X et vie privée : ce que le réseau social peut vraiment collecter en 2026

X et vie privée : ce que le réseau social peut vraiment collecter en 2026

X, anciennement Twitter, n’est plus seulement un réseau social où l’on publie des messages courts. C’est une plateforme de contenus, de messagerie, de vidéo, de publicité, de paiement, de profils professionnels, d’identification et désormais d’intelligence artificielle. Cette évolution change la manière dont il faut lire sa politique de confidentialité.

Quelles données X peut-il associer à votre compte, à votre appareil, à vos habitudes et à votre identité probable ?

Et surtout : que pouvez-vous réellement limiter ?

La politique de confidentialité actuelle de X, applicable depuis le 15 janvier 2026, confirme plusieurs catégories sensibles : informations de compte, activité sur la plateforme, adresse IP, données d’appareil, localisation approximative, interactions publicitaires, données issues de partenaires, identité inférée, informations biométriques avec consentement, données professionnelles et usage possible des informations collectées ou publiques pour entraîner des modèles de machine learning ou d’intelligence artificielle.

Un VPN peut réduire une partie de l’exposition réseau, notamment l’adresse IP visible, mais il ne protège pas contre ce que vous publiez, ce que vous aimez, les comptes que vous suivez, les cookies déjà présents, les identifiants d’appareil ou les données que vous fournissez volontairement.

Ce que X collecte quand vous créez un compte

Lorsque vous créez un compte X, vous fournissez au minimum des informations permettant de vous identifier ou de gérer votre accès : nom affiché, nom d’utilisateur, mot de passe, adresse e-mail ou numéro de téléphone, date de naissance, langue d’affichage, et éventuellement informations liées à une connexion via un service tiers. X précise aussi que les informations de profil, comme le nom affiché et le nom d’utilisateur, sont publiques.

Ce premier niveau de collecte paraît classique. Pourtant, il est déjà important pour la vie privée. Une adresse e-mail réutilisée partout, un numéro de téléphone personnel ou un nom d’utilisateur identique sur plusieurs plateformes facilitent les recoupements.

X indique aussi que les comptes professionnels peuvent fournir une catégorie professionnelle, une adresse, un e-mail de contact ou un numéro de téléphone, certains de ces éléments pouvant être publics. Les utilisateurs qui achètent des services payants ou de la publicité fournissent également des informations de paiement.

La donnée la plus visible n’est donc pas toujours la plus sensible. Votre pseudonyme public peut être banal. Votre e-mail, votre numéro, vos habitudes de connexion et vos informations de paiement, eux, peuvent créer un rattachement beaucoup plus durable.
Illustration : Nouvelle politique de confidentialité de X

« Sérieusement, que deviennent mes données ? » – © X Corp.

Données biométriques et informations professionnelles : le point sensible

X indique pouvoir collecter et utiliser des informations biométriques, sur la base du consentement, pour des finalités de sécurité, d’identification et de sûreté.

Il faut être précis ici. Cela ne veut pas dire que X collecte automatiquement le visage ou les empreintes de tous les utilisateurs. Mais cela signifie que la politique prévoit cette possibilité dans certains cas, par exemple pour des fonctionnalités d’identification, de vérification ou de sécurité.

Même prudence pour les données professionnelles. X indique pouvoir collecter et utiliser des informations comme la biographie, l’historique professionnel, l’historique éducatif, les préférences d’emploi, les compétences, les capacités, l’activité de recherche d’emploi ou les interactions liées aux candidatures. Ces données peuvent servir à recommander des opportunités, permettre des candidatures, connecter candidats et employeurs, ou afficher de la publicité plus pertinente.

Ce n’est pas anodin. Une plateforme sociale qui connaît déjà vos opinions publiques, vos interactions, vos centres d’intérêt et votre réseau peut, si vous utilisez aussi des fonctions professionnelles, enrichir fortement votre profil.

Le risque, c’est le croisement.

Ce que X observe quand vous utilisez la plateforme

La partie la plus importante de la politique de confidentialité c’est celle qui concerne votre activité.

X indique collecter des informations sur les contenus que vous publiez, la date, l’application utilisée, la version, votre activité dans les Spaces, vos listes, vos bookmarks, les communautés auxquelles vous appartenez, ainsi que vos interactions avec les contenus : reposts, likes, bookmarks, partages, téléchargements, réponses, mentions, tags, historique d’écoute ou de visionnage, commentaires et réactions.

Autrement dit, même quand vous ne publiez rien, vous produisez des signaux.

Un like, un bookmark, un temps passé sur un contenu, une participation à un Space, une réaction à une publicité ou une consultation répétée d’un même type de sujet peuvent contribuer à construire un profil comportemental.

C’est une erreur fréquente de croire que la vie privée sur un réseau social dépend seulement de ce que l’on poste. En réalité, une grande partie du profilage se construit à partir de ce que l’on consulte, évite, répète, suit, masque ou enregistre.

Messages privés : privés ne veut pas toujours dire invisibles

X distingue les messages chiffrés et les messages directs classiques. Sa politique mentionne la collecte de métadonnées liées aux messages chiffrés, ainsi que, pour les messages directs, les contenus des messages, les destinataires, les dates et heures d’envoi.

C’est un point essentiel pour les utilisateurs : un message privé n’est pas automatiquement un message confidentiel au sens strict.

Un message direct peut être privé vis-à-vis du public, mais cela ne signifie pas qu’il échappe à tout traitement par la plateforme. Et même lorsqu’un chiffrement est proposé, les métadonnées restent souvent révélatrices : qui parle à qui, quand, à quelle fréquence, depuis quel appareil ou dans quel contexte.

Pour les conversations sensibles, les messageries conçues autour du chiffrement de bout en bout restent plus adaptées que les DM d’un réseau social généraliste.

Adresse IP, appareil, cookies : ce que X peut voir techniquement

X collecte des informations sur la connexion et l’appareil : adresse IP, navigateur, système d’exploitation, opérateur, langue, identifiants d’appareil et publicitaires, applications installées, niveau de batterie, carnet d’adresses si vous choisissez de le partager, et localisation approximative.

L’adresse IP permet généralement d’obtenir une localisation approximative et d’associer des connexions à un fournisseur d’accès ou à un réseau. Elle ne donne pas votre adresse exacte à elle seule, mais elle reste un signal technique fort.

