Arrest van het Hof (voltallige zitting) van 30 april 2024

Algemene bepalingen inzake de bescherming van persoonsgegevens

Sectorale bepalingen inzake de bescherming van persoonsgegevens

Bepalingen inzake de bescherming van intellectuele-eigendomsrechten

18 Artikel 8 van richtlijn 2004/48/EG van het Europees Parlement en de Raad van 29 april 2004 betreffende de handhaving van intellectuele-eigendomsrechten (PB 2004, L 157, blz. 45, met rectificatie in PB 2004, L 195, blz. 16), met als opschrift „Recht op informatie”, bepaalt:

„1.

De lidstaten dragen er zorg voor dat de bevoegde rechterlijke instanties, tijdens een gerechtelijke procedure wegens inbreuk op een intellectuele-eigendomsrecht, op gerechtvaardigd en redelijk verzoek van de eiser kunnen gelasten dat informatie over de herkomst en de distributiekanalen van de goederen of diensten die inbreuk maken op een intellectuele-eigendomsrecht, wordt verstrekt door de inbreukmaker [...].

2.

De in lid 1 bedoelde informatie omvat naargelang passend is:

1. de naam en het adres van de producenten, fabrikanten, distributeurs, leveranciers en andere eerdere bezitters van de goederen of diensten, alsmede van de beoogde groot- en kleinhandelaren;

[...]

3.

De leden 1 en 2 gelden onverminderd andere regelgeving waarbij:

1. de rechthebbende ruimere rechten op informatie worden toegekend;

2. het gebruik van de krachtens dit artikel medegedeelde informatie in burgerlijke of strafzaken wordt geregeld;

3. de aansprakelijkheid wegens misbruik van het recht op informatie wordt geregeld;

4. de mogelijkheid wordt geboden te weigeren gegevens te verstrekken die de in lid 1 bedoelde persoon zouden dwingen deelname door hemzelf of door naaste verwanten aan een inbreuk op een intellectuele-eigendomsrecht toe te geven; of

5. de bescherming van de vertrouwelijkheid van informatiebronnen of de verwerking van persoonsgegevens wordt geregeld.”

CPI

19 Artikel L. 331‑12 CPI, in de versie die gold op de datum van de door verzoeksters in het hoofdgeding bestreden beslissing, bepaalt:

„De Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet [(hoge autoriteit voor de verspreiding van werken en de bescherming van rechten op het internet; hierna: ‚Hadopi’)] is een onafhankelijke overheidsinstantie. [...]”

20 Artikel L. 331‑13 van dit wetboek bepaalt:

„[Hadopi]:

1° heeft tot taak de ontwikkeling van het legale aanbod te stimuleren en het rechtmatige en onrechtmatige gebruik te observeren van werken en voorwerpen waarop auteursrechten of naburige rechten rusten op elektronische-communicatienetwerken voor de levering van online communicatiediensten aan het publiek;

2° heeft tot taak deze werken en voorwerpen te beschermen tegen inbreuken op die rechten die worden gepleegd op elektronische-communicatienetwerken voor de levering van online communicatiediensten aan het publiek;

[...]”

21 In artikel L. 331‑15 van dit wetboek staat te lezen:

„[Hadopi] bestaat uit een college en een commissie voor bescherming van rechten.

[...]

Bij de uitvoering van hun taken ontvangen de leden van het college en van de commissie voor bescherming van rechten geen instructies van andere organen.”

22 Artikel L. 331‑17, eerste alinea, van dit wetboek bepaalt:

„De commissie voor bescherming van rechten is belast met het nemen van de in artikel L. 331‑25 bedoelde maatregelen.”

23 Artikel L. 331‑21 CPI bepaalt:

„Voor de uitoefening van de taken van de commissie voor bescherming van rechten beschikt [Hadopi] over beëdigde overheidsambtenaren die door [haar] voorzitter gemachtigd zijn onder voorwaarden die zijn vastgesteld in een decreet waarover voorafgaandelijk het advies van de Conseil d’État [(hoogste bestuursrechter, Frankrijk)] is ingewonnen. [...]

De leden van de commissie voor bescherming van rechten en de in de eerste alinea genoemde ambtenaren ontvangen de aan deze commissie voorgelegde zaken onder de in artikel L. 331‑24 vastgestelde voorwaarden. Zij onderzoeken de feiten.

Zij kunnen ten behoeve van de procedure alle documenten verkrijgen ongeacht de drager waarop zij zijn opgeslagen, daaronder begrepen de gegevens die bewaard en verwerkt worden door de exploitanten van elektronische-communicatiediensten overeenkomstig artikel L. 34‑1 van de code des postes et des communications électroniques [(wetboek van posterijen en elektronische communicatie)] en door de dienstverrichters die worden genoemd in artikel 6, lid I, punten 1 en 2, van loi n^o 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique [(wet nr. 2004‑575 van 21 juni 2004 voor het vertrouwen in de digitale economie)].

Zij kunnen ook een afschrift van de in de vorige alinea genoemde documenten ontvangen.

Zij kunnen met name van de exploitanten van elektronische-communicatiediensten de identiteit, het postadres, het e-mailadres en de telefoongegevens verkrijgen van de abonnee van wie de toegang tot openbare online communicatiediensten is gebruikt voor doeleinden van reproductie, weergave, terbeschikkingstelling of mededeling aan het publiek van beschermde werken of voorwerpen zonder toestemming van de houders van de [...] rechten, wanneer deze toestemming wordt vereist.”

24 In artikel L. 331‑24 van dit wetboek wordt bepaald:

„De commissie voor bescherming van rechten handelt op basis van de voorlegging van zaken door beëdigde en gemachtigde ambtenaren [...] die zijn benoemd door:

• regelmatig opgerichte organisaties voor de bescherming van beroepsbelangen;

• organisaties voor collectief beheer;

• het Centre national du cinéma et de l’image animée [(nationaal centrum voor cinematografie en bewegend beeld)].

De commissie voor bescherming van rechten kan ook handelen op basis van informatie die haar door het openbaar ministerie wordt verstrekt.

Feiten die van meer dan zes maanden geleden dateren, mogen niet aan haar worden voorgelegd.”

25 Artikel L. 331‑25 van dit wetboek, dat de zogenoemde „graduated response”-procedure regelt, bepaalt:

„Wanneer de commissie kennis krijgt van feiten die een geval van niet-nakoming kunnen vormen van de in artikel L. 336‑3 [CPI] omschreven verplichting, kan de commissie voor bescherming van rechten de abonnementhouder [...] een aanbeveling sturen waarbij hij wordt gewezen op de bepalingen van artikel L. 336‑3, hem wordt gelast de daarin omschreven verplichting na te komen en hij wordt gewaarschuwd voor de sancties die hij krachtens de artikelen L. 335‑7 en L. 335‑7‑1 riskeert. Deze aanbeveling bevat ook informatie voor de abonnementhouder over het legale aanbod van culturele online inhoud, over het bestaan van veiligheidsmaatregelen om te verhinderen dat de in artikel L. 336‑3 omschreven verplichting niet wordt nagekomen, alsmede over de gevaren die de praktijken waarbij het auteursrecht en naburige rechten niet worden geëerbiedigd, inhouden voor de vernieuwing van artistiek scheppend werk en voor de economie van de culturele sector.

Bij herhaling – binnen een termijn van zes maanden na de in de eerste alinea bedoelde aanbeveling – van de feiten die een geval van niet-nakoming van de verplichting van artikel L. 336‑3 kunnen vormen, kan de commissie langs elektronische weg een nieuwe aanbeveling sturen die dezelfde informatie als de vorige bevat [...]. Zij moet deze aanbeveling vergezeld doen gaan van een brief die tegen ondertekening wordt overhandigd of van enig ander middel waarmee het bewijs kan worden geleverd van de datum van aanbieding van deze aanbeveling.

De krachtens dit artikel verstuurde aanbevelingen vermelden de datum en het tijdstip waarop de feiten die een niet-nakoming van de in artikel L. 336‑3 omschreven verplichting kunnen opleveren, zijn vastgesteld. Zij maken echter de inhoud van de beschermde werken of voorwerpen waarop deze inbreuk betrekking heeft, niet bekend. Zij vermelden de telefoon-, post- en elektronische contactgegevens waar de geadresseerde desgewenst opmerkingen kan indienen bij de commissie voor bescherming van rechten en, indien hij daar uitdrukkelijk om verzoekt, bijzonderheden kan verkrijgen over de inhoud van de beschermde werken of voorwerpen waarop de hem verweten niet-nakoming betrekking heeft.”

26 Artikel L. 331‑29 CPI bepaalt:

„[Hadopi] is bevoegd om een systeem in te voeren voor de geautomatiseerde verwerking van persoonsgegevens die betrekking hebben op personen tegen wie in het kader van deze onderafdeling een procedure is ingesteld.

Dit systeem strekt ertoe dat de commissie voor bescherming van rechten de in deze onderafdeling bedoelde maatregelen neemt, alle daarmee verband houdende proceshandelingen verricht, de regels toepast die betrekking hebben op de informatieverstrekking aan de organisaties voor de bescherming van beroepsbelangen en aan de organisaties voor collectief beheer van de eventuele zaken die aan de rechter zijn voorgelegd, alsmede de in de vijfde alinea van artikel L. 335‑7 bedoelde kennisgevingen doet.

Bij decreet [...] worden de nadere regels voor de toepassing van dit artikel vastgesteld. Hierin wordt met name het volgende gepreciseerd:

• de categorieën van gegevens die worden geregistreerd en hoelang deze gegevens worden bewaard;

• degenen die bevoegd zijn om van deze gegevens kennis te nemen, met name degenen van wie de werkzaamheden bestaan in het aanbieden van toegang tot openbare online communicatiediensten;

• de voorwaarden waaronder belanghebbenden bij [Hadopi] hun recht op toegang tot de hen betreffende gegevens kunnen uitoefenen [...].”

27 Artikel L. 335‑2, eerste en tweede alinea, van dit wetboek preciseert:

„Elke uitgave van geschriften, muziekwerken, tekeningen, schilderijen of andere producties die in strijd met de wetten en voorschriften betreffende de eigendom van auteurs geheel of gedeeltelijk worden gedrukt of gegraveerd, vormt namaak en is bijgevolg een strafbaar feit.

Namaak in Frankrijk van in Frankrijk of in het buitenland gepubliceerde werken wordt bestraft met drie jaar gevangenisstraf en een geldboete van 300 000 EUR.”

28 In artikel L. 335‑4, eerste alinea, van dit wetboek wordt bepaald:

„Elke vastlegging, reproductie, mededeling of terbeschikkingstelling aan het publiek, tegen betaling of kosteloos, of elke televisie-uitzending van een uitvoering, fonogram, videogram, programma of perspublicatie, die zonder de vereiste toestemming van de uitvoerende kunstenaar, de producent van fonogrammen of videogrammen, de onderneming voor audiovisuele communicatie, de persuitgever of het persbureau wordt verricht, wordt bestraft met drie jaar gevangenisstraf en een geldboete van 300 000 EUR.”

29 Artikel L. 335‑7 CPI stelt de regels vast voor de oplegging van de bijkomende straf van opschorting van de toegang tot een openbare online communicatiedienst voor een maximumduur van één jaar aan personen die schuldig zijn aan de in met name de artikelen L. 335‑2 en L. 335‑4 van dit wetboek bedoelde strafbare feiten.

