- Le Conseil de l'UE partage ses premières réflexions sur le nouveau cadre relatif à la rétention des données
- Les services VPN, les applications de messagerie et le stockage dans le cloud font partie des cibles
- Une proposition législative est attendue à la fin du premier semestre 2026
Les gouvernements de l'UE font pression pour élargir les obligations de conservation des données pour les applications que les citoyens utilisent quotidiennement, et les meilleures applications VPN font partie de celles qui sont visées.
Un nouveau document interne daté du 27 novembre (publié pour la première fois par Netzpolitik) fournit des informations importantes sur la position actuelle de la présidence danoise du Conseil de l'UE. Il montre que les États membres s'accordent largement sur la nécessité d'un nouveau cadre en matière de conservation des données, et présente un aperçu important de la position principale des législateurs sur la question.
Le sujet fait l'objet de débats depuis avril, lorsque la Commission européenne a dévoilé pour la première fois « ProtectEU », une stratégie visant à créer une feuille de route pour « un accès légal et efficace aux données pour les forces de l'ordre ». La Commission a ensuite présenté la feuille de route en juin, qui exposait son intention de décrypter les données privées des citoyens d'ici 2030.
Le document révèle notamment que les gouvernements de l'UE considèrent les métadonnées, en particulier l'historique du trafic et de la localisation, comme l'outil le plus essentiel pour les forces de l'ordre.
La plupart des États membres estiment qu'il ne suffit pas de savoir à qui appartient un compte. Ils souhaitent plutôt une nouvelle base juridique obligeant les entreprises à enregistrer précisément quand et où un utilisateur s'est connecté, ainsi que les adresses IP qu'il a utilisées pour se connecter.
Le document note que les États membres sont conscients des obstacles juridiques liés à la collecte de ces données et souligne que tout nouveau système doit inclure des garanties solides et respecter le principe de proportionnalité afin de satisfaire les tribunaux.
Cependant, les experts en matière de confidentialité et les technologues avertissent depuis longtemps que ces « garanties » ne sont pas suffisantes, arguant qu'il est impossible d'affaiblir le cryptage ou de conserver ces données sans compromettre fondamentalement la sécurité des utilisateurs.
Outre les sociétés de réseaux privés virtuels (VPN), les autres services en ligne visés comprennent les applications de messagerie, les fournisseurs d'hébergement, les services de partage de fichiers, les applications de stockage dans le cloud et d'autres services OTT (over-the-top).
Une analyse d'impact est prévue pour début 2026. Les législateurs attendent les résultats avant de présenter une proposition législative, qui devrait être déposée vers le mois de juin de l'année prochaine.
Quelle est la prochaine étape pour la vie privée des citoyens européens ?
Des obligations accrues en matière de conservation des données entreraient en conflit direct avec l'architecture fondamentale des technologies de protection de la vie privée.
Prenons l'exemple des VPN sans journalisation. Ces services sont spécialement conçus pour ne pas enregistrer l'activité des utilisateurs, et leur promesse de sécurité repose sur le fait que les données n'existent tout simplement pas.
Ce modèle semble incompatible avec les exigences de conservation imposées actuellement par les États membres de l'UE. Si la vision du Conseil devient loi, un service « sans journaux » pourrait effectivement être illégal en Europe.
Comme l'a déclaré Denis Vyazovoy, directeur des produits chez AdGuard VPN, à TechRadar en avril dernier : « Un cadre juridique qui oblige les VPN à conserver les métadonnées des utilisateurs, potentiellement pendant une période prolongée, pourrait rendre ces services intenables, entraînant le retrait des fournisseurs de VPN de l'UE. »
Nous avons contacté d'autres grands fournisseurs pour connaître leur réaction au dernier document du Conseil.
Gytis Malinauskas, directeur juridique de Surfshark, s'est dit préoccupé par l'impact d'une conservation accrue des données sur les fournisseurs de VPN. Il a déclaré : « Bien qu'aucune mesure concrète n'ait encore été prise, l'inclusion des VPN aux côtés d'autres services qui pourraient être tenus de conserver des données est un signal alarmant. Cela pourrait avoir des implications considérables pour le droit à la vie privée au sein de l'UE et au-delà. »
NordVPN semble encore plus préoccupé, affirmant que la proposition « interdit de fait la vie privée au sein de l'UE ».
« La conservation obligatoire des données pour les fournisseurs de VPN est structurellement incompatible avec les services préservant la vie privée [sans journalisation]. Imposer la conservation des adresses IP, du trafic et des données de localisation annulerait l'une de nos fonctions essentielles en matière de confidentialité et créerait des cibles de grande valeur pour les violations », a déclaré Laura Tyrylyte, défenseure de la vie privée chez NordVPN, à TechRadar.
« Le résultat probable est que les fournisseurs légitimes se retireront du marché européen, poussant les utilisateurs vers des alternatives offshore non responsables et non sécurisées, plus susceptibles d'utiliser les données à mauvais escient », a-t-elle ajouté, soulignant la nécessité pour les législateurs de trouver le juste équilibre entre l'application de la loi et les droits fondamentaux, en particulier la vie privée.
Bien que la législation finale soit encore en cours d'élaboration et que l'avenir de ProtectEU soit incertain, les gouvernements européens semblent déterminés à accorder aux forces de l'ordre un accès toujours plus large à nos données, indépendamment des contradictions techniques ou en matière de confidentialité.
