Le décret signé par Sébastien Lecornu impose depuis le 21 octobre 2025 la conservation pendant douze mois de métadonnées par les opérateurs (Orange, Free, Bouygues, SFR) et les grandes plateformes (X, TikTok, Instagram), visant la « sauvegarde de la sécurité nationale ». Bien que le contenu des échanges ne soit pas stocké, les adresses IP, horaires, caractéristiques techniques et localisations permettent de profiler les comportements. La mesure, renouvelant une pratique depuis 2022, contourne le Parlement et s’appuie sur une exception nationale face à la jurisprudence de la Cour de justice de l’Union européenne, suscitée par des craintes de surveillance de masse, de fuites massives de données (ex. piratage Free 2024) et des recours attendus des défenseurs des libertés numériques.
Le Premier ministre Sébastien Lecornu a signé le 15 octobre un décret controversé obligeant les opérateurs télécoms et les grandes plateformes à conserver les données de connexion de leurs utilisateurs durant douze mois. Justifié par une « menace sérieuse à la sécurité nationale », ce texte prend effet le 21 octobre et ravive les tensions concernant la surveillance numérique en France.
Une surveillance incluant les télécoms et les réseaux sociaux
Le décret nᵒ 2025-980, signé le 15 octobre par le Premier ministre Sébastien Lecornu, a pris effet le 21 octobre 2025. Il ordonne à Orange, Free, Bouygues Telecom et SFR, mais également aux grandes plateformes comme X, TikTok ou Instagram, de conserver certaines catégories de données de connexion.
Cette obligation ne s’applique pas au contenu des échanges. Néanmoins, elle s’intéresse aux métadonnées, ces données techniques qui fournissent de précieuses indications sur nos comportements. Les opérateurs seront tenus d’enregistrer les adresses IP utilisées, les horaires de connexion, les caractéristiques techniques des communications ainsi que la localisation approximative des utilisateurs sur mobile, déterminée à partir des antennes relais. Les plateformes seront tenues d’archiver les métadonnées associées aux publications, telles que l’identifiant, l’heure ainsi que le type d’action.
Il s’agit en effet des métadonnées, à savoir les informations relatives aux échanges, telles que l’identité des interlocuteurs, la date et l’heure des communications, ainsi que le lieu d’origine, sans toutefois inclure le contenu des échanges. Ces informations sont néanmoins suffisantes pour établir des profils comportementaux d’une grande précision.
Une justification sécuritaire contestée
Le gouvernement évoque la sécurité nationale afin de justifier cette mesure. Le décret stipule qu’il s’agit d’une injonction « aux fins de la sauvegarde de la sécurité nationale », ayant pour objectif de conserver les données de trafic et de localisation pour une durée d’un an. L’exécutif fonde ses actions sur l’article L.34-1 du Code des postes et des communications électroniques, ainsi que sur la loi de 2004 relative à la confiance dans l’économie numérique.
Ce type de décret confère au Premier ministre la possibilité d’éviter le délicat processus d’examen devant le Parlement et de prendre des mesures unilatérales dès qu’il juge que la sécurité nationale est en péril. Cependant, un texte analogue est déjà en vigueur en France depuis octobre 2022, également justifié par des préoccupations relatives à la sécurité nationale. Cette pratique, qui élude le débat législatif, tend donc à se répéter de manière récurrente.
Le manque de clarté concernant la nature précise de la menace évoquée suscite des interrogations. De surcroît, aucun dispositif de protection clairement défini ne régule l’accès à ces données sensibles.
Un affrontement avec la justice européenne
La France tire parti d’une lacune juridique afin de contourner la jurisprudence européenne. La conservation généralisée et indifférenciée des données de connexion ne peut être exigée des opérateurs que dans le cadre des nécessités liées à la sécurité nationale, en cas de menace grave. Dans son arrêt emblématique du 6 octobre 2020, la Cour de justice de l’Union européenne a statué qu’une conservation généralisée et indifférenciée des données est incompatible avec le droit européen, en raison de son caractère d’ingérence disproportionnée dans la vie privée.
