς και τις πληροφορίες σχετικά με την πληρωμή, για διάστημα ενός έτους από τη λήξη της ισχύος της σύμβασής του ή το κλείσιμο του λογαριασμού του·
3 για τις ανάγκες της καταπολέμησης της σοβαρής εγκληματικότητας και παραβατικότητας, της πρόληψης των σοβαρών απειλών κατά της δημόσιας ασφάλειας και της διαφύλαξης της ασφάλειας του κράτους, τα τεχνικά δεδομένα που καθιστούν δυνατή την ταυτοποίηση της πηγής της σύνδεσης ή εκείνα που σχετίζονται με τον χρησιμοποιούμενο τερματικό εξοπλισμό, για διάστημα ενός έτους από τη σύνδεση ή τη χρήση του τερματικού εξοπλισμού.»
III. Η διαδικασία ενώπιον του Δικαστηρίου
25. Αποκρινόμενες στην πρόσκληση προς τους κατά το άρθρο 23 του Οργανισμού του Δικαστηρίου της Ευρωπαϊκής Ένωσης ενδιαφερομένους, οι αιτούσες της κύριας δίκης, η Γαλλική, η Δανική, η Εσθονική, η Ιρλανδική, η Ολλανδική, η Φινλανδική και η Σουηδική Κυβέρνηση καθώς και η Ευρωπαϊκή Επιτροπή απάντησαν στις γραπτές ερωτήσεις που έθεσε το Δικαστήριο.
26. Οι προμνησθέντες μετέχοντες στη διαδικασία, πλην της Φινλανδικής Κυβέρνησης, η Τσεχική, η Ισπανική, η Κυπριακή, η Λεττονική και η Νορβηγική Κυβέρνηση καθώς και ο ΕΕΠΔ και ο ENISA παρέστησαν στην επ’ ακροατηρίου συζήτηση της 15ης Μαΐου 2023.
IV. Ανάλυση
27. Κατόπιν εξέτασης των προδικαστικών ερωτημάτων στο πλαίσιο των πρώτων προτάσεών μου, είχα προτείνει στο Δικαστήριο να αποφανθεί ότι το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58 έχει την έννοια ότι δεν αντιτίθεται σε εθνική νομοθεσία η οποία επιτρέπει τη διατήρηση από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών και την πρόσβαση εκ μέρους διοικητικής αρχής όπως η Hadopi (6), οι οποίες περιορίζονται σε δεδομένα ταυτότητας που αντιστοιχούν σε διευθύνσεις IP, προκειμένου η ως άνω αρχή να μπορεί να ταυτοποιήσει τους κατόχους των εν λόγω διευθύνσεων για τους οποίους υπάρχουν υπόνοιες ότι είναι υπεύθυνοι για τις προσβολές του δικαιώματος πνευματικής ιδιοκτησίας και των συγγενικών δικαιωμάτων και να μπορεί να λάβει, ενδεχομένως, μέτρα έναντι αυτών, χωρίς η εν λόγω πρόσβαση να εξαρτάται από προηγούμενο έλεγχο δικαστηρίου ή ανεξάρτητης διοικητικής οντότητας, οσάκις τα εν λόγω δεδομένα συνιστούν το μόνο μέσο έρευνας το οποίο καθιστά δυνατή την ταυτοποίηση του προσώπου στο οποίο είχε αποδοθεί η διεύθυνση αυτή κατά τον χρόνο τέλεσης του αδικήματος.
28. Με τις παρούσες προτάσεις, θα εμβαθύνω σε ορισμένα στοιχεία της προηγούμενης ανάλυσής μου και σε ζητήματα που ανέκυψαν κατά την επ’ ακροατηρίου συζήτηση της 15ης Μαΐου 2023, προκειμένου να εκθέσω τους λόγους για τους οποίους εμμένω τόσο στην πρότασή μου για την απάντηση που πρέπει να δοθεί στα προδικαστικά ερωτήματα όσο και στη συλλογιστική βάσει της οποίας κατέληξα στην εν λόγω πρόταση (7).
29. Ειδικότερα, θα καταδείξω ότι το να επιτρέπεται η διατήρηση δεδομένων ταυτότητας που αντιστοιχούν σε διευθύνσεις IP και η πρόσβαση στα εν λόγω δεδομένα, χωρίς προηγούμενο έλεγχο, με σκοπό την ταυτοποίηση των δραστών αδικήματος, οσάκις τα εν λόγω δεδομένα συνιστούν το μόνο μέσο ταυτοποίησης των δραστών, πληροί τις απαιτήσεις που έχει διατυπώσει το Δικαστήριο στο πλαίσιο της εξέτασης μέτρων που λαμβάνονται δυνάμει του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58 (τμήμα Β).
30. Συγχρόνως, θα καταδείξω ότι η συγκεκριμένη λύση δεν συνιστά μεταστροφή της αυστηρής νομολογίας που προστατεύει τα θεμελιώδη δικαιώματα, την οποία το Δικαστήριο έχει διαμορφώσει από τον χρόνο έκδοσης των αποφάσεων Tele2 Sverige και Watson κ.λπ. (8) και La Quadrature du Net κ.λπ. (9) και εντεύθεν, αλλά αναγκαία εξέλιξή της, η οποία αποτελεί, κατά τη γνώμη μου, προέκταση των αρχών που έχει διατυπώσει το Δικαστήριο. Η διάκριση αυτή δεν έχει μόνον σημασιολογικό χαρακτήρα. Συγκεκριμένα, η λύση που προτείνω δεν σκοπεί την αμφισβήτηση της υφιστάμενης νομολογίας, αλλά την προσαρμογή της, για ρεαλιστικούς λόγους, σε ορισμένες ιδιαίτερες και αυστηρώς οριοθετημένες συνθήκες (τμήμα Γ).
31. Χάριν σαφήνειας και στο μέτρο που η ανταλλαγή απόψεων κατά την επ’ ακροατηρίου συζήτηση ανέδειξε την αναγκαιότητα παροχής διευκρινίσεων συναφώς, θα ξεκινήσω την ανάλυσή μου υπενθυμίζοντας τη λειτουργία του μηχανισμού κλιμακούμενης απάντησης που εφαρμόζει η Hadopi (τμήμα Α).
Α. Ο μηχανισμός κλιμακούμενης απάντησης που εφαρμόζει η Hadopi
32. Η Hadopi είναι ανεξάρτητη διοικητική αρχή επιφορτισμένη με την προστασία του δικαιώματος πνευματικής ιδιοκτησίας και των συγγενικών δικαιωμάτων σε περιπτώσεις προσβολών των εν λόγω δικαιωμάτων οι οποίες διαπράττονται μέσω του διαδικτύου. Προς τούτο, θεσπίστηκε ο λεγόμενος μηχανισμός «κλιμακούμενης απάντησης», η εφαρμογή του οποίου ανατέθηκε στην επιτροπή προστασίας δικαιωμάτων της Hadopi.
33. Στην εν λόγω επιτροπή προσφεύγουν οργανισμοί δικαιούχων, εντός των οποίων ορκωτοί δημόσιοι υπάλληλοι εξουσιοδοτημένοι από τον Υπουργό Πολιτισμού συλλέγουν, στα διομότιμα δίκτυα (peer to peer), τις διευθύνσεις IP των χρηστών του διαδικτύου που διαθέτουν στο κοινό έργα χωρίς την άδεια των κατόχων των δικαιωμάτων επί των εν λόγω έργων. Εν συνεχεία καταρτίζονται εκθέσεις. Οι εν λόγω εκθέσεις, οι οποίες διαβιβάζονται στην επιτροπή προστασίας δικαιωμάτων της Hadopi, περιέχουν, μεταξύ άλλων, τη διεύθυνση IP πρόσβασης στο διαδίκτυο που χρησιμοποιήθηκε για τη διάπραξη της εκάστοτε προσβολής δικαιωμάτων πνευματικής ιδιοκτησίας, την ημερομηνία και την ώρα της διαπιστωθείσας προσβολής καθώς και τον τίτλο του επίμαχου έργου. Υπογραμμίζεται συναφώς, όπως επισήμανε επίσης ο ΕΕΠΔ, ότι για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από υπαλλήλους εντός των οργανισμών δικαιούχων χορηγείται άδεια εκ μέρους της Commission nationale de l’informatique et des libertés (εθνικής επιτροπής πληροφορικής και ελευθεριών, Γαλλία, στο εξής: CNIL), εποπτικής αρχής στον τομέα της προστασίας των δεδομένων (10).
34. Μετά την παραλαβή των εκθέσεων και τη διενέργεια αυτοματοποιημένου ελέγχου προκειμένου να διασφαλίζεται ότι περιέχουν το σύνολο των απαιτούμενων στοιχείων, η επιτροπή προστασίας δικαιωμάτων της Hadopi μπορεί να λάβει από τους παρόχους υπηρεσίας ηλεκτρονικών επικοινωνιών την ταυτότητα, την ταχυδρομική διεύθυνση, τη διεύθυνση ηλεκτρονικού ταχυδρομείου και τους αριθμούς τηλεφώνου του κατόχου της συνδρομής που χρησιμοποιήθηκε για τη διάπραξη του αδικήματος της προσβολής δικαιωμάτων πνευματικής ιδιοκτησίας.
