📋 Contenu de cet article

  1. C'est quoi exactement, les Five Eyes?
  2. CSE vs SCRS — qui fait quoi
  3. Ce que les FAI canadiens sont tenus de conserver
  4. Windscribe : le paradoxe du VPN canadien
  5. Quand les Five Eyes changent vraiment quelque chose
  6. Quand ça ne change pas grand-chose pour vous
  7. Février 2025 : le Canada presque exclu des Five Eyes
  8. Ce qui vous protège réellement
  9. Juridictions VPN hors Five Eyes
  10. Questions fréquentes

C'est quoi exactement, les Five Eyes?

Les Five Eyes (abrégé FVEY) sont une alliance de renseignement dont les origines remontent à la Seconde Guerre mondiale. Initialement un accord de partage de signaux entre les États-Unis et le Royaume-Uni, elle a été formalisée après la guerre pour inclure le Canada, l'Australie et la Nouvelle-Zélande — cinq pays anglophones avec des liens historiques étroits.

L'accord de base : chaque pays collecte du renseignement électronique dans sa zone géographique et le partage avec les autres. En théorie, ça évite d'espionner ses propres citoyens directement — on fait faire le sale boulot par un partenaire. Les révélations d'Edward Snowden en 2013 ont confirmé que ce mécanisme existe bien et qu'il opère à grande échelle.

🇨🇦
Canada
CSE
🇺🇸
États-Unis
NSA
🇬🇧
Royaume-Uni
GCHQ
🇦🇺
Australie
ASD
🇳🇿
Nouvelle-Zélande
GCSB

Il existe aussi des cercles élargis : les Nine Eyes ajoutent la France, les Pays-Bas, la Norvège et le Danemark. Les Fourteen Eyes incluent en plus l'Allemagne, la Belgique, l'Italie, l'Espagne et la Suède. Ces pays partagent moins, et de façon moins systématique — mais le partage existe.

📌 La nuance importante Ces alliances concernent principalement le renseignement étranger — espionnage d'États, terrorisme, prolifération nucléaire. Ce n'est pas un programme de surveillance de masse dirigé contre les citoyens ordinaires qui téléchargent Netflix ou utilisent des forums. Mais l'infrastructure technique qui rend ce renseignement possible est la même que celle qui pourrait, dans d'autres contextes, toucher des gens ordinaires.

CSE vs SCRS — qui fait quoi

Au Canada, deux agences sont au cœur de la surveillance : le CSE et le SCRS. Elles ont des mandats très différents, et la confusion entre les deux est courante.

Le CSE — Centre de la sécurité des télécommunications

Le CSE est l'agence de renseignement électronique du Canada — l'équivalent de la NSA américaine ou du GCHQ britannique. Son mandat officiel inclut la collecte de renseignement étranger par voie électronique, la protection des systèmes d'information du gouvernement fédéral, et le soutien aux opérations militaires et aux enquêtes de sécurité nationale.

Légalement, le CSE n'est pas autorisé à cibler directement les communications des Canadiens ou des personnes se trouvant au Canada. Mais les programmes de surveillance de masse que les documents Snowden ont exposés ne fonctionnent pas par ciblage individuel — ils collectent tout et filtrent ensuite. Ce que le CSE fait exactement en 2026 n'est pas public.

Le SCRS — Service canadien du renseignement de sécurité

Le SCRS est l'agence de renseignement intérieure du Canada — plus proche du FBI américain. Il mène des enquêtes de sécurité nationale, surveille des individus soupçonnés de représenter une menace à la sécurité du pays, et produit des évaluations de menaces pour le gouvernement.

Contrairement au CSE, le SCRS peut effectivement cibler des personnes au Canada — mais avec des autorisations judiciaires (mandats). Il peut également partager des informations avec ses homologues Five Eyes. Si vous êtes dans le viseur d'une enquête de sécurité nationale, c'est le SCRS qui s'en occupe, pas le CSE.

