Comment les juridictions VPN vous affectent-elles ?

Les nations les plus puissantes du monde font partie d’accords secrets de partage de renseignements appelés alliance des 5 yeux, alliance des 9 yeux et alliance des 14 yeux.

Ces pays collaborent pour collecter et partager des données de surveillance de masse, y compris votre historique de navigation, vos appels téléphoniques, vos SMS, vos documents électroniques et votre localisation.

C’est pourquoi ces pays sont les pires pour établir une société de VPN. Les services basés dans ces pays risquent d’être soumis à une surveillance intrusive, à des lois sur la conservation des données et à des obligations de partage d’informations, pouvant aller jusqu’à la remise de vos données aux autorités.

Ce guide explique ce qu’est une juridiction VPN, son impact sur votre vie privée, et examine en détail les alliances des cinq, neuf et quatorze yeux, des éléments essentiels à considérer lors du choix d’un VPN.

Découvrez également où se trouvent les services VPN les plus populaires grâce à notre tableau comparatif des juridictions VPN.

Le terme « juridiction » d’un service VPN fait référence au pays dans lequel il est légalement établi ou incorporé. Le système juridique de ce pays influencera les lois et les réglementations sur la confidentialité auxquelles le service VPN est soumis.

Le niveau de surveillance et de contrôle que les gouvernements exercent sur l’utilisation d’Internet varie d’un pays à l’autre. Une juridiction intrusive ou dangereuse peut être en mesure de contraindre un service VPN à surveiller, à collecter ou à partager des données sur ses utilisateurs.

Les serveurs VPN sont soumis aux lois du pays où ils se trouvent physiquement.

Les autorités peuvent saisir des serveurs et y chercher des données. Cependant, elles ne peuvent pas contraindre un service VPN à partager des informations si l’entreprise est basée dans un autre pays, échappant ainsi à leurs pouvoirs légaux. C’est pourquoi la politique de journalisation d’un VPN est aussi cruciale que sa juridiction.

Selon la régulation Internet de votre pays, vous pouvez opter pour un service VPN établi dans un pays avec des lois strictes sur la protection de la vie privée et qui n’est pas partie à des accords internationaux de partage de données.

Si vous souhaitez protéger votre activité sur Internet, évitez absolument les VPN situés dans des juridictions intrusives. Ils peuvent être contraints de remettre des données utilisateur, qui pourraient ensuite être partagées avec les alliés des services de renseignement.

Ce n’est pas la seule juridiction à surveiller.

Si l’un de ces lieux est soumis à des lois invasives, ils pourraient être susceptibles de fouilles non justifiées et d’atteintes à la vie privée au nom de la « sécurité ».

Bien que primordiale, la compétence n’est qu’un des nombreux facteurs à prendre en compte lors de la sélection d’un VPN. Son importance dépend du niveau de protection dont vous avez besoin.

Si vous cherchez à vous protéger contre la surveillance ciblée, le choix d’un VPN dans une juridiction sûre ne sera probablement pas suffisant pour vous protéger. Les agences nationales de renseignement ont accès à d’immenses ressources, si vous êtes ciblé, vous devrez vous préoccuper de bien plus que de la juridiction dans laquelle se trouve votre VPN.

La confiance est également un facteur majeur. Un VPN peut encore mentir à ses clients et coopérer avec les autorités même s’il opère dans une juridiction « sûre ».

En fin de compte, si vous cherchez à protéger votre confidentialité en ligne, l’emplacement des serveurs auxquels vous vous connectez et les pratiques de l’entreprise qui les contrôle sont probablement plus importants que l’endroit où l’entreprise est incorporée.

Cela dit, les juridictions des VPN sont toujours importantes si vous tenez vraiment à votre vie privée. Vous pourriez être vulnérable aux problèmes suivants :

Surveillance et conservation des données

En plus de leur infrastructure de surveillance habituelle, des agences de renseignement nationales comme la NSA et le GCHQ ont le pouvoir de forcer les organisations domestiques à enregistrer, partager et déchiffrer des informations privées.

