Le no-log s’est imposé comme un argument réflexe dans le secteur des VPN, alors même que sa signification réelle est bien moins absolue que ne le laisse entendre le discours publicitaire. Derrière la promesse d’anonymat (relatif, on le rappelle), il faut surtout regarder quelles données sont traitées, dans quel cadre, pendant combien de temps, et avec quelle capacité de corrélation.
Pendant des années, le marché a laissé prospérer une idée aussi commode que trompeuse, selon laquelle un VPN respectueux de la vie privée ne conserverait strictement rien, ni pendant l’usage du service, ni autour du compte, ni dans les opérations ordinaires de gestion d’une infrastructure mondiale.
Or, un tel raisonnement confond deux réalités très différentes : d’un côté l’absence de journalisation de l’activité en ligne, qui constitue le cœur même de la promesse de confidentialité, et de l’autre l’existence de traitements périphériques, inhérents à la manière dont fonctionne n’importe quelle entreprise qui vend un abonnement en ligne. Même le fournisseur le plus strictement orienté vie privée doit, d’une manière ou d’une autre, vérifier qu’un accès est valide, administrer ses serveurs, résoudre des incidents, traiter des échanges avec l’assistance et composer avec des circuits de paiement qui, eux, ne vivent pas dans un vide juridique ou administratif.
Ce que « no-log » veut réellement dire (spoiler : pas zéro donnée)
Il faut donc resserrer la définition. Lorsqu’un VPN parle sérieusement de no-log, il ne dit pas qu’aucune donnée n’existe jamais nulle part, il dit qu’il ne conserve pas de journaux capables de documenter l’activité en ligne de ses utilisateurs et utilisatrices, ni de métadonnées assez riches pour la reconstituer après coup. La promesse porte d’abord sur l’absence de journaux d’activité, beaucoup moins sur les traitements périphériques liés à la relation commerciale ou à l’exploitation technique du service.
Cette clarification oblige à sortir d’une opposition trompeuse entre un idéal chimérique, celui du zéro donnée, et une réalité qui serait forcément décevante dès lors qu’un fournisseur traite la moindre information. Une donnée n’est pas problématique du seul fait qu’elle existe. Elle le devient lorsqu’elle permet d’établir, avec un degré de précision suffisant, qui s’est connecté, à quel moment exact, et pour faire quoi. À partir du moment où ces trois dimensions peuvent être rapprochées sans trop d’effort, la promesse de discrétion change de nature.
Les données qu’un VPN peut conserver sans trahir sa promesse de confidentialité
Certaines catégories de données peuvent encore être conservées sans vider la promesse no-log de sa substance, à condition de rester séparées de l’activité réseau et de ne pas finir, par accumulation ou par croisement, par dessiner trop précisément l’usage d’un utilisateur ou d’une utilisatrice.
Il y a, d’abord, tout ce qui relève de la vie du compte, comme un moyen de paiement, un justificatif de facturation, un remboursement, une adresse mail lorsqu’elle est requise, ou encore un échange volontaire avec le support. Ces éléments ne sont jamais neutres, puisqu’ils peuvent contribuer à identifier une personne, mais ils ne disent rien, à eux seuls, des sites consultés, des services contactés ou des requêtes émises à travers le tunnel.
Viennent ensuite les données purement opérationnelles, dont un fournisseur peut difficilement se passer s’il veut maintenir un service stable. Une infrastructure mondiale suppose de surveiller l’état des serveurs, de détecter une surcharge, d’isoler une panne régionale, de corriger un bug applicatif ou de comprendre pourquoi une version du client provoque des erreurs. Dans ce cadre, des métriques agrégées, des journaux techniques génériques, des indicateurs de disponibilité ou des statistiques globales de charge restent compatibles avec une politique no-log, tant qu’ils ne sont pas rattachés à un compte ou à une session avec un niveau de détail suffisant pour retracer une connexion.
Un service commercial a également besoin d’un minimum d’état technique transitoire pour authentifier ses utilisateurs et utilisatrices, vérifier qu’un abonnement est actif, faire respecter une limite de connexions simultanées ou contenir certains abus manifestes contre l’infrastructure. Tout dépend alors de la durée pendant laquelle ces informations subsistent, du niveau de détail qu’elles conservent et de la possibilité, ou non, de les rattacher ensuite à un compte ou à une session. Un état de session très bref, non historisé, non exploitable après coup et non corrélé à des logs d’activité n’a pas la même portée qu’une base conservant des horodatages précis, des adresses IP d’origine et des volumes de trafic associés à un identifiant de compte.
Ce qu’un VPN ne devrait jamais conserver s’il veut encore parler de vie privée
Le vrai critère tient donc moins à l’existence d’une donnée qu’à ce qu’elle permet encore de relier. Un VPN ne devrait ainsi jamais conserver l’historique de navigation, les destinations du trafic, les requêtes DNS, le contenu des communications, les fichiers transférés ni les journaux applicatifs assez détaillés pour indiquer quels services ont été utilisés à travers le tunnel. Toute la promesse du produit consiste justement à empêcher qu’un intermédiaire puisse accéder à ces informations ou les réassembler. Les conserver reviendrait simplement à déplacer le centre de gravité de la surveillance.
La conservation de l’adresse IP d’origine pose un problème tout aussi sérieux, en particulier lorsqu’elle est associée à des horodatages précis, à une localisation de serveur, à un identifiant de compte ou à un volume de bande passante par session. L’adresse IP est déjà un élément d’identification, et ces associations suffisent à relier une personne à une session donnée, sans qu’il soit nécessaire d’accéder au contenu du trafic.