La GRC — troisième acteur à ne pas oublier

La Gendarmerie royale du Canada joue aussi un rôle : elle mène des enquêtes criminelles qui peuvent impliquer des demandes de données auprès des FAI, des plateformes en ligne, et des fournisseurs de services. Les demandes d'accès légal aux données d'abonnés passent souvent par la GRC. En 2022, Bell et Rogers ont répondu à plus de 700 000 demandes de ce type au Canada — un chiffre qui illustre l'ampleur de la surveillance ordinaire.

🎯 Ce qui change concrètement pour vous La distinction CSE/SCRS/GRC n'est pas une question académique. Ce qui touche vraiment les gens ordinaires, c'est la GRC et les demandes d'accès légal ordinaires — pas les programmes de renseignement de masse. Un VPN avec no-logs vous protège des deux : ni votre FAI ni le fournisseur VPN n'ont de données à transmettre sur une ordonnance judiciaire.

Ce que les FAI canadiens sont tenus de conserver

Contrairement à ce que beaucoup croient, il n'existe pas de loi canadienne imposant aux FAI une durée minimale de rétention des données de navigation — pas d'équivalent canadien à la directive européenne sur la conservation des données (qui a d'ailleurs été invalidée par la Cour de justice de l'UE en 2014 pour atteinte aux droits fondamentaux).

Mais l'absence d'obligation légale de conserver ne signifie pas que les FAI ne conservent pas. Bell, Vidéotron, Rogers et Telus conservent des métadonnées de connexion pendant des mois, voire des années, pour leurs propres fins commerciales — facturation, résolution de litiges, ciblage publicitaire dans certains cas.

Ce que les FAI peuvent voir et conserver

  • Requêtes DNS : Chaque nom de domaine que vous visitez — sauf si vous utilisez un DNS chiffré ou un VPN.
  • Métadonnées de connexion : Adresses IP des serveurs contactés, horodatage, durée, volume de données.
  • Données d'identification de l'abonné : Votre nom, adresse, numéro de compte — liés à votre adresse IP à un moment donné.
  • Informations de facturation : Conservées généralement 7 ans (obligations comptables).

Les demandes d'accès légal : des chiffres édifiants

En vertu de la loi canadienne, les autorités peuvent obtenir des données d'abonné auprès des FAI via des ordonnances judiciaires. Les FAI sont également tenus de divulguer des informations d'identification de base (nom et adresse d'un abonné derrière une IP) sans ordonnance dans certains cas d'urgence, selon la Loi sur la protection des renseignements personnels et les documents électroniques.

Le Rapport de transparence de Bell indique des dizaines de milliers de demandes gouvernementales par année. Rogers en reçoit autant. Vidéotron ne publie pas de rapport de transparence détaillé. Ces données montrent que l'accès légal aux données d'abonnés n'est pas rare — c'est une pratique courante et bien rodée.

⚠️ La fenêtre que HTTPS ne ferme pas HTTPS chiffre le contenu des pages que vous consultez — votre FAI ne peut pas lire vos messages ni vos mots de passe. Mais il voit toujours les noms de domaine que vous visitez via vos requêtes DNS. Savoir que vous avez consulté un forum de santé mentale à 2h du matin, pendant trois heures, c'est déjà beaucoup d'information sans jamais lire le contenu. Un VPN chiffre tout, DNS compris.

Windscribe : le paradoxe du VPN canadien

🇨🇦 Windscribe — un bon VPN dans un mauvais pays pour la juridiction

Windscribe est un VPN canadien respecté : code client open source, politique no-logs sérieuse, plan gratuit généreux (10 Go/mois), et un fondateur vocal sur les questions de vie privée. C'est un produit techniquement honnête, développé par une petite équipe à Toronto.

Le problème : le Canada est membre des Five Eyes. Une ordonnance judiciaire canadienne peut forcer Windscribe à coopérer avec les autorités canadiennes — et potentiellement, les informations partagées peuvent remonter aux partenaires Five Eyes.

