La conservation des données (en anglais retention management) définit les règles et procédures de conservation des données personnelles ainsi que des registres d'appels téléphoniques (call detail record) que doivent respecter les opérateurs de télécommunications, les fournisseurs d'accès, et les hébergeurs de sites web et de courriels.
Elle vise principalement à faire de l'analyse de trafic et à la surveillance.
La conservation des données est soumise à des dispositions législatives :
Dans l'Union européenne :
La Directive 2006/24/CE sur la conservation des données, du 15 mars 2006, exige la conservation des données pendant une période allant de six mois à deux ans, en particulier en vue de:
Le Comité des Libertés civiles, Justice et Affaires intérieures, du Parlement européen avait recommandé
Ces recommandations n'ont pas été prises en compte par la Commission européenne. L'origine de cette directive vient de la Déclaration sur la lutte anti-terroriste du 25 mars 2004 du Conseil de l'UE, suivie d'une proposition conjointe, d'avril 2004, de la France, de la Suède, de l'Irlande et du Royaume-Uni d'adopter une telle directive dans le cadre du Troisième pilier, dit Justice et affaires intérieures . En juin-septembre 2005, un rapport d'Alexander Nuno Alvaro, pour le compte du Parlement européen, rejette le projet de directive en déclarant qu'elle tombe sous le Premier pilier de l'UE (marché intérieur), et relève donc de la compétence du Parlement européen (tandis que le 3e pilier est intergouvernemental). Un nouveau projet de directive, similaire, est alors présenté par Bruxelles. Le Conseil a finalement adopté en février 2006 la directive sur la conservation des données, amendant la Directive 2002/58/EC. Seules l'Irlande et la Slovaquie ont voté contre.
Les cours constitutionnelles de Bulgarie et de Roumanie ont jugé que la législation sur la conservation des données était inconstitutionnelle, tandis que l'Irlande a déposé plainte contre la directive de 2006 devant la Cour européenne de justice.