Les VPN assurent-ils l'anonymat?

Souvent présenté comme un garant de votre anonymat, le VPN n'assure réellement que deux promesses : Masquer votre adresse IP réelle et chiffrer votre trafic Internet. Rien d'autre. A fortiori, si le service est rendu gratuitement.
Techno: Proposé le 27/03/2018 par Max actualisé le 02/09/2018

Comme il est désormais généralement admis lorsqu'un service en ligne est gratuit, c'est qu'en contrepartie vous acceptez d'être le produit, plus précisément, vous acceptez que vos données et traces de navigation soient collectées et réutilisées. Il n'en est pas différemment pour les services VPN gratuits ou non.

Les VPN sont présentés comme protégeant votre vie privée en masquant votre adresse IP et en chiffrant votre navigation internet. Certains services VPN complètent leurs offres en affirmant ne conserver ni les adresses ni les contenus auxquels l'utilisateur accède. Ce qui semble assurer une bonne protection de votre vie privée.
Même si cela est vrai, il reste que pour différents besoins techniques et commerciaux ou légaux, l'opérateur VPN doit collecter et conserver certaines informations de navigation telles que l'identité du surfeur, anonymisée ou pas, pour vérifier le droit d'accès au service VPN, la quantité de données transmises nécessaires pour la facturation, etc.
D'autre part, lors de la souscription au service VPN, vous avez fourni des informations personnelles d'identification et de paiement qui compromettent un éventuel désir d'anonymat.
Ne croyez pas que le paiement en crypto-monnaie soit une garantie d'anonymat. Votre identifiant et les logs de votre navigation sur le Web permettront de vous identifier assez sûrement.

En général, il vous est affirmé que ces données ne seront jamais transmises (vendues) à des tiers, à moins d'être dans l'obligation légale de le faire ou sauf acceptation expresse du client. Mais sait-on vraiment ce que l'on accepte lorsque l'on clique sur un bouton de validation ou d'acceptation?

Parfois, souvent, des exceptions sont prévues dans les conditions d'utilisation pour certains partenaires qui diffuseront des bulletins d'informations ou collecteront et traiteront des données anonymisées ou non, au moins, sur l'utilisation du service VPN par les surfeurs ou sur des informations sur le fonctionnement du service.
Enfin, il y a les cookies déposés par le VPN qui contiennent diverses informations, y compris des données personnelles, pour toujours le même motif : l'amélioration de l'expérience client, les cookies déposés par les sites tiers au site visité, dont, évidemment, les politiques de confidentialité sont propres à chaque site.
Il ne faut pas oublier l'omniprésent Google Analitycs qui enregistre votre utilisation du site ou du service et recueille des informations à partir des cookies ainsi que votre adresse IP. Toutes données qui sont conservées par Google aux Etats-Unis, où le RGPD ne s'appliquera que partiellement à cause du CLOUD act Depuis février 2018, le CLOUD act permet aux forces de police et agences gouvernementales des USA de saisir tous documents électroniques enregistrés dans les centres de données situés hors des états-unis et appartenant à des sociétés américaines.

Si votre trafic internet est chiffré et votre adresse IP affichée est modifiée, cela ne veut pas dire pour autant qu'il soit anonymisé, ou intraçable pour des utilisateurs/spécialistes dûment outillés.

L'intérêt premier de l'utilisation d'un VPN est de contourner certaines limitations ou interdictions d'accès pouvant exister pour certains services ou dans certains pays. Dans un premier temps, les VPN ajoutaient le chiffrement de vos navigations, ce qui permettait d'aveugler votre FAI sur votre utilisation d'internet. Avantage devenu obsolète, avec la généralisation à partir de 2017 de l'utilisation du protocole HTTPS et des certificats SSL par les sites web, à l'exception de quelques sites utilisant encore le protocole HTTP non sécurisé. Mais si le service VPN est hébergé dans l'U.E. et que vous ayez des actions considérées comme délictueuses, cela ne changera pas grand-chose.

Pour rappel, tous les fournisseurs d'accès ont l'obligation légale de fournir certaines informations prévues par la loi LCENloi pour la confiance dans l'économie numérique du 21 juin 2004 dans son article 6 paragraphe I-1. Si les fournisseurs de VPN ne sont pas des FAI en tant que tels, ils doivent, néanmoins, répondre aux obligations prévues par la Directive 2006/24/CE sur la conservation des données générées par ou avec leurs services, transposée en droit français par le Décret n° 2006-358 du 24 mars 2006 et par le décret n° 2011-219 du 25 février 2011 dans son article 1, publié le 1er mars 2011.