X collecte aussi des informations de journalisation lorsque vous consultez ou interagissez avec ses services, même sans compte ou sans être connecté : IP, navigateur, langue, système, page de provenance, heures d’accès, pages visitées, localisation, opérateur mobile, identifiants d’appareil ou d’application, recherches, publicités vues, identifiants générés par X et identifiants associés aux cookies.

Un VPN masque votre adresse IP réelle aux services que vous consultez et à certains intermédiaires réseau. Mais son rôle doit être correctement compris. Si vous êtes connecté à votre compte X, avec les mêmes cookies, le même navigateur, le même appareil et les mêmes habitudes, changer d’adresse IP ne suffit pas à vous rendre méconnaissable.

Identité inférée : le point que beaucoup sous-estiment

La politique de X mentionne explicitement l’identité inférée. X peut associer un navigateur ou un appareil à votre compte lorsque vous vous connectez. Selon vos réglages, la plateforme peut aussi associer votre compte à d’autres navigateurs ou appareils, ou associer un appareil non connecté à d’autres identifiants générés par X.

X indique aussi pouvoir utiliser les informations fournies, comme un e-mail ou un numéro de téléphone, pour inférer d’autres informations sur vous ou votre identité. Par exemple, la politique mentionne l’association possible avec des hachages d’adresses e-mail partageant des composants communs avec l’adresse fournie.

C’est technique, mais très concret : une plateforme moderne ne dépend pas d’un seul identifiant. Elle peut s’appuyer sur une combinaison de signaux : compte, e-mail, numéro, appareil, cookies, IP, comportement, contacts, publicité, partenaires et historique de navigation.

C’est pour cette raison que croire en l’anonymat absolu est dangereux. Un VPN peut casser ou brouiller un signal réseau. Il ne supprime pas tous les autres.

Données venues de partenaires publicitaires et de sites tiers

X ne collecte pas uniquement ce qui se passe sur X. Sa politique indique que des partenaires publicitaires, développeurs et éditeurs peuvent partager des informations avec la plateforme. Ces données peuvent inclure des identifiants de cookies, des identifiants publicitaires mobiles, des adresses e-mail hachées, des informations démographiques ou d’intérêt, ainsi que des contenus consultés ou des actions réalisées sur d’autres sites et applications. Ces informations peuvent être combinées avec les données que X collecte, reçoit, génère ou infère par ailleurs.

La plateforme peut aussi recevoir des informations lorsque vous interagissez avec du contenu X intégré sur des sites tiers, comme une timeline intégrée ou des boutons de partage.

Beaucoup d’utilisateurs pensent à la confidentialité uniquement lorsqu’ils ouvrent l’application. En réalité, l’écosystème publicitaire permet souvent de prolonger l’observation au-delà de la plateforme elle-même.

Là encore, un VPN ne supprime pas les cookies, les pixels, les identifiants publicitaires ou les données déjà transmises par des partenaires.

X, intelligence artificielle et entraînement des modèles

La politique de X indique que l’entreprise peut utiliser les informations collectées ainsi que les informations publiquement disponibles pour aider à entraîner ses modèles de machine learning ou d’intelligence artificielle, dans les objectifs décrits par sa politique.

C’est un sujet à traiter sans exagération. Il ne faut pas écrire que tous vos messages privés sont automatiquement aspirés dans un modèle IA si la politique ne permet pas de l’affirmer précisément. En revanche, il est légitime de dire que les contenus publics et certaines informations collectées peuvent être utilisés dans des systèmes d’amélioration, de recommandation, de personnalisation ou d’entraînement IA.

Pour un utilisateur, la conséquence pratique est simple : ce qui est public sur X doit être considéré comme durablement exploitable. Même supprimé plus tard, un contenu public peut avoir été vu, capturé, indexé, cité, archivé ou réutilisé.

La meilleure protection reste donc la plus ancienne : ne pas publier ce que vous ne voulez pas voir réapparaître ailleurs.

Faut-il quitter X pour protéger sa vie privée ?

Pas forcément. Ce serait une réponse trop simple.

Tout dépend de votre usage.

Si vous utilisez X pour lire l’actualité, suivre quelques comptes et publier peu, vous pouvez réduire une partie de l’exposition avec de bons réglages, un navigateur propre et un VPN.

Si vous utilisez X pour débattre, publier souvent, liker massivement, envoyer des messages, gérer un compte professionnel, postuler, vérifier votre identité ou connecter des services tiers, votre empreinte devient beaucoup plus riche.

Le problème c’est l’accumulation.

Une donnée isolée peut sembler banale. Une adresse IP seule n’est pas toute votre identité. Un like seul ne dit pas tout de vous. Un appareil seul ne suffit pas toujours. Mais l’ensemble peut devenir très parlant : compte, appareil, IP, comportement, contacts, contenus, publicités, partenaires, messages, historique et signaux inférés.

C’est cette logique de combinaison qu’il faut comprendre.

Conclusion : X n’est pas seulement ce que vous publiez

X est une plateforme publique, publicitaire, sociale, technique et algorithmique. Elle ne voit pas seulement vos posts. Elle peut traiter vos interactions, vos appareils, votre adresse IP, votre localisation approximative, vos messages selon leur type, vos signaux publicitaires, vos données issues de partenaires et certaines informations permettant d’inférer votre identité.

Un VPN peut aider à protéger une partie de votre confidentialité réseau, surtout votre adresse IP réelle et votre exposition sur des connexions non fiables. Mais il ne protège pas contre votre comportement, votre compte, vos cookies, vos contenus publics ou les données que vous fournissez vous-même.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.

GrapheneOS : reprendre le contrôle de son smartphone Android

GrapheneOS : reprendre le contrôle de son smartphone Android

GrapheneOS est un système d’exploitation mobile axé sur la confidentialité et la sécurité. Il est basé sur Android Open Source Project, compatible avec de nombreuses applications Android, et développé comme un projet open source à but non lucratif. Le projet existe depuis 2014 et était auparavant connu sous le nom de CopperheadOS.

Son objectif n’est pas de rendre un smartphone “anonyme”, ni de remplacer un VPN, ni de promettre une protection absolue. GrapheneOS cherche plutôt à renforcer les bases du système : sandboxing des applications, modèle de permissions, protections contre l’exploitation de failles, réduction de certaines surfaces d’attaque et meilleur contrôle des accès accordés aux applications.

C’est donc un choix intéressant pour les utilisateurs qui veulent un téléphone Android plus strict sur la sécurité et la vie privée, sans basculer dans une solution expérimentale ou inutilisable au quotidien.

Qu’est-ce que GrapheneOS ?

