ExpressVPN a l’une des réputations “sans logs” les plus anciennes du secteur VPN. Il a été audité, utilise des serveurs RAM uniquement (TrustedServer), et bénéficie d’une juridiction aux Îles Vierges britanniques. Mais deux événements depuis 2021 ont ajouté de la complexité au tableau de confidentialité : le rachat par Kape Technologies et une controverse impliquant un employé qui a attiré l’attention du FBI.
Ce qu’ExpressVPN affirme
La politique de confidentialité d’ExpressVPN déclare qu’il ne journalise pas : les adresses IP, l’historique de navigation, la destination du trafic ou les métadonnées, les requêtes DNS, ni les horodatages de connexion. Il affirme ne collecter que : la date de connexion (pas l’heure), le choix de localisation du serveur VPN (pas le serveur spécifique), et la bande passante utilisée par session.
C’est plus que ce que beaucoup de fournisseurs disent stocker, mais moins que ce qui serait nécessaire pour identifier un utilisateur ou son activité.
L’audit TrustedServer
ExpressVPN a introduit sa technologie TrustedServer en 2019 : une architecture de serveur RAM uniquement où toutes les données sont effacées à chaque redémarrage et les serveurs démarrent depuis une image en lecture seule. Cela a été audité indépendamment par PwC.
L’audit a confirmé que TrustedServer fonctionne comme décrit et que les serveurs d’ExpressVPN ne stockaient pas les données utilisateurs de la façon dont la politique prétendait ne pas les stocker.
Le rachat par Kape : ce qui a changé
En septembre 2021, Kape Technologies a acquis ExpressVPN pour 936 millions de dollars. Kape possède également CyberGhost, Private Internet Access et ZenMate.
Kape s’appelait auparavant Crossrider et gérait une plateforme utilisée pour distribuer des adwares et des pirates de navigateur jusqu’en 2018. Le changement de marque vers Kape et le pivot vers les produits de cybersécurité a été substantiel, mais l’historique est un contexte factuel.
Le rachat n’a pas immédiatement modifié le produit, la politique de confidentialité ou l’infrastructure technique d’ExpressVPN. La préoccupation est structurelle : ExpressVPN opère maintenant sous une société mère avec un historique différent et des obligations plus larges envers les actionnaires et les acquéreurs.
La direction d’ExpressVPN s’est engagée au moment du rachat à maintenir l’indépendance opérationnelle et les pratiques de confidentialité existantes. Si cet engagement tient dans le temps est invérifiable à l’avance.
L’affaire de l’employé aux Émirats arabes unis en 2021
En décembre 2021, un ancien employé d’ExpressVPN (Daniel Gericke) a été révélé avoir travaillé pour un contractant du gouvernement américain menant des opérations de surveillance pour le compte du gouvernement des EAU, y compris en ciblant des citoyens américains. Gericke avait auparavant travaillé à la NSA et rejoint ExpressVPN tout en poursuivant prétendument son implication dans des opérations de piratage pour les EAU.
Le Département de Justice a annoncé que Gericke a accepté de payer 335 000 dollars et a accepté un accord de poursuites différées pour violation des lois américaines sur le contrôle des exportations.
Cela a soulevé des questions sur le risque interne : si quelqu’un avec ce profil avait accès à l’infrastructure d’ExpressVPN, à quoi aurait-il pu accéder ? ExpressVPN a déclaré que Gericke n’avait pas accès aux données utilisateurs grâce à l’architecture TrustedServer. La conception RAM uniquement signifie qu’il n’y a pas de données stockées auxquelles accéder, même avec un accès interne.
Comment ExpressVPN se compare aux alternatives
| Facteur | ExpressVPN | NordVPN | ProtonVPN |
|---|---|---|---|
| Audit sans logs | PwC (1) | Deloitte (6) | KPMG (2) |
| Serveurs RAM uniquement | Oui | Oui | Partiel |
| Juridiction | Îles Vierges britanniques | Panama | Suisse |
| Société mère | Kape Technologies | Nord Security | Indépendant |
| Score transparence | 2/5 | 4/5 | 4/5 |
Le score de transparence reflète la divulgation de la propriété et les programmes de bug bounty. ExpressVPN score plus bas parce qu’il n’a pas de programme de bug bounty et que la propriété Kape ajoute de l’opacité.
L’évaluation de fond
L’infrastructure de confidentialité technique d’ExpressVPN est solide : TrustedServer est une véritable implémentation d’architecture RAM uniquement, auditée de manière indépendante. Les affirmations de politique sont spécifiques et l’audit les a soutenues.
Les préoccupations sont structurelles plutôt que techniques. Un seul audit par PwC contre six audits consécutifs de NordVPN par deux cabinets. La propriété Kape contre la structure suisse indépendante de ProtonVPN. L’incident de l’employé aux EAU, bien qu’il ne soit pas la preuve d’une violation de données, a démontré un risque interne que l’architecture TrustedServer a atténué mais n’a pas éliminé.
