Rapports de transparence ExpressVPN : ce qu’ils contiennent
Depuis le second semestre 2023, ExpressVPN publie deux fois par an un rapport de transparence. Ces documents recensent les demandes d’accès aux données reçues par leur service juridique sur une période de six mois. Cette page centralise l’ensemble de ces rapports et propose une lecture sobre de ce qu’ils signifient, et de ce qu’ils ne couvrent pas.
Dernier rapport en date : juillet–décembre 2025
Publié le 12 février 2026, ce rapport couvre le second semestre 2025. ExpressVPN y distingue trois catégories de demandes : les requêtes DMCA liées au droit d’auteur, les demandes émanant d’autorités ou de plaignants civils, et les mandats judiciaires, désormais listés séparément depuis ce rapport.
Sur cette période, ExpressVPN a reçu 1 382 986 requêtes DMCA, 155 demandes légales et civiles, et 3 mandats judiciaires. Aucune de ces demandes n’a abouti à la divulgation de données utilisateur.
Sur le volume de requêtes DMCA
Le chiffre de 1,38 million peut sembler impressionnant. Il reflète en réalité le fonctionnement des systèmes automatisés de détection de copyright, qui envoient des notifications en masse à tous les fournisseurs d’accès et de services concernés. Ce n’est pas un indicateur spécifique à ExpressVPN, c’est la réalité industrielle de ce type de notifications, dont le volume ne cesse d’augmenter d’année en année chez l’ensemble des acteurs du secteur.
Sur les mandats judiciaires
Leur inscription dans une catégorie distincte est une bonne pratique. Un mandat a une portée légale différente d’une simple demande administrative, et les isoler permet une lecture plus précise de la nature des sollicitations reçues. C’est le genre de détail qui distingue un rapport sérieux d’un simple document de communication.
Pourquoi aucune donnée n’est divulguée
Les serveurs d’ExpressVPN fonctionnent exclusivement sur RAM, aucune donnée n’est écrite sur disque, et tout est effacé à chaque redémarrage. Concrètement, même s’ils voulaient répondre à une demande, ils n’auraient rien à fournir : c’est le principe d’un VPN no logs. Cette infrastructure, baptisée TrustedServer, a été auditée indépendamment par PwC.
Le programme de bug bounty
Le rapport H2 2025 inclut également les résultats du programme de bug bounty d’ExpressVPN, géré via la plateforme YesWeHack. Le principe : des chercheurs en sécurité indépendants testent les applications, l’infrastructure et le protocole VPN, et sont rémunérés pour chaque vulnérabilité valide qu’ils remontent.
Sur le second semestre 2025, ExpressVPN a reçu 143 soumissions, dont 120 uniques. 14 rapports ont mis en évidence des failles de sécurité réelles, toutes ont été corrigées. Les autres soumissions n’ont pas révélé de vulnérabilités exploitables, mais ont contribué à tester des configurations et à confirmer que certaines protections critiques résistaient à l’examen.
C’est un indicateur utile à lire en parallèle des données juridiques : il documente non pas ce qu’on leur demande, mais ce qu’ils font activement pour identifier et corriger leurs propres failles avant que quelqu’un d’autre ne les exploite.
Historique de tous les rapports publiés
ExpressVPN publie ces données sur son Trust Center, mis à jour à chaque nouveau rapport. Le tableau ci-dessous consolide l’ensemble des semestres disponibles.
| Période | Demandes légales & civiles | DMCA | Mandats | Divulgation |
|---|---|---|---|---|
| H2 2025 Nouveau | 155 | 1 382 986 | 3 | 0 |
| H1 2025 | 374 | 1 063 598 | 0 | 0 |
| H2 2024 | 163 | 807 788 | 1 | 0 |
| H1 2024 | 170 | 259 561 | 2 | 0 |
| H2 2023 | Premier rapport — données disponibles sur le Trust Center | 0 | ||
La progression des requêtes DMCA sur deux ans est notable : de 259 000 au premier semestre 2024 à près de 1,4 million au second semestre 2025. Cette tendance est cohérente avec l’industrialisation des notifications automatiques par les ayants droit, elle ne dit rien de particulier sur ExpressVPN.
Ce que ces rapports ne couvrent pas
Un rapport de transparence recense les demandes formelles reçues par le service juridique. ExpressVPN précise que depuis le rapport H1 2025, les National Security Letters et gag orders sont inclus dans la catégorie « demandes légales et civiles », une précision utile, qui mérite d’être notée.
Par ailleurs, le rapport de transparence est un document parmi d’autres. Ce qui lui donne du poids, c’est le contexte dans lequel il s’inscrit : ExpressVPN a publié à ce jour plus de 23 audits VPN indépendants (Cure53, KPMG, PwC, F-Secure, Praetorian), couvrant les applications, le protocole Lightway, TrustedServer et les extensions navigateur. Le dernier audit KPMG de la politique no-logs date de juin 2025. ExpressVPN a également obtenu en 2025 les certifications ISO 27001 et ISO 9001.
Un rapport de transparence publié sans infrastructure de vérification autour n’aurait pas la même valeur. Ce n’est pas le cas ici.
A propos de l'auteur : Lisa
Fondatrice de VPN Mon Ami
Experte en cybersécurité avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.
Note de transparence :
Cet article n'est pas sponsorisé. Il traite simplement d'un sujet d'actualité pertinent dans le domaine de la protection des données.
Si vous décidez d’essayer un service via le lien fourni, l’équipe recevra une petite commission sans frais supplémentaires pour vous. Cette commission nous permet de continuer à fournir du contenu de qualité et à maintenir ce site indépendant sans bannières publicitaires intrusives, pour une lecture plus agréable sans suivi.
Soyez assuré que notre analyse et nos opinions sont objectifs et basées sur nos recherches et notre expérience dans le domaine de la cybersécurité. Nous sommes indépendants.
