Un décret signé par le Premier ministre impose aux opérateurs télécoms et plateformes de conserver pendant un an vos métadonnées de connexion. Si certains y voient une entrave à la liberté, l'objectif affiché est celui de la sécurité nationale.

Sébastien Lecornu a signé un décret qui ordonne aux plateformes de stocker vos données pendant un an © Antonin Albert / Shutterstock
Sébastien Lecornu a signé un décret qui ordonne aux plateformes de stocker vos données pendant un an © Antonin Albert / Shutterstock

Signé dans la plus grande discrétion, le décret n°2025-980 ordonne aux opérateurs de télécommunications la conservation massive de données de connexion. Le texte, qui va entrer en vigueur cette semaine, le mardi 21 octobre 2025 très exactement, est apparu dans le Journal officiel du 16 octobre. Plus précisément, le Premier ministre Sébastien Lecornu, qui l'a signé, valide donc de fait le dispositif qui impose aux fournisseurs d'accès à Internet et aux plateformes en ligne de conserver pendant douze mois les données de trafic et de localisation des utilisateurs. De quoi relancer le débat sur la vie privée numérique.

Deux catégories d'acteurs concernés par la conservation obligatoire des métadonnées

Pour bien comprendre les contours et l'enjeu de ce décret, il faut distinguer deux périmètres distincts. D'un côté, les fournisseurs d'accès Internet comme Orange, Free, Bouygues Telecom ou SFR, même en vente, devront stocker ce qu'on appelle les « données de trafic ». Dans ces données, on retrouve les adresses IP que vous contactez, les horaires de connexion, et les caractéristiques techniques de chaque communication. Sur mobile, la localisation approximative via les antennes relais s'ajoute à la liste.

De l'autre côté, nous avons les plateformes qui hébergent du contenu. Il peut s'agir d'Instagram, TikTok, X ou Facebook, mais aussi des forums communautaires de discussion ou des sites que vous visitez, qui devront archiver les métadonnées de création. Concrètement, lorsque vous publiez un commentaire ou un post, l'identifiant utilisé, l'heure exacte et la nature de l'action sont enregistrés. Ces traces permettent de remonter à l'auteur d'un contenu.

Précisons qu'il est question ici des métadonnées, pas du contenu de vos communications. Vos e-mails ou vos messages privés ne sont pas lus. Mais ces métadonnées révèlent déjà beaucoup différentes informations à votre sujet, par exemple avec qui vous communiquez, à quelle fréquence, vos déplacements quotidiens, et potentiellement les services en ligne que vous contactez via leur adresse IP.

Le décret du 15 octobre 2025, signé par Sébastien Lecornu © Capture d'écran Clubic
Le décret du 15 octobre 2025, signé par Sébastien Lecornu © Capture d'écran Clubic

Une surveillance contestée mais légale

Ce type de décret permet au Premier ministre d'éviter l'épineux passage devant le Parlement et d'agir seul dès qu'il estime la sécurité nationale menacée. Et c'est bien l'objectif recherché par le texte. Les articles L. 34-1 du code des postes et communications électroniques et l'article 6 de la loi de 2004 sur l'économie numérique prévoient en tout cas explicitement ce mécanisme. Reste que l'absence de contrôle préalable peut déranger.

Depuis plusieurs années, la Cour de justice de l'Union européenne censure les dispositifs de conservation généralisée, en leur préférant des approches ciblées. La France maintient pourtant cette ligne, puisqu'un décret similaire avait déjà été pris en octobre 2022 avec la même formulation sur la menace à la sécurité nationale.

Les opérateurs et plateformes stockent ces données sur ordre de l'État, qui peut ensuite y accéder selon des procédures définies ailleurs. Le texte ne précise ni la nature exacte de la menace invoquée, ni les garanties contre d'éventuels abus. Une opacité qui alimente forcément les critiques sur une surveillance qui pourrait se normaliser.