30 Artikel L. 335‑7‑1, eerste alinea, van dit wetboek luidt als volgt:

„Voor overtredingen van de vijfde categorie waarin dit wetboek voorziet, kan, wanneer de verordening daarin voorziet, de in artikel L. 335‑7 gedefinieerde bijkomende straf in geval van grove nalatigheid op dezelfde wijze worden opgelegd aan de houder van een aansluiting op een openbare online communicatiedienst aan wie de commissie voor bescherming van rechten krachtens artikel L. 331‑25 vooraf, door middel van een brief die tegen ondertekening wordt overhandigd of enig ander middel waarmee het bewijs kan worden geleverd van de datum van aanbieding ervan, een aanbeveling heeft gericht om gebruik te maken van een middel om zijn internettoegang te beveiligen.”

31 Artikel L. 336‑3 van dit wetboek bepaalt:

„De houder van een aansluiting op openbare online communicatiediensten moet ervoor zorgen dat deze toegang niet wordt gebruikt voor doeleinden van reproductie, weergave, terbeschikkingstelling of mededeling aan het publiek van door een auteursrecht of naburig recht beschermde werken of voorwerpen zonder toestemming van de [rechthebbenden] [...], wanneer deze toestemming wordt vereist.

Indien de houder van de aansluiting de in de eerste alinea genoemde verplichting niet nakomt, leidt dit niet tot strafrechtelijke aansprakelijk van de betrokkene [...].”

32 In artikel R. 331‑37, eerste alinea, CPI wordt bepaald:

„De [...] exploitanten van elektronische-communicatiediensten en de [...] dienstverrichters zijn verplicht om via een koppeling met het in artikel L. 331‑29 genoemde systeem voor de geautomatiseerde verwerking van persoonsgegevens of door middel van een gegevensdrager die de volledigheid en veiligheid van die gegevens waarborgt, persoonsgegevens en de in punt 2 van de bijlage bij [decreet nr. 2010–236] vermelde informatie mee te delen binnen een termijn van acht dagen die volgt op het tijdstip waarop de commissie voor bescherming van rechten de technische gegevens verstrekt die nodig zijn voor de identificatie van de abonnee van wie de toegang tot openbare online communicatiediensten is gebruikt voor doeleinden van reproductie, weergave, terbeschikkingstelling of mededeling aan het publiek van beschermde werken of voorwerpen zonder toestemming van de houders van de [...] rechten, wanneer deze toestemming wordt vereist.”

33 Artikel R. 331‑40 van dit wetboek luidt:

„Wanneer de commissie voor bescherming van rechten binnen een jaar na het toesturen van de in artikel L. 335‑7‑1, eerste alinea, bedoelde aanbeveling kennis krijgt van nieuwe feiten die een in artikel R. 335‑5 gedefinieerde grove nalatigheid kunnen vormen, deelt zij de abonnee, door middel van een brief die tegen ondertekening wordt overhandigd, mee dat deze feiten aanleiding kunnen geven tot vervolging. Bij deze brief wordt de belanghebbende verzocht binnen vijftien dagen zijn opmerkingen in te dienen. De brief deelt mee dat hij binnen dezelfde termijn kan verzoeken om een hoorzitting overeenkomstig artikel L. 331‑21‑1 en dat hij het recht heeft zich te laten bijstaan door een raadsman. In de brief wordt hij tevens verzocht zijn gezinslasten en inkomsten te preciseren.

De commissie kan de betrokkene op eigen initiatief oproepen voor een hoorzitting. In de oproepbrief wordt erop gewezen dat hij het recht heeft zich te laten bijstaan door een raadsman.”

34 Artikel R. 335‑5 CPI bepaalt:

„I. Er is sprake van grove nalatigheid, die wordt bestraft met een geldboete voor overtredingen van de vijfde categorie, wanneer de houder van een aansluiting op openbare online communicatiediensten, zonder legitieme reden en terwijl aan de in lid II gestelde voorwaarden is voldaan:

1° hetzij geen middel voor de beveiliging van deze toegang heeft aangebracht;

2° hetzij bij het gebruik van dit middel niet de nodige zorgvuldigheid heeft betracht.

II. Het bepaalde in lid I is slechts van toepassing indien aan de volgende twee voorwaarden is voldaan:

1° De houder van de aansluiting heeft krachtens artikel L. 331‑25 en op de in dat artikel bepaalde wijze van de commissie voor bescherming van rechten een aanbeveling ontvangen om een middel voor de beveiliging van zijn toegang aan te brengen, waardoor wordt voorkomen dat deze toegang opnieuw wordt gebruikt voor doeleinden van reproductie, weergave, terbeschikkingstelling of mededeling aan het publiek van door een auteursrecht of naburig recht beschermde werken of voorwerpen zonder toestemming van de houders van de [...] rechten, wanneer deze toestemming wordt vereist;

2° In het jaar dat volgt op deze aanbeveling is deze toegang opnieuw gebruikt voor de in punt 1 van dit lid II genoemde doeleinden.”

35 Met ingang van 1 januari 2022 is Hadopi op grond van loi n^o 2021‑1382, du 25 octobre 2021, relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique (wet nr. 2021‑1382 van 25 oktober 2021 inzake de regeling en bescherming van de toegang tot culturele werken in het digitale tijdperk; JORF nr. 250 van 26 oktober 2021, tekst nr. 2), gefuseerd met de Conseil supérieur de l’audiovisuel [hoge raad voor de audiovisuele sector, (CSA)], een andere onafhankelijke overheidsinstantie, tot de Autorité de régulation de la communication audiovisuelle et numérique [regelgevende instantie voor audiovisuele en digitale communicatie (hierna: „ARCOM”)].

36 De in punt 25 van dit arrest genoemde graduated response-procedure is evenwel in wezen ongewijzigd gebleven, ook al wordt zij thans niet meer uitgevoerd door de commissie voor bescherming van rechten van Hadopi, die bestond uit drie leden die waren benoemd door respectievelijk de Conseil d’État, de Cour des comptes (Franse rekenkamer) en de Cour de cassation (hoogste rechter in burgerlijke en strafzaken, Frankrijk), maar door twee leden van het college van de ARCOM, waarvan het ene is aangewezen door de Conseil d’État en het andere door de Cour de cassation.

Decreet nr. 2010‑236

37 Artikel 1 van decreet nr. 2010‑236, dat met name is vastgesteld op grond van artikel L. 331‑29 CPI, bepaalt:

„Het systeem voor de verwerking van persoonsgegevens genaamd ‚Systeem voor het beheer van maatregelen voor de bescherming van werken op het internet’ heeft tot doel dat de commissie voor bescherming van rechten van [Hadopi]:

1° uitvoering geeft aan de maatregelen waarvan sprake is in boek III van het wetgevende deel van de [CPI] (titel III, hoofdstuk I, afdeling 3, onderafdeling 3) en in boek III van het regelgevende deel van hetzelfde wetboek (titel III, hoofdstuk I, afdeling 2, onderafdeling 2);

2° de feiten die de in de artikelen L. 335‑2, L. 335‑3, L. 335‑4 en R. 335‑5 van hetzelfde wetboek bedoelde inbreuken kunnen opleveren, ter kennis van het openbaar ministerie brengt, alsmede de organisaties voor de bescherming van beroepsbelangen en de organisaties voor collectief beheer op de hoogte stelt van het voorleggen daarvan;

[...]”

38 In artikel 4 van dit decreet wordt bepaald:

„I. De door de voorzitter van [Hadopi] overeenkomstig artikel L. 331‑21 [CPI] gemachtigde beëdigde overheidsambtenaren en de leden van de in artikel 1 bedoelde commissie voor bescherming van rechten hebben rechtstreeks toegang tot de in de bijlage bij dit decreet vermelde persoonsgegevens en informatie.

II. De in punt 2 van de bijlage bij dit decreet genoemde exploitanten van elektronische-communicatiediensten en dienstverrichters zijn adressaten van:

• de technische gegevens die nodig zijn om de abonnee te identificeren;

• de aanbevelingen als bedoeld in artikel L. 331‑25 [CPI] met het oog op de verzending ervan via elektronische weg naar hun abonnees;

• de gegevens die nodig zijn voor de uitvoering van bijkomende straffen van opschorting van de toegang tot een openbare online communicatiedienst die door het openbaar ministerie ter kennis van de commissie voor bescherming van rechten zijn gebracht.

III. De organisaties voor de bescherming van beroepsbelangen en de organisaties voor collectief beheer zijn adressaten van informatie over de zaken die ter kennis van het openbaar ministerie zijn gebracht.

IV. De gerechtelijke autoriteiten zijn de adressaten van de processen-verbaal waarbij feiten die de in de artikelen L. 335‑2, L. 335‑3, L. 335‑4, L. 335‑7, R. 331‑37, R. 331‑38 en R. 335‑5 [CPI] bedoelde inbreuken kunnen opleveren, zijn vastgesteld.

Het geautomatiseerde strafregister wordt in kennis gesteld van de tenuitvoerlegging van de opschortingsstraf.”

39 De bijlage bij dit decreet bepaalt:

„In het verwerkingssysteem dat bekendstaat onder de benaming ‚Systeem voor het beheer van maatregelen voor de bescherming van werken op het internet’ worden de volgende persoonsgegevens en informatie vastgelegd:

1° Persoonsgegevens en informatie afkomstig van rechtmatig opgerichte organisaties voor de bescherming van beroepsbelangen, organisaties voor collectief beheer en het nationaal centrum voor cinematografie en bewegend beeld alsook van het openbaar ministerie:

Wat betreft de feiten die een geval van niet-nakoming van de in artikel L. 336‑3 [CPI] omschreven verplichting kunnen opleveren:

Datum en tijdstip van de feiten;

IP-adres van de betrokken abonnees;

Gebruikt peer-to-peerprotocol;

Door de abonnee gebruikt pseudoniem;

Informatie over de beschermde werken of voorwerpen waarop de feiten betrekking hebben;

Naam van het bestand zoals aanwezig op de computer van de abonnee (indien van toepassing);

Internetprovider bij wie het abonnement is genomen of die de IP-technische middelen heeft geleverd.

[...]

2° Persoonsgegevens en abonnee-informatie die [...] worden verzameld bij exploitanten van elektronische-communicatiediensten en [...] dienstverrichters:

Achternaam, voornamen;

Postadres en e-mailadressen;

Telefoongegevens;

Adres van de telefooninstallatie van de abonnee;

Internetprovider, met gebruikmaking van de technische middelen van de in punt 1 genoemde provider, met wie de abonnee een overeenkomst heeft gesloten;

dossiernummer;

aanvangsdatum van de opschorting van de toegang tot een openbare online communicatiedienst.

[...]”

Wetboek van posterijen en elektronische communicatie

40 Artikel L. 34‑1, II bis, van de Code des postes et des communications électroniques [wetboek van posterijen en elektronische communicatie (CPCE)] bepaalt:

„De exploitanten van elektronische-communicatiediensten zijn verplicht om de volgende gegevens te bewaren:

1° Ten behoeve van strafprocedures, het voorkomen van bedreigingen van de openbare veiligheid en het beschermen van de nationale veiligheid: gegevens betreffende de burgerlijke identiteit van de gebruiker, tot vijf jaar na het verstrijken van de geldigheidsduur van zijn overeenkomst;

2° Voor dezelfde doeleinden als bepaald in punt 1 van dit lid II bis: andere gegevens die door de gebruiker bij het aangaan van de overeenkomst of het aanmaken van een account zijn verstrekt, alsmede gegevens betreffende de betaling, tot één jaar na het verstrijken van de geldigheidsduur van zijn overeenkomst of de opzegging van zijn account;

3° Ten behoeve van de bestrijding van ernstige criminaliteit en zware misdaad, het voorkomen van ernstige bedreigingen van de openbare veiligheid en de bescherming van de nationale veiligheid: technische gegevens waarmee de verbindingsbron kan worden geïdentificeerd of gegevens over de gebruikte eindapparatuur, tot één jaar na de datum van de verbinding of het gebruik van de eindapparatuur.”

