Ga verder naar contentGa verder naar content en skip ook inhoudsopgave
SduIn- en Uitvoer
Home

Conclusie van advocaat-generaal M. Campos Sánchez-Bordona van 18 november 2021.###

Conclusie van advocaat-generaal M. Campos Sánchez-Bordona van 18 november 2021.###

Voorlopige editie

CONCLUSIE VAN ADVOCAAT-GENERAAL

M. CAMPOS SÁNCHEZ-BORDONA

van 18 november 2021 (1)

Gevoegde zaken C339/20 en C397/20

VD (C339/20)

SR (C397/20)

[verzoek van de Cour de cassation (hoogste rechter in burgerlijke en strafzaken, Frankrijk) om een prejudiciële beslissing]

„Prejudiciële verwijzing – Handel met voorwetenschap en marktmanipulatie – Richtlijn 2003/6/EG – Artikel 12, lid 2, onder a) en d) – Verordening (EU) nr. 596/2014 – Artikel 23, lid 2, onder g) en h) – Richtlijn 2002/58/EG – Artikel 15, lid 1 – Toezichts‑ en onderzoeksbevoegdheden van de bevoegde autoriteiten – Bevoegdheid van de bevoegde autoriteiten om overzichten van telefoon‑ en dataverkeer te vereisen – Nationale regeling die aanbieders van elektronische-communicatiediensten een tijdelijke, maar algemene bewaring van verbindingsgegevens oplegt”






1. De in deze procedure gevoegde verzoeken om een prejudiciële beslissing houden nauw verband met die in de zaken C‑793/19, SpaceNet, C‑794/19, Telekom Deutschland en C‑140/20, Commissioner of the Garda Síochána e.a., waarin ik vandaag eveneens conclusie neem.(2)

2. In de conclusie SpaceNet en Telekom Deutschland en de conclusie Commissioner of the Garda Síochána geef ik een uiteenzetting van de redenen die mij ertoe hebben gebracht het Hof in overweging te geven om het Bundesverwaltungsgericht (hoogste federale bestuursrechter, Duitsland) en de Supreme Court (hoogste rechterlijke instantie, Ierland) te antwoorden in de lijn van de rechtspraak inzake richtlijn 2002/58/EG(3) zoals „gerecapituleerd” in het arrest La Quadrature du Net.(4)

3. Daarbij moet worden opgemerkt dat de twee verzoeken om een prejudiciële beslissing van de Cour de cassation (hoogste rechter in burgerlijke en strafzaken, Frankrijk) niet richtlijn 2002/58, maar richtlijn 2003/6/EG(5) en verordening (EU) nr. 596/2014(6) als onmiddellijk voorwerp hebben.

4. In deze twee verzoeken wordt echter in wezen dezelfde vraag gesteld als in die andere prejudiciële verwijzingen, namelijk of de lidstaten een verplichting tot algemene en ongedifferentieerde bewaring van de verkeersgegevens van elektronische communicatie kunnen opleggen.(7)

5. Hoewel richtlijn 2003/6 en verordening nr. 596/2014 (waarmee de bestrijding van handelingen die als marktmisbruik kunnen worden aangemerkt wordt beoogd)(8) relevant zijn voor de onderhavige zaken, meen ik daarom dat de in het arrest La Quadrature du Net „gerecapituleerde” rechtspraak van het Hof in deze context van toepassing is.

I. Toepasselijke bepalingen

A. Unierecht

1. Richtlijn 2002/58

6. Artikel 1 („Werkingssfeer en doelstelling”) luidt:

„1. Deze richtlijn harmoniseert de regelgeving van de lidstaten die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden – met name het recht op een persoonlijke levenssfeer – bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen en om te zorgen voor het vrij verkeer van dergelijke gegevens en van elektronische-communicatieapparatuur en ‑diensten in de [Unie].

2. Voor [...] de doelstellingen van lid 1 vormen de bepalingen van deze richtlijn een specificatie van en een aanvulling op richtlijn 95/46/EG [van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31)]. Bovendien voorzien zij in bescherming van de rechtmatige belangen van abonnees die rechtspersonen zijn.

3. Deze richtlijn is niet van toepassing op activiteiten die niet onder het [VWEU] vallen, zoals die bedoeld in de titels V en VI van het Verdrag betreffende de Europese Unie, en in geen geval op activiteiten die verband houden met de openbare veiligheid, defensie, staatsveiligheid (met inbegrip van het economische welzijn van de staat wanneer de activiteit verband houdt met de staatsveiligheid) en de activiteiten van de staat op strafrechtelijk gebied.”

7. In artikel 2 („Definities”) wordt bepaald:

„Tenzij anders is bepaald, zijn de definities van richtlijn [95/46] en richtlijn 2002/21/EG van het Europees Parlement en de Raad van 7 maart 2002 inzake een gemeenschappelijk regelgevingskader voor elektronische-communicatienetwerken en ‑diensten (kaderrichtlijn) [(PB 2002, L 108, blz. 33)] van toepassing.

Daarnaast wordt in deze richtlijn verstaan onder:

[...]

b) ‚verkeersgegevens’: gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronische-communicatienetwerk of voor de facturering ervan;

c) ‚locatiegegevens’: gegevens die in een elektronische-communicatienetwerk of door een elektronische-communicatiedienst worden verwerkt, waarmee de geografische positie van de eindapparatuur van een gebruiker van een openbare elektronische-communicatiedienst wordt aangegeven;

[...]”

8. In artikel 15, lid 1, wordt gespecificeerd:

„De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in de artikelen 5 en 6, artikel 8, leden 1, 2, 3 en 4, en artikel 9 van deze richtlijn bedoelde rechten en plichten, indien dat in een democratische samenleving noodzakelijk, redelijk en proportioneel is ter waarborging van de nationale, d.w.z. de staatsveiligheid, de landsverdediging, de openbare veiligheid, of het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of van onbevoegd gebruik van het elektronische-communicatiesysteem als bedoeld in artikel 13, lid 1, van richtlijn [95/46]. Daartoe kunnen de lidstaten o.a. wetgevingsmaatregelen treffen om gegevens gedurende een beperkte periode te bewaren om de redenen die in dit lid worden genoemd. Alle in dit lid bedoelde maatregelen dienen in overeenstemming te zijn met de algemene beginselen van het Gemeenschapsrecht, met inbegrip van de beginselen als bedoeld in artikel 6, leden 1 en 2, van het Verdrag betreffende de Europese Unie.”

2. Richtlijn 2003/6

9. In artikel 11 wordt bepaald:

„Onverminderd de bevoegdheden van de gerechtelijke autoriteiten wijzen de lidstaten één enkele bevoegde administratieve autoriteit aan om ervoor te zorgen dat de ter uitvoering van deze richtlijn vastgestelde bepalingen worden toegepast.

[...]”

10. Artikel 12 luidt:

„1. Aan de bevoegde autoriteit worden alle toezichts‑ en onderzoeksbevoegdheden verleend die nodig zijn voor de vervulling van haar taken. [...]

2. Onverminderd het bepaalde in artikel 6, lid 7, worden de bevoegdheden bedoeld in lid 1 uitgeoefend in overeenstemming met de nationale wetgeving, en omvatten ze ten minste het recht om:

a) toegang te verkrijgen tot ieder document, in enigerlei vorm, en een afschrift hiervan te ontvangen;

[...]

d) bestaande overzichten van telefoon‑ en dataverkeer te vereisen;

[...]”

3. Verordening nr. 596/2014

11. De verordening bevat de volgende overwegingen:

„(1) Een echte interne markt voor financiële diensten is van cruciaal belang voor economische groei en het scheppen van werkgelegenheid in de Unie.

(2) Voor een geïntegreerde, efficiënte en transparante financiële markt is marktintegriteit nodig. Een goede werking van de effectenmarkten en vertrouwen van het publiek in de markten zijn noodzakelijke voorwaarden voor economische groei en welvaart. Marktmisbruik schaadt de integriteit van de financiële markten en schendt het vertrouwen van het publiek in effecten en derivaten.

[...]

(62) Een reeks effectieve instrumenten en bevoegdheden en middelen voor de bevoegde autoriteit van elke lidstaat waarborgt de doeltreffendheid van het toezicht. Dienovereenkomstig voorziet deze verordening in het bijzonder in een minimumreeks bevoegdheden op het vlak van toezicht en onderzoek die de bevoegde autoriteiten van de lidstaten overeenkomstig de nationale wetgeving ter beschikking moet worden gesteld. Deze bevoegdheden moeten, indien de nationale wetgeving zulks vereist, worden uitgeoefend middels een verzoek aan de bevoegde justitiële autoriteiten. [...]

