NordVPN et ExpressVPN ont raté leurs demandes RGPD (Tant pis pour la vie privée)

« Nous protégeons votre vie privée. » C’est ce que dit chaque VPN. Puis quelqu’un leur a demandé de le prouver — et 9 sur 10 ont échoué.

Résultats du test de demande RGPD : Qui respecte vraiment vos droits ?

Fournisseur VPN	Temps de réponse	Délai légal	Qualité de la réponse	Résultat
Surfshark	4 heures	30 jours	Rapport PDF détaillé avec toutes les données personnelles	✅ RÉUSSI
NordVPN	8+ semaines	30 jours	Aucune donnée fournie	❌ ÉCHOUÉ
TunnelBear	8+ semaines	30 jours	Aucune donnée fournie	❌ ÉCHOUÉ
Hotspot Shield	8 semaines	30 jours	Fichiers CSV illisibles (pas d'en-têtes de colonnes)	❌ ÉCHOUÉ
ProtonVPN	Dans les 30 jours	30 jours	Réponse type renvoyant à la politique de confidentialité	❌ ÉCHOUÉ
ExpressVPN	Inconnu	30 jours	Réponse problématique	❌ ÉCHOUÉ
4 autres VPN	Variable	30 jours	Standards non respectés	❌ ÉCHOUÉ

Source : Test exclusif TechRadar de demandes RGPD, janvier 2026. Demandes envoyées le 5 janvier 2026 au titre de l'article 15 du RGPD (droit d'accès).

En janvier 2026, TechRadar a envoyé des demandes d’accès au titre de l’article 15 du RGPD à 10 grands fournisseurs VPN. C’est un droit fondamental prévu par la législation européenne — vous demandez à une entreprise quelles données personnelles elle détient sur vous, et elle a 30 jours pour répondre.

Un seul VPN a répondu correctement. Un sur dix.

Les autres ? Ils ont soit dépassé le délai légal, envoyé des données illisibles, renvoyé à leur politique de confidentialité au lieu de fournir les données demandées, ou tout simplement n’ont pas répondu du tout.

Ce sont des entreprises qui dépensent des centaines de millions en marketing pour vous dire qu’elles protègent votre vie privée. Elles ne sont même pas capables de répondre à une demande légale basique concernant vos propres données.

Déclaration de commissions :

ProtonVPN : ~$25/vente
Mullvad : $0 (pas de programme d’affiliation)
NordVPN, ExpressVPN, Surfshark : Non recommandés malgré $60-150/vente disponibles
Je critique ProtonVPN alors que je suis affilié. C’est la règle sur ce site.

⚡ Verdict en 30 secondes

Seul Surfshark a répondu correctement — PDF détaillé en 4 heures
NordVPN et TunnelBear ont dépassé le délai légal de 30 jours — aucune donnée fournie après 8 semaines
Hotspot Shield a envoyé des fichiers CSV illisibles avec des noms de colonnes cryptiques (“field_0” à “field_32”)
ProtonVPN a envoyé des réponses types renvoyant à leur politique de confidentialité au lieu de fournir les données utilisateur réelles
9 VPN sur 10 ont échoué à fournir une réponse RGPD complète et dans les délais
La sanction légale en cas de non-conformité : jusqu’à 20 millions € ou 4 % du chiffre d’affaires mondial
Plus de 70 % des fournisseurs VPN enfreignent le RGPD selon des études plus larges

Ce que l’article 15 du RGPD exige réellement

Avant de voir qui a échoué, clarifions ce que la loi exige.

L’article 15 du RGPD — le « droit d’accès » — stipule que vous pouvez demander à toute entreprise traitant vos données personnelles de vous indiquer :

Quelles données personnelles elle détient sur vous
Pourquoi elle les traite
À qui elle les communique
Combien de temps elle les conserve
Vos droits à les faire rectifier ou supprimer

L’entreprise a 30 jours pour répondre. Si la demande est complexe, elle peut prolonger de deux mois — mais elle doit vous notifier dans le premier mois qu’elle a besoin de plus de temps.

Ce n’est pas une suggestion. C’est la loi européenne. La sanction en cas de non-conformité va jusqu’à 20 millions € ou 4 % du chiffre d’affaires annuel mondial — le montant le plus élevé étant retenu.