Aux États-Unis, le Patriot Act a introduit de nouveaux pouvoirs pour la collecte de données fédérales grâce à l’utilisation de lettres de sécurité nationale (National Security Letters). Ces lois donnent aux autorités le pouvoir de contraindre une entreprise légitime à devenir un outil de collecte de données pour les agences de l’État.

Ces demandes peuvent être accompagnées d’une obligation de silence qui rend illégal pour l’entreprise de révéler ce qu’elle est contrainte de faire. Certaines entreprises VPN publient des canaris de mandat dans une tentative pour résoudre ce problème, que nous couvrirons plus tard dans ce guide.

Il existe un précédent à cela. En 2013, le service de courrier électronique sécurisé Lavabit a été ciblé par le FBI dans une tentative de collecter des informations sur Edward Snowden.

Lavabit a reçu une assignation avec une obligation de silence pour les clés de chiffrement du contenu des e-mails de ses utilisateurs. Cela permettrait au FBI d’accéder aux communications en temps réel pour tous les clients de Lavabit, pas seulement ceux de Snowden.

Le fondateur de l’entreprise, Ladar Levison, a remis les clés de chiffrement de l’entreprise et a fermé le service simultanément. Les autorités américaines ont alors menacé M. Levison d’arrestation, arguant que ses actions violaient l’ordonnance du tribunal.

De même, le service VPN Riseup, basé à Seattle, a été contraint de collecter des données sur ses utilisateurs pour le compte des autorités gouvernementales, et s’est vu signifier une injonction de ne pas divulguer ces données à ses utilisateurs.

HideMyAss, un fournisseur de VPN basé au Royaume-Uni, a également reçu une ordonnance du tribunal pour collecter des données et partager celles-ci avec les autorités pour une enquête criminelle. Cela n’a été révélé qu’après les poursuites engagées.

Il ne s’agit que d’exemples de cas qui ont été rendus publics. Il est très probable qu’il existe d’autres exemples dont nous n’avons pas encore connaissance.

Accords de partage de données

Les accords de surveillance internationale, comme les alliances des cinq, neuf et quatorze yeux, permettent aux pays membres de partager des données de surveillance de masse, souvent au détriment de la protection de la vie privée.

Si un pays accède à vos données en renforçant ses capacités de surveillance électronique, celles-ci peuvent être partagées avec d’autres membres de l’alliance.

Il y a donc de fortes chances que votre activité soit collectée et transmise à une agence de renseignement, peu importe où vous vous trouvez dans le monde.

Emplacements des serveurs virtuels et serveurs loués

Certains services VPN louent des serveurs dans des centres de données, car cela revient beaucoup moins cher que de gérer un réseau international complet.

Bien que cette solution soit économique, elle présente des risques pour la vie privée.

Les centres de données restent propriétaires des serveurs qu’ils louent et peuvent enregistrer votre activité, indépendamment de la politique de journalisation du fournisseur de VPN.

Selon la juridiction du centre de données, les autorités locales peuvent également obliger l’hébergeur à conserver ou partager les données des utilisateurs.

Dans ce contexte, la juridiction et la politique de journalisation du VPN deviennent secondaires : les autorités peuvent directement s’adresser à l’hébergeur pour obtenir les informations nécessaires.

Pour en savoir plus sur les serveurs VPN loués, consultez notre guide sur les emplacements des serveurs virtuels.

Si vous tenez à votre vie privée, nous vous conseillons de choisir un service VPN basé en dehors de l’alliance des 5 yeux, des 9 yeux ou des 14 yeux.

Les pays impliqués dans ces alliances sont beaucoup plus susceptibles de participer à des programmes de surveillance invasive, de conservation des données et de collecte de renseignements.

Il est également probable que les nations les plus puissantes au sein de ces alliances seront en mesure de forcer les autres membres à signer des accords ou à adopter d’autres formes de coopération.

Qu’est-ce qu’un paradis des données ?

Il est généralement recommandé de choisir un VPN basé dans un pays considéré comme un « paradis des données ».

