Un débat intense se déroule actuellement dans les capitales européennes au sujet d'un document du Conseil de l'UE qui circule parmi les États membres et qui rouvre le différend le plus épineux de l'histoire de la réglementation européenne en matière de protection de la vie privée. Les gouvernements envisagent un projet de loi visant à obliger les fournisseurs de services en ligne à conserver d'importantes quantités de données utilisateur pendant une durée pouvant aller jusqu'à un an. Ce projet dépasse le cadre des opérateurs de télécommunications et vise à englober la quasi-totalité de l'écosystème numérique : plateformes cloud, hébergeurs de noms de domaine, processeurs de paiement en ligne et applications de messagerie chiffrée de bout en bout, telles que WhatsApp et Signal. Dans ce document, les autorités assurent qu'elles n'ont pas l'intention d'interférer avec le chiffrement ni d'accéder au contenu des communications. Elles annoncent se concentrer sur les métadonnées, c'est-à-dire les informations relatives aux contacts établis : qui a contacté qui, depuis quel lieu, à quelle heure et par quel service. La nature de ces données permet de reconstituer l'intégralité des schémas d'activité et des relations sociales des utilisateurs.

Par le passé, les programmes de conservation des données, tant au niveau de l'UE que des pays nationaux, ont été systématiquement rejetés par la Cour de justice de l'Union européenne et les juridictions nationales. Ils ont été jugés illégaux car ils imposaient la collecte d'informations sur tous les utilisateurs sans distinction quant aux situations nécessitant une intervention. Les arrêts exigeaient un champ d'application limité et une définition précise des objectifs. Malgré cela, la nouvelle proposition élargit le champ d'application de la conservation, au lieu de se concentrer sur des mesures ciblées. Le gouvernement allemand avait envisagé de ne conserver que les adresses IP et les numéros de port pendant plusieurs mois. Cependant, le document du Conseil indique que la grande majorité des États membres plaident pour une version plus exhaustive, incluant un ensemble de données plus important et une durée de conservation plus longue.

Le projet propose d'imposer des obligations de conservation des données au plus grand nombre possible de services internet. Parmi les services concernés figurent les fournisseurs de VPN, les hébergeurs, les plateformes d'échange de cryptomonnaies, les services de jeux en ligne, les services de transport de passagers et les intermédiaires de commerce électronique. De ce fait, la quasi-totalité des entreprises assurant la médiation des échanges en ligne seraient intégrées au système d'archivage de données de l'État. Alors que certains responsables affirment se concentrer sur les données des abonnés, de nombreux gouvernements exigent un champ d'application beaucoup plus large en matière de conservation des données. Le document propose de collecter les numéros de série des appareils et les données de communication, qui détaillent les contacts entre utilisateurs. Ce champ d'application rappelle les obligations imposées par la directive européenne de 2006, qui imposait l'enregistrement de tous les appels et messages téléphoniques.

Le document aborde également la question de l'enregistrement des données de géolocalisation. Les réseaux mobiles enregistrent les informations relatives à la position d'un téléphone, permettant ainsi aux utilisateurs de suivre leurs déplacements quasiment en temps réel. Les partisans de cette approche soulignent son utilité potentielle pour la recherche de personnes disparues. Toutefois, le document reconnaît lui-même que toutes les disparitions ne sont pas liées à un crime. Malgré cela, certains pays exigent par défaut la collecte de ces données pour l'ensemble de la population. Historiquement, le cadre réglementaire de l'UE limitait la conservation des données à environ six mois. La proposition actuelle double presque cette période. La plupart des pays plaident pour une durée minimale d'un an, tandis que certains souhaitent que Bruxelles fixe uniquement une limite inférieure, sans limite supérieure. Cela pourrait potentiellement étendre indéfiniment la durée de conservation des données par les autorités nationales. Cela contraste avec les évaluations précédentes des forces de l'ordre. L'Office fédéral de police criminelle allemand a souligné qu'un délai de deux à trois semaines serait suffisant pour la plupart des enquêtes. Le projet de l'UE s'écarte de ces conclusions, sans fournir d'explication quant à la raison pour laquelle les évaluations précédentes devraient être écartées.

Le nouveau système part du principe que chaque État membre définira indépendamment les actes considérés comme des infractions « graves ». Cette structure ouvre la voie à l'utilisation des données de conservation dans le cadre d'enquêtes sur le harcèlement, les discours de haine et autres activités soumises à une réglementation des contenus de plus en plus stricte. Le document n'explique pas comment le système se conformera aux arrêts antérieurs de la CJUE, qui interdisaient de considérer tous les utilisateurs comme des suspects potentiels. Il est essentiel de réévaluer la proportionnalité de la conservation des données au regard des évolutions technologiques. Concrètement, cela implique de repenser les limites légales plutôt que de les respecter. La Commission européenne a déjà finalisé des analyses préliminaires et une consultation publique. Une étude d'impact devrait être publiée début 2026 et un projet de loi est attendu au cours du premier semestre de la même année. S'il est adopté, l'Europe pourrait redevenir une zone de conservation massive des données. Pour les utilisateurs, cela signifierait que leur activité en ligne, leurs contacts, les applications utilisées et leurs données de géolocalisation seraient conservés pendant au moins un an, et que les autorités étatiques auraient accès à ces informations lors d'enquêtes.