Orange, Free, SFR et Bouygues contraints de conserver les données des abonnés pendant un an
Un nouveau décret impose aux opérateurs et plateformes de conserver les données de connexion des Français pendant douze mois. Le gouvernement invoque la sécurité nationale, tandis que les défenseurs des libertés numériques dénoncent une surveillance de masse déguisée.
Publié en toute discrétion au Journal officiel du 16 octobre, le décret n°2025-980, signé par le Premier ministre Sébastien Lecornu, est entré en vigueur le 21 octobre 2025. Ce texte renouvelle, pour la quatrième année consécutive, l’obligation faite aux opérateurs télécoms et aux plateformes numériques de conserver les métadonnées de tous les utilisateurs pendant une durée d’un an. Une mesure justifiée au nom de la sécurité nationale, mais qui continue de diviser profondément.
Les opérateurs et plateformes sommés de conserver les traces numériques
Concrètement, le décret vise deux catégories d’acteurs :
Les fournisseurs d’accès à Internet tels qu’Orange, SFR, Bouygues Telecom ou Free doivent stocker les adresses IP contactées, les horaires de connexion, les caractéristiques techniques des communications et la localisation approximative des utilisateurs mobiles.
Les plateformes de contenu et réseaux sociaux : Facebook, X (ex-Twitter), Instagram, TikTok, Reddit, ou encore les forums communautaires doivent, elles, archiver les métadonnées liées aux publications : identifiant, heure et nature de l’action effectuée.
Ces métadonnées ne contiennent pas le contenu des messages, mails ou conversations, mais elles suffisent à dresser un portrait comportemental extrêmement précis : qui contacte qui, à quelle fréquence, depuis quel lieu, et via quel service. Un ensemble d’informations qui, croisées, permettent de cartographier la vie numérique de tout individu.
Une mesure justifiée par la sécurité nationale
Le gouvernement explique que cette collecte massive vise à prévenir le terrorisme, lutter contre la criminalité organisée et protéger les intérêts fondamentaux de la Nation. Le texte s’appuie sur l’article L.34-1 du code des postes et communications électroniques et sur la loi de 2004 pour la confiance dans l’économie numérique, deux fondements juridiques déjà utilisés par les gouvernements précédents.
Le décret n’a pas eu besoin d’être présenté devant le Parlement car il s’agit d’une mesure réglementaire, directement applicable après publication. Ce pouvoir exécutif direct, justifié par la « nécessité de sécurité nationale », permet au gouvernement d’éviter un débat parlementaire et d’agir sans contrainte politique, au grand dam des défenseurs des libertés publiques.
Un renouvellement annuel qui contourne le droit européen
Depuis 2021, ce décret est renouvelé chaque année presque à l’identique. Une reconduction qui n’a rien d’anodin : elle permet à la France de contourner la jurisprudence de la Cour de justice de l’Union européenne (CJUE).
Cette dernière a rappelé à plusieurs reprises que la conservation généralisée et indifférenciée des données de connexion est contraire au droit européen. Selon la CJUE, une telle mesure ne peut être justifiée que si la sécurité nationale fait face à une menace grave, réelle et actuelle ou prévisible, et seulement de manière temporairement limitée au strict nécessaire.
Plutôt que de faire voter une loi risquant d’être censurée, le gouvernement publie donc chaque année un nouveau décret, contournant ainsi le risque juridique d’un texte permanent. Une stratégie que certains juristes qualifient de « subterfuge administratif », et qui alimente la méfiance autour d’une surveillance devenue structurelle.
Des critiques persistantes sur une surveillance de masse institutionnalisée
Les associations de défense des droits numériques, comme La Quadrature du Net ou Privacy International, dénoncent depuis plusieurs années une institutionnalisation progressive de la surveillance de masse en France.
Selon elles, même sans contenu intercepté, les métadonnées permettent déjà d’obtenir un niveau de détail intrusif sur la vie privée : localisation, habitudes, réseaux relationnels, voire centres d’intérêt ou orientations politiques déduites des comportements en ligne.
Autre inquiétude majeure : la sécurité du stockage de ces données sensibles. Leur conservation pendant douze mois multiplie les risques de piratage, de fuites ou d’abus, alors que les opérateurs doivent financer eux-mêmes l’infrastructure nécessaire.
Un dispositif jugé inefficace et disproportionné
Les critiques ne se limitent pas à la question des libertés publiques. Plusieurs experts en cybersécurité soulignent le caractère peu efficace d’une telle surveillance de masse : la quantité gigantesque de données collectées rend leur exploitation difficile et peu ciblée.
« L’accumulation de métadonnées crée un bruit de fond qui complique le travail d’analyse », explique un ancien membre des services de renseignement. « C’est un peu comme chercher une aiguille dans une botte de foin… après avoir ajouté encore plus de foin. »
Entre sécurité et libertés, un équilibre toujours plus fragile
Ce nouveau décret illustre une tension croissante entre impératif sécuritaire et respect de la vie privée.
Alors que le gouvernement défend une approche préventive face à des menaces jugées « permanentes », les défenseurs des libertés rappellent qu’aucune société démocratique ne devrait accepter une surveillance généralisée de ses citoyens sans contrôle démocratique, transparence ni limitation claire dans le temps.
L’absence de débat public, la reconduction automatique du décret et l’opacité sur les conditions d’accès aux données renforcent le sentiment d’une normalisation de la surveillance numérique. Une dérive que certains estiment déjà difficile à inverser.
Vers une société sous traçage permanent ?
Naviguer sur Internet laisse des traces via les adresses IP, horaires, connexions, géolocalisation et l’État français entend préserver l’accès à ces empreintes numériques. Mais derrière la promesse de sécurité nationale, c’est une question de confiance qui se pose : celle d’un État capable de surveiller massivement sans rendre de comptes, dans un contexte où la frontière entre protection et intrusion devient de plus en plus floue.