No-log policy, anonymat et confidentialité inviolables font invariablement partie du discours commercial des fournisseurs de VPN. Mais comment s’assurer de la véracité de leurs promesses et de la sûreté d'un VPN ?
À en croire l’ensemble des services de VPN existants, aucun ne collecte ni ne conserve les informations personnelles de ses abonnés. Pourtant, dès l’inscription, l’internaute est contraint de dévoiler une partie de son identité sagement stockée dans un fichier client. Par la suite, le besoin de contrôler l’usage de la bande passante, de vérifier le nombre d’appareils connectés au service et d’assurer une maintenance réactive sous-entend que ces mêmes fournisseurs historisent plus de données privées qu’ils veulent bien l’admettre. Et cette pratique est le plus souvent mise en œuvre pour les VPN gratuits.
Comment fonctionne un VPN ?
Un VPN agit comme un intermédiaire entre une machine et le reste du Web en créant un tunnel de connexion sécurisé par lequel circulent les données chiffrées. En passant par ce tunnel, le trafic de l'usager est isolé du reste du trafic Internet circulant sur le réseau public : invisibilisé de la sorte, il est difficile de l’intercepter et impossible de le déchiffrer – à condition d’avoir opté pour un algorithme de chiffrement solide type AES ou ChaCha20-Poly1305, et un protocole fiable comme OpenVPN ou WireGuard.
En empruntant ce chemin virtuel, les données de connexion transitent par les serveurs du VPN avant d’interroger les serveurs des sites Web et plateformes sollicités. Afin de rediriger correctement la requête, les serveurs du VPN déchiffrent le trafic initialement chiffré sur le terminal de l'abonné. En tant que relais de connexion, ils occupent donc une place stratégique dans le circuit mis en place pour dissimuler et protéger les informations personnelles. De fait, contrairement aux entités tierces qui ne peuvent théoriquement plus établir de corrélation entre l’identité de l'internaute et ses activités en ligne, le VPN a connaissance d'une bonne partie de ces données : nom et coordonnées fournis à la souscription, adresse IP publique de l'utilisateur ou l'utilisatrice, emplacement et adresse du serveur VPN choisi, volumes et horaires, informations de routage comme le SNI ou les requêtes DNS lorsqu’elles transitent par son résolveur et, dans les cas les plus critiques, URL complète en HTTP, en-têtes, corps et éventuels identifiants transmis en clair si la connexion n’est pas protégée par HTTP.
Il n’est alors pas compliqué de saisir les enjeux soulevés par cette omniscience accordée aux fournisseurs de VPN : comment garantir la confidentialité de ses données personnelles quand un maillon de la chaîne de sécurité en a lui-même connaissance ? Il n’existe pas de réponse réellement satisfaisante mis à part la confiance accordée au service souscrit.
No-log policy : promesse vs réalité
Difficile, cependant, d’octroyer sa confiance à un service privé sans contrepartie certifiée et vérifiable. Certains éléments peuvent néanmoins aiguiller le choix de l’utilisateur ou de l'utilisatrice, à commencer par la garantie de non-journalisation des données, également appelée politique de no-log.
Argument numéro un mis en avant par la très grande majorité des VPN, la politique de no-log implique que le service n’enregistre ni ne conserve aucune information personnelle ayant trait aux activités en ligne des internautes. On parle ici de la véritable adresse IP de l'abonné, des heures et dates de connexion au VPN, des sites Web visités, des quantités de données échangées.
Attention toutefois : lorsque l’on s’abonne à un service VPN, on consent nécessairement à fournir ses nom, prénom, pseudonyme, coordonnées (postales, mail, bancaires, éventuellement téléphoniques) que le fournisseur conserve dans une base de données client. Il s’agit d’une étape non négociable dans le cadre de l’élaboration du contrat, qui doit bien être dissociée des activités en ligne passant par les serveurs du VPN. D'ailleurs, dans la pratique, de nombreux fournisseurs distinguent l’absence de logs d’usage permettant d’identifier l’internaute et la présence de journaux techniques éphémères ou agrégés, comme un horodatage de dernière connexion non corrélable à une activité.
En d’autres termes, un fournisseur consciencieux s’engage à ne pas utiliser ces informations pour identifier et pister l'utilisateur ou l'utilisatrice. D’où l’importance d’une politique de no-log intransigeante sur l’historisation et le stockage des données de connexions aux serveurs du VPN.
Mais entre la promesse d’un anonymat total, formulé en page d’accueil du service, et le contenu de sa politique de confidentialité et/ou de ses conditions d’utilisation, il existe parfois – souvent – un monde. À titre d’exemples, dans la dernière version de sa politique de confidentialité datée du 30 juillet 2025, Proton VPN (« […] By default, we do not keep permanent IP logs in relation with your Account. However, IP logs may be kept temporarily to combat abuse and fraud […] ») précise que des adresses IP peuvent temporairement être conservées pour prévenir les abus ou les activités frauduleuses liées aux comptes Proton. En revanche la sous-politique dédiée au service VPN indique qu’aucune donnée de session ou d’adresse IP n’est enregistrée sur les serveurs du service.
Idem pour ExpressVPN (« […] We may know, for example, that our customer John had connected to our New York VPN location on Tuesday and had transferred an aggregate of 823 MB of data across a 24-hour period […] »), dont la politique no logs admet la collecte temporaire de métadonnées de connexion comme le volume transféré, la localisation du serveur, la date de connexion, le pays et le FAI d’origine, et mentionne, dans le cas du service MediaStreamer, le stockage d’adresses IP autorisées pour les appareils non compatibles VPN.
