Le décret sur la conservation des données de connexion vient enfin d’être publié au Journal Officiel (du 26 mars, texte 9). Le texte avait été initialement prévu par la loi sur la sécurité quotidienne, puis par la loi sur la sécurité intérieure de 2003 avant d’être repris par la loi sur la lutte contre le terrorisme. Le premier de ces textes avait été adopté après les attentats du 11 septembre 2001, le dernier après les attentats de Londres. Après plusieurs années d’attente, l’on en sait un peu plus sur les éléments qui devront être conservés par les fournisseurs d’accès et les sociétés de téléphonie, mais également les cybercafés :

Les opérateurs de télécommunications électroniques ont dorénavant l’obligation de conserver durant un an, les données relatives au trafic « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales » (notons le caractère large de cette mention). Sont visées par là :

• Les informations permettant d’identifier l’utilisateur (toutes les données fournies par exemple lors de l’abonnement). Les données relatives aux équipements terminaux de communication utilisés (cela concernera surtout les opérateurs de téléphonie, dans les faits). Les caractéristiques techniques (adresse IP) ainsi que la date, l’horaire et la durée de chaque communication ;

• Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;

• Les données permettant d’identifier le ou les destinataires de la communication (mail, numéro de téléphone, etc.).

• S’y ajoutent, pour les activités de téléphonie, les données permettant d’identifier l’origine et la localisation de la communication.

Pour toutes ces données, l’intermédiaire aura donc une obligation de conservation pendant un an, à compter de l’enregistrement. Point sensible pour les fournisseurs d’accès, il est finalement prévu que les surcoûts pour les opérateurs, requis par les autorités judiciaires, soient compensés selon de nouvelles modalités prévues par le code de procédure pénale. Les tarifs varieront en fait selon la catégorie de données, comme le prévoira un arrêté du ministre de l’économie, des finances et de l’industrie. Il est également prévu la possibilité d’utiliser les données conservées pour les besoins de la facturation…

La CNIL s'était montrée très critique sur le texte de loi. Pour le réseau IRIS (Imaginons un Réseau Internet Solidaire), ce décret représente l'aboutissement « d'une stratégie de contrôle toujours plus large de la population, dont la lutte contre le terrorisme ne constitue qu'un alibi, comme en témoigne la publication de ce décret d'application 4 ans et 4 mois après la promulgation d'une loi qui visait à lutter contre le terrorisme » (la LSQ). Pour l’organisation, « la rétention des données de communication révèle l'intimité des personnes, cartographie leurs activités, et identifie les réseaux de relations tissés entre elles. Avec l'utilisation de la biométrie, de la vidéosurveillance et du fichage généralisé, elle devient partie intégrante des politiques de sécurité en France et en Europe. »