La Commission européenne prépare une proposition de conservation des données qui place les fournisseurs VPN directement dans son viseur. Si elle passe dans quelque chose d’approchant sa forme actuelle, le modèle VPN sans logs pourrait devenir illégal à exploiter dans l’UE.
Cette phrase semble alarmiste. Elle ne l’est pas. Voici ce que les documents disent vraiment.
Ce que l’UE propose
Depuis des années, les règles de conservation des données de l’UE sont un désordre juridique. La Cour de justice de l’UE a annulé l’ancienne Directive sur la conservation des données en 2014, et les États membres ont improvisé depuis. Les agences de maintien de l’ordre ont continûment déploré l’absence d’un moyen cohérent d’exiger des enregistrements de connexion auprès des services en ligne.
La réponse de la Commission est un nouveau cadre de conservation des données, avec une proposition législative attendue mi-2026 après une étude d’impact conduite début 2026. Heise a rapporté le calendrier, et l’appel à contributions de la Commission confirme la portée : conservation des données par les prestataires de services pour les procédures pénales.
La liste des services en discussion va bien au-delà des opérateurs télécom. Selon l’analyse de TechRadar, les cibles incluent les applications de messagerie, les hébergeurs, les services de partage de fichiers, le stockage cloud, et les entreprises VPN.
Ce que les États membres veulent que les VPN enregistrent
Le détail qui compte, c’est le type de données sur la table. Les États membres ont clairement fait valoir dans les documents de travail que connaître qui possède un compte ne leur suffit pas. Ils veulent les métadonnées : quand un utilisateur était en ligne, depuis quelle adresse IP, et pendant combien de temps.
Pour un fournisseur VPN, cela signifie des logs de connexion. Horodatages, IP sources, IP attribuées, durée de session. Exactement les enregistrements que les fournisseurs VPN réputés ont passé une décennie à refuser de conserver, et exactement les enregistrements que les audits indépendants vérifient ne pas exister.
Un mandat de conservation ne demanderait pas aux fournisseurs de commencer à espionner le contenu de la navigation. Il n’en a pas besoin. Les métadonnées de connexion suffisent à relier une vraie personne à une identité en ligne, ce qui est exactement ce qu’un VPN axé sur la vie privée existe à empêcher. Si vous voulez comprendre ce que couvre réellement une politique sans logs, on a écrit un guide complet sur comment vérifier les déclarations sans logs d’un VPN.
Pourquoi cela brise le modèle sans logs
Un VPN sans logs n’est pas une promesse en l’air. C’est une architecture. Des fournisseurs comme Mullvad et NordVPN conçoivent leurs systèmes pour que les données ne soient jamais écrites nulle part : serveurs en RAM uniquement, pas d’identifiants persistants, des audits pour le confirmer.
L’argument sécuritaire de cette conception est simple. Des données qui n’existent pas ne peuvent pas être volées, assignées à comparaître ou divulguées. Chaque audit sans logs majeur, chaque affaire judiciaire où un fournisseur n’avait rien à remettre, repose sur ce fondement.
Une loi de conservation inverse la logique. Les fournisseurs seraient tenus de créer et stocker exactement les enregistrements sur lesquels tout leur modèle de sécurité est construit pour ne pas les avoir. NordVPN a déclaré à TechRadar que la conservation forcée des adresses IP, du trafic et des données de localisation nierait la fonction principale du produit et créerait une cible de haute valeur pour les attaquants. Ils ont aussi mis en garde contre le résultat prévisible : les fournisseurs légitimes se retirent du marché européen, et les utilisateurs dérivent vers des services offshore qui ne répondent à personne.
Ce second point mérite plus d’attention qu’il n’en reçoit. L’UE n’arrêterait pas vraiment quiconque d’utiliser un VPN sans logs. Elle garantirait juste que les fournisseurs servant les utilisateurs de l’UE depuis l’intérieur de l’UE sont ceux auxquels on ne peut pas faire confiance, tandis que les dignes de confiance opèrent depuis la Suisse, le Panama, ou les îles Vierges britanniques. La juridiction compte déjà dans le choix d’un VPN. Elle commencerait à compter beaucoup plus. Notre guide sur la juridiction VPN couvre quels pays ont des lois de conservation des données aujourd’hui.
Envie de comparer tous les VPN côte à côte ? Consultez notre tableau comparatif complet avec les scores sur 18 critères.
