Un VPN, c’est l’équivalent d’un tunnel chiffré pour votre trafic internet : vous confiez au fournisseur la totalité de ce que vous faites en ligne. La question centrale n’est donc pas “ce VPN chiffre-t-il ?”, mais “ce fournisseur enregistre-t-il ce qui transite, et peut-il le prouver ?”.
No-logs : un terme marketé, une vérification rare
Presque tous les VPN commerciaux affichent une politique “no-logs”. Mais les audits indépendants restent l’exception, pas la règle. Ceux qui les font (et les publient) méritent une attention particulière, car une promesse non auditée vaut ce que tout marketeur raconte : rien.
Quelques VPN majeurs se sont soumis à des vérifications externes répétées. D’autres ont brillé par une totale absence de transparence. Et certains se sont ridiculisés en affirmant “no-logs” avant de coopérer avec le FBI.
Les VPN no-logs qui tiennent vraiment leurs promesses
ProtonVPN : le champion des audits réguliers
ProtonVPN a subi quatre audits indépendants consécutifs (Securitum, août 2025), tous confirmant l’absence totale de logs d’activité, de métadonnées de connexion, et d’inspection du trafic utilisateur. Les auditeurs ont examiné les configurations serveurs, l’infrastructure complète, et les procédures en place. Aucune instance de logging n’a été trouvée.
L’avantage de ProtonVPN : basé en Suisse (juridiction favorable), open-source, et auditeurs réputés (Securitum travaille aussi avec DuckDuckGo). Point négatif : plus lent que certains concurrents, tarif premium.
Mullvad : l’anonymat par défaut, pas d’exception
Mullvad ne demande pas votre email, votre mot de passe, ou votre nom. Vous recevez un numéro de compte aléatoire : c’est votre seul identifiant. Cela rend les données personnelles pratiquement impossibles à collecter, même en cas de mauvaise volonté.
En avril 2023, la police suédoise a perquisitionné les serveurs de Mullvad. Résultat : rien. Cet événement a validé les claims de la compagnie en conditions réelles, sans procédure judiciaire compliquée.
Mullvad a aussi suivi des audits de sécurité (Assured AB, août 2025) et affiche zéro logs d’activité. Inconvénient : serveur réseau moins étendu que ExpressVPN ou NordVPN.
IVPN : l’intégrité technique depuis le début
IVPN s’enorgueillit d’une architecture conçue dès sa création pour ne pas logger de données identifiables. Cure53 a audité cette affirmation en mars 2019 et l’a validée. Les trois auditeurs ont passé sept jours à examiner l’infrastructure VPN et les serveurs d’authentification, sans trouver de preuves de logging (sauf une cache DNS mineure, classée “low-impact”).
IVPN publie aussi des rapports de transparence réguliers. Inconvénient : moins connu, réseau serveurs plus petit.
NordVPN : l’audit professionnel industrialisé
NordVPN a subi cinq audits Deloitte depuis 2018, le dernier en décembre 2024-janvier 2025. Chaque audit a confirmé l’absence de logs d’activité utilisateur, et que l’infrastructure est bien configurée selon sa politique affichée.
Déloitte a examiné tous les types de serveurs (standard, double, obfusqué, Onion over VPN, P2P), les configurations, les procédures opérationnelles et de confidentialité. Aucune déviation trouvée.
Basé au Panama (pas de loi de rétention obligatoire), NordVPN allie audit Big Four, transparence régulière, et large réseau serveur. Inconvénient : appartient à Kape Technologies (UK), ce qui peut inquiéter les puristes (juridiction 5-Eyes), bien que NordVPN lui-même soit hors de portée directe.
ExpressVPN : la technologie TrustedServer en action
ExpressVPN s’appuie sur TrustedServer, une architecture entièrement en RAM : aucune donnée n’est écrite sur disque, elle disparaît au reboot. Cela signifie qu’il n’y a physiquement pas de logs à extraire, même si quelqu’un y était forcé.
ExpressVPN a subi 23 audits indépendants (KPMG en février 2025, en cours). KPMG a confirmé que la technologie TrustedServer fonctionne comme promis : aucun log d’IP, de session, d’historique navigateur, ni de requête DNS.
Basé aux îles Vierges britanniques (juridiction offshore, loin des 5-Eyes), ExpressVPN jouit d’une bonne réputation et de vitesses élevées. Inconvénient : traçabilité de propriété opaque, un peu marketing-lourd.
CyberGhost : la juridiction qui aide
CyberGhost opère depuis la Roumanie, un pays sans lois de rétention de données obligatoires et non membre des alliances de surveillance (Five Eyes, Nine Eyes, 14-Eyes). Même si les autorités demandaient un rapport, il n’y aurait rien à livrer : la loi roumaine ne force pas la collecte.
Deloitte Roumanie a audité CyberGhost en septembre 2022 et confirmé l’absence de logs. La compagnie publie aussi des rapports de transparence trimestriels. Point technique majeur : CyberGhost se concentre moins sur les audits répétés que d’autres, mais la juridiction elle-même est un atout.
Surfshark : la vérification récente de Déloitte
Surfshark a subi un second audit Déloitte en juin 2025 (ISAE 3000 Type 1). Les auditeurs ont examiné les configurations serveurs (standard, static, multiport), les interviews du personnel, et les procédures. Conclusion : la configuration IT et les opérations sont conformes à la politique no-logs.
Surfshark basé aux Pays-Bas (juridiction 9-Eyes, léger désavantage) mais l’audit récent renforce la confiance. Avantage : rapport ISAE 3000 accessible aux utilisateurs.
