“Nous appliquons une politique stricte de zéro log” apparaît dans le marketing de presque tous les VPN. C’est l’affirmation la plus répandue et la moins significative du secteur. Rédiger une déclaration no-logs ne coûte rien. La vérifier, c’est une autre histoire.

Voici comment évaluer si la politique no-logs d’un VPN vaut quelque chose.

Étape 1 : lire attentivement la politique de confidentialité

Le langage précis d’une politique de confidentialité révèle beaucoup sur ce qu’un VPN enregistre vraiment.

Repérez les formulations trompeuses comme “nous ne logons pas votre activité de navigation” (exclut les métadonnées de connexion), “nous pouvons collecter des données de diagnostic anonymisées” (potentiellement ré-identifiables) ou “nous ne stockons pas d’informations personnellement identifiables” (les métadonnées peuvent être stockées, simplement non rattachées à une identité).

Une politique no-logs crédible liste explicitement chaque catégorie de données et confirme qu’aucune n’est stockée : pas d’adresses IP, pas d’horodatages de connexion, pas de requêtes DNS, pas de données de bande passante par session, pas de durée de session.

Les formulations vagues (“nous respectons votre vie privée”, “nous nous engageons à protéger vos données”) ne constituent pas une politique no-logs. C’est du marketing.

Étape 2 : vérifier l’existence d’un audit indépendant

Un audit indépendant consiste à faire examiner par un cabinet de sécurité tiers l’infrastructure réelle des serveurs du fournisseur VPN, pour vérifier que les affirmations no-logs sont techniquement mises en oeuvre.

Ce qui rend un audit crédible :

  • Réalisé par un cabinet de sécurité reconnu (Deloitte, PwC, KPMG, Cure53, SEC Consult)
  • Le rapport d’audit est accessible au public, au moins sous forme de résumé
  • L’audit a porté sur l’infrastructure des serveurs, pas seulement sur le texte de la politique de confidentialité
  • L’audit est récent (moins de 18 mois)

Ce qui ne compte pas :

  • Un “audit de sécurité” qui n’a examiné que les applications, pas les serveurs
  • Un audit réalisé par un cabinet inconnu sans méthodologie publiée
  • Un audit vieux de plusieurs années sans suivi

État actuel des audits pour les principaux fournisseurs : NordVPN a été audité six fois (PwC, puis Deloitte), ProtonVPN par KPMG, Surfshark par Cure53, Mullvad par Cure53, ExpressVPN par PwC. Private Internet Access n’a pas d’audit formel mais dispose d’un historique éprouvé devant les tribunaux.

Étape 3 : chercher des tests réels face à la justice

Un audit est une évaluation contrôlée. Une confrontation judiciaire est le vrai test. Le fournisseur a-t-il reçu une injonction d’un tribunal ou une demande des forces de l’ordre ? Avait-il des données à fournir ?

Tests réels connus :

  • Mullvad (2023) : la police suédoise a perquisitionné les bureaux avec un mandat. Repartie les mains vides. Aucune donnée n’existait.
  • Private Internet Access (plusieurs fois) : assigné à comparaître par des tribunaux américains à deux reprises. Rien produit.
  • NordVPN (2018) : la violation d’un serveur a révélé qu’aucune donnée utilisateur n’était stockée. A confirmé ce que l’audit indiquait.
  • ExpressVPN : un employé a été impliqué dans une affaire de piratage aux Émirats arabes unis en 2021. Aucune donnée utilisateur n’a été consultée, même si l’incident a soulevé des questions sur les risques internes.

Un historique judiciaire propre est plus convaincant que n’importe quel audit. Un fournisseur qui a survécu à une vraie demande sans rien avoir à remettre a prouvé que sa politique fonctionne.

Étape 4 : comprendre l’infrastructure technique

Les serveurs RAM uniquement constituent la mise en oeuvre technique la plus solide d’une politique no-logs. Ils ne stockent rien sur disque : toutes les données vivent en mémoire et sont effacées complètement au redémarrage. Si un serveur est saisi, il n’y a rien à copier ou à récupérer.

Fournisseurs ayant réalisé une migration complète vers des serveurs RAM : NordVPN, ExpressVPN, Surfshark, ProtonVPN (Secure Core). Mullvad utilise un mix selon le type de serveur.

L’absence de serveurs RAM n’implique pas automatiquement qu’un fournisseur enregistre des logs, mais cela signifie que même une vraie politique no-logs n’a pas le filet de sécurité technique qui empêche la récupération des données depuis un disque saisi.

Étape 5 : analyser la propriété

Qui possède le VPN est crucial pour la vérification no-logs. Une petite entreprise indépendante est moins exposée qu’une grande holding avec plusieurs filiales et des obligations envers un conseil d’administration.