Vereisten inzake de bewaring van gegevens betreffende de burgerlijke identiteit en van daarmee overeenkomende IP-adressen door aanbieders van elektronische-communicatiediensten

66 Artikel 15, lid 1, van richtlijn 2002/58 staat de lidstaten toe te voorzien in uitzonderingen op de in artikel 5, lid 1, van deze richtlijn geformuleerde principeverplichting om de vertrouwelijkheid van de persoonsgegevens te waarborgen, en op de met name in de artikelen 6 en 9 van deze richtlijn vermelde overeenkomstige verplichtingen, indien dat in een democratische samenleving een noodzakelijke, redelijke en proportionele maatregel vormt om de nationale veiligheid, de landsverdediging en de openbare veiligheid te waarborgen, of om strafbare feiten of onbevoegd gebruik van het elektronische-communicatiesysteem te voorkomen, te onderzoeken, op te sporen en te vervolgen. Daartoe kunnen de lidstaten onder andere wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren om de redenen die in dit lid worden genoemd. De mogelijkheid om af te wijken van de in de artikelen 5, 6 en 9 van richtlijn 2002/58 vastgestelde rechten en verplichtingen kan echter niet rechtvaardigen dat de uitzondering op de principeverplichting tot waarborging van de vertrouwelijkheid van de elektronische communicatie en van de daarmee verband houdende gegevens en, in het bijzonder, op het verbod om deze gegevens op te slaan – waarin artikel 5 van deze richtlijn uitdrukkelijk voorziet – de regel wordt (arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punten 110 en 111 ).

67 Derhalve moet een op grond van die bepaling vastgestelde wettelijke maatregel daadwerkelijk en strikt berusten op een van de in het voorgaande punt genoemde doelstellingen, aangezien de in artikel 15, lid 1, eerste volzin, van richtlijn 2002/58 gegeven opsomming van doelstellingen exhaustief is, en in overeenstemming zijn met de algemene beginselen van het Unierecht, waaronder het evenredigheidsbeginsel, en met de door het Handvest gewaarborgde grondrechten. In dit verband heeft het Hof reeds geoordeeld dat de door een lidstaat bij een nationale regeling aan aanbieders van elektronische-communicatiediensten opgelegde verplichting om de verkeersgegevens te bewaren teneinde de bevoegde nationale autoriteiten in voorkomend geval toegang tot die gegevens te kunnen geven, niet alleen vragen doet rijzen betreffende de eerbiediging van de artikelen 7 en 8 van het Handvest, die betrekking hebben op, respectievelijk, de bescherming van het privéleven en de bescherming van persoonsgegevens, maar ook betreffende de eerbiediging van artikel 11 van het Handvest, dat betrekking heeft op de vrijheid van meningsuiting (zie in die zin arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punten 112 en 113 ).

68 Bij de uitlegging van artikel 15, lid 1, van richtlijn 2002/58 moet derhalve zowel het belang van het door artikel 7 van het Handvest gewaarborgde recht op eerbiediging van het privéleven als dat van het door artikel 8 van het Handvest gewaarborgde recht op bescherming van persoonsgegevens, zoals dat blijkt uit de rechtspraak van het Hof, in aanmerking worden genomen. Hetzelfde geldt voor het recht op vrijheid van meningsuiting, aangezien dit in artikel 11 van het Handvest gewaarborgde grondrecht een van de wezenlijke grondslagen is van een democratische en pluralistische samenleving, die behoort tot de waarden waarop de Unie volgens artikel 2 VEU is gebaseerd (arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 114 en aldaar aangehaalde rechtspraak).

69 In dit verband dient te worden onderstreept dat de bewaring van verkeers- en locatiegegevens als zodanig behalve een uitzondering op het in artikel 5, lid 1, van richtlijn 2002/58 gestelde verbod op de opslag van die gegevens door anderen dan de gebruikers, ook een inmenging in de in de artikelen 7 en 8 van het Handvest verankerde grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens vormt, waarbij niet van belang is of de gegevens betreffende het privéleven al dan niet gevoelig zijn en of de betrokkenen door die inmenging enig nadeel hebben ondervonden. Het is ook irrelevant of de bewaarde gegevens vervolgens al dan niet worden gebruikt, aangezien de toegang tot die gegevens, ongeacht het latere gebruik ervan, op zichzelf al een inmenging vormt in de in het voorgaande punt genoemde grondrechten (arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punten 115 en 116 ).

70 Dat het de lidstaten op grond van artikel 15, lid 1, van richtlijn 2002/58 is toegestaan om te voorzien in bepaalde uitzonderingsmaatregelen, zoals in herinnering is gebracht in punt 66 van dit arrest, heeft ermee te maken dat de in de artikelen 7, 8 en 11 van het Handvest verankerde rechten geen absolute gelding hebben, maar moeten worden beschouwd in relatie tot hun functie in de samenleving. Zoals blijkt uit artikel 52, lid 1, van het Handvest, staat het Handvest immers beperkingen op de uitoefening van die rechten toe, mits deze beperkingen bij wet worden gesteld, de wezenlijke inhoud van die rechten eerbiedigen en, met inachtneming van het evenredigheidsbeginsel, noodzakelijk zijn en daadwerkelijk beantwoorden aan door de Unie erkende doelstellingen van algemeen belang of aan de eisen van de bescherming van de rechten en vrijheden van anderen (arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punten 120 en 121 ).

71 In casu moet worden opgemerkt dat Hadopi formeel weliswaar alleen toegang heeft tot de met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit, maar dat daartoe eerst door de betrokken aanbieders van elektronische-communicatiediensten een koppeling moet worden gemaakt tussen het IP-adres en de gegevens betreffende de burgerlijke identiteit van de houder van dat adres. Deze toegang veronderstelt dus noodzakelijkerwijs dat de aanbieders over zowel de IP-adressen als de gegevens betreffende de identiteit van de houders ervan beschikken.

72 Bovendien tracht deze overheidsinstantie toegang tot die gegevens te verkrijgen met als enige doel de houder te identificeren van een IP-adres dat is gebruikt voor activiteiten die mogelijk inbreuk maken op auteursrechten of naburige rechten, aangezien hij beschermde werken illegaal op het internet ter beschikking heeft gesteld, opdat anderen deze konden downloaden. In die omstandigheden moeten de gegevens betreffende de burgerlijke identiteit worden geacht nauw verband te houden met zowel het IP-adres als de informatie over het werk dat op het internet ter beschikking is gesteld en waarover Hadopi beschikt.

73 Aan een dergelijke specifieke context mag niet voorbij worden gegaan bij het onderzoek van een eventuele rechtvaardiging van een maatregel tot bewaring van persoonsgegevens uit hoofde van artikel 15, lid 1, van richtlijn 2002/58, uitgelegd in het licht van de artikelen 7, 8 en 11 van het Handvest (zie naar analogie EHRM, 24 april 2018, Benedik tegen Slovenië, CE:ECHR:2018:0424JUD006235714, § 109).

74 In het licht van de vereisten die op het gebied van de bewaring van IP-adressen voortvloeien uit dat artikel 15, lid 1, uitgelegd in het licht van de artikelen 7, 8 en 11 van het Handvest, moet bijgevolg worden onderzocht of de inmenging in de in die artikelen van het Handvest verankerde grondrechten die het gevolg is van de bewaring door aanbieders van openbare elektronische-communicatiediensten van de gegevens waartoe Hadopi het recht van toegang heeft, kan worden gerechtvaardigd.

75 In deze context moet worden opgemerkt dat volgens vaste rechtspraak van het Hof de IP-adressen weliswaar – zoals in herinnering is gebracht in punt 60 van dit arrest – verkeersgegevens in de zin van richtlijn 2002/58 vormen, maar zich onderscheiden van de andere categorieën verkeers- en locatiegegevens.

76 In dit verband heeft het Hof erop gewezen dat IP-adressen los van een bepaalde communicatie worden gegenereerd en primair dienen om via de aanbieders van elektronische-communicatiediensten de eigenaar te identificeren van een eindapparaat waarvandaan via het internet wordt gecommuniceerd. Voor zover bij e-mailverkeer en internettelefonie uitsluitend de IP-adressen van de bron van de communicatie en niet die van de ontvanger ervan worden bewaard, geven die adressen als zodanig geen enkele informatie prijs over de derden die in contact zijn geweest met de persoon die aan de basis ligt van de communicatie. In dat opzicht is deze categorie gegevens van minder gevoelige aard dan de andere verkeersgegevens (zie in die zin arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 152 ).

77 In punt 156 van het arrest van 6 oktober 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791 ), heeft het Hof – ook al heeft het vastgesteld dat IP-adressen minder gevoelig zijn wanneer zij uitsluitend dienen om de gebruiker van een elektronische-communicatiedienst te identificeren – weliswaar geoordeeld dat artikel 15, lid 1, van richtlijn 2002/58 zich verzet tegen de algemene en ongedifferentieerde bewaring van uitsluitend de aan de bron van een verbinding toegewezen IP-adressen voor andere doeleinden dan de bestrijding van zware criminaliteit, het voorkomen van ernstige bedreigingen van de openbare veiligheid of de bescherming van de nationale veiligheid. Om tot die slotsom te komen, heeft het Hof zich evenwel uitdrukkelijk gebaseerd op het feit dat een dergelijke bewaring van IP-adressen een ernstige inmenging inhoudt in de door de artikelen 7, 8 en 11 van het Handvest gewaarborgde grondrechten.

78 Het Hof heeft namelijk in punt 153 van dat arrest geoordeeld dat IP‑adressen – onder meer wanneer zij worden gebruikt om de „volledige zoekgeschiedenis van een internetgebruiker te traceren” en dus om een volledig beeld te krijgen van diens online activiteit – het mogelijk maken om een „gedetailleerd profiel” van de betrokkene op te stellen, waardoor de voor een dergelijke tracking noodzakelijke bewaring en analyse van IP-adressen ernstige inmengingen in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten van de betrokkene vormen, die de gebruikers van elektronischecommuncatiemiddelen ook kunnen ontmoedigen om hun door artikel 11 van het Handvest gewaarborgde vrijheid van meningsuiting uit te oefenen.

79 Niettemin moet worden benadrukt dat niet elke algemene en ongedifferentieerde bewaring van een eventueel uitgebreide verzameling statische en dynamische IP‑adressen die een persoon gedurende een bepaalde periode gebruikt, noodzakelijkerwijs een ernstige inmenging in de door de artikelen 7, 8 en 11 van het Handvest gewaarborgde grondrechten vormt.

80 In dit verband hadden de zaken die hebben geleid tot het arrest van 6 oktober 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791 ), betrekking op nationale regelingen die een bewaarplicht inhielden voor een verzameling gegevens die nodig waren om de datum, het tijdstip, de duur en de aard van die communicatie te bepalen, het gebruikte communicatiemateriaal te identificeren en de eindapparatuur en de communicatie te lokaliseren. Tot die gegevens behoorden in het bijzonder de naam en het adres van de gebruiker, het telefoonnummer van de beller en het gebelde nummer, en het IP-adres voor de internetdiensten. Bovendien leken de betrokken nationale regelingen in twee van die zaken ook te gelden voor de gegevens betreffende het overbrengen van elektronische communicatie via netwerken, die het ook mogelijk maakten om de aard van de online geraadpleegde informatie te bepalen (zie in die zin arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punten 82 en 83 ).

81 De bewaring van IP-adressen in het kader van dergelijke nationale regelingen maakte het dus – gelet op de andere gegevens die volgens deze regelingen moesten worden bewaard en de mogelijkheid om deze verschillende gegevens te combineren – mogelijk om nauwkeurige gevolgtrekkingen te maken over het privéleven van de personen van wie de gegevens waren bewaard, en kon dus leiden tot een ernstige inmenging in de grondrechten die zijn verankerd in de artikelen 7 en 8 van het Handvest, die betrekking hebben op de bescherming van het privéleven en de persoonsgegevens van die personen, en in de grondrechten die zijn verankerd in artikel 11 van het Handvest, dat betrekking heeft op de vrijheid van meningsuiting van die personen.

