Surfshark affirme ne pas conserver de logs. Mais qu’est-ce que cela signifie vraiment, et est-ce vrai ? La réponse compte parce qu’un VPN qui journalise votre activité détruit l’intérêt entier de l’utiliser. Nous avons examiné en profondeur les résultats d’audit, les conditions d’utilisation et ce que Surfshark stocke réellement.
Ce que la politique sans logs de Surfshark revendique
La politique de confidentialité de Surfshark indique qu’elle ne collecte ni ne stocke :
- Les adresses IP assignées à votre session
- L’historique de navigation
- La durée des sessions VPN ou les horodatages
- Les données de bande passante
- Le trafic réseau ou les requêtes DNS
- Les journaux de connexion
C’est à quoi ressemble une vraie politique sans logs sur le papier. La question est de savoir si l’audit l’étaye.
Les preuves d’audit
Surfshark a été audité par Cure53, un cabinet indépendant de cybersécurité allemand, deux fois : en 2018 et en 2021. Les audits couvraient :
- Les applications (Android, iOS, Windows, macOS, extensions navigateur)
- L’infrastructure des serveurs
- Les systèmes backend
L’audit de 2021 a spécifiquement revu l’infrastructure sans logs de Surfshark et a confirmé que les systèmes ne conservent pas les données d’activité des utilisateurs. Aucune preuve contradictoire n’a été trouvée.
Contexte important : le dernier audit de Surfshark date de 2021. C’est maintenant quatre ans. NordVPN et ProtonVPN ont des audits plus récents (NordVPN avec des audits PwC continus, ProtonVPN avec un audit KPMG de 2024). Le score sans logs de Surfshark dans notre base de données est de 5/5, ce qui reflète la qualité de l’audit 2021, mais un audit plus récent renforcerait cette position.
Ce que Surfshark collecte réellement
La politique de confidentialité de Surfshark reconnaît collecter :
- Adresse e-mail : requise pour créer un compte
- Informations de paiement : traitées par un prestataire de paiement tiers, non stockées par Surfshark
- Données d’appareil pour la gestion du compte : type d’appareil et version d’application (non liées à l’activité VPN)
- Données de performance agrégées : statistiques non identifiables pour améliorer le service
L’adresse e-mail est la donnée la plus significative, car elle lie votre compte à une identité. Surfshark n’offre pas la création de compte anonyme (contrairement à Mullvad, qui ne demande pas d’e-mail). Si un tribunal ordonnait à Surfshark d’identifier un utilisateur, il pourrait fournir l’adresse e-mail utilisée pour l’inscription.
C’est la pratique standard des VPN grand public. C’est une distinction qui vaut la peine d’être comprise : “sans logs” signifie pas de logs d’activité, pas un anonymat complet.
Juridiction : Pays-Bas (Nine Eyes)
Surfshark est constitué aux Pays-Bas, membre de l’alliance de partage de renseignements Nine Eyes. La loi néerlandaise pourrait contraindre Surfshark à répondre à des demandes légales. La réponse de Surfshark serait de produire l’adresse e-mail (si disponible) et de confirmer qu’il n’y a pas de logs d’activité à remettre.
En pratique, aucun cas documenté de Surfshark ayant reçu une demande de données et produit des données utilisateurs n’existe. La juridiction est moins idéale que Panama (NordVPN) ou la Suisse (ProtonVPN), mais l’infrastructure sans logs de Surfshark signifie que l’impact pratique d’une demande légale est minimal.
Serveurs RAM uniquement
Surfshark utilise entièrement des serveurs RAM uniquement, ce qui signifie qu’aucune donnée n’est écrite sur le stockage physique. Quand un serveur redémarre, tout est effacé. Cela rend la récupération de données forensique d’un serveur saisi impossible, ce qui est la preuve technique la plus forte d’une implémentation sans logs.
Les serveurs RAM uniquement obtiennent un 5/5 dans notre base de données.
Comparaison : Surfshark vs autres politiques de logs VPN
| VPN | Audit sans logs | Dernier audit | Cabinet | Serveurs RAM | Juridiction |
|---|---|---|---|---|---|
| Surfshark | Oui | 2021 | Cure53 | Oui | Pays-Bas |
| NordVPN | Oui | Continu | PwC | Oui | Panama |
| ProtonVPN | Oui | 2024 | KPMG | Partiel | Suisse |
| ExpressVPN | Oui | 2023 | Multiple | Oui | Îles Vierges britanniques |
| Mullvad | Oui | 2025/2026 | Assured AB | Oui | Suède |
| CyberGhost | Oui | 2012 | QSCert | Oui | Roumanie |
L’historique d’audit de Surfshark est solide, bien que pas aussi récent que NordVPN ou Mullvad. L’audit CyberGhost de 2012 à titre de contexte montre comment un audit obsolète peut devenir sans signification, ce pourquoi la récence des audits compte.
