Décret Lecornu : la manœuvre légale qui contourne l'Europe pour conserver vos données pendant un an

Publié au Journal Officiel le 15 octobre 2025, le décret n°2025-980 signé par le Premier ministre Sébastien Lecornu est entré en vigueur ce 21 octobre. Ce texte contraint les fournisseurs d'accès à internet et hébergeurs à conserver les métadonnées de l'ensemble de la population, malgré une interdiction de principe de l'Union européenne. Planet fait le point sur ce bras de fer juridique et ses conséquences pour la sécurité de vos informations personnelles.

Une surveillance réactivée au nom de la sécurité nationale

Le texte est explicite. L'article 1er du Décret n° 2025-980 enjoint aux opérateurs de communications électroniques de « conserver, pour une durée d'un an, les données de trafic et de localisation ». Concrètement, il s'agit des métadonnées : qui a communiqué avec qui, quand, et depuis où, mais pas le contenu des conversations. Chaque Français est donc concerné par cette mesure.

Pour justifier cette obligation, le gouvernement invoque une « menace grave et actuelle contre la sécurité nationale ». Ce motif est une clé juridique qui lui permet d’agir par voie réglementaire, via un simple décret, se passant ainsi d'un débat ou d'un vote devant le Parlement. Il s'agit d'un renouvellement d'une mesure déjà prise par le passé et régulièrement contestée devant la justice.

Un contournement de la justice européenne

Cette stratégie vise à contourner la jurisprudence constante de la Cour de justice de l'Union européenne (CJUE). Dans son arrêt fondateur du 6 octobre 2020 (affaires jointes La Quadrature du Net e.a.), la Cour a jugé qu'une conservation généralisée et indifférenciée des données est contraire au droit européen, car elle constitue une ingérence disproportionnée dans la vie privée.

La France exploite cependant une brèche laissée ouverte par la CJUE, qui autorise une telle mesure en cas de « menace grave » pour la sécurité nationale. C’est sur cette base que le Conseil d'État, dans son arrêt French Data Network du 21 avril 2021, avait validé le principe sous réserve d'une réévaluation régulière. Le décret Lecornu sur la rétention des données est donc une application directe de cette exigence.

Un risque accru pour la sécurité de vos données

Pour les associations de défense des libertés numériques, les conséquences du décret n°2025-980 pour la vie privée sont majeures. Même sans le contenu, les métadonnées permettent de cartographier les habitudes et les relations sociales d'un citoyen, ouvrant la porte à une surveillance étendue.

Au-delà de ce débat, cette conservation crée un danger très concret : le risque de fuite de données des opérateurs télécoms. Stocker d’immenses volumes d’informations sensibles sur un an multiplie la surface d'attaque pour les pirates. Le piratage massif de Free en octobre 2024, qui a touché 19,4 millions d'abonnés, a cruellement illustré la vulnérabilité de ces bases de données.

Suite à cet incident, la CNIL avait d'ailleurs engagé une procédure de sanction. Face à ce nouveau texte, les associations ont déjà annoncé préparer un recours en annulation. Le rôle du Conseil d'État dans la conservation des données de connexion sera donc une nouvelle fois déterminant pour juger si la France respecte bien les limites fixées par la justice européenne.