Comment les juridictions VPN vous affectent-elles ?

Le terme « juridiction » d’un service VPN fait référence au pays dans lequel il est légalement établi ou incorporé. Le système juridique de ce pays influencera les lois et les réglementations sur la confidentialité auxquelles le service VPN est soumis.

Le niveau de surveillance et de contrôle que les gouvernements exercent sur l’utilisation d’Internet varie d’un pays à l’autre. Une juridiction intrusive ou dangereuse peut être en mesure de contraindre un service VPN à surveiller, à collecter ou à partager des données sur ses utilisateurs.

La juridiction d’un VPN est différente de l’emplacement de ses serveurs. La plupart des VPN disposent de serveurs dans des dizaines de pays, mais chaque VPN a une seule juridiction. C’est le pays dans lequel l’entreprise est légalement basée.

Les serveurs VPN sont soumis à la juridiction du pays dans lequel ils sont physiquement situés. Les autorités de ce pays sont légalement autorisées à saisir le serveur pour examiner les données qu’il contient.

Cependant, bien que ces autorités puissent saisir le serveur proprement dit, elles ne peuvent pas contraindre l’entreprise VPN à partager des informations, car elle est basée dans un autre pays. C’est pourquoi la politique de journalisation d’un VPN est tout aussi importante qu’une bonne juridiction.

Selon le degré de régulation d’Internet par votre propre pays, vous pourriez vouloir choisir un service VPN situé en dehors de votre pays de résidence.

Il est également judicieux de choisir une juridiction qui possède de fortes lois sur la confidentialité et qui n’est pas impliquée dans des accords internationaux de partage de données.

Votre décision d’utiliser un VPN pour protéger votre vie privée témoigne d’un manque de confiance fondamental dans diverses entités, qu’il s’agisse des sites web que vous fréquentez ou de votre propre gouvernement.

Utiliser un VPN basé dans une juridiction invasive ajoute simplement une partie non fiable supplémentaire. Il pourrait être contraint de remettre des informations sur les utilisateurs aux autorités, qui peuvent alors les partager avec d’autres pays en vertu des accords de partage de renseignements.

Si l’un de ces lieux est soumis à des lois invasives, ils pourraient être susceptibles de fouilles non justifiées et d’atteintes à la vie privée au nom de la « sécurité ».

Bien que primordiale, la compétence n’est qu’un des nombreux facteurs à prendre en compte lors de la sélection d’un VPN. Son importance dépend du niveau de protection dont vous avez besoin.

Si vous cherchez à vous protéger contre la surveillance ciblée, le choix d’un VPN dans une juridiction sûre ne sera probablement pas suffisant pour vous protéger. Les agences nationales de renseignement ont accès à d’immenses ressources, si vous êtes ciblé, vous devrez vous préoccuper de bien plus que de la juridiction dans laquelle se trouve votre VPN.

La confiance est également un facteur majeur. Un VPN peut encore mentir à ses clients et coopérer avec les autorités même s’il opère dans une juridiction « sûre ».

En fin de compte, si vous cherchez à protéger votre confidentialité en ligne, l’emplacement des serveurs auxquels vous vous connectez et les pratiques de l’entreprise qui les contrôle sont probablement plus importants que l’endroit où l’entreprise est incorporée.

Cela dit, les juridictions des VPN sont toujours importantes si vous tenez vraiment à votre vie privée. Vous pourriez être vulnérable aux problèmes suivants :

Surveillance et conservation des données

En plus de leur infrastructure de surveillance habituelle, des agences de renseignement nationales comme la NSA et le GCHQ ont le pouvoir de forcer les organisations domestiques à enregistrer, partager et déchiffrer des informations privées.

Aux États-Unis, le Patriot Act a introduit de nouveaux pouvoirs pour la collecte de données fédérales grâce à l’utilisation de lettres de sécurité nationale (National Security Letters). Ces lois donnent aux autorités le pouvoir de contraindre une entreprise légitime à devenir un outil de collecte de données pour les agences de l’État.

Ces demandes peuvent être accompagnées d’une obligation de silence qui rend illégal pour l’entreprise de révéler ce qu’elle est contrainte de faire. Certaines entreprises VPN publient des canaris de mandat dans une tentative pour résoudre ce problème, que nous couvrirons plus tard dans ce guide.

