NordVPN : Deloitte conclut à la conformité de son sixième engagement no-logs

Fin 2025, NordVPN a soumis ses systèmes à un sixième Audit indépendant portant sur sa politique no-logs. Le cabinet Deloitte Lithuania a conclu que l’infrastructure examinée était configurée conformément aux déclarations de l’entreprise, sur la période d’observation, selon les procédures définies, et dans le périmètre retenu.

Pourquoi les audits no-logs sont importants

Un fournisseur VPN peut affirmer ne pas conserver de logs. Mais une déclaration reste une déclaration. Sans vérification extérieure, rien ne permet à un utilisateur de s’assurer que les systèmes du fournisseur sont effectivement configurés comme annoncé. C’est précisément pour répondre à cette limite que certains fournisseurs soumettent leur infrastructure à des contrôles indépendants.

Ces engagements donnent une base technique et documentée. Un cabinet indépendant inspecte les configurations, interroge les équipes, examine les processus, et conclut si ce qu’il observe correspond à ce que le fournisseur déclare. Le résultat n’est pas une garantie absolue, mais c’est un niveau de transparence supérieur à la simple communication commerciale.

Tous les fournisseurs VPN ne se soumettent pas à ce type d’exercice. Parmi ceux qui le font, tous ne recourent pas au même cadre, au même périmètre, ni au même niveau d’assurance.

Ce que recouvre réellement une politique no-logs

Un VPN sans log s’engage à ne pas conserver les données qui permettraient d’identifier ce qu’un utilisateur a fait en ligne :

• adresses IP de connexion
• sites visités
• horodatages de session
• contenu du trafic

C’est ce qu’on appelle les logs d’activité ou de connexion.

Dans la réalité, un service VPN commercial ne fonctionne pas sans un minimum de traitement lié au compte, au paiement ou à l’exploitation technique. NordVPN, comme tout fournisseur, conserve les données nécessaires à la gestion du compte et du paiement. Ces données existent, mais elles ne permettent pas de reconstituer l’activité en ligne d’un utilisateur. Ce que la politique no-logs prohibe, c’est exclusivement la conservation des logs d’activité identifiants, pas l’existence de toute donnée. Ce sont deux catégories distinctes qu’il faut éviter de confondre, et c’est sur la première que porte la vérification indépendante.

Ce que Deloitte a effectivement vérifié

L’évaluation s’est déroulée entre le 10 novembre et le 12 décembre 2025, selon le cadre ISAE 3000 (Revised) établi par l’IAASB. Le cadre ISAE 3000 distingue les engagements à assurance raisonnable et ceux à assurance limitée. Deloitte précise explicitement dans le rapport qu’il s’agit ici d’un engagement à assurance raisonnable, un niveau d’assurance plus élevé qu’un engagement à assurance limitée.

Durant cette période, les praticiens de Deloitte ont :

• interrogé les employés responsables chez NordVPN
• inspecté les systèmes informatiques concernés et vérifié leur configuration
• examiné les paramètres de configuration liés à la confidentialité et les processus de déploiement
• conduit une revue des événements survenus entre la fin des travaux (25 novembre) et la date du rapport (12 décembre), en sélectionnant 5 changements pour test approfondi, aucun n’était lié à la politique de journalisation

Le périmètre déclaré couvrait les serveurs de NordVPN standard, Double VPN, Onion Over VPN, obfusqués et P2P.

Le rapport complet est accessible aux utilisateurs disposant d’un compte NordVPN, depuis leur espace Nord Account. Il n’est pas publié publiquement.

Ce que le rapport exclut explicitement

Le rapport liste lui-même les éléments hors périmètre. Un engagement d’assurance no-logs de ce type ne couvre pas :

• les serveurs IP dédiés, les conclusions ne s’appliquent donc pas automatiquement à cette offre spécifique
• SmartDNS (BIND, HAProxy, SNI Proxy), le périmètre se limite au service VPN stricto sensu
• l’environnement de contrôle interne lié à la maintenance et à l’exploitation du système, ce rapport ne vaut pas examen de la gouvernance interne
• les mesures de sécurité des données et des systèmes, il ne s’agit pas d’un audit de sécurité global
• les tests de sécurité physique et les droits d’accès à l’infrastructure
• les SLA avec les prestataires tiers

C’est une limite inhérente au cadre ISAE 3000, commune à l’ensemble des fournisseurs qui y recourent.

Un historique qui compte

Il s’agit du sixième engagement de ce type depuis 2018. Les deux premières évaluations ont été conduites par PwC, en 2018 puis en 2020. Deloitte Lithuania a pris le relais à partir de 2022, avec des engagements reconduits chaque année depuis.

La répétition annuelle ne supprime pas les limites structurelles de l’exercice. Mais elle crée quelque chose qu’un contrôle isolé ne peut pas produire : un historique de conformité documenté sur plusieurs années, par des tiers distincts, selon un standard reconnu. Pour un utilisateur qui cherche à évaluer la crédibilité d’un fournisseur, c’est un signal qui a du poids.

Un historique d’engagements no-logs récurrents renforce la crédibilité d’un fournisseur, mais ne dispense jamais d’examiner le reste : architecture technique, politique de confidentialité, incidents passés, transparence juridique et cohérence globale du service. C’est l’ensemble de ces éléments qui permet de choisir le meilleur VPN avec discernement.