Tous les VPN affirment ne pas conserver de logs. Private Internet Access est le seul à l’avoir prouvé dans un tribunal américain, deux fois, sous assignation du FBI, avec de vrais accusés et de vrais enjeux.
Cela rend la question des logs de PIA la plus intéressante du secteur, car les preuves sont les plus fortes là exactement où on s’attendrait à ce qu’elles soient les plus faibles : une entreprise américaine, à l’intérieur des Five Eyes, sans rien à montrer à un tribunal fédéral.
La version courte pour les lecteurs pressés : assigné deux fois, deux fois rien à produire, avec les histoires complètes ci-dessous. Tout le reste de cet article est du contexte autour de ces deux faits.
L’affaire de 2016 : une menace à la bombe et une assignation vide
En 2016, le FBI a enquêté sur un homme nommé Preston McWaters pour de fausses menaces à la bombe et a assigné London Trust Media, alors société mère de PIA, pour des enregistrements identifiant l’utilisateur derrière certaines adresses IP. Comme l’a documenté TorrentFreak, la seule chose que PIA pouvait produire était que le cluster d’IP se connectait depuis quelque part sur la côte est américaine. Pas d’identité, pas d’activité, pas d’horodatages liés à une personne. Les données n’existaient tout simplement pas.
McWaters a quand même été condamné, sur d’autres preuves, ce qui est en soi une leçon : les VPN ne blanchissent pas la culpabilité, ils ne fabriquent simplement pas de preuves contre leurs utilisateurs.
L’affaire de 2018 : même test, même résultat
Deux ans plus tard, une enquête pour piratage a produit une autre assignation pour les données des utilisateurs de PIA. TorrentFreak encore : rien à remettre, parce que rien n’avait été journalisé. Deux pour deux, dans des affaires et équipes juridiques différentes.
Les logs testés en tribunal constituent un type de preuve différent d’un audit. Un audit vérifie la configuration lors d’une visite programmée par un cabinet que le fournisseur paie. Une assignation est une demande contradictoire et non planifiée avec des sanctions pénales pour fausse déclaration. PIA a passé la version qu’on ne peut pas répéter. Dans notre comparatif, cet historique vaut à PIA un score sans logs de 4/5 malgré l’absence d’un audit indépendant récent, un compromis expliqué ci-dessous.
Les complications qu’une évaluation honnête inclut
La juridiction américaine, d’abord. PIA opère dans les Five Eyes, soumis à la procédure judiciaire américaine y compris les Lettres de Sécurité Nationale avec ordonnances de bâillon. L’historique judiciaire prouve que l’architecture sans logs a fonctionné quand elle a été testée ; il ne peut pas prouver ce que les futures lois américaines pourraient contraindre, un risque structurel que notre guide sur les juridictions pèse contre des concurrents basés au Panama et en Suisse. La mitigation de PIA est la même que celle de Mullvad en Suède : ne rien collecter, donc il n’y a rien à contraindre rétroactivement.
La propriété, deuxièmement. PIA a été acquis par Kape Technologies en 2019, le même propriétaire qu’ExpressVPN et CyberGhost, une entreprise dont l’incarnation antérieure (Crossrider) distribuait des adwares. Rien depuis le rachat ne suggère que les pratiques de journalisation de PIA ont changé, et les applications 100% open source signifient que le côté client reste inspectable. Mais les acheteurs qui accordent beaucoup d’importance à l’historique d’entreprise devraient le savoir.
La cadence d’audit, troisièmement. PIA a commandé un audit Deloitte de sa configuration sans logs en 2022 mais n’a pas maintenu le rythme annuel de Proton VPN ou NordVPN depuis. Étant donné l’historique judiciaire, cela compte moins ici qu’ailleurs, mais le contraste avec la foule “audit chaque année” est réel. Notre article sur la vérification des revendications sans logs classe ces types de preuves les uns par rapport aux autres.
L’audit Deloitte 2022, brièvement
Entre les deux affaires judiciaires et aujourd’hui se trouve le seul audit formel de PIA : Deloitte a examiné sa configuration sans logs en 2022 et a trouvé l’environnement serveur cohérent avec la politique. Cela compte comme corroboration d’un cabinet Big Four, et cela compte que PIA ne l’ait pas répété annuellement comme Proton et NordVPN ; dans notre tableau, cet écart de cadence est pourquoi le score sans logs de PIA est à 4/5 plutôt que 5/5 malgré l’historique judiciaire.
La synthèse juste : les preuves de PIA sont les plus fortes sur la dimension qui compte le plus (test involontaire et contradictoire) et moyennes sur la dimension que couvrent les audits (vérification volontaire récurrente). Les acheteurs qui le comparent à Proton ou NordVPN choisissent vraiment quel type de preuve ils trouvent le plus convaincant ; des gens raisonnables arrivent des deux côtés.
