ALT IsoLogoTipo SBX Theme
Qui contrôle les VPN ?
Campus Virtuel
Demande d'informations
ESLSCA SA, Ecole de Commerce privée française, accorde une grande importance à la protection de vos données à caractère personnel.

Par suite, ESLSCA SA vous informe qu’elle traitera vos données à caractère personnel en vue de vous contacter et  vous informer du programme choisi lors des deux prochaines rentrées. Après cette période-là où dès que les informations demandées vous seront fournies, vos données seront supprimées.

Conformément à la loi Informatique et Libertés du 6 janvier 1978 modifiée et au Règlement (UE) 2016/679 relatif à la protection des données à caractère personnel, vous disposez des droits suivants sur vos données: droit d’accès, droit de rectification, droit à l’effacement (droit à l’oubli), droit d’opposition, droit à la limitation du traitement, droit à la portabilité. Vous pouvez également définir des directives relatives à la conservation, à l'effacement et à la communication de vos données à caractère personnel après votre décès. En cas de manquement aux dispositions ci-dessus, vous avez le droit d’introduire une réclamation auprès de la CNIL.

Pour exercer vos droits, merci d’adresser votre courrier RAR à l’adresse suivante DPO Planeta Formation France, 70, Galerie des Damiers, 92415 Courbevoie ou à l’adresse électronique suivante [email protected]
0

Qui contrôle les VPN ?

VPN
Cyber
Publicado: | Actualizado:

Derrière la promesse d’anonymat, une guerre économique pour le contrôle des métadonnées.

Un produit en plein essor

Longtemps perçu comme un simple outil de protection de la vie privée, le VPN (Virtual Private Network) est devenu une infrastructure critique de circulation des données. Le marché des VPN connaît une croissance rapide : le segment grand public (B2C) est estimé à environ 1,2 milliard de dollars en 2024, avec des projections autour de 2,5 milliards à l’horizon 2030, tandis que l’ensemble du marché VPN (entreprises et particuliers) est estimé à environ 48 milliards de dollars en 2024 ; un montant qui pourrait se multiplier par dix d’ici 2033, porté par la généralisation du télétravail, la fragmentation du net et la montée des préoccupations liées à la surveillance numérique. En quelques années, le VPN s’est donc imposé comme un enjeu majeur de souveraineté numérique. Même lorsqu’ils ne conservent pas le contenu des communications, certains fournisseurs de VPN peuvent capter des métadonnées sensibles telles que les horaires de connexion, le volume de données, les adresses IP d’origine ou les corrélations entre activités numériques. Ces informations constituent un actif informationnel précieux. Dès lors, la question n’est plus seulement : « Quel VPN protège le mieux la vie privée ? », mais « À qui confie-t-on la clé du tunnel par lequel transitent nos données ? ».

D’après les statistiques de parts de marché de logiciels VPN, le groupe américain Cisco occuperait plus de la moitié du marché B2B, suivi par d’autres grands groupes informatiques tels que IBM ou Palo Alto.

Le marché B2C est partagé entre quelques groupes qui structurent le segment grand public, notamment Kape Technologies (CyberGhost, ExpressVPN, Private Internet Access) et Nord Security (NordVPN, Surfshark), auxquels s’ajoute l’incontournable ProtonVPN. Ils revendiquent chacun plusieurs millions d’utilisateurs à l’échelle mondiale et figurent parmi les fournisseurs les plus visibles en Europe, un marché à la croissance exponentielle où la diffusion des VPN progresse particulièrement en Allemagne, en France et au Royaume-Uni. Le manque de données publiques détaillées empêche cependant d’établir un classement précis des parts de marché par région du globe, ce qui confirme le caractère éclaté de cet écosystème opaque.

Kape Technologies : un groupe au cœur de la consolidation du marché des VPN grand public

À première vue, le marché des VPN peut sembler très fragmenté. Les utilisateurs font face à une multitude de marques promettant anonymat absolu et sécurité maximale. Cette diversité apparente masque en réalité une concentration du marché, puisque les cinq principaux producteurs de VPN contrôlent environ un tiers du marché mondial.

Le cas le plus emblématique est celui de Kape Technologies. Anciennement nommée Crossrider, cette entreprise était à l'origine connue pour le développement d’extensions de navigateur monétisant le trafic utilisateur via des publicités non sollicitées. D’après Forbes, son cofondateur et ex-PDG Koby Menachemi, a précédemment servi pendant trois ans comme développeur au sein de l’unité 8200. Service de renseignement électronique de l’armée de Tsahal, elle a formé de nombreux experts qui ont ensuite fondé ou rejoint des entreprises de cybersécurité, formant un écosystème israélien dans lequel les circulations entre secteur militaire et privé sont fréquentes.

