Avant tout, rappelle-toi une chose : un VPN peut ne pas enregistrer ton activité tout en conservant des données de connexion, des métriques techniques ou des identifiants persistants. Ce n’est pas forcément illégal, ni forcément malveillant. Mais si tu cherches une vraie cohérence “no-log”, tu dois lire le périmètre exact. Si tu veux recadrer le sujet en amont, la page principale pose le contexte : vpn sans log.
Quand tu lis une politique “no-log”, tu ne cherches pas un slogan. Tu cherches des réponses claires à trois questions :
Et tu ne cherches pas non plus un fantasme du type “zéro trace absolue”. Dans la vraie vie, beaucoup de services ont des traces techniques. Ce qui compte, c’est si ces traces sont identifiantes, persistantes, et surtout si elles sont expliquées.
Le premier réflexe est très simple : cherche les phrases négatives, celles qui disent explicitement ce que le service ne fait pas. Un discours sérieux te donne des formulations du type :
Plus c’est précis, mieux c’est. À l’inverse, quand tu lis “nous respectons votre vie privée” ou “nous ne surveillons pas votre activité” sans détail derrière, tu n’as rien de vérifiable.
Même quand un service se dit “no-log”, il peut collecter des données. Là, l’enjeu est de distinguer les collectes tolérables des collectes problématiques. Les catégories les plus courantes :
C’est le terrain des zones grises : IP d’entrée, serveur utilisé, timestamps, durée, protocole. Ce ne sont pas forcément des “logs d’activité”, mais ce sont des données qui peuvent permettre de corréler une session.
Si tu veux comprendre pourquoi ces logs sont sensibles, la page “types de logs” explique le cadre : Logs VPN : quels types de données peuvent être enregistrés ?
Crash reports, métriques de performance, données d’erreurs… ça peut être légitime. Mais tu dois chercher :
Ici, c’est souvent le point aveugle. Certains services collectent des identifiants (publicitaires ou techniques) qui ne sont pas “des logs VPN” au sens strict, mais qui permettent de relier des actions à un appareil ou un utilisateur. Ce n’est pas toujours annoncé clairement, et c’est précisément pour ça qu’il faut être attentif aux sections “analytics”, “tracking”, “third-party services”.
Tu n’as pas besoin d’être juriste pour repérer le flou. Certaines formulations sont presque toujours utilisées pour se laisser une marge :
Attention : le flou n’est pas toujours un aveu de mauvaise foi. Mais plus un texte est vague, moins tu peux vérifier ce qu’il autorise réellement. Une politique sérieuse fait l’effort d’être explicite, surtout sur un sujet aussi central que le “no-log”.
Une trace technique conservée quelques minutes pour stabiliser une session n’a pas le même impact qu’une trace conservée des semaines. Beaucoup de politiques parlent de “données nécessaires au fonctionnement” sans donner d’ordre de grandeur. Or la durée change tout.
Quand une politique est solide, tu devrais pouvoir répondre à :
Une politique claire est un bon début, mais ce n’est pas une preuve. Les éléments qui renforcent la crédibilité sont plutôt :
Les audits méritent un traitement à part, car ils rassurent souvent… mais ils sont aussi souvent mal compris. Si tu veux comprendre ce qu’un audit peut prouver (et ce qu’il ne prouve pas), c’est ici : Audit VPN no-log : ce que ça prouve vraiment (et ce que ça ne prouve pas)
Tu n’as pas besoin d’un VPN qui promet la perfection. Tu as besoin d’un service qui décrit précisément ce qu’il collecte, pourquoi, pendant combien de temps, et ce que ça implique pour toi. Les politiques “no-log” sérieuses se reconnaissent moins à leur slogan qu’à leur capacité à être vérifiées.