35. Η Hadopi μπορεί να απευθύνει «σύσταση» με την οποία ενημερώνει το εν λόγω πρόσωπο ότι η πρόσβασή του στο διαδίκτυο χρησιμοποιήθηκε κατά τρόπο που προσβάλλει το δικαίωμα πνευματικής ιδιοκτησίας, προτρέπει δε το πρόσωπο αυτό, για το οποίο υπάρχουν υπόνοιες ότι παρέβη την υποχρέωσή του επιμέλειας όσον αφορά τον σεβασμό στο διαδίκτυο των έργων που προστατεύονται με δικαίωμα πνευματικής ιδιοκτησίας ή συγγενικό δικαίωμα, να συμμορφωθεί προς την υποχρέωσή του. Με άλλα λόγια, η σύσταση απευθύνεται στον δικαιούχο της πρόσβασης στο διαδίκτυο, ο οποίος μπορεί, στην πράξη, να είναι πρόσωπο διαφορετικό από εκείνο που διέθεσε το έργο στο κοινό διαπράττοντας το αδίκημα της προσβολής δικαιωμάτων πνευματικής ιδιοκτησίας. Σε περίπτωση νέας διαπίστωσης παραποίησης/απομίμησης μέσω της ίδιας πρόσβασης στο διαδίκτυο μπορεί να εκδοθεί δεύτερη σύσταση. Σε περίπτωση περαιτέρω επαναλήψεων, η επιτροπή προστασίας δικαιωμάτων της Hadopi μπορεί να αποφασίσει να προσφύγει στην procureur de la République (εισαγγελική αρχή) για την άσκηση ποινικής δίωξης. Συναφώς, όπως διευκρίνισε η Γαλλική Κυβέρνηση με τις πρώτες παρατηρήσεις της, οι υπάλληλοι της Hadopi που είναι επιφορτισμένοι με την εφαρμογή του μηχανισμού κλιμακούμενης απάντησης είναι ορκωτοί υπάλληλοι εξουσιοδοτημένοι από τον πρόεδρο της Hadopi, οι οποίοι δεσμεύονται από το επαγγελματικό απόρρητο και είναι τα μόνα πρόσωπα, εντός της Hadopi, τα οποία είναι εξουσιοδοτημένα να έχουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία στο πλαίσιο του εν λόγω μηχανισμού.
36. Διευκρινίζω επ’ αυτού τα δεδομένα που συλλέγονται και διαβιβάζονται στη Hadopi δεν είναι τα δεδομένα του συνόλου των χρηστών των διομότιμων δικτύων, όταν αυτοί περιορίζονται στην τηλεφόρτωση τέτοιου περιεχομένου (11), αλλά μόνον τα δεδομένα προσώπων που έθεσαν στη διάθεση του κοινού περιεχόμενο το οποίο προσβάλλει δικαιώματα πνευματικής ιδιοκτησίας, ήτοι τα δεδομένα προσώπων που αναφόρτωσαν τέτοιο περιεχόμενο.
37. Συγκεκριμένα, ενδεικτικώς, το 2021 η Hadopi έλαβε εκ μέρους των οργανισμών δικαιούχων σχεδόν τέσσερα εκατομμύρια εκθέσεις, απηύθυνε 210 595 πρώτες συστάσεις και 53 564 δεύτερες συστάσεις και προσέφυγε στην εισαγγελική αρχή σε 1 484 περιπτώσεις.
38. Μετά τις ως άνω υπενθυμίσεις, θα καταδείξω τους λόγους για τους οποίους, κατά τη γνώμη μου, ο προμνησθείς μηχανισμός, ο οποίος συνεπάγεται τη διατήρηση δεδομένων ταυτότητας που αντιστοιχούν σε διευθύνσεις IP και την πρόσβαση σε τέτοια δεδομένα, πληροί τις απαιτήσεις της νομολογίας σχετικά με τα εθνικά μέτρα που λαμβάνονται δυνάμει του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58.
Β. Η τήρηση των απαιτήσεων που απορρέουν από τη νομολογία του Δικαστηρίου σχετικά με την ερμηνεία του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58
39. Δεδομένου ότι, στις πρώτες προτάσεις μου, υπενθύμισα τη νομολογία του Δικαστηρίου σχετικά με τη διατήρηση των διευθύνσεων IP που αποδίδονται στην πηγή της σύνδεσης και την πρόσβαση στις εν λόγω διευθύνσεις IP (12), θα επικεντρωθώ, με τις παρούσες προτάσεις, στα στοιχεία που, κατά τη γνώμη μου, βρίσκονται στο επίκεντρο της εν λόγω νομολογίας, ήτοι, αφενός, την απαίτηση περί αναλογικότητας και, αφετέρου, όσον αφορά την πρόσβαση στα συγκεκριμένα δεδομένα, την ενδεχόμενη ανάγκη προηγούμενου ελέγχου από δικαστήριο ή ανεξάρτητη διοικητική αρχή.
1. Επί της αναλογικότητας του επίμαχου μέτρου
40. Προκειμένου να εξακριβωθεί η συμβατότητα με το δίκαιο της Ένωσης μέτρου διατήρησης δεδομένων ταυτότητας που αντιστοιχούν σε ορισμένη διεύθυνση IP ή πρόσβασης σε τέτοια δεδομένα, πρέπει, όπως έχει υπογραμμίσει επανειλημμένως το Δικαστήριο, να πραγματοποιηθεί ο αναγκαίος συγκερασμός των διαφόρων εμπλεκόμενων θεμιτών συμφερόντων και δικαιωμάτων, ήτοι, αφενός, των δικαιωμάτων προστασίας της ιδιωτικής ζωής και προστασίας των δεδομένων προσωπικού χαρακτήρα (13) που κατοχυρώνονται στα άρθρα 7 και 8 του Χάρτη και, αφετέρου, της προστασίας των δικαιωμάτων και ελευθεριών των τρίτων και των δικαιωμάτων που κατοχυρώνονται στα άρθρα 3, 4, 6 και 7 του Χάρτη (14). Επισημαίνεται ότι, στην υπό κρίση υπόθεση, πρέπει να πραγματοποιηθεί επιπροσθέτως συγκερασμός των δικαιωμάτων προστασίας της ιδιωτικής ζωής και προστασίας των δεδομένων προσωπικού χαρακτήρα και του δικαιώματος ιδιοκτησίας που κατοχυρώνεται στο άρθρο 17 του Χάρτη, καθόσον ο μηχανισμός κλιμακούμενης απάντησης έχει ως απώτερο σκοπό την προστασία του δικαιώματος πνευματικής ιδιοκτησίας και των συγγενικών δικαιωμάτων.
41. Συναφώς, το Δικαστήριο διευκρινίζει ότι ο εν λόγω συγκερασμός που πραγματοποιείται δυνάμει του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58 παρέχει στα κράτη μέλη τη δυνατότητα να λαμβάνουν μέτρο που εισάγει παρέκκλιση από την αρχή του απορρήτου εφόσον πρόκειται για «αναγκαίο, κατάλληλο και ανάλογο μέτρο, σε μια δημοκρατική κοινωνία» (η υπογράμμιση δική μου). Στην αιτιολογική σκέψη 11 της εν λόγω οδηγίας διευκρινίζεται ότι ένα τέτοιο μέτρο πρέπει να είναι «αυστηρώς» ανάλογο των προς επίτευξη σκοπών (15).
42. Εξάλλου, σε ολόκληρη τη συλλογιστική του σχετικά με την ερμηνεία του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58, το Δικαστήριο υπενθυμίζει την αρχή της αναλογικότητας και την καθιστά, επομένως, ακρογωνιαίο λίθο της εξέτασης του λαμβανόμενου δυνάμει της συγκεκριμένης διάταξης εθνικού μέτρου περί διατήρησης των δεδομένων προσωπικού χαρακτήρα ή πρόσβασης στα εν λόγω δεδομένα.
43. Από τη διεξοδική ανάλυση της ως άνω συλλογιστικής συνάγεται ότι η αρχή της αναλογικότητας περιλαμβάνει, στο πλαίσιο του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58, πλείονα σκέλη τα οποία αφορούν, αφενός, τη σοβαρότητα της επέμβασης στα θεμελιώδη δικαιώματα, την οποία συνεπάγεται η διατήρηση των δεδομένων κίνησης ή η πρόσβαση στα εν λόγω δεδομένα, και, αφετέρου, την αναγκαιότητα του επίμαχου μέτρου.
44. Όσον αφορά τη διατήρηση των δεδομένων ταυτότητας που αντιστοιχούν σε διευθύνσεις IP ή την πρόσβαση σε τέτοια δεδομένα εκ μέρους της Hadopi, φρονώ ότι τόσο η σοβαρότητα της επέμβασης όσο και ο αναγκαίος χαρακτήρας των επίμαχων δεδομένων θα πρέπει να οδηγήσουν το Δικαστήριο να διαφοροποιήσει τον τρόπο εξέτασης της αναλογικότητας εθνικού μέτρου που λαμβάνεται δυνάμει του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58.
α) Η σχετική σοβαρότητα της επέμβασης στα θεμελιώδη δικαιώματα
45. Από την πάγια νομολογία του Δικαστηρίου προκύπτει σαφώς ότι, κατά την αρχή της αναλογικότητας, η σημασία του σκοπού που επιδιώκεται με μέτρο που λαμβάνεται δυνάμει του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58 πρέπει να τελεί σε συνάρτηση με τη σοβαρότητα της επέμβασης που συνεπάγεται (16).
46. Ειδικότερα, όπως υπογράμμισα στις πρώτες προτάσεις μου, το Δικαστήριο έχει κρίνει ότι σοβαρή επέμβαση στον τομέα της πρόληψης, της διερεύνησης, της διαπίστωσης και της δίωξης ποινικών αδικημάτων μπορεί να δικαιολογηθεί μόνον από σκοπό ο οποίος συνδέεται με την καταπολέμηση της εγκληματικότητας που πρέπει επίσης να χαρακτηρίζεται ως «σοβαρή» (17).