Le test du monde réel : Surfshark a-t-il déjà remis des données aux autorités ?
Aucun cas documenté de Surfshark fournissant des données d’activité des utilisateurs aux forces de l’ordre n’existe. C’est un signal positif, bien qu’il reflète à la fois leur politique sans logs et le fait qu’ils n’ont pas encore été testés dans une affaire judiciaire très médiatisée.
Pour comparaison : Mullvad a fait l’objet d’une perquisition de la police suédoise en 2023 et n’a rien produit car aucune donnée n’existait. NordVPN a eu un serveur saisi en Finlande en 2018 et n’a rien produit. Ce sont des tests du monde réel plus solides qu’une absence de demandes documentées.
Devriez-vous faire confiance à la politique sans logs de Surfshark ?
Pour les utilisateurs typiques, oui. La combinaison d’un audit Cure53 crédible, de serveurs RAM uniquement et aucune remise de données documentée fait de Surfshark une option sans logs digne de confiance.
Pour les utilisateurs avec des exigences de confidentialité sérieuses (activistes, journalistes, utilisateurs dans des pays autoritaires), un VPN avec des audits plus récents et un meilleur historique de juridiction offre une assurance plus élevée. NordVPN ou ProtonVPN sont de meilleurs choix pour ces cas d’usage.
Envie de comparer tous les VPN côte à côte ? Consultez notre tableau comparatif complet avec les scores sur 18 critères.
Notre verdict : La politique sans logs de Surfshark est crédible et soutenue par un audit Cure53 et une infrastructure de serveurs RAM uniquement. Les principaux bémols sont que l’audit le plus récent date de 2021 (à renouveler), la juridiction des Pays-Bas se trouve dans les Nine Eyes, et l’e-mail est collecté à l’inscription (ce qui élimine l’option d’une utilisation entièrement anonyme). Pour la grande majorité des utilisateurs, la politique de logs de Surfshark est digne de confiance. Pour les besoins de confidentialité les plus exigeants, ProtonVPN ou Mullvad offrent des garanties plus solides.
FAQ
Surfshark vend-il les données des utilisateurs ? Non. La politique de confidentialité de Surfshark interdit explicitement la vente de données utilisateurs à des tiers. Ils génèrent des revenus par les abonnements, pas par les données.
Surfshark sait-il quels sites je visite ? Non. D’après les résultats d’audit et l’infrastructure sans logs, Surfshark ne journalise ni ne conserve d’informations sur les sites ou services auxquels vous accédez lorsque vous êtes connecté.
La politique sans logs de Surfshark est-elle vérifiée par un audit indépendant ? Oui, par Cure53 en 2021. Un audit plus récent n’a pas été publié à mi-2026, ce qui est un écart par rapport aux concurrents qui auditent annuellement.
Qu’advient-il de mes données si Surfshark ferme ou est racheté ? Votre adresse e-mail serait transférée à tout acquéreur. Les logs d’activité n’existent pas pour être transférés. C’est le risque standard pour tout service nécessitant une inscription par e-mail.
Le dossier de confiance, pesé par rapport au secteur
En plaçant Surfshark sur la hiérarchie des preuves que notre guide de vérification construit : une revendication sans logs auditée par Cure53 plus un engagement d’assurance Deloitte, une flotte RAM uniquement tout au long, aucun incident de journalisation dans l’historique de l’entreprise, et un drapeau néerlandais qui ne lui coûte des points qu’à la couche de juridiction. Ce paquet se situe un cran en dessous de la paire à audit annuel (Proton, Nord) et du singleton testé en tribunal (PIA), et confortablement au-dessus de la masse non auditée du marché.
Pour la question pratique de l’acheteur (peut-on faire confiance à Surfshark pour les données de navigation ?), le dossier supporte un oui clair pour les modèles de menace courants, avec l’honnêteté structurelle habituelle : les logs sont toujours probabilistes depuis l’extérieur, et la probabilité de Surfshark est achetée avec des audits, une architecture et des années d’opération sans incident plutôt qu’avec des adjectifs marketing.
La réponse pour les lecteurs pressés au titre : pas de logs qui comptent, audité deux fois, RAM uniquement tout au long, pas d’incidents, avec le drapeau néerlandais comme seul bémol structurel pour les modèles de menace sensibles aux alliances de renseignement. Pour tous les autres, la politique tient et le prix en fait l’un des abonnements sans logs audités les moins chers disponibles.
Pour aller plus loin : Comment vérifier la politique sans logs d’un VPN : ce qui compte vraiment comme preuve et Revue Surfshark 2026 : le meilleur VPN rapport qualité-prix ou juste du battage ?.