Lorsqu’on choisit un VPN, on compare souvent la vitesse, le nombre de serveurs et le prix. Mais un critère tout aussi fondamental est souvent ignoré : la juridiction — le pays dans lequel le fournisseur VPN est légalement enregistré. Cette juridiction détermine les lois auxquelles le fournisseur est soumis, les données qu’il peut être contraint de fournir aux autorités et, in fine, le niveau réel de protection de votre vie privée.
Au cœur de cette problématique se trouvent les alliances de surveillance internationales : les fameux 5 Eyes, 9 Eyes et 14 Eyes. Voici tout ce que vous devez savoir pour faire un choix éclairé.
L’histoire des alliances de surveillance
Les origines : l’accord UKUSA
Tout commence en 1946, dans le contexte de la Guerre froide. Les États-Unis et le Royaume-Uni signent l’accord UKUSA (United Kingdom – United States of America Agreement), un traité secret de partage de renseignements d’origine électromagnétique (SIGINT). L’objectif initial : intercepter les communications de l’Union soviétique.
Cet accord bilatéral s’est progressivement élargi à trois autres pays anglophones : le Canada, l’Australie et la Nouvelle-Zélande. C’est la naissance des Five Eyes.
L’expansion post-11 septembre
Les attentats du 11 septembre 2001 ont marqué un tournant majeur. La lutte contre le terrorisme a justifié une expansion considérable des capacités de surveillance, et les alliances se sont élargies pour inclure de nouveaux partenaires.
Les révélations d’Edward Snowden en 2013 ont mis en lumière l’ampleur réelle de cette surveillance : programmes PRISM, XKeyscore, Tempora, MUSCULAR — des systèmes capables d’intercepter et d’analyser des milliards de communications chaque jour.
Les trois niveaux d’alliance
Five Eyes (5 Eyes)
L’alliance de surveillance la plus intégrée au monde. Les cinq pays membres partagent automatiquement et systématiquement leurs renseignements.
| Pays | Agence principale | Spécialité |
|---|---|---|
| États-Unis | NSA (National Security Agency) | Surveillance globale, SIGINT |
| Royaume-Uni | GCHQ (Government Communications HQ) | Câbles sous-marins, Europe |
| Canada | CSE (Centre de la sécurité des télécommunications) | Amérique du Nord |
| Australie | ASD (Australian Signals Directorate) | Asie-Pacifique |
| Nouvelle-Zélande | GCSB (Government Communications Security Bureau) | Pacifique Sud |
Point clé — Les pays Five Eyes peuvent demander à un partenaire d’espionner leurs propres citoyens, contournant ainsi les lois nationales sur la surveillance domestique. Le GCHQ britannique a par exemple collecté des données sur des citoyens américains pour le compte de la NSA.
Nine Eyes (9 Eyes)
Les Nine Eyes ajoutent quatre pays européens qui contribuent au partage de renseignements, mais avec un accès moins étendu que les cinq membres fondateurs.
| Pays supplémentaire | Rôle |
|---|---|
| Danemark | Accès câbles sous-marins (mer du Nord/Baltique) |
| France | DGSE — renseignement extérieur, Afrique |
| Pays-Bas | AIVD — hub internet européen (AMS-IX) |
| Norvège | Frontière arctique, surveillance Russie |
Fourteen Eyes (14 Eyes)
Le cercle le plus large, officiellement connu sous le nom de SIGINT Seniors Europe (SSEUR). Les cinq pays supplémentaires partagent des renseignements de manière plus limitée.
| Pays supplémentaire | Rôle |
|---|---|
| Allemagne | BND — hub terrestre européen, transit Est-Ouest |
| Belgique | Siège OTAN et UE |
| Italie | Renseignement méditerranéen |
| Espagne | CNI — frontière sud de l’Europe |
| Suède | FRA — câbles sous-marins Baltique |
Carte récapitulative des alliances
| Alliance | Pays | Niveau de partage |
|---|---|---|
| 5 Eyes | US, UK, CA, AU, NZ | Automatique, systématique, complet |
| 9 Eyes | + DK, FR, NL, NO | Étendu, mais accès partiel |
| 14 Eyes | + DE, BE, IT, ES, SE | Limité, principalement SIGINT |
| Partenaires tiers | Israël, Japon, Corée du Sud, Singapour | Bilatéral, au cas par cas |
Impact concret sur votre VPN
Ce qu’une juridiction implique pour un fournisseur VPN
La juridiction du fournisseur VPN détermine :
- Les lois sur la rétention de données : le fournisseur est-il légalement obligé de conserver des logs ?
- Les demandes gouvernementales : les autorités peuvent-elles exiger la remise de données utilisateur ?
- Les ordonnances bâillon : le fournisseur peut-il être contraint au silence sur une demande de données ?
- La coopération internationale : les données peuvent-elles être partagées avec d’autres pays via les alliances ?