47. Όσον αφορά τις διευθύνσεις IP, το Δικαστήριο επισημαίνει ότι, μολονότι παρουσιάζουν μικρότερο βαθμό ευαισθησίας σε σχέση με τα λοιπά δεδομένα κίνησης, η διατήρηση και η ανάλυσή τους συνιστούν, παρ’ όλα αυτά, σοβαρές επεμβάσεις στα θεμελιώδη δικαιώματα, δεδομένου ότι μπορούν να χρησιμοποιηθούν για την πλήρη ιχνηλάτηση της διαδρομής πλοήγησης του χρήστη του διαδικτύου και, επομένως, για τον λεπτομερή προσδιορισμό του προφίλ του εν λόγω χρήστη και την άντληση ακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή του (18).
48. Στην υπόθεση της κύριας δίκης, η διατήρηση δεδομένων ταυτότητας που αντιστοιχούν σε διευθύνσεις IP και η πρόσβαση στα εν λόγω δεδομένα σκοπούν την καταπολέμηση προσβολών του δικαιώματος πνευματικής ιδιοκτησίας και των συγγενικών δικαιωμάτων. Φρονώ, πάντως, ότι είναι σαφές ότι η καταπολέμηση των εν λόγω προσβολών δεν εμπίπτει στην καταπολέμηση της σοβαρής εγκληματικότητας (19), ακόμη και αν οι προσβολές έχουν μαζικό χαρακτήρα. Επομένως, υφίσταται αναντιστοιχία μεταξύ της σοβαρότητας της επέμβασης στα θεμελιώδη δικαιώματα που συνεπάγεται το επίμαχο μέτρο και του σκοπού που επιδιώκεται με αυτό.
49. Στις πρώτες προτάσεις μου, εκτίμησα ότι, σύμφωνα με τη νομολογία του Δικαστηρίου, η πρόσβαση της Hadopi στα δεδομένα ταυτότητας που αντιστοιχούν σε ορισμένη διεύθυνση IP συνιστά όντως σοβαρή επέμβαση στα θεμελιώδη δικαιώματα. Μολονότι εκτίμησα επίσης ότι η διατήρηση των εν λόγω δεδομένων και η πρόσβαση σε αυτά θα έπρεπε παρ’ όλα αυτά να επιτραπούν στην υπό κρίση υπόθεση, οφείλω, μετά την επ’ ακροατηρίου συζήτηση, να παράσχω μερικές ακόμη διευκρινίσεις.
50. Ο μηχανισμός κλιμακούμενης απάντησης παρέχει στη Hadopi τη δυνατότητα να συσχετίζει την κοινοποιηθείσα από οργανισμούς δικαιούχων διεύθυνση IP προσώπων, για τα οποία υπάρχουν υπόνοιες ότι χρησιμοποίησαν την πρόσβασή τους στο διαδίκτυο για τη διάπραξη προσβολής δικαιώματος πνευματικής ιδιοκτησίας σε διομότιμο δίκτυο, με την ταυτότητα των εν λόγω προσώπων, καθώς και με απόσπασμα του αρχείου που αναφορτώθηκε κατά τρόπο που συνιστά προσβολή δικαιωμάτων πνευματικής ιδιοκτησίας. Όπως επισήμαναν η Επιτροπή και ο ΕΕΠΔ κατά την επ’ ακροατηρίου συζήτηση, τέτοια στοιχεία, μολονότι καθιστούν αναμφίβολα δυνατή την απόκτηση περισσότερων πληροφοριών από την ταυτότητα και μόνον του προσώπου που φέρεται ότι διέπραξε την προσβολή, εντούτοις δεν έχουν ως αποτέλεσμα την άντληση πολύ ακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή του εν λόγω προσώπου. Συγκεκριμένα, όπως επισήμανα στις πρώτες προτάσεις μου (20), γίνεται απλώς και μόνον γνωστή η πρόσβαση σε περιεχόμενο και σε μια συγκεκριμένη χρονική στιγμή, γεγονός το οποίο, αυτό καθεαυτό, δεν παρέχει τη δυνατότητα λεπτομερούς προσδιορισμού του προφίλ του προσώπου που απέκτησε την εν λόγω πρόσβαση.
51. Τούτο συμβαίνει κατά μείζονα λόγο, κατ’ αρχάς, διότι η μεγάλη πλειονότητα των διευθύνσεων IP που κοινοποιούνται στη Hadopi είναι «δυναμικές» διευθύνσεις IP οι οποίες, εκ φύσεως, μεταβάλλονται και αντιστοιχούν σε συγκεκριμένη ταυτότητα μόνον σε μια δεδομένη χρονική στιγμή, η οποία συμπίπτει με τη διάθεση του επίμαχου περιεχομένου στο κοινό. Επομένως, οι διευθύνσεις IP αποκλείουν τη δυνατότητα πλήρους ιχνηλάτησης.
52. Εν συνεχεία, οφείλω να υπογραμμίσω ότι η προστασία των θεμελιωδών δικαιωμάτων στο διαδίκτυο δεν μπορεί να δικαιολογήσει την απαγόρευση πρόσβασης στα δεδομένα που σχετίζονται με τη διεύθυνση IP, το περιεχόμενο του έργου και την ταυτότητα του προσώπου που διέθεσε το έργο στο κοινό κατά τρόπο που συνιστά προσβολή του δικαιώματος πνευματικής ιδιοκτησίας, αλλά αποκλειστικά και μόνον την υποχρέωση ύπαρξης εγγυήσεων όσον αφορά τη διατήρηση των δεδομένων και την πρόσβαση σε αυτά. Φρονώ ότι ένας παραλληλισμός με τον πραγματικό κόσμο θα είναι διαφωτιστικός: πρόσωπο για το οποίο υπάρχουν υπόνοιες ότι διέπραξε κλοπή δεν μπορεί να προβάλει το δικαίωμα προστασίας της ιδιωτικής ζωής του προκειμένου να εμποδίσει τα πρόσωπα που είναι επιφορτισμένα με την άσκηση δίωξης του εν λόγω αδικήματος να λάβουν γνώση του αντικειμένου της κλοπής. Αντιθέτως, το ίδιο πρόσωπο μπορεί, δικαίως, να προβάλει τα θεμελιώδη δικαιώματά του προκειμένου, κατά τη διάρκεια της διαδικασίας, να αποτραπεί η πρόσβαση σε ένα σύνολο δεδομένων ευρύτερο από εκείνο που περιλαμβάνει μόνον τα δεδομένα που είναι αναγκαία για τον χαρακτηρισμό του πιθανολογούμενου αδικήματος.
53. Τέλος, επισημαίνεται ότι, αντίθετα προς όσα υποστηρίζουν οι αιτούσες της κύριας δίκης, ο μηχανισμός κλιμακούμενης απάντησης δεν προϋποθέτει γενικευμένη εποπτεία των χρηστών των διομότιμων δικτύων. Συγκεκριμένα, δεν τίθεται ζήτημα ελέγχου του συνόλου της δραστηριότητάς τους σε συγκεκριμένο δίκτυο, προκειμένου να διαπιστωθεί αν διέθεσαν ένα έργο στο κοινό κατά τρόπο που συνιστά προσβολή του δικαιώματος πνευματικής ιδιοκτησίας, αλλά μάλλον ζήτημα ταυτοποίησης, βάσει ενός αρχείου που διαπιστώθηκε ότι είναι προϊόν παραποίησης/απομίμησης, του κατόχου της πρόσβασης στο διαδίκτυο από την οποία ο χρήστης του διαδικτύου διέθεσε το έργο στο κοινό. Ομοίως, όπως υπογράμμισε ο ΕΕΠΔ κατά την επ’ ακροατηρίου συζήτηση, δεν τίθεται ζήτημα παρακολούθησης της δραστηριότητας όλων των χρηστών των διομότιμων δικτύων, αλλά μόνον της δραστηριότητας των προσώπων που αναφορτώνουν αρχεία τα οποία προσβάλλουν δικαιώματα πνευματικής ιδιοκτησίας, η δε αναφόρτωση δεν αποκαλύπτει στοιχεία σχετικά με την ιδιωτική ζωή καθότι μπορεί να πραγματοποιείται απλώς και μόνον για να παράσχει στους χρήστες του διαδικτύου τη δυνατότητα να μεταφορτώσουν εν συνεχεία άλλα αρχεία.
54. Υπό τις συνθήκες αυτές, οι λόγοι που οδήγησαν το Δικαστήριο στη διαπίστωση ότι η διατήρηση των διευθύνσεων IP και η πρόσβαση στις εν λόγω διευθύνσεις συνιστούν σοβαρή επέμβαση στα θεμελιώδη δικαιώματα δεν έχουν εφαρμογή σε περίπτωση μηχανισμού κλιμακούμενης απάντησης όπως αυτός που εφαρμόζει η Hadopi. Συνεπώς, στο πλαίσιο της εξέτασης της αρχής της αναλογικότητας, η σοβαρότητα της επέμβασης που συνεπάγονται η εν λόγω διατήρηση και η εν λόγω πρόσβαση θα πρέπει να διαφοροποιηθεί ελαφρώς.