GrapheneOS est un système mobile privé et sécurisé, conçu pour fonctionner sur des appareils compatibles avec ses exigences matérielles. Historiquement, le projet s’est concentré sur les Google Pixel, car ces appareils répondaient mieux à ses critères de sécurité : mises à jour rapides, démarrage vérifié, sécurité matérielle, support du chiffrement et des mécanismes nouvelle génération de protection.

découvrer GrapheneOS

À ce jour, GrapheneOS reste très sélectif (peut être un peu trop) sur les appareils pris en charge. Ce n’est pas un système que l’on installe sur n’importe quel smartphone Android. Le projet préfère limiter la compatibilité plutôt que d’affaiblir son modèle de sécurité.

Un partenariat avec Motorola a été annoncé en mars 2026, ce qui pourrait ouvrir la voie à de futurs appareils compatibles au-delà des Pixel. Mais il faut rester prudent : cela ne signifie pas que les smartphones Motorola actuels sont automatiquement compatibles avec GrapheneOS.

Ce que GrapheneOS change vraiment

GrapheneOS ne se contente pas de retirer quelques applications Google. Son intérêt vient surtout du renforcement du système lui-même.

Parmi les fonctions importantes, on trouve notamment :

  • une sandbox renforcée pour limiter ce qu’une application peut faire ;
  • une permission réseau permettant de couper l’accès Internet d’une application ;
  • une permission capteurs pour limiter l’accès aux capteurs du téléphone ;
  • des profils utilisateurs mieux isolés ;
  • Vanadium, un navigateur et WebView durcis basés sur Chromium ;
  • des restrictions lorsque l’appareil est verrouillé ;
  • des sauvegardes chiffrées ;
  • une meilleure gestion des accès aux fichiers et aux données.

Ce sont des protections utiles, mais elles ne remplacent pas une bonne hygiène de vie numérique : installer peu d’applications, éviter les APK douteux, maintenir le téléphone à jour, utiliser un bon gestionnaire de mots de passe, activer un code solide et comprendre ce que l’on autorise.

GrapheneOS est-il vraiment sans Google ?

Par défaut, GrapheneOS n’inclut pas les services Google Play, ni les applications Google. C’est une différence importante avec Android tel qu’il est livré sur la plupart des smartphones.

Mais GrapheneOS ne force pas non plus l’utilisateur à vivre sans Google. Il permet d’installer les services Google Play officiels dans une sandbox, comme des applications ordinaires, sans les privilèges système qu’ils possèdent habituellement sur Android classique.

C’est un point essentiel : GrapheneOS n’est pas un “Android sans Google”. C’est plutôt Android avec un modèle plus strict, où Google Play peut être utilisé si nécessaire, mais avec moins d’intégration profonde dans le système.

Pour un usage quotidien, cela permet de garder une bonne compatibilité avec de nombreuses applications, tout en évitant que les services Google soient intégrés au cœur de l’OS.

Les applications Android fonctionnent-elles sur GrapheneOS ?

Dans beaucoup de cas, oui. GrapheneOS est compatible avec les applications Android, et l’installation des services Google Play sandboxés améliore fortement la compatibilité avec les applications qui en dépendent.

Mais il faut être honnête : tout ne fonctionne pas toujours comme sur un Android classique.

Certaines applications bancaires, certaines fonctions liées à Android Auto, le RCS ou des services très dépendants de Google peuvent nécessiter des réglages particuliers, ou ne pas fonctionner parfaitement selon les cas. GrapheneOS documente d’ailleurs ces limites dans son guide d’utilisation

Avant d’installer GrapheneOS sur son téléphone principal, il est donc préférable de vérifier les applications indispensables : banque, identité numérique, transport, messagerie professionnelle, authentification, domotique, voiture connectée, applications scolaires ou administratives. De nombreux VPN gratuit pour Android comme Proton, fonctionne sur GrapheneOS.

À qui s’adresse GrapheneOS ?

GrapheneOS peut être un excellent choix pour :

  • les utilisateurs qui veulent limiter leur dépendance aux services Google ;
  • les personnes sensibles à la confidentialité des données mobile ;
  • les journalistes, indépendants, chercheurs, militants ou professionnels exposés ;
  • les utilisateurs Android avancés qui acceptent quelques compromis ;
  • ceux qui veulent un smartphone plus strict, mais encore utilisable au quotidien.

En revanche, ce n’est pas forcément le meilleur choix pour quelqu’un qui veut simplement “un téléphone qui marche sans se poser de questions”. GrapheneOS demande un minimum de compréhension : choix des profils, installation éventuelle des services Google Play sandboxés, vérification des applications critiques, gestion des permissions.

Comment installer GrapheneOS ?

GrapheneOS propose deux méthodes officielles : un installateur WebUSB recommandé pour la plupart des utilisateurs, et une installation en ligne de commande pour les profils plus techniques. Le projet recommande d’utiliser uniquement ses méthodes officielles, car les guides tiers peuvent vite devenir obsolètes ou contenir de mauvais conseils.

Attention, si vous voulez installer GrapheneOS, partez toujours de la documentation officielle. Ce type d’installation touche au système du téléphone, au bootloader et à la chaîne de confiance. Un mauvais tutoriel peut vous faire perdre du temps, voire affaiblir ce que vous cherchiez justement à renforcer.

GrapheneOS remplace-t-il un VPN ?

Non. GrapheneOS et un VPN ne répondent pas au même problème. (voir : Qu’est-ce qu’un VPN ?)

GrapheneOS renforce le système d’exploitation du smartphone et limite certains accès des applications. Un VPN chiffre le trafic entre votre appareil et le serveur VPN, masque votre adresse IP publique aux sites consultés, et peut réduire certaines formes de surveillance réseau.

Les deux peuvent être complémentaires, mais aucun ne rend invisible. Un smartphone sécurisé peut encore être suivi par les comptes auxquels vous vous connectez, les applications que vous installez, les permissions que vous accordez, votre navigateur, vos habitudes ou vos métadonnées.

Conclusion

GrapheneOS est l’une des alternatives Android les plus sérieuses pour celles et ceux qui veulent reprendre davantage de contrôle sur leur smartphone. Son intérêt vient d’un travail concret sur le durcissement du système, la sandbox des applications, les permissions et la réduction de certaines surfaces d’attaque.