Un paradis de données est un pays dont l’environnement juridique et politique soutient la notion de protection de la vie privée en ligne. Ces pays participent rarement à des accords obligatoires de surveillance, de conservation des données ou de partage des données, et ils disposent souvent de certaines des lois sur la confidentialité les plus strictes au monde.

En revanche, bien que les paradis des données ne soient pas tenus de partager les données des utilisateurs avec les autorités internationales, ils manquent souvent d’une réglementation solide pour assurer une protection adéquate de ces données.
Les pays souvent qualifiés de paradis des données incluent les îles Vierges britanniques, le Panama, les Seychelles, les îles Caïmans et la Malaisie.

De nombreuses entreprises VPN choisissent d’enregistrer leurs activités dans ces pays pour s’assurer que leur service reste aussi privé et sécurisé que possible. Des exemples incluent ExpressVPN, NordVPN et Astrill.

Il existe également des services VPN qui ont prouvé leur fiabilité malgré leur exploitation dans une juridiction « dangereuse ». Par exemple, Private Internet Access (PIA) n’a pas pu fournir de données au gouvernement américain dans le cadre d’une affaire judiciaire officielle, malgré une citation à comparaître.

Seuls quelques services VPN réellement exempts de journaux ont passé des tests en conditions réelles ou ont été contrôlés par des tiers. Un VPN dans une juridiction offshore sûre ajoute simplement une protection supplémentaire, car il y a moins de chances qu’il soit contraint de remettre des données aux autorités.

Les services VPN ont-ils besoin d’un canari de mandat ?

Un canari de mandat est un terme familier pour une déclaration publiée régulièrement conçue pour prouver qu’un fournisseur de services n’a pas été contacté par une agence gouvernementale ou forcé de partager des données d’utilisateur.

 

Les demandes de données comme une « Lettre de sécurité nationale des États-Unis » (NSL) s’accompagnent généralement d’une obligation de silence qui empêche l’entreprise visée de divulguer le fait qu’elle a été compromise.

Les canaris de mandat avertissent les utilisateurs que leurs données peuvent être sensibles, tout en respectant l’obligation de silence.

Ils signalent qu’aucun mandat, obligation de silence ou citation à comparaître n’a été émis par un tribunal à une date donnée. Si le canari n’est pas mis à jour ou supprimé, les utilisateurs doivent supposer que l’interdiction de parler est en vigueur et que l’hébergeur a reçu une demande légale.

De nombreux services VPN utilisent des canaris de mandat pour rassurer les utilisateurs sur leur fiabilité.

Cependant, avoir un canari ne garantit pas la protection de la vie privée ou la sécurité. Des services réputés peuvent s’en passer, car leur efficacité est parfois remise en question.

Certains experts soutiennent que les gouvernements peuvent contraindre les entreprises à conserver ces canaris, même s’ils sont compromis, ce qui les rend inefficaces. Des services compromis pourraient également éviter de modifier les canaris pour ne pas perdre leurs clients, transformant ainsi ces canaris en simples stratagèmes marketing.

Malheureusement, il n’existe aucun moyen de savoir avec certitude si un changement de canari résulte d’une décision de justice. Les utilisateurs doivent alors spéculer sur le sens d’un canari manquant ou modifié.

Nous vous conseillons de considérer les canaris de mandat comme des fonctionnalités supplémentaires une fois que vous avez identifié un VPN digne de confiance, plutôt que de rechercher spécifiquement un VPN avec un canari.

La NSA est l’une des agences de renseignement électromagnétique (SIGINT ou ROEM en français) les plus connues, mais presque tous les pays disposent d’agences similaires chargées de la surveillance de masse, souvent en collaboration.

Ces agences se concentrent principalement sur l’application de la loi, la collecte de données et le contre-espionnage via l’interception de signaux électroniques et de communications en ligne.

Les alliances des cinq yeux, des neuf yeux et des quatorze yeux sont parmi les principaux accords internationaux de partage de renseignements, facilitant la coordination des efforts de surveillance entre les pays membres.