55. Με άλλα λόγια, φρονώ ότι η νομολογία του Δικαστηρίου σχετικά με τη σοβαρότητα της επέμβασης στα θεμελιώδη δικαιώματα η οποία προκαλείται λόγω της διατήρησης των διευθύνσεων IP και της πρόσβασης στις εν λόγω διευθύνσεις δεν έχει την έννοια ότι η εν λόγω επέμβαση είναι πάντοτε σοβαρή, αλλά ότι είναι σοβαρή μόνον όταν οι διευθύνσεις IP μπορούν να οδηγήσουν σε πλήρη ιχνηλάτηση της διαδρομής πλοήγησης του χρήστη του διαδικτύου και στην άντληση πολύ ακριβών συμπερασμάτων σχετικά με την ιδιωτική του ζωή.
56. Καθόσον τούτο δεν συμβαίνει σε περίπτωση όπως η επίμαχη στην υπόθεση της κύριας δίκης, συνάγεται ότι η επέμβαση που συνεπάγεται η διατήρηση των δεδομένων ταυτότητας που αντιστοιχούν σε ορισμένη διεύθυνση IP, η οποία χρησιμοποιήθηκε για τη διάθεση περιεχομένου κατά τρόπο που συνιστά προσβολή των δικαιωμάτων πνευματικής ιδιοκτησίας, θα πρέπει να μπορεί να δικαιολογηθεί για έναν σκοπό καταπολέμησης εγκληματικότητας ευρύτερο από την καταπολέμηση της σοβαρής εγκληματικότητας και μόνον.
57. Διευκρινίζεται, επιπλέον, ότι η επέμβαση στα θεμελιώδη δικαιώματα την οποία συνεπάγονται η διατήρηση δεδομένων ταυτότητας που αντιστοιχούν σε διεύθυνση IP και η πρόσβαση σε τέτοια δεδομένα, όπως η επίμαχη στην υπόθεση της κύριας δίκης, δεν καθίσταται σοβαρότερη εξαιτίας του γεγονότος ότι ο δικαιούχος της πρόσβασης στο διαδίκτυο η οποία χρησιμοποιήθηκε για τη διάθεση στο κοινό περιεχομένου που προσβάλλει δικαιώματα πνευματικής ιδιοκτησίας δεν προέβη κατ’ ανάγκην ο ίδιος στην εν λόγω διάθεση στο κοινό, με αποτέλεσμα η σύσταση που απευθύνει η Hadopi να μπορεί να οδηγήσει στην αποκάλυψη, στον εν λόγω δικαιούχο, του επίμαχου περιεχομένου στο οποίο μπορεί να απέκτησε πρόσβαση τρίτος. Αφενός, υπενθυμίζεται ότι το αδίκημα που διερευνά η Hadopi είναι η παράβαση της υποχρέωσης επιμέλειας ώστε η πρόσβαση να μη χρησιμοποιείται για σκοπούς διάθεσης περιεχομένου στο κοινό κατά τρόπο που συνιστά προσβολή δικαιωμάτων πνευματικής ιδιοκτησίας. Επομένως, οι πληροφορίες που καθιστούν δυνατό τον χαρακτηρισμό του αδικήματος πρέπει να διαβιβάζονται στον φερόμενο ως δράστη του. Αφετέρου, όπως προεξέθεσα, φρονώ ότι οι πληροφορίες σχετικά με το επίμαχο έργο δεν καθιστούν δυνατή την άντληση ακριβών συμπερασμάτων για την ιδιωτική ζωή του προσώπου που το έθεσε στη διάθεση του κοινού. Συνεπώς, η ενδεχόμενη διαβίβαση των εν λόγω πληροφοριών στον δικαιούχο της σύνδεσης στο διαδίκτυο δεν βαίνει πέραν του αναγκαίου μέτρου που καθιστά δυνατή τη ποινική δίωξη του αδικήματος της προσβολής των επίμαχων δικαιωμάτων πνευματικής ιδιοκτησίας.
β) Ο αναγκαίος χαρακτήρας των επίμαχων δεδομένων για τη διαπίστωση και τη δίωξη αδικήματος
58. Επομένως, προκειμένου να διασφαλίζεται ο αναλογικός χαρακτήρας ενός μέτρου διατήρησης δεδομένων κίνησης και πρόσβασης σε τέτοια δεδομένα, όπως δεδομένων ταυτότητας που αντιστοιχούν σε ορισμένη διεύθυνση IP, το οποίο λαμβάνεται δυνάμει του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58, πρέπει, κατά τη νομολογία του Δικαστηρίου, η επέμβαση που συνεπάγεται το εν λόγω μέτρο να περιορίζεται στον απολύτως αναγκαίο βαθμό ώστε να καθίσταται δυνατή η επίτευξη του επιδιωκόμενου σκοπού (21). Τούτο ακριβώς συμβαίνει όσον αφορά το επίμαχο στην υπόθεση της κύριας δίκης μέτρο.
59. Όπως υπογράμμισα στις πρώτες προτάσεις μου (22), από τη νομολογία του Δικαστηρίου προκύπτει ότι, σε περίπτωση αδικήματος το οποίο έχει τελεστεί αποκλειστικά στο διαδίκτυο, όπως είναι η προσβολή δικαιωμάτων πνευματικής ιδιοκτησίας σε διομότιμο δίκτυο, η διεύθυνση IP μπορεί να συνιστά το μόνο μέσο έρευνας το οποίο καθιστά δυνατή την ταυτοποίηση του προσώπου στο οποίο είχε αποδοθεί η συγκεκριμένη διεύθυνση κατά τον χρόνο τέλεσης του αδικήματος (23). Ως εκ τούτου, φρονώ ότι η διατήρηση δεδομένων ταυτότητας που αντιστοιχούν σε διευθύνσεις IP και η πρόσβαση στα εν λόγω δεδομένα με σκοπό τη διαπίστωση και τη δίωξη των προσβολών δικαιώματος πνευματικής ιδιοκτησίας που διαπράττονται στο διαδίκτυο είναι, σύμφωνα με τη νομολογία, απολύτως αναγκαία για την επίτευξη του επιδιωκόμενου σκοπού.
60. Είναι αληθές ότι κάθε απαίτηση προστασίας των δεδομένων προσωπικού χαρακτήρα συνεπάγεται περιορισμό των εξουσιών έρευνας. Τούτο προκύπτει από την ίδια την αρχή του συγκερασμού αντικρουόμενων συμφερόντων και το συμπέρασμα αυτό δεν είναι, αυτό καθεαυτό, αμφισβητήσιμο. Εντούτοις, εάν η διεύθυνση IP συνιστά το μόνο μέσο ταυτοποίησης του προσώπου για το οποίο υπάρχουν υπόνοιες ότι διέπραξε αδίκημα προσβολής δικαιωμάτων διανοητικής ιδιοκτησίας στο διαδίκτυο, η περίπτωση αυτή διαφέρει από την πλειονότητα των ποινικών διώξεων, σε σχέση με τις οποίες το Δικαστήριο επισημαίνει ότι «η αποτελεσματικότητα […] εξαρτάται γενικώς όχι από ένα μόνο μέσο έρευνας, αλλά από όλα τα μέσα έρευνας που διαθέτουν οι αρμόδιες εθνικές αρχές προς τον σκοπό αυτόν» (24). Εάν γινόταν δεκτό ότι δεν θα πρέπει να επιτρέπεται η διατήρηση των δεδομένων ταυτότητας που αντιστοιχούν σε διευθύνσεις IP και η πρόσβαση στα εν λόγω δεδομένα σε περίπτωση όπως η επίμαχη στην υπόθεση της κύριας δίκης, τούτο δεν θα κατέληγε απλώς και μόνον, όπως συμβαίνει με κάθε μέτρο που διασφαλίζει την προστασία των δεδομένων κίνησης, σε περιορισμό των εξουσιών έρευνας, αλλά σε στέρηση από τις εθνικές αρχές του μόνου μέσου διαπίστωσης και δίωξης ορισμένων αδικημάτων.
61. Με άλλα λόγια, κατά την ερμηνεία του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58 που προτείνω, δεν τίθεται ζήτημα να επιτρέπεται, μέσω της εξέτασης της αναγκαιότητας τέτοιου μέτρου, η διατήρηση δεδομένων και η πρόσβαση σε δεδομένα που απλώς διευκολύνουν τη διαπίστωση και τη δίωξη αδικημάτων, όταν τα εν λόγω αδικήματα μπορούν επίσης να διαπιστωθούν και να διωχθούν με παράλληλα μέτρα, ακόμη και αν αυτά είναι λιγότερο αποτελεσματικά. Αντιθέτως, το ζήτημα που τίθεται είναι να επιτρέπεται η διατήρηση των εν λόγω δεδομένων και η πρόσβαση σε αυτά όταν τα επίμαχα δεδομένα είναι αναγκαία για την ταυτοποίηση του προσώπου για το οποίο υπάρχουν υπόνοιες ότι διέπραξε αδίκημα το οποίο δεν θα μπορούσε να διωχθεί χωρίς τα εν λόγω μέτρα, λόγω του ότι τα επίμαχα δεδομένα συνιστούν το μόνο μέσο ταυτοποίησης του χρήστη του διαδικτύου καθόσον το αδίκημα διαπράττεται αποκλειστικά και μόνον στο διαδίκτυο.
62. Κατ’ εμέ, η ως άνω ερμηνεία καθίσταται επιβεβλημένη, διότι άλλως δεν θα μπορούσε ποτέ να ασκηθεί ποινική δίωξη για ορισμένα ποινικά αδικήματα (25).
