VPN

Qu'est-ce qu'un VPN no-log ? Fournisseurs audités, rapports indépendants et comment distinguer une vraie affirmation du marketing

Un VPN no-log est un VPN qui n'enregistre ni le trafic, ni les requêtes DNS, ni les métadonnées de connexion susceptibles d'identifier un utilisateur. L'affirmation ne compte que lorsqu'un auditeur indépendant a inspecté l'infrastructure réelle. Voici comment le savoir.

By Subger Editorial TeamUpdated 30 avril 20267 min read

Ce que "no-log" signifie réellement

Un VPN no-log est un fournisseur qui s'engage à ne pas enregistrer le trafic, les requêtes DNS, les adresses IP ou les horodatages de connexion qui pourraient être reliés à un utilisateur individuel. Le terme 'no-log' n'a en lui-même aucune définition juridique. Chaque page d'accueil de VPN l'utilise. L'affirmation ne devient significative que lorsqu'un auditeur indépendant a inspecté le parc de serveurs et la configuration réels — et que le rapport est publié. En 2026, les cinq grands VPN payants que nous couvrons (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark) ont tous publié des audits indépendants.

Ce que les audits publiés couvrent réellement

L'audit le plus récent de Mullvad a été réalisé par Cure53, du 3 au 14 juin 2024 (son quatrième audit au total, le deuxième avec Cure53). Il s'agit d'un audit d'infrastructure couvrant un serveur OpenVPN et un serveur WireGuard du parc de production de Mullvad. Proton VPN a passé quatre audits no-log consécutifs de Securitum (2022, 2023, 2024, 2025). NordVPN a passé six évaluations indépendantes d'assurance no-log selon la norme ISAE 3000 : PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. Le Trust Center d'ExpressVPN répertorie 23 audits publiés, le plus récent étant un troisième audit no-log de KPMG (2025) ainsi que les audits de Cure53/Praetorian de la réécriture en Rust du protocole Lightway (sept.–oct. 2024). Surfshark dispose d'audits no-log de Deloitte en 2023 et 2025 selon la norme ISAE 3000.

À quoi ressemble une vraie affirmation no-log

Trois signaux distinguent une vraie affirmation no-log du marketing. Premièrement, un rapport tiers publié — non pas un article de blog en forme de communiqué de presse, mais un PDF téléchargeable ou une page de trust center mentionnant le nom de l'auditeur et la date. Deuxièmement, un périmètre d'audit incluant l'infrastructure (configuration au niveau des serveurs), et pas seulement l'application cliente. Troisièmement, idéalement, une véritable épreuve sous décision de justice. Les bureaux de Mullvad ont été perquisitionnés par la police suédoise le 18 avril 2023 en vertu d'un mandat délivré à la suite d'une demande de coopération judiciaire allemande ; Mullvad a documenté l'événement publiquement et la police est repartie sans saisir de données clients, car les données recherchées par le mandat n'existaient pas sur les serveurs (selon l'article de blog de Mullvad sur le mandat de perquisition). PureVPN, à l'inverse, a fourni des journaux de connexion au FBI en 2017 dans l'affaire de cyberharcèlement de Ryan Lin malgré son marketing 'no-log' antérieur — cette affaire est l'exemple inverse canonique d'une affirmation marketing contredite par une véritable contrainte légale.

La juridiction compte moins que ce que le fournisseur conserve

Le marketing des VPN mise beaucoup sur la juridiction. Les accords de partage de renseignements 5 / 9 / 14 Eyes (États-Unis, Royaume-Uni, Canada, Australie, Nouvelle-Zélande + Danemark, France, Pays-Bas, Norvège + Allemagne, Belgique, Italie, Suède, Espagne) sont réels et un VPN enregistré en Suède ou aux Pays-Bas entre dans leur périmètre. Mais un fournisseur situé dans une juridiction hors Eyes qui conserve des journaux de connexion est pire qu'un fournisseur no-log où qu'il soit. Mullvad (Suède, dans les 14 Eyes) et Proton VPN (Suisse, hors Eyes) sont tous deux audités ; la perquisition de Mullvad démontre qu'une configuration no-log compte davantage qu'un drapeau sur la carte.

Comment lire un rapport d'audit

Ouvrez le rapport et cherchez trois choses. (1) Le périmètre — le rapport décrit-il ce que l'auditeur a examiné, y compris quels serveurs, quels protocoles, quelle plage de dates ? Un langage générique du type 'a audité la politique' sans détails est plus faible que 'a examiné les fichiers de configuration VPN et les configurations des serveurs'. (2) La méthode — les rapports de Securitum pour Proton décrivent une revue de configuration sur site et des entretiens avec le personnel ; les rapports de NordVPN par Deloitte citent l'ISAE 3000 (la norme internationale des missions d'assurance) ; les rapports de Cure53 pour Mullvad décrivent des tests de sécurité en boîte blanche sur des serveurs de production. (3) Les constats — chaque audit trouve quelque chose. L'audit de Mullvad par Cure53 de juin 2024 a relevé deux problèmes (un faible, un moyen) ; l'audit Lightway de Praetorian de 2024 a relevé deux problèmes à faible risque. La présence de constats n'est pas un mauvais signe — l'absence totale de constats serait suspecte. Ce qui compte, c'est la gravité et la remédiation.

Ce qu'il faut ignorer

Ignorez les classements génériques de 'VPN le plus privé' qui ne divulguent pas leur méthodologie. Ignorez les fournisseurs dont l'« audit » se résume à une lettre d'un petit cabinet de conseil qui n'a jamais examiné les serveurs. Ignorez les sites de comparaison de VPN qui ne relient pas le rapport réel — le rapport a une date et un éditeur ; si un site refuse de le relier, l'affirmation est invérifiable. Ignorez la juridiction comme signal principal. Le seul signal fiable est le périmètre d'audit publié, augmenté, lorsqu'il existe, de l'historique des affaires de contrainte légale.

Sources

Audit Mullvad : mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Perquisition Mullvad 2023 : mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Audits Proton : protonvpn.com/blog/no-logs-audit. Audits NordVPN : nordvpn.com/blog/nordvpn-no-logs-audit-2024. Trust Center ExpressVPN : expressvpn.com/trust. Audit Surfshark : surfshark.com/blog/deloitte-nologs-policy-verified-again. Affaire PureVPN/Lin : bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Tous les URL consultés le 2026-04-30.