Il existe un précédent à cela. En 2013, le service de courrier électronique sécurisé Lavabit a été ciblé par le FBI dans une tentative de collecter des informations sur Edward Snowden.

Lavabit a reçu une assignation avec une obligation de silence pour les clés de chiffrement du contenu des e-mails de ses utilisateurs. Cela permettrait au FBI d’accéder aux communications en temps réel pour tous les clients de Lavabit, pas seulement ceux de Snowden.

Le fondateur de l’entreprise, Ladar Levison, a remis les clés de chiffrement de l’entreprise et a fermé le service simultanément. Les autorités américaines ont alors menacé M. Levison d’arrestation, arguant que ses actions violaient l’ordonnance du tribunal.

De même, le service VPN Riseup, basé à Seattle, a été contraint de collecter des données sur ses utilisateurs pour le compte des autorités gouvernementales, et s’est vu signifier une injonction de ne pas divulguer ces données à ses utilisateurs.

HideMyAss, un fournisseur de VPN basé au Royaume-Uni, a également reçu une ordonnance du tribunal pour collecter des données et partager celles-ci avec les autorités pour une enquête criminelle. Cela n’a été révélé qu’après les poursuites engagées.

Il ne s’agit que d’exemples de cas qui ont été rendus publics. Il est très probable qu’il existe d’autres exemples dont nous n’avons pas encore connaissance.

Accords de partage de données

Les accords de surveillance internationaux tels que les alliances des cinq, neuf et quatorze yeux permettent aux pays membres de profiter, comme l’indique l’EFF, du « plus petit dénominateur commun en matière de protection de la vie privée ».

En d’autres termes, chaque pays participant bénéficie des données de surveillance de masse que les autres membres apportent.

Les pratiques de partage de renseignements de ces pays ont de profondes implications pour les utilisateurs d’Internet et les VPN en particulier. Il est raisonnable de supposer que si l’une de ces nations a accès à vos données, elles peuvent alors être partagées avec d’autres pays.

Si une loi renforçant les capacités de surveillance électronique est adoptée dans l’un de ces pays, c’est comme si la même législation était adoptée dans chaque pays impliqué dans l’accord.

Cela signifie qu’il y a de fortes chances que votre activité soit collectée et partagée avec une agence de renseignement, peu importe où vous vous trouvez dans le monde.

Emplacements des serveurs virtuels et serveurs loués

Certains services VPN louent leurs serveurs à des centres de données pour réduire les coûts opérationnels. Cela rend l’exploitation d’un réseau de serveurs international nettement moins chère que la possession de serveurs.

Bien que cela puisse réduire les frais généraux d’un fournisseur de VPN, cela peut être problématique en termes de confidentialité.

Les serveurs VPN loués appartiennent au centre de données qui les loue. Il est possible que le centre de données conserve des journaux de votre activité, indépendamment de la politique de journalisation de l’entreprise VPN.

En fonction de la juridiction du centre de données, les autorités locales pourraient également contraindre l’hôte du serveur à conserver ou à partager les données des utilisateurs.

Dans ce cas, la juridiction et la politique de journalisation de l’entreprise VPN sont inutiles. Les autorités locales peuvent aller directement à l’hôte du serveur pour saisir l’information dont elles ont besoin.

Si vous tenez à votre vie privée, nous vous conseillons de choisir un service VPN basé en dehors de l’alliance des 5 yeux, des 9 yeux ou des 14 yeux.

Les pays impliqués dans ces alliances sont beaucoup plus susceptibles de participer à des programmes de surveillance invasive, de conservation des données et de collecte de renseignements.

Il est également probable que les nations les plus puissantes au sein de ces alliances seront en mesure de forcer les autres membres à signer des accords ou à adopter d’autres formes de coopération.

Qu’est-ce qu’un paradis des données ?

Il est généralement recommandé de choisir un VPN basé dans un pays considéré comme un « paradis des données ».

Un paradis de données est un pays dont l’environnement juridique et politique soutient la notion de protection de la vie privée en ligne. Ces pays participent rarement à des accords obligatoires de surveillance, de conservation des données ou de partage des données, et ils disposent souvent de certaines des lois sur la confidentialité les plus strictes au monde.