Il faut se méfier, pour les mêmes raisons, des dispositifs anti-abus ou de diagnostic trop larges, des identifiants persistants d’appareil, des rapports de plantage trop bavards activés par défaut, ainsi que des traces techniques présentées comme temporaires alors que leur durée de conservation reste floue. Ces éléments sont souvent présentés comme nécessaires au fonctionnement du service, mais cette nécessité n’a de valeur que si elle est définie de manière stricte, limitée dans le temps, vérifiable et cohérente avec l’objet du produit. À défaut, ils finissent, là aussi, par produire des traces suffisamment précises pour fragiliser la promesse de confidentialité, sans jamais enregistrer directement l’activité.
Ce que disent vraiment les politiques des grands VPN du marché
Très bien pour le principe, mais dans la pratique, l’ensemble est finalement assez peu homogène. Les politiques de confidentialité des principaux fournisseurs VPN racontent toutes la même histoire sur l’absence de logs d’activité, mais pas avec le même degré de précision dès qu’il s’agit des traitements périphériques, des durées de conservation ou de ce qu’elles conservent encore autour du compte, du paiement, du support ou de la prévention des abus.
CyberGhost se révèle beaucoup plus disert sur les données collectées que sur leur durée de conservation. Le fournisseur conserve les informations liées au compte, les données de paiement et les éléments transmis via les formulaires de contact. À cela s’ajoutent, au titre de la détection de fraude, une adresse IP stockée sous forme anonymisée, une localisation approximative limitée au pays et diverses informations de transaction. Sa politique mentionne aussi la collecte de données non personnelles et techniques liées au site, à l’appareil et à la connexion, ainsi que les journaux éventuellement transmis au support. Le vrai point faible reste la rétention, que CyberGhost ne chiffre pas par catégorie et résume à une formule très large, aussi longtemps que nécessaire.
Proton se montre très strict sur le VPN lui-même, mais beaucoup plus nuancé dès qu’on parle du compte. La politique générale indique qu’aucun log IP permanent n’est conservé par défaut, tout en prévoyant une conservation temporaire des adresses IP pour lutter contre l’abus et la fraude. Le texte ajoute qu’une adresse IP peut être conservée de manière permanente en cas d’activité contraire aux conditions d’utilisation, par exemple du spam, des attaques DDoS contre l’infrastructure ou des tentatives de brute force. S’y ajoutent les journaux d’authentification, désactivés par défaut, qui enregistrent les tentatives de connexion au compte tant que l’option reste activée, ainsi que les données de vérification, conservées temporairement sans durée chiffrée publiquement.
ExpressVPN détaille des données de compte assez classiques, à commencer par l’adresse mail, les informations de paiement et, selon le mode de règlement choisi, le nom, le pays ou l’adresse de facturation et certaines données de carte bancaire. Le fournisseur indique aussi que des partenaires peuvent obtenir l’adresse IP de l’utilisateur pour faciliter la connexion, détecter les inscriptions frauduleuses, prévenir le détournement de compte ou affiner ses efforts marketing, tout en assurant que ces adresses restent séparées de tout comportement en ligne. Sa politique mentionne en outre une collecte limitée de statistiques d’usage et, avec le consentement de ses abonnés, des diagnostics applicatifs anonymisés. La durée la plus franchement chiffrée concerne les communications transactionnelles, conservées dix ans.
NordVPN reste surtout précis sur la facturation. Le fournisseur conserve les informations liées au compte, à commencer par l’adresse mail, le nom d’utilisateur, les données de paiement et les éléments transmis au support. Sa politique indique que les données de facturation sont gardées pendant dix ans après la dernière transaction afin de répondre aux obligations comptables, fiscales et financières. Pour le reste, NordVPN en reste à une formule plus générale, en expliquant que les données personnelles sont conservées aussi longtemps que nécessaire pour fournir le service ou aussi longtemps qu’existe une base légitime pour le faire.
Surfshark, enfin, fait partie des plus explicites sur les durées de conservation. Pour créer un compte, le fournisseur collecte l’adresse mail, le mot de passe chiffré, la date d’inscription et, le cas échéant, un code promo, puis conserve ces données pendant la durée de l’abonnement et jusqu’à deux ans après la dernière connexion. La même durée vaut pour diverses données liées au service et à la sécurité du compte. Les échanges avec le support sont, eux, conservés six ans. Surtout, Surfshark explicite noir sur blanc une rétention technique temporaire côté VPN, avec conservation de l’identifiant utilisateur, de l’adresse IP et des horodatages de connexion pendant quinze minutes après la session.
Une discipline de limitation, pas une disparition totale des traces
Le no-log ne repose donc pas sur une promesse d’effacement total, mais sur une discipline de limitation et d’architecture. Aucun de ces services ne fonctionne sans données périphériques relatives au compte, au paiement, au support ou à la prévention des abus. L’important ne relève pas tant de l’existence de ces traces que de la manière dont elles sont séparées de l’activité réseau, justifiées par une finalité précise et assorties, ou non, d’une durée de conservation explicitement annoncée. Le reste relève de l’inévitable. À partir du moment où l’on crée un compte, où l’on souscrit un abonnement et où l’on s’en remet à une infrastructure tierce, certaines données subsistent forcément.
