Sesizată de jurisdicţiile din Franţa, Belgia şi Marea Britanie, Curtea de la Luxemburg a confirmat că dreptul UE se opune reglementărilor naţionale care le impun furnizorilor de acces transmiterea sau retenţia generalizată şi nediferenţiată’ de metadate de conexiuni la internet şi conversaţii telefonice în scopuri judiciare sau de culegere de informaţii.
Concret, metadatele conexiunilor la internet şi conversaţiilor telefonice – care nu se referă la conţinutul mesajelor, ci la condiţiile în care acestea au fost schimbate (identitate, localizare, dată, durată ..) – nu pot fi păstrate pe termen nedefinit şi în mod uniform de către operatori.
CJUE admite totuşi derogări reglementate în cazul în care un stat se confruntă cu ‘o ameninţare gravă pentru securitatea naţională, reală şi actuală sau previzibilă’, situaţia care îl poate determina să impună, prin ‘măsuri legislative’, o retenţie ‘generalizată şi nediferenţiată’ a datelor ‘pentru o durată limitată ca timp la strictul necesar’.
De asemenea, în ‘lupta împotriva criminalităţii grave’ şi pentru ‘prevenirea unor ameninţări severe contra securităţii publice’, un stat membru poate ‘să prevadă retenţia ţintită a datelor, precum şi păstrarea lor rapidă’.
Totuşi, ‘o astfel de ingerinţă în drepturile fundamentale trebuie însoţită de garanţii efective şi controlată de un judecător sau de o autoritate administrativă independentă’, insistă Curtea europeană.
Într-o decizie din 2016 intitulată ‘Tele2’, CJUE stabilea că statele membre nu le pot impune furnizorilor o ‘obligaţie generalizată şi nediferenţiată’ de colectare şi de retenţie de date relative la trafic şi de date de localizare.
Mai multe state membre continuă însă să ceară o astfel de culegere de date pentru ca poliţişti, magistraţi sau servicii de informaţii să aibă acces la ele. Statele respective se sprijină pe prevederea din Tratatul UE conform căreia securitatea naţională ‘rămâne în singura responsabilitate a fiecărui stat membru’.
Argumentul nu a convins însă CJUE, pentru care aceste practici contravin directivei europene privind ‘viaţa privată şi comunicaţiile electronice’.
Curtea a examinat mai multe decrete de aplicare a codului francez al securităţii interne, din 2015 şi 2016, atacate în justiţie de mai mulţi furnizori de acces la internet.
În aceeaşi cauză, CJUE a mai fost sesizată în privinţa unor reglementări în vigoare în Belgia şi Marea Britanie, care le impun operatorilor acelaşi tip de culegere masivă de date.