Les fournisseurs de VPN aiment vanter l’endroit où ils sont basés comme si c’était important. Ils citent souvent les excellentes lois sur la protection de la vie privée du pays où ils ont leur siège, affirmant que cela constitue une deuxième couche de protection en plus de leurs autres mesures, comme le fait de ne pas conserver de journaux.

Certains pays sont-ils meilleurs que d’autres pour les fournisseurs de VPN ?

Par exemple, ExpressVPN vante les mérites d’être basé dans les îles Vierges britanniques (BVI), NordVPN vante son emplacement au Panama, et ProtonVPN mise beaucoup sur le fait d’être suisse – pour n’en citer que trois. Le problème, c’est qu’il est vraiment important de savoir où un VPN est basé ?

La réponse courte est non, cela n’a pas vraiment d’importance où votre VPN est basé – ou du moins pas dans la plupart des cas. De toute évidence, l’utilisation d’un VPN basé dans un pays répressif comme la Russie, la Chine ou tout autre pays qui ne se soucie pas trop du droit à la vie privée serait une très mauvaise idée. Si le gouvernement d’un tel pays décide qu’il veut quelque chose d’une entreprise, comme vos données personnelles, il l’obtiendra, par la force des choses ou par la ruse. (Malheureusement, l’Inde pourrait bientôt rejoindre ces rangs avec sa nouvelle loi sur les VPN).

Cependant, si l’on regarde le monde « libre », le lieu d’origine de votre fournisseur de VPN n’a pas vraiment d’importance. Du moins, pas assez pour influencer votre décision d’achat dans un sens ou dans l’autre. Cela peut sembler un peu étrange : après tout, des pays comme le Panama, la Suisse ou des dépendances comme les îles Vierges britanniques ont une réputation de secret. Il va de soi que les lois qui protègent les fortunes offshore des milliardaires protégeraient également les données des clients des VPN.

Dans une certaine mesure, c’est le cas. Si un procureur se présentait avec un mandat sans fondement pour obtenir vos données dans l’un de ces endroits, sa demande serait probablement rejetée – et rapidement. Mais là encore, ce serait le cas dans n’importe quel pays. Bien sûr, les lettres de sécurité nationale des États-Unis sont un peu douteuses, mais vous pouvez toujours les combattre jusqu’à un certain point. Ce n’est pas comme si elles transformaient les États-Unis en une autre Russie.

L’exception semble être le torrenting, qui a fait l’objet de plusieurs procès. Ainsi, quelques VPN basés aux États-Unis ont été contraints d’interdire le trafic de torrents. Les VPN basés dans d’autres pays n’ont pas encore à faire face à ces problèmes.

QU’EST-CE QU’UN SERVEUR VPN ?

Les pays travaillent ensemble

On pourrait tout de même affirmer que des pays comme la Suisse ou le Panama constituent une meilleure option, simplement parce que des choses comme les lettres de sécurité nationale n’existent pas. Cependant, la copie marketing des VPN omet un détail assez important : les pays travaillent ensemble.

Comme nous l’expliquons dans notre article sur ce que les VPN partagent avec les forces de l’ordre, ces lois sur la protection de la vie privée peuvent être pliées lorsque la pression est exercée. Par exemple, si le gouvernement américain souhaite obtenir des informations sur un citoyen ou une entreprise panaméenne, il peut simplement demander au gouvernement panaméen de rédiger un mandat. C’est une pratique très courante, qui se produit tout le temps. Il est rare qu’un pays refuse, surtout si le pays qui fait la demande a autant de poids que les États-Unis.

En conséquence, NordVPN, pour ne citer qu’un exemple, admet qu’il coopérera avec les demandes des forces de l’ordre concernant la journalisation des données, à condition qu’elles soient ordonnées « par un tribunal de manière appropriée. » Il s’est passé à peu près la même chose en Suisse, qui a une longue et légendaire réputation de secret. Cela n’a pas empêché le gouvernement d’exécuter un mandat au nom de la police française pour demander des données sur un client de ProtonMail, puis, lorsque l’appel de Proton a échoué, de devoir les fournir. (Proton insiste sur le fait que la loi suisse fournit des protections supplémentaires pour les VPN comme ProtonVPN qui ne sont pas disponibles pour les services de messagerie comme ProtonMail).

Bien sûr, les lois suisses sont fortes et les fournisseurs ont une solide chance de faire appel de tout mandat, mais si l’appel échoue, le fournisseur en question devra toujours coopérer avec les autorités.

Pourquoi s’y installer ?

Bien sûr, cela soulève la question de savoir pourquoi tant d’entreprises sont basées dans les îles Vierges britanniques, au Panama ou aux Seychelles. Bien que nous ne puissions en être sûrs, l’explication la plus probable est qu’il s’agit d’endroits parfaits pour devancer le fisc. Selon Offshore Protection, un site qui aide les gens à éviter de payer des impôts, les BVI sont « l’un des endroits les plus attrayants au monde pour établir une activité offshore ».

Il en va de même pour le Panama, d’où proviennent les tristement célèbres Panama Papers. Ces fichiers détaillent la manière dont les riches et célèbres ont caché leur argent pendant des années au Panama ainsi que dans d’autres pays, comme les Seychelles. Quant à la Suisse, si elle a une bonne réputation en matière de protection des données personnelles, comme le montre l’affaire Proton mentionnée ci-dessus, elle est aussi un endroit idéal pour cacher de l’or depuis la Seconde Guerre mondiale.

L’idée que ces lieux sont choisis pour leur secret financier autant que pour celui des consommateurs est confirmée en regardant où travaillent les employés de ces sociétés. NordVPN, par exemple, est peut-être constituée en société au Panama, mais un coup d’œil à la page LinkedIn de l’entreprise montre que la plupart de ses employés se trouvent à Vilnius, la capitale de la Lituanie, et nous pouvons supposer qu’ils y travaillent depuis un bureau de l’entreprise.

Il en va de même pour ExpressVPN : si vous regardez la page des employés sur LinkedIn, vous verrez que personne ne travaille dans les îles Vierges britanniques (30 000 habitants et un gouvernement notoirement corrompu), mais plutôt dans des endroits aussi éloignés que Singapour, Londres et la Pologne, pour n’en citer que quelques-uns. Là encore, il n’est pas exagéré de supposer que certaines de ces personnes travaillent à partir d’un bureau d’entreprise physique.

Qu’est-ce qui vous protège ?

Bien entendu, cela soulève la question de savoir ce qui vous protège si l’emplacement de ces sociétés ne le fait pas. Le fait est que si un mandat est délivré, il vaut mieux qu’il n’y ait rien à trouver, donc vous devez vous assurer que votre VPN ne conserve pas de journaux. Bien qu’il n’y ait aucun moyen d’en être absolument sûr, la réputation et les performances passées d’un VPN constituent un bon guide.

Si vous êtes particulièrement inquiet, vous devriez également vous assurer de toujours vous inscrire à un VPN de manière anonyme afin qu’on ne puisse pas vous trouver de cette manière. Vous pouvez également ne rien faire d’illégal en utilisant un VPN. Quoi qu’il en soit, ne croyez pas aveuglément tout ce que les VPN vous disent sur leur localisation.