63. Κατά τη γνώμη μου, από το σύνολο των προεκτεθέντων προκύπτει ότι εθνική νομοθεσία η οποία επιτρέπει τη διατήρηση από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών δεδομένων ταυτότητας που αντιστοιχούν σε διευθύνσεις IP και την πρόσβαση εκ μέρους διοικητικής αρχής στα δεδομένα αυτά είναι απολύτως αναλογική προς τον επιδιωκόμενο σκοπό, ήτοι τη δίωξη προσβολών δικαιώματος πνευματικής ιδιοκτησίας και συγγενικών δικαιωμάτων οι οποίες διαπράττονται στο διαδίκτυο, στο μέτρο που η σοβαρότητα της επέμβασης που συνεπάγονται στα θεμελιώδη δικαιώματα είναι περιορισμένη και καθόσον τα εν λόγω δεδομένα συνιστούν το μόνο μέσο έρευνας που καθιστά δυνατή την ταυτοποίηση του προσώπου στο οποίο είχε αποδοθεί η διεύθυνση αυτή κατά τον χρόνο τέλεσης του αδικήματος.
64. Ως εκ τούτου, εκτιμώ ότι το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58 έχει την έννοια ότι δεν αντιτίθεται σε τέτοια νομοθεσία.
2. Επί της υπάρξεως κατάλληλων ουσιαστικών και διαδικαστικών εγγυήσεων
65. Όσον αφορά ειδικότερα την πρόσβαση σε δεδομένα ταυτότητας που αντιστοιχούν σε διευθύνσεις IP, από τη νομολογία του Δικαστηρίου συνάγεται ότι ο αυστηρά αναλογικός χαρακτήρας του μέτρου δεν αρκεί, αφ’ εαυτού, προκειμένου το μέτρο να καθίσταται συμβατό με το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58.
66. Συγκεκριμένα, προκειμένου να διασφαλίζεται ότι η πρόσβαση σε δεδομένα κίνησης και θέσης περιορίζεται στον απολύτως αναγκαίο βαθμό, το Δικαστήριο έχει κρίνει ότι είναι απαραίτητο η εν λόγω πρόσβαση να εξαρτάται από τη διενέργεια προηγούμενου ελέγχου από δικαστήριο ή ανεξάρτητη διοικητική οντότητα που διαθέτει όλες τις αρμοδιότητες και παρέχει όλες τις αναγκαίες εγγυήσεις ώστε να διασφαλίζεται ο συγκερασμός των επίμαχων εμπλεκομένων θεμιτών συμφερόντων και δικαιωμάτων (26).
67. Επομένως, μια στενή ερμηνεία της νομολογίας θα κατέληγε στο συμπέρασμα ότι η πρόσβαση εκ μέρους της Hadopi στα δεδομένα ταυτότητας που αντιστοιχούν στις διευθύνσεις IP των προσώπων για τα οποία υπάρχουν υπόνοιες ότι διέπραξαν το αδίκημα της προσβολής δικαιωμάτων πνευματικής ιδιοκτησίας στο διαδίκτυο θα πρέπει να εξαρτάται από τέτοιο προηγούμενο έλεγχο, ο οποίος δεν προβλέπεται στον υφιστάμενο μηχανισμό κλιμακούμενης απάντησης.
68. Εντούτοις, όπως υποστήριξε η Ιρλανδική Κυβέρνηση κατά την επ’ ακροατηρίου συζήτηση και όπως επισήμανα στις πρώτες προτάσεις μου, φρονώ ότι η απαίτηση προηγούμενου ελέγχου από δικαστήριο ή ανεξάρτητη διοικητική οντότητα δεν είναι συστηματική απαίτηση, αλλά εξαρτάται από τη συνολικότερη εξέταση του επίμαχου μέτρου με συνεκτίμηση τόσο της σοβαρότητας της επέμβασης που συνεπάγεται το εν λόγω μέτρο όσο και τις εγγυήσεις που προβλέπει.
69. Συγκεκριμένα, υπογραμμίζεται ότι, σε καθεμία από τις αποφάσεις με τις οποίες επισημάνθηκε η απαίτηση διενέργειας προηγούμενου ελέγχου από δικαστήριο ή ανεξάρτητη διοικητική οντότητα, αμφισβητούνταν εθνικές νομοθεσίες οι οποίες επέτρεπαν την πρόσβαση στο σύνολο των δεδομένων κίνησης και θέσης των χρηστών σε σχέση με όλα τα μέσα ηλεκτρονικών επικοινωνιών των χρηστών (27) ή, τουλάχιστον, με τη σταθερή και κινητή τηλεφωνία (28) ταυτοποιημένων χρηστών.
70. Από τα ανωτέρω συμπεραίνω ότι η απαίτηση τέτοιου προηγούμενου ελέγχου υπαγορεύεται από τη σοβαρότητα της επίμαχης στις σχετικές υποθέσεις επέμβασης. Όπως υπογράμμισε το Δικαστήριο, επρόκειτο για δεδομένα τα οποία «μπορεί πράγματι να παρέχ[ουν] τη δυνατότητα να συνάγονται ακριβή συμπεράσματα, ή και ιδιαίτερα ακριβή συμπεράσματα, σε σχέση με την ιδιωτική ζωή των προσώπων […], όπως είναι οι καθημερινές συνήθειες, οι μόνιμοι ή οι προσωρινοί τόποι διαμονής, οι καθημερινές και άλλες μετακινήσεις, οι ασκούμενες δραστηριότητες, οι κοινωνικές σχέσεις των προσώπων αυτών και τα κοινωνικά περιβάλλοντα στα οποία τα πρόσωπα αυτά συχνάζουν» (29). Επιπλέον, οι αποφάσεις αφορούσαν τα δεδομένα ταυτοποιημένων προσώπων για τα οποία υπήρχαν υπόνοιες βάσει άλλων στοιχείων ότι διέπραξαν αδίκημα και, επομένως, τα επίμαχα δεδομένα παρείχαν τη δυνατότητα επιβεβαίωσης των επιβαρυντικών στοιχείων εις βάρος εκάστου χρήστη επεκτείνοντας το εύρος των δεδομένων που τον αφορούσαν.
71. Όσον αφορά, όμως, την επίμαχη στην υπόθεση της κύριας δίκης νομοθεσία, όπως υπογράμμισα, η σοβαρότητα της επέμβασης που συνεπάγεται η συσχέτιση δεδομένων ταυτότητας και διεύθυνσης IP είναι πολύ μικρότερη από τη σοβαρότητα της επέμβασης που προκύπτει από την πρόσβαση στο σύνολο των δεδομένων κίνησης και θέσης ενός προσώπου, στο μέτρο που η εν λόγω συσχέτιση δεν παρέχει κανένα στοιχείο από το οποίο να μπορούν να αντληθούν ακριβή συμπεράσματα για την ιδιωτική ζωή του προσώπου.
72. Επιπλέον, όπως επισήμανα με τις πρώτες προτάσεις μου (30), τα επίμαχα δεδομένα αφορούν μόνον τα πρόσωπα τα οποία, κατόπιν αντικειμενικής διαπίστωσης από τους οργανισμούς δικαιούχων ότι χρησιμοποίησαν τη διεύθυνση IP κατά τρόπο που προσβάλλει δικαιώματα πνευματικής ιδιοκτησίας, τέλεσαν πράξεις οι οποίες μπορεί να στοιχειοθετούν παράβαση της υποχρέωσης επιμέλειας που προβλέπεται στο άρθρο L.336-3 του CPI. Τα συγκεκριμένα πρόσωπα δεν ταυτοποιούνται εκ των προτέρων με άλλα μέσα, καθώς η συσχέτιση της διεύθυνσης IP με τα δεδομένα ταυτότητας είναι το μόνο μέσο ταυτοποίησης των προσώπων αυτών. Επομένως, η πρόσβαση στα εν λόγω δεδομένα δεν επιτρέπει την απόκτηση συμπληρωματικών και ακριβών πληροφοριών σχετικά με τη δραστηριότητα προσώπων για τα οποία υπήρχαν υπόνοιες βάσει άλλων στοιχείων –όπως συνέβαινε στις υποθέσεις επί των οποίων αποφάνθηκε παλαιότερα το Δικαστήριο–, αλλά επιτρέπει μόνον την αξιοποίηση της διεύθυνσης IP, η οποία στερείται άλλως σημασίας. Υπό τις συνθήκες αυτές, τα δεδομένα στα οποία έχει πρόσβαση η Hadopi είναι εν τοις πράγμασι περιορισμένα.
73. Κατά τη γνώμη μου, υπάρχει θεμελιώδης διαφορά μεταξύ, αφενός, της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα που αφορούν πρόσωπο για το οποίο υπάρχουν υπόνοιες ότι διέπραξε αδίκημα, με σκοπό να αποδειχθεί η ενοχή του, και, αφετέρου, της παροχής της δυνατότητας αποκάλυψης της ταυτότητας του δράστη διαπιστωθείσας παράβασης.
74. Κατ’ εμέ, τούτο συμβαίνει κατά μείζονα λόγο δεδομένου ότι η συλλογή των διευθύνσεων IP στα διομότιμα δίκτυα υπόκειται σε προηγούμενη άδεια η οποία περιορίζεται στα συγκεκριμένα δεδομένα και μόνον και, ως εκ τούτου, η Hadopi δεν κατέχει ποτέ ένα απεριόριστο σύνολο δεδομένων σχετικά με χρήστες του διαδικτύου για τους οποίους υπάρχουν υπόνοιες ότι διέπραξαν το αδίκημα της προσβολής δικαιώματος πνευματικής ιδιοκτησίας στο διαδίκτυο (31).