Pour NordVPN (chiffre d’affaires estimé à $500M+), cela représente potentiellement $20 millions d’amendes.

Les résultats du test

Surfshark : Le seul à avoir réussi

Temps de réponse : 4 heures.

Pas 4 jours. Pas 4 semaines. Quatre heures.

Surfshark a envoyé un rapport PDF détaillé et professionnel contenant toutes les données personnelles liées au compte, dans un format lisible et organisé. Ils ont traité la demande RGPD comme une obligation légale sérieuse — parce que c’en est une.

L’ironie ? Surfshark appartient à Nord Security — la même entreprise qui possède NordVPN. Même maison mère, standards de conformité complètement différents.

J’ai déjà écrit sur ce problème de fausse concurrence. Maintenant ça s’étend aussi à la conformité légale.

NordVPN : L’entreprise de confidentialité qui ne respecte pas vos droits à la vie privée

Temps de réponse : 8+ semaines. Aucune donnée fournie.

NordVPN — l’entreprise qui dépense probablement plus en sponsoring YouTube que n’importe quel autre VPN — n’a pas pu répondre à une simple demande d’accès aux données dans le délai légal de 30 jours. Ni en 60 jours. Ni même en 8 semaines.

Leur excuse ? Des problèmes de « vérification d’identité ».

C’est la même entreprise qui se vend sur la confidentialité et les rapports de transparence. La même entreprise qui a discrètement modifié sa politique « ne coopérera pas » en « ne coopérera que ». La même entreprise qui s’est fait pirater et a menti à ce sujet.

Et maintenant, ils ne peuvent même pas respecter votre droit fondamental de savoir quelles données ils détiennent sur vous.

TunnelBear : Même échec, moins d’excuses

Temps de réponse : 8+ semaines. Aucune donnée fournie.

TunnelBear a un Privacy Center où les utilisateurs peuvent soi-disant consulter les données collectées par le service. Mais face à une véritable demande RGPD formelle ? Rien. Même échec que NordVPN — au-delà du délai légal sans aucune donnée fournie.

Hotspot Shield : La réponse illisible

Temps de réponse : 8 semaines. Données fournies — mais illisibles.

Hotspot Shield a fini par envoyer sept fichiers CSV. Le problème ? Pas d’en-têtes de colonnes. Des données étiquetées de manière cryptique de “field_0” à “field_32”. Sans savoir ce que chaque champ représente, les données sont inutiles. Autant les avoir chiffrées.

Techniquement, ils ont répondu. En pratique, ils n’ont rien respecté. Le RGPD exige que les données soient fournies dans un « format électronique couramment utilisé » que la personne concernée peut réellement comprendre. Des colonnes numérotées au hasard ne sont pas conformes.

ProtonVPN : La déception

Temps de réponse : Dans les 30 jours. Mais sans réellement se conformer.

ProtonVPN n’a pas dépassé le délai. Mais au lieu de fournir les données personnelles réelles, ils ont envoyé des réponses types invitant l’utilisateur à consulter leur politique de confidentialité publique.

Ce n’est pas comme ça que fonctionne l’article 15. L’obligation d’une entreprise de fournir vos données personnelles spécifiques ne peut pas être satisfaite en renvoyant à un document public générique. « Lisez notre politique de confidentialité » n’est pas une réponse RGPD valide.

C’est particulièrement décevant de la part de Proton — une entreprise que je recommande effectivement et dont je tire des revenus. Leur politique de confidentialité est vraiment bonne. Leur VPN a passé quatre audits no-logs consécutifs. Mais la conformité RGPD est une chose à part, et ils l’ont mal gérée.

Je continue de les recommander pour le VPN en lui-même. Mais ça devait être dit.

Le problème plus large : Plus de 70 % des VPN enfreignent le RGPD

Ce n’était pas un test isolé. Des recherches plus larges dressent un tableau encore pire.

Selon l’analyse de TechRadar, plus de 70 % des fournisseurs VPN enfreignent le RGPD. Une étude séparée de VPN Ranks a révélé que 46 fournisseurs VPN sur 83 ne sont pas conformes.

L’industrie VPN a un problème systémique avec le RGPD. Ces entreprises se présentent comme des outils de protection de la vie privée tout en ne respectant pas la loi sur la vie privée la plus fondamentale au monde.