[...]

(65) Bestaande opnamen van telefoongesprekken en overzichten van dataverkeer van beleggingsondernemingen, kredietinstellingen en financiële instellingen die transacties uitvoeren en de uitvoering staven, alsook bestaande overzichten van telefoon‑ en dataverkeer van telecommunicatieoperatoren vormen cruciaal en soms het enige bewijs waarmee het bestaan van handel met voorwetenschap en marktmanipulatie aan het licht kan worden gebracht en bewezen. Aan de hand van overzichten van telefoon‑ en dataverkeer kan de identiteit worden vastgesteld van een persoon die verantwoordelijk is voor de verspreiding van onjuiste of misleidende informatie of worden vastgesteld dat personen gedurende een bepaalde tijd met elkaar in contact zijn geweest en er tussen twee of meer personen een relatie bestaat. Daarom moeten de bevoegde autoriteiten bestaande opnamen van telefoongesprekken, elektronische mededelingen en overzichten van dataverkeer waarover een beleggingsonderneming, een kredietinstelling of een financiële instelling overeenkomstig richtlijn 2014/65/EU [van het Europees Parlement en de Raad van 15 mei 2014 betreffende markten voor financiële instrumenten (PB 2014, L 173, blz. 84)] beschikt, kunnen opvragen. Toegang tot overzichten van data‑ en telefoonverkeer is noodzakelijk om bewijzen te verzamelen en aanwijzingen van handel met voorwetenschap of marktmanipulatie te onderzoeken, en bijgevolg om marktmisbruik aan het licht te brengen en te bestraffen. [...] Toegang tot overzichten van telefoon‑ en dataverkeer waarover een telecommunicatie-exploitant beschikt, betreft niet de inhoud van telefoongesprekken.

(66) Hoewel in deze verordening een minimumreeks aan bevoegdheden wordt vastgesteld waarover bevoegde autoriteiten moeten beschikken, moet de uitoefening van deze bevoegdheden plaatsvinden binnen een afgerond systeem van nationale wetgeving dat waarborgen bevat betreffende de eerbiediging van grondrechten, met inbegrip van het recht op privacy. Met het oog op de uitoefening van deze bevoegdheden, waarbij het tot ernstige inbreuken op het recht op privacy en een gezinsleven, op de integriteit van de eigen woning en op het telecommunicatiegeheim zou kunnen komen, moeten de lidstaten passende en doeltreffende vrijwaringsmaatregelen treffen tegen elke vorm van misbruik, bijvoorbeeld waar gepast een verplichting om een voorafgaande goedkeuring door de justitiële autoriteiten van de lidstaat in kwestie te verkrijgen. De lidstaten moeten de bevoegde autoriteiten toestaan dergelijke ingrijpende bevoegdheden uit te oefenen voor zover dit noodzakelijk is voor een gedegen onderzoek van ernstige gevallen, en indien er geen alternatieve mogelijkheden zijn om hetzelfde resultaat te behalen.

[...]

(77) Deze verordening eerbiedigt de grondrechten en neemt de beginselen die zijn erkend in het Handvest van de grondrechten van de Europese Unie (het Handvest) in acht. Bijgevolg dient deze verordening te worden uitgelegd en toegepast in overeenstemming met deze rechten en beginselen. [...]

[...]”

12. Artikel 1 („Onderwerp”) luidt:

„In deze verordening wordt een gemeenschappelijk regelgevend kader vastgelegd inzake handel met voorwetenschap, wederrechtelijke mededeling van voorwetenschap en marktmanipulatie (marktmisbruik), en ook maatregelen ter voorkoming van marktmisbruik teneinde de integriteit van de financiële markten in de Unie te waarborgen en de bescherming van beleggers en hun vertrouwen in die markten te versterken.”

13. In artikel 3 („Definities”) wordt in punt 27 bepaald dat onder „verkeersgegevensoverzicht” wordt verstaan: een „overzicht van verkeersgegevens zoals bedoeld in artikel 2, lid 2, onder b), van richtlijn 2002/58 [...]”.

14. Artikel 22 („Bevoegde autoriteiten”) bepaalt:

„Onverminderd de bevoegdheden van de gerechtelijke autoriteiten wijst elke lidstaat één bevoegde administratieve autoriteit aan met het oog op de toepassing van deze verordening. [...]”

15. In artikel 23 („Bevoegdheden van de bevoegde autoriteiten”) wordt bepaald:

„[...]

2. Ter vervulling van hun taken krachtens deze verordening dienen bevoegde autoriteiten, overeenkomstig het nationale recht, ten minste over de volgende toezichts‑ en onderzoeksbevoegdheden te beschikken:

a) het verkrijgen van inzage in alle documenten en gegevens in welke vorm dan ook, en het ontvangen of maken van een afschrift daarvan;

[...]

g) het vorderen van bestaande opnames van telefoongesprekken, elektronische mededelingen of overzichten van dataverkeer waarover beleggingsondernemingen, kredietinstellingen of financiële instellingen beschikken;

h) het vorderen, voor zover dat door de nationale wetgeving is toegestaan, van bestaande verkeersgegevensoverzichten waarover een telecommunicatie-exploitant beschikt, wanneer er een redelijk vermoeden van een inbreuk bestaat en wanneer dergelijke overzichten relevant kunnen zijn voor het onderzoek naar een inbreuk op artikel 14, onder a) of b), of op artikel 15;

[...]

3. De lidstaten dragen er zorg voor dat passende maatregelen worden getroffen zodat de bevoegde autoriteiten alle toezichts‑ en onderzoeksbevoegdheden hebben die nodig zijn om hun taken te vervullen.

[...]

4. Een persoon die overeenkomstig deze verordening informatie aan de bevoegde autoriteit verstrekt, wordt niet geacht een inbreuk te plegen op enige beperking van de openbaarmaking van informatie zoals vastgesteld in een contract, of zoals bepaald in wettelijke en bestuursrechtelijke bepalingen, en dit feit brengt voor de melder generlei aansprakelijkheid met zich mee.”

16. Artikel 28 („Gegevensbescherming”) luidt:

„Met betrekking tot de verwerking van persoonsgegevens in het kader van deze verordening voeren de bevoegde autoriteiten [...] hun taken zoals bedoeld in deze verordening uit overeenkomstig het nationale recht of administratieve maatregelen houdende de uitvoering van richtlijn [95/46] toe. Met betrekking tot de verwerking van persoonsgegevens door [de Europese Autoriteit voor effecten en markten (ESMA)] in het kader van deze verordening leeft ESMA de bepalingen van verordening (EG) nr. 45/2001 [van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PB 2001, L 8, blz. 1)] na.

Persoonsgegevens worden opgeslagen voor een maximumperiode van vijf jaar.”

B. Nationaal recht

1. Code monétaire et financier (monetair en financieel wetboek; hierna: „CMF”)

17. In artikel L. 621‑10, eerste alinea, CMF, in de versie die gold ten tijde van de feiten, werd bepaald:

„De onderzoekers en controleurs kunnen alle voor het onderzoek of de controle benodigde documenten, op ongeacht welke drager, opvragen. De onderzoekers kunnen tevens de in het kader van artikel L. 34‑1 van de code des postes et des communications électroniques (wetboek posterijen en elektronische communicatie, Frankrijk; hierna: „CPCE”) door de telecommunicatie-exploitanten bewaarde en verwerkte gegevens opvragen, alsmede die van de in artikel 6, lid I, punten 1 en 2, van loi n.º 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique (wet nr. 2004‑575 van 21 juni 2004 ter bevordering van het vertrouwen in de digitale economie) vermelde dienstverleners, en hiervan een afschrift verkrijgen.”

18. Artikel L. 621‑10‑2 van de in casu toepasselijke versie van de CMF bepaalde:

„Voor het onderzoek naar marktmisbruik [...] kunnen onderzoekers de door telecommunicatie-exploitanten bewaarde en verwerkte gegevens opvragen, onder de voorwaarden en binnen de grenzen waarin wordt voorzien in artikel L. 34‑1 [CPCE], evenals de door de in artikel 6, lid I, punten 1 en 2, van [wet nr. 2004‑575] vermelde dienstverleners bewaarde en verwerkte gegevens.

Voor de mededeling van de in de eerste alinea van dit artikel bedoelde gegevens is voorafgaande toestemming van een voor verzoeken om verbindingsgegevens verantwoordelijke persoon vereist.