Directive 2006/24/CE

La directive 2006/24/CE n'est plus en vigueur depuis le 08/04/2014. La Cour de justice de l'Union européenne a invalidé la directive 2006/24/CE le 8 avril 2014

Bien que la directive 2006/24/CE soit invalidée, les textes transposant celle-ci en droit français n'en sont pas moins toujours en vigueur.
Par ailleurs, la loi de programmation militaire 2014-2019 (LPM) et particulièrement le décret d'application n° 2014-1576 du 24 décembre 2014 de l'article 20 de la LPM n° 2013-1168 du 18 décembre 2013 prévoit l'accès administratif aux données de connexion et applicable depuis le 1er janvier 2015. Le conseil d'état n'ayant rien trouvé à redire aux textes concernés.

En résumé : les éditeurs de VPN même lorsqu'ils affirment ne pas tenir de journaux sur vos activités en ligne conservent quelques données qu'ils remettront aux autorités si cela répond à une obligation légale.
Les données de base recueillies sont : un nom d’utilisateur, une adresse e-mail, un mot de passe (crypté) et votre adresse IP, ainsi que, si vous les fournissez, vos nom et prénom, nom de société, adresse postale et numéro de téléphone, à conditions qu'ils soient vrais. Ne pas oublier que ces informations seront vérifiés lors de la procédure de paiement.
Les données collectées sont également utilisées pour prévenir la fraude et les utilisations non conformes. Ce qui sous-entend une surveillance de vos activités sur le Net.
La conservation des données est aussi longue que nécessaire ou qu'exigée par la loi.
La politique de confidentialité peut être révisée, à tout instant, au gré de l'éditeur.
Finalement aucune garantie réelle de confidentialité n'existe vraiment, sauf au bon vouloir de l'éditeur du site ou du service et des contraintes légales, de plus en plus intrusives.

En conclusion, l'utilisation d'un VPN améliore la sécurité de votre navigation sur Internet, mais fait peu pour votre anonymat. Une mesure basique permettra de limiter votre suivi par les sites que vous visitez, en paramétrant les options de votre navigateur pour qu'à sa fermeture, l'historique et les cookies s'effacent automatiquement. Vous pourriez également ajouter une extension à votre navigateur ayant pour objectif d’empêcher Facebook de collecter les données de navigation de ses utilisateurs hors du réseau social, comme celle créée par la fondation Mozilla pour Firefox appelée Facebook Container.

Pour en savoir plus sur la collecte de données par Facebook vous reportez au 4ème paragraphe de la décision de la cnil.fr.La page n'existe plus sur le site de la CNIL ou ICI

L'article sur le site de la CNIL à propos du nettoyage de votre historique de navigation. ou ICI

Voici un exemple de politique de confidentialité qui inspira cet article : Celle du VPN OkayFreedom. et celle du site le-vpn.com ou limitée à la confidentialité.

Pour en savoir plus sur la qualité du service, et, notamment de l'anonymat, proposé par plus de 60 VPN, lisez cet article en anglais, néanmoins accessible, thebestvpn.com.

Actualisation du 03 juillet 2018.

Depuis l'entrée en application du RGPD, j'ai pris l'habitude, autant que possible, de lire les CLUF et les politiques de confidentialité des services en ligne que j'utilise. C'est d'ailleurs ce qui m'a fait écrire l'article, ci-dessus, auquel je dois néanmoins ajouter un bémol, par souci d'objectivité, à la généralisation qui pourrait en transparaître.

Utilisateur du VPN de Winscribe, j'ai, à l'occasion d'une mise à jour, consulter la licence d'utilisation et la politique de confidentialité, qui, a contrario de bien d'autres, sont claires et concises. Ma conclusion pour ce fournisseur de VPN est qu'il respecte et applique le concept de protection de la vie privée au mieux des intérêts de chaque partie. Pour en apprécier l'exactitude, vous pouvez lire dans le texte initial en anglais, les CLUF et Privacy ou en la traduction en français CLUF et Confidentialité . Je rappelle, à toutes fins utiles, que la traduction, quelle que soit sa qualité, est une interprétation et ne peut être utilisée devant une juridiction qui ne considérera que le texte dans sa rédaction originale en anglais.

Print Friendly and PDF - fleche retour au debut