75. Συνεπώς, η λογική στην οποία βασίζεται η απαίτηση προηγούμενου ελέγχου από δικαστήριο ή ανεξάρτητη διοικητική οντότητα δεν έχει εφαρμογή σε περίπτωση μηχανισμού κλιμακούμενης απάντησης, όπως ο επίμαχος στην υπόθεση της κύριας δίκης, και, ως εκ τούτου, δεν θεωρώ αναγκαία μια τέτοια απαίτηση προκειμένου να διασφαλίζεται ότι η παρέμβαση στα θεμελιώδη δικαιώματα που συνεπάγεται ο εν λόγω μηχανισμός περιορίζεται στον απολύτως αναγκαίο βαθμό.
76. Από το σύνολο των προεκτεθέντων προκύπτει ότι εθνική νομοθεσία η οποία επιτρέπει τη διατήρηση δεδομένων ταυτότητας που αντιστοιχούν σε διευθύνσεις IP και την πρόσβαση στα εν λόγω δεδομένα από ανεξάρτητη διοικητική αρχή, όπως η Hadopi, με σκοπό την ταυτοποίηση των κατόχων των εν λόγω διευθύνσεων για τους οποίους υπάρχουν υπόνοιες ότι είναι υπεύθυνοι για τις προσβολές του δικαιώματος πνευματικής ιδιοκτησίας, χωρίς η εν λόγω πρόσβαση να εξαρτάται από προηγούμενο έλεγχο δικαστηρίου ή ανεξάρτητης διοικητικής οντότητας, τηρεί, in fine, τις αρχές που έχει διαμορφώσει η νομολογία του Δικαστηρίου, οσάκις τα εν λόγω δεδομένα συνιστούν το μόνο μέσο ταυτοποίησης του προσώπου στο οποίο είχε αποδοθεί η διεύθυνση IP κατά τον χρόνο τέλεσης του αδικήματος, και, επομένως, το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58 έχει την έννοια ότι δεν αντιτίθεται σε τέτοια νομοθεσία.
77. Πέραν των ανωτέρω παρατηρήσεων που αφορούν την υπόθεση της κύριας δίκης, πρέπει να διατυπώσω επίσης ορισμένες γενικότερες παρατηρήσεις σχετικά με την αναγκαιότητα εξέλιξης της νομολογίας του Δικαστηρίου κατά τον προεκτεθέντα τρόπο.
Γ. Αναγκαία και περιορισμένη εξέλιξη της νομολογίας
78. Πλείονα στοιχεία συνηγορούν υπέρ της εξειδίκευσης της νομολογίας του Δικαστηρίου σχετικά με τη διατήρηση δεδομένων και την πρόσβαση σε δεδομένα όπως οι διευθύνσεις IP που έχουν συσχετισθεί με δεδομένα ταυτότητας.
79. Κατά πρώτον, και όπως υπογράμμισα (32), στην επίμαχη στην κύρια δίκη περίπτωση, η απόκτηση των δεδομένων ταυτότητας που αντιστοιχούν σε ορισμένη διεύθυνση IP συνιστά το μόνο μέσο έρευνας το οποίο καθιστά δυνατή την ταυτοποίηση του προσώπου στο οποίο είχε αποδοθεί η διεύθυνση αυτή κατά τον χρόνο τέλεσης του επίμαχου αδικήματος.
80. Από τα ανωτέρω προκύπτει κατ’ ανάγκην ότι, αν το Δικαστήριο κρίνει ότι το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58 αντιτίθεται, παρ’ όλα αυτά, στη διατήρηση των επίμαχων δεδομένων και στην πρόσβαση σε αυτά, οι εθνικές αρχές θα στερηθούν εν τοις πράγμασι το μόνο αυτό μέσο ταυτοποίησης και, επομένως, η δίωξη των δραστών του επίμαχου αδικήματος δεν θα καταστεί ποτέ δυνατή (33). Το στοιχείο αυτό με οδήγησε να επισημάνω, στις πρώτες προτάσεις μου, το ενδεχόμενο συστημικής ατιμωρησίας του συγκεκριμένου αδικήματος (34).
81. Ο κίνδυνος συστημικής ατιμωρησίας δεν περιορίζεται σε αδικήματα που προσβάλλουν τα δικαιώματα πνευματικής ιδιοκτησίας τα οποία διαπράττονται στα διομότιμα δίκτυα, αλλά επεκτείνεται, όπως υποστήριξε η Τσεχική Κυβέρνηση κατά την επ’ ακροατηρίου συζήτηση, στο σύνολο των αδικημάτων που τελούνται αποκλειστικά και μόνο στο διαδίκτυο.
82. Συγκεκριμένα, τα αδικήματα των οποίων ο δράστης μπορεί να ταυτοποιηθεί μόνον μέσω της διεύθυνσης IP δεν θα μπορούσαν ποτέ να διωχθούν και οι διατάξεις που προβλέπουν την τιμωρία τους δεν θα μπορούσαν ποτέ να εφαρμοστούν, εάν το Δικαστήριο κρίνει ότι τόσο η διατήρηση των δεδομένων όσο και η πρόσβαση σε αυτά αντιβαίνουν στο δίκαιο της Ένωσης.
83. Συναφώς, επισημαίνεται ότι είναι αληθές, όπως υποστήριξαν οι αιτούσες της κύριας δίκης, ότι οι δράστες ορισμένων αδικημάτων τα οποία διαπράττονται αποκλειστικά και μόνο στο διαδίκτυο θα μπορούσαν, θεωρητικά, να ταυτοποιηθούν με άλλα μέσα. Συγκεκριμένα, οι αιτούσες της κύριας δίκης μνημονεύουν, μεταξύ άλλων, τον αναγνωριστικό κωδικό που χρησιμοποιείται στα κοινωνικά δίκτυα και τα δεδομένα που σχετίζονται με τον λογαριασμό του χρήστη, τη διεύθυνση ηλεκτρονικού ταχυδρομείου, τον αριθμό τηλεφώνου ή ένα στοιχείο σχετικά με την ιδιωτική ζωή του το οποίο ενδέχεται να αποκάλυψε το πρόσωπο. Εντούτοις, προκειμένου να συνδεθούν με την ταυτότητα του χρήστη του διαδικτύου, τα ως άνω στοιχεία απαιτούν διεξοδικές έρευνες κατά τη διάρκεια των οποίων εξετάζεται η δραστηριότητα στο διαδίκτυο του εν λόγω προσώπου. Επομένως, η χρήση τέτοιων μέσων έρευνας, εν αντιθέσει προς τη χρήση μόνον της διεύθυνσης IP, μπορεί να καταστήσει δυνατή την άντληση πολύ ακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή των προσώπων και, επομένως, η διατήρηση των εν λόγω δεδομένων και η πρόσβαση σε αυτά θα αντέβαιναν, υπ’ αυτή την έννοια, στο άρθρο 15, παράγραφος 1, της οδηγίας 2002/58.
84. Υπό τις συνθήκες αυτές, η πρόσβαση σε δεδομένα ταυτότητας που αντιστοιχούν στη διεύθυνση IP χρήστη του διαδικτύου δεν είναι, βεβαίως, θεωρητικά, το μόνο μέσο έρευνας το οποίο καθιστά δυνατή την ταυτοποίηση του κατόχου της εν λόγω διεύθυνσης κατά τον χρόνο τέλεσης του αδικήματος, αλλά είναι αυτό που καθιστά δυνατή τη δίωξή του, συνεπαγόμενο συγχρόνως τη μικρότερη επέμβαση στα θεμελιώδη δικαιώματα του εν λόγω προσώπου και, κατά συνέπεια, την αποφυγή της γενικής ατιμωρησίας.
85. Κατά δεύτερον, υπογραμμίζω εκ νέου ότι η συγκεκριμένη λύση παρέχει, κατά τη γνώμη μου, τη δυνατότητα συγκερασμού δύο νομολογιακών γραμμών του Δικαστηρίου, από τις οποίες προκύπτει κάποια σύγκρουση την οποία έχω προσδιορίσει στις πρώτες προτάσεις μου (35) και με τις προτάσεις μου στην υπόθεση M.I.C.M. (36), ήτοι, αφενός, της νομολογίας σχετικά με τη διατήρηση των δεδομένων και την πρόσβαση σε αυτά και, αφετέρου, της νομολογίας σχετικά με την κοινοποίηση των διευθύνσεων IP που αποδίδονται στην πηγή της σύνδεσης στο πλαίσιο των αγωγών για την προστασία των δικαιωμάτων διανοητικής ιδιοκτησίας που ασκούνται από ιδιώτες.
86. Κατά τρίτον, μολονότι ευπρόσδεκτη, καθόσον κατέστησε δυνατή τη θέσπιση ενός πλαισίου προστασίας των θεμελιωδών δικαιωμάτων των χρηστών υπηρεσιών ηλεκτρονικών επικοινωνιών, η νομολογία του Δικαστηρίου από τον χρόνο έκδοσης των αποφάσεων Tele2 και La Quadrature du Net κ.λπ. και εντεύθεν χαρακτηρίζεται εντούτοις σε κάποιον βαθμό από περιπτωσιολογική προσέγγιση. Συγκεκριμένα, το Δικαστήριο, επιλαμβανόμενο νέων υποθέσεων, εξειδίκευσε σταδιακά τη νομολογία του κατά τρόπο ο οποίος του παρέχει τη δυνατότητα να εξετάζει διάφορες εθνικές νομοθεσίες υπό το πρίσμα του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58. Εντούτοις, το Δικαστήριο δεν μπορεί να προβλέψει όλα τα μέτρα τα οποία θα μπορούσαν να αποτελέσουν αντικείμενο ανάλυσης υπό το πρίσμα της εν λόγω διάταξης. Τούτο μαρτυρεί, εξάλλου, το πλήθος των αιτήσεων προδικαστικών αποφάσεων (37) που έχουν υποβληθεί σχετικά με την εν λόγω διάταξη μετά την απόφαση Tele2, γεγονός το οποίο επιβεβαιώνει, κατά τη γνώμη μου, τη δυσχέρεια που αντιμετωπίζουν τα εθνικά δικαστήρια όσον αφορά την εφαρμογή των αρχών που διατυπώθηκαν στη νομολογία του Δικαστηρίου σε περιπτώσεις διαφορετικές από εκείνες επί των οποίων εκδόθηκαν οι σχετικές αποφάσεις (38).