Les pays membres de ces alliances figurent parmi les pires juridictions en matière de protection de la vie privée des utilisateurs, car ils sont plus enclins à se conformer aux demandes de surveillance des agences partenaires.

 

Voici une liste des principales entités de surveillance mondiale que vous devez connaître :

1. L’alliance des cinq yeux

 

Les pays de l’alliance des 5 yeux sont les États-Unis, le Royaume-Uni, le Canada, l’Australie et la Nouvelle-Zélande.

Cet accord de partage de renseignements peut être retracé jusqu’à la Seconde Guerre mondiale et le traité UKUSA, qui a été initialement conçu comme un partenariat entre les États-Unis et le Royaume-Uni.

Au cours des dernières décennies, le traité a grandi tant en membres qu’en portée. Les nations membres, connues sous le nom d’alliance des 5 yeux, travaillent désormais ensemble pour collecter, analyser et partager des renseignements à la fois au niveau national et international.

Alors que les pays de l’alliance des 5 yeux se sont engagés à ne pas se surveiller mutuellement en tant qu’adversaires, des documents divulgués par Edward Snowden ont révélé que les nations surveillent les citoyens des autres pays et partagent ces renseignements entre elles.

En plus de partager des données de surveillance entre elles, les pays de l’alliance des 5 yeux travaillent également ensemble pour envoyer et appliquer des avis de conservation des données. Cela signifie qu’une nation peut exercer des pressions sur une autre pour qu’elle remette les journaux des utilisateurs de VPN dans leur juridiction.

Il ne devrait pas être surprenant qu’un grand nombre des pays de l’alliance des cinq yeux figurent parmi les pires abuseurs de la confidentialité numérique.

Si vous êtes préoccupé par votre confidentialité lors de l’utilisation d’un VPN, les pays de l’alliance des 5 yeux sont considérés comme les pires juridictions VPN qui soient.

Système de surveillance ECHELON

Les nations de l’alliance des 5 yeux utilisent ECHELON, un réseau de stations d’espionnage conçu pour la surveillance mondiale et la collecte de données.

ECHELON peut intercepter les données envoyées par téléphone, fax et ordinateurs. Les stations ECHELON peuvent suivre les comptes bancaires et même intercepter les données envoyées et reçues par des relais satellites. Toutes ces données sont stockées dans d’importantes bases de données qui peuvent conserver des millions de dossiers sur les individus.

Bien que les preuves s’accumulent depuis près de 30 ans, les États-Unis nient toujours l’existence d’ECHELON, tandis que le gouvernement britannique a toujours été évasif.

Malgré ces dénégations, divers lanceurs d’alerte ont confirmé la vérité en documentant certains aspects du projet ECHELON.

2. L’alliance des neuf yeux

 

L’alliance des 9 yeux est une extension de l’alliance des 5 yeux. Elle regroupe un groupe plus important de pays qui coopèrent également pour partager des renseignements. Cela comprend tous les pays de l’alliance des 5 yeux ainsi que la France, le Danemark, la Norvège et les Pays-Bas.

L’existence de l’alliance des 9 yeux est devenue bien connue suite aux révélations d’Edward Snowden en 2013. Il s’agit essentiellement d’une extension de l’accord des 5 yeux qui coopère pour recueillir et distribuer des données de surveillance de masse.

Bien que les quatre nations supplémentaires n’aient pas de programmes de surveillance domestique aussi étendus que les États-Unis, le Royaume-Uni ou l’Australie, elles coopèrent néanmoins entre elles et avec les cinq pays de l’alliance originale.

L’alliance des 9 yeux est un arrangement entre les entités SIGINT et n’est pas officialisée par aucun traité formel.

3. L’alliance des 14 yeux

 

L’alliance des 14 yeux comprend tous les membres de l’alliance des 9 yeux ainsi que l’Allemagne, la Belgique, l’Italie, la Suède et l’Espagne.

