Note de l’éditeur : cet article a été mis à jour pour présenter le dernier audit de notre politique de non-journalisation (no log) réalisé par Securitum. Les liens vers tous nos audits de politique de non-journalisation sont inclus.
Nous sommes ravis d’annoncer que Proton VPN a passé avec succès un cinquième audit annuel consécutif mené par un tiers sur notre infrastructure, lequel confirme notre politique stricte de non-journalisation (no log). Lorsque nous affirmons être un VPN sans journaux, ce n’est pas une simple déclaration : cela a été vérifié par des experts indépendants.
Bon nombre de nos concurrents n’ont jamais fait l’objet d’un audit indépendant ou ont procédé à un tour de passe-passe, en faisant auditer leur politique de confidentialité plutôt que leur infrastructure réelle de non-journalisation. Et même lorsque leurs affirmations de non-journalisation ont été vérifiées de manière indépendante par un audit, beaucoup ne publient pas les résultats, exigent que vous signiez un accord de non-divulgation pour y accéder, les réservent aux clients payants, ou en compliquent la lecture.
À l’inverse, Proton VPN publie ouvertement le rapport complet de non-journalisation afin que tout le monde puisse le lire. En tant qu’organisation fondée par des scientifiques qui se sont rencontrés au CERN, nous croyons à l’évaluation par les pairs et à la transparence. C’est également pourquoi nous proposons toutes nos applications en open source, afin que chacun puisse examiner notre code.
Bien sûr, nous comprenons que tout le monde n’a pas le temps ou les compétences pour inspecter le code soi-même. C’est pourquoi, en plus de nos audits internes, nous soumettons régulièrement nos applications à des audits de sécurité tiers(nouvelle fenêtre) et rendons les résultats publics. De cette façon, tout le monde peut obtenir l’avis d’un expert indépendant sur la sécurité de nos applications.
Lors du dernier audit de sécurité de toutes les applications Proton(nouvelle fenêtre), des experts en sécurité de Securitum(nouvelle fenêtre), une entreprise européenne de premier plan spécialisée dans l’audit de sécurité, qui supervise chaque année plus de 300 projets de tests de sécurité pour de grandes entreprises et des banques, n’ont découvert aucun problème de sécurité majeur. Cela montre que les audits internes de Proton et notre culture de développement de logiciels sécurisés sont efficaces. Et parce que le code de nos applications est entièrement open source, notre sécurité est renforcée par notre programme de recherche de bugs(nouvelle fenêtre), qui réunit des experts en sécurité du monde entier pour contrôler nos applications.
Cependant, avec un service VPN, il est également important de vérifier ce qui se passe du côté serveur, et pas seulement du côté application.
Pourquoi il est important de vérifier la politique de non-journalisation (no log) d’un VPN
Lorsque vous vous connectez à un VPN, il devient effectivement votre fournisseur internet, ce qui signifie que tout fournisseur VPN est techniquement capable de pister et de journaliser ce que vous faites en ligne. Bien que de nombreux VPN prétendent avoir des politiques de non-journalisation, ces politiques ne tiennent pas toujours la route lorsqu’elles sont mises à l’épreuve.
La politique stricte de non-journalisation (no log) de Proton VPN a été mise à l’épreuve dans plus de 400 affaires juridiques à ce jour. Nous avons reçu l’ordre de fournir des journaux d’activité pour aider à identifier nos utilisateurs, mais nous n’avons pas pu nous y conformer car ces journaux n’existaient pas.
La juridiction suisse de Proton VPN confère également des avantages supplémentaires pour les services VPN. Par exemple, dans le cadre juridique suisse actuel, Proton VPN n’est soumis à aucune obligation de journalisation. Néanmoins, il reste possible qu’une mauvaise configuration du serveur ou une architecture système défaillante entraîne l’enregistrement accidentel de journaux.
