Τα κράτη μέλη μπορούν να επιβάλλουν στους παρόχους υπηρεσιών πρόσβασης στο διαδίκτυο υποχρέωση γενικής και χωρίς διάκριση διατήρησης των διευθύνσεων IP με σκοπό την καταπολέμηση των ποινικών αδικημάτων εν γένει, υπό τον όρο ότι η διατήρηση αυτή δεν καθιστά δυνατή τη συναγωγή ακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή του υποκειμένου των δεδομένων. Τούτο μπορεί να επιτευχθεί μέσω μεθόδων διατήρησης που διασφαλίζουν πραγματικά τον στεγανό διαχωρισμό των διευθύνσεων IP από λοιπές κατηγορίες δεδομένων προσωπικού χαρακτήρα, ιδίως από τα στοιχεία ταυτότητας.
Τα κράτη μέλη μπορούν επίσης, υπό ορισμένες προϋποθέσεις, να επιτρέπουν στην αρμόδια εθνική αρχή την πρόσβαση σε στοιχεία ταυτότητας που αφορούν διευθύνσεις IP, υπό τον όρο ότι έχει διασφαλιστεί η κατά τα ανωτέρω διατήρηση που εγγυάται τον στεγανό διαχωρισμό των διαφόρων κατηγοριών δεδομένων. Όταν, σε ιδιάζουσες περιπτώσεις, τα ειδικά χαρακτηριστικά εθνικής διαδικασίας που διέπει την πρόσβαση αυτή μπορούν, μέσω της συσχέτισης των συλλεγόμενων δεδομένων και πληροφοριών, να καταστήσουν δυνατή τη συναγωγή ακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή του υποκειμένου των δεδομένων, η πρόσβαση πρέπει να υπόκειται σε προηγούμενο έλεγχο διενεργούμενο από δικαστήριο ή ανεξάρτητη διοικητική αρχή.
Προκειμένου τα έργα που καλύπτονται από δικαίωμα του δημιουργού ή συγγενικό δικαίωμα να προστατευθούν από αξιόποινες πράξεις διαπραττόμενες στο διαδίκτυο, θεσπίστηκαν με διάταγμα στη Γαλλία δύο είδη επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Το πρώτο είδος επεξεργασίας συνίσταται στη συλλογή, από φορείς που εκπροσωπούν τους δημιουργούς, διευθύνσεων IP που προκύπτει ότι έχουν χρησιμοποιηθεί στο πλαίσιο ομότιμων (peer-to-peer) δικτύων για τη διάπραξη τέτοιων αδικημάτων, καθώς και στη θέση τους στη διάθεση της Haute autorité pour la diffusion des œuvres et la protection des droits sur internet 1 (Ανώτατης αρχής για τη διάδοση των έργων και την προστασία των δικαιωμάτων στο διαδίκτυο) (Hadopi). Το δεύτερο είδος επεξεργασίας περιλαμβάνει, μεταξύ άλλων, την αντιστοίχιση μεταξύ της διεύθυνσης IP και των στοιχείων ταυτότητας του κατόχου της από τους παρόχους υπηρεσιών πρόσβασης στο διαδίκτυο, που ενεργούν κατόπιν αιτήματος της Hadopi. Αυτά τα είδη επεξεργασίας δεδομένων παρέχουν στην εν λόγω αρχή τη δυνατότητα να κινεί, κατά των ταυτοποιούμενων προσώπων, διαδικασία που συνδυάζει μέτρα εκπαιδευτικού και κατασταλτικού χαρακτήρα, τα οποία, στις σοβαρότερες περιπτώσεις, μπορούν να περιλαμβάνουν και προσφυγή ενώπιον της εισαγγελικής αρχής.
Τέσσερις ενώσεις για την προστασία των δικαιωμάτων και ελευθεριών στο Διαδίκτυο προσέφυγαν ενώπιον του γαλλικού Conseil d’État (Συμβουλίου της Επικρατείας) ζητώντας την ακύρωση του επίμαχου διατάγματος. Το εν λόγω δικαστήριο ερωτά το Δικαστήριο αν τα ανωτέρω είδη επεξεργασίας δεδομένων είναι συμβατά με το δίκαιο της Ένωσης.
