Mullvad conserve-t-il des logs ?
Mullvad est-il vraiment no-logs ? Analyse de sa politique de confidentialité
Mullvad déclare ne conserver aucune donnée relative à l’activité de navigation de ses utilisateurs, sites consultés, trafic, historique de connexion. Mullvad est basé en Suède, c’est donc un VPN 14 yeux. L’essentiel ne tient pas seulement à la juridiction, mais aux données que le fournisseur conserve réellement et à ce que des audits indépendants permettent d’en vérifier. Découvrez en détail la politique de confidentialité de Mullvad VPN et ce qu’elle implique concrètement pour votre vie privée.
⚠️ Cette page est une synthèse factuelle à visée informative, basée sur la politique de confidentialité officielle de Mullvad consultée le 9 mars 2026. Elle ne constitue pas un avis juridique. Seul le document officiel fait foi.
Cette analyse est produite sans aucun intérêt commercial lié au fournisseur.
Politique de confidentialité de Mullvad : Sommaire
- Fonctionnalité de Mullvad en bref
- Politique de confidentialité de Mullvad : Inscription et absence de données personnelles
- Traitement des logs chez Mullvad
- Paiements : ce que Mullvad conserve selon le mode choisi
- Maintenance et diagnostic
- Audits indépendants de Mullvad
- Juridiction suédoise et demandes des autorités
- Durée de conservation des données par Mullvad
Une précision utile avant d’aller plus loin :
Mullvad n’est pas, selon nous, un VPN pensé pour tout le monde. Le streaming n’est pas sa vocation première, et eux-mêmes ne le prétendent pas. Le rapport qualité-prix sur deux ans ne joue pas en sa faveur non plus. Et le support est proposé uniquement en anglais. Ce service s’adresse avant tout à des personnes qui ont déjà décidé que la confidentialité était leur critère numéro un, et qui veulent comprendre ce que ça signifie concrètement. Notre test complet de Mullvad vous donnera une vision plus large si vous hésitez encore.
Fonctionnalités de Mullvad VPN
- Compte numéroté sans email, sans nom, sans mot de passe
- 5 appareils simultanés
- Support technique
- Bloqueur de publicités
- Split tunneling
- 696 serveurs répartis sur 50 pays
- Accès anonyme et sécurisé à Tor
- Serveur DNS personnalisé
- Multihopping
- Proxy Shadowsocks
- 5 € par mois, sans engagement, sans abonnement longue durée
- Protocole WireGuard (OpenVPN supprimé par Mullvad en janvier 2026)
- Kill switch
- Paiement en espèces accepté (courrier postal)
- Paiement en cryptomonnaies (Bitcoin, Bitcoin Cash, Monero)
- Code source ouvert (GitHub)
Compatible
Politique de confidentialité de Mullvad : Inscription et absence de données personnelles
La création d’un compte Mullvad ne requiert aucune information personnelle. Aucun nom, aucune adresse email, aucun mot de passe ne sont demandés. Un numéro de compte à 16 chiffres est généré aléatoirement, c’est le seul identifiant nécessaire pour utiliser le service.
L’architecture est conçue pour minimiser la collecte à la source : sans email ni nom saisi, ces données n’existent tout simplement pas dans les systèmes de Mullvad. Le même compte peut être utilisé par plusieurs personnes. Sur la base des seules données que Mullvad conserve, le numéro de compte ne permet pas d’identifier directement une personne réelle.
Les données stockées pour un compte sont le numéro de compte et la date d’expiration. En cas d’utilisation de WireGuard, une clé publique et une adresse de tunnel sont également associées au compte pour permettre le fonctionnement du protocole. Cela ne rattache pas, en soi, le compte à une identité civile, puisque Mullvad ne demande ni nom ni email à l’inscription.