Pour les utilisateurs dont la principale préoccupation est le suivi du FAI, le streaming et la confidentialité générale, ExpressVPN est un produit fonctionnel. Pour les utilisateurs avec des besoins de confidentialité plus élevés, NordVPN et ProtonVPN ont des historiques d’audit plus convaincants et des structures de propriété plus propres.
Envie de comparer tous les VPN côte à côte ? Consultez notre tableau comparatif complet avec les scores sur 18 critères.
ExpressVPN ne conserve pas de logs d'une façon qui permettrait d'identifier les utilisateurs ou leur activité. TrustedServer est techniquement robuste et audité. Les préoccupations de confidentialité concernent la structure d'entreprise et la fréquence des audits, pas le produit qui vous "attrape". À presque le double du prix de NordVPN, l'argument de valeur est faible. Mais l'argument de confidentialité n'est pas disqualifiant pour la plupart des utilisateurs.
La saisie en Turquie : le test involontaire
La revendication sans logs d’ExpressVPN a subi son test le plus dur en 2017, quand les autorités turques enquêtant sur un assassinat ont saisi directement un serveur ExpressVPN. L’enquête n’a rien trouvé d’utilisable sur le matériel : pas de journaux de connexion, pas de registres d’activité, rien reliant les utilisateurs à des sessions. C’est l’un des rares cas où une politique sans logs a survécu à une saisie physique plutôt qu’à une procédure judiciaire polie, et cela précède l’architecture TrustedServer RAM uniquement qui a depuis rendu le même résultat une question de physique autant que de politique.
En ajoutant le dossier d’audit (PwC et successeurs ont examiné à plusieurs reprises l’environnement de journalisation) et le dossier de preuves se lit clairement : vérification volontaire plus un test involontaire et contradictoire réussi. Les astérisques qu’un compte honnête conserve : les audits sont des instantanés, la question de propriété Kape est de réputation plutôt qu’évidentielle, et la juridiction des IVB, bien que genuinement solide, manque de la dérogation légale statutaire explicite de la Suisse pour les VPN.
Ce qu’ExpressVPN collecte réellement, et la synthèse de confiance
Les petits caractères de la politique sont standards du secteur : l’e-mail de compte, les données de paiement, les totaux de bande passante agrégés et les diagnostics d’application (opt-out) vivent du côté compte ; ce qui n’est jamais écrit est la couche opérationnelle de navigation, les horodatages de connexion, les IP sources et les requêtes DNS. La conception RAM uniquement de TrustedServer efface l’état des serveurs à chaque redémarrage, faisant de la rétention un acte délibéré que l’architecture résiste.
Synthèse pour un acheteur : la confiance en la journalisation d’ExpressVPN se situe dans le top du secteur aux côtés de NordVPN et Proton, avec le précédent turc comme sa référence distinctive, et notre score sans logs de 3/5 reflète la cadence d’audit plutôt qu’un incident ; rien dans son historique ne contredit la politique. Le vrai débat sur ce produit, comme notre revue le couvre, est le prix, pas la confidentialité.
Comment peser cela contre les alternatives
Les acheteurs comparant la confiance en la journalisation parmi les grands acteurs peuvent classer les types de preuves : Proton et NordVPN mènent sur la cadence d’audit (annuelle, récurrente), PIA sur la preuve testée en tribunal à l’intérieur de la juridiction américaine, ExpressVPN sur le précédent de saisie unique plus des audits solides, Mullvad sur l’anonymat architectural. Chacun de ces choix est une sélection défendable en matière de journalisation ; les différences résident dans quel type de preuve vous convainc et dans tout ce qui entoure la question des logs (prix, streaming, texture de juridiction).
C’est le point d’atterrissage honnête : ExpressVPN appartient à toute liste restreinte sans logs, le précédent turc est genuinement distinctif, et les raisons pour lesquelles ce n’est pas notre numéro un global sont commerciales plutôt que liées à la confiance, comme l’expose la revue complète.
La réponse de fond à la question du titre, pour ceux qui arrivent depuis la recherche : non, les preuves indiquent qu’ExpressVPN ne conserve pas de logs d’activité, la revendication a survécu à la fois aux auditeurs et à une saisie physique de serveur, et les incertitudes résiduelles sont celles que tout fournisseur porte. Achetez-le ou passez votre chemin sur le prix et les fonctionnalités ; la journalisation n’est pas le souci ici.
Pour aller plus loin : Comment vérifier la politique sans logs d’un VPN : ce qui compte vraiment comme preuve et Revue ExpressVPN 2026 : rapide et soigné, mais vaut-il le prix ?.