La juridiction des VPN expliquée : 5 / 9 / 14 Eyes, la perquisition de Mullvad et l'affaire des journaux de PureVPN
Le marketing des VPN mise beaucoup sur la juridiction. Les deux événements de coopération judiciaire les mieux documentés — la perquisition de Mullvad en 2023 et la coopération de PureVPN avec le FBI en 2017 — montrent que ce que le fournisseur conserve compte plus que le drapeau du pays.
Ce que signifie réellement 5 / 9 / 14 Eyes
Les 5 Eyes constituent un accord de partage de renseignement d'origine électromagnétique entre les États-Unis, le Royaume-Uni, le Canada, l'Australie et la Nouvelle-Zélande, dont les origines remontent à l'accord UKUSA de l'après-Seconde Guerre mondiale. Les 9 Eyes ajoutent le Danemark, la France, les Pays-Bas et la Norvège. Les 14 Eyes ajoutent l'Allemagne, la Belgique, l'Italie, la Suède et l'Espagne. Le marketing des VPN a popularisé l'idée qu'un VPN enregistré dans l'un de ces 14 pays est à risque parce que son gouvernement hôte pourrait le contraindre à remettre des données et à les partager avec l'alliance élargie. L'affirmation est en partie vraie — ces gouvernements disposent bien de cadres juridiques pour les demandes de données — mais ce n'est pas toute l'histoire.
Où sont basés les grands VPN audités
Mullvad : Göteborg, Suède (dans les 14 Eyes). L'entité opérationnelle de NordVPN, Nordvpn S.A. : Panama (hors Eyes). Proton VPN : Plan-les-Ouates, Genève, Suisse (hors Eyes ; la Suisse est également hors de l'UE et du cadre américain des demandes judiciaires). L'entité opérationnelle d'ExpressVPN, Express VPN International Ltd. : Îles Vierges britanniques (hors Eyes). Surfshark B.V. : Pays-Bas (dans les 9 Eyes). Deux des cinq — Mullvad et Surfshark — se trouvent dans des juridictions Eyes ; trois sont en dehors. Les cinq ont publié des audits no-log.
La perquisition de Mullvad en 2023 : ce qui s'est réellement passé
Le 18 avril 2023, six agents du Département des opérations nationales suédois (NOA) se sont présentés au bureau de Mullvad à Göteborg avec un mandat de perquisition, dans l'intention de saisir des ordinateurs contenant des données clients. Le mandat avait été délivré le 17 février 2023 dans le cadre d'une coopération judiciaire internationale avec les autorités allemandes. Mullvad a documenté l'événement publiquement le jour même sur mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Selon le récit de Mullvad et les comptes rendus ultérieurs, la police est repartie sans rien saisir car les données recherchées par le mandat n'existaient pas sur les serveurs. L'historique des audits de Mullvad par Cure53 (le plus récent : 4e audit d'infrastructure, juin 2024) documente la configuration no-log des serveurs qui a produit ce résultat. La conséquence : la juridiction a bien compté — la perquisition a eu lieu — mais le facteur décisif a été la posture opérationnelle en matière de vie privée.
La coopération de PureVPN avec le FBI en 2017 : l'inverse
En octobre 2017, le FBI a utilisé les journaux de connexion VPN de PureVPN pour identifier Ryan Lin, un homme de 24 ans du Massachusetts, dans une vaste affaire de cyberharcèlement. Le marketing de PureVPN avant l'affaire avait mis en avant une affirmation no-log. L'affidavit du FBI (cité dans les actes du DoJ et dans les comptes rendus des grands médias sur bleepingcomputer.com et d'autres) documentait que PureVPN avait, en réalité, conservé des journaux de connexion incluant l'adresse IP du domicile du client au début de la session, et que ces journaux suffisaient à identifier Lin via ses sessions VPN. L'affaire est l'exemple inverse canonique : une affirmation marketing contredite par ce que le fournisseur conservait réellement, et la juridiction du fournisseur (Hong Kong — hors Eyes) n'a pas protégé les données car les données existaient et répondaient à une demande judiciaire américaine.
Ce que la juridiction prédit et ce qu'elle ne prédit pas
La juridiction est un facteur de risque réel lorsqu'une demande gouvernementale est formulée. Un fournisseur situé dans une juridiction des 14 Eyes disposant d'un cadre de coopération judiciaire avec le pays demandeur peut être contraint de remettre les données qu'il détient. Mais la juridiction ne prédit pas ce que le fournisseur détient. Un fournisseur no-log dans les 14 Eyes (Mullvad) n'a rien à remettre ; un fournisseur conservant des journaux dans une juridiction hors Eyes (PureVPN vers 2017) en a. Les événements de Mullvad et de PureVPN établissent ensemble que la variable prédictive est la pratique opérationnelle — vérifiée par audit — et non le drapeau du pays.
Ce qu'il faut peser en 2026
Trois facteurs prédisent les résultats réels en matière de vie privée de manière plus fiable que la seule juridiction. (1) Le périmètre et l'actualité de l'audit — l'audit publié le plus récent couvre-t-il la configuration au niveau des serveurs, et date-t-il des 24 derniers mois ? (2) Les clients open source — les applications de bureau et mobiles sont-elles publiées en open source ? Mullvad et Proton VPN publient tous deux leurs clients sur GitHub. (3) La réponse documentée à un véritable événement de contrainte légale — Mullvad en a un (la perquisition de 2023), PureVPN a son inverse (l'affaire de 2017). La plupart des fournisseurs n'ont ni l'un ni l'autre. Appliquez la juridiction comme critère de départage une fois les trois premiers satisfaits, et non comme facteur principal.
Sources
5 / 9 / 14 Eyes : en.wikipedia.org/wiki/Five_Eyes (avec citations de l'accord UKUSA original). Perquisition Mullvad 2023 : mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Historique des audits Mullvad : mullvad.net/en/blog/tag/audits. Affaire PureVPN/Lin : bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Juridiction NordVPN : nordvpn.com/blog/jurisdiction. Juridiction Proton VPN : protonvpn.com/features/swiss-based. ExpressVPN Trust : expressvpn.com/trust. Surfshark Trust : surfshark.com/trust-center. Tous les URL consultés le 2026-04-30.