Scénario concret : comment vos données peuvent circuler
Prenons un exemple. Vous êtes en France et vous utilisez un VPN basé aux Pays-Bas (9 Eyes) :
- Les autorités françaises (DGSE) suspectent une activité
- Elles demandent aux Pays-Bas (AIVD) de solliciter le fournisseur VPN
- Le fournisseur, soumis au droit néerlandais, peut être contraint de fournir ses logs (s’il en a)
- Les données sont partagées avec la France via l’alliance Nine Eyes
Si le fournisseur applique une politique no-log stricte et vérifiée, il n’a tout simplement rien à fournir. La juridiction devient alors moins critique — mais elle reste un facteur de risque. Pour comprendre les politiques no-log en détail, consultez notre guide sur les VPN no-log.
Avis d’expert — La juridiction seule ne suffit pas à garantir la vie privée. Un VPN basé à Panama mais qui conserve des logs est moins sûr qu’un VPN néerlandais audité no-log. C’est la combinaison juridiction + politique + audit qui compte.
Les juridictions VPN les plus sûres
Panama
| Critère | Évaluation |
|---|---|
| Alliance | Aucune (hors 5/9/14 Eyes) |
| Lois rétention données | Aucune obligation |
| Demandes gouvernementales | Très difficiles à exécuter |
| VPN majeur | NordVPN |
Panama n’a aucun accord de partage de renseignements avec les alliances de surveillance. Les lois locales ne prévoient aucune obligation de rétention de données, et les demandes étrangères doivent passer par un processus juridique long et complexe. C’est la juridiction de NordVPN, que nous avons testé en détail dans notre avis complet.
Îles Vierges britanniques (BVI)
| Critère | Évaluation |
|---|---|
| Alliance | Aucune (territoire britannique autonome) |
| Lois rétention données | Aucune obligation |
| Demandes gouvernementales | Autonomie juridique vis-à-vis du Royaume-Uni |
| VPN majeur | ExpressVPN |
Malgré leur nom, les BVI jouissent d’une autonomie juridique complète par rapport au Royaume-Uni. Les lois britanniques sur la surveillance (Investigatory Powers Act) ne s’y appliquent pas.
Suisse
| Critère | Évaluation |
|---|---|
| Alliance | Aucune |
| Lois rétention données | Oui, mais exclut les VPN (uniquement FAI et opérateurs télécoms) |
| Demandes gouvernementales | Possibles, mais encadrées par un processus strict |
| VPN majeur | ProtonVPN, Threema |
La Suisse bénéficie d’une tradition forte en matière de protection de la vie privée. Les fournisseurs VPN ne sont pas considérés comme des opérateurs télécoms et ne sont donc pas soumis aux obligations de rétention.
Roumanie
| Critère | Évaluation |
|---|---|
| Alliance | Aucune (UE, mais pas 14 Eyes) |
| Lois rétention données | Invalidées par la Cour constitutionnelle (deux fois) |
| Demandes gouvernementales | Légalement difficiles |
| VPN majeur | CyberGhost |
La Roumanie a une position unique en Europe : sa Cour constitutionnelle a invalidé à deux reprises les lois sur la rétention de données, les jugeant incompatibles avec les droits fondamentaux.
Lituanie
| Critère | Évaluation |
|---|---|
| Alliance | Aucune (UE) |
| Lois rétention données | Limitées |
| Demandes gouvernementales | Encadrées par le RGPD |
| VPN majeur | Surfshark (anciennement, désormais Pays-Bas) |
La Lituanie est membre de l’UE mais ne fait partie d’aucune alliance de surveillance. Le cadre RGPD européen offre des protections significatives.
Cas concrets : quand la juridiction a compté
L’affaire PureVPN (2017)
PureVPN, basé à Hong Kong, prétendait appliquer une politique no-log. En 2017, le FBI a obtenu des logs de connexion qui ont permis l’arrestation d’un cyberstalker. Cette affaire a démontré que les politiques no-log non auditées ne valent rien.
L’affaire IPVanish (2016)
IPVanish, basé aux États-Unis (Five Eyes), a fourni des logs au Department of Homeland Security malgré une politique no-log affichée. Un rappel que la juridiction Five Eyes expose les fournisseurs à des pressions gouvernementales directes.
L’affaire Private Internet Access (2016)
À l’inverse, PIA (également basé aux États-Unis) a prouvé devant un tribunal qu’il ne disposait d’aucun log à fournir. Deux subpoenas du FBI sont restés sans réponse exploitable. Preuve qu’un fournisseur rigoureux peut résister, même sous juridiction Five Eyes.
L’audit NordVPN par Deloitte (2023-2024)
NordVPN a fait auditer son infrastructure et sa politique no-log par Deloitte, confirmant l’absence totale de logs identifiants. La juridiction panaméenne combinée à un audit indépendant offre actuellement la meilleure garantie du marché.