[...]”

2. CPCE

19. In artikel L. 34‑1 van de CPCE, in de versie die gold ten tijde van de feiten, werd bepaald:

„[...]

II. De exploitanten van elektronische-communicatiemiddelen [...] wissen of anonimiseren alle verkeersgegevens, met inachtneming van het bepaalde in [lid III].

[...]

III. Met het oog op het onderzoeken, vaststellen en vervolgen van strafbare feiten [...] kan het wissen of anonimiseren van bepaalde categorieën technische gegevens voor een periode van maximaal één jaar worden uitgesteld. [...]

[...]

VI. De gegevens die worden bewaard en verwerkt onder de in de leden III, IV en V vastgestelde voorwaarden, hebben uitsluitend betrekking op de identificatie van de gebruikers van de door de exploitanten verleende diensten, de technische kenmerken van de door deze exploitanten verleende communicatiediensten en de locatie van de eindapparatuur.

Zij mogen in geen geval verwijzen naar de inhoud van de correspondentie of naar de informatie die in het kader van deze communicatie in welke vorm dan ook is geraadpleegd.

[...]”

20. Artikel R. 10‑13 van de CPCE bepaalde:

„I. Overeenkomstig lid III van artikel L. 34‑1 bewaren de exploitanten van elektronische-communicatiemiddelen de volgende gegevens met het oog op het onderzoek, de vaststelling en de vervolging van strafbare feiten:

a) gegevens aan de hand waarvan de gebruiker kan worden geïdentificeerd;

b) gegevens betreffende de gebruikte communicatie-eindapparatuur;

c) technische kenmerken, alsmede de datum, het tijdstip en de duur van elke communicatie;

d) gegevens betreffende de gevraagde of gebruikte aanvullende diensten en hun leveranciers;

e) gegevens aan de hand waarvan de ontvanger of ontvangers van de communicatie kunnen worden geïdentificeerd.

II. In het geval van telefonieactiviteiten bewaart de exploitant naast de in lid II genoemde gegevens ook de gegevens aan de hand waarvan de oorsprong en de locatie van de communicatie kunnen worden bepaald.

III. De in dit artikel genoemde gegevens worden bewaard gedurende één jaar, te rekenen vanaf de datum van registratie ervan.

[...]”

21. De verwijzende rechter preciseert dat de verbindingsgegevens in kwestie gegevens zijn die naar aanleiding van een communicatie worden gegenereerd of verwerkt en die betrekking hebben op de omstandigheden waaronder deze communicatie plaatsvindt en op de gebruikers van de dienst, met uitsluiting van elke aanwijzing aangaande de inhoud van de berichten.

II. Feiten, gedingen en prejudiciële vragen

22. De feiten die ten grondslag liggen aan deze twee prejudiciële verwijzingen komen in essentie met elkaar overeen.

23. Op vordering van het openbaar ministerie van 22 mei 2014 is een gerechtelijk vooronderzoek geopend met betrekking tot feiten die zijn gekwalificeerd als handel met voorwetenschap en heling.

24. Op 23 en 25 september 2015 heeft de Autorité des marchés financiers (Franse autoriteit voor financiële markten, hierna: „AMF”) het openbaar ministerie een melding toegezonden, vergezeld van bewijsstukken uit een door haar uitgevoerd onderzoek, die specifiek persoonsgegevens inzake het gebruik van telefoonlijnen bevatten.

25. Voor het verzamelen van de gegevens over het gebruik van telefoonlijnen hebben de medewerkers van de AMF zich gebaseerd op artikel L. 621‑10 CMF.

26. Na de betreffende melding is het doel van het onderzoek door middel van drie aanvullende tenlasteleggingen, van 29 september 2015, 22 december 2015 en 23 november 2016, uitgebreid naar bepaalde effecten en daaraan gerelateerde financiële instrumenten, die betrekking hebben op dezelfde hierboven gekwalificeerde feiten, alsmede op de strafbare feiten medeplichtigheid, omkoping en witwassen.

27. VD en SR, die in staat van beschuldiging zijn gesteld wegens handel met voorwetenschap en witwassen in verband met die effecten, hebben een beroep tot nietigverklaring ingesteld en verzocht om uitsluiting van bepaalde processtukken wegens schending van, onder andere, de artikelen 7, 8, 11 en 52 van het Handvest en artikel 15 van richtlijn 2002/58.

28. Nadat de Chambre de l’instruction de la cour d’appel de Paris, 2e section (raadkamer van de rechter in tweede aanleg Parijs, tweede afdeling, Frankrijk), hun vorderingen bij arresten van 20 december 2018 respectievelijk 7 maart 2019 had afgewezen, hebben VD en SR cassatieberoep ingesteld bij de Cour de cassation, die de volgende prejudiciële vragen heeft voorgelegd aan het Hof:

„1) Impliceren artikel 12, lid 2, onder a) en d), van richtlijn [2003/6] en artikel 23, lid 2, onder g) en h), van verordening [nr. 596/2014], die die richtlijn met ingang van 3 juli 2016 heeft vervangen, gelezen in het licht van overweging 65 van die verordening, niet dat, gelet op het feit dat de uitgewisselde gegevens geheim zijn en er een grote groep personen kan worden verdacht, de nationale wetgever exploitanten van elektronische-communicatiediensten ertoe kan dwingen om tijdelijk, maar dan wel alle verbindingsgegevens te bewaren, zodat, wanneer er redenen ontstaan om bepaalde personen te verdenken van betrokkenheid bij handel in voorkennis of marktmanipulatie, de in artikel 11 van de richtlijn en artikel 22 van de verordening genoemde bevoegde autoriteit van de exploitant de bestaande opnamen van verkeersgegevens kan vorderen in de gevallen waarin er redenen zijn te vermoeden dat met het onderwerp van het onderzoek verband houdende opnamen relevant kunnen zijn als bewijs voor het bestaan van de inbreuk, met name doordat de contacten van betrokkenen voorafgaand aan het ontstaan van de verdenkingen kunnen worden nagegaan?

2) Indien het antwoord van het Hof van Justitie van dien aard is dat het voor de Cour de cassation aanleiding zou zijn om te oordelen dat de Franse wetgeving inzake de bewaring van verbindingsgegevens niet in overeenstemming is met het Unierecht, kan dan de werking van deze wettelijke regeling voorlopig worden gehandhaafd om rechtsonzekerheid te voorkomen en het mogelijk te maken de eerder verzamelde en bewaarde gegevens voor een van de doelstellingen van deze wettelijke regeling te gebruiken?

3) Kan een nationale rechterlijke instantie voorlopig de werking in stand houden van een wettelijke regeling die het voor functionarissen van een onafhankelijke administratieve instantie die belast is met het voeren van onderzoeken naar marktmisbruik, mogelijk maakt om zonder voorafgaand toezicht van een rechterlijke instantie of een andere onafhankelijke administratieve autoriteit verbindingsgegevens te verkrijgen?”

III. Procedure bij het Hof

29. De verzoeken om een prejudiciële beslissing zijn op respectievelijk 24 juli 2020 en 20 augustus 2020 ingekomen ter griffie van het Hof.

30. VD, SR, de regeringen van Estland, Frankrijk, Ierland, Polen, Portugal en Spanje en de Europese Commissie hebben schriftelijke opmerkingen ingediend.

31. Bij de mondelinge behandeling, die heeft plaatsgevonden op 14 september 2021, zijn naast VD en SR ook de vertegenwoordigers van de regeringen van Denemarken, Estland, Frankrijk, Ierland en Spanje en de Europese Toezichthouder voor gegevensbescherming verschenen.

IV. Beoordeling

A. Inleidende overwegingen

32. De relevante nationale regeling in deze twee zaken is het voorwerp van bepaalde nationale rechterlijke uitspraken geweest, die hier dienen te worden vermeld.

1. Arrest van de Conseil constitutionnel van 21 juli 2017

33. De verwijzende rechter heeft erop geattendeerd dat de eerste alinea van artikel L. 621‑10 CMF ongrondwettig is verklaard bij arrest van de Conseil constitutionnel (grondwettelijk hof, Frankrijk) van 21 juli 2017.(9)

34. De werking van de ongrondwettigverklaring werd door de Conseil constitutionnel evenwel uitgesteld tot 31 december 2018.

35. In die tussentijd heeft de nationale wetgever een nieuw artikel L. 621‑10‑2 vastgesteld, waarbij een regeling is ingevoerd die vereist dat voor toegang tot verbindingsgegevens voorafgaande toestemming door een onafhankelijk bestuursorgaan nodig is.