Bien que ces pays ne soient pas obligés de partager les données des utilisateurs avec les autorités internationales, ils manquent souvent des réglementations nécessaires pour garantir que les données des utilisateurs sont correctement protégées. Cela signifie que vous pourriez compromettre votre sécurité pour la confidentialité.

Les pays souvent qualifiés de paradis des données incluent les îles Vierges britanniques, le Panama, les Seychelles, les îles Caïmans et la Malaisie.

De nombreuses entreprises VPN choisissent d’enregistrer leurs activités dans ces pays pour s’assurer que leur service reste aussi privé et sécurisé que possible. Des exemples incluent ExpressVPN, NordVPN et Astrill.

Il existe également des services VPN qui ont prouvé leur fiabilité malgré leur exploitation dans une juridiction « dangereuse ». Par exemple, Private Internet Access (PIA) n’a pas pu fournir de données au gouvernement américain dans le cadre d’une affaire judiciaire officielle, malgré une citation à comparaître.

Seuls quelques services VPN réellement exempts de journaux ont passé des tests en conditions réelles ou ont été contrôlés par des tiers. Un VPN dans une juridiction offshore sûre ajoute simplement une protection supplémentaire, car il y a moins de chances qu’il soit contraint de remettre des données aux autorités.

Les services VPN ont-ils besoin d’un canari de mandat ?

Un canari de mandat est un terme familier pour une déclaration publiée régulièrement conçue pour prouver qu’un fournisseur de services n’a pas été contacté par une agence gouvernementale ou forcé de partager des données d’utilisateur.

 

Les demandes de données comme une « Lettre de sécurité nationale des États-Unis » (NSL) s’accompagnent généralement d’une obligation de silence qui empêche l’entreprise visée de divulguer le fait qu’elle a été compromise.

L’objectif d’un canari de mandat est de contourner ces restrictions légales et d’avertir ses utilisateurs que leurs données peuvent ne plus être en sécurité, sans techniquement violer l’ordre du tribunal de ne pas le faire.

Les canaris de mandat fonctionnent généralement en informant les utilisateurs qu’il n’y a pas eu de mandat délivré par un tribunal, d’obligation de silence ou de convocation à une certaine date.

Si le canari n’est pas mis à jour ou s’il est complètement supprimé, les utilisateurs doivent supposer que l’interdiction de parole est en place et que l’hôte a reçu une demande légale.

De nombreux services VPN choisissent de maintenir un canari de mandat pour aider à convaincre les utilisateurs qu’ils peuvent être dignes de confiance.

Cependant, le fait qu’un service VPN maintienne un canari de mandat ne signifie pas que le service est privé ou sécurisé. De même, de nombreux services fiables et réputés choisissent de ne pas maintenir un canari de mandat par principe, car leur efficacité est encore contestée parmi les experts.

Certains experts soutiennent que les gouvernements peuvent contraindre les entreprises à maintenir un canari même si elles ont été compromises, le rendant ainsi inutile.

Il est également possible qu’un service compromis évite de modifier son canari de mandat pour éviter de perdre des clients. Dans ce sens, de nombreux canaris de mandat ne sont rien de plus que du théâtre marketing de la part d’entreprises qui ne se soucient pas vraiment de la confidentialité des utilisateurs.

Malheureusement, il n’y a aucun moyen de savoir avec certitude si un changement de canari est un véritable indicateur d’un ordre du tribunal. Les utilisateurs sont forcés de se fier à des spéculations pour décider de la signification d’un canari manquant ou modifié.

Nous recommandons de considérer les canaris de mandat comme une fonctionnalité supplémentaire, une fois que vous avez identifié un service VPN digne de confiance, plutôt que de rechercher spécifiquement un VPN qui en possède un.

Quand on parle de surveillance de masse, la plupart des gens pensent à la NSA. En réalité, presque tous les pays possèdent leur propre agence de renseignement d’origine électromagnétique (SIGINT ou ROEM en français).

Ces agences se concentrent sur l’application de la loi, la collecte de données et le contre-espionnage en interceptant les signaux électroniques et les communications en ligne. Par ailleurs, elles travaillent souvent ensemble.

