Il y aurait les bons pays, les mauvais pays, puis des VPN naturellement plus fiables parce qu’ils auraient eu la bonne idée de s’installer du bon côté de la frontière. Le raisonnement a l’avantage d’aller vite. Il résume aussi à peu près tout ce qu’il faudrait justement prendre le temps de nuancer.

VPN : pourquoi l'argument "basé en dehors des 14 Eyes" ne veut pas dire grand-chose à lui seul. © Who is Danny / Shutterstock
VPN : pourquoi l'argument "basé en dehors des 14 Eyes" ne veut pas dire grand-chose à lui seul. © Who is Danny / Shutterstock

C’est l’un de ces arguments qui claquent bien en haut d’un site web. Un siège social installé dans la bonne juridiction, une petite allusion aux « 5/9/14 Eyes », et l’affaire semble entendue. Le service serait, par nature, mieux protégé des curiosités étatiques que ses concurrents moins bien logés géographiquement parlant. Le souci, c’est que la promesse simplifie à l’extrême. Oui, les alliances de renseignement existent, et oui, la juridiction d’un fournisseur compte. Mais à elle seule, elle ne dit ni quelles données sont collectées, ni qui peut y accéder, ni dans quelles conditions une entreprise peut être contrainte de les remettre. Elle peut donner un élément de contexte, mais certainement pas suffire à juger du niveau réel de confidentialité d’un VPN.

Un raccourci commode pour une réalité beaucoup plus embrouillée

Un VPN, ce n’est pas seulement un pays d’enregistrement. Derrière la marque, il peut y avoir une maison mère installée ailleurs, des équipes réparties sur plusieurs territoires, des prestataires techniques soumis à d’autres règles, ou une infrastructure exploitée dans plusieurs juridictions. Le siège social mis en avant sur la page d’accueil donne une indication, mais il ne résume ni l’organisation du fournisseur, ni les conditions dans lesquelles le service est exploité, ni les divers cadres juridiques auxquels il peut être soumis.

Oui, DES cadres juridiques, au pluriel. Celui de la juridiction du VPN, pour commencer, mais aussi ceux liés à la provenance des données traitées et aux pays dans lesquels le service opère. À titre d’exemple, en Europe, des traitements de données réalisés en dehors de l’UE peuvent relever du RGPD lorsqu’ils concernent l’offre de biens ou de services à des personnes se trouvant dans l’Union, ou le suivi de leur comportement sur le territoire européen. De l’autre côté de l’Atlantique, aux États-Unis, le CLOUD Act permet aux autorités de demander l’accès à des données électroniques même lorsqu’elles sont stockées à l’étranger, dès lors qu’elles sont dans la possession, la garde ou le contrôle d’une entreprise soumise à la juridiction états-unienne.

À cela s’ajoutent encore les règles des États dans lesquels les serveurs sont physiquement déployés. La juridiction du service et celle de son infrastructure ne coïncident pas toujours, loin de là, parce que des équipements implantés sur un territoire peuvent exposer l’opérateur à des obligations locales, à des injonctions, à des saisies ou à des demandes d’assistance technique, selon le droit applicable. Selon les pays, cela peut se traduire par des exigences de rétention et de conservation de données ou de journaux techniques difficilement conciliables avec les promesses de confidentialité des VPN.

Enfin, s’il fallait encore enfoncer le clou, tous les fournisseurs n’administrent pas eux-mêmes l’ensemble de leur infrastructure. Un VPN peut très bien opérer un service sans posséder ni gérer directement toutes les machines sur lesquelles il repose. Serveurs loués, hébergeurs tiers, colocation, prestations externalisées, plus les intermédiaires se multiplient, et plus le service doit composer avec d’autres contraintes, d’autres règles, d’autres obligations, en parallèle de celles desquelles relève son siège social.

Même si le fournisseur VPN est domicilié en-dehors de l'Union européenne, les données qu'il traite peuvent toujours relever du RGPD. © Mongta Studio / Shutterstock
Même si le fournisseur VPN est domicilié en-dehors de l'Union européenne, les données qu'il traite peuvent toujours relever du RGPD. © Mongta Studio / Shutterstock

Le vrai sujet, c’est l’existence même des données

À force de braquer l’attention sur le pays de domiciliation, on finit par perdre de vue l’essentiel. Avant même de parler juridiction, la question devrait porter sur l’existence même des données. Un VPN qui fait de la confidentialité son principal argument devrait déjà commencer par s’appliquer cette exigence à lui-même, en limitant strictement ce qu’il collecte, ce qu’il conserve et ce qu’il peut rattacher à l’activité de ses utilisateurs et utilisatrices.

D’où l’importance de gratter un peu plus loin que la page d’accueil et d’éplucher les conditions d’utilisation, la politique de confidentialité, les audits publiés, et tout ce qui permet de comprendre ce que le service conserve réellement, pendant combien de temps, dans quel but, et ce qu’il s’autorise éventuellement à transmettre à des prestataires, à des partenaires commerciaux ou à d’autres tiers. À choisir, mieux vaut un fournisseur implanté dans une juridiction moins flatteuse, mais peu gourmand en données et transparent sur ses pratiques, qu’un VPN domicilié dans un data haven qui se gave d’informations dans le dos de ses abonnés.

Alors, le pays compte, bien sûr, mais il ne suffit pas à lui seul à juger du sérieux d’un VPN. Être basé hors des 5/9/14 Eyes ne garantit ni l’absence de coopération judiciaire, ni l’impossibilité d’accès aux données, ni une politique de confidentialité plus sérieuse. C’est un indicateur parmi d’autres, mais certainement pas le plus solide sans éléments sur la structure du service, sa politique de logs, ses audits, sa transparence juridique, son infrastructure et les précédents concrets.

À découvrir
Quel est le meilleur VPN ? Le comparatif en avril 2026
Comparatifs services