36. Volgens de verwijzende rechter:

– kan aan het arrest van de Conseil constitutionnel, gelet op de uitgestelde werking van de ongrondwettigheid van de eerste alinea van artikel L. 621‑10 CMF – die ten tijde van de litigieuze feiten in de onderhavige zaken van kracht was –, geen nietigheid worden ontleend(10);

– was die bepaling, voor zover zij de toegang tot de verbindingsgegevens niet afhankelijk stelde van een voorafgaande toetsing door een rechterlijke instantie of een onafhankelijk bestuursorgaan, niettemin „niet in overeenstemming met de vereisten van de artikelen 7, 8 en 11 van het Handvest van de grondrechten van de Europese Unie, zoals uitgelegd door het Hof”(11).

37. In die omstandigheden heeft de Cour de cassation geconcludeerd dat de „enige vraag die rijst, [...] de mogelijkheid [betreft] om de gevolgen van de onverenigbaarheid van artikel L. 621‑10 [CMF] uit te stellen in de tijd”.(12)

38. De verwijzende rechter vraagt dus niet of artikel L. 621‑10 CMF verenigbaar is met het Unierecht, maar wenst, uitgaande van de onverenigbaarheid ervan met verschillende bepalingen van het Handvest, enkel te vernemen of, zoals in het nationale recht is gebeurd met de werking van de ongrondwettigverklaring van dat artikel, ook de rechtsgevolgen van die niet-verenigbaarheid met het Unierecht kunnen worden uitgesteld. Dat is het onderwerp van de derde prejudiciële vraag.

2. Arrest van 21 april 2021 van de Conseil d’État

39. Op een datum na de indiening van de onderhavige twee verzoeken om een prejudiciële beslissing heeft de Conseil d’État (hoogste bestuursrechter, Frankrijk) op 21 april 2021 arrest gewezen(13) in de procedure waarin het verzoek om een prejudiciële beslissing dat heeft geleid tot het arrest La Quadrature du Net is ingediend.

40. In dat arrest heeft de Conseil d’État geoordeeld dat artikel L. 34‑1 CPCE buiten toepassing moet worden gelaten en heeft hij de regering gelast om artikel R. 10‑13 CPCE binnen zes maanden in te trekken, aangezien beide bepalingen de doelstellingen van de verplichting tot algemene en ongedifferentieerde bewaring van verkeers‑ en locatiegegevens niet naar behoren beperken.(14)

41. Daarbij heeft de Conseil d’État verwezen naar de aanpassing van de litigieuze nationale regeling aan richtlijn 2002/58. Uit het antwoord dat het Hof in het arrest La Quadrature du Net heeft gegeven, volgt volgens de Conseil d’État dat artikel L. 34‑1 CPCE buiten toepassing moet worden gelaten (écarter) in het hoofdgeding(15), en artikel R. 10‑13 CPCE moet worden ingetrokken.(16)

42. De relevantie van het arrest La Quadrature du Net voor de beantwoording van de eerste vraag in de onderhavige prejudiciële verwijzingen is des te groter omdat in dat arrest reeds rekening is gehouden met, onder meer, artikel R. 10‑13 CPCE(17), dat samen met artikel L. 34‑I van diezelfde CPCE de sleutel tot de toepassing van artikel L. 621‑10 CMF vormt.

43. Ik wil erop wijzen dat de medewerkers van het bestuursorgaan zich voor het verzamelen van de gegevens over het gebruik van de telefoonlijnen die werden gebruikt door de verdachten tegen wie een onderzoek naar mogelijk marktmisbruik was ingesteld, juist hebben gebaseerd op artikel L. 621‑10 CMF.

3. Zonder voorwerp geraakte verzoeken om een prejudiciële beslissing?

44. Zoals ik reeds heb opgemerkt, wenst de verwijzende rechter te vernemen of de litigieuze nationale regeling verenigbaar is met richtlijn 2003/6 en met verordening nr. 596/2014, in welk geval zowel deze richtlijn als deze verordening, onafhankelijk van richtlijn 2002/58, een specifieke grondslag zouden kunnen bieden voor de verplichting om gegevens te bewaren anders dan die welke is vervat in richtlijn 2002/58.

45. Als dat het geval is, zijn de verzoeken om een prejudiciële beslissing in mijn optiek niet zonder voorwerp geraakt, ondanks de mogelijke gevolgen van voornoemde arresten van de Franse rechterlijke instanties voor die nationale regeling:

– Enerzijds kan niet worden uitgesloten dat, volgens het nationale recht, artikel R. 10‑13 CPCE enig effect kan sorteren op de hoofdgedingen, hetgeen aan de verwijzende rechter staat om na te gaan.

– Anderzijds verzoekt de Conseil d’État de regering niet alleen om die bepaling formeel in te trekken, maar stelt hij ook een aantal voorwaarden waaraan de regeling die ter vervanging van de in te trekken regeling moet worden aangenomen, moet voldoen.(18)

46. De Conseil d’État heeft de regering niet alleen verplicht om artikel R. 10‑13 CPCE binnen zes maanden in te trekken, maar haar tevens gelast om „de door voornoemde artikelen nagestreefde doelstellingen te beperken en het regelgevingskader inzake de bewaring van verbindingsgegevens aan te passen”.(19)

47. Bijgevolg zal de uitspraak van het Hof ten gronde de verwijzende rechter van nut kunnen zijn, aangezien:

– de bewaring van verkeersgegevens in richtlijn 2003/6 en in verordening nr. 596/2014, hypothetisch, een autonome grondslag zou kunnen vinden die verschilt van die welke is vervat in richtlijn 2002/58;

– uit richtlijn 2003/6 en verordening nr. 596/2014 bijzondere en specifieke voorwaarden in verband met de doeleinden van de bewaring van gegevens zouden kunnen voortvloeien.

B. Eerste prejudiciële vraag

48. De eerste prejudiciële vraag betreft artikel 12, lid 2, onder a) en d), van richtlijn 2003/6 en artikel 23, lid 2, onder g) en h), van verordening nr. 596/2014.

49. Die bepalingen staan toe dat de bevoegde administratieve autoriteiten bij elektronische-communicatieondernemingen (en, in voorkomend geval, bij beleggingsondernemingen, kredietinstellingen of financiële instellingen) bestaande verkeersgegevensoverzichten(20) en telefoniegegevens opvragen wanneer er sprake is van een redelijk vermoeden van marktmisbruik en die gegevens relevant kunnen zijn voor hun onderzoek naar de vermoedelijke inbreuk.

50. De verwijzende rechter gaat ervan uit dat de toegang tot deze overzichten vooronderstelt dat „de nationale wetgever elektronische-telecommunicatieondernemingen verplicht tot de tijdelijke, maar algemene bewaring van verbindingsgegevens teneinde de administratieve autoriteit in staat te stellen [...] van de telecommunicatieonderneming bestaande verkeersgegevensoverzichten te verkrijgen [...] die het met name mogelijk maken om inzicht te krijgen in de contacten die de betrokkenen hebben gelegd voordat de verdenkingen ontstonden”.

51. Met betrekking tot de verplichting tot algemene en ongedifferentieerde bewaring van verbindingsgegevens op andere gebieden dan de nationale veiligheid (in casu dat van de bestrijding van marktmisbruik) is de rechtspraak van het Hof, zoals „gerecapituleerd” in La Quadrature du Net, onverkort van toepassing.

1. Autonome rechtsgrondslag voor de verplichting tot het bewaren van gegevens in richtlijn 2003/6 en in verordening nr. 596/2014?

52. Opgemerkt dient te worden dat terwijl in het arrest La Quadrature du Net wordt verwezen naar richtlijn 2002/58, de Cour de cassation in de onderhavige zaken verwijst naar richtlijn 2093/6 en verordening nr. 596/2014.

53. Richtlijn 2002/58 vormt evenwel de referentieregeling, aangezien deze, zoals de titel ervan aangeeft, betrekking heeft op „de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie”.

54. Zowel richtlijn 2003/6 (waarvan het voorwerp handel met voorwetenschap en marktmanipulatie is) als verordening nr. 596/2014 (die is gewijd aan marktmisbruik) bevat bepalingen die, zoals die welke worden genoemd in de eerste vraag in de onderhavige prejudiciële procedures, de verwerking van gegevensverkeersoverzichten betreffen.

