La promesse ne vaut que ce que la preuve confirme
Les pages marketing des services VPN, des messageries chiffrées et des navigateurs axés confidentialité utilisent des formulations très similaires : "nous ne conservons aucun log", "votre vie privée est notre priorité", "zéro connaissance de vos données". Ces affirmations sont invérifiables directement — vous ne pouvez pas inspecter les serveurs d'un prestataire pour confirmer qu'il ne conserve effectivement rien. Ce que vous pouvez faire, c'est évaluer les signaux qui indiquent si ces affirmations ont été soumises à une vérification externe.
La confiance dans un service de confidentialité numérique repose sur plusieurs piliers indépendants. Aucun ne suffit seul. Ensemble, ils forment un tableau qui permet de distinguer les services sérieux de ceux qui misent sur le vide juridique de la politique de confidentialité.
Signal 1 — L'audit indépendant avec rapport public
Un audit de sécurité réalisé par un cabinet indépendant consiste à donner à des experts externes un accès à l'infrastructure, au code et aux processus internes d'un service pour vérifier que les affirmations de confidentialité correspondent à la réalité technique. Le résultat est un rapport détaillant les vulnérabilités trouvées, les pratiques vérifiées et les écarts entre les promesses et l'implémentation.
Ce qui compte : le rapport doit être public et intégral. Un service qui annonce "nous avons passé un audit" sans publier le rapport ne prouve rien — l'audit peut avoir révélé des problèmes que l'éditeur a choisi de ne pas divulguer. La date de l'audit importe aussi : un rapport de 2019 ne dit rien sur l'infrastructure actuelle. Les services sérieux font auditer leur infrastructure régulièrement et publient les rapports complets, y compris les problèmes identifiés et les corrections apportées.
Cure53, SEC Consult, Trail of Bits, Cure53, VerSprite et Leviathan Security Group ont une réputation dans l'audit de sécurité des services VPN et de confidentialité. La présence d'un de ces noms dans un rapport public est un signal positif.
Signal 2 — Le code source ouvert
Un service dont le code client est open source permet à n'importe quel chercheur en sécurité d'examiner ce que l'application fait réellement sur votre appareil. Cela ne garantit pas l'absence de problème — un code open source peut contenir des vulnérabilités — mais cela élimine la possibilité de comportements malveillants délibérément cachés dans le client. Si l'application collectait secrètement des données ou envoyait votre trafic vers des destinations non déclarées, cela serait visible dans le code.
L'open source côté serveur est plus rare et plus complexe à implémenter pour des raisons opérationnelles. Ce qui est raisonnable d'attendre : l'open source du client (l'application que vous installez) et la publication des protocoles utilisés. Mullvad VPN et ProtonVPN ont leurs clients entièrement open source. Pour les applications mobiles, la publication sur F-Droid (le store d'applications Android open source) est un signal complémentaire.
Signal 3 — Le rapport de transparence avec chiffres réels
Un rapport de transparence documente les demandes d'accès aux données reçues de la part des autorités judiciaires ou des forces de l'ordre, et les suites qui leur ont été données. Un bon rapport de transparence indique le nombre de demandes reçues, leur type (demandes judiciaires, injonctions, demandes informelles), le pays d'origine, et la quantité de données effectivement transmises.
La valeur d'un rapport de transparence est dans sa précision. "Nous n'avons jamais transmis de données" est une affirmation. "Nous avons reçu 12 demandes en 2024, dont 8 demandes judiciaires auxquelles nous n'avons pas pu répondre faute de données disponibles, et 4 demandes auxquelles nous avons répondu en transmettant uniquement les données de facturation" est une information vérifiable qui révèle à la fois la pression légale subie et la limite de ce qui peut être transmis.
Signal 4 — La juridiction et l'architecture légale
La localisation d'un service détermine quelle législation s'applique à ses données. Les États-Unis, malgré leur réputation en matière d'innovation numérique, sont soumis au FISA Section 702, qui permet une surveillance large dans le cadre de la sécurité nationale. Les entreprises américaines peuvent recevoir des National Security Letters — des injonctions secrètes de communication de données, avec interdiction de les divulguer.
La Suisse, l'Islande et dans une moindre mesure certains pays européens offrent des protections légales plus fortes. Mais la juridiction seule ne suffit pas : un service basé en Suisse qui utilise des serveurs aux États-Unis ou dont les données de facturation sont traitées par une entreprise américaine reste partiellement soumis à la juridiction américaine. Ce qui compte, c'est l'ensemble de l'architecture légale et technique, pas seulement l'adresse du siège social.
Signal 5 — Le modèle économique cohérent
Un service qui prétend ne collecter aucune donnée tout en proposant une version gratuite sans limite doit expliquer comment il finance son infrastructure. Un service financé par la publicité ciblée a une incitation structurelle à collecter des données comportementales, quelle que soit sa politique de confidentialité déclarée. Un service financé par des abonnements payants n'a pas cette incitation — c'est une des raisons pour lesquelles la comparaison VPN gratuit vs payant mérite d'aller au-delà des fonctionnalités.
Ce n'est pas une règle absolue — Mozilla Firefox est financé en partie par Google pour être le moteur de recherche par défaut, ce qui crée une relation commerciale complexe. Mais la cohérence entre le modèle économique et les affirmations de confidentialité est un signal de crédibilité. Quand ces deux éléments sont en tension, méfiance est de mise.
Un service sérieux n'a pas peur de montrer ses audits, de publier ses rapports de transparence avec des chiffres réels, ni de documenter ce qu'il ne peut pas protéger. L'opacité est toujours un signal négatif.
Comment appliquer cette grille concrètement
Pour évaluer un VPN, une messagerie ou tout service de confidentialité, quatre vérifications prennent moins de quinze minutes. Chercher le nom du service + "audit" pour trouver le rapport public le plus récent. Chercher le nom + "transparency report" pour le rapport de transparence. Vérifier si les applications sont listées sur GitHub ou un équivalent. Lire la section "third parties" et "data sharing" de la politique de confidentialité.
Les services qui passent ces quatre vérifications avec des réponses satisfaisantes ne sont pas nombreux — ce qui les distingue clairement de la masse des offres qui misent sur l'ignorance des utilisateurs sur ces points.