Pour y remédier, nous avons demandé à Securitum de procéder régulièrement à des examens approfondis de notre infrastructure et de nos opérations côté serveur. Chaque année, des experts en sécurité de Securitum passent plusieurs jours sur place pour examiner nos fichiers de configuration VPN et nos configurations de serveurs, évaluer nos procédures d’exploitation et interroger notre personnel. Leurs audits annuels sont approfondis et vérifient les points suivants :
- L’activité de l’utilisateur est-elle pistée ou journalisée sur les serveurs VPN de production qui gèrent le trafic utilisateur ?
- Les métadonnées de connexion, telles que les requêtes DNS ou les horodatages de session, sont-elles journalisées sur les serveurs VPN ?
- Le trafic réseau de l’utilisateur est-il activement inspecté, ou son contenu est-il journalisé sur les serveurs VPN ?
- Des informations sont-elles surveillées ou journalisées concernant les services spécifiques (par ex., sites internet, serveurs externes) auxquels un utilisateur se connecte ?
- Des journaux agrégés sont-ils maintenus qui corrèlent les services accédés (par ex., sites internet, serveurs) avec le serveur VPN spécifique utilisé ?
- La politique de non-journalisation (no log) est-elle appliquée de manière uniforme sur tous les serveurs, dans toutes les régions géographiques et à tous les niveaux d’abonnement des utilisateurs ?
- Un processus automatisé est-il en place pour détecter et générer des alertes en cas de modifications non autorisées de la configuration susceptibles d’activer la journalisation (par exemple, le passage d’un paramètre « log » de false à true) ?
- Un processus formel de gestion des changements, intégrant un principe de double contrôle (règle des quatre yeux), est-il appliqué pour toutes les modifications autorisées des configurations liées à la journalisation ?
- Les fichiers de configuration actifs pour les services VPN principaux contiennent-ils des directives de journalisation activées ?
- Des informations sont-elles journalisées qui associent un utilisateur spécifique à un serveur VPN spécifique auquel il est connecté ?
Les rapports qui en résultent confirment que nous ne conservons aucun journal de métadonnées, ne journalisons pas votre activité VPN et ne nous engageons dans aucune pratique susceptible de compromettre votre vie privée. Les rapports confirment également que l’ajout par Proton VPN de nouvelles fonctionnalités à notre service n’impacte en rien notre politique stricte de non-journalisation (no log). Comme le conclut le dernier rapport (2026) :
« Les preuves techniques examinées au cours de la mission n’ont pas indiqué que l’infrastructure de serveurs Proton VPN analysée journalise l’activité de navigation des utilisateurs, les requêtes DNS, les services de destination, le contenu du trafic réseau ou les métadonnées de connexion permettant d’identifier les utilisateurs. Securitum n’a pas non plus identifié d’enregistrements persistants qui permettraient à Proton d’associer un utilisateur spécifique à une activité effectuée via un serveur VPN examiné. »
Vous pouvez lire le rapport complet le plus récent de Securitum ci-dessous :
Conformément aux recommandations de Securitum, il s’agit du cinquième audit annuel consécutif de notre politique de non-journalisation. Vous pouvez également lire nos précédents audits de non-journalisation réalisés par Securitum :
- Audit de non-journalisation Proton VPN 2025(nouvelle fenêtre)
- Audit de non-journalisation Proton VPN 2024(nouvelle fenêtre)
- Audit de non-journalisation Proton VPN 2023(nouvelle fenêtre)
- Audit de non-journalisation Proton VPN 2022(nouvelle fenêtre)
La confiance par la transparence
Chez Proton, nous pensons que toutes les affirmations doivent être étudiées et vérifiées, y compris les nôtres. À l’avenir, nous continuerons d’effectuer des audits de sécurité réguliers et de publier les résultats afin que vous puissiez lire le rapport d’un professionnel de la sécurité indépendant avant de nous confier vos données.
Si vous êtes chercheur en sécurité, nous vous invitons également à soutenir la sécurité chez Proton via notre programme de recherche de bugs(nouvelle fenêtre) qui offre des primes généreuses à quiconque peut identifier des vulnérabilités dans nos services open source.
Inscrivez-vous à Proton VPN(nouvelle fenêtre) pour obtenir un VPN transparent, open source et entièrement audité sans journaux qui respecte votre vie privée