Quelques mois après sa création en 2012, Crossrider a été rachetée pour 37 millions de dollars par Teddy Sagi, homme d’affaire israélien milliardaire qui avait été condamné en 1996 à neuf mois d’emprisonnement pour fraude et corruption. En 2023, Sagi lance une offre pour retirer l’entreprise de la bourse de Londres, valorisant la société renommée Kape Technologies PLC à environ 1,6 milliard de dollars, qu’il acquiert finalement à plus de 90% via sa holding Unikmind

La stratégie de croissance de Kape consiste à acquérir des marques concurrentes tout en maintenant leurs infrastructures et leurs identités marketing distinctes. À partir de 2017, le groupe entame une séried’acquisitions qui redessine le paysage du VPN grand public. Le célèbre CyberGhost est racheté en 2017, ZenMate en 2018, Private Internet Access en 2019, puis ExpressVPN en 2021 pour environ 936 millions de dollars : une stratégie qui lui permet de capter sous une même holding plusieurs millions d’utilisateurs payants. La même année, Kape acquiert Webselenese, gérant de vpnMentor et Wizcase, deux plateformes de comparaison et de recommandation de VPN qui représentaient collectivement plus d’un million de visiteurs en février 2026, selon les données SE Ranking. Il est à noter que l’été dernier, le trafic du site vpnMentor a chuté, passant de plusieurs millions à quelques dizaines de milliers de visiteurs, suite à une dévaluation algorithmique massive par Google impliquant une application plus stricte des règles de qualité sur ses contenus de revues et de listes (affiliate marketing).

Finalement, l’internaute qui navigue sur ces sites d’évaluation pense comparer des services concurrents, alors subit en réalité un encerclement cognitif. L’écosystème technologique dans lequel évoluent ces entreprises est étroitement connecté aux priorités de sécurité nationale des États qui les abritent. Dans ce contexte, un fournisseur VPN à grande échelle représente un point d’observation privilégié sur les flux numériques grand public, car les métadonnées de connexion permettent d’identifier des comportements et des réseaux d’activité sans avoir besoin d’accéder au contenu des communications. 

Le segment des VPN gratuits sous influence chinoise

Si les VPN payants sont dominés par des groupes occidentaux, le marché des applications gratuites présente un profil différent. En 2025, un rapport de Tech Transparency Project (TTP) soulignait que certaines applications alors hébergées par Apple et Android, telles que Turbo VPN, VPN Proxy Master ou Snap VPN, sont éditées par des sociétés domiciliées à Singapour mais entretiennent des liens avec la Chine. Une majorité d’entre elles étaient liées au développeur Qihoo 360, société chinoise placée sous sanction en 2022 par Washington pour ses connexions avérées avec l'Armée populaire de libération. TTP estime que près de 20 % des VPN gratuits les plus téléchargés sur l’App Store des États-Unis présentent des liens avec des entreprises chinoises, dont certaines entretiennent des relations étroites avec l’appareil sécuritaire de Pékin. 

Le rapport VPN Transparency 2025 de la Open Technology Fund identifie deux clusters distincts d’entreprises liées à la Chine mais affichées en sociétés singapouriennes, totalisant plus de 700 millions de téléchargements Android. Le premier inclut Turbo VPN (100M), VPN Proxy Master (100M) et Snap VPN (50M), avec des politiques de confidentialité copiées, un fichier APK partagé et Shadowsocks hardcodé. Le second regroupe Global VPN (100M), Melon VPN (50M) et Touch VPN (50M), avec des serveurs GTHost communs et des failles de sécurité similaires.

Bien que les entreprises singapouriennes soient soumises à des normes de protection des données bien plus strictes que celles qui s’appliquent aux structures chinoises, le risque ne tient pas uniquement à la collecte commerciale de données. Depuis l’adoption de la loi chinoise sur le renseignement national en 2017, toute entreprise chinoise est légalement tenue de coopérer avec les services de renseignement du pays. Les informations collectées par ces applications pourraient donc être transmises aux autorités si celles-ci l’exigent. Dans ces conditions, un VPN gratuit peut devenir un outil de captation massive de métadonnées, dissimulé derrière une promesse de protection de la vie privée.