82 De bij een wettelijke maatregel krachtens artikel 15, lid 1, van richtlijn 2002/58 aan aanbieders van elektronische-communicatiediensten opgelegde verplichting om te zorgen voor een algemene en ongedifferentieerde bewaring van IP-adressen kan daarentegen in voorkomend geval worden gerechtvaardigd door de doelstelling van bestrijding van strafbare feiten in het algemeen, wanneer daadwerkelijk is uitgesloten dat die bewaring kan leiden tot ernstige inmenging in het privéleven van de betrokkene doordat daarover nauwkeurige gevolgtrekkingen kunnen worden gemaakt, onder meer door die IP-adressen te koppelen aan een verzameling verkeers- of locatiegegevens die ook door deze aanbieders zijn bewaard.

83 Bijgevolg moet een lidstaat die aanbieders van elektronische-communicatiediensten wil verplichten tot de algemene en ongedifferentieerde bewaring van IP-adressen teneinde een doel te bereiken dat verband houdt met de bestrijding van strafbare feiten in het algemeen, zich ervan vergewissen dat die gegevens zodanig worden bewaard dat met inachtneming van richtlijn 2002/58 elke combinatie van die IP-adressen met andere bewaarde gegevens wordt uitgesloten, zodat het niet mogelijk is om nauwkeurige gevolgtrekkingen te maken over het privéleven van de personen van wie de gegevens aldus worden bewaard.

84 Om ervoor te zorgen dat een dergelijke combinatie van gegevens op basis waarvan nauwkeurige gevolgtrekkingen kunnen worden gemaakt over het privéleven van de betrokkene, wordt uitgesloten, moet de wijze van bewaring betrekking hebben op de structuur zelf van de bewaring, die in wezen zodanig moet worden ingericht dat een daadwerkelijk volledige scheiding van de verschillende categorieën bewaarde gegevens wordt gegarandeerd.

85 In dit verband staat het weliswaar aan de lidstaat die aanbieders van elektronische-communicatiediensten wil verplichten tot de algemene en ongedifferentieerde bewaring van IP-adressen teneinde een doel te bereiken dat verband houdt met de bestrijding van strafbare feiten in het algemeen, om in zijn wetgeving te voorzien in duidelijke en nauwkeurige regels inzake genoemde wijzen van bewaring, die moeten voldoen aan strikte vereisten, maar kan het Hof deze wijzen nader toelichten.

86 In de eerste plaats moeten de in het vorige punt genoemde nationale regels garanderen dat elke categorie gegevens, met inbegrip van de gegevens betreffende de burgerlijke identiteit en de IP-adressen, volledig gescheiden van de andere categorieën bewaarde gegevens wordt bewaard.

87 In de tweede plaats moeten deze regels waarborgen dat de verschillende categorieën bewaarde gegevens, met name de gegevens betreffende de burgerlijke identiteit, de IP-adressen, de verschillende verkeersgegevens – anders dan IP-adressen – en de verschillende locatiegegevens, technisch volledig van elkaar gescheiden zijn doordat een beveiligd en betrouwbaar IT-instrument wordt gebruikt.

88 In de derde plaats mogen die regels, voor zover zij voorzien in de mogelijkheid om de bewaarde IP-adressen te koppelen aan de burgerlijke identiteit van de betrokkene met inachtneming van de vereisten van artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 van het Handvest, een dergelijke koppeling slechts mogelijk maken met behulp van een efficiënt technisch procedé dat geen afbreuk doet aan de doeltreffendheid van de volledige scheiding van deze categorieën gegevens.

89 In de vierde plaats moet de betrouwbaarheid van deze volledige scheiding regelmatig worden getoetst door een andere overheidsinstantie dan die welke toegang wenst te verkrijgen tot de door de aanbieders van elektronische-communicatiediensten bewaarde persoonsgegevens.

90 Voor zover in de toepasselijke nationale wetgeving is voorzien in dergelijke strikte vereisten met betrekking tot de wijzen van algemene en ongedifferentieerde bewaring van IP-adressen en andere door de aanbieders van elektronische-communicatiediensten bewaarde gegevens, kan de uit deze bewaring van IP-adressen voortvloeiende inmenging niet wegens de structuur zelf van die bewaring als „ernstig” worden aangemerkt.

91 Wanneer een dergelijke wetgeving wordt ingevoerd, sluiten de aldus voorgeschreven wijzen van bewaring van IP-adressen namelijk uit dat deze gegevens kunnen worden gekoppeld aan andere gegevens die met inachtneming van richtlijn 2002/58 worden bewaard, zodat het niet mogelijk is om nauwkeurige gevolgtrekkingen over het privéleven van de betrokkene te maken.

92 Wanneer er sprake is van wetgeving die voldoet aan de in de punten 86 tot en met 89 van dit arrest uiteengezette vereisten, zodat het gegarandeerd wordt uitgesloten dat er nauwkeurige gevolgtrekkingen over het privéleven van de betrokkene kunnen worden gemaakt door gegevens te koppelen, verzet artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 van het Handvest, zich er dus niet tegen dat de betrokken lidstaat een verplichting tot algemene en ongedifferentieerde bewaring van IP-adressen oplegt met het oog op de bestrijding van strafbare feiten in het algemeen.

93 Ten slotte moet dergelijke wetgeving, zoals blijkt uit punt 168 van het arrest van 6 oktober 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791 ), bepalen dat de bewaringstermijn tot het strikt noodzakelijke wordt beperkt en, door het gebruik van duidelijke en nauwkeurige regels, verzekeren dat de betrokken gegevens slechts worden bewaard indien aan de daarvoor geldende materiële en procedurele voorwaarden wordt voldaan, en dat de betrokken personen beschikken over effectieve waarborgen tegen het risico van misbruik en tegen onrechtmatige toegang tot en onrechtmatig gebruik van die gegevens.

94 Het staat aan de verwijzende rechter om na te gaan of de in het hoofdgeding aan de orde zijnde nationale regeling de in de punten 85 tot en met 93 van dit arrest uiteengezette voorwaarden in acht neemt.

Vereisten inzake de toegang tot met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit die worden bewaard door aanbieders van elektronische-communicatiediensten

95 Wat betreft de bestrijding van strafbare feiten vloeit uit de rechtspraak van het Hof voort dat alleen de doelstellingen van bestrijding van zware criminaliteit en van voorkoming van ernstige bedreigingen van de openbare veiligheid een rechtvaardiging vormen voor een ernstige inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten die voortvloeit uit de toegang van overheidsinstanties tot een reeks verkeers- of locatiegegevens die informatie kunnen verschaffen over de communicaties van een gebruiker van een elektronische-communicatiemiddel of over de locatie van de door die gebruiker gehanteerde eindapparatuur en op grond waarvan precieze gevolgtrekkingen kunnen worden gemaakt over de persoonlijke levenssfeer van de betrokkenen, zonder dat andere factoren die de evenredigheid van een verzoek om toegang bepalen, zoals de duur van de periode waarvoor om toegang tot dergelijke gegevens wordt verzocht, tot gevolg kunnen hebben dat de doelstelling van voorkoming, onderzoek, opsporing en vervolging van strafbare feiten in het algemeen een dergelijke toegang rechtvaardigt [arrest van 2 maart 2021, Prokuratuur (Voorwaarden voor toegang tot elektronische-communicatiegegevens), C‑746/18, EU:C:2021:152, punt 35 ].

96 Wanneer daarentegen de inmenging in de in de artikelen 7 en 8 van het Handvest verankerde grondrechten die voortvloeit uit de toegang van overheidsinstanties tot gegevens betreffende de burgerlijke identiteit die worden bewaard door aanbieders van elektronische-communicatiediensten – waarbij die gegevens niet kunnen worden gekoppeld aan informatie over de verrichte communicatie – niet ernstig is aangezien uit die gegevens, in hun geheel beschouwd, geen nauwkeurige gevolgtrekkingen over het privéleven van de betrokken personen kunnen worden gemaakt, kan die toegang worden gerechtvaardigd door de doelstelling van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten in het algemeen (zie in die zin arrest van 2 oktober 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punten 54, 57 en 60).

97 Volgens vaste rechtspraak van het Hof is daarnaast het beginsel van belang dat de toegang tot verkeers- en locatiegegevens op grond van artikel 15, lid 1, van richtlijn 2002/58 enkel kan worden gerechtvaardigd door de doelstelling van algemeen belang met het oog waarop de verplichting tot bewaring van die gegevens aan de aanbieders van elektronische-communicatiediensten is opgelegd, tenzij die toegang wordt gerechtvaardigd door een belangrijkere doelstelling van algemeen belang. Uit dit beginsel vloeit onder meer voort dat een dergelijke toegang met het oog op de bestrijding van strafbare feiten in het algemeen in geen geval kan worden verleend wanneer de bewaring van die gegevens haar rechtvaardiging vindt in de doelstelling van bestrijding van zware criminaliteit of, a fortiori, de doelstelling van bescherming van de nationale veiligheid (zie in die zin arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 166 ).

98 Een dergelijke doelstelling van bestrijding van strafbare feiten in het algemeen kan daarentegen de toegang tot opgeslagen en dus bewaarde verkeers- en locatiegegevens rechtvaardigen voor zover en zolang dat nodig is voor de marketing van de diensten, de facturering en de levering van diensten met toegevoegde waarde, zoals wordt toegestaan door artikel 6 van richtlijn 2002/58 (zie in die zin arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punten 108 en 167 ).

99 In casu blijkt in de eerste plaats uit de in het hoofdgeding aan de orde zijnde nationale regeling dat Hadopi geen toegang heeft tot een „reeks verkeers- of locatiegegevens” in de zin van de in punt 95 van dit arrest in herinnering gebrachte rechtspraak, zodat zij in beginsel geen nauwkeurige gevolgtrekkingen kan maken over het privéleven van de betrokkenen. Wanneer de toegang dergelijke gevolgtrekkingen niet mogelijk maakt, vormt zij geen ernstige inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde rechten.

100 Volgens deze regeling en de door de Franse regering gegeven toelichting op dit onderwerp wordt de aan deze overheidsinstantie verleende toegang namelijk strikt beperkt tot bepaalde gegevens betreffende de burgerlijke identiteit van de houder van een IP-adres en enkel toegestaan met het doel om die houder te identificeren wanneer die wordt verdacht van een activiteit die inbreuk maakt op auteursrechten of naburige rechten, aangezien hij beschermde werken illegaal op het internet ter beschikking heeft gesteld, opdat anderen deze konden downloaden. Met deze toegang wordt in voorkomend geval beoogd ten aanzien van die houder een van de educatieve of repressieve maatregelen vast te stellen waarin is voorzien in het kader van de graduated response-procedure, te weten de verzending van een eerste en een tweede aanbeveling en vervolgens van een brief waarin hem wordt meegedeeld dat deze activiteit een grove nalatigheid kan opleveren en, ten slotte, de melding aan het openbaar ministerie met het oog op de vervolging van deze overtreding of het strafbare feit van namaak.

101 Voorts moet die nationale regeling duidelijke en nauwkeurige regels bevatten die waarborgen dat de in overeenstemming met richtlijn 2002/58 bewaarde IP‑adressen uitsluitend kunnen worden gebruikt om de persoon te identificeren aan wie een bepaald IP-adres is toegewezen, met uitsluiting van gebruik dat het mogelijk maakt om via een of meer van deze adressen toezicht te houden op de onlineactiviteit van de betrokkene. Wanneer een IP-adres dus uitsluitend wordt gebruikt om de houder ervan te identificeren in het kader van een specifieke administratieve procedure die kan leiden tot strafvervolging tegen hem, en niet om bijvoorbeeld de contacten of de locatie van die houder aan het licht te brengen, betreft de toegang tot dat adres voor enkel dat doel, dat adres als een gegeven betreffende de burgerlijke identiteit en niet als verkeersgegeven.

