Les VPN assurent-ils l'anonymat?

Souvent présenté comme un garant de votre anonymat, le VPN n'assure réellement que deux promesses : Masquer votre adresse IP réelle et chiffrer votre trafic Internet. Rien d'autre. A fortiori, si le service est rendu gratuitement.
Techno: Proposé le 27/03/2018 par Max actualisé le 03/07/2018

Comme il est désormais admis par tout un chacun que lorsqu'un service en ligne est gratuit, c'est qu'en contrepartie vous acceptez d'être le produit, plus précisément, vous acceptez que vos données et traces de navigation soient collectées et réutilisées. Il n'en est pas différent pour les services VPN gratuits ou non.

Les VPN sont présentés comme protégeant votre vie privée en masquant votre adresse IP et en chiffrant votre navigation internet. Certains services VPN complètent leurs offres en affirmant ne conserver ni les adresses ni les contenus auxquels l'utilisateur accède. Ce qui semble assurer une bonne protection de votre vie privée.
Même si cela est vrai, il reste que pour différents besoins techniques et commerciaux, l'opérateur VPN doit collecter et conserver certaines informations de navigation telles que l'identité du surfeur, anonymisée ou pas, pour vérifier le droit d'accès au service VPN, la quantité de données transmises nécessaires pour la facturation, etc.
D'autre part, lors de la souscription au service VPN, vous avez fourni des informations personnelles d'identification et de paiement qui compromettent un éventuel désir d'anonymat.
Ne croyez pas que le paiement en crypto-monnaie soit une garantie d'anonymat. Votre identifiant et les logs de votre navigation sur le Web permettront de vous identifier assez sûrement.

En général, il vous est affirmé que ces données ne seront jamais transmises (vendues) à des tiers, à moins d'être dans l'obligation légale de le faire ou sauf acceptation expresse du client. Mais sait-on vraiment ce que l'on accepte lorsque l'on clique sur un bouton de validation ou d'acceptation?

Parfois, souvent, des exceptions sont prévues dans les conditions d'utilisation pour certains partenaires qui diffuseront des bulletins d'informations ou collecteront et traiteront des données anonymisées ou non, au moins, sur l'utilisation du service VPN par les surfeurs ou sur des informations sur le fonctionnement du service.
Enfin, il y a les cookies déposés par le VPN qui contiennent diverses informations, y compris des données personnelles, pour toujours le même motif : l'amélioration de l'expérience client, les cookies déposés par les sites tiers au site visité, dont, évidemment, les politiques de confidentialités sont propres à chaque site.
Il ne faut pas oublier l'omniprésent Google Analitycs qui analyse votre utilisation du site ou du service et recueille des informations à partir des cookies ainsi que votre adresse IP. Toutes données qui sont conservées par Google aux Etats-Unis, où le RGPD ne s'appliquera que partiellement à cause du Cloud Act Depuis février 2018, le Cloud Act permet aux forces de police et agences gouvernementales des USA de saisir tous documents électroniques enregistrés dans les centres de données situés hors des états-unis et appartenant à des sociétés américaines.

Si votre trafic internet est chiffré et votre adresse IP réelle modifiée, cela ne veut pas dire pour autant qu'il soit anonymisé, ou intraçable pour des utilisateurs/spécialistes dûment outillés.

L'intérêt premier de l'utilisation d'un VPN est de contourner certaines limitations ou interdictions d'accès pouvant exister pour certains services ou dans certains pays. Le chiffrement du trafic permet également d'aveugler votre FAI sur votre utilisation d'internet. Mais si le service VPN est hébergé dans l'U.E. et que vous avez des actions considérées comme délictueuses, cela ne changera pas grand-chose.

Pour rappel, tous les fournisseurs d'accès ont l'obligation légale de fournir certaines informations prévues par le décret n° 2011-219 du 25 février 2011 dans son article 1, publié le 1er mars 2011 legifrance.gouv.fr.

En résumé : les éditeurs de VPN même lorsqu'ils affirment ne pas tenir de journaux sur vos activités en ligne conservent quelques données qu'ils remettront aux autorités si cela répond à une obligation légale.
Les données de base recueillies sont : un nom d’utilisateur, une adresse e-mail, un mot de passe (crypté) et votre adresse IP, ainsi que, si vous les fournissez, vos nom et prénom, nom de société, adresse postale et numéro de téléphone, à conditions qu'ils soient vrais. Ne pas oublier que ces informations seront vérifiés lors de la procédure de paiement.
Les données collectées sont également utilisées pour prévenir la fraude et les utilisations non conformes. Ce qui sous-entend une surveillance de vos activités sur le Net.
La conservation des données est aussi longue que nécessaire ou qu'exigée par la loi.
La politique de confidentialité peut être révisée, à tout instant, au gré de l'éditeur.
Finalement aucune garantie réelle de confidentialité n'existe vraiment, sauf au bon vouloir de l'éditeur du site ou du service et des contraintes légales, de plus en plus intrusives.

En conclusion, l'utilisation d'un VPN améliore la sécurité de votre navigation sur Internet, mais fait peu pour votre anonymat. Une mesure basique permettra de limiter votre suivi par les sites que vous visitez, en paramétrant les options de votre navigateur pour qu'à sa fermeture, l'historique et les cookies s'effacent automatiquement. Vous pourriez également ajouter une extension à votre navigateur ayant pour objectif d’empêcher Facebook de collecter les données de navigation de ses utilisateurs hors du réseau social, comme celle créée par la fondation Mozilla pour Firefox appelée Facebook Container.

Pour en savoir plus sur la collecte de données par Facebook vous reportez au 4ème paragraphe de la décision de la cnil.fr. ou ICI au format PDF

L'article sur le site de la CNIL à propos du nettoyage de votre historique de navigation. ou ICI au format PDF

Voici un exemple de politique de confidentialité qui inspira cet article : Celle du VPN OkayFreedom. et celle du site le-vpn.com ou limitée à la confidentialité au format PDF.

Pour en savoir plus sur la qualité du service, et, notamment de l'anonymat, proposé par plus de 60 VPN, lisez cet article en anglais, néanmoins accessible, thebestvpn.com.

Actualisation du 03 juillet 2018.

Depuis l'entrée en application du RGPD, j'ai pris l'habitude, autant que possible, de lire les CLUF et les politiques de confidentialité des services en ligne que j'utilise. C'est d'ailleurs ce qui m'a fait écrire l'article, ci-dessus, auquel je dois néanmoins ajouter un bémol, par souci d'objectivité, à la généralisation qui pourrait en transparaître.

Utilisateur du VPN de Winscribe, j'ai, à l'occasion d'une mise à jour, consulter la licence d'utilisation et la politique de confidentialité, qui, a contrario de bien d'autres, sont claires et concises. Ma conclusion pour ce fournisseur de VPN est qu'il respecte et applique le concept de protection de la vie privé au mieux des intérêts de chaque partie. Pour en apprécier l'exactitude, vous pouvez lire dans le texte initial en anglais, les CLUF et Privacy ou en la traduction en français CLUF et Confidentialité au format PDF. Je rappelle, à toutes fins utiles, que la traduction, quelle que soit sa qualité, est une interprétation et ne peut être utilisée devant une juridiction qui ne considérera que le texte dans sa rédaction originale en anglais.

Print Friendly and PDF - fleche retour au debut