En 2021, des serveurs Windscribe loués en Ukraine ont été saisis par les autorités locales. Windscribe a pu confirmer qu'il n'y avait aucun log compromettant — preuve que leur politique no-logs est réelle. Mais l'incident illustre un principe : même un bon VPN peut faire face à des demandes légales.

✅ Quand Windscribe est suffisant
Protéger sa navigation de son FAI. Contourner des géoblocages. Sécuriser un WiFi public. Usage quotidien normal. Pour ces usages, la juridiction importe peu — ce qui compte, c'est la politique no-logs.
⚠️ Quand une juridiction hors Five Eyes est préférable
Journalistes avec des sources confidentielles. Activistes surveillés. Dissidents. Personnes ciblées par une enquête gouvernementale. Si votre adversaire, c'est un État, la juridiction compte.

La réalité pragmatique : pour 95 % des utilisateurs de VPN au Québec, Windscribe est un excellent choix. La juridiction Five Eyes ne change rien à votre protection contre votre FAI, contre le pistage publicitaire, ou contre un voleur sur un WiFi public. La nuance existe, mais elle concerne une minorité d'utilisateurs avec des besoins spécifiques.

Quand les Five Eyes changent vraiment quelque chose

Soyons directs : les Five Eyes sont une menace réelle dans des contextes précis. Ignorer complètement la question serait naïf. Mais la traiter comme une menace pour tout le monde serait aussi faux.

Profil Risque Five Eyes Recommandation
Journaliste avec des sources confidentielles Élevé VPN hors Five Eyes + Tor + pratiques OPSEC sérieuses
Activiste ciblé par une organisation gouvernementale Élevé VPN hors Five Eyes, communications chiffrées (Signal)
Avocat avec des communications protégées client-avocat sensibles Modéré VPN hors Five Eyes, messagerie E2E, audit de sécurité
Lanceur d'alerte travaillant avec des journalistes Élevé SecureDrop, Tor, VPN hors Five Eyes, cloisonnement strict
Citoyen ordinaire, navigation courante Faible N'importe quel VPN no-logs suffit pour protéger de votre FAI
Utilisateur géoblocage / streaming Très faible La juridiction du VPN est sans importance pour cet usage
Personne protégeant sa vie privée des annonceurs Faible VPN + bloqueur de traceurs, juridiction secondaire

Le vrai risque : la demande légale ordinaire

La menace la plus concrète n'est pas la NSA qui surveille votre navigation — c'est une ordonnance judiciaire canadienne ordinaire envoyée à votre fournisseur VPN canadien. Si ce fournisseur est sous juridiction canadienne et qu'il reçoit une telle ordonnance, il doit coopérer. Si son siège est en Suisse ou au Panama, il n'a aucune obligation légale envers un tribunal canadien.

Et si son VPN ne conserve aucun log — comme ProtonVPN ou NordVPN l'ont démontré lors d'audits indépendants — il n'a tout simplement rien à fournir.

Quand ça ne change pas grand-chose pour vous

La plupart des gens utilisent un VPN pour deux raisons : protéger leur vie privée de leur FAI, et débloquer du contenu géorestreint. Pour ces deux usages, la juridiction Five Eyes est largement sans importance.

Protection contre votre FAI

Ce qui compte ici, c'est la politique no-logs de votre VPN. Que le serveur soit à Toronto ou à Panama City, si le VPN ne conserve pas de données sur votre activité, votre FAI ne voit qu'un tunnel chiffré vers une IP VPN. Il ne peut pas lire votre navigation, et même sous ordonnance, le fournisseur VPN n'a rien à donner.

Contournement des géoblocages

Netflix, BBC iPlayer, Disney+, RDS, TVA Sports — la juridiction du VPN n'a aucune incidence sur votre capacité à contourner des restrictions géographiques. Ce qui compte, c'est la qualité des serveurs et la vitesse. NordVPN, ExpressVPN et Surfshark fonctionnent bien pour le streaming depuis le Québec, quelle que soit leur juridiction.