Traitement des logs chez Mullvad
Mullvad déclare ne conserver aucune donnée permettant d’associer une activité réseau à un compte ou à une personne. Ces déclarations ont fait l’objet de vérifications indépendantes répétées, on y revient plus bas.
| Donnée | Conservée ? |
|---|---|
| Adresse IP d'origine | Non (déclaré par Mullvad, politique auditée de manière indépendante) |
| Pages visitées | Non (déclaré par Mullvad) |
| Requêtes DNS | Non (déclaré par Mullvad) |
| Horodatage de connexion | Non (déclaré par Mullvad) |
| Bande passante par utilisateur | Non (déclaré par Mullvad) |
| Trafic réseau | Non (déclaré par Mullvad) |
| Connexions simultanées par compte | Mémoire temporaire uniquement, non stocké sur disque* |
| Logs serveurs web (Nginx) | Conservés 5 minutes maximum, sans IP, puis agrégat uniquement** |
* Mullvad limite les connexions simultanées à 5 par compte. Cette vérification s’effectue en mémoire temporaire sur les serveurs VPN : le serveur interroge un service central, la validation est réalisée, aucune information n’est ensuite stockée sur disque.
** Format des logs Nginx conservés pendant 5 minutes : $server_name [$time_local] $request $status, sans adresse IP. Passé ce délai, seul un agrégat du nombre de requêtes et de leurs codes de réponse est conservé.
En clair : Mullvad ne se contente pas d’affirmer qu’il ne conserve pas de logs d’activité. Sa politique décrit aussi quelles données existent malgré tout, notamment côté paiement, support et administration du service.
Paiements : ce que Mullvad conserve selon le mode choisi
C’est surtout au moment du paiement, et, séparément, en cas de contact avec le support, que des données personnelles peuvent être traitées par Mullvad. Le niveau d’anonymat varie significativement selon le mode de paiement choisi.
Espèces (courrier postal)
L’enveloppe est ouverte, le montant crédité sur le compte, puis l’enveloppe et son contenu sont détruits. Mullvad ne conserve que le montant, la devise et l’horodatage. Aucun lien entre l’expéditeur et le compte n’est possible. Mullvad indique que le RGPD ne s’applique pas dans ce cas, les données de l’enveloppe n’étant pas destinées à former un fichier.
Cryptomonnaies (Bitcoin, Bitcoin Cash, Monero)
Mullvad opère ses propres nœuds complets, sans tiers. Pour Bitcoin et Bitcoin Cash : montant, devise, horodatage tronqué à la date après 20 jours, adresse de réception supprimée après 20 jours.
Pour Monero : le hash de transaction est conservé au-delà de 20 jours afin d’éviter les doubles crédits.
Carte bancaire (Stripe), PayPal, Swish, virement bancaire
Ces modes de paiement impliquent des prestataires tiers (Stripe, PayPal, SEB). Ces tiers conservent leurs propres enregistrements indépendamment de Mullvad. L’identifiant de transaction est supprimé après 20 jours chez Mullvad. La partie horaire de l’horodatage (hh:mm:ss) est également supprimée après 20 jours, seule la date reste. Les données comptables sont conservées conformément à la loi comptable suédoise, soit jusqu’à 7 ans à compter de la fin de l’exercice fiscal.
Pour les paiements via PayPal et Stripe, Mullvad indique transmettre un token temporaire plutôt que le numéro de compte. Ce token n’est plus rattachable au compte après 20 jours. En revanche, en cas de virement bancaire, le numéro de compte peut apparaître dans le champ message de la transaction.
Un point que peu de gens formulent clairement : si vous payez Mullvad par carte bancaire, votre banque sait que vous utilisez ce service. Mullvad, lui, ne sait pas qui vous êtes. Ce n’est pas un problème en soi, mais c’est un paradoxe réel que beaucoup d’utilisateurs qui cherchent l’anonymat n’anticipent pas. Le niveau de confidentialité que vous obtenez dépend autant de vos choix à vous que de la politique de Mullvad.
Politique de confidentialité de Mullvad VPN : Maintenance et diagnostic
Des données techniques agrégées sont collectées sur les serveurs de Mullvad : nombre total de connexions VPN actives et métriques système génériques (charge CPU, bande passante totale par serveur). Ces données servent à surveiller la santé des serveurs, détecter des attaques et identifier des anomalies. Elles ne contiennent aucune information permettant d’identifier un utilisateur ou un compte spécifique.
