VPN & TPE

Le protocole utilisé

Le protocole VPN détermine comment le tunnel est chiffré et maintenu. Ce n'est pas un détail — deux services qui affichent "chiffrement AES-256" peuvent offrir des niveaux de sécurité très différents selon le protocole sous-jacent.

ProtocoleVerdictCas d'usage
WireGuard Recommandé Rapide, léger, audité. Idéal pour les appareils mobiles et les nouveaux déploiements.
IKEv2 / IPsec Recommandé Recommandé par l'ANSSI. Bon support mobile, gère bien les changements de réseau.
OpenVPN Acceptable Mature et audité, mais plus lent. Utile quand les autres protocoles sont bloqués.
L2TP / IPsec Legacy Double encapsulation inutile. À éviter si WireGuard ou IKEv2 est disponible.
PPTP À proscrire Cassable. Ne jamais utiliser pour des données professionnelles.

La politique de logs et la juridiction

Un fournisseur qui affirme "ne pas conserver de logs" peut légalement mentir, se tromper sur ce qu'il conserve, ou être contraint à la divulgation par les autorités de sa juridiction. Ces trois dimensions sont indépendantes et toutes trois importantes.

Juridiction et lois applicables

Un fournisseur immatriculé aux États-Unis est soumis au CLOUD Act (2018), qui peut contraindre n'importe quelle entreprise américaine à transmettre des données aux autorités US, même si ces données sont physiquement stockées en Europe. Le Patriot Act avait une portée similaire. Un fournisseur européen est soumis à la demande judiciaire de son pays d'immatriculation.

Pour une TPE française traitant des données sensibles, un fournisseur immatriculé dans un pays sans accord de surveillance avec la France (Suisse, Islande) offre théoriquement plus de protection juridictionnelle qu'un fournisseur américain avec des serveurs en France.

Les audits no-logs

Certains fournisseurs font auditer leur politique de non-journalisation par des cabinets indépendants. Ces audits vérifient à un instant T que la configuration technique ne produit pas de logs identifiants. Ils ne garantissent pas que cette configuration sera maintenue, ni que les données ne peuvent pas être obtenues par d'autres vecteurs (infrastructure upstream, fournisseur d'hébergement). Un fournisseur qui audite régulièrement et publie les rapports complets est plus crédible qu'un autre — mais la garantie reste limitée.

Les fonctionnalités indispensables pour une TPE


Évaluer un contrat VPN d'entreprise

Au-delà des caractéristiques techniques, un service VPN managé par un tiers est un sous-traitant au sens du RGPD dès lors que vos collaborateurs y connectent des appareils traitant des données personnelles. Le contrat doit inclure un Data Processing Agreement (DPA) précisant les finalités du traitement, les mesures de sécurité, et les conditions de suppression des données.

Un fournisseur qui ne propose pas de DPA n'est pas un partenaire sérieux pour une TPE soumise au RGPD. La page sur la conformité réglementaire détaille ces obligations.