Les opérateurs vont continuer de conserver les données de connexion des Français

Les opérateurs vont continuer de conserver les données de connexion des Français
Maurine Briantais

Un décret signé par le Premier ministre vient renouveler l'obligation pour les opérateurs de conserver pendant un an toutes les métadonnées de connexion de leurs abonnés, au nom de la sécurité nationale. Une mesure qui fait débat...

Voilà une nouvelle qui ne va pas plaire aux défenseurs de la liberté numérique ! C'est en effet en toute discrétion que le Premier ministre du moment, Sébastien Lecornu, a signé le décret n° 2025-980 qui impose aux opérateurs télécoms et aux plateformes de conserver pendant un an les métadonnées de connexion des Français, soit des informations particulièrement sensibles, dans l'objectif d'assurer la sécurité nationale. Publié au Journal officiel du 16 octobre, ce texte très important est entré en vigueur le mardi 21 octobre, relançant l'éternel débat sur la vie privée numérique et les risques de surveillance de masse.

Conservation de données de connexion : un texte renouvelé chaque année

Tout remonte à 2021, où un décret sur la conservation généralisée des métadonnées par les opérateurs télécoms et plateformes a été publié pour la première fois. Celui-ci porte sur deux points. Premièrement, il oblige les opérateurs – donc Orange, SFR, Free et Bouygues Telecom – à conserver les données de connexion de tous les utilisateurs pendant un an. Ces données, que l'on appelle "données de trafic", comprennent les données visées, on trouve les adresses IP utilisées, les horaires de connexion, les caractéristiques techniques de chaque communication et la localisation approximative des utilisateurs mobiles.

Deuxièmement, il impose aux plateformes comme Facebook, X ou encore Instagram de conserver les identifiants de publication ainsi que l'heure et la nature de l'action effectuée par les internautes. Dans tous les cas, ce sont bien les métadonnées, et non le contenu des échanges et communications, qui sont conservées et potentiellement inspectées.

Mais ces métadonnées révèlent tout de même des informations essentielles sur chaque internaute, en permettant notamment d'établir un profil numérique précis : avec qui il communique, à quelle fréquence, ses déplacements quotidiens, et les différents services consultés. Le fait de forcer les opérateurs et les plateformes à conserver toutes ces données pendant un an doit permettre aux services de renseignement et aux forces de l'ordre d'accéder rapidement aux informations techniques nécessaires à leurs enquêtes, tout en disposant d'un historique suffisant pour "remonter" une chaîne de communications ou de connexions. Tout cela dans le but de protéger la sécurité nationale contre le terrorisme et la criminalité organisée. 

Conservation de données de connexion : une mesure de sécurité ou de surveillance ?

Ce fameux décret est donc renouvelé tous les ans depuis 2021. Il est pris sans passer par le Parlement, en s'appuyant sur l'article L.34-1 du code des postes et communications électroniques et sur la loi de 2004 pour la confiance dans l'économie numérique. Mais cette pratique suscite des critiques récurrentes, car la Cour de justice de l'Union européenne (CJUE) a censuré à plusieurs reprises des dispositifs de conservation généralisée et indifférenciée des données, en leur préférant des approches ciblées, car ce système viole le droit européen. En renouvelant le décret tous les ans, la France contourne tout simplement la jurisprudence de la CJUE. D'autant plus que le texte est particulièrement flou quant à la nature exacte de la menace invoquée et sur les mécanismes de contrôle prévus pour éviter les abus. Une opacité qui nourrit les inquiétudes autour d'une surveillance de masse institutionnalisée.

Les opposants à ce décret ont plusieurs inquiétudes à son sujet. Premièrement, stocker un très grand volume de métadonnées crée un risque accru que ces données soient mal sécurisées, piratées ou détournées. D'autant plus que pour les opérateurs et les plateformes, la mise en œuvre de cette obligation implique des coûts (stockage, sécurisation, durée, accès aux données, etc.).

Des voix remettent également en cause l'efficacité réelle de la mesure : la conservation massive pourrait générer un volume tel que l'exploitation devient difficile ou peu ciblée, diluant l'effet opérationnel. Mais, surtout, les opposants y voient une forme de banalisation de la surveillance de masse. Car qui va garantir que l'État ou ses services ne détourneront pas ce matériel pour d'autres finalités. Une obligation initialement prévue pour le terrorisme pourrait tout à fait s'étendre à des formes moins graves de délinquance, voire à du contrôle social ou de la surveillance politique. Pour eux, les garanties ne sont pas assez suffisantes. Bref, le décret n'a pas fini de provoquer la levée de boucliers !