Windscribe : prouvé en cour de justice
L’histoire la plus spectaculaire. Un serveur Windscribe en Finlande aurait été utilisé pour accéder à un système grec sans autorisation. Les autorités grecques ont poursuivi le fondateur Yegor Sak personnellement. La cour a annulé les accusations le 11 avril 2025, car Windscribe était incapable de fournir les données utilisateur : elles n’existent pas.
Ce jugement affirme que la politique no-logs est une défense légale valide, et qu’on ne peut pas inculper un prestataire pour ce qu’il ne peut pas fournir. C’est une validation en conditions réelles, en cour de justice, ce qu’aucun autre VPN n’a obtenu.
Les VPN à éviter ou examiner de près
PureVPN : la leçon de 2017
En 2017, PureVPN a coopéré avec le FBI dans une affaire de cyberstalking, en livrant des logs qui relaient l’adresse IP domicile d’un suspect. Or, PureVPN affichait une politique “Zero-Log” à l’époque.
Depuis, PureVPN affirme avoir complètement restructuré son système et basculé vers une infrastructure no-logs vérifiée. KPMG conduit maintenant un audit “Always-On” (en continu). Mais la confiance, c’est comme une vitre brisée : on peut coller des rustines, mais la fissure reste visible.
HideMyAss (HMA) : le passé qui hante
HideMyAss a aussi coopéré avec le FBI, fournissant des logs en contradiction avec ses claims. Depuis 2020, HMA a mis en place une politique no-logs audité par VerSprite.
Techniquement, HMA est maintenant plus respectable. Mais le “HideMyAss… vraiment ?” reste une boutade légitime.
Hola VPN : le pire de la catégorie
Hola stocke d’énormes quantités de données personnelles : IP, géolocalisation, identifiants appareil, mots de passe, détails bancaires, historique de navigation. C’est un VPN qui n’en est pas vraiment un : c’est une entreprise de surveillance distribuée.
Les VPNs gratuits de l’App Store
Un audit récent a identifié 17 VPN gratuits avec des connexions chinoises. En Chine, les lois de rétention de données sont strictes et la gouvernance est centralisée. Utiliser un VPN “gratuit” des app stores chinois, c’est offrir vos données à Pékin.
Comment évaluer un VPN : critères pratiques
Rechercher les audits indépendants :
- Auditeurs réputés : Deloitte, KPMG, Cure53, Securitum, Assured AB.
- Audits réguliers, pas une vérification unique de 2015.
- Rapport public, pas marketing-speak caché.
Vérifier la juridiction :
- Bonne : Suisse, Panama, Îles Vierges britanniques, Roumanie, Suède.
- Mauvaise : US, UK, Canada (5-Eyes ou dérivé).
- Neutre : Pays-Bas (mais Surfshark a des audits de compensation).
Examiner les incidents réels :
- Police raid sans résultats ? Mullvad, 2023.
- Procès perdu parce que le VPN ne peut pas fournir les logs ? Windscribe, avril 2025.
- Coopération FBI prouvée ? PureVPN (passé), HideMyAss (passé).
Connaître les compromis :
- Vitesse : ExpressVPN et NordVPN généralement plus rapides.
- Anonymat : Mullvad (pas besoin de compte), Windscribe (paiement crypto).
- Transparence : Mullvad, ProtonVPN, Windscribe.
- Budget : CyberGhost souvent moins cher.
Tableau comparatif
{% table %}
- VPN
- Audits
- Dernier audit
- Juridiction
- Avantage majeur
- Faiblesse
- ProtonVPN
- 4 consécutifs
- Aug 2025
- Suisse
- Transparence extrême
- Vitesse modérée
- Mullvad
- Raid police OK
- 2023/2025
- Suède
- Anonymat parfait
- Réseau petit
- IVPN
- Cure53
- Mars 2019
- Bulgarie
- Design minimal
- Peu connu
- NordVPN
- 5 Déloitte
- Jan 2025
- Panama
- Big Four approuve
- 5-Eyes indirect
- ExpressVPN
- 23 KPMG
- Fév 2025
- BVI
- TrustedServer tech
- Opacité propriété
- CyberGhost
- 1 Déloitte
- Sep 2022
- Roumanie
- Juridiction forte
- Peu d’audits répétés
- Surfshark
- 2 Déloitte
- Juin 2025
- Pays-Bas
- Tarif+transparence
- 9-Eyes léger risque
- Windscribe
- Cour justice
- Avril 2025
- Canada
- Prouvé en justice
- 5-Eyes (indirect)
- TunnelBear
- 7 Cure53
- 2023
- Canada
- Longue séquence
- 5-Eyes
- PureVPN
- KPMG continu
- 2025
- BVI
- Reformé ?
- Cicatrice FBI
- HideMyAss
- VerSprite
- 2020
- UK
- Réformé ?
- Passé FBI {% /table %}
Conclusion : la vraie règle
“No-logs” n’existe qu’une seule fois : au moment où un tiers indépendant l’a vérifié. Les audits les plus anciens (2019, 2020) perdent en valeur. Les audits répétés (Deloitte annuel, KPMG continu) valent mieux qu’une vérification ponctuelle.
En 2026, les meilleurs choix restent : ProtonVPN (transparence extrême), Mullvad (anonymat par défaut), NordVPN (stabilité Big Four), ExpressVPN (TrustedServer), Windscribe (preuve juridique).
Les pires : Hola, les VPN gratuits chinois, et tout VPN sans audit public datant d’après 2022.
Posez-vous une vraie question : accepteriez-vous que quelqu’un ayant accès à vos logs les vende au plus offrant ? Si oui, le VPN n’est qu’un coût supplémentaire. Si non, choisissez parmi ceux qui ont prouvé, en cour ou par audit, qu’ils n’en ont pas.