Votre VPN collecte-t-il vos données ? Ce qu’il faut savoir
Si certains VPN sont des outils formidables pour protéger ses informations de navigation et ses données personnelles, d’autres les exploitent et les revendent. Comment savoir si celui que vous utilisez est vraiment fiable et sécurisé ? Découvrez si vous devez accorder votre confiance à votre fournisseur de VPN.
En principe, un VPN permet de garder sa navigation privée, notamment en masquant son adresse IP réelle auprès des sites tiers et en chiffrant les données, entrantes comme sortantes. Mais le fournisseur de réseau privé virtuel peut quant à lui récolter vos informations personnelles et d’activité. C’est par exemple le cas des VPN gratuits, qui se rémunèrent en exploitant et en revendant vos données. Mais certains VPN payants peuvent aussi collecter et conserver les données relatives à votre navigation. C’est pourquoi il est important de choisir une plateforme avec une politique de non-journalisation (no log) rigoureuse, et surtout auditée par un organisme indépendant.
Quelles sont les données enregistrées par les VPN ?
Un VPN accède bien sûr à toutes les informations personnelles que vous lui renseignez, comme votre adresse email, parfois votre nom ou votre pays de résidence (pour l’application de la TVA). Il n’y a généralement pas de système de vérification de l’identité, vous pouvez donc utiliser de fausses données afin de préserver votre anonymat. Vous pouvez aussi utiliser une adresse email créée spécialement pour l’occasion afin de brouiller les pistes.
Ensuite, le VPN peut potentiellement obtenir toutes les données d’activité, relatives à votre navigation et à l’appareil que vous utilisez. Quand celles-ci sont associées à vos informations d’identité, elles permettent d’établir votre profil complet. Celui-ci peut être vendu à des régies publicitaires ou fourni à des gouvernements et agences de renseignement.
Votre service de VPN peut accéder à votre adresse IP réelle, ainsi qu’aux adresses IP virtuelles dont vous avez eu recours lors de l’usage de la plateforme. Il peut aussi accéder aux informations liées aux serveurs auxquels vous vous êtes connectés, ainsi qu’à l’horodatage précis de vos connexions. Ces journaux de connexion peuvent être collectés par les services de VPN pour qu’ils puissent améliorer leur produit, mais une faille de sécurité exposerait ces données à des tiers malveillants.
Vous devez surtout éviter les VPN conservant les journaux d'activité de ses utilisateurs. Les plateformes qui ont recours à cette pratique enregistrent les sites web que vous visitez, les fichiers que vous téléchargez, et peuvent analyser votre trafic en détail. La quantité de bande passante utilisée est également concernée. Bref, la confidentialité de votre activité n’est absolument pas assurée.
Enfin, un fournisseur de VPN est capable de connaître les caractéristiques matérielles et logicielles de l’appareil que vous utilisez : le type de dispositif ainsi qu’une partie de sa fiche technique (processeur, RAM…), le système d’exploitation installé, ainsi que la version de l’application VPN. Ces données sont utiles pour améliorer le service proposé, mais permettent de compléter votre profil d’utilisateur, qui peut tomber entre de mauvaises mains.
Mon VPN est-il de confiance ?
La première chose à faire avant de souscrire à un VPN est de vérifier sa politique de collecte et de conservation des données. Les services les plus fiables n’ont rien à cacher à leurs utilisateurs et vont clairement communiquer sur leur traitement des informations. Si vous ne parvenez pas à trouver la politique de confidentialité d’un fournisseur de VPN, ou si les formulations qu’il emploie semblent nébuleuses, c’est sans doute qu’il faut se méfier de la plateforme.
Bien entendu, il est facile de promettre monts et merveilles à ses clients sans que ceux-ci puissent s'assurer de la véracité des dires. C’est pourquoi il est important de choisir un VPN qui a été audité de manière indépendante par un organisme reconnu, qui peut attester de la qualité du service et du respect des politiques de confidentialité qu’il met en avant. Par exemple, la politique de non-journalisation (no log) de NordVPN a été auditée et approuvée par le très sérieux cabinet Deloitte. Vous êtes ainsi assuré que vos données ne sont pas stockées et exploitées par la plateforme.
Lors d’un audit, des experts indépendants accèdent à l’infrastructure et la configuration des serveurs, ainsi qu’aux registres techniques, dans le but de vérifier que le traitement des données correspond bien à ce que garantit le fournisseur de VPN. Le comportement de fonctionnalités de confidentialité avancées, tel que les serveurs obfusqués (qui cachent le fait que vous utilisez un VPN pour rediriger votre activité en ligne), la double connexion VPN, le protocole Tor ou encore les serveurs P2P sont aussi particulièrement scrutés. Enfin, les employés sont interrogés par les spécialistes de l’auditeur.
Lisez bien quelles sont les données collectées et pourquoi elles le sont dans la politique de confidentialité de chaque service de VPN qui vous intéresse. Parfois, certaines informations peuvent être conservées, mais celles-ci ne permettent pas de vous identifier. Selon votre niveau de sensibilité à la protection des données, vous pouvez accepter ce type de traçage ou non.
La localisation du siège social du fournisseur de VPN est aussi un élément à prendre en compte. Dans de nombreux pays, les entreprises sont contraintes par la loi de communiquer certaines données aux États et à leurs agences de renseignement si elles en font la demande. C’est bien sûr le cas de pays comme la Chine ou la Russie, mais aussi de nations occidentales comme les États-Unis ou au sein de l’Union européenne.
En étant basé au Panama, NordVPN profite d’une législation souple en termes de conservation des données. Par ailleurs, le Panama ne fait pas partie et ne collabore pas avec les alliances de surveillance et de renseignement 5 Eyes, 9 Eyes et 14 Eyes. Le fournisseur peut donc mettre en place sa politique no log sans craindre de pression des autorités. Certains services publient également des rapports de transparence pour montrer patte blanche.
Pour résumer, il vaut mieux éviter les VPN gratuits, qui collectent et exploitent systématiquement vos données. Optez pour un fournisseur qui assure une politique no log et qui a été plusieurs fois audité avec succès par une entité indépendante reconnue. Début 2024, NordVPN validait un quatrième audit prouvant l'absence de registres, c’est vers ce genre de plateformes que nous vous conseillons de vous diriger.