55. Het gaat dus om bepalingen die moeten worden uitgelegd met het oog op dat specifieke, zuiver instrumentele doel en voorwerp, in het kader van de bij richtlijn 2002/58 ingevoerde regeling.

56. Uit artikel 12, lid 2, onder d), van richtlijn 2003/6 en artikel 23, lid 2, onder g) en h), van verordening nr. 596/2014 blijkt naar mijn mening het volgende:

– De eerste van deze bepalingen betreft het recht om „bestaande overzichten [...] van dataverkeer te vereisen”.(21)

– Artikel 23, lid 2, onder g), van verordening nr. 596/2014 verleent de bevoegdheid tot „het vorderen van bestaande opnames van telefoongesprekken, elektronische mededelingen of overzichten van dataverkeer waarover beleggingsondernemingen, kredietinstellingen of financiële instellingen beschikken”.(22)

– Ten slotte wordt in datzelfde artikel 23, onder h), ook gesproken van „bestaande verkeersgegevensoverzichten waarover een telecommunicatie-exploitant beschikt [...]”.(23)

57. Naar mijn oordeel verleent geen van deze bepalingen specifieke bevoegdheden – anders dan die waarin richtlijn 2002/58 voorziet – om gegevens te bewaren. Zij verlenen de bevoegde overheidsinstanties slechts toegang tot (bestaande) bewaarde gegevens volgens de regeling die, in algemene zin, de verwerking van die persoonsgegevens in de sector elektronische communicatie beheerst, te weten richtlijn 2002/58.

58. Ook artikel 28 van verordening nr. 596/2014 (waarvan de verwijzende rechter overigens geen uitlegging vraagt) kan niet worden ingeroepen als een veronderstelde autonome rechtsgrondslag voor het opleggen van de verplichting tot het bewaren van gegevens op dit gebied.

59. Onder het opschrift „Gegevensbescherming” en eveneens met betrekking tot de „verwerking van persoonsgegevens”:

– bevestigt dit artikel het recht, en de plicht, van de bevoegde autoriteiten om „hun taken zoals bedoeld in deze verordening uit [te voeren] overeenkomstig het nationale recht of administratieve maatregelen houdende de uitvoering van richtlijn [95/46]”;

– verwijst dit artikel niet naar de verplichting om de bij de elektronische-communicatieondernemingen opgevraagde gegevens te bewaren(24), maar enkel naar richtlijn 95/46(25), in verband met de bescherming van die gegevens.

60. Dat richtlijn 2003/6 en verordening nr. 596/2014 geen bepalingen bevatten over de gegevensbewaringsverplichting die aan elektronische-communicatie-exploitanten wordt opgelegd is begrijpelijk gezien de temporele nabijheid ervan ten opzichte van richtlijn 2002/58. De Europese wetgever beschikte met die laatste richtlijn reeds over een uitputtend referentiekader voor het afbakenen van de grenzen van (en uitzonderingen op) die verplichting, waardoor een aparte bewaringsregeling met het oog op de bestrijding van marktmisbruik overbodig was.

61. Bijgevolg moet de door het Hof aan richtlijn 2002/58 gegeven uitlegging dus ook gelden voor de bewaring van gegevens van aanbieders van elektronische-communicatiediensten die door de onderzoeksautoriteiten kunnen worden gebruikt in het kader van de bestrijding van marktmisbruik.

62. De in richtlijn 2003/6 en verordening nr. 596/2014 bedoelde „bestaande overzichten” kunnen enkel „rechtmatig bestaande overzichten” zijn, dat wil zeggen overzichten die zijn opgesteld overeenkomstig richtlijn 2002/58. Het is deze richtlijn die, in het Unierecht, „onder meer de nationale regelgeving harmoniseert die nodig is om een gelijk niveau van bescherming van fundamentele rechten en vrijheden – met name het recht op een persoonlijke levenssfeer en vertrouwelijkheid – bij de verwerking van persoonsgegevens in de sector elektronische communicatie te waarborgen”.(26)

63. Van rechtmatigheid van „bestaande overzichten” kan, kortom, slechts sprake zijn wanneer het bestaan ervan onder de voorschriften van richtlijn 2002/58 valt.

64. De Franse regering betwist deze zienswijze. Zij is van mening dat het antwoord van het Hof zich moet beperken tot de uitlegging van richtlijn 2003/6 en verordening nr. 596/2014. Beide regelingen machtigen volgens haar de lidstaten impliciet om een algemene en ongedifferentieerde bewaringsplicht in te voeren. Anders zou het nuttig effect ervan ernstig worden geschaad.

65. Ik deel de argumenten van de Franse regering niet, maar zelfs als ik dat wel zou doen, dan nog zou die veronderstelde „impliciete bevoegdheid” zijn onderworpen aan de voorwaarden waaraan de lidstaten volgens de rechtspraak van het Hof moeten voldoen wanneer zij gebruikmaken van de mogelijkheid om de verplichting tot algemene en ongedifferentieerde bewaring van gegevens krachtens richtlijn 2002/58 op te leggen.

66. Met andere woorden: uitgaande van de hypothetische veronderstelling dat richtlijn 2003/6 en verordening nr. 596/2014 een autonome grondslag voor de bewaring van gegevens bieden (quod non), dan nog zouden voor die bewaring dezelfde voorwaarden gelden als wanneer zij op een andere Unierechtelijke bepaling zouden zijn gebaseerd.

67. Die voorwaarden vloeien immers in laatste instantie voort uit de bescherming van de door het Handvest gewaarborgde grondrechten waarnaar in richtlijn 2003/6 en in verordening nr. 596/2014 wordt verwezen. Het zijn precies die rechten waarnaar het Hof in het arrest La Quadrature du Net heeft verwezen.

68. De Franse regering zelf – en al degenen die in de onderhavige procedure hebben geïntervenieerd – konden niet anders dan verwijzen naar de in dat arrest vervatte rechtspraak. Enkele interveniënten (zoals de Portugese regering en de Commissie) hebben benadrukt dat die rechtspraak de leidraad moet vormen voor de beantwoording van deze prejudiciële vragen; anderen (zoals met name de Ierse regering) hebben nadrukkelijk verzocht om herziening ervan.

69. Het debat dat in deze procedure wordt gevoerd spitst zich derhalve toe op de vraag of de rechtspraak van het Hof betreffende de rechtmatigheid van de algemene en ongedifferentieerde bewaring van verkeers‑ en locatiegegevens op het gebied van elektronische communicatie moet worden bevestigd of herzien.

2. Verbod op de algemene en ongedifferentieerde bewaring van verkeersgegevens en wetgevingsmaatregelen ter bescherming van de nationale veiligheid of de bestrijding van zware criminaliteit

70. Zoals ik vandaag betoog in mijn conclusies in Commissioner of the Garda Síochána en SpaceNet en Telekom Deutschland, acht ik een herziening van de rechtspraak van het Hof aangaande artikel 15, lid 1, van richtlijn 2002/58 niet noodzakelijk.

71. In deze context vloeien de elementen die noodzakelijk zijn voor de beantwoording van de verwijzende rechter naar mijn oordeel rechtstreeks voort uit de rechtspraak van het Hof die in het arrest La Quadrature du Net is „gerecapituleerd”.

72. Bijgevolg moet ik vooraleerst herinneren aan de rechtspraak van het Hof in dat arrest, die in punt 168 daarvan als volgt is samengevat:

„[A]rtikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, [moet] aldus [...] worden uitgelegd dat het zich verzet tegen wettelijke maatregelen die voor de in die bepaling genoemde doeleinden preventief voorzien in een algemene en ongedifferentieerde bewaring van verkeers‑ en locatiegegevens. Artikel 15, lid 1, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, verzet zich daarentegen niet tegen wettelijke maatregelen

– die het mogelijk maken om ten behoeve van de bescherming van de nationale veiligheid aan aanbieders van elektronische-communicatiediensten een bevel tot algemene en ongedifferentieerde bewaring van verkeers‑ en locatiegegevens op te leggen in situaties waarin de betrokken lidstaat wordt geconfronteerd met een werkelijke en actuele of voorzienbare bedreiging van de nationale veiligheid, wanneer de beslissing waarbij dat bevel wordt opgelegd, effectief kan worden getoetst door een rechterlijke instantie of onafhankelijke bestuurlijke autoriteit waarvan de beslissing bindend is, waarbij het doel van die toetsing is om na te gaan of een van die situaties zich voordoet en of is voldaan aan de voorwaarden en waarborgen waarin moet worden voorzien, en wanneer dat bevel slechts kan worden opgelegd voor een periode die niet langer is dan strikt noodzakelijk, maar die kan worden verlengd indien die bedreiging voortduurt;