Il faut toutefois éviter de le présenter comme LA solution de smartphone invisible. GrapheneOS ne rend pas anonyme, ne supprime pas tous les risques, et ne garantit pas que toutes les applications fonctionneront sans ajustement. Son vrai mérite est ailleurs : il propose un Android plus strict, plus transparent dans sa logique, et mieux aligné avec une approche sérieuse de la sécurité mobile.

Pour un utilisateur motivé, c’est un excellent choix. Pour un utilisateur qui veut simplement installer trois applications et ne jamais toucher aux réglages, ce n’est pas forcément le chemin le plus confortable.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.

Vos données peuvent-elles servir à entraîner une IA ? Ce que le RGPD dit vraiment en 2026

Vos données peuvent-elles servir à entraîner une IA ? Ce que le RGPD dit vraiment en 2026

En 2023, on se demandait surtout si les IA avaient été nourries avec des données récupérées sur le web.

Aujourd’hui, le risque s’est rapproché de l’utilisateur. Les données ne sont plus seulement collectées en amont : elles sont aussi données volontairement, parfois sans réfléchir, dans une conversation avec une IA.

Un contrat copié-collé. Une capture d’écran. Un message privé. Une question médicale. Une confidence à une IA de compagnie. Un document client envoyé pour gagner cinq minutes.

Tout cela peut contenir des données personnelles. Parfois sensibles. Et l’interface conversationnelle donne facilement l’impression d’un échange privé, alors qu’il s’agit bien d’un traitement de données.

C’est cette confusion qui rend le sujet sérieux.

Le RGPD ne bloque pas l’IA, il impose des comptes

Le RGPD n’interdit pas l’intelligence artificielle. Il n’impose pas non plus le consentement dans tous les cas.

C’est une erreur fréquente, et elle brouille le débat. Le RGPD demande surtout qu’un traitement de données repose sur une base légale : consentement, contrat, obligation légale, intérêt légitime ou autre base prévue par le texte.

Dans le domaine de l’IA, beaucoup d’entreprises cherchent à s’appuyer sur l’intérêt légitime. Ce n’est pas forcément illégal. La CNIL reconnaît que cette base peut être utilisée pour développer des systèmes d’IA, mais sous conditions : l’intérêt doit être réel, le traitement nécessaire, et les droits des personnes doivent rester protégés.

C’est là que les choses se compliquent.

Utiliser quelques données techniques pour améliorer un service n’a pas le même poids qu’aspirer des contenus publics à grande échelle, conserver des conversations personnelles ou analyser des documents professionnels. Plus les données sont intimes, sensibles ou inattendues, plus l’entreprise doit justifier ce qu’elle fait.

L’IA ne donne pas un passe-droit. Elle augmente au contraire l’exigence d’explication.

Une donnée publique n’est pas une donnée libre

Le fait qu’une information soit visible sur Internet ne signifie pas qu’elle peut être réutilisée n’importe comment.

Un commentaire de forum, un profil LinkedIn, une photo, une bio, une ancienne page web ou un CV public peuvent rester des données personnelles. Si ces informations permettent d’identifier une personne, directement ou indirectement, le RGPD peut s’appliquer.

C’est particulièrement important pour le scraping. Les entreprises d’IA peuvent collecter de grandes quantités de contenus accessibles en ligne pour entraîner ou améliorer leurs modèles. Mais l’argument “c’était public” ne suffit pas.

La CNIL admet que le moissonnage de données accessibles publiquement peut parfois reposer sur l’intérêt légitime. Mais elle exige des garanties : limitation des données collectées, exclusion des données sensibles quand c’est possible, information des personnes, possibilité d’opposition, protection des mineurs, documentation du traitement.

Autrement dit : le scraping n’est pas automatiquement illégal, mais il n’est jamais neutre.

Ce point est essentiel pour éviter deux erreurs. Dire que tout scraping est interdit serait trop simpliste. Dire que tout ce qui est public est librement exploitable serait faux.

La zone sérieuse se trouve entre les deux : chaque usage doit être justifié.

Les prompts sont devenus une nouvelle source de données

Le débat ne concerne plus seulement les données utilisées pour entraîner les grands modèles. Il concerne aussi ce que les utilisateurs donnent eux-mêmes aux IA.

C’est souvent là que le risque est le plus banal.

  • On colle un e-mail pour le reformuler.
  • On envoie un document pour le résumer.
  • On demande à l’IA d’analyser une capture d’écran.
  • On lui confie un problème personnel.
  • On utilise un chatbot au travail sans vérifier les règles internes.

Chaque geste paraît anodin. Mis bout à bout, cela peut exposer beaucoup d’informations : noms, adresses, clients, contrats, données RH, santé, situation familiale, difficultés financières, informations confidentielles.

La question n’est donc pas seulement de savoir si une IA a été entraînée avec des données personnelles. Il faut aussi regarder ce qu’elle reçoit au quotidien.

Une interface agréable ne change rien au fond : si vous transmettez une donnée personnelle à un service, ce service la reçoit. Il peut la stocker, l’analyser, la conserver ou l’exclure de l’entraînement selon ses propres règles, ses paramètres et son offre commerciale.

C’est pour cela que les versions professionnelles, les paramètres de confidentialité, les options de désactivation de l’entraînement et les politiques de conservation comptent vraiment.

IA de compagnie et “AI girlfriends” : le cas le plus parlant

Les IA de compagnie rendent le problème plus visible.

Un chatbot classique répond à une demande. Une IA de compagnie cherche à créer une relation. Cette différence change tout.

Les “AI girlfriends”, compagnons virtuels et chatbots romantiques peuvent encourager des conversations très personnelles : solitude, sexualité, santé mentale, fantasmes, ruptures, famille, préférences affectives, vulnérabilités. L’utilisateur peut se confier parce que l’interface donne une impression d’écoute, de disponibilité et d’intimité.

Ce ne sont pas des données ordinaires.

Mozilla a déjà pointé les pratiques de plusieurs chatbots romantiques dans son programme Privacy Not Included, en soulignant la collecte possible de données très personnelles et le manque de clarté sur certains usages.

Le cas Replika montre aussi que les autorités regardent ces services de près. L’autorité italienne de protection des données a sanctionné Luka Inc., l’entreprise derrière Replika, pour plusieurs manquements liés au RGPD, notamment l’information des utilisateurs, la base légale, la minimisation et la protection des mineurs.

Replika, l'IA friend

Il ne s’agit pas de juger les personnes qui utilisent ces applications. Ce serait facile, et inutile.