Les alliances des cinq, neuf et quatorze yeux sont trois des accords internationaux de renseignement les plus importants qui effectuent ce type de surveillance coordonnée. Ce sont également les pires juridictions VPN en termes de protection de la vie privée.

 

Voici une liste des principales entités de surveillance mondiale que vous devez connaître :

1. L’alliance des cinq yeux

 

Les pays de l’alliance des 5 yeux sont les États-Unis, le Royaume-Uni, le Canada, l’Australie et la Nouvelle-Zélande.

Cet accord de partage de renseignements peut être retracé jusqu’à la Seconde Guerre mondiale et le traité UKUSA, qui a été initialement conçu comme un partenariat entre les États-Unis et le Royaume-Uni.

Au cours des dernières décennies, le traité a grandi tant en membres qu’en portée. Les nations membres, connues sous le nom d’alliance des 5 yeux, travaillent désormais ensemble pour collecter, analyser et partager des renseignements à la fois au niveau national et international.

Alors que les pays de l’alliance des 5 yeux se sont engagés à ne pas se surveiller mutuellement en tant qu’adversaires, des documents divulgués par Edward Snowden ont révélé que les nations surveillent les citoyens des autres pays et partagent ces renseignements entre elles.

En plus de partager des données de surveillance entre elles, les pays de l’alliance des 5 yeux travaillent également ensemble pour envoyer et appliquer des avis de conservation des données. Cela signifie qu’une nation peut exercer des pressions sur une autre pour qu’elle remette les journaux des utilisateurs de VPN dans leur juridiction.

Il ne devrait pas être surprenant qu’un grand nombre des pays de l’alliance des cinq yeux figurent parmi les pires abuseurs de la confidentialité numérique.

Si vous êtes préoccupé par votre confidentialité lors de l’utilisation d’un VPN, les pays de l’alliance des 5 yeux sont considérés comme les pires juridictions VPN qui soient.

Système de surveillance ECHELON

Les nations de l’alliance des 5 yeux utilisent ECHELON, un réseau de stations d’espionnage conçu pour la surveillance mondiale et la collecte de données.

ECHELON peut intercepter les données envoyées par téléphone, fax et ordinateurs. Les stations ECHELON peuvent suivre les comptes bancaires et même intercepter les données envoyées et reçues par des relais satellites. Toutes ces données sont stockées dans d’importantes bases de données qui peuvent conserver des millions de dossiers sur les individus.

Bien que les preuves s’accumulent depuis près de 30 ans, les États-Unis nient toujours l’existence d’ECHELON, tandis que le gouvernement britannique a toujours été évasif.

Malgré ces dénégations, divers lanceurs d’alerte ont confirmé la vérité en documentant certains aspects du projet ECHELON.

2. L’alliance des neuf yeux

 

L’alliance des 9 yeux est une extension de l’alliance des 5 yeux. Elle regroupe un groupe plus important de pays qui coopèrent également pour partager des renseignements. Cela comprend tous les pays de l’alliance des 5 yeux ainsi que la France, le Danemark, la Norvège et les Pays-Bas.

L’existence de l’alliance des 9 yeux est devenue bien connue suite aux révélations d’Edward Snowden en 2013. Il s’agit essentiellement d’une extension de l’accord des 5 yeux qui coopère pour recueillir et distribuer des données de surveillance de masse.

Bien que les quatre nations supplémentaires n’aient pas de programmes de surveillance domestique aussi étendus que les États-Unis, le Royaume-Uni ou l’Australie, elles coopèrent néanmoins entre elles et avec les cinq pays de l’alliance originale.

L’alliance des 9 yeux est un arrangement entre les entités SIGINT et n’est pas officialisée par aucun traité formel.

3. L’alliance des 14 yeux

 

L’alliance des 14 yeux comprend tous les membres de l’alliance des 9 yeux ainsi que l’Allemagne, la Belgique, l’Italie, la Suède et l’Espagne.

Le nom officiel de l’alliance des 14 yeux est SIGINT Seniors of Europe (SSEUR), qui existe sous diverses formes depuis 1982. Conçue à l’origine pour l’échange de renseignements militaires, elle s’est élargie aux informations de surveillance des citoyens.