– die ten behoeve van de bescherming van de nationale veiligheid, de bestrijding van zware criminaliteit en de voorkoming van ernstige bedreigingen van de openbare veiligheid voorzien in een gerichte bewaring van verkeers‑ en locatiegegevens, die op basis van objectieve en niet-discriminatoire factoren wordt afgebakend aan de hand van categorieën betrokken personen of aan de hand van een geografisch criterium, voor een periode die niet langer is dan strikt noodzakelijk, maar die kan worden verlengd;

– die ten behoeve van de bescherming van de nationale veiligheid, de bestrijding van zware criminaliteit en de voorkoming van ernstige bedreigingen van de openbare veiligheid voorzien in een algemene en ongedifferentieerde bewaring van de IP‑adressen die zijn toegewezen aan de bron van een verbinding, voor een periode die niet langer is dan strikt noodzakelijk;

– die ten behoeve van de bescherming van de nationale veiligheid, de bestrijding van criminaliteit en de bescherming van de openbare veiligheid voorzien in een algemene en ongedifferentieerde bewaring van de gegevens inzake de burgerlijke identiteit van de gebruikers van elektronische-communicatiemiddelen, en

– die het mogelijk maken om ten behoeve van de bestrijding van zware criminaliteit en, a fortiori, de bescherming van de nationale veiligheid via een aan effectieve rechterlijke toetsing onderworpen beslissing van de bevoegde autoriteit aan aanbieders van elektronische-communicatiediensten een bevel op te leggen tot spoedbewaring van de in hun handen zijnde verkeers‑ en locatiegegevens gedurende een bepaalde periode,

mits die maatregelen, door het gebruik van duidelijke en nauwkeurige regels, verzekeren dat de betrokken gegevens slechts worden bewaard indien aan de daarvoor geldende materiële en procedurele voorwaarden wordt voldaan, en dat de betrokken personen beschikken over effectieve waarborgen tegen het risico van misbruik.”

73. Centraal in de rechtspraak van het Hof inzake richtlijn 2002/58 staat de gedachte dat gebruikers van elektronische-communicatiemiddelen in beginsel erop mogen vertrouwen dat hun communicatie en de daarmee verband houdende gegevens anoniem blijven en niet kunnen worden vastgelegd, tenzij zij daarmee hebben ingestemd.(27)

74. Artikel 15, lid 1, van richtlijn 2002/58 voorziet in uitzonderingen op de verplichting om de vertrouwelijkheid te waarborgen. In het arrest La Quadrature du Net is uitgebreid onderzocht hoe die uitzonderingen kunnen worden verzoend met de grondrechten waarvan de uitoefening kan worden aangetast.(28)

75. De algemene en ongedifferentieerde bewaring van alle verkeersgegevens zou volgens het Hof alleen kunnen worden gerechtvaardigd door de doelstelling van bescherming van de nationale veiligheid, waarvan het belang „dat van de andere doelstellingen die worden genoemd in artikel 15, lid 1, van richtlijn 2002/58 [overstijgt]”.(29)

76. In dat geval (nationale veiligheid) heeft het Hof verklaard dat artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, „zich derhalve in beginsel niet [verzet] tegen een wettelijke maatregel op grond waarvan de bevoegde autoriteiten aan aanbieders van elektronische-communicatiediensten een bevel kunnen opleggen om de verkeers‑ en locatiegegevens van alle gebruikers van elektronische-communicatiemiddelen gedurende een beperkte periode te bewaren, wanneer er voldoende concrete aanwijzingen zijn dat de betrokken lidstaat wordt geconfronteerd met een ernstige bedreiging van de nationale veiligheid [...] en die bedreiging werkelijk en actueel of voorzienbaar is”.(30)

77. Specifiek omvat de „doelstelling van bescherming van de nationale veiligheid” volgens het Hof „het voorkomen en bestrijden van activiteiten die de fundamentele constitutionele, politieke, economische of sociale structuren van een land ernstig kunnen destabiliseren en, met name, een rechtstreekse bedreiging kunnen vormen voor de samenleving, de bevolking of de staat als zodanig”.(31)

78. De betekenis van het arrest La Quadrature du Net zou niet worden gerespecteerd indien hetgeen daarin wordt verklaard met betrekking tot de nationale veiligheid zou kunnen worden geëxtrapoleerd naar strafbare feiten, zelfs ernstige strafbare feiten, die niet de nationale veiligheid, maar wel de openbare veiligheid of andere wettelijk beschermde belangen in gevaar brengen.

79. Het is om die reden dat het Hof een zorgvuldig onderscheid heeft gemaakt tussen nationale wettelijke maatregelen die voorzien in de preventieve algemene en ongedifferentieerde bewaring van verkeers‑ en locatiegegevens ter bescherming van de nationale veiligheid (punten 134 tot en met 139 van het arrest La Quadrature du Net) en maatregelen inzake de bestrijding van criminaliteit en de bescherming van de openbare veiligheid (punten 140 tot en met 151 van dat arrest). Beide typen maatregelen kunnen niet dezelfde draagwijdte hebben, omdat dat onderscheid anders elke betekenis zou verliezen.

80. De instrumenten voor de bewaring van verkeers‑ en locatiegegevens ter bestrijding van zware criminaliteit zijn – ik herhaal het nog maar eens – uiteengezet in de punten 140 tot en met 151 van het arrest La Quadrature du Net. Daaraan moeten ook de instrumenten worden toegevoegd die, met hetzelfde doel, toestemming verlenen voor de preventieve bewaring van IP-adressen en gegevens betreffende de burgerlijke identiteit van de persoon (punten 152 tot en met 159 van dat arrest) en voor de „spoedbewaring” van verkeers‑ en locatiegegevens (punten 160 tot en met 166 van dat arrest).

81. Marktmisbruik is zonder twijfel verwerpelijk, omdat het „de integriteit van de financiële markten [schaadt] en [...] het vertrouwen van het publiek in effecten en derivaten [schendt]”. In die zin kan marktmisbruik, naargelang van het geval, worden aangemerkt als een strafbaar feit, en in de meest voorkomende gevallen als een ernstig strafbaar feit.(32)

82. Daarom wordt, waar in verordening (EU) 2016/794(33) wordt gesproken van wederzijdse samenwerking tussen de bevoegde autoriteiten van de lidstaten bij de voorkoming en bestrijding van vormen van zware criminaliteit waardoor twee of meer lidstaten worden getroffen en van vormen van criminaliteit die een schending inhouden van een gemeenschappelijk belang dat tot het beleid van de Unie behoort, in bijlage I bij die verordening, behalve van andere strafbare gedragingen, eveneens melding gemaakt van „handel met voorkennis en marktmanipulatie”.

83. Het strafbare, en in sommige gevallen zelfs ernstig strafbare, karakter ervan verschilt evenwel niet van het potentiële strafbare karakter van vele andere inbreuken die in strijd zijn met zwaarwegende openbare belangen en met het beleid van de Unie. In bijlage I bij verordening 2016/794 worden, naast andere voorbeelden, de volgende vormen van zware criminaliteit genoemd: drugshandel, witwasactiviteiten, migrantensmokkel, mensenhandel, ontvoering, wederrechtelijke vrijheidsberoving en gijzeling, misdrijven tegen de financiële belangen van de Unie, namaak van producten en productpiraterij, computercriminaliteit, corruptie, en milieucriminaliteit, met inbegrip van verontreiniging vanaf schepen.

84. De openbare belangen die worden beschermd door de strafbaarstelling van sommige van die gedragingen kunnen even zwaarwegend zijn als, of zelfs zwaarwegender zijn dan die welke worden beschermd door de bestraffing van marktmisbruik. Dat betekent echter niet dat die gedragingen een bedreiging voor de nationale veiligheid vormen, in de zin van het arrest La Quadrature du Net.(34)

85. Zoals de Commissie ter terechtzitting heeft betoogd, zijn met richtlijn 2003/6 en verordening nr. 596/2014 nagestreefde doelstellingen gericht op de totstandbrenging van een interne markt (met name in de sector financiële markten), maar niet op het waarborgen van de nationale veiligheid.(35)

86. Een uitbreiding van het begrip „bedreiging van de nationale veiligheid” naar marktmisbruik zou de weg vrijmaken voor dezelfde benadering van vele andere inbreuken op openbare belangen, die niet minder belangrijk zijn, maar die een strafrechter moeilijk onder dat veel restrictievere begrip zou kunnen doen vallen. Indien het Hof deze weg had willen inslaan, zou het zorgvuldige evenwicht dat ten grondslag ligt aan het arrest La Quadrature du Net zinloos zijn geweest.