Néanmoins, la France tire parti d’une lacune laissée par la Cour de justice de l’Union européenne, laquelle permet l’adoption d’une telle mesure en cas de « menace grave » pesant sur la sécurité nationale. C’est sur cette fondation que le Conseil d’État, dans son arrêt relatif à French Data Network en date du 21 avril 2021, avait entériné le principe sous condition d’une réévaluation périodique. Le décret Lecornu s’inscrit par conséquent dans cette dynamique de renouvellement annuel.
Depuis plusieurs années, la Cour de justice de l’Union européenne exerce une censure à l’égard des dispositifs de conservation généralisée, en privilégiant des approches plus ciblées. La stratégie adoptée par la France repose donc sur le maintien de ce dispositif, en invoquant de manière systématique la sécurité nationale.
Des métadonnées révélatrices
Même en l’absence de contenu, les métadonnées offrent la possibilité de cartographier les comportements et les relations sociales d’un individu, ce qui ouvre la voie à une surveillance approfondie. Ces informations indiquent avec qui vous entretenez des communications, à quelle fréquence, depuis quel endroit et à quel moment. Elles ont également la capacité de signaler vos déplacements journaliers par le biais des antennes relais.
Sur les plateformes de réseaux sociaux, les métadonnées englobent le type d’interaction réalisée. Elles permettent de déterminer si vous avez émis un commentaire, partagé ou simplement consulté un contenu. En confrontant ces informations à d’autres sources, il devient envisageable de reconstituer un profil comportemental approfondi.
Les organisations engagées dans la protection des libertés numériques dénoncent une surveillance de masse systématiquement institutionnalisée. Pour ces personnes, cette collecte systématique constitue une violation inacceptable du respect de la vie privée des citoyens.
Le risque majeur des fuites de données
Au-delà de la problématique de la surveillance, se pose également celle de la sécurité des données conservées. Cette conservation engendre un danger tangible : le risque de divulgation de données provenant des opérateurs de télécommunications. La conservation d’importants volumes d’informations sensibles sur une période d’un an accroît considérablement la surface d’attaque pour les cybercriminels.
L’exemple récent est particulièrement révélateur. Le piratage massif survenu chez Free en octobre 2024, affectant 19,4 millions d’abonnés, a mis en lumière de manière frappante la vulnérabilité de ces bases de données. Plus les opérateurs conservent de données, plus ils se transforment en cibles attrayantes pour les cybercriminels.
Ces bases de données centralisées représentent par conséquent des « trésors » potentiels pour les cybercriminels. Une fois dérobées, ces métadonnées peuvent être utilisées à des fins malveillantes, telles que l’usurpation d’identité, le chantage ou la revente sur le dark web. Les opérateurs seront donc tenus de renforcer de manière significative leur sécurité informatique.
Une mobilisation pour la liberté numérique
Les organisations engagées dans la défense des libertés numériques ne se contenteront pas d’observer passivement. En réponse à ce nouveau texte, les associations ont d’ores et déjà fait savoir qu’elles s’apprêtaient à introduire un recours en annulation. Elles considèrent que l’ambiguïté relative à la menace évoquée ainsi que l’absence de contrôle effectif constituent des atteintes aux droits fondamentaux.
Pour le gouvernement, cela constitue officiellement un instrument essentiel dans la lutte contre le terrorisme et la criminalité organisée. Les autorités affirment que ces données facilitent la traçabilité des parcours des suspects et contribuent au démantèlement de réseaux criminels. Cependant, pour les partisans de la protection de la vie privée, cela constitue un pas supplémentaire vers une société placée sous surveillance constante.
Le rôle du Conseil d’État s’avérera, une fois de plus, crucial pour évaluer si la France se conforme aux limites établies par la justice européenne. Le dénouement de ce nouveau conflit juridique sera déterminant pour établir l’équilibre entre la sécurité nationale et la protection des libertés individuelles au sein de l’espace numérique français.