Sécurité sur WiFi public

Dans un café, un aéroport ou une université, votre risque principal est un attaquant sur le même réseau qui intercepte votre trafic. N'importe quel VPN actif élimine ce risque — la juridiction ne change strictement rien à cette protection.

💡 Le principe simple Si votre adversaire potentiel est un gouvernement ou une agence de renseignement, la juridiction compte. Si votre adversaire est votre FAI, votre employeur, ou un annonceur, la juridiction importe peu. Pour la grande majorité des Québécois, l'adversaire n'est pas un État.

Février 2025 : le Canada presque exclu des Five Eyes

En février 2025, des reportages ont rapporté que l'administration Trump envisageait d'exclure le Canada de l'alliance Five Eyes en réponse aux tensions commerciales et politiques autour des tarifs douaniers. L'idée — qui aurait marqué la fin d'un accord de renseignement vieux de plus de 75 ans — a été rapidement démentie officieusement, mais le fait que la discussion ait eu lieu publiquement était sans précédent.

L'épisode illustre quelque chose d'important : les alliances de renseignement sont des instruments politiques, pas des structures permanentes. Leur composition et leurs priorités évoluent avec les gouvernements. Ce qui était vrai de la coopération Five Eyes en 2013 — l'époque des révélations Snowden — ne reflète peut-être pas exactement la réalité de 2026.

Pour votre vie privée personnelle, cet épisode n'a pas d'incidence pratique immédiate. Mais il rappelle que se fier à des arrangements politiques pour protéger sa vie privée est moins fiable que se fier à de la cryptographie bien implémentée. Les lois changent, les gouvernements changent, les alliances changent. Un VPN avec no-logs audité et un client open source, lui, offre des garanties indépendantes de la politique du moment.

Ce qui vous protège réellement

La juridiction d'un VPN est une couche de protection juridique. Mais la protection technique vient d'abord. Voici ce qui compte vraiment :

1. Politique no-logs vérifiée indépendamment

Une affirmation no-logs ne vaut rien sans preuve. Les meilleurs VPN se soumettent à des audits indépendants de leur infrastructure et de leurs pratiques — et publient les résultats. NordVPN a été audité par Deloitte, ProtonVPN publie son code client en open source. Quand un VPN dit « nous ne conservons pas de logs », cherchez la vérification externe.

2. Client open source

Si le code du client VPN est ouvert et auditable, n'importe quel chercheur en sécurité peut vérifier qu'il ne fait pas de choses non déclarées. ProtonVPN et Windscribe ont des clients open source — c'est un gage de transparence que les VPN à code fermé ne peuvent pas offrir.

3. Juridiction hors Five Eyes (quand ça compte)

Pour les utilisateurs avec des besoins élevés en confidentialité : Panama, Suisse, et Islande sont des juridictions solides. Ces pays n'ont pas d'obligation de coopérer avec des demandes légales canadiennes ou américaines, et leurs propres lois sur la vie privée sont généralement robustes.

4. Protocoles modernes

WireGuard est aujourd'hui le protocole recommandé — plus rapide, code plus compact et auditable que OpenVPN ou IKEv2. NordVPN l'implémente via NordLynx, ProtonVPN via son propre protocole. Évitez les VPN qui utilisent encore PPTP ou L2TP sans IPsec — ces protocoles ont des failles connues.