87. De in artikel 12, lid 2, onder d), van richtlijn 2003/6 en artikel 23, lid 2, onder g) en h), van verordening nr. 596/2914 bedoelde „bestaande” overzichten/opnames kunnen dus slechts die zijn welke volgens richtlijn 2002/58, zoals uitgelegd door het Hof, kunnen worden bewaard om zware criminaliteit te bestrijden en de openbare veiligheid te beschermen. In geen geval kunnen ze worden gelijkgesteld met overzichten/opnames die preventief op algemene en ongedifferentieerde wijze worden bewaard om de nationale veiligheid te waarborgen.

3. Tweede prejudiciële vraag

88. Met de tweede prejudiciële vraag wenst de verwijzende rechter te vernemen of, indien de Franse wetgeving inzake de bewaring van verbindingsgegevens niet in overeenstemming met het Unierecht zou zijn, de gevolgen ervan dan tijdelijk in stand zouden kunnen worden gelaten.

89. Gelet op de datum van zijn verwijzingen, heeft de verwijzende rechter er geen rekening mee kunnen houden dat het antwoord op zijn vragen is te vinden in het arrest (van 6 oktober 2020) La Quadrature du Net (met name in de punten 213 tot en met 228), waarin is vastgehouden aan de traditionele rechtspraak ter zake.

90. Daarin heeft het Hof verklaard dat, nadat een schending van artikel 15, lid 1, van richtlijn 2002/58, gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest is vastgesteld, „de verwijzende rechter geen bepaling van zijn nationale recht mag toepassen die hem machtigt om de werking in de tijd te beperken van een door hem op grond van dit recht uit te spreken onwettigverklaring van de in het hoofdgeding aan de orde zijnde nationale wettelijke regeling”.(36)

91. De reden is dat „[e]nkel het Hof [...], bij wijze van uitzondering en om dwingende redenen van rechtszekerheid, een voorlopige opschorting [kan] toestaan van het effect dat een regel van het Unierecht op het daarmee strijdige nationale recht heeft, namelijk de terzijdestelling daarvan”.(37) „Een dergelijke beperking in de tijd van de werking van de door het Hof aan het Unierecht gegeven uitlegging kan slechts worden vastgesteld in het arrest waarin de gevraagde uitlegging wordt gegeven”(38), hetgeen niet het geval is in het arrest van 8 april 2014, Digital Rights Ireland e.a.(39)

92. Als het Hof het niet juist heeft geacht om de gevolgen van zijn uitlegging van richtlijn 2002/58 te beperken in de tijd, kan de verwijzende rechter bijgevolg niet beslissen om de werking van een nationale regeling die onverenigbaar is met Unierechtelijke bepalingen die, zoals in het geval van richtlijn 2003/6 en verordening nr. 596/2014, moeten worden uitgelegd in het licht van die eerste richtlijn, uit te breiden.

4. Derde prejudiciële vraag

93. Net als met de vorige vraag, wenst de Cour de cassation met zijn derde vraag in wezen te vernemen of een nationale rechterlijke instantie de werking van een wettelijke regeling „die de functionarissen van een zelfstandig bestuursorgaan dat is belast met onderzoek naar marktmisbruik in staat stelt om zonder voorafgaande controle van een rechterlijke instantie of een ander zelfstandig bestuursorgaan inzage in verbindingsgegevens te verkrijgen” voorlopig in stand kan houden.

94. Ook bij deze vraag gaat de verwijzende rechter ervan uit dat deze regeling op zichzelf onverenigbaar is met het Unierecht.(40) Zo verklaart de verwijzende rechter zelf dat hoewel de AMF een onafhankelijk bestuursorgaan is, „de aan haar onderzoekers geboden mogelijkheid om verbindingsgegevens te verkrijgen zonder voorafgaande toetsing door een rechterlijke instantie of een andere onafhankelijk bestuursorgaan [...] niet in overeenstemming [is] met de vereisten van de artikelen 7, 8 en 11 van het Handvest [...] zoals uitgelegd door het Hof”.(41)

95. Tot dezelfde conclusie komt het Hof in zijn arrest van 2 maart 2021, Prokuratuur (Voorwaarden voor toegang tot elektronische-communicatiegegevens)(42), waarin in de punten 51 e.v. wordt benadrukt dat de toegang van de bevoegde nationale instanties tot de bewaarde gegevens moet zijn onderworpen aan voorafgaande toetsing door een rechterlijke instantie of door een onafhankelijke bestuurlijke entiteit die de hoedanigheid van „derde” heeft ten opzichte van degene die om toegang tot de gegevens verzoekt.

96. In deze omstandigheden moet het antwoord op de derde prejudiciële vraag identiek zijn aan dat op de tweede prejudiciële vraag.

V. Conclusie

97. Gelet op een en ander, geef ik het Hof in overweging om de vragen van de Cour de cassation te beantwoorden als volgt:

„1) Artikel 12, lid 2, onder a) en d), van richtlijn 2003/6/EG van het Europees Parlement en de Raad van 28 januari 2003 betreffende handel met voorwetenschap en marktmanipulatie (marktmisbruik), en artikel 23, lid 2, onder g) en h), van verordening (EU) nr. 596/2014 van het Europees Parlement en de Raad van 16 april 2014 betreffende marktmisbruik (verordening marktmisbruik) en houdende intrekking van richtlijn 2003/6/EG van het Europees Parlement en de Raad en richtlijnen 2003/124/EG, 2003/125/EG en 2004/72/EG van de Commissie, moeten aldus worden uitgelegd dat zij zich verzetten tegen een nationale regeling die elektronische-communicatieondernemingen verplicht tot de algemene en ongedifferentieerde bewaring van verkeersgegevens in het kader van het onderzoek van handel met voorwetenschap of marktmanipulatie of ‑misbruik.

2) Een nationale rechterlijke instantie kan de gevolgen van de onverenigbaarheid met het Unierecht van een nationale regeling die aanbieders van elektronische-commmunicatiediensten een verplichting tot de algemene en ongedifferentieerde bewaring van verkeersgegevens oplegt die onverenigbaar is met artikel 15, lid 1, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), gelezen in samenhang met de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest van de grondrechten van de Europese Unie, en die de administratieve autoriteit die is belast met het voeren van onderzoeken naar marktmisbruik, mogelijk maakt om zonder voorafgaande toetsing door een rechterlijke instantie of een ander onafhankelijk bestuursorgaan verbindingsgegevens te verkrijgen, niet beperken in de tijd.”

1 Oorspronkelijke taal: Spaans.

2 Hierna: „conclusie SpaceNet en Telekom Deutschland” en „conclusie Commissioner of the Garda Síochána”, respectievelijk.

3 Richtlijn van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB 2002, L 201, blz. 37).

4 Arrest van 6 oktober 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 en C‑520/18, EU:C:2020:791); hierna: „arrest La Quadrature du Net”.

5 Richtlijn van het Europees Parlement en de Raad van 28 januari 2003 betreffende handel met voorwetenschap en marktmanipulatie (marktmisbruik) (PB 2003, L 96, blz. 16).

6 Verordening van het Europees Parlement en de Raad van 16 april 2014 betreffende marktmisbruik (verordening marktmisbruik) en houdende intrekking van richtlijn 2003/6/EG van het Europees Parlement en de Raad en van richtlijnen 2003/124/EG, 2003/125/EG en 2004/72/EG van de Commissie (PB 2014, L 173, blz. 1).

7 In casu lijken locatiegegevens te zijn uitgesloten, hoewel de grens tussen de twee soorten gegevens niet heel scherp is.

8 Het begrip marktmisbruik in ruime zin, zoals ik dat in deze conclusie zal gebruiken, omvat „onwettige gedragingen op de financiële markten [...]. In het kader van deze verordening moet het worden geïnterpreteerd als handel met voorwetenschap, wederrechtelijke mededeling van voorwetenschap en marktmanipulatie” (overweging 7 van verordening nr. 596/2014).

9 De Conseil constitutionnel was van oordeel dat de procedure voor toegang door de AMF niet in overeenstemming was met het door artikel 2 van de Déclaration des droits de l’homme et du citoyen (verklaring van de rechten van de mens en de burger) beschermde recht op eerbiediging van de persoonlijke levenssfeer.