La réunion des SIGINT Seniors a lieu chaque année et est fréquentée par les dirigeants des agences SIGINT, y compris le BND, la NSA, la DGSE, le GCHQ et plus encore. Ces réunions offrent un espace pour les responsables mondiaux du renseignement de discuter de la coopération et du développement.

Les SIGINT Seniors of Pacific est une entité similaire qui a été créée en 2005. Les États membres comprennent tous les pays de l’alliance des 5 yeux ainsi que l’Inde, la France, Singapour, la Thaïlande et la Corée du Sud.

D’autres pays notables, dont Israël et le Japon, sont également soupçonnés de travailler en étroite collaboration avec l’alliance des 14 yeux et la NSA.

4. L’Union européenne (UE)

 

L’Union européenne est une union de nations européennes souveraines. C’est l’une des plus grandes et des plus puissantes unions politiques et économiques du monde, et elle pose également problème en termes de surveillance et de confidentialité des données.

Bien que les politiques de coopération de l’Union européenne ne soient pas aussi vastes ou intrusives que celles des alliances des 5, 9 et 14 yeux, les États membres de l’UE participent néanmoins à des accords de partage de données.

Il existe quelques exceptions à cette règle. En 2009, la Cour constitutionnelle de Roumanie (CCR) a statué que les exigences de l’UE constituaient une violation du droit des citoyens roumains à la vie privée.

Cela fait de la Roumanie un havre de confidentialité des utilisateurs parmi les nations de l’UE, et explique pourquoi des services VPN comme CyberGhost pourraient choisir de baser leurs opérations là-bas.

Certains pays sont plus privés que d’autres, mais il y en a beaucoup qui coopèrent avec les autorités de l’alliance des 5 yeux ou du SSEUR et qui ont un historique de partage de données. Cela vaut la peine de garder cela à l’esprit lorsque vous choisissez un VPN basé dans une juridiction de l’UE.

5. L’Organisation de coopération de Shanghai (OCS)

 

L’Organisation de coopération de Shanghai (OCS), également connue sous le nom de Pacte de Shanghai, est une alliance politique et économique eurasienne entre la Russie, la Chine, le Pakistan, l’Inde, le Kazakhstan, le Kirghizistan, l’Ouzbékistan et le Tadjikistan.

L’OCS est principalement axée sur la sécurité nationale de ses membres et lutte généralement contre l’extrémisme sous ses diverses formes.

Au cours des dernières années, les activités de l’OCS se sont étendues pour inclure une coopération militaire accrue, le partage de renseignements et la lutte contre le terrorisme. Il est très probable que les pays membres de l’OCS recueillent et partagent des données de manière similaire aux alliances des 5, 9 et 14 yeux.

6. Les pays à forte censure

 

Certains pays interdisent l’utilisation des VPN et portent atteinte à la vie privée de leurs citoyens sans tenir compte des accords internationaux.

Les pays les plus contrôlés en matière d’Internet sont la Chine, les Émirats arabes unis, la Turquie, la Russie, Oman, l’Irak et le Belarus, bien que cette liste soit loin d’être exhaustive.

Bien qu’il soit peu probable que vous trouviez un VPN ou un serveur VPN physiquement basé dans l’un de ces pays, cela vaut la peine d’être vigilant. Nous avons trouvé de nombreux VPN ayant des liens avec des entreprises chinoises douteuses lors de notre enquête sur la propriété chinoise des applications VPN gratuites.

Les juridictions ayant des liens étroits avec ces gouvernements, comme Hong Kong, doivent également être évitées si vous êtes préoccupé par la confidentialité de vos données.

Pour en savoir plus sur la légalité des VPN et les restrictions relatives à leur utilisation, vous pouvez consulter notre guide consacré aux lois sur les VPN.

Nous avons vérifié les politiques de confidentialité des services VPN les plus populaires sur le marché. Nous avons constaté qu’un nombre significatif de fournisseurs VPN sont basés dans des juridictions susceptibles de mettre en danger les données des utilisateurs.

Le tableau suivant répertorie les 81 services VPN que nous avons testés. Il vous indique leur juridiction et s’ils maintiennent ou non une garantie de non-espionnage.

Si vous recherchez un VPN spécifique, utilisez Ctrl+F pour trouver le fournisseur que vous cherchez.