Juridictions VPN hors Five Eyes — le tableau pratique

Juridiction Five Eyes? Lois sur la vie privée VPN notable Notre avis
🇨🇭 Suisse Non Parmi les meilleures au monde. Neutralité constitutionnelle. ProtonVPN Excellent
🇵🇦 Panama Non Aucune loi obligeant la conservation des données. Pas de traité d'entraide judiciaire avec les USA sur ce type de demande. NordVPN Excellent
🇮🇸 Islande Non Lois robustes, tradition de liberté de presse et de protection des données. Très bon
🇻🇬 Îles Vierges britanniques Non Territoire britannique mais droit distinct. Pas d'obligation de conservation des données. ExpressVPN Acceptable
🇳🇱 Pays-Bas Nine Eyes Membre UE, RGPD. Nine Eyes — moins de partage systématique que Five Eyes. Surfshark Acceptable
🇺🇸 États-Unis Five Eyes NSL (National Security Letters) peuvent forcer la divulgation de données sans mandat public. Patriot Act. Plusieurs À éviter
🇨🇦 Canada Five Eyes CSE, SCRS, accès légal. Partenaire de partage de renseignement avec les USA. Windscribe Non recommandé (profils sensibles)
🇬🇧 Royaume-Uni Five Eyes IPA 2016 — pouvoirs de surveillance parmi les plus étendus au monde. Plusieurs À éviter

* Cette évaluation concerne la juridiction légale du siège social du fournisseur, pas la localisation des serveurs. Vous pouvez vous connecter à un serveur en France via un VPN dont le siège est au Panama — et la juridiction légale applicable reste le Panama.

Nos trois recommandations pour les Québécois

En tenant compte à la fois de la juridiction, de la politique no-logs, et des performances quotidiennes :

NordVPN
🏅 Meilleur équilibre
  • 🇵🇦 Siège au Panama — hors Five Eyes
  • Audit no-logs par Deloitte
  • 7 400+ serveurs, 118 pays
  • NordLynx (WireGuard) — rapide
  • Kill switch inclus
  • 6 appareils simultanés
Voir l'offre NordVPN → Lien affilié — sans frais pour vous
ProtonVPN
🔓 Open source + gratuit
  • 🇨🇭 Siège en Suisse — hors Five Eyes
  • Code client open source auditable
  • Plan gratuit illimité (données)
  • Secure Core (double VPN)
  • Compatible Tor
  • Fondé par des physiciens du CERN
Voir ProtonVPN → Lien affilié — sans frais pour vous
Surfshark
💻 Appareils illimités
  • 🇳🇱 Siège aux Pays-Bas (Nine Eyes)
  • Appareils illimités par compte
  • Audit no-logs Deloitte
  • Mode Camouflage (obfuscation)
  • Bloqueur pub + malwares inclus
  • Idéal pour les familles
Voir Surfshark → Lien affilié — sans frais pour vous

* Ce tableau contient des liens affiliés. Nos recommandations sont indépendantes de ces commissions.

❓ Questions fréquentes — Five Eyes et vie privée au Canada

Les Five Eyes surveillent-ils les Canadiens ordinaires?

Pas de manière ciblée, non. Le CSE est légalement mandaté pour collecter du renseignement étranger — pas pour surveiller les Québécois qui regardent des vidéos sur YouTube. La GRC et le SCRS peuvent cibler des individus, mais avec des mandats judiciaires.

Ce qui existe par contre, c'est une infrastructure technique de surveillance capable de collecter à grande échelle — et qui peut être orientée vers des cibles spécifiques sur autorisation légale. Pour la grande majorité des gens, cette capacité ne se traduit pas en surveillance active. Mais choisir un VPN hors Five Eyes ajoute une couche de protection légale si ce contexte devait changer.

Windscribe est-il sûr même si c'est un VPN canadien?

Pour la plupart des usages — oui, tout à fait. Windscribe a une politique no-logs réelle, des clients open source, et un historique de transparence. Quand ses serveurs ukrainiens ont été saisis en 2021, les autorités n'ont rien pu récupérer — la politique no-logs a tenu.

La nuance : si vous avez besoin de vous protéger spécifiquement d'une enquête gouvernementale canadienne ou américaine, un VPN sous juridiction hors Five Eyes offre une protection légale supplémentaire que Windscribe ne peut