10 Punt 28 van de verwijzingsbeslissing in zaak C‑339/20 en punt 43 van de verwijzingsbeslissing in zaak C‑397/20.

11 Loc. ult. cit.

12 Punt 29 en punt 44 van de respectieve verwijzingsbeslissingen.

13 Arrest nr. 393099 (ECLI:FR:CEASS:2021:393099.20210421). Logischerwijs kan ik mij in het kader van de onderhavige procedure niet uitspreken over de inhoud van dat arrest wat betreft de verenigbaarheid van bepaalde passages of vaststellingen erin (met name die welke betrekking hebben op de toegang, voor andere doeleinden, tot gegevens die worden bewaard om redenen van nationale veiligheid) met het Unierecht of met de uitlegging die in het arrest La Quadrature du Net is gegeven. Ter terechtzitting heeft de Commissie verklaard dat zij aan het onderzoeken was of er op dat arrest moest worden gereageerd, zonder daarover reeds tot een besluit te zijn gekomen.

14 Op verzoek van het Hof hebben partijen zich tijdens de mondelinge behandeling kunnen uitspreken over dit arrest.

15 Punt 58 van het arrest van de Conseil d’État.

16 Artikel 2 van het dictum van het arrest van de Conseil d’État.

17 Arrest La Quadrature du Net, punt 70: „Met betrekking tot artikel R. 10‑13 CPCE en de daarin neergelegde verplichting tot algemene en ongedifferentieerde bewaring van communicatiegegevens merkt de verwijzende rechter – die vergelijkbare overwegingen formuleert als in zaak C‑511/18 – op dat een dergelijke bewaring de gerechtelijke autoriteit in staat stelt toegang te krijgen tot gegevens inzake de communicatie van een persoon nog voordat deze ervan wordt verdacht een strafbaar feit te hebben gepleegd, zodat die bewaring ongekend nuttig is voor het onderzoeken, vaststellen en vervolgen van strafbare feiten.”

18 Ter terechtzitting heeft de Franse regering verwezen naar de vaststelling van loi n° 2021‑998 du 30 juillet 2021 relative à la prévention d’actes de terrorisme et au renseignement (wet nr. 2021‑998 van 30 juli 2021 inzake het voorkomen van terroristische daden en inzake inlichtingen) (JORF nr. 176 van 31 juli 2021). Artikel 17 van deze wet wijzigt artikel L. 34‑1 CPCE. In een later besluit moet worden bepaald „welke gegevens en categorieën van gegevens, afhankelijk van de activiteit van de exploitanten en de aard van de communicatie, moeten worden bewaard ingevolge de leden II bis en III, zoals gewijzigd, van artikel L. 34 CPCE”.

19 Punt 59 van het arrest van de Conseil d’État. Zoals blijkt uit dictum 1 van dat arrest, moet de vereiste aanpassing met name „een periodieke toetsing van het bestaan van een ernstige, werkelijke en actuele of voorzienbare bedreiging van de nationale veiligheid” omvatten.

20 Volgens artikel 3 van verordening nr. 596/2014 is een „verkeersgegevensoverzicht” een overzicht van verkeersgegevens zoals bedoeld in artikel 2, tweede alinea, onder b), van richtlijn 2002/58, dat wil zeggen „gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronische-communicatienetwerk of voor de facturering ervan”.

21 Cursivering van mij.

22 Cursivering van mij.

23 Cursivering van mij.

24 Er wordt echter wel een termijn van vijf jaar vastgesteld voor de bewaring ervan.

25 Richtlijn ingetrokken bij verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn [95/46] (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1). In herinnering zij gebracht dat het Hof in punt 210 van het arrest La Quadrature du Net heeft verklaard dat „[n]et zoals geldt voor artikel 15, lid 1, van richtlijn 2002/58, [...] de bevoegdheid die artikel 23, lid 1, van verordening 2016/679 de lidstaten verleent, slechts [kan] worden uitgeoefend in overeenstemming met het evenredigheidsvereiste, dat verlangt dat uitzonderingen op de bescherming van persoonsgegevens en beperkingen ervan binnen de grenzen van het strikt noodzakelijke blijven (zie naar analogie, met betrekking tot richtlijn 95/46, arrest van 7 november 2013, IPI, C‑473/12, EU:C:2013:715, punt 39 en aldaar aangehaalde rechtspraak)”.

26 Arrest La Quadrature du Net, punt 91.

27 Arrest La Quadrature du Net, punt 109.

28 Idem, punten 111‑133.

29 Idem, punt 136.

30 Idem, punt 137 (cursivering van mij). Dit is van toepassing, zo vervolgt het Hof, „[o]ok al heeft een dergelijke maatregel zonder onderscheid betrekking op alle gebruikers van elektronische-communicatiemiddelen, zonder dat er op het eerste gezicht enig verband [...] tussen die gebruikers en een bedreiging voor de nationale veiligheid van de betrokken lidstaat lijkt te bestaan”, aangezien „geoordeeld moet worden dat het bestaan van een dergelijke bedreiging op zichzelf dat verband aantoont” (loc. ult. cit.).

31 Arrest La Quadrature du Net, punt 135. Zoals ik in punt 39 van de conclusie SpaceNet en Telekom Deutschland heb opgemerkt, geven deze vereisten aanleiding tot een strengere en striktere regeling dan die welke voortvloeit uit de rechtspraak van het Europees Hof voor de Rechten van de Mens (EHRM) inzake artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM). Dat wordt, zoals duidelijk moge zijn, toegestaan door artikel 52, lid 3, in fine, van het Handvest. Dit onverminderd het feit dat, zoals ik in punt 40 van die conclusie opmerk, de rechtspraak van het EHRM in zijn arresten van 25 mei 2021, Big Brother Watch e.a. tegen Verenigd Koninkrijk (CE:ECHR:2021:0525JUD005817013) en Centrum för Rättvisa tegen Zweden (CE:ECHR:2021:0525JUD003525208), en in het arrest van 4 december 2015, Zacharov tegen Rusland (CE:ECHR:2015:1204JUD004714306), ziet op omstandigheden die niet vergelijkbaar zijn met die van de thans aan de orde zijnde prejudiciële vragen. De oplossing moet worden gevonden door toepassing van nationale regelingen die geacht worden in overeenstemming te zijn met de uitputtende regeling van richtlijn 2002/58, zoals uitgelegd door het Hof.

32 Zie richtlijn 2014/57/EU van het Europees Parlement en de Raad van 16 april 2014 betreffende strafrechtelijke sancties voor marktmisbruik (richtlijn marktmisbruik), (PB 2014, L 173, blz. 179).

33 Verordening van het Europees Parlement en de Raad van 11 mei 2016 betreffende het Agentschap van de Europese Unie voor samenwerking op het gebied van rechtshandhaving (Europol) en tot vervanging en intrekking van de besluiten 2009/371/JBZ, 2009/934/JBZ, 2009/935/JBZ, 2009/936/JBZ en 2009/968/JBZ van de Raad (PB 2016, L 135, blz. 53).

34 Wat betreft de mogelijkheid om een tertium genus van strafbare feiten in te voeren, als tussenvorm tussen nationale veiligheid en zware criminaliteit, verwijs ik naar de punten 51 en 52 van mijn conclusie Commissioner of the Garda Síochána.

35 Vanuit een meer kritisch perspectief heeft de verdediging van VD er in haar mondelinge interventie aan gerefereerd hoe in totalitaire politieke stelsels, die overal bedreigingen voor de veiligheid van de staat zien, nationale veiligheid is gekoppeld aan tal van categorieën van strafbare feiten.

36 Arrest La Quadrature du Net, punt 220.

37 Idem, punt 216.

38 Loc. ult. cit.

39 Gevoegde zaken C‑293/12 en C‑594/12 (EU:C:2014:238).

40 Zoals ik reeds heb opgemerkt, heeft de Conseil constitutionnel artikel L. 621‑10 CMF vernietigd. In het arrest van de Conseil d’État van 21 april 2021 wordt in verschillende passages erkend dat de toegang tot gegevens moet worden voorafgegaan door een toetsing door een rechterlijke instantie of door een onafhankelijk bestuursorgaan met bindende bevoegdheden.

41 Punten 28 en 43 van de respectieve verwijzingsbeslissingen. De aldaar aangehaalde rechtspraak gaat terug op het arrest van 21 december 2016, Tele2 Sverige en Watson e.a. (C‑203/15 en C‑698/15, EU:C:2016:970, punt 120).

42 Zaak C‑746/18, EU:C:2021:152.