Deux consolidations majeures à connaître :

  • Kape Technologies possède ExpressVPN, CyberGhost, PIA et ZenMate. Kape était auparavant dans le secteur des adwares.
  • Nord Security possède NordVPN, Surfshark et Atlas VPN. La société mère est lituanienne, dans l’UE, même si NordVPN lui-même est incorporé au Panama.

Cela ne signifie pas que leurs produits sont peu sûrs, mais la structure de propriété influence le tableau complet de qui pourrait accéder aux données ou être contraint de les produire.

La liste des signaux d’alarme

Évitez tout VPN qui cumule plusieurs de ces critères :

  • Pas d’audit indépendant (ou un audit vieux de plus de deux ans)
  • Politique de confidentialité aux formulations vagues sans énumération des catégories de données spécifiques
  • Basé dans un pays avec des lois de conservation obligatoire des données (Australie, Royaume-Uni, la plupart des pays de l’UE ont une forme ou une autre)
  • Propriété inconnue ou opaque
  • Aucune réponse publique aux demandes légales ni rapport de transparence

La liste des bons indicateurs

Indicateurs de confiance solides :

  • Plusieurs audits indépendants par des cabinets crédibles et nommés
  • La politique liste explicitement chaque type de données exclu
  • Infrastructure serveur RAM uniquement
  • Rapport de transparence publié
  • Historique judiciaire éprouvé
  • Propriété indépendante (pas partie d’une grande holding)

Envie de comparer tous les VPN côte à côte ? Consultez notre tableau comparatif complet avec les scores sur 18 critères.

Notre conclusion

Une politique no-logs vaut ce que les preuves derrière elle valent. Lisez le langage de la politique, vérifiez les audits réalisés par des cabinets crédibles, analysez la structure de propriété et recherchez des tests judiciaires réels. Mullvad et ProtonVPN ont la combinaison la plus propre des quatre facteurs. NordVPN dispose du meilleur historique d'audits. Tout VPN qui ne peut pas pointer vers au moins un audit indépendant vous demande de lui faire confiance sur parole.

La hiérarchie des preuves, explicitée

Classez ce que les fournisseurs offrent et le travail de vérification se fait presque tout seul. Au sommet : les tests adversariaux et involontaires, c’est-à-dire les assignations judiciaires auxquelles on répond avec rien (PIA, deux fois) et les serveurs saisis qui ne donnent rien (l’incident turc d’ExpressVPN). Juste en dessous : les audits indépendants récurrents avec accès aux serveurs en production (le rythme annuel Securitum de Proton, la série PwC et Deloitte de NordVPN), où la régularité compte plus que les instantanés. Viennent ensuite : les audits uniques qui vieillissent tranquillement, les rapports de transparence, les clients open-source et les warrant canaries, chacun un signal réel mais plus léger. En bas : la prose des politiques et les pages marketing, qui ne vérifient rien mais énoncent au moins la revendication que vous allez contrôler.

Le score de confiance d’un fournisseur est approximativement le barreau le plus élevé qu’il occupe, pondéré par la récence. C’est exactement ainsi que la colonne no-logs de notre comparatif est construite. La puissance de la méthode réside dans ce qu’elle filtre : quatre-vingt-dix pour cent du marketing “no-logs de grade militaire” s’évapore à la première demande de preuves au-dessus du barreau le plus bas.

Exemple concret : faire la vérification en quinze minutes

Prenez n’importe quel fournisseur candidat et passez-le au crible. Cherchez son nom suivi de “audit” : notez le cabinet, le périmètre (spécifiquement no-logs, pas juste la sécurité des applications) et la date ; un audit vieux de deux ou trois ans est un souvenir, pas un diplôme. Cherchez son nom suivi de “subpoena”, “court” et “seized” : l’historique des incidents est là où les déclarations affrontent la réalité. Comparez la liste des données collectées dans la politique de confidentialité avec la déclaration marketing, en surveillant les horodatages de connexion et la bande passante par utilisateur, les contradictions silencieuses. Confirmez la juridiction dans les pages légales. Quinze minutes, quatre recherches, et vous en savez plus que ce que publient la plupart des sites de test.

Les fournisseurs qui passent le contrôle complet sont rares par conception ; cette rareté est la réponse à la question de pourquoi le tableau de ce site recommande toujours la même courte liste.

(La hiérarchie ci-dessus est aussi la clé de lecture de chaque déclaration de confiance dans nos avis : quand un score cite un audit ou une affaire judiciaire, il cite un barreau, et vous savez maintenant à quelle hauteur il se situe.)

À lire aussi : NordVPN conserve-t-il des logs ? Ce que disent vraiment les audits et Serveurs VPN RAM uniquement expliqués : pourquoi ça compte pour la vie privée.