L’État a le dernier mot

La promesse affichée de « no-logs » est le socle de confiance entre les fournisseurs de VPN et leurs utilisateurs. Elle suggère qu’aucune trace exploitable de l’activité en ligne n’est conservée. Pourtant, des affaires judiciaires montrent que cette promesse reste relative dès lors que les autorités étatiques interviennent. 

Ces dernières disposent de plusieurs leviers d'encadrement des VPN : la législation, la pression réglementaire, mais aussi le contrôle des infrastructures réseau. En Russie, le Service fédéral de supervision des communications Roskomnadzor exige depuis 2019 que les fournisseurs VPN se connectent au système fédéral de filtrage (FGIS) afin d’appliquer les blocages décidés par Moscou. Les services qui refusent de coopérer sont simplement bloqués du territoire national. En 2021, quinze services premium ont été rendus inaccessibles : NordVPN, ExpressVPN, IPVanish et bien d’autres, pour refus de coopération. En 2024, les Russes étaient le deuxième peuple utilisant le plus de VPN, après les émiratis.

En Chine, seuls les VPN agréés par le ministère de l’Industrie et des Technologies de l’information (MIIT) peuvent exister. Depuis 2017, les autorités exigent que les services de VPN commerciaux opèrent sous licence délivrée par le MIIT, notamment la licence B13 (IP-VPN), qui encadre les réseaux privés virtuels fournis par les opérateurs télécoms. Ce régime implique le respect des obligations de supervision du réseau, incluant la journalisation de certaines données de connexion (enregistrement horodaté des accès et opérations réalisés sur un système), et la conformité aux mécanismes de filtrage du Great Firewall. Les VPN autorisés doivent ainsi s’intégrer au dispositif national de contrôle du trafic Internet, ce qui permet aux autorités chinoises d’en superviser l’usage.

Les juridictions occidentales, souvent perçues comme plus protectrices des libertés numériques, ne constituent cependant pas des espaces totalement étanches. Plusieurs affaires ont montré que des fournisseurs ont eu à transmettre des données censées être protégées.

En 2017, PureVPN a fourni des informations au FBI permettant d’identifier un utilisateur suspecté de cyberharcèlement. Quelques années auparavant, IPVanish avait remis des journaux de connexion détaillés au Department of Homeland Security dans le cadre d’une enquête criminelle, et HMA avait transmis l’adresse IP d’un pirate informatique, sur ordonnance du tribunal. 

Au-delà du discours commercial, le VPN ne constitue donc pas une zone de non-droit numérique. Il reste un service inséré dans un cadre juridique et infrastructurel où l’État conserve, en dernier ressort, des moyens pour imposer ses règles. Même lorsqu’un fournisseur affirme ne pas enregistrer l’historique du trafic ou le contenu des communications, certaines métadonnées de connexion peuvent subsister : horaires d’accès, durée des sessions, volumes de données transférées ou adresses IP d’origine. Croisées avec d’autres sources d’information, ces traces pourraient suffire à reconstituer l’activité d’un utilisateur. 

Des tentatives d’indépendance parfois limitées

Dans un marché global dominé par quelques conglomérats technologiques, certains fournisseurs revendiquent un modèle plus indépendant, fondé sur une minimisation radicale de la collecte de données et une gouvernance transparente. 

Le fournisseur suédois Mullvad a ainsi démontré l’absence de journaux exploitables lors d’une perquisition policière en 2023. Il s’agit d’un cas rare où la promesse « no-log » a été éprouvée dans un contexte opérationnel. La police n'a pu récupérer de donnée exploitable, car l'architecture même du service empêche techniquement leur conservation.

Le fournisseur suisse Proton VPN met également en avant sa gouvernance indépendante et des audits de sécurité réguliers. Néanmoins, une décision de la justice suisse a contraint l’entreprise à collecter l’adresse IP d’un militant politique ciblé dans le cadre d’une enquête internationale, initiée par la justice française via Europol. Cette dépendance juridique pourrait encore se renforcer avec l’évolution du cadre réglementaire : la révision de l’Ordonnance suisse sur la surveillance de la correspondance par poste et télécommunication (OSCPT) prévoit notamment d’étendre les obligations de transmission de métadonnées à certains services numériques. En 2025, Proton a donc choisi de relocaliser une partie de son infrastructure physique (serveurs) vers l’Allemagne et la Norvège, tout en conservant son siège social à Genève. 

