Conform Hotărârii Curții în cauza C-470/21 | La Quadrature du Net și alții din 30 aprilie 2024 statele membre pot impune furnizorilor de acces la internet o obligație de păstrare generalizată și nediferențiată a adreselor IP pentru combaterea infracțiunilor în general, atât timp cât o astfel de păstrare nu permite să se tragă concluzii precise cu privire la viața privată a persoanei vizate. Acest lucru poate fi realizat prin modalități de păstrare care asigură o separare efectivă ermetică a adreselor IP și a altor categorii de date cu caracter personal, în special a datelor de identitate civilă.
Statele membre pot de asemenea, în anumite condiții, să permită accesul autorității naționale competente la datele de identitate civilă care se raportează la adrese IP, cu condiția să se fi asigurat o astfel de păstrare care garantează o separare ermetică a diferitelor categorii de date.
Atunci când, în situații atipice, particularitățile unei proceduri naționale care reglementează un astfel de acces pot permite, prin corelarea datelor și a informațiilor colectate, să se tragă concluzii precise cu privire la viața privată a persoanei vizate, accesul trebuie să facă obiectul unui control prealabil realizat de o instanță sau de o entitate administrativă independentă.
Pentru a acorda protecție operelor protejate printr-un drept de autor sau printr-un drept conex împotriva infracțiunilor săvârșite pe internet, un decret francez a instituit două prelucrări ale datelor cu caracter personal. Prima constă în colectarea, de către organismele ce reprezintă autorii, de adrese IP care par să fi fost utilizate pe site-uri de pair-à-pair pentru săvârșirea de astfel de infracțiuni, precum și în punerea lor la dispoziția Înaltei Autorități pentru Difuzarea Operelor și Protecția Drepturilor pe Internet (Hadopi). A doua cuprinde tocmai stabilirea de către furnizorii de acces la internet care acționează la cererea Hadopi a corespondenței dintre adresa IP și datele de identitate civilă ale titularului acesteia.
Prelucrările de date permit autorității menționate să inițieze împotriva persoanelor identificate o procedură care combină măsuri pedagogice și sancționatorii, ce pot conduce, în cazurile cele mai grave, la o sesizare a parchetului.
Patru asociații de protecție a drepturilor și libertăților pe internet au sesizat Consiliul de Stat francez cu o acțiune în anularea decretului în cauză. Această instanță adresează Curții de Justiție întrebarea dacă prelucrările de date amintite sunt compatibile cu dreptul Uniunii.
Curtea, întrunită în plen, statuează că o păstrare generalizată și nediferențiată de adrese IP nu constituie neapărat o ingerință gravă în drepturile fundamentale. O astfel de păstrare este autorizată atunci când reglementarea națională impune modalități de păstrare care garantează o separare efectivă ermetică a diferitelor categorii de date cu caracter personal și care exclude astfel în mare măsură posibilitatea de a se trage concluzii precise cu privire la viața privată a persoanei vizate.
Curtea precizează de asemenea că dreptul Uniunii nu se opune unei reglementări naționale care permite autorității publice competente, în scopul exclusiv de a identifica persoana bănuită de săvârșirea unei infracțiuni, să aibă acces la datele de identitate civilă corespunzătoare unei adrese IP, păstrate în mod separat și efectiv ermetic de către furnizorii de acces la internet. Statele membre trebuie totuși să se asigure că acest acces nu dă posibilitatea să se tragă concluzii precise cu privire la viața privată a titularilor de adrese IP în discuție. Acest
lucru presupune că trebuie să li se interzică agenților care beneficiază de acest acces să divulge informații cu privire la conținutul fișierelor consultate, să opereze o trasabilitate a parcursului de navigare plecând de la adresele IP și să utilizeze aceste adrese în alte scopuri decât identificarea titularilor lor în vederea adoptării unor eventuale măsuri.
Atunci când accesul la date referitoare la identitatea civilă a utilizatorilor mijloacelor de comunicații electronice are drept unic scop identificarea utilizatorului vizat, un control prealabil al acestui acces din partea unei instanțe sau a unei entități administrative independente nu se impune în măsura în care acest acces constituie o ingerință în drepturile fundamentale care nu poate fi considerată gravă. Acest control trebuie să fie însă prevăzut în cazul în care particularitățile unei proceduri naționale ce reglementează un astfel de acces pot permite, prin corelarea datelor și informațiilor colectate pe parcursul diferitelor etape ale acestei proceduri, să se tragă concluzii precise cu privire la viața privată a persoanei vizate și, prin urmare, să constituie o ingerință gravă în drepturile fundamentale.
Într-o astfel de situație, controlul exercitat de o instanță sau de o unitate administrativă independentă trebuie să intervină înainte de efectuarea acestei corelări, păstrându-se în același timp eficacitatea procedurii respective în special prin permiterea identificării cazurilor de noi posibile repetări ale comportamentului infracțional în cauză.
Decizia CJUE: https://curia.europa.eu/juris/document