102 Daarnaast volgt uit het beginsel dat is vastgelegd in de vaste rechtspraak die in punt 97 van dit arrest in herinnering is gebracht, dat een toegang zoals die waarover Hadopi krachtens de in het hoofdgeding aan de orde zijnde nationale regeling beschikt en die het doel van de bestrijding van strafbare feiten in het algemeen nastreeft, slechts gerechtvaardigd kan zijn indien zij betrekking heeft op IP‑adressen die door aanbieders van elektronische-communicatiediensten moeten worden bewaard met het oog op hetzelfde doel en niet met het oog op een belangrijkere doelstelling, zoals de bestrijding van zware criminaliteit, zonder evenwel afbreuk te doen aan de toegang die wordt gerechtvaardigd door een dergelijke doelstelling van bestrijding van strafbare feiten in het algemeen, wanneer zij betrekking heeft op IP-adressen die zijn opgeslagen en dus worden bewaard onder de voorwaarden van artikel 6 van richtlijn 2002/58.

103 Zoals blijkt uit de punten 85 tot en met 92 van dit arrest, kan de bewaring van IP‑adressen op basis van een wettelijke maatregel op grond van artikel 15, lid 1, van richtlijn 2002/58 met het oog op de bestrijding van strafbare feiten in het algemeen bovendien gerechtvaardigd zijn wanneer de door de betrokken wetgeving vastgestelde wijzen van bewaring voldoen aan een reeks vereisten die in wezen beogen te verzekeren dat de verschillende categorieën bewaarde gegevens daadwerkelijk volledig van elkaar worden gescheiden, zodat het daadwerkelijk onmogelijk wordt gemaakt om gegevens die tot verschillende categorieën behoren, te koppelen. Wanneer dergelijke wijzen van bewaring aan aanbieders van elektronische-communicatiediensten worden opgelegd, vormt een algemene en ongedifferentieerde bewaring van IP-adressen namelijk geen ernstige inmenging in het privéleven van de houders ervan, aangezien aan de hand van deze gegevens geen nauwkeurige gevolgtrekkingen over hun privéleven kunnen worden gemaakt.

104 Ingeval een dergelijke wettelijke regeling is ingevoerd, kan de toegang tot de bewaarde IP-adressen met het oog op de bestrijding van strafbare feiten in het algemeen – gelet op de in de punten 95 tot en met 97 van dit arrest in herinnering gebrachte rechtspraak – dus gerechtvaardigd zijn in het licht van artikel 15, lid 1, van richtlijn 2002/58 wanneer die toegang is toegestaan met als enige doel de persoon te identificeren die ervan wordt verdacht betrokken te zijn bij dergelijke strafbare feiten.

105 Overigens is het in overeenstemming met de rechtspraak van het Hof over het „recht op informatie” in het kader van een gerechtelijke procedure wegens inbreuk op een intellectuele-eigendomsrecht zoals bedoeld in artikel 8 van richtlijn 2004/48, dat een overheidsinstantie zoals Hadopi toegang krijgt tot gegevens betreffende de burgerlijke identiteit die overeenkomen met een IP-adres dat haar door organisaties van rechthebbenden is toegezonden met als enige doel de identificatie van de houder van dat adres, dat wordt gebruikt voor online activiteiten die inbreuk kunnen maken op auteursrechten of naburige rechten, met het oog op het opleggen van een van de maatregelen waarin in het kader van de graduated response-procedure is voorzien (zie in die zin arrest van 29 januari 2008, Promusicae, C‑275/06, EU:C:2008:54, punten 47 e.v.).

106 Hoewel het Hof heeft benadrukt dat de toepassing van de maatregelen van richtlijn 2004/48 geen afbreuk mag doen aan de AVG en richtlijn 2002/58, heeft het in het kader van deze rechtspraak namelijk geoordeeld dat artikel 8, lid 3, van richtlijn 2004/48, gelezen in samenhang met artikel 15, lid 1, van richtlijn 2002/58 en artikel 7, onder f), van richtlijn 95/46, zich er niet tegen verzet dat de lidstaten aan aanbieders van elektronische-communicatiediensten de verplichting opleggen om persoonsgegevens aan particulieren door te geven met het oog op de civielrechtelijke vervolging van inbreuken op het auteursrecht, maar de lidstaten evenmin voorschrijft, in een dergelijke verplichting te voorzien (zie in die zin arrest van 17 juni 2021, M.I.C.M, C‑597/19, EU:C:2021:492, punten 124 en 125 en aldaar aangehaalde rechtspraak).

107 In de tweede plaats mag bij de concrete beoordeling van de mate van inmenging in het privéleven door de toegang van een overheidsinstantie tot persoonsgegevens niet worden voorbijgegaan aan de specifieke kenmerken van de context waarin die toegang plaatsvindt, en in het bijzonder aan alle gegevens en informatie die krachtens de toepasselijke nationale regeling aan die instantie zijn meegedeeld, waaronder reeds bestaande inhoudelijk veelzeggende gegevens en informatie (zie naar analogie EHRM, 24 april 2018, Benedik tegen Slovenië, CE:ECHR:2018:0424JUD006235714, § 109).

108 In casu is het dus van belang dat bij die beoordeling rekening wordt gehouden met het feit dat de organisaties van rechthebbenden overeenkomstig punt 1 van de bijlage bij decreet nr. 2010‑236 onder meer „informatie over de beschermde werken of voorwerpen waarop de feiten betrekking hebben” en, „indien van toepassing”, de „naam van het bestand zoals aanwezig op de computer van de abonnee”, aan Hadopi verzenden, voordat zij toegang krijgt tot de betrokken gegevens betreffende de burgerlijke identiteit.

109 Onder voorbehoud van verificatie door de verwijzende rechter blijkt uit het dossier waarover het Hof beschikt dat de informatie over het betrokken werk, zoals opgenomen in een proces-verbaal dat inhoudelijk onder de beraadslagingen van de CNIL van 10 juni 2010 valt, in wezen beperkt is tot de titel van het betrokken werk en een uittreksel met de naam „chunk”, dat de vorm heeft van een alfanumerieke reeks en niet van een audio- of video-opname van het werk.

110 In dit verband kan in het algemeen niet worden uitgesloten dat een overheidsinstantie die toegang heeft tot een beperkt aantal gegevens betreffende de burgerlijke identiteit van de houder van een IP-adres dat haar door een aanbieder van elektronische-communicatiediensten is meegedeeld met als enige doel die houder te identificeren ingeval dat adres is gebruikt voor activiteiten die inbreuk kunnen maken op auteursrechten of naburige rechten – indien deze toegang wordt gekoppeld aan de analyse van informatie, ook al is die beperkt, over de inhoud van het onrechtmatig op het internet ter beschikking gestelde werk die eerder door de organisaties van rechthebbenden aan die instantie is verstrekt – dankzij deze toegang kennis kan nemen van bepaalde aspecten van het privéleven van die houder, waaronder gevoelige informatie, zoals seksuele geaardheid, politieke opvattingen, godsdienstige, levensbeschouwelijke, maatschappelijke of andere overtuigingen, alsmede de gezondheidstoestand, gegevens die bovendien in het Unierecht bijzondere bescherming genieten.

111 In casu kunnen de beperkte gegevens en informatie waarover Hadopi beschikt door de aard ervan evenwel enkel in atypische situaties mogelijk gevoelige informatie onthullen over aspecten van het privéleven van de betrokkene, die in haar geheel genomen deze overheidsinstantie in staat zou kunnen stellen om nauwkeurige gevolgtrekkingen te maken over zijn privéleven, bijvoorbeeld door een gedetailleerd profiel van hem op te stellen.

112 Dit zou met name het geval kunnen zijn wanneer het IP-adres van een persoon herhaaldelijk of zelfs op grote schaal is gebruikt voor activiteiten die inbreuk maken op auteursrechten of naburige rechten op peer-to-peernetwerken, in verband met specifieke soorten beschermde werken die kunnen worden gegroepeerd op basis van de woorden in hun titels, en die mogelijk gevoelige informatie over aspecten van zijn privéleven kunnen onthullen.

113 Niettemin kan uit verschillende elementen worden afgeleid dat de inmenging in het privéleven van een persoon die ervan wordt verdacht een activiteit te hebben verricht die inbreuk maakt op auteursrechten of naburige rechten, welke inmenging wordt toegestaan door een regeling zoals die welke in het hoofdgeding aan de orde is, in casu niet noodzakelijkerwijs zeer ernstig is. Om te beginnen is de toegang van Hadopi tot de betrokken persoonsgegevens overeenkomstig een dergelijke regeling voorbehouden aan een beperkt aantal gemachtigde en beëdigde ambtenaren van deze overheidsinstantie, die overigens overeenkomstig artikel L. 331‑12 CPI een onafhankelijke status heeft. Vervolgens heeft deze toegang enkel tot doel een persoon te identificeren die wordt verdacht van een activiteit die inbreuk maakt op auteursrechten of naburige rechten, wanneer wordt vastgesteld dat vanaf zijn internetaansluiting een beschermd werk onrechtmatig ter beschikking is gesteld. Ten slotte is de toegang van Hadopi tot de betrokken persoonsgegevens strikt beperkt tot de gegevens die voor dat doel noodzakelijk zijn (zie naar analogie EHRM, 17 oktober 2019, López Ribalda e.a. tegen Spanje, CE:ECHR:2019:1017JUD000187413, §§ 126 en 127).

114 Uit het dossier waarover het Hof beschikt, lijkt nog een ander element voort te vloeien dat de inmenging in de grondrechten op bescherming van de persoonlijke levenssfeer en van persoonsgegevens die voortvloeit uit die toegang van Hadopi verder kan verminderen, maar het staat aan de verwijzende rechter om dit na te gaan. Het betreft het feit dat de ambtenaren van Hadopi die toegang hebben tot de betrokken gegevens en informatie krachtens de toepasselijke nationale regeling gehouden zijn aan een geheimhoudingsplicht die hen verbiedt om deze in welke vorm dan ook openbaar te maken – tenzij dit gebeurt om de zaak ter kennis van het openbaar ministerie te brengen – en om deze te gebruiken voor andere doeleinden dan de identificatie van de houder van een IP-adres die wordt verdacht van een activiteit die inbreuk maakt op het auteursrecht of een naburig recht teneinde aan die houder een van de in het kader van de graduated response-procedure ingestelde maatregelen op te leggen (zie naar analogie EHRM, 17 december 2009, Gardel tegen Frankrijk, CE:ECHR:2009:1217JUD001642805, § 70).

115 Indien een nationale regeling voldoet aan de in punt 101 van dit arrest in herinnering gebrachte voorwaarden, kunnen de IP-adressen die worden meegedeeld aan een overheidsinstantie zoals Hadopi het dus niet mogelijk maken om de zoekgeschiedenis van de houder ervan te traceren, hetgeen bevestigt dat de inmenging die voortvloeit uit de toegang van die instantie tot de in het hoofdgeding aan de orde zijnde identificatiegegevens, niet als ernstig kan worden aangemerkt.

