Pour la sixième fois depuis 2018, NordVPN a soumis sa politique de non-conservation des journaux d’activité à un audit indépendant. L’examen, mené par Deloitte Audit Lithuania, valide la conformité de la configuration observée avec les engagements affichés par le fournisseur.
Selon le rapport que nous avons pu consulter, l’audit s’est déroulé entre le 10 novembre et le 12 décembre 2025, dans le cadre d’une mission d’assurance conduite selon la norme internationale ISAE 3000, un référentiel utilisé pour vérifier des déclarations non financières. En clair, l’objectif n’est pas d’évaluer toute la sécurité de NordVPN ni l’ensemble de ses contrôles internes, mais de vérifier, sur un périmètre défini, que la configuration technique observée correspond bien à ce que l’entreprise VPN décrit lorsqu’elle affirme ne pas conserver de logs.
Une vérification technique ciblée et conforme aux engagements déclarés
Dans le détail, les équipes de Deloitte ont passé en revue des paramètres de configuration, des processus de déploiement et certains journaux techniques, tout en échangeant avec les employés impliqués dans l’exploitation du service. Il s’agissait ici de confronter la description publique de la politique no-log de NordVPN aux réglages effectivement appliqués à une partie de son infrastructure.
Une partie seulement, puisque le périmètre d’évaluation s’est limité aux serveurs VPN standard ainsi qu’à plusieurs équipements spécifiques, parmi lesquels les configurations Double VPN, Onion Over VPN, les serveurs obfusqués et les serveurs P2P. Autrement dit, le cœur du service tel qu’il est utilisé par la majorité des abonnés entre bien dans le champ de l’examen.
Dans la documentation examinée, NordVPN indique collecter les données nécessaires au fonctionnement du service, notamment l’adresse mail, un mot de passe chiffré et les informations liées à la facturation. Les serveurs d’authentification enregistrent aussi le nombre total de connexions réussies par utilisateur sur une base mensuelle afin de gérer les limites d’abonnement, sans conserver l’historique des serveurs utilisés ni les horaires précis des connexions. Des données de session associant un identifiant et un horodatage sont également utilisées pour limiter les connexions simultanées, puis supprimées peu après la déconnexion.
Les serveurs VPN produisent par ailleurs des statistiques agrégées liées à l’état du système et à l’usage des ressources, comme la charge CPU ou l’utilisation mémoire. En revanche, l’entreprise affirme ne pas conserver d’adresses IP source ou destination, d’historique de navigation, de requêtes DNS ni d’informations individualisées sur les volumes de données transférés.
Bref, des éléments qui correspondent aux données déjà décrites dans la politique de confidentialité de NordVPN, et que Deloitte juge conformes, sur le périmètre étudié, à la promesse no-log affichée par l’entreprise.
Un périmètre défini, des exclusions assumées et une publication encadrée
Comme tout audit de ce type, l’exercice repose sur un dispositif précis. La conclusion porte sur l’état des systèmes observés durant la période d’examen et ne constitue ni une garantie permanente ni une validation exhaustive de l’ensemble de l’architecture technique du fournisseur.
Par là même, on l’a vu, certains éléments ne sont pas inclus dans cette évaluation, à l’image des serveurs IP dédiés ou des composants liés au SmartDNS, notamment les services DNS et proxy. Leur configuration peut pourtant, selon les choix techniques retenus, générer des traces ou traiter des métadonnées qui entrent elles aussi dans l’équation lorsqu’un fournisseur affirme ne pas conserver de logs.
Cela ne signifie évidemment pas que ces éléments contreviennent à la politique no-log, mais simplement que l’audit ne se prononce pas sur leur configuration. On rappellera quand même qu’une promesse de non-conservation ne se joue pas uniquement sur les serveurs VPN standards, mais qu’elle dépend aussi de services complémentaires qui touchent à la résolution des noms de domaine, à l’acheminement du trafic ou à certaines fonctions proposées en option.
Enfin, si l’entreprise met en avant la répétition de ces audits depuis 2018 comme un gage de continuité, l’accès au document complet demeure réservé aux abonnés via leur compte. Le public doit donc s’appuyer sur un résumé et sur les conclusions communiquées.
Malgré ces limites, la démarche participe à une forme de contrôle externe régulier, qui permet de confronter les engagements affichés à une vérification technique indépendante. Un exercice imparfait par nature, mais qui reste préférable à une promesse non examinée.
Source : NordVPN
- storage8922 serveurs
- language129 pays couverts
- lan10 connexions simultanées
- moodEssai gratuit 30 jours
- thumb_upAvantage : le réseau Mesh
NordVPN confirme son statut de valeur sûre parmi les meilleurs VPN grand public. Son réseau massif, son protocole maison NordLynx désormais bien optimisé, la nouvelle interface orientée sécurité et les modules complémentaires comme Protection anti-menaces Pro ou le réseau Mesh composent un ensemble cohérent, pensé pour un usage intensif mêlant navigation, vidéo, P2P et travail à distance. Le fournisseur mise en parallèle sur des audits réguliers de sa politique de confidentialité et sur une infrastructure en RAM mieux documentée, ce qui lui permet de combiner bonnes performances, richesse fonctionnelle et garanties solides sur la gestion des données.
- Bonnes performances et débits très stables avec NordLynx
- Réseau de serveurs très étendu
- Réseau Mesh pratique pour relier directement ses appareils
- Protection anti-menaces Pro et surveillance Dark Web bien intégrées
- Politique no log vérifiée régulièrement par audit indépendant
- Support 24 h/24 et 7 j/7, avec assistance en français via le chat
- Pas d’indicateur de charge ou de latence par serveur dans l’application
- Interface qui incite fortement à garder le VPN activé en permanence