Le vrai sujet est ailleurs : plus une IA ressemble à une relation de confiance, plus l’utilisateur baisse sa vigilance. Une application conçue pour obtenir de la confidence doit donc être beaucoup plus claire sur ce qu’elle fait des données.

Une IA ne devient pas moins intrusive parce qu’elle parle gentiment.

L’AI Act ajoute une couche, sans remplacer le RGPD

Depuis 2023, le cadre européen a évolué. L’AI Act est entré en vigueur et ses obligations s’appliquent progressivement.

Mais il ne remplace pas le RGPD.

L’AI Act encadre les systèmes d’IA selon leur niveau de risque. Le RGPD continue de protéger les personnes lorsque des données personnelles sont collectées, utilisées ou conservées.

Les deux textes ne regardent pas exactement la même chose.

Une IA peut être peu risquée au sens de l’AI Act, mais poser un problème de données personnelles si elle traite des conversations, des documents clients ou des informations sensibles. À l’inverse, un système fortement encadré par l’AI Act devra quand même respecter les règles du RGPD s’il utilise des données personnelles.

C’est une distinction importante. Parler de “conformité IA” ne suffit pas. Il faut regarder les données, les usages, les personnes concernées et les garanties réelles.

Le VPN ne protège pas ce que vous donnez volontairement

Un VPN peut protéger une partie de la connexion réseau. Il peut masquer votre adresse IP visible par certains intermédiaires, chiffrer le trafic entre votre appareil et le serveur VPN, et limiter certains risques sur un Wi-Fi public.

Mais il ne protège pas contre une mauvaise décision de partage.

Si vous copiez un contrat, un message intime, une donnée médicale ou un fichier client dans un chatbot, le service reçoit ces informations. VPN ou non.

C’est une limite importante à rappeler. Le VPN protège le transport. Il ne rend pas confidentiel ce que vous confiez volontairement à une plateforme.

Face aux IA génératives, la meilleure protection commence avant l’envoi : retirer les noms, les données sensibles, les références clients, les documents confidentiels et les informations concernant d’autres personnes.

Conclusion : l’IA ne mérite pas automatiquement votre confiance

Le débat sur l’IA et le RGPD a changé.

Il ne s’agit plus seulement de savoir si les modèles ont été entraînés avec des données récupérées sur Internet. Il faut aussi regarder les usages quotidiens : prompts, documents, captures d’écran, mémoire, outils professionnels, assistants intégrés, IA de compagnie.

La donnée n’est plus seulement aspirée loin de l’utilisateur. Elle est souvent donnée directement, dans une interface qui ressemble à une conversation privée.

Le RGPD reste utile pour cette raison précise. Il oblige les entreprises à expliquer, limiter, sécuriser et assumer ce qu’elles font des données personnelles.

Les IA peuvent être pratiques. Elles peuvent faire gagner du temps. Elles peuvent aussi recevoir beaucoup plus d’informations que nécessaire.

Une IA peut aider. Elle ne mérite pas, par défaut, le même niveau de confiance qu’une conversation privée.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.

Proton CAPTCHA deux ans après : toujours utilisé, mais pas devenu un produit public

Proton CAPTCHA deux ans après : toujours utilisé, mais pas devenu un produit public

En septembre 2023, Proton présentait Proton CAPTCHA, son propre système de vérification humaine conçu pour limiter les bots sans dépendre d’un service tiers. Plus de deux ans après, le projet n’a pas disparu : il est toujours mentionné dans la documentation et la politique de confidentialité de Proton. En revanche, Proton CAPTCHA ne semble pas être devenu une solution publique que n’importe quel site peut intégrer comme une alternative à reCAPTCHA ou hCaptcha.

Mise à jour 2026 : Proton CAPTCHA est toujours cité par Proton comme l’une des méthodes possibles de vérification humaine, avec l’email et le SMS. Il peut être utilisé lors de la création d’un compte Proton ou pour certaines opérations sensibles afin de limiter les abus et les attaques par brute force. En revanche, Proton ne communique pas, à ce jour, sur une disponibilité publique de Proton CAPTCHA sous forme d’API ouverte aux sites tiers.

Plus un service propose une porte d’entrée gratuite, plus il doit gérer le risque d’abus : inscriptions en masse, spam, contournement de limites ou automatisation. C’est aussi vrai pour une messagerie chiffrée que pour un vpn gratuit, où la friction anti-bot devient une partie discrète mais essentielle de l’infrastructure.

Pourquoi s’attaquer aux CAPTCHAs ?

Proton a constaté que les options de CAPTCHA disponibles ne répondaient pas à leurs exigences en matière de confidentialité, d’utilisabilité et de sécurité. Ils ont donc décidé de concevoir leur propre solution. Proton expliquait vouloir créer un système de vérification humaine qui limite les compromis habituels entre confidentialité, accessibilité, utilisabilité et sécurité. Proton le présentait en 2023 comme le premier CAPTCHA intégrant des technologies de résistance à la censure Internet, notamment grâce au support de son routage alternatif.

Caractéristiques clés du Proton CAPTCHA :

  • Approche conçue par Proton comme privacy-first et compatible avec les exigences RGPD.
  • Fonctionnement adapté aux mobiles.
  • Absence de dépendance à un service CAPTCHA tiers.
  • Support du routage alternatif pour les pays où l’accès à certains services peut être restreint.
  • Défense multicouche : preuve de travail, défis visuels, détection de bots annoncée comme respectueuse de la vie privée.
  • Prise en compte de l’accessibilité, notamment pour les personnes malvoyantes.

Illustration : Animation Proton
Proton©

En quoi le CAPTCHA de Proton résiste à la censure ?

Le CAPTCHA de la firme Suisse est conçu pour fonctionner même dans des pays ou des régions où l’accès à certains services Internet est restreint ou bloqué par le gouvernement ou d’autres entités. Voici comment le CAPTCHA de Proton résiste à la censure :

 

  • Routing alternatif : Le CAPTCHA de Proton offre un support pour le routage alternatif. Cela signifie qu’il peut rediriger le trafic à travers différents chemins pour contourner les blocages ou les restrictions imposées par les censeurs.

  • Indépendance des services tiers : En développant son propre CAPTCHA, Proton s’assure qu’il n’est pas dépendant de services tiers qui pourraient être bloqués dans certains pays. Cela garantit une plus grande disponibilité et accessibilité du CAPTCHA.