Où cela s’inscrit dans le combat plus large sur la vie privée en Europe
Cette proposition ne se produit pas de façon isolée. C’est l’un des six piliers de la stratégie de sécurité intérieure ProtectEU de la Commission, aux côtés de l’interception légale, du déchiffrement et de la forensique numérique. La même stratégie qui a produit Chat Control produit maintenant ceci.
Le pattern est cohérent : chaque initiative semble techniquement étroite prise individuellement, et ensemble elles décrivent un internet où chaque intermédiaire conserve des enregistrements sur ses utilisateurs et les remet sur demande. Nous couvrons l’aspect chiffrement de ce combat dans notre article sur l’initiative Going Dark de l’UE.
Il vaut la peine de le dire clairement : il y a de vraies enquêtes qui piétinent parce que les données n’ont pas été conservées. Les agences de police n’inventent pas le problème. Mais la réponse à laquelle elles reviennent sans cesse, le logging obligatoire de tout le monde par défaut, avait déjà été rejetée par la propre cour suprême de l’UE. Deux fois. La CJUE a constamment statué que la conservation générale et indiscriminée des données viole les droits fondamentaux. Tout nouveau cadre atterrira devant la même cour.
Comment on en est arrivé là : trois défaites judiciaires en une décennie
Un peu d’histoire explique pourquoi les avocats spécialisés en vie privée sont calmes et les responsables politiques nerveux.
En 2014, la CJUE a annulé la Directive sur la conservation des données originale dans l’affaire Digital Rights Ireland, jugeant que stocker par défaut les métadonnées de communication de tout le monde était une ingérence disproportionnée dans la vie privée. En 2016, l’arrêt Tele2/Watson est allé plus loin et a bloqué les États membres de maintenir des lois nationales équivalentes. En 2020, La Quadrature du Net a réaffirmé la ligne, n’autorisant qu’une conservation étroite et ciblée pour de véritables menaces à la sécurité nationale.
Trois arrêts, un principe constant : on ne peut pas logger tout le monde au cas où certains d’entre eux s’avèrent être des criminels.
Alors pourquoi essayer une quatrième fois ? Parce que la demande politique n’a jamais disparu, et parce que chaque arrêt a laissé de petites ouvertures : conservation ciblée, conservation des adresses IP pour les crimes graves, exceptions de sécurité nationale. Le nouveau cadre sera rédigé par des personnes qui ont lu chacun de ces jugements et viseront chaque clause sur les failles. Si la cour accepte le résultat est la question à plusieurs milliards d’euros, et la réponse est à des années de distance.
Cette incertitude juridique joue dans les deux sens. Elle signifie que les VPN sans logs ne vont pas disparaître d’Europe. Elle signifie aussi que l’industrie passera les prochaines années à construire des produits sous une épée qui peut ou non tomber.
Ce qui se passe ensuite
La séquence attendue : la Commission publie sa proposition législative vers mi-2026, puis le Parlement européen et le Conseil prennent chacun leur position, puis les négociations en trilogue commencent. Ce processus prend généralement des années, et les propositions de conservation des données attirent une opposition lourde de la société civile, de la communauté de la vie privée, et de certains États membres.
Rien ne change pour les utilisateurs VPN aujourd’hui. Les VPN sans logs restent légaux partout dans l’UE, et les fournisseurs audités continuent d’opérer exactement comme avant.
Ce que vous pouvez faire maintenant relève surtout du positionnement. Si la conservation des données de l’UE vous inquiète, préférez des fournisseurs basés hors de l’UE avec des politiques sans logs auditées et une infrastructure en RAM uniquement. Proton VPN opère depuis la Suisse, qui n’est pas membre de l’UE et a rejeté les obligations de conservation généralisée pour les VPN. NordVPN est basé au Panama et a passé plusieurs audits sans logs indépendants.
C'est la menace législative la plus sérieuse pour les VPN sans logs en Europe à ce jour, et elle mérite votre attention plus que tout titre de faille cette année. Elle est aussi loin d'être loi. La proposition arrive mi-2026, le processus législatif européen est lent, et la CJUE a déjà tué la conservation généralisée deux fois. Regardez où votre fournisseur est incorporé, pas seulement ce que dit son marketing. La juridiction est sur le point de devenir la ligne la plus importante dans toute comparaison de VPN.
Sources : TechRadar sur les plans de conservation des données de l’UE | Heise : proposition pour mi-2026 | Appel à contributions de la Commission européenne | TechNadu sur l’expansion de la conservation