Le nom officiel de l’alliance des 14 yeux est SIGINT Seniors of Europe (SSEUR), qui existe sous diverses formes depuis 1982. Conçue à l’origine pour l’échange de renseignements militaires, elle s’est élargie aux informations de surveillance des citoyens.

La réunion des SIGINT Seniors a lieu chaque année et est fréquentée par les dirigeants des agences SIGINT, y compris le BND, la NSA, la DGSE, le GCHQ et plus encore. Ces réunions offrent un espace pour les responsables mondiaux du renseignement de discuter de la coopération et du développement.

Les SIGINT Seniors of Pacific est une entité similaire qui a été créée en 2005. Les États membres comprennent tous les pays de l’alliance des 5 yeux ainsi que l’Inde, la France, Singapour, la Thaïlande et la Corée du Sud.

D’autres pays notables, dont Israël et le Japon, sont également soupçonnés de travailler en étroite collaboration avec l’alliance des 14 yeux et la NSA.

4. L’Union européenne (UE)

 

L’UE regroupe des nations européennes souveraines. Bien qu’elle soit moins intrusive que les alliances des cinq, neuf et quatorze yeux, les États membres de l’UE participent à des accords de partage de données, ce qui peut compromettre la vie privée.

En 2009, la Cour constitutionnelle de Roumanie a jugé que les exigences de l’UE portaient atteinte aux droits à la vie privée des citoyens, faisant ainsi de ce pays un véritable paradis pour les utilisateurs de données. Cela explique pourquoi des services VPN comme CyberGhost y ont choisi de s’implanter.

Certains pays de l’UE privilégient davantage la protection de la vie privée que d’autres. Toutefois, de nombreux États collaborent avec les autorités des Cinq Yeux ou du SSEUR et partagent leurs données. C’est un aspect essentiel à considérer lors du choix d’un VPN basé dans une juridiction de l’UE.

5. L’Organisation de coopération de Shanghai (OCS)

 

L’Organisation de coopération de Shanghai (OCS), également connue sous le nom de Pacte de Shanghai, est une alliance politique et économique eurasienne entre la Russie, la Chine, le Pakistan, l’Inde, le Kazakhstan, le Kirghizistan, l’Ouzbékistan et le Tadjikistan.

L’OCS est principalement axée sur la sécurité nationale de ses membres et lutte généralement contre l’extrémisme sous ses diverses formes.

Récemment, l’OCS a renforcé sa coopération militaire, le partage de renseignements et la lutte contre le terrorisme. Les pays membres pourraient bien collecter et partager des données comme le font les alliances de renseignement occidentales.

6. Les pays à forte censure

 

Certains pays interdisent l’utilisation des VPN et portent atteinte à la vie privée de leurs citoyens sans tenir compte des accords internationaux.

Les pays les plus contrôlés en matière d’Internet sont la Chine, les Émirats arabes unis, la Turquie, la Russie, Oman, l’Irak et le Belarus, bien que cette liste soit loin d’être exhaustive.

Bien qu’il soit peu probable que vous trouviez un VPN ou un serveur VPN physiquement basé dans l’un de ces pays, cela vaut la peine d’être vigilant. Nous avons trouvé de nombreux VPN ayant des liens avec des entreprises chinoises douteuses lors de notre enquête sur la propriété chinoise des applications VPN gratuites.

Les juridictions ayant des liens étroits avec ces gouvernements, comme Hong Kong, doivent également être évitées si vous êtes préoccupé par la confidentialité de vos données.

Pour en savoir plus sur la légalité des VPN et les restrictions relatives à leur utilisation, vous pouvez consulter notre guide consacré aux lois sur les VPN.

Nous avons vérifié les politiques de confidentialité des services VPN les plus populaires sur le marché. Nous avons constaté qu’un nombre significatif de fournisseurs VPN sont basés dans des juridictions susceptibles de mettre en danger les données des utilisateurs.

Le tableau ci-dessous présente les 80 services VPN que nous avons analysés, en précisant leur juridiction et la présence d’un canari de mandat. Si le canari de mandat n’est plus à jour et suspecté d’avoir été déclenché, il est indiqué en rouge.