87. Φρονώ, επομένως, ότι ένας βαθμός ευελιξίας είναι αναγκαίος όταν υποβάλλονται στην κρίση του Δικαστηρίου μέτρα που δεν θα μπορούσαν να προβλεφθούν κατά την έκδοση παλαιότερων αποφάσεων, όπως ρυθμίσεις που αφορούν αδικήματα τα οποία μπορούν να διωχθούν μόνο στο μέτρο που τα δεδομένα ταυτότητας που αντιστοιχούν σε διευθύνσεις IP διατηρούνται και η πρόσβαση σε αυτά επιτρέπεται, τις οποίες το Δικαστήριο δεν είχε έως τώρα την ευκαιρία να εξετάσει.
88. Συνεπώς, δεν τίθεται ζήτημα επανεξέτασης της νομολογίας του Δικαστηρίου, όπως υποστήριξε η Δανική Κυβέρνηση, αλλά αναγνώρισης του γεγονότος ότι, υπό πολύ περιορισμένες συνθήκες, από τις αρχές στις οποίες ερείδεται η εν λόγω νομολογία μπορεί να προκύψει μια ελαφρώς διαφοροποιημένη λύση.
89. Συγκεκριμένα, η ερμηνεία του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58 που προτείνω επιτρέπει τη διατήρηση των δεδομένων ταυτότητας που αντιστοιχούν σε διευθύνσεις IP και την πρόσβαση στα εν λόγω δεδομένα μόνον όσον αφορά τη δίωξη αδικημάτων των οποίων οι δράστες δεν θα μπορούσαν να ταυτοποιηθούν χωρίς τα εν λόγω δεδομένα. Επομένως, η ερμηνεία που προτείνω αφορά αποκλειστικά και μόνον τα αδικήματα που τελούνται στο διαδίκτυο και δεν θέτει υπό αμφισβήτηση τις λύσεις που προέκρινε η νομολογία σχετικά με τη διατήρηση μεγαλύτερου εύρους δεδομένων και την πρόσβαση σε μεγαλύτερου εύρους δεδομένα, οι οποίες επιδιώκουν άλλους σκοπούς.
V. Πρόταση
90. Λαμβανομένου υπόψη του συνόλου των προεκτεθέντων, προτείνω στο Δικαστήριο να απαντήσει στα προδικαστικά ερωτήματα που υπέβαλε το Conseil d’État (Συμβούλιο της Επικρατείας, Γαλλία) ως εξής:
Το άρθρο 15, παράγραφος 1, της οδηγίας 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες), όπως τροποποιήθηκε με την οδηγία 2009/136/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 25ης Νοεμβρίου 2009, ερμηνευόμενο υπό το πρίσμα των άρθρων 7, 8 και 11 καθώς και του άρθρου 52, παράγραφος 1, του Χάρτη των Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης,
έχει την έννοια ότι:
δεν αντιτίθεται σε εθνική νομοθεσία η οποία επιτρέπει τη διατήρηση από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών και την πρόσβαση εκ μέρους διοικητικής αρχής επιφορτισμένης με την προστασία του δικαιώματος πνευματικής ιδιοκτησίας και των συγγενικών δικαιωμάτων σε περιπτώσεις προσβολών των εν λόγω δικαιωμάτων που διαπράττονται μέσω διαδικτύου, η οποία περιορίζεται σε δεδομένα ταυτότητας που αντιστοιχούν σε διευθύνσεις IP, προκειμένου η ως άνω αρχή να μπορεί να ταυτοποιήσει τους κατόχους των εν λόγω διευθύνσεων για τους οποίους υπάρχουν υπόνοιες ότι είναι υπεύθυνοι για τις προσβολές αυτές και να μπορεί να λάβει, ενδεχομένως, μέτρα έναντι αυτών, χωρίς η εν λόγω πρόσβαση να εξαρτάται από προηγούμενο έλεγχο δικαστηρίου ή ανεξάρτητης διοικητικής οντότητας, οσάκις τα εν λόγω δεδομένα συνιστούν το μόνο μέσο έρευνας το οποίο καθιστά δυνατή την ταυτοποίηση των προσώπων στα οποία είχε αποδοθεί η διεύθυνση αυτή κατά τον χρόνο τελέσεως του αδικήματος.
1 Γλώσσα του πρωτοτύπου: η γαλλική.
2 Οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ 2002, L 201, σ. 37), όπως τροποποιήθηκε με την οδηγία 2009/136/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 25ης Νοεμβρίου 2009 (ΕΕ 2009 L 337, σ. 11) (στο εξής: οδηγία 2002/58).
3 Οδηγία του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 24ης Οκτωβρίου 1995, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών (ΕΕ 1995, L 281, σ. 31).
4 JORF της 7ης Μαρτίου 2010, κείμενο αριθ. 19.
5 JORF της 31ης Ιουλίου 2021, κείμενο αριθ. 1. Το συγκεκριμένο κείμενο του άρθρου L. 34‑1 του CPCE, το οποίο ισχύει από την 31η Ιουλίου 2021, εκδόθηκε μετά την απόφαση αριθ. 393099 του Conseil d’État (Συμβουλίου της Επικρατείας) της 21ης Απριλίου 2021 (JORF της 25ης Απριλίου 2021), με την οποία απορρίφθηκε το προηγούμενο κείμενο της εν λόγω διάταξης, το οποίο περιείχε υποχρέωση διατήρησης των δεδομένων προσωπικού χαρακτήρα «για τη διερεύνηση, τη διαπίστωση και τη δίωξη των ποινικών αδικημάτων ή παράβασης της υποχρέωσης που καθορίζεται στο άρθρο L. 336‑3 [του CPI]» με μόνο σκοπό, εφόσον είναι αναγκαίο, τη διάθεση, μεταξύ άλλων, στη Hadopi. Με την απόφαση αριθ. 2021‑976‑977 QPC, της 25ης Φεβρουαρίου 2022 (M. Habib A. et autre), το Conseil constitutionnel (Συνταγματικό Συμβούλιο, Γαλλία) έκρινε αντίθετο με το Γαλλικό Σύνταγμα το ως άνω προηγούμενο κείμενο του άρθρου L. 34‑1 του CPCE με το σκεπτικό, κατ’ ουσίαν, ότι, «επιτρέποντας τη γενική και χωρίς διάκριση διατήρηση των δεδομένων σύνδεσης, οι προσβαλλόμενες διατάξεις επιφέρουν δυσανάλογο πλήγμα στο δικαίωμα σεβασμού της ιδιωτικής ζωής» (σημείο 13). Συγκεκριμένα, το Conseil constitutionnel (Συνταγματικό Συμβούλιο) έκρινε ότι τα δεδομένα σύνδεσης που πρέπει να διατηρούνται δυνάμει των προσβαλλόμενων διατάξεων αφορούν όχι μόνον την ταυτοποίηση των χρηστών των υπηρεσιών ηλεκτρονικών επικοινωνιών, αλλά και άλλα δεδομένα τα οποία, «λαμβανομένων υπόψη της φύσης τους, της ποικιλομορφίας τους και της επεξεργασίας στην οποία μπορεί να υποβληθούν […] παρέχουν πολλές και ακριβείς πληροφορίες σχετικά με τους εν λόγω χρήστες και, ενδεχομένως, σχετικά με τρίτους, οι οποίες θίγουν ιδιαιτέρως την ιδιωτική ζωή τους» (σημείο 11).
6 Την 1η Ιανουαρίου 2022 το Conseil supérieur de l’audiovisuel [Ανώτατο Ραδιοτηλεοπτικό Συμβούλιο (CSA), Γαλλία] και η Hadopi συγχωνεύθηκαν υπό την επωνυμία Autorité de régulation de la communication audiovisuelle et numérique [Ρυθμιστική Αρχή Οπτικοακουστικών και Ψηφιακών Επικοινωνιών (Arcom), Γαλλία]. Εντούτοις, λαμβανομένου υπόψη του χρόνου των πραγματικών περιστατικών της υπόθεσης της κύριας δίκης, στις παρούσες προτάσεις θα γίνεται λόγος για τη Hadopi.
7 Συναφώς, εμμένω επίσης στην πρότασή μου περί αναδιατύπωσης των προδικαστικών ερωτημάτων καθώς και στον τρόπο με τον οποίο αντιλαμβάνομαι το αντικείμενό τους. Συγκεκριμένα, μολονότι στα προδικαστικά ερωτήματα γίνεται μόνον λόγος για πρόσβαση στα δεδομένα ταυτότητας που αντιστοιχούν σε διευθύνσεις IP, το ζήτημα της πρόσβασης στα εν λόγω δεδομένα συνδέεται εντούτοις άρρηκτα με τη διατήρηση των δεδομένων από τους παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών και, επομένως, η εξέταση της συμβατότητας της διατήρησής τους με το δίκαιο της Ένωσης είναι προαπαιτούμενο για την εξέταση της συμβατότητας της πρόσβασης με το δίκαιο της Ένωσης. Επ’ αυτού, βλ. σημεία 45 επ. των πρώτων προτάσεών μου. Ομοίως, μολονότι τα προδικαστικά ερωτήματα αφορούν «τα δεδομένα ταυτότητας που αντιστοιχούν σε ορισμένη διεύθυνση IP», πρέπει να θεωρηθεί ότι αφορούν επίσης την πρόσβαση στις διευθύνσεις IP που καθιστούν δυνατό τον προσδιορισμό της πηγής της σύνδεσης. Επ’ αυτού, βλ. σημεία 41 επ. των πρώτων προτάσεών μου.