La question de la confiance dans les VPN ne peut être réduite à la seule bonne volonté des fournisseurs. Même les acteurs les plus transparents restent attachés à des infrastructures physiques, des data centers et des juridictions nationales capables d’imposer leurs propres règles. L’indépendance totale d’un fournisseur VPN apparaît ainsi comme une illusion technique : au-delà de l’architecture logicielle, le pouvoir de contrainte réside dans l’environnement légal et géopolitique de l’infrastructure.

La souveraineté à l’épreuve des infrastructures invisibles

L'ANSSI confirme que l’exploitation de vulnérabilités, en particulier sur les équipements exposés sur Internet, est un vecteur prioritaire de cyberattaque. Pour les entreprises et administrations européennes, l’usage massif de VPN étrangers constituerait une externalisation silencieuse d’une fonction stratégique de cybersécurité.

Si l’Amérique du Nord représente à elle seule presque 40% du marché mondial des VPN, l’autre part se répartit majoritairement entre l’Europe et l’Asie-Pacifique. Cette répartition géographique masque une réalité encore plus concentrée puisque de nombreux services présentés comme européens ou offshore sont en réalité intégrés à des groupes internationaux ou financés par des capitaux étrangers. Par exemple, le « leader européen » NordVPN opère sous juridiction panaméenne, tandis que sa société mère (Nord Security) est basée aux Pays-Bas. Dans sa communication institutionnelle, elle met en avant le fait que groupe capitalise sur la juridiction favorable à la protection des données du Panama. Cela étant, si le pays n’appartient effectivement pas aux alliances de renseignement occidentales, il dispose de mécanismes de coopération judiciaire avec les États-Unis. De même, ExpressVPN est enregistrée dans les îles Vierges britanniques, mais appartient au groupe Kape Technologies, tout comme CyberGhost, pourtant basée en Roumanie. Dans la pratique, la protection des utilisateurs dépend moins de la juridiction que de la politique réelle de non-conservation des logs des fournisseurs VPN. 

À mesure que les flux de données deviennent un levier central de puissance, le VPN cesse d’être un simple outil technique pour devenir un levier stratégique. Derrière la promesse de confidentialité se dessine en réalité un espace de compétition où s’entremêlent intérêts industriels, capacités de renseignement et logiques de souveraineté numérique. La concentration du marché entre quelques acteurs dominants, majoritairement issus d’écosystèmes technologiques extra-européens, souligne le décalage entre l’usage massif en Europe de ces solutions et la maîtrise réelle de leurs infrastructures.

Dans ce contexte, l'enjeu pour les États européens n'est pas seulement réglementaire, car le VPN apparaît ainsi comme un révélateur d'un enjeu plus large : celui de la souveraineté sur les architectures invisibles qui structurent l'espace numérique. Pour sortir de cette vulnérabilité, l'Europe doit dépasser le simple constat défensif et structurer une véritable contre-offensive industrielle.

Marin Gaultier
MBA Risques, Sûreté Internationale et Cybersécurité (RSIC)

Sources

Presse et enquêtes journalistiques

Rapports et documents officiels

Études de marché et analyses sectorielles

Autres sources

.
Demande d'informations
ESLSCA SA, Ecole de Commerce privée française, accorde une grande importance à la protection de vos données à caractère personnel.

Par suite, ESLSCA SA vous informe qu’elle traitera vos données à caractère personnel en vue de vous contacter et  vous informer du programme choisi lors des deux prochaines rentrées. Après cette période-là où dès que les informations demandées vous seront fournies, vos données seront supprimées.

Conformément à la loi Informatique et Libertés du 6 janvier 1978 modifiée et au Règlement (UE) 2016/679 relatif à la protection des données à caractère personnel, vous disposez des droits suivants sur vos données: droit d’accès, droit de rectification, droit à l’effacement (droit à l’oubli), droit d’opposition, droit à la limitation du traitement, droit à la portabilité. Vous pouvez également définir des directives relatives à la conservation, à l'effacement et à la communication de vos données à caractère personnel après votre décès. En cas de manquement aux dispositions ci-dessus, vous avez le droit d’introduire une réclamation auprès de la CNIL.

Pour exercer vos droits, merci d’adresser votre courrier RAR à l’adresse suivante DPO Planeta Formation France, 70, Galerie des Damiers, 92415 Courbevoie ou à l’adresse électronique suivante [email protected]