Ce que PIA conserve réellement et ce qu’il ne peut pas dire
Comme tout fournisseur basé sur compte, PIA détient votre e-mail et vos données de paiement. La politique sans logs couvre la couche opérationnelle : pas d’activité de navigation, pas de logs de connexion ou d’IP assignée, pas d’enregistrements de session. L’architecture utilise des serveurs RAM uniquement, donc même la saisie du matériel ne donne rien de persistant, la même logique de conception que notre article sur les serveurs RAM uniquement couvre.
Les affaires judiciaires définissent ce que cela signifie en pratique mieux que n’importe quel texte de politique : quand les forces de l’ordre fédérales américaines ont demandé, la chose la plus précise que PIA pouvait dire sur un utilisateur était la côte à laquelle son trafic touchait.
Ce qu’il faut configurer si vous choisissez PIA
Paramètres qui valent une minute après l’installation : activez le kill switch (celui de PIA est robuste, avec un mode “avancé” toujours actif), choisissez WireGuard pour la vitesse, et activez MACE, le bloqueur de publicités et de traceurs au niveau DNS de PIA, qui se classe discrètement parmi les meilleurs bloqueurs intégrés. Le paiement en crypto est disponible pour les acheteurs qui veulent que le compte lui-même soit moins lié à leur identité, un demi-pas vers le modèle Mullvad. Et comme avec tout fournisseur, vérifiez la revendication sans fuite sur votre propre configuration une fois : deux minutes sur un site de test de fuite vaut mieux que n’importe quelle assurance de revue, y compris la nôtre.
Devriez-vous faire confiance à PIA pour votre confidentialité ?
Pour le modèle de menace que la plupart des gens ont réellement, l’espionnage du FAI, la surveillance réseau, les profils publicitaires, le dossier de preuves de PIA est excellent et son prix (~3,07€/mois sur le plan 1 an, appareils illimités) en fait le meilleur rapport confidentialité/prix dans notre tableau. L’image complète, y compris son streaming plus faible, figure dans notre revue PIA.
Pour les modèles de menace impliquant des adversaires de niveau étatique vous ciblant spécifiquement, la juridiction américaine est l’hésitation honnête, et Proton VPN ou Mullvad s’adaptent mieux. Ce n’est pas une critique de l’intégrité de PIA ; c’est simplement ce que l’appartenance aux Five Eyes signifie structurellement, peu importe à quel point les classeurs sont vides.
Si l’historique judiciaire vous convainc comme il nous convainc : obtenir PIA ici.
Ce qui devrait être vrai pour que PIA vous journalise quand même
Prendre au sérieux les arguments du sceptique aide à calibrer la confiance. Pour que PIA journalise des utilisateurs aujourd’hui malgré l’historique, plusieurs choses devraient se tenir simultanément : une inversion de l’architecture qui a produit deux réponses d’assignation vides, une dissimulation survivant au code client open source et à la révision externe périodique, le silence des employés sur des années et une acquisition, et une volonté d’incinérer le seul différenciateur commercial de l’entreprise le jour où cela émergerait.
Possible ? Dans la façon dont toutes les trahisons d’entreprise non falsifiables sont possibles. Probable ? L’analyse des incitations dit non : toute l’identité commerciale de PIA est l’historique judiciaire, et aucune assignation depuis lors n’a produit un résultat contradictoire. C’est la forme honnête de la confiance envers les VPN en général : jamais une preuve, toujours une probabilité construite à partir de preuves, d’incitations et du temps. La pile particulière de preuves de PIA est suffisamment inhabituelle pour que la paranoïa à son sujet spécifiquement soit mal placée ; l’avenir législatif américain est la chose rationnelle à surveiller à la place.
Envie de comparer tous les VPN côte à côte ? Consultez notre tableau comparatif complet avec les scores sur 18 critères.
Une note historique pour être complet : la société mère de PIA a brièvement suscité des critiques en 2016 pour avoir quitté la Russie plutôt que de se conformer aux mandats locaux de journalisation des serveurs, abandonnant le matériel au lieu des utilisateurs. Des épisodes comme celui-là, laisser de l’argent sur la table pour maintenir la politique intacte, sont la texture derrière l’historique judiciaire, et ils précèdent entièrement la propriété actuelle.
La politique sans logs de PIA est la plus éprouvée du secteur : deux assignations du FBI, deux réponses vides, zéro implication du département marketing. La juridiction américaine et l'historique de propriété Kape sont les astérisques qu'un bilan honnête porte, et pour les modèles de menace à enjeux élevés ils comptent. Pour tous les autres, PIA à ~3,07€/mois est une confidentialité prouvée à prix abordable, une combinaison que personne d'autre dans notre tableau n'offre.