 

L’intérêt stratégique est clair : si Proton dépendait entièrement d’un service CAPTCHA tiers bloqué dans certains pays, l’accès à ses comptes pourrait être fragilisé. En développant sa propre solution et en l’intégrant à son routage alternatif, la firme Suisse réduit cette dépendance. Cela ne signifie pas une garantie absolue d’accès dans tous les contextes de censure, mais une meilleure maîtrise de cette couche critique.

Illustration : Travailler avec des CAPTCHAs fonctionnels n'importe ou dans le monde

En quoi le CAPTCHA de Proton respecte-t-il davantage la vie privée ?

Proton CAPTCHA ne doit pas être présenté comme une garantie absolue de confidentialité. Un CAPTCHA reste un mécanisme anti-abus : il sert à distinguer un utilisateur humain d’un bot, et il implique donc nécessairement une forme d’évaluation du comportement ou du contexte de connexion. L’intérêt de l’approche de Proton est ailleurs : réduire la dépendance à un prestataire externe au moment précis où l’utilisateur crée un compte ou effectue une action sensible.

Concrètement, l’entreprise explique que son CAPTCHA fonctionne sans faire appel à un service tiers. Cela limite l’exposition de données à des acteurs externes, contrairement aux solutions classiques qui peuvent ajouter une couche de suivi ou de profilage difficile à contrôler pour l’utilisateur. Proton indique également ne pas sauvegarder les données liées au CAPTCHA.

La vérification humaine peut toutefois prendre plusieurs formes selon le niveau de risque détecté : CAPTCHA, vérification par email ou vérification par SMS. Dans ce cadre, la firme précise que certaines données peuvent être conservées temporairement pour lutter contre les abus, par exemple la création massive de comptes ou les attaques par force brute. Lorsque des adresses email ou numéros de téléphone doivent être conservés de manière permanente pour empêcher leur réutilisation abusive, Proton indique qu’ils ne sont pas stockés en clair, mais sous forme d’empreinte cryptographique.

Le point important est donc le suivant : Proton CAPTCHA ne supprime pas toute friction ni toute logique anti-abus, mais il évite de déléguer cette étape sensible à un acteur tiers. C’est une différence réelle, surtout pour un service qui fonde sa crédibilité sur la confidentialité, mais ce n’est pas une preuve magique d’anonymat ou d’absence totale de collecte technique.

Conclusion

Deux ans après son annonce, Proton CAPTCHA semble toujours faire partie de l’infrastructure anti-abus de Proton. Sa présence dans la politique de confidentialité 2026 confirme qu’il reste une méthode possible de vérification humaine, aux côtés de l’email et du SMS. En revanche, rien n’indique aujourd’hui que le fournisseur en ait fait une solution publique largement accessible aux sites tiers. C’est donc moins un “produit CAPTCHA” qu’un composant interne de l’écosystème Proton : intéressant pour comprendre la stratégie anti-abus de Proton, mais à ne pas présenter comme une alternative publique mature à reCAPTCHA ou hCaptcha. En tant qu’initiative collaborative, Proton valorise énormément les retours et suggestions de sa communauté. Votre expérience et vos retours sont importants pour continuer à améliorer et innover.
Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.

La confidentialité des données : tout ce qu’il faut savoir

La confidentialité des données : tout ce qu’il faut savoir

Ouvrir une appli, accepter des cookies, créer un compte, faire une recherche : chacun de ces gestes laisse une trace quelque part. La confidentialité des données, c’est ce qui détermine qui voit ces traces, qui les garde, et ce qu’on en fait. Comprendre comment fonctionne cette mécanique est devenu indispensable pour reprendre un peu la main.

Qu’est-ce que la confidentialité des données ?

La confidentialité des données concerne le contrôle que nous avons sur nos informations personnelles, qu’il s’agisse de notre nom, adresse, informations financières, ou même de nos habitudes de navigation. La question n’est plus de savoir si vos données sont collectées, mais quand et comment elles le seront.

En ligne, chaque service auquel nous accédons collecte une part de nos données. Certaines entreprises les utilisent pour améliorer l’expérience utilisateur, tandis que d’autres les revendent à des courtiers en données sans notre consentement. Et c’est là que les risques apparaissent : une mauvaise gestion de ces données peut entraîner des vols d’identité, des escroqueries et des violations de données massives.

Confidentialité vs sécurité des données : quelle différence ?

Contrairement à la sécurité des données, qui concerne la protection des informations contre les menaces extérieures (comme les cyberattaques), la confidentialité des données porte sur la manière dont les entreprises utilisent, partagent, et conservent vos informations. Même des données stockées en toute sécurité peuvent être exploitées sans votre accord si la confidentialité n’est pas respectée.

Illustrqtion . Qu'est-ce que la confidentialité des données ?

Que faire en cas de fuite de données ?

Les fuites se multiplient. Et pas qu’un peu : la CNIL a reçu 5 629 notifications de violations de données en 2024, soit 20 % de plus que l’année d’avant. Surtout, les attaques massives, celles qui touchent plus d’un million de personnes, ont doublé. C’est le bilan que dresse la CNIL elle-même dans son rapport annuel. Quand vous êtes dedans, ça ne reste pas abstrait longtemps : usurpation d’identité, fraude bancaire, comptes piratés en cascade, parfois juste votre adresse mail qui finit dans une base revendue à des spammeurs.

Côté entreprises, l’addition est salée. IBM publie chaque année son rapport Cost of a Data Breach, et l’édition 2025 chiffre le coût moyen mondial d’une violation à 4,44 millions de dollars. Première baisse depuis cinq ans, certes, mais sur un montant qui suffit à couler les structures les plus fragiles. Aux États-Unis, on grimpe même à 10,22 millions. Sans parler du préjudice réputationnel, celui-là ne se rembourse pas.

Comment protéger efficacement vos données personnelles ?

Voici des gestes concrets que vous pouvez adopter pour réduire le risque de voir vos informations personnelles exposées ou exploitées :

  • Utilisez des mots de passe robustes : Les gestionnaires de mots de passe gratuits peuvent vous aider à créer et à stocker des mots de passe uniques pour chaque compte.
  • Activez l’authentification à deux facteurs (2FA) : Ce processus ajoute une couche supplémentaire de protection, rendant l’accès à vos comptes bien plus difficile pour les pirates.
  • Bloquez les publicités ciblées : Désactivez les publicités basées sur vos centres d’intérêt via les paramètres de Google, Facebook, et autres plateformes pour limiter la quantité de données partagées avec des annonceurs.
  • Méfiez-vous des liens suspects : Ne cliquez pas sur des liens provenant d’e-mails ou de messages non sollicités, et ne téléchargez jamais des pièces jointes venant de sources inconnues.
  • Chiffrez vos communications : Utilisez des applications de messagerie offrant un chiffrement de bout en bout, comme Signal, pour protéger vos conversations.
  • Vérifiez la sécurité des sites que vous visitez : Assurez-vous que les sites sur lesquels vous naviguez utilisent le protocole HTTPS et affichent un symbole de cadenas à côté de l’URL.
  • Nettoyez vos applications : Passez en revue régulièrement les applications que vous n’utilisez plus. Certaines continuent de collecter vos données en arrière-plan sans que vous vous en rendiez compte.

