Quelles donnees les VPN peuvent-ils enregistrer ?
Une politique no-logs est l'une des fonctionnalites les plus importantes a evaluer lors du choix d'un fournisseur VPN. Essentiellement, cela signifie que l'entreprise VPN n'enregistre pas, ne stocke pas et ne surveille pas votre activite en ligne pendant que vous etes connecte a son service. Cependant, le terme a ete largement utilise de maniere abusive dans le marketing, et toutes les declarations no-logs ne se valent pas. Comprendre quels types de donnees peuvent etre enregistres et comment verifier les declarations d'un fournisseur est essentiel pour faire un choix veritablement axe sur la confidentialite.
Ce que signifie reellement "no-logs"
Les fournisseurs VPN peuvent potentiellement collecter plusieurs types de donnees. Les journaux de connexion comprennent les horodatages de connexion et de deconnexion, la duree de votre session et la quantite de donnees transferees. Les journaux d'utilisation (aussi appeles journaux d'activite) sont bien plus intrusifs et incluent les sites web que vous visitez, les fichiers que vous telechargez et les services que vous utilisez. Certains fournisseurs enregistrent egalement votre adresse IP d'origine, l'adresse IP du serveur VPN qui vous a ete attribuee et vos requetes DNS. Un veritable fournisseur no-logs ne devrait conserver aucune de ces donnees au-dela de ce qui est necessaire pour la session active.
Comment verifier les declarations de confidentialite
Le terme "no-logs" devrait idealement signifier zero enregistrement persistant de votre activite ou de vos metadonnees de connexion. Cependant, certains fournisseurs pretendant avoir une politique no-logs collectent tout de meme des donnees de connexion anonymisees ou des statistiques de bande passante agregees. Les fournisseurs les plus respectueux de la vie privee declarent explicitement qu'ils n'enregistrent pas les adresses IP d'origine, l'activite de navigation, les requetes DNS ou toute donnee pouvant lier un utilisateur specifique a une action en ligne specifique. Lisez attentivement la politique de confidentialite et recherchez un langage clair et sans ambiguite plutot que des assurances vagues.
Les audits independants et leur importance
Les audits de securite independants sont le moyen le plus fiable de verifier les declarations no-logs d'un fournisseur. Les entreprises VPN reputees font appel a des cabinets comme PricewaterhouseCoopers, Deloitte, Cure53 ou KPMG pour examiner leur infrastructure de serveurs, leur code et leurs pratiques de traitement des donnees. Ces audits confirment si les systemes du fournisseur sont techniquement capables d'enregistrer des donnees et si des donnees sont effectivement conservees. Des fournisseurs comme Mullvad, ProtonVPN, NordVPN et ExpressVPN ont publie des resultats d'audit confirmant leurs engagements no-logs.
Juridiction et considerations legales
La juridiction joue un role important dans la fiabilite d'une politique no-logs. Les fournisseurs VPN bases dans des pays faisant partie des alliances de partage de renseignements Five Eyes, Nine Eyes ou Fourteen Eyes peuvent etre contraints par la loi de collecter et de partager les donnees des utilisateurs. Les fournisseurs bases dans des juridictions favorables a la confidentialite comme le Panama, les iles Vierges britanniques, la Suisse ou la Suede operent sous des cadres juridiques qui n'imposent pas la conservation des donnees pour les services VPN. Cependant, la juridiction a elle seule ne garantit pas la confidentialite ; elle doit etre consideree en complement des resultats d'audit et de l'architecture technique.
Les incidents reels fournissent la preuve la plus solide de l'engagement d'un VPN en matiere de confidentialite. Les cas ou les forces de l'ordre ont demande des donnees d'utilisateurs a des fournisseurs VPN et ou le fournisseur n'a pas ete en mesure de remettre quoi que ce soit de significatif (parce qu'il n'avait veritablement rien enregistre) constituent la reference absolue en matiere de confiance. Lorsqu'une declaration no-logs d'un fournisseur a ete testee en justice ou par une saisie gouvernementale de serveurs et qu'aucune donnee exploitable n'a ete trouvee, c'est un temoignage puissant de ses pratiques en matiere de confidentialite.