Ce que ça dit sur les promesses « no-logs »

Voilà la question qui dérange : si un VPN ne peut même pas traiter correctement une demande RGPD, qu’est-ce que ça dit de sa maturité opérationnelle ?

Les entreprises qui mentent sur leurs politiques no-logs sont un problème. Les entreprises qui utilisent les audits comme accessoires marketing en sont un autre. Mais les entreprises qui ne peuvent pas se conformer à une demande légale simple ? C’est un problème de compétence.

Si les systèmes de NordVPN sont tellement désorganisés qu’ils ne peuvent pas localiser et compiler vos données personnelles en 30 jours, quelle confiance devriez-vous avoir dans leur gestion (ou non-gestion) de vos journaux de connexion ?

Les VPN qui n’arrivent même pas à gérer le RGPD ne gèrent probablement pas grand-chose d’autre correctement non plus. Et quand des gouvernements bloquent activement les VPN, des échecs de conformité comme ceux-ci deviennent plus que de simples problèmes administratifs.

Ce que vous pouvez faire

Exercez vos droits

Vous pouvez envoyer une demande au titre de l’article 15 du RGPD à tout VPN que vous utilisez. Voilà ce qu’il faut inclure :

Indiquez que vous faites une demande au titre de l’article 15 du RGPD
Demandez toutes les données personnelles qu’ils détiennent sur vous
Demandez les finalités du traitement
Demandez à qui ils communiquent vos données
Demandez combien de temps ils conservent vos données
Envoyez la demande à leur Délégué à la Protection des Données (généralement mentionné dans leur politique de confidentialité)

Ils ont 30 jours. S’ils ne répondent pas, vous pouvez déposer une plainte auprès de votre autorité locale de protection des données.

Choisissez des VPN qui respectent vraiment vos droits

Les VPN que je recommande :

Mullvad VPN — €5/mo (Commission: $0)

Prouvé devant les tribunaux — impossible de fournir des données qu’ils ne possèdent pas
Système par numéro de compte — pas d’e-mail, pas de nom, pas de données personnelles à demander
La question du RGPD se pose à peine car ils collectent à peine des données
Commission : $0 (pas de programme d’affiliation)

ProtonVPN — From $4.99/mo (Commission: ~$25)

Quatre audits no-logs consécutifs (Securitum)
Juridiction suisse avec des lois strictes sur la vie privée
A mal géré la demande RGPD (réponse type) — mais le VPN en lui-même est solide
Commission : ~$25/vente (déclarée)

Pourquoi pas Surfshark ? Ils ont réussi le test RGPD haut la main, mais ils appartiennent à Nord Security — la même entreprise dont l’autre produit (NordVPN) a lamentablement échoué. Lisez notre test de Surfshark pour avoir le tableau complet.

Le mot de la fin

Neuf entreprises VPN sur dix ont échoué à un test légal basique sur la vie privée.

Ce sont des entreprises qui dépensent des centaines de millions en marketing pour vous dire qu’elles protègent votre vie privée. Elles achètent des sponsorings YouTube. Elles paient des influenceurs. Elles diffusent des publicités effrayantes sur les hackers du WiFi public. Elles promettent un chiffrement de niveau militaire et des politiques no-logs.

Puis quelqu’un leur demande de prouver qu’elles respectent vos droits sur vos données — une obligation légale, pas une faveur — et 90 % d’entre elles n’y arrivent pas.

NordVPN n’a pas pu répondre en 8 semaines. Hotspot Shield a envoyé des données illisibles. ProtonVPN a renvoyé à sa politique de confidentialité. Seul Surfshark — ironie du sort, propriété de la même entreprise que NordVPN — a traité la demande comme l’obligation légale qu’elle est.

S’ils ne sont pas capables de gérer le RGPD, avez-vous vraiment besoin d’un VPN de ces entreprises ? La réponse est peut-être des outils de confidentialité gratuits qui fonctionnent vraiment — pour $0.

Ne me croyez pas — vérifiez tout

Transparence totale : Je gagne de l’argent grâce à ProtonVPN (~$25/vente) et $0 grâce à Mullvad. J’ai dénoncé l’échec RGPD de ProtonVPN dans cet article malgré mon affiliation. NordVPN, ExpressVPN et Surfshark offrent $60-150/vente — je ne les recommande pas.