116 In de derde plaats zij eraan herinnerd dat, ook al zijn de vrijheid van meningsuiting en de vertrouwelijkheid van persoonsgegevens belangrijke prioriteiten en moeten de gebruikers van telecommunicatie en internetdiensten de verzekering hebben dat hun privacy en hun vrijheid van meningsuiting worden geëerbiedigd, het krachtens het evenredigheidsvereiste van artikel 15, lid 1, eerste volzin, van richtlijn 2002/58 noodzakelijk is om de betrokken rechten en belangen met elkaar te verzoenen, waardoor deze grondrechten niet absoluut zijn. Bij een afweging van de betrokken rechten en belangen moeten deze grondrechten namelijk soms wijken voor andere grondrechten en vereisten van algemeen belang, zoals de bescherming van de openbare orde en het voorkomen van strafbare feiten of de bescherming van de rechten en vrijheden van anderen. Dit is met name het geval wanneer het doorslaggevende belang dat aan die prioriteiten wordt gehecht, de doeltreffendheid van een vooronderzoek kan belemmeren, met name doordat het onmogelijk of uiterst moeilijk wordt om de dader van een strafbaar feit daadwerkelijk te identificeren en hem een sanctie op te leggen (zie naar analogie EHRM, 2 maart 2009, K.U. tegen Finland, CE:ECHR:2008:1202JUD000287202, § 49).

117 In dit kader moet terdege rekening worden gehouden met het feit dat, zoals het Hof reeds heeft geoordeeld, in het geval van online gepleegde strafbare feiten de toegang tot IP-adressen het enige onderzoeksmiddel kan zijn met behulp waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen op het moment waarop dat feit werd gepleegd (zie in die zin arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 154 ).

118 Zoals ook de advocaat-generaal in punt 59 van zijn conclusie van 28 september 2023 in wezen heeft opgemerkt, lijkt deze omstandigheid aan te tonen dat de bewaring van en de toegang tot die adressen met het oog op de bestrijding van online gepleegde strafbare feiten zoals die welke inbreuk maken op auteursrechten of naburige rechten, strikt noodzakelijk zijn om het nagestreefde doel te bereiken en dus voldoen aan het vereiste van evenredigheid van artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van overweging 11 van deze richtlijn en artikel 52, lid 2, van het Handvest.

119 Indien een dergelijke toegang niet zou worden verleend, zou overigens – zoals de advocaat-generaal in wezen heeft benadrukt in de punten 78 tot en met 80 van zijn conclusie van 27 oktober 2022 en in de punten 80 en 81 van zijn conclusie van 28 september 2023 – een reëel risico van systematische straffeloosheid ontstaan, niet alleen voor strafbare feiten die inbreuk maken op auteursrechten of naburige rechten, maar ook voor andere soorten strafbare feiten die online worden gepleegd of waarvan het plegen of voorbereiden wordt vergemakkelijkt door de specifieke kenmerken van het internet. Het bestaan van een dergelijk risico vormt een relevante omstandigheid wanneer in het kader van een afweging van de verschillende betrokken rechten en belangen wordt beoordeeld of een inmenging in de door de artikelen 7, 8 en 11 van het Handvest gewaarborgde rechten een maatregel is die evenredig is aan het doel van bestrijding van strafbare feiten.

120 Het is juist dat de toegang van een overheidsinstantie zoals Hadopi tot gegevens betreffende de burgerlijke identiteit die overeenkomen met het IP-adres waarvandaan het online strafbare feit is gepleegd, niet noodzakelijkerwijs het enige onderzoeksmiddel is dat kan worden gebruikt om de persoon te identificeren die op het tijdstip waarop dat strafbare feit werd gepleegd, de houder van dat adres was. Een dergelijke identificatie kan namelijk ook a priori mogelijk zijn door alle onlineactiviteiten van de betrokkene te onderzoeken, met name door de „sporen” te analyseren die hij op sociale netwerken heeft kunnen achterlaten, zoals de op die netwerken gebruikte inloggegevens of zijn contactgegevens.

121 Zoals de advocaat-generaal in punt 83 van zijn conclusie van 28 september 2023 heeft opgemerkt, is een dergelijk onderzoeksmiddel echter bijzonder ingrijpend, aangezien het nauwkeurige informatie over het privéleven van de betrokkenen kan onthullen. Dit middel zou voor deze personen dus een ernstigere inmenging in de door de artikelen 7, 8 en 11 van het Handvest gewaarborgde rechten inhouden dan de inmenging die voortvloeit uit een regeling zoals die welke in het hoofdgeding aan de orde is.

122 Uit het voorgaande volgt dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich in beginsel niet verzet tegen een nationale regeling waarbij aan een overheidsinstantie die belast is met de bescherming van auteursrechten en naburige rechten tegen op het internet gepleegde inbreuken op deze rechten toegang wordt verleend tot gegevens betreffende de burgerlijke identiteit die volledig gescheiden worden bewaard door de aanbieders van elektronische-communicatiediensten en die overeenkomen met IP-adressen die van te voren zijn verzameld door organisaties van rechthebbenden, met als enige doel dat deze instantie de houders van deze adressen die ervan worden verdacht verantwoordelijk te zijn voor deze inbreuken kan identificeren en eventueel tegen hen kan optreden. In een dergelijk geval moet de toepasselijke nationale regeling de ambtenaren die over die toegang beschikken, verbieden om, ten eerste, informatie over de inhoud van de door die houders geraadpleegde bestanden in welke vorm ook openbaar te maken – tenzij dit gebeurt om de feiten ter kennis van het openbaar ministerie te brengen –, ten tweede, de zoekgeschiedenis van die houders te traceren en, ten derde, deze IP-adressen te gebruiken voor andere doeleinden dan de vaststelling van die maatregelen.

Vereiste van voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit voordat aan een overheidsinstantie toegang wordt verleend tot met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit

123 De vraag rijst evenwel of de toegang van een overheidsinstantie tot met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit tevens moet worden onderworpen aan een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke identiteit.

124 Teneinde in de praktijk de volledige naleving te waarborgen van de voorwaarden die de lidstaten moeten stellen om ervoor te zorgen dat de toegang tot het strikt noodzakelijke beperkt blijft, heeft het Hof in dit verband geoordeeld dat het „van wezenlijk belang” is dat de toegang van de bevoegde nationale autoriteten tot de verkeers- en locatiegegevens wordt onderworpen aan een voorafgaand toezicht door een rechterlijke instantie of door een onafhankelijke bestuurlijke entiteit [zie in die zin arresten van 21 december 2016, Tele2 Sverige en Watson e.a., C‑203/15 en C‑698/15, EU:C:2016:970, punt 120 ; 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 189 ; 2 maart 2021, Prokuratuur (Voorwaarden voor toegang tot elektronische-communicatiegegevens), C‑746/18, EU:C:2021:152, punt 51 , en  5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 106 ].

125 In de eerste plaats vereist die voorafgaande toetsing dat de rechterlijke instantie of de onafhankelijke bestuurlijke entiteit die belast is met die toetsing, over alle bevoegdheden beschikt en alle noodzakelijke waarborgen biedt om ervoor te zorgen dat de verschillende betrokken legitieme belangen en rechten met elkaar in overeenstemming worden gebracht. In het specifieke geval van een strafrechtelijk onderzoek vereist een dergelijke toetsing dat die rechterlijke instantie of entiteit in staat is een juist evenwicht te verzekeren tussen, enerzijds, de legitieme belangen die verband houden met de behoeften van het onderzoek in het kader van de bestrijding van criminaliteit, en, anderzijds, de fundamentele rechten op eerbiediging van de persoonlijke levenssfeer en op bescherming van de persoonsgegevens van de personen op wier gegevens de toegang betrekking heeft (arrest van 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 107 en aldaar aangehaalde rechtspraak).

126 Wanneer een dergelijke toetsing niet door een rechterlijke instantie maar door een onafhankelijke bestuurlijke entiteit wordt uitgeoefend, moet deze laatste in de tweede plaats een zodanige status hebben dat zij bij de uitoefening van haar taken objectief en onpartijdig kan handelen, en moet zij daartoe vrij zijn van elke invloed van buitenaf. Het vereiste van onafhankelijkheid waaraan moet worden voldaan door de entiteit die de voorafgaande toetsing moet verrichten, impliceert dan ook dat zij de hoedanigheid van derde moet hebben ten opzichte van de instantie die om toegang tot de gegevens verzoekt, zodat die entiteit de toetsing objectief en onpartijdig en zonder beïnvloeding van buitenaf kan verrichten. In het bijzonder impliceert het vereiste van onafhankelijkheid op strafrechtelijk gebied dat de instantie die belast is met die voorafgaande toetsing niet betrokken mag zijn bij de uitvoering van het betrokken strafrechtelijk onderzoek en voorts neutraal moet zijn ten opzichte van de partijen in de strafprocedure (arrest van 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 108 en aldaar aangehaalde rechtspraak).

127 In de derde plaats moet de onafhankelijke toetsing die artikel 15, lid 1, van richtlijn 2002/58 vereist, voorafgaand aan elke toegang tot de betrokken gegevens plaatsvinden, behalve in naar behoren gemotiveerde urgente gevallen, waarin de toetsing op korte termijn dient plaats te vinden. Met een latere toetsing kan immers niet worden tegemoetgekomen aan het doel van een voorafgaande toetsing, dat erin bestaat te verhinderen dat tot de betrokken gegevens een toegang wordt verleend die verder gaat dan strikt noodzakelijk is (arrest van 5 april 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, punt 110 ).

128 Zoals blijkt uit de in punt 124 van dit arrest in herinnering gebrachte rechtspraak, heeft het Hof het „van wezenlijk belang” geoordeeld dat de toegang van de bevoegde nationale autoriteiten tot verkeers- en locatiegegevens wordt onderworpen aan een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit. Deze rechtspraak is evenwel ontwikkeld in de context van nationale maatregelen die, met het oog op een doel dat verband houdt met de bestrijding van zware criminaliteit, een algemene toegang tot alle bewaarde verkeers- en locatiegegevens mogelijk maakten, los van enig – zij het ook maar indirect – verband met het nagestreefde doel, en die dus ernstige en zelfs „bijzonder ernstige” inmengingen in de betrokken grondrechten inhielden.

129 Wat betreft de voorwaarden waaronder de toegang tot gegevens betreffende de burgerlijke identiteit kon worden gerechtvaardigd krachtens artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 van het Handvest, heeft het Hof daarentegen nergens uitdrukkelijk de noodzaak van een dergelijke voorafgaande toetsing vermeld [zie in die zin arresten van 2 oktober 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punten 59, 60 en 62; 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punten 157 en 158 , en  2 maart 2021, Prokuratuur (Voorwaarden voor toegang tot elektronische-communicatiegegevens), C‑746/18, EU:C:2021:152, punt 34 ].

130 Uit de rechtspraak van het Hof over het evenredigheidsbeginsel, dat volgens artikel 15, lid 1, eerste volzin, van richtlijn 2002/58 moet worden geëerbiedigd – met name uit de rechtspraak volgens welke, bij de beoordeling of de lidstaten een beperking van de omvang van de met name in de artikelen 5, 6 en 9 van deze richtlijn bedoelde rechten en plichten kunnen rechtvaardigen, moet worden bepaald wat de ernst is van de inmenging in de in de artikelen 7, 8 en 11 van het Handvest verankerde grondrechten die een dergelijke beperking meebrengt, en moet worden nagegaan of het belang van de met die beperking nagestreefde doelstelling van algemeen belang in verhouding staat tot die ernst (arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punt 131 ) – volgt dat de mate van inmenging in de betrokken grondrechten die de toegang tot de persoonsgegevens in kwestie met zich meebrengt alsmede de gevoeligheid van die gegevens ook van invloed moeten zijn op de materiële en procedurele waarborgen voor die toegang, zoals het vereiste van een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit.

131 Gelet op dit evenredigheidsbeginsel moet derhalve worden geoordeeld dat het vereiste van voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit noodzakelijk is wanneer, in de context van een nationale regeling die voorziet in de toegang van een overheidsinstantie tot persoonsgegevens, die toegang het risico inhoudt van een ernstige inmenging in de grondrechten van de betrokkene, in die zin dat die overheidsinstantie op basis daarvan nauwkeurige gevolgtrekkingen over zijn privéleven kan maken en, in voorkomend geval, een gedetailleerd profiel van hem kan bepalen.