L’application effectue automatiquement des vérifications de version afin d’informer l’utilisateur en cas de version vulnérable connue. Ces vérifications transmettent uniquement le numéro de version de l’application et la version du système d’exploitation. Aucun identifiant utilisateur n’est transmis.
Mullvad indique ne pas recourir à des outils tiers de statistiques d’usage comme Google Analytics.
Audits indépendants de Mullvad
Mullvad publie systématiquement les rapports d’audit de ses prestataires de sécurité. Les audits ci-dessous couvrent différents périmètres : infrastructure, applications et services. Voici les audits publiés à la date de consultation.
Infrastructure VPN
- 2018 : Assured AB + Cure53 : premier audit infrastructure
- 2020 : Cure53 : deuxième audit infrastructure
- 2022 : Radically Open Security : troisième audit infrastructure
- 2024 (juin): Cure53 : quatrième audit infrastructure (OpenVPN + WireGuard®). Conclusion publiée : aucune méthode permettant de compromettre l’anonymat du trafic VPN n’a été identifiée.
Application et services
- 2024 (décembre) : X41 D-Sec : audit de l’application VPN. Niveau de sécurité élevé constaté, problèmes non critiques corrigés.
- 2025 (février) : NCC Group : évaluation MASA de l’application Android.
- 2026 (janvier) : X41 D-Sec : audit des services de compte et de paiement.
Application web et protocoles
- 2025 (octobre) : Assured AB : audit de la web app. Aucun problème critique, élevé ou moyen identifié. Un problème de faible sévérité corrigé.
- 2026 (mars) : Assured Security Consultants : audit de GotaTun, l’implémentation WireGuard® utilisée sur Android.
Les rapports complets sont publiés sur le blog de Mullvad et dans le dépôt GitHub public du projet.
Aucun audit VPN indépendant ne constitue une garantie permanente : il atteste d’un état observé à une date et dans un périmètre donnés.
La confidentialité au-delà de Mullvad : juridiction suédoise et demandes des autorités
Mullvad est basé en Suède, pays membre des 14 yeux. L’appartenance de la Suède aux 14 yeux ne suffit pas, à elle seule, à dire ce qu’un fournisseur VPN peut réellement livrer aux autorités.
La Suède ne dispose pas de loi imposant aux fournisseurs VPN une obligation de rétention des données. Mullvad n’est pas considéré comme un opérateur de communications électroniques au sens de la loi suédoise sur les communications électroniques (LEK) : les autorités ne peuvent donc pas utiliser la LEK ni la loi IHL pour lui demander des données utilisateurs.
La voie légale restante est la saisie physique, encadrée par le code de procédure judiciaire suédois (RB). Ce mécanisme a été mis à l’épreuve directement.
Perquisition du 18 avril 2023 : six officiers de la police suédoise se sont présentés au siège de Mullvad avec un mandat visant des données clients. Mullvad a démontré que ces données n’existaient pas. Les officiers sont repartis sans aucune saisie. Détail de l’incident
Mullvad ne publie pas de rapport de transparence au sens strict, mais communique publiquement sur certains incidents impliquant des demandes d’autorités.
Durée de conservation des données par Mullvad
Données de compte : numéro de compte et date d’expiration uniquement : conservés tant que le compte existe.
Mullvad se réserve le droit de modifier sa politique de confidentialité et s’engage à publier les nouvelles versions sur son site. Pour consulter le document officiel en vigueur, rendez-vous directement sur la politique de confidentialité officielle de Mullvad et la politique de non-conservation des logs.
Conclusion
La politique de confidentialité de Mullvad VPN se distingue par un engagement fort : ne rien conserver ou presque. Malgré une juridiction appartenant à une alliance 14 yeux, l’approche technique, la limitation volontaire des données, et la transparence législative font de Mullvad VPN un service rare dans sa catégorie en matière de vie privée numérique. Bien entendu, comme toujours, il reste essentiel d’adopter une bonne hygiène numérique pour maximiser les bénéfices d’un tel service.