“Sans logs” est l’une des expressions les plus galvaudées du marketing VPN. Chaque fournisseur le revendique. Ce qui distingue les crédibles des autres, c’est la vérification indépendante. NordVPN s’est soumis à six audits consécutifs sans logs depuis 2018. Nous avons lu les rapports et expliquons ce qu’ils confirment vraiment.
Ce que NordVPN affirme
La politique de confidentialité de NordVPN déclare qu’il ne journalise pas :
- Les adresses IP des utilisateurs
- L’historique de navigation ou les requêtes DNS
- Le trafic ou le contenu des sessions
- Les horodatages de connexion
- L’utilisation de bande passante par session
- La durée des sessions
Ce qu’il collecte : des analyses agrégées sur la charge de connexion des clusters de serveurs (non liées aux utilisateurs individuels), et des informations au niveau du compte comme l’adresse e-mail et les données de paiement nécessaires pour gérer l’abonnement.
La distinction compte. Beaucoup de VPN qui revendiquent “sans logs” collectent quand même des métadonnées comme les horodatages de connexion ou la bande passante totale. La politique de NordVPN exclut explicitement ceux-ci.
Six audits indépendants : ce que chacun couvrait
NordVPN a commandé des audits sans logs indépendants à intervalles réguliers depuis 2018. Les cabinets d’audit ont varié : PwC Luxembourg a conduit les quatre premières évaluations ; Deloitte Lituanie a conduit la cinquième et la sixième.
Le sixième audit, achevé le 12 décembre 2025, est le plus récent. L’équipe de Deloitte a examiné l’infrastructure des serveurs de NordVPN, les fichiers de configuration, les processus de déploiement et les paramètres liés à la confidentialité sur les serveurs VPN standard, les serveurs Double VPN, les serveurs Onion Over VPN et les serveurs obfusqués. Des entretiens avec le personnel de NordVPN faisaient également partie de la méthodologie.
Conclusion de Deloitte : les systèmes informatiques de NordVPN et les opérations de support sont conçus et mis en oeuvre conformément à sa déclaration sans logs.
Ce n’est pas un blanc-seing pour NordVPN en tant qu’entreprise. Les audits évaluent un ensemble spécifique de systèmes pendant une fenêtre de temps spécifique. Ce qu’ils confirment, c’est qu’au moment de l’évaluation, l’infrastructure technique ne stockait pas les données que NordVPN affirme ne pas stocker.
La violation de serveur de 2018 : ce qui s’est vraiment passé
En 2018, une partie non autorisée a accédé à un serveur NordVPN en Finlande. La violation est devenue publique en 2019, et NordVPN a été critiqué pour ne pas l’avoir divulguée immédiatement.
La violation impliquait un seul serveur loué auprès d’un datacenter tiers. L’attaquant a exploité un système de gestion à distance non sécurisé laissé actif par le fournisseur du datacenter, et non une faille dans le logiciel de NordVPN.
Ce qui a été exposé : les fichiers de configuration du serveur et les clés privées de certificats TLS expirés. Aucune donnée utilisateur, aucun journal de trafic, aucun enregistrement de connexion. Parce que NordVPN ne journalise pas ces éléments, il n’y avait rien à prendre.
L’incident vaut la peine d’être connu car il a soulevé de vraies questions sur la surveillance par NordVPN de l’infrastructure tierce. En réponse, NordVPN est passé à des serveurs colocalisés qu’ils possèdent et contrôlent. Leur infrastructure actuelle utilise des serveurs RAM uniquement, qui effacent toutes les données au redémarrage et empêchent le stockage physique des logs même si un serveur est saisi.
Les serveurs RAM uniquement : ce que cela signifie en pratique
NordVPN a achevé une migration complète vers des serveurs RAM uniquement sur l’ensemble de son réseau. Les serveurs VPN traditionnels écrivent des données sur des disques durs, ce qui signifie que même si un fournisseur affirme ne pas journaliser, une saisie de serveur pourrait potentiellement récupérer des données résiduelles.
Les serveurs RAM uniquement ne stockent rien sur le disque. Toutes les données opérationnelles vivent en mémoire et sont entièrement effacées au redémarrage du serveur. Si un serveur est physiquement saisi par les autorités, il n’y a rien à récupérer. C’est l’implémentation technique d’une politique sans logs, pas seulement une déclaration de politique.
Mullvad a été pionnier dans cette approche. NordVPN, ExpressVPN et ProtonVPN l’ont depuis adopté. Cela représente un changement significatif dans la façon dont la revendication “sans logs” est appliquée.
La juridiction panaméenne : ce que cela signifie légalement
NordVPN est constitué au Panama. Le Panama n’a pas de lois de rétention de données obligatoires et ne fait partie d’aucune alliance de partage de renseignements (pas Five Eyes, pas Nine Eyes, pas 14 Eyes).