8 Απόφαση της 21ης Δεκεμβρίου 2016 (C‑203/15 και C‑698/15, στο εξής: απόφαση Tele2, EU:C:2016:970).
9 Απόφαση της 6ης Οκτωβρίου 2020 (C‑511/18, C‑512/18 και C‑520/18, στο εξής: απόφαση La Quadrature du Net κ.λπ., EU:C:2020:791).
10 Βλ., συναφώς, απόφαση αριθ. 2010‑225 της CNIL, της 10ης Ιουνίου 2010, περί τροποποιήσεως της άδειας για την εφαρμογή από τη Société des auteurs, compositeurs et éditeurs de musique (εταιρία συλλογικής διαχείρισης δικαιωμάτων πνευματικής ιδιοκτησίας, SACEM, Γαλλία) επεξεργασίας δεδομένων προσωπικού χαρακτήρα με σκοπό τη διερεύνηση και τη διαπίστωση των αδικημάτων παραποίησης/απομίμησης που διαπράττονται μέσω των δικτύων ανταλλαγής αρχείων με την ονομασία «peer to peer» (άδεια αριθ. 1425421).
11 Όσον αφορά τη λειτουργία των διομότιμων δικτύων και τα διάφορα χαρακτηριστικά των χρηστών του διαδικτύου στα εν λόγω δίκτυα, βλ. προτάσεις μου στην υπόθεση M.I.C.M. (C‑597/19, EU:C:2020:1063, σημεία 37 επ.).
12 Σημεία 53 επ. των πρώτων προτάσεών μου.
13 Τα δικαιώματα προστασίας της ιδιωτικής ζωής και προστασίας των δεδομένων προσωπικού χαρακτήρα διατυπώνονται, στο πλαίσιο της οδηγίας 2002/58, στις προβλεπόμενες σε αυτή αρχές του απορρήτου των επικοινωνιών και της απαγόρευσης αποθήκευσης των σχετικών δεδομένων.
14 Αποφάσεις La Quadrature du Net κ.λπ. (σκέψεις 120 έως 122, καθώς και 127 και 128), της 5ης Απριλίου 2022, Commissioner of An Garda Síochána κ.λπ. (C‑140/20, στο εξής: απόφαση Commissioner of An Garda Síochána κ.λπ., EU:C:2022:258, σκέψεις 48 και 50), και της 20ής Σεπτεμβρίου 2022, SpaceNet και Telekom Deutschland (C‑793/19 et C‑794/19, στο εξής: απόφαση SpaceNet και Telekom Deutschland, EU:C:2022:702, σκέψεις 63 και 65).
15 Αποφάσεις La Quadrature du Net κ.λπ. (σκέψη 129), Commissioner of An Garda Síochána κ.λπ. (σκέψη 51) και SpaceNet και Telekom Deutschland (σκέψη 66).
16 Αποφάσεις Commissioner of An Garda Síochána κ.λπ. (σκέψη 56) και SpaceNet και Telekom Deutschland (σκέψη 71).
17 Αποφάσεις Tele2 (σκέψη 115), της 2ας Οκτωβρίου 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, σκέψη 56), και της 2ας Μαρτίου 2021, Prokuratuur (Προϋποθέσεις πρόσβασης σε δεδομένα σχετιζόμενα με ηλεκτρονικές επικοινωνίες) (C‑746/18, στο εξής: απόφαση Prokuratuur, EU:C:2021:152, σκέψη 33). Βλ., επίσης, σημείο 92 των πρώτων προτάσεών μου.
18 Βλ. αποφάσεις La Quadrature du Net κ.λπ. (σκέψεις 152 και 153), Commissioner of An Garda Síochána κ.λπ. (σκέψη 73) και SpaceNet και Telekom Deutschland (σκέψη 103). Βλ., επίσης, σημεία 63, 64 και 93 των πρώτων προτάσεών μου.
19 Στις πρώτες προτάσεις μου, επισήμανα ότι η έννοια της «σοβαρής εγκληματικότητας» θα πρέπει να ερμηνεύεται αυτοτελώς ώστε να αποτρέπεται κάθε καταστρατήγηση από τα κράτη μέλη των απαιτήσεων που προβλέπονται στο άρθρο 15, παράγραφος 1, της οδηγίας 2002/58. Εμμένω στη θέση αυτή. Υπογραμμίζω, εντούτοις, ότι, ακόμη και αν το Δικαστήριο κρίνει ότι ο ορισμός της έννοιας της «σοβαρής εγκληματικότητας» επαφίεται στα κράτη μέλη, ο εν λόγω ορισμός πρέπει, εν πάση περιπτώσει, να διατυπωθεί τηρουμένων των ορίων που θέτει το δίκαιο της Ένωσης και δεν μπορεί να επεκταθεί σε σημείο που να καθιστά την εν λόγω διάταξη κενή περιεχομένου.
20 Σημείο 101 των πρώτων προτάσεών μου.
21 Αποφάσεις La Quadrature du Net κ.λπ. (σκέψεις 120 έως 122 και 132), Commissioner of An Garda Síochána κ.λπ. (σκέψεις 48 και 54) και SpaceNet και Telekom Deutschland (σκέψεις 63 και 69).
22 Σημείο 78 των πρώτων προτάσεών μου.
23 Αποφάσεις La Quadrature du Net κ.λπ. (σκέψη 154), Commissioner of An Garda Síochána κ.λπ. (σκέψη 73) και SpaceNet και Telekom Deutschland (σκέψη 100).
24 Απόφαση Commissioner of An Garda Síochána κ.λπ. (σκέψη 69).
25 Σημείο 81 των πρώτων προτάσεών μου. Βλ. επίσης, επ’ αυτού, σημεία 79 επ. των παρουσών προτάσεων.
26 Αποφάσεις Tele2 (σκέψη 120), Prokuratuur (σκέψεις 51 και 52) και Commissioner of An Garda Síochána κ.λπ. (σκέψεις 106 και 107).
27 Αποφάσεις Tele2 και Commissioner of An Garda Síochána κ.λπ.
28 Απόφαση Prokuratuur.
29 Απόφαση Prokuratuur (σκέψη 36).
30 Σημείο 102 των πρώτων προτάσεών μου.
31 Σημείο 33 των παρουσών προτάσεων.
32 Σημείο 59 των παρουσών προτάσεων.
33 Σημείο 62 των παρουσών προτάσεων.
34 Σημεία 78 επ. των πρώτων προτάσεών μου.
35 Σημεία 69 επ. των πρώτων προτάσεών μου.
36 C‑597/19 (EU:C:2020:1063).
37 Αποφάσεις της 2ας Οκτωβρίου 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788), La Quadrature du Net κ.λπ., Prokuratuur, Commissioner of An Garda Síochána κ.λπ. και SpaceNet και Telekom Deutschland.
38 Συναφώς, ο πολλαπλασιασμός των αιτήσεων προδικαστικής αποφάσεως με αντικείμενο την ερμηνεία του άρθρου 15, παράγραφος 1, της οδηγίας 2002/58 μπορεί να υποδηλώνει επίσης κάποιου είδους απροθυμία των εθνικών δικαστηρίων να εφαρμόσουν τις αρχές που διατύπωσε το Δικαστήριο σε περιπτώσεις ελαφρώς διαφορετικές, λόγω των ιδιαιτεροτήτων των εθνικών εννόμων τάξεων. Επ’ αυτού, βλ., μεταξύ άλλων, Cameron, I., «Metadata retention and national security: Privacy international and La Quadrature du Net», Common Market Law Review, 2021, τόμος 58, αριθ. 5, σ. 1433 έως 1471, ή, επίσης, Bertrand, B., «L’audace sans le tact: jusqu’où la Cour de justice peut‑elle aller trop loin?», Dalloz IP/IT, 2021, αριθ. 9, σ. 468 έως 472. Είναι, επομένως, ιδιαίτερα σημαντικό, για τη διατήρηση γόνιμου διαλόγου μεταξύ του Δικαστηρίου και των δικαστηρίων των κρατών μελών, το Δικαστήριο να μπορεί να επιδεικνύει ικανότητα προσαρμογής, όταν οι περιστάσεις το επιτάσσουν. Όπως έχει επισημανθεί στη θεωρία, το υψηλό πρότυπο προστασίας που έχει καθιερωθεί με τη νομολογία του Δικαστηρίου δεν θα είναι πραγματικά αποτελεσματικό εάν δεν το ενστερνιστούν τα εθνικά δικαστήρια τα οποία βρίσκονται στην πρώτη γραμμή εφαρμογής του. Επ’ αυτού, βλ., μεταξύ άλλων, Teyssedre, J., «Strictly regulated retention and access regimes for metadata: Commissioner of An Garda Síochána», Common Market Law Review, τόμος 60, αριθ. 2, 2023, σ. 569 έως 588, και Sirinelli, J., «La protection des données de connexion par la Cour de justice: cartographie d’une jurisprudence européenne inédite», Revue trimestrielle de droit européen, τόμος 57, αριθ. 2, 2021, σ. 313 έως 329.