Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur en 2018 et a transformé la façon dont les entreprises doivent traiter vos données. C’est une avancée réelle. Mais il y a une confusion fréquente : le RGPD ne protège pas votre vie privée en ligne de façon globale. Il encadre le traitement des données par les entreprises, mais pas la collecte de votre adresse IP par votre FAI, pas la surveillance des réseaux publics, pas l’espionnage commercial généralisé.
C’est là qu’un VPN entre en jeu.
Ce que le RGPD protège vraiment
Le RGPD oblige les entreprises qui collectent vos données à :
- Vous informer de ce qu’elles collectent et pourquoi
- Obtenir votre consentement pour les traitements non-essentiels
- Vous permettre d’accéder à vos données, de les corriger ou de les supprimer
- Ne pas les transférer hors UE sans garanties adéquates
- Les protéger par des mesures de sécurité appropriées
Vos droits RGPD sont réels. Vous pouvez écrire à n’importe quelle entreprise pour demander une copie de vos données ou leur suppression, et elle a 30 jours pour répondre.
Ce que le RGPD ne couvre pas
Votre FAI. Votre fournisseur d’accès Internet voit tout ce que vous faites en ligne : quels sites vous visitez, à quelle heure, depuis quel appareil. En France, la loi autorise la conservation de ces données de connexion pendant un an. Ce n’est pas une violation du RGPD — c’est une exception légale.
Les sites que vous visitez. Même si un site respecte le RGPD, il voit votre adresse IP, votre navigateur, votre système d’exploitation, et peut construire un profil comportemental.
Les trackers publicitaires. Le consentement aux cookies est souvent présenté de façon trompeuse. Même quand vous refusez, certains trackers continuent de fonctionner via des techniques comme le fingerprinting.
Les réseaux Wi-Fi publics. Le RGPD ne vous protège pas contre quelqu’un qui intercepte votre connexion dans un café.
Les États et services de renseignement. Le RGPD ne s’applique pas aux activités de sécurité nationale. Les services de renseignement peuvent avoir accès à vos communications dans des cadres légaux spécifiques.
Comment un VPN complète la protection RGPD
Un VPN ne remplace pas le RGPD — il s’y ajoute.
Il masque votre adresse IP. Quand vous surfez avec un VPN, les sites web voient l’IP du serveur VPN, pas la vôtre. Vos données de navigation chez votre FAI ne contiennent que la connexion chiffrée vers le serveur VPN — pas les sites que vous visitez.
Il chiffre votre connexion. Sur un Wi-Fi public ou mal sécurisé, vos données sont illisibles pour quiconque intercepterait le trafic.
Il réduit le profilage géographique. Votre localisation approximative (et donc vos habitudes de déplacement) n’est plus visible des sites que vous visitez.
Les droits RGPD que vous devriez exercer
Indépendamment de votre usage d’un VPN, voici des démarches concrètes.
Demandez vos données chez les grandes plateformes. Facebook, Google, Amazon, LinkedIn — toutes ces entreprises ont accumulé des données sur vous. Vous pouvez télécharger une copie via les paramètres de confidentialité de chaque service.
Exercez votre droit à l’effacement. Si vous avez un compte que vous n’utilisez plus, demandez la suppression de vos données. La plateforme a 30 jours pour traiter la demande.
Refusez les cookies analytiques. Au-delà du bouton “Refuser tout”, utilisez un bloqueur de publicités (uBlock Origin, Privacy Badger) qui bloque les trackers à la source.
Vérifiez les transferts de données hors UE. Si un service utilise des sous-traitants américains (AWS, Google Cloud, Salesforce…), vos données peuvent être accessibles aux autorités américaines via le Cloud Act. Ce n’est pas interdit, mais c’est à savoir.
Choisir un VPN respectueux des données personnelles
Ironiquement, un VPN peut lui-même être une menace pour votre vie privée s’il est mal choisi.
Un fournisseur VPN voit tout votre trafic déchiffré à sa sortie. S’il conserve des logs détaillés et les vend à des annonceurs (pratique courante chez les VPN gratuits), vous avez juste déplacé le problème.
Critères RGPD pour choisir un VPN :
Juridiction. Un VPN basé dans l’UE est soumis au RGPD pour la protection de vos données clients (facturation, emails). Un VPN hors UE peut offrir une protection différente selon ses lois locales. NordVPN (Panama), Mullvad (Suède/UE), ProtonVPN (Suisse) — chaque situation a ses avantages et limites.
Politique no-logs auditée. Préférez les fournisseurs dont la politique no-logs a été vérifiée par un auditeur indépendant (Deloitte, PwC, Cure53).
Transparency reports. Les bons fournisseurs publient régulièrement des rapports sur les demandes légales reçues et leur traitement. NordVPN, ProtonVPN et Mullvad le font.
Paiement. Si la confidentialité maximale est votre objectif, Mullvad accepte les espèces et Monero. Pas de lien entre votre identité et votre abonnement VPN.
La combinaison optimale pour votre vie privée
Le RGPD et un VPN ne sont pas en opposition — ils se complètent.
- RGPD : vos droits sur les données collectées par les entreprises
- VPN : protection de votre trafic en temps réel
Ajoutez à ça un navigateur respectueux (Firefox avec uBlock Origin), un moteur de recherche qui ne collecte pas de profil (DuckDuckGo, Qwant), et vous avez une approche de confidentialité cohérente.
Aucune de ces mesures n’est parfaite isolément. Ensemble, elles réduisent significativement votre surface de suivi.