132 Omgekeerd is het niet de bedoelding dat dit vereiste van voorafgaande toetsing wordt toegepast wanneer de inmenging in de betrokken grondrechten die de toegang van een overheidsinstantie tot persoonsgegevens met zich meebrengt, niet als ernstig kan worden aangemerkt.

133 Dat is het geval met de toegang tot gegevens betreffende de burgerlijke identiteit van de gebruikers van elektronische-communicatiemiddelen met als enige doel de betrokken gebruiker te identificeren en zonder dat deze gegevens in verband kunnen worden gebracht met informatie over de tot stand gebrachte communicatie, omdat de inmenging die een dergelijke verwerking van die gegevens met zich meebrengt volgens het Hof in beginsel niet als ernstig kan worden aangemerkt (zie in die zin arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punten 157 en 158 ).

134 Wanneer een bewaringsmechanisme zoals beschreven in de punten 86 tot en met 89 van dit arrest wordt ingevoerd, is er bijgevolg in beginsel geen voorafgaande toetsing door een rechterlijke instantie of een onafhankelijk bestuurlijke autoriteit vereist voor de toegang van de overheidsinstantie tot de aldus bewaarde met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit.

135 Dat gezegd zijnde, kan, zoals in de punten 110 en 111 van dit arrest reeds is opgemerkt, niet worden uitgesloten dat in atypische situaties de beperkte gegevens en informatie die in het kader van een procedure zoals de in het hoofdgeding aan de orde zijnde graduated response-procedure aan een overheidsinstantie ter beschikking worden gesteld mogelijk gevoelige informatie onthullen over aspecten van het privéleven van de betrokkene die in haar geheel genomen deze overheidsinstantie in staat zou kunnen stellen om nauwkeurige gevolgtrekkingen te maken over zijn privéleven en in voorkomend geval een gedetailleerd profiel van hem op te stellen.

136 Zoals blijkt uit punt 112 van dit arrest kan een dergelijk risico voor het privéleven zich met name voordoen wanneer een persoon zich herhaaldelijk of zelfs op grote schaal bezighoudt met activiteiten die inbreuk maken op auteursrechten of naburige rechten op peer-to-peernetwerken, in verband met specifieke soorten beschermde werken die kunnen worden gegroepeerd op basis van de woorden in hun titels die – in voorkomend geval gevoelige – informatie over aspecten van zijn privéleven onthullen.

137 In het kader van de administratieve graduated response-procedure in de onderhavige zaak kan een houder van een IP-adres zo met name worden blootgesteld aan een dergelijk risico voor zijn privéleven wanneer die procedure het stadium bereikt waarin Hadopi moet beslissen om het openbaar ministerie in te lichten met het oog op vervolging van die houder wegens feiten die als grove nalatigheid of als namaak kunnen worden gekwalificeerd.

138 Deze melding aan het openbaar ministerie veronderstelt namelijk dat de houder van een IP‑adres reeds twee aanbevelingen en een kennisgevingsbrief heeft ontvangen waarin hij op de hoogte wordt gebracht dat zijn activiteiten strafrechtelijk kunnen worden vervolgd, welke maatregelen impliceren dat Hadopi telkens toegang heeft gehad tot gegevens betreffende de burgerlijke identiteit van die houder van wie het IP‑adres is gebruikt voor activiteiten die inbreuk maken op auteursrechten of naburige rechten, alsmede tot een bestand met betrekking tot dit werk dat hoofdzakelijk de titel ervan bevat.

139 Het valt niet uit te sluiten dat de aldus in de verschillende fasen van de administratieve graduated response-procedure verstrekte gegevens in hun geheel beschouwd en naarmate deze procedure vordert, onderling overeenstemmende en, in voorkomend geval, gevoelige informatie over aspecten van het privéleven van de betrokkene kunnen onthullen op basis waarvan in voorkomend geval zijn profiel kan worden bepaald.

140 De intensiteit van de inbreuk op het recht op eerbiediging van de persoonlijke levenssfeer kan dus toenemen naarmate de graduated response-procedure, die een bepaalde volgorde aanhoudt, de verschillende fasen ervan doorloopt.

141 In casu is het mogelijk dat Hadopi, doordat zij toegang heeft tot alle gegevens over de betrokkene die in de verschillende fasen van die procedure zijn verzameld, deze aan elkaar koppelt en daardoor in staat is om nauwkeurige gevolgtrekkingen te maken over zijn privéleven. In het kader van een procedure zoals de in het hoofdgeding aan de orde zijnde graduated response-procedure, moet de nationale regeling daarom in een bepaald stadium van die procedure ook voorzien in een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit die voldoet aan de in de punten 125 tot en met 127 van dit arrest in herinnering gebrachte voorwaarden, teneinde het risico van onevenredige inmenging in de grondrechten op bescherming van het privéleven en van de persoonsgegevens van de betrokkene uit te sluiten. Dit betekent in de praktijk dat een dergelijke toetsing moet plaatsvinden voordat Hadopi met een IP‑adres overeenkomende gegevens betreffende de burgerlijke identiteit van een persoon die zijn verkregen van een aanbieder van elektronische-communicatiediensten – nadat die persoon reeds twee aanbevelingen heeft ontvangen – kan koppelen aan het bestand betreffende het werk dat op het internet ter beschikking is gesteld opdat het door anderen kan worden gedownload. Deze toetsing moet dus worden verricht vóór de eventuele verzending van de in artikel R-331‑40 CPI bedoelde kennisgevingsbrief, waarin wordt vastgesteld dat deze persoon feiten heeft begaan die een grove nalatigheid kunnen opleveren. Pas na een dergelijke voorafgaande toetsing door en toestemming van een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit kan Hadopi een dergelijke brief verzenden en vervolgens, in voorkomend geval, het openbaar ministerie inlichten met het oog op de vervolging van die inbreuk.

142 Hadopi moet de gevallen kunnen identificeren waarin de houder van het betrokken IP-adres deze derde fase van een dergelijke graduated response-procedure ingaat. Derhalve moet deze procedure zodanig worden georganiseerd en gestructureerd dat de bij de aanbieders van elektronische-communicatiediensten verzamelde gegevens betreffende de burgerlijke identiteit van een persoon die overeenkomen met eerder op het internet verzamelde IP-adressen, door de personen die binnen Hadopi belast zijn met het onderzoek van de feiten niet automatisch kunnen worden gekoppeld aan de bestanden die gegevens bevatten aan de hand waarvan de titels kunnen worden achterhaald van de beschermde werken waarvan de terbeschikkingstelling op het internet het verzamelen van die adressen heeft gerechtvaardigd.

143 Deze koppeling met het oog op de derde fase van de graduated response moet dus worden opgeschort wanneer de verzameling van die gegevens betreffende de burgerlijke identiteit, in verband met een tweede mogelijke herhaling van een inbreuk op auteursrechten of naburige rechten, leidt tot het vereiste van een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit zoals beschreven in punt 141 van dit arrest.

144 Bovendien geldt het in de punten 141 tot en met 143 van dit arrest beschreven vereiste van voorafgaande toetsing alleen voor de derde fase van de graduated response-procedure en niet voor de eerdere fasen ervan, waardoor bij de organisatie van dit vereiste rekening kan worden gehouden met het argument dat de uitvoerbaarheid van die procedure moet worden gewaarborgd. Vooral in de fasen die voorafgaan aan de eventuele verzending van de kennisgevingsbrief en in voorkomend geval de melding van de zaak aan het openbaar ministerie wordt deze procedure namelijk gekenmerkt door het massale karakter van de verzoeken om toegang van de overheidsinstantie die voortvloeien uit het al even grote aantal processen-verbaal die de organisaties van rechthebbenden aan haar voorleggen.

145 Wat voorts het voorwerp van de in de punten 141 tot en met 143 van dit arrest bedoelde voorafgaande toetsing betreft, volgt uit de in de punten 95 en 96 van dit arrest in herinnering gebrachte rechtspraak dat, in de gevallen waarin de betrokkene ervan wordt verdacht de in artikel R. 335‑5 CPI beschreven inbreuk van „grove nalatigheid” te hebben gepleegd – die onder strafbare feiten in het algemeen valt – de rechterlijke instantie of de onafhankelijke bestuurlijke entiteit die met die toetsing belast is de toegang moet weigeren wanneer de overheidsinstantie die om toegang heeft verzocht daardoor in staat zou zijn nauwkeurige gevolgtrekkingen te maken over het privéleven van die persoon.

146 Daarentegen zou zelfs een dergelijke toegang aan de hand waarvan dergelijke nauwkeurige gevolgtrekkingen kunnen worden gemaakt, moeten worden toegestaan in de gevallen waarin op basis van de ter kennis van deze rechterlijke instantie of onafhankelijke bestuurlijke entiteit gebrachte gegevens kan worden vermoed dat de betrokkene het strafbare feit van namaak zoals bedoeld in artikel L. 335‑2 CPI of artikel L. 335‑4 van dit wetboek heeft gepleegd, aangezien een lidstaat zich op het standpunt mag stellen dat een dergelijk strafbaar feit, aangezien dat een fundamenteel belang van de samenleving aantast, als een ernstige vorm van criminaliteit kan worden aangemerkt.

147 Wat ten slotte de wijzen van uitvoering van deze voorafgaande toetsing betreft, is de Franse regering van mening dat een voorafgaande toetsing – indien die vereist is – volledig geautomatiseerd moet zijn, gelet op de specifieke kenmerken van de toegang van Hadopi tot de betrokken gegevens, met name het massale karakter ervan. Met een dergelijke zuiver objectieve toetsing zou namelijk vooral worden beoogd na te gaan of het proces-verbaal dat aan Hadopi wordt voorgelegd alle vereiste informatie en gegevens bevat, zonder dat deze instantie deze hoeft te beoordelen.

148 Een voorafgaande toetsing kan echter in geen geval volledig geautomatiseerd zijn, aangezien een dergelijke toetsing, zoals blijkt uit de in punt 125 van dit arrest in herinnering gebrachte rechtspraak, in geval van een strafrechtelijk onderzoek hoe dan ook vereist dat de betrokken rechterlijke instantie of onafhankelijke bestuurlijke entiteit in staat is een juist evenwicht te verzekeren tussen, enerzijds, de legitieme belangen die verband houden met de behoeften van het onderzoek in het kader van de bestrijding van criminaliteit, en, anderzijds, de fundamentele rechten op eerbiediging van de persoonlijke levenssfeer en op bescherming van de persoonsgegevens van de personen op wier gegevens de toegang betrekking heeft.

149 Een dergelijke afweging van de verschillende legitieme belangen en de betreffende rechten vereist de tussenkomst van een natuurlijke persoon, die te meer noodzakelijk is omdat het automatische karakter en de grote schaal van de betrokken gegevensverwerking risico’s voor de persoonlijke levenssfeer met zich meebrengen.

150 Bovendien kan een volledig geautomatiseerde toetsing in beginsel niet garanderen dat de toegang niet verder gaat dan strikt noodzakelijk is en dat de personen om wier persoonsgegevens het gaat, beschikken over effectieve waarborgen tegen het risico van misbruik, en tegen onrechtmatige toegang tot en onrechtmatig gebruik van die gegevens.

151 Hoewel bepaalde gegevens in de processen-verbaal van de organisaties van rechthebbenden met geautomatiseerde toetsingen kunnen worden geverifieerd, moeten dergelijke toetsingen dus hoe dan ook gepaard gaan met toetsingen door natuurlijke personen die volledig voldoen aan de in de punten 125 tot en met 127 van dit arrest in herinnering gebrachte vereisten.