Sur un modèle similaire, CyberGhost enregistre des données dites anonymisées (non associées à un utilisateur, en théorie), mais dont la précision laisse songeur (« Tentative de connexion : nous recueillons ces informations pour connaître la demande d’utilisation adressée à notre Service sur un intervalle horaire/quotidien/hebdomadaire/mensuel particulier, le pays d’origine, votre version Cyberghost VPN, etc. […] »). Le fournisseur admet par ailleurs conserver des adresses IP pseudonymisées à des fins de détection de fraude et de performance, ainsi que des statistiques agrégées sur la réussite ou l’échec des connexions.
Chez NordVPN, la politique de confidentialité mise à jour le 10 septembre 2025 indique la conservation temporaire du nom d’utilisateur et de l’horodatage de la dernière session – supprimés dans les quinze minutes suivant la déconnexion – ainsi qu’un indicateur d’activité sur trente jours pour prévenir les abus. Le fournisseur mentionne aussi l’usage d’outils de détection de comportements irréguliers lors de l’établissement de nouvelles sessions, et l’enregistrement d’événements anonymisés pour mesurer les performances, les interactions avec l’interface, le succès de la connexion, le type de réseau, le FAI public, le protocole et le serveur utilisé.
Des traces donc, souvent anonymisées, parfois agrégées, mais bel et bien présentes. En théorie, ces données constituent un socle technique minimal destiné au fonctionnement, au support ou à la prévention des abus. Elles ne permettent pas d’identifier un utilisateur ou une utilisatrice, mais rappellent que le no-log absolu reste illusoire.
Il est aussi arrivé par le passé que certains scandales mettent en lumière la collecte et la journalisation de données alors même que les services en cause assuraient le contraire. C’est notamment le cas en 2016, alors qu’IPVanish transmettait au FBI identités des internautes, adresses IP sources, adresses mail, horodatages des connexions dans le cadre d’une enquête sur un réseau de pédocriminalité. Le service clamait pourtant ne conserver aucune de ces informations.
L’audit : une preuve d’honnêteté ?
L’étiquette no-logs n’est donc en rien une garantie de confidentialité, certains services VPN se permettant quand même d’enregistrer et de conserver des informations relatives à la connexion aux serveurs disponibles.
Pour montrer patte blanche, les fournisseurs les plus populaires mettent également en avant l’argument de l’audit de sécurité. En soumettant leur infrastructure à une évaluation menée par une entreprise tierce, ils entendent prouver leur honnêteté quant à la politique de non-journalisation stricte qu’ils promettent d’appliquer. À noter que ces audits n’ont évidemment de valeur que s’ils sont menés régulièrement par des cabinets indépendants et qu’ils sont par la suite rendus publics.
Par là même, ces démarches reposent presque toujours sur des entreprises privées mandatées et rémunérées par les fournisseurs eux-mêmes. Si la majorité des cabinets jouissent d’une solide réputation, il n’en demeure pas moins qu’ils restent liés contractuellement à leurs clients, et que la neutralité totale de leurs rapports n’est pas toujours aisée à évaluer.
Bon élève, NordVPN peut se vanter d’avoir fait auditer son service par cinq fois, d’abord par PricewaterhouseCoopers (PwC AG Switzerland) en 2018 et 2020, puis par Deloitte en 2022, 2023 et 2024. Les méthodes d’examen et conclusions sont accessibles aux abonnés sur le site du fournisseur VPN… Mais aucune trace du rapport original.
Même constat pour ExpressVPN qui fait auditer tous les ans son infrastructure par Cure53 et sa politique de confidentialité par KPMG. Les conclusions sont rendues publiques sur le site du fournisseur, mais pas sur ceux des cabinets ayant mené les audits. Il est pourtant possible d’accéder à certains rapports d’expertise sur le site de Cure53, parmi lesquels on trouve les résultats d’audits récents pour Mullvad, TunnelBear ou Surfshark. À titre d'information, le lien de téléchargement du rapport de 2025, hébergé sur le site d'ExpressVPN, retourne désormais une erreur.
Proton VPN suit la même cadence, avec un quatrième audit annuel consécutif mené en 2025 par Securitum, dont les conclusions détaillées sont, elles, librement consultables.
CyberGhost, de son côté, a complété en 2024 son deuxième audit no-log confié à Deloitte, après un premier examen en 2022. Le rapport n’est pas publié en ligne, et il faut en faire la demande au service client pour l’obtenir.
En conclusion, un audit, oui, dévoilé publiquement dans sa version originale, encore mieux.
Le cas Private Internet Access
Et il y a toutefois des contre-exemples, avec des services qui, malgré l’absence d’audit ou de toute autre preuve académique de leur bonne foi, ont pu démontrer leur honnêteté sans qu’il soit aujourd’hui possible de la contester.
C’est le cas de Private Internet Access, par deux fois sommé de transmettre à la justice américaine tous les logs dont il disposait, la première fois en 2016, la seconde en 2018. Dans les deux cas, le service n’a jamais pu s’exécuter. Cohérent avec sa politique de stricte non-journalisation, PIA (basé aux États-Unis) n’avait en effet rien enregistré ni conservé aucune donnée de connexion de ses utilisateurs et utilisatrices. Une politique de confidentialité que le service VPN a pu prouver devant le tribunal à deux reprises, attestant par là même de son sérieux en termes d’anonymat, de sécurité et de confidentialité.
[Article mis à jour le 21 octobre 2025]