Comment choisir un VPN selon la juridiction ?
Critères de décision
| Critère | Poids | Explication |
|---|---|---|
| Hors alliances | Important | Réduit le risque de coopération forcée |
| Audit no-log | Critique | Seule preuve objective de la politique |
| Serveurs RAM-only | Important | Empêche physiquement le stockage de logs |
| Warrant canary | Utile | Signal d’alerte si le fournisseur reçoit une ordonnance bâillon |
| Open source | Utile | Permet la vérification indépendante du code |
Classement par niveau de confiance
| Rang | VPN | Juridiction | Audit | RAM-only | Score confiance |
|---|---|---|---|---|---|
| 1 | NordVPN | Panama | Deloitte | Oui | 9,5/10 |
| 2 | ExpressVPN | BVI | KPMG + Cure53 | Oui | 9,3/10 |
| 3 | ProtonVPN | Suisse | Securitum | Partiel | 9,0/10 |
| 4 | Surfshark | Pays-Bas | Deloitte | Oui | 8,5/10 |
| 5 | CyberGhost | Roumanie | Deloitte | Partiel | 8,2/10 |
| 6 | PIA | États-Unis | Deloitte | Non | 7,5/10 |
Avis d’expert — Un VPN audité no-log avec des serveurs RAM-only est aujourd’hui le standard minimal. Si votre fournisseur ne propose ni audit ni serveurs RAM, il est temps de changer. Consultez notre classement du meilleur VPN pas cher pour des alternatives fiables et abordables.
Juridiction et usage quotidien : faut-il être paranoïaque ?
Pour l’utilisateur lambda (navigation privée, streaming, protection Wi-Fi public), la juridiction est un facteur secondaire. Les VPN majeurs, même ceux basés dans les pays 14 Eyes, appliquent des politiques no-log auditées qui protègent efficacement votre vie privée au quotidien. Pour protéger votre connexion sur les réseaux publics, consultez notre guide sur le VPN et Wi-Fi public.
Pour les utilisateurs sensibles (journalistes, activistes, lanceurs d’alerte, personnes vivant sous des régimes autoritaires), la juridiction devient un critère de premier plan. Un VPN basé hors des alliances de surveillance, avec un audit no-log, des serveurs RAM-only et une transparence totale sur sa structure juridique est indispensable.
Recommandations par profil
| Profil | Juridiction minimale | VPN recommandé |
|---|---|---|
| Usage général | Audit no-log suffisant | NordVPN, Surfshark |
| Vie privée avancée | Hors 14 Eyes | NordVPN (Panama), ExpressVPN (BVI) |
| Sensibilité maximale | Hors alliances + open source | ProtonVPN (Suisse) |
| Entreprise / télétravail | Conformité RGPD | NordVPN, ProtonVPN |
Pour les professionnels en télétravail, notre guide VPN entreprise détaille les bonnes pratiques de sécurité en contexte professionnel.
Ce que les alliances ne peuvent pas faire
Il est important de nuancer : les alliances de surveillance ne sont pas omnipotentes.
- Elles ne peuvent pas déchiffrer un VPN correctement configuré (AES-256, ChaCha20)
- Elles ne peuvent pas forcer un fournisseur étranger hors de leur juridiction sans coopération internationale
- Elles ne peuvent pas accéder aux serveurs RAM-only après un redémarrage
- Un audit indépendant vérifie que le fournisseur fait ce qu’il promet
Le vrai risque n’est pas que la NSA déchiffre votre connexion VPN — c’est que votre fournisseur VPN conserve des logs et les remette sur demande. Pour comprendre les mécanismes de protection technique, consultez notre guide sur le kill switch et les fuites DNS.
Conclusion : la juridiction compte, mais ce n’est pas tout
La juridiction d’un VPN est un critère important, mais elle s’inscrit dans un écosystème de confiance plus large. Un VPN basé à Panama (NordVPN) ou aux Îles Vierges britanniques (ExpressVPN) offre un avantage structurel indéniable — vos données sont physiquement et légalement hors d’atteinte des alliances de surveillance.
Mais la juridiction seule ne suffit pas. Exigez également :
- Un audit no-log indépendant par un cabinet reconnu
- Des serveurs RAM-only pour empêcher le stockage physique
- Un protocole moderne (WireGuard, Lightway) pour un chiffrement solide
- Une transparence sur la structure juridique et les rapports de transparence
En combinant ces critères, vous maximisez la protection de votre vie privée — quelle que soit l’alliance de surveillance qui regarde.
Le conseil de Julien — Ne vous laissez pas paralyser par la question de la juridiction. Choisissez un VPN audité no-log avec des serveurs RAM-only, et vous serez mieux protégé que 99 % des internautes. Si vous débutez, notre guide complet pour débutants vous aidera à faire votre premier choix.