Cela signifie que même si une agence gouvernementale voulait contraindre NordVPN à commencer à journaliser les données des utilisateurs, elle devrait passer par les tribunaux panaméens. Le Panama n’a pas d’exigences de rétention de données à appliquer, et aucun accord international l’obligeant à coopérer avec les demandes de surveillance étrangères.
En pratique, la juridiction compte surtout dans deux scénarios : un gouvernement essayant d’obtenir des logs historiques (rien à obtenir, étant donné la politique sans logs et les serveurs RAM), ou un gouvernement essayant de forcer la journalisation future. L’environnement juridique du Panama rend le second scénario bien plus difficile que pour un fournisseur basé aux États-Unis ou dans l’UE.
Ce que les audits ne couvrent pas
Les audits ont des limites. Une évaluation Deloitte conduite sur une fenêtre de cinq semaines vous renseigne sur les systèmes de NordVPN pendant cette période. Elle ne vous dit pas :
- Ce qui se passe entre les audits
- Si la propriété de NordVPN (Nord Security, basée en Lituanie) pourrait être contrainte de changer ses pratiques sous juridiction européenne
- Si le périmètre d’audit couvre chaque serveur dans chaque pays
Ce ne sont pas des préoccupations hypothétiques. La société mère de NordVPN, Nord Security, est une entreprise lituanienne. La Lituanie est un État membre de l’UE. Si les autorités européennes faisaient pression directement sur Nord Security plutôt que sur l’entité panaméenne de NordVPN, le tableau juridique devient moins clair.
Ce n’est pas une raison de se méfier de NordVPN. C’est une raison de comprendre ce que les audits prouvent vraiment par rapport à ce qu’ils ne prouvent pas.
Comment NordVPN se compare aux autres fournisseurs audités
| VPN | Auditeur | Audits réalisés | Juridiction |
|---|---|---|---|
| NordVPN | PwC, Deloitte | 6 | Panama |
| ProtonVPN | SEC Consult | 2 | Suisse |
| Surfshark | Cure53 | 2 | Pays-Bas |
| Mullvad | Cure53 | 2 | Suède |
| ExpressVPN | KPMG | 1 | Îles Vierges britanniques |
La fréquence d’audit de NordVPN est la plus élevée du secteur. Plus d’audits signifie plus d’occasions pour un cabinet externe de détecter une divergence entre la politique et la pratique. Six évaluations consécutives positives auprès de deux cabinets d’audit différents est un historique significatif.
Notre évaluation
La revendication sans logs de NordVPN est parmi les plus rigoureusement vérifiées du secteur VPN. Six audits, deux cabinets d’audit, infrastructure RAM uniquement, et une juridiction panaméenne sans exigences de rétention obligatoires. La violation de 2018 a révélé un problème d’infrastructure tierce, pas un problème de journalisation, et la migration des serveurs depuis lors a résolu la cause profonde.
La mise en garde honnête : aucun audit n’est parfait, et la société mère lituanienne de Nord Security crée un risque théorique de juridiction européenne que la constitution panaméenne n’élimine pas entièrement. Pour la grande majorité des utilisateurs, l’infrastructure de confidentialité de NordVPN est plus que suffisante.
Pour les utilisateurs dans des situations véritablement à haut risque qui ont besoin du maximum absolu de garanties de confidentialité, Mullvad reste le choix le plus fort : pas d’e-mail de compte, paiement en espèces, politique sans logs testée en tribunal.
Envie de comparer tous les VPN côte à côte ? Consultez notre tableau comparatif complet avec les scores sur 18 critères.
NordVPN ne conserve pas de logs dans un sens significatif. Six audits indépendants, des serveurs RAM uniquement, et la juridiction panaméenne soutiennent cela. La violation de 2018 vaut la peine d'être connue mais n'impliquait pas de données utilisateurs. Pour la plupart des utilisateurs, la posture de confidentialité de NordVPN est solide. Si vous avez besoin d'un anonymat maximum, Mullvad est un cran au-dessus.
Le verdict pour ceux qui arrivent depuis la recherche : la revendication sans logs de NordVPN s’appuie sur plusieurs audits PwC et Deloitte, une flotte RAM uniquement, la juridiction panaméenne et un incident 2018 qui a produit une architecture plutôt que des victimes. Sur la hiérarchie des preuves utilisée par ce site, ce dossier se situe dans le niveau supérieur, et rien dans celui-ci n’a nécessité de révision depuis des années de tests répétés.
Pour aller plus loin : Comment vérifier la politique sans logs d’un VPN : ce qui compte vraiment comme preuve et Revue NordVPN 2026 : toujours le meilleur après six audits ?.