Vereisten waaraan de toegang van een overheidsinstantie tot met een IP-adres overeenkomende gegevens betreffende de burgerlijke identiteit moet voldoen wat betreft materiële en procedurele voorwaarden alsmede waarborgen tegen het risico van misbruik en tegen onrechtmatige toegang tot en onrechtmatig gebruik van die gegevens

152 Uit de rechtspraak van het Hof komt naar voren dat de toegang tot persoonsgegevens enkel kan voldoen aan het door artikel 15, lid 1, van richtlijn 2002/58 opgelegde vereiste van evenredigheid indien de wettelijke maatregel die toestemming voor die toegang verleent er door het gebruik van duidelijke en nauwkeurige regels voor zorgt dat voor die toegang de toepasselijke materiële en procedurele voorwaarden gelden en dat de betrokken personen beschikken over effectieve waarborgen tegen het risico van misbruik en tegen onrechtmatige toegang tot en onrechtmatig gebruik van deze gegevens [zie in die zin arrest van 6 oktober 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791, punten 132 en 173 , en  2 maart 2021, Prokuratuur (Voorwaarden voor toegang tot elektronische-communicatiegegevens), C‑746/18, EU:C:2021:152, punt 49 en aldaar aangehaalde rechtspraak].

153 Zoals het Hof heeft benadrukt, is de noodzaak om over dergelijke waarborgen te beschikken des te groter wanneer de persoonsgegevens automatisch worden verwerkt (arrest van 16 juli 2020, Facebook Ireland en Schrems, C‑311/18, EU:C:2020:559, punt 176 en aldaar aangehaalde rechtspraak).

154 In dit verband heeft de Franse regering in antwoord op een vraag van het Hof met het oog op de terechtzitting van 5 juli 2022 verklaard dat, zoals overigens blijkt uit artikel L. 331‑29 CPI, de toegang van Hadopi tot de gegevens betreffende de burgerlijke identiteit in het kader van de graduated response-procedure voortvloeit uit een in wezen geautomatiseerde gegevensverwerking die te verklaren is door het massale karakter van de namaak die door organisaties van rechthebbenden op peer-to-peernetwerken wordt geconstateerd, welke constateringen in de vorm van processen-verbaal aan Hadopi worden medegedeeld.

155 Uit het dossier waarover het Hof beschikt, blijkt met name dat de ambtenaren van Hadopi tijdens deze gegevensverwerking hoofdzakelijk op geautomatiseerde wijze en zonder de betrokken feiten als zodanig te beoordelen, nagaan of de aan Hadopi voorgelegde processen-verbaal alle in punt 1 van de bijlage bij decreet nr. 2010‑236 vermelde informatie en gegevens bevatten, in het bijzonder de aan de orde zijnde feiten van illegale terbeschikkingstelling op het internet en de daartoe gebruikte IP-adressen. Dergelijke verwerkingen moeten gepaard gaan met toetsingen door natuurlijke personen.

156 Aangezien een dergelijke geautomatiseerde verwerking een bepaald aantal valspositieve gevallen kan bevatten en vooral het risico met zich meebrengt dat een mogelijk zeer groot aantal persoonsgegevens door derden wordt misbruikt of onrechtmatig wordt gebruikt, is het van belang dat het door een overheidsinstantie gebruikte systeem voor gegevensverwerking krachtens een wettelijke maatregel op gezette tijden wordt getoetst door een onafhankelijk orgaan dat ten opzichte van die instantie de hoedanigheid van derde heeft, met het doel om de integriteit van het systeem te verifiëren, met inbegrip van de daadwerkelijke waarborgen tegen het risico van misbruik en tegen onrechtmatige toegang tot en onrechtmatig gebruik van die gegevens waarin dat systeem moet voorzien, alsmede de doeltreffendheid en betrouwbaarheid ervan voor het opsporen van tekortkomingen die in geval van herhaling kunnen worden aangemerkt als grove nalatigheid of namaak.

157 Ten slotte moet worden opgemerkt dat voor de verwerking van persoonsgegevens door een overheidsinstantie, zoals de verwerking door Hadopi in het kader van de graduated response-procedure, de specifieke regels ter bescherming van die gegevens gelden waarin is voorzien in richtlijn 2016/680, die volgens artikel 1 ervan tot doel heeft de regels vast te stellen betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.

158 In casu beschikt Hadopi krachtens het toepasselijke nationale recht niet over eigen beslissingsbevoegdheden, maar wanneer zij in het kader van de graduated response-procedure persoonsgegevens verwerkt en maatregelen vaststelt zoals een aanbeveling of een kennisgeving aan de betrokkene dat wegens de betrokken feiten strafvervolging kan worden ingesteld, moet zij worden aangemerkt als een „overheidsinstantie” in de zin van artikel 3 van richtlijn 2016/680, die betrokken is bij de voorkoming en de opsporing van strafbare feiten, te weten grove nalatigheid of namaak, en valt zij dus overeenkomstig artikel 1 van die richtlijn binnen de werkingssfeer ervan.

159 In dit verband heeft de Franse regering in antwoord op een vraag van het Hof met het oog op de terechtzitting van 5 juli 2022 opgemerkt dat de door Hadopi vastgestelde maatregelen ter uitvoering van de graduated response-procedure „een pre-strafrechtelijk karakter hebben dat rechtstreeks verband houdt met de gerechtelijke procedure”, zodat het door Hadopi ingevoerde systeem voor het beheer van maatregelen ter bescherming van werken op het internet onderworpen is aan de bepalingen ter omzetting van richtlijn 2016/680 in nationaal recht, zoals blijkt uit de rechtspraak van de verwijzende rechter.

160 Een dergelijke gegevensverwerking door Hadopi valt daarentegen niet binnen de werkingssfeer van de AVG. Artikel 2, lid 2, onder d), AVG bepaalt namelijk dat deze verordening niet van toepassing is op de verwerking van persoonsgegevens door de bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid.

161 Zoals de advocaat-generaal in punt 104 van zijn conclusie van 27 oktober 2022 heeft opgemerkt, moet Hadopi in het kader van de graduated response-procedure dus aan richtlijn 2016/680 voldoen, zodat de bij een dergelijke procedure betrokken personen een reeks materiële en procedurele waarborgen hebben, waaronder het recht op toegang tot en rectificatie en verwijdering van door Hadopi verwerkte persoonsgegevens, alsmede de mogelijkheid om een klacht in te dienen bij een onafhankelijke toezichthoudende autoriteit, in voorkomend geval gevolgd door een beroep op de rechter volgens de regels van het gemene recht.

162 In deze context blijkt uit de in het hoofdgeding aan de orde zijnde nationale wettelijke regeling dat in het kader van de graduated response-procedure, meer bepaald bij de verzending van de tweede aanbeveling en de daaropvolgende kennisgeving dat de vastgestelde feiten als strafbaar feit kunnen worden aangemerkt, de geadresseerde van die mededelingen bepaalde procedurele waarborgen geniet, zoals het recht om opmerkingen te maken, het recht om preciseringen te verkrijgen over de hem verweten niet-nakoming en, wat die kennisgeving betreft, het recht om te verzoeken om een hoorzitting en om zich te laten bijstaan door een raadsman.

163 Hoe dan ook staat het aan de verwijzende rechter om na te gaan of deze nationale wettelijke regeling voorziet in de reeks materiële en procedurele waarborgen die richtlijn 2016/680 voorschrijft.

164 Gelet op een en ander moet op de drie prejudiciële vragen worden geantwoord dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, aldus moet worden uitgelegd dat het zich niet verzet tegen een nationale regeling die toestaat dat de overheidsinstantie die belast is met de bescherming van auteursrechten en naburige rechten tegen op het internet gepleegde inbreuken op deze rechten, toegang heeft tot gegevens betreffende de burgerlijke identiteit die zijn bewaard door de aanbieders van openbare elektronische-communicatiediensten en die overeenkomen met IP-adressen die vooraf zijn verzameld door organisaties van rechthebbenden, zodat deze instantie de houders van deze adressen, die worden gebruikt voor activiteiten die dergelijke inbreuken kunnen vormen, kan identificeren en in voorkomend geval tegen hen kan optreden, mits deze regeling bepaalt dat

• deze gegevens niet langer dan strikt noodzakelijk worden bewaard en tevens in zodanige omstandigheden en op zodanige technische wijzen dat het uitgesloten is dat uit deze bewaring nauwkeurige gevolgtrekkingen over het privéleven van die houders kunnen worden gemaakt, bijvoorbeeld door een gedetailleerd profiel van hen te bepalen, hetgeen met name kan worden bereikt door aanbieders van elektronische-communicatiediensten te verplichten om de verschillende categorieën persoonsgegevens, zoals gegevens betreffende de burgerlijke identiteit, IP-adressen en verkeers- en locatiegegevens, op een zodanige wijze te bewaren dat een daadwerkelijk volledige scheiding van deze verschillende categorieën gegevens wordt gewaarborgd, waardoor het niet mogelijk is om deze verschillende categorieën gegevens tijdens de bewaring gecombineerd te gebruiken,

• de toegang van die overheidsinstantie tot dergelijke gegevens die daadwerkelijk gescheiden worden bewaard uitsluitend dient om de persoon te identificeren die ervan wordt verdacht een strafbaar feit te hebben gepleegd, en wordt omringd met de nodige waarborgen om uit te sluiten dat, behalve in atypische situaties, dankzij die toegang nauwkeurige gevolgtrekkingen kunnen worden gemaakt over het privéleven van de houders van de IP-adressen, bijvoorbeeld door een gedetailleerd profiel van hen te bepalen, hetgeen met name inhoudt dat het de ambtenaren van deze instantie die tot die toegang gemachtigd zijn wordt verboden om informatie over de inhoud van de door die houders geraadpleegde bestanden in welke vorm ook openbaar te maken – tenzij dit gebeurt om de zaak ter kennis van het openbaar ministerie te brengen –, de zoekgeschiedenis van die houders te traceren en, meer in het algemeen, deze IP-adressen te gebruiken voor een ander doel dan de identificatie van de houders ervan met het oog op de vaststelling van eventuele maatregelen tegen laatstgenoemden,

• de mogelijkheid voor de personen die binnen die overheidsinstantie met het onderzoek van de feiten belast zijn om dergelijke gegevens te koppelen aan de bestanden die gegevens bevatten aan de hand waarvan de titels kunnen worden achterhaald van de beschermde werken waarvan de terbeschikkingstelling op het internet het verzamelen van IP-adressen door organisaties van rechthebbenden heeft gerechtvaardigd, wanneer dezelfde persoon opnieuw een inbreuk op auteursrechten of naburige rechten herhaalt, moet worden getoetst door een rechterlijke instantie of een onafhankelijke bestuurlijke entiteit, welke toetsing niet volledig geautomatiseerd kan zijn en moet plaatsvinden vóór een dergelijke koppeling, aangezien die koppeling het in zulke gevallen mogelijk kan maken dat er nauwkeurige gevolgtrekkingen worden gemaakt over het privéleven van die persoon, wiens IP-adres is gebruikt voor activiteiten die inbreuk kunnen maken op auteursrechten of naburige rechten,

• het door de overheidsinstantie gebruikte systeem voor gegevensverwerking op gezette tijden wordt getoetst door een onafhankelijk orgaan dat ten opzichte van die overheidsinstantie de hoedanigheid van derde heeft, met het doel om de integriteit van het systeem te verifiëren, met inbegrip van de daadwerkelijke waarborgen tegen het risico van misbruik en tegen onrechtmatige toegang tot en onrechtmatig gebruik van die gegevens, alsmede de doeltreffendheid en betrouwbaarheid ervan voor het opsporen van eventuele tekortkomingen.