Η Ολομέλεια του Δικαστηρίου κρίνει ότι η γενική και χωρίς διάκριση διατήρηση διευθύνσεων IP δεν συνιστά κατ’ ανάγκην σοβαρή επέμβαση στα θεμελιώδη δικαιώματα. Η διατήρηση αυτή επιτρέπεται όταν η εθνική ρύθμιση επιβάλλει όρους διατήρησης που διασφαλίζουν πραγματικά τον στεγανό διαχωρισμό των διαφόρων κατηγοριών δεδομένων προσωπικού χαρακτήρα και, ως εκ τούτου, αποκλείουν τη δυνατότητα συναγωγής ακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή του υποκειμένου των δεδομένων.
Το Δικαστήριο διευκρινίζει επίσης ότι το δίκαιο της Ένωσης δεν αντιτίθεται σε εθνική ρύθμιση η οποία επιτρέπει στην αρμόδια δημόσια αρχή να αποκτά πρόσβαση, με μοναδικό σκοπό τον προσδιορισμό του προσώπου ως προς το οποίο υπάρχουν υπόνοιες για τη διάπραξη ποινικού αδικήματος, στα στοιχεία ταυτότητας που αντιστοιχούν σε διεύθυνση IP, τα οποία οι πάροχοι υπηρεσιών πρόσβασης στο διαδίκτυο διατηρούν χωριστά και με τρόπο πραγματικά στεγανό. Τα κράτη μέλη οφείλουν ωστόσο να διασφαλίζουν ότι η πρόσβαση αυτή δεν καθιστά δυνατή τη συναγωγή ακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή των κατόχων των οικείων διευθύνσεων IP. Τούτο συνεπάγεται ότι πρέπει να απαγορεύεται στους υπαλλήλους που αποκτούν τέτοια πρόσβαση να αποκαλύπτουν πληροφορίες σχετικές με το περιεχόμενο των αρχείων που συμβουλεύονται, να εντοπίζουν τη διαδρομή πλοήγησης από τις διευθύνσεις IP και να χρησιμοποιούν τις διευθύνσεις αυτές για σκοπούς διαφορετικούς από την ταυτοποίηση των κατόχων τους ενόψει της ενδεχόμενης
λήψης μέτρων.
Όταν η πρόσβαση σε δεδομένα σχετικά με την ταυτότητα των χρηστών μέσων ηλεκτρονικών επικοινωνιών έχει ως μοναδικό σκοπό την ταυτοποίηση του οικείου χρήστη, δεν απαιτείται η διενέργεια προηγούμενου ελέγχου της πρόσβασης αυτής από δικαστήριο ή ανεξάρτητη διοικητική αρχή, στο μέτρο που η συγκεκριμένη πρόσβαση συνεπάγεται επέμβαση στα θεμελιώδη δικαιώματα μη δυνάμενη να χαρακτηριστεί σοβαρή.
Ο έλεγχος αυτός πρέπει πάντως να προβλέπεται στην περίπτωση κατά την οποία τα ειδικά χαρακτηριστικά εθνικής διαδικασίας που διέπει την εν λόγω πρόσβαση μπορούν, μέσω της συσχέτισης των συλλεγόμενων δεδομένων και πληροφοριών κατά τα διάφορα στάδια της διαδικασίας αυτής, να καταστήσουν δυνατή τη συναγωγή ακριβών συμπερασμάτων σχετικά με την ιδιωτική ζωή του υποκειμένου των δεδομένων και, ως εκ τούτου, να έχουν ως συνέπεια σοβαρή επέμβαση στα θεμελιώδη δικαιώματα.
Σε μια τέτοια περίπτωση, ο ως άνω έλεγχος από δικαστήριο ή ανεξάρτητη διοικητική οντότητα πρέπει να διενεργείται πριν από τη συσχέτιση των συλλεγόμενων δεδομένων και πληροφοριών, διατηρούμενης παραλλήλως της αποτελεσματικότητας της εν λόγω διαδικασίας, ιδίως μέσω της δυνατότητας προσδιορισμού των περιπτώσεων ενδεχόμενης περαιτέρω επανάληψης της επίμαχης παραβατικής συμπεριφοράς.