La réglementation : le RGPD et au-delà

En Europe, le Règlement général sur la protection des données (RGPD) impose aux entreprises des règles strictes sur la collecte, le stockage et l’utilisation des données personnelles. En vertu de cette loi, aucune entreprise ne peut stocker vos informations sans votre consentement explicite. Le RGPD a également inspiré de nombreuses législations dans le monde, comme la CCPA en Californie, visant à renforcer les droits des consommateurs face aux abus des géants de la tech.

Les amendes RGPD atteignent des montants considérables, mais leur impact réel sur les pratiques des grandes entreprises reste incertain.
Illustration : Europe

Confidentialité en ligne : un mythe ou une réalité ?

Espérer un anonymat total sur Internet est devenu illusoire. Cependant, cela ne signifie pas que vous devez abandonner toute tentative de protéger votre vie privée. En étant vigilant et en prenant des mesures concrètes, vous pouvez limiter considérablement l’exploitation de vos informations personnelles.

Souvenez-vous que les données que vous partagez aujourd’hui peuvent être utilisées à des fins que vous ne maîtrisez pas demain. Alors, avant de poster, de vous inscrire ou de cliquer, prenez le temps de réfléchir : que vaut votre vie privée ?

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.

Peut-on faire confiance aux VPN gratuits ?

Peut-on faire confiance aux VPN gratuits ?

Un VPN gratuit peut rendre service ponctuellement. Pour sécuriser une connexion Wi-Fi dans un hôtel, tester un service sans sortir la carte bancaire ou masquer ponctuellement son adresse IP, il a son utilité.

On ne va pas se mentir : un VPN gratuit n’est jamais totalement “gratuit”. Même sans sortir la carte bancaire, vous confiez une partie de votre trafic à un service que vous ne connaissez pas toujours très bien.

Un VPN ne fait pas disparaître les intermédiaires. Il en remplace un par un autre. Au lieu de laisser uniquement votre fournisseur d’accès voir certaines informations sur votre connexion, vous confiez une partie de cette visibilité au fournisseur VPN.

Certains VPN gratuits reposent sur un modèle freemium clair : une version limitée, financée par les abonnés payants. Ce n’est pas parfait, mais c’est compréhensible.

D’autres sont plus obscurs : peu d’informations, une politique de confidentialité vague, et parfois un modèle économique qu’on découvre trop tard.

Peut-on faire confiance à un VPN gratuit ? La réponse courte

On peut faire confiance à certains VPN gratuits, à condition qu’ils remplissent plusieurs critères : un éditeur clairement identifié, un modèle économique compréhensible, une politique de confidentialité lisible, des limites assumées et des fonctions de sécurité minimales.

À l’inverse, un VPN gratuit qui promet tout sans rien expliquer mérite une méfiance immédiate.

Type de VPN gratuit Niveau de confiance Ce qu’il faut comprendre
Freemium transparent Moyen à bon Acceptable si les limites sont claires et si le fournisseur est identifiable
Essai gratuit premium Bon, mais temporaire Utile pour tester un service, mais ce n’est pas une solution gratuite durable
VPN gratuit financé par publicité ou données Faible Risque plus élevé, surtout si la politique de confidentialité est vague
VPN gratuit opaque, clone ou APK douteux Très faible À éviter, même pour un usage ponctuel

La limite est souvent un bon signe. Un VPN non-payant sérieux assume généralement ses contraintes : moins de pays, moins de serveurs, moins d’appareils, parfois un quota mensuel. C’est frustrant, mais cohérent.

Le vrai signal inquiétant, c’est plutôt le service qui promet un VPN illimité, ultra-rapide, sans logs, sans publicité, sans inscription, sans frais, sans limite et sans modèle économique identifiable.

Quand un service promet tout gratuitement, sans limite claire ni modèle économique compréhensible, il faut se poser des questions.

VPN gratuit, essai gratuit et garantie de remboursement : ce n’est pas la même chose

Il faut distinguer trois cas.

Le vrai VPN gratuit

C’est une offre gratuite durable. Elle peut être limitée en données, en pays, en vitesse ou en nombre d’appareils. C’est le modèle le plus intéressant pour un usage ponctuel ou modéré, à condition que le fournisseur soit sérieux.

L’essai gratuit

C’est une période courte pour tester un service premium. Elle peut être utile, mais elle n’est pas conçue comme une solution permanente.

La garantie de remboursement

Ce n’est pas vraiment gratuit. Vous payez d’abord, puis vous pouvez demander un remboursement dans un délai donné. C’est parfois intéressant pour tester un meilleur VPN, mais il ne faut pas le présenter comme une offre gratuite classique.

Cette distinction compte, parce que beaucoup de comparatifs mélangent volontairement ces trois catégories pour gonfler leurs listes de VPN gratuits.

Pour en savoir plus : Comment trouver l’essai de VPN gratuit qui vous convient ?

Les signaux d’alerte à prendre au sérieux

Certains indices doivent immédiatement faire baisser le niveau de confiance.

1. Le fournisseur est difficile à identifier

Si vous ne trouvez pas clairement qui édite le service, où l’entreprise est enregistrée, quelle est sa politique de confidentialité ou comment contacter le support, c’est un mauvais signe.

Une application VPN n’est pas un petit jeu mobile. Elle touche à votre trafic réseau. L’éditeur doit être identifiable.

2. Trop beau pour être vrai

Un VPN gratuit, illimité, rapide, sans logs, sans publicité, sans inscription, sans ralentissement et sans offre payante claire pose une question simple : comment tient-il économiquement ?

En l’absence de modèle économique clair, passez votre chemin.

3. La politique de confidentialité est floue

Les phrases générales ne suffisent pas. Il faut des informations concrètes sur les données collectées, les durées de conservation, les tiers éventuels, les données techniques, les logs de connexion et les finalités.

Une politique de confidentialité vague est souvent plus révélatrice qu’une longue page marketing.

4. L’application vient d’une source douteuse

Un VPN téléchargé via un APK inconnu, une imitation d’application populaire ou un site miroir peu fiable peut être plus dangereux que l’absence de VPN.

Il faut privilégier le site officiel du fournisseur ou les boutiques d’applications reconnues, tout en gardant en tête que la présence dans un store ne garantit pas à elle seule la qualité du service.

5. Le service se présente comme un VPN complet alors qu’il s’agit d’un proxy

Certaines extensions de navigateur utilisent le vocabulaire VPN alors qu’elles ne protègent que le trafic du navigateur. Ce n’est pas forcément inutile, mais ce n’est pas équivalent à une application VPN qui protège tout l’appareil.

Cela fait une grosse différence pour l’utilisateur.

Pourquoi un VPN gratuit doit quand même être financé

Un VPN coûte cher à faire tourner.

Il faut maintenir des serveurs, payer de la bande passante, développer des applications, corriger des failles, gérer le support, tenir une infrastructure stable et, dans les meilleurs cas, financer des audits ou publier du code vérifiable.

Si vous ne payez pas directement, quelqu’un paie autrement.

Cela ne veut pas dire que tous les VPN gratuits sont douteux. Certains fournisseurs utilisent une version gratuite comme porte d’entrée vers leur offre payante. C’est le cas des modèles freemium : le service gratuit est limité, mais il sert aussi de démonstration du produit.

Proton VPN affirme par exemple que son offre gratuite n’a ni limite de données ni publicité, et qu’elle est financée par les utilisateurs payants. C’est un modèle cohérent, même s’il faut toujours distinguer ce que le fournisseur déclare de ce qui est vérifiable indépendamment.

PrivadoVPN annonce de son côté une offre gratuite avec 10 Go de données par mois, 13 emplacements de serveurs et aucune carte bancaire requise. Là encore, le point important n’est pas seulement la gratuité, mais le fait que la limite soit explicitement posée.

Hide.me met en avant une offre free de VPN sans inscription obligatoire, sans publicité, sans trackers et sans logs, avec des limitations côté emplacements serveurs et connexions simultanées. Le service indique notamment que les utilisateurs gratuits peuvent choisir parmi 8 emplacements et connecter un seul appareil à la fois. 

Windscribe annonce aussi une offre gratuite structurée : 10 Go avec email confirmé, 2 Go sans email, des serveurs dans 10 pays et des connexions illimitées sur les appareils personnels.

Ces exemples montrent une chose simple : un VPN gratuit défendable n’est pas un VPN sans limite. C’est souvent un VPN dont les limites sont visibles.

Ce qu’un VPN peut voir réellement

Un réseau privé virtuel ne voit pas “toute votre vie numérique”. Mais il occupe une position sensible.

Selon la configuration du service, il peut potentiellement voir ou traiter certaines informations comme :

  • votre adresse IP d’origine ;
  • l’adresse IP du serveur VPN utilisé ;
  • l’heure et la durée de connexion ;
  • le volume de données transféré ;
  • les requêtes DNS si elles passent par ses serveurs ;
  • certaines métadonnées réseau liées aux destinations contactées.

En revanche, un VPN ne peut normalement pas lire le contenu chiffré d’une connexion HTTPS classique. HTTPS chiffre les échanges entre le navigateur et le site consulté, ce qui protège notamment le contenu transmis. Mozilla rappelle aussi qu’HTTPS empêche un fournisseur d’accès de voir les pages précises consultées au-delà du domaine principal, même s’il peut encore voir certaines informations de connexion.

Dire qu’un VPN gratuit “voit tout” est techniquement trop large. Dire qu’il ne voit rien est faux. La vérité est entre les deux : un VPN peut accéder à des métadonnées sensibles, et ces métadonnées suffisent parfois à dresser un profil d’usage.

C’est pour cela que le fournisseur ne doit pas être choisi au hasard.

Illustration : Fuite de données VPN gratuit

Le vrai sujet : les logs

Le mot “no-log” est devenu tellement utilisé qu’il a perdu une partie de sa valeur.

Un fournisseur peut écrire “no-log” partout sur son site. Cela ne suffit pas.

Ce qu’il faut regarder, c’est le détail :

  • conserve-t-il l’adresse IP d’origine ?
  • conserve-t-il l’heure de connexion ?
  • conserve-t-il la durée de session ?
  • conserve-t-il le volume transféré ?
  • conserve-t-il les serveurs utilisés ?
  • conserve-t-il des identifiants d’appareil ?
  • conserve-t-il des logs DNS ?
  • explique-t-il clairement ce qui est supprimé, agrégé ou anonymisé ?

Un bon fournisseur doit être précis. Un mauvais fournisseur se cache derrière des phrases vagues du type “nous respectons votre vie privée” sans expliquer ce que cela signifie techniquement.

Le terme VPN sans log doit donc être traité comme une hypothèse à vérifier, pas comme une promesse à croire.

Notre position

Oui, on peut faire confiance à certains VPN gratuits. Mais pas parce qu’ils sont gratuits, pas parce qu’ils promettent la confidentialité, pas parce qu’ils apparaissent en haut d’un store, et certainement pas parce qu’un comparateur les place dans un top 10.

On peut envisager un VPN gratuit quand son modèle est compréhensible, ses limites sont assumées, son éditeur est identifiable, sa politique de confidentialité est lisible et ses fonctions de sécurité sont cohérentes avec un usage réel.

Un VPN gratuit de confiance a toujours des contraintes. Il ressemble plutôt à un service limité, mais clair. Et c’est souvent cette limite qui le rend crédible.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles et réduire votre suivi en ligne. Merci pour votre intérêt et vos nombreux partages !
A propos de l'auteur : Lisa

A propos de l'auteur : Lisa

Fondatrice de VPN Mon Ami

Avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.

Note de transparence :

Cet article n'est pas sponsorisé. Il traite simplement d'un sujet d'actualité pertinent dans le domaine de la protection des données.

Si vous décidez d’essayer un service via le lien fourni, l’équipe recevra une petite commission sans frais supplémentaires pour vous. Cette commission nous permet de continuer à fournir du contenu de qualité et à maintenir ce site indépendant sans bannières publicitaires intrusives, pour une lecture plus agréable sans suivi.

Soyez assuré que notre analyse et nos opinions sont objectifs et basées sur nos recherches et notre expérience dans le domaine de la cybersécurité. Nous sommes indépendants.