Un décret publié le 16 octobre 2025 au Journal officiel prolonge pour un an l’obligation faite aux opérateurs de télécommunications de conserver les données de connexion de leurs utilisateurs. Signé par le Premier ministre Sébastien Lecornu, ce texte invoque une « menace grave et actuelle contre la sécurité nationale ». Une mesure défendue par l’exécutif mais qui soulève, une fois encore, la question de la surveillance numérique.
La France poursuit sa ligne dure en matière de sécurité numérique. Par le décret n° 2025-980 du 15 octobre 2025, le gouvernement a ordonné aux opérateurs de communications électroniques de conserver pendant un an l’ensemble des données dites de « connexion », c’est-à-dire les informations techniques permettant de retracer les échanges en ligne et téléphoniques.
Le texte, publié au Journal officiel le 16 octobre, s’appuie sur les articles L. 34-1 et R. 10-13 du Code des postes et des communications électroniques ainsi que sur la loi du 21 juin 2004 pour la confiance dans l’économie numérique. Il s’inscrit dans la continuité des précédents décrets de ce type, pris en 2021 et 2023, mais cette fois sous l’autorité du nouveau Premier ministre, Sébastien Lecornu.
Selon l’exécutif, la mesure se justifie par la « menace grave et actuelle contre la sécurité nationale ». En clair, l’État invoque le risque terroriste et cybercriminel pour maintenir la possibilité d’accéder rapidement aux métadonnées nécessaires aux enquêtes judiciaires et au renseignement. Ces données ne concernent pas le contenu des messages, mais bien les éléments techniques : identifiants de connexion, durée des communications, adresses IP, ou encore localisation des terminaux.
Une mesure sous surveillance juridique européenne
La conservation généralisée et indifférenciée des données de connexion demeure pourtant controversée au regard du droit européen. La Cour de justice de l’Union européenne (CJUE) a rappelé à plusieurs reprises que de telles mesures ne peuvent être adoptées qu’en cas de menace exceptionnelle, précise et temporaire. Pour contourner cette restriction, la France recourt à une « injonction annuelle », renouvelée depuis 2015, justifiée chaque fois par une situation sécuritaire « grave et actuelle ».
Les défenseurs des libertés numériques, comme la Quadrature du Net, dénoncent une « fiction juridique » destinée à pérenniser une surveillance de masse sous couvert d’urgence. À l’inverse, le ministère de l’Intérieur estime que la mesure est indispensable pour identifier les auteurs d’actes de cyberterrorisme ou de désinformation coordonnée, et rappelle qu’elle s’accompagne d’un contrôle de la Commission nationale de contrôle des techniques de renseignement (CNCTR).
Sécurité contre vie privée : un équilibre précaire
Ce nouveau décret illustre le dilemme récurrent entre protection nationale et respect des libertés individuelles. Alors que l’Europe débat du futur cadre de régulation de l’intelligence artificielle et de la cybersécurité, la France choisit de privilégier la prudence et la continuité du renseignement.
Entré en vigueur le 21 octobre 2025, le décret 2025-980 marque une nouvelle étape dans la normalisation de l’exception sécuritaire. Et relance, de facto, le débat sur la transparence et la durée réelle de ces mesures d’urgence répétées.
Sources :
Journal officiel de la République française – Décret n° 2025-980 du 15 octobre 2025 – legifrance.gouv.fr
CJUE – Arrêt du 6 octobre 2020 sur la conservation généralisée des données – curia.europa.eu
La Quadrature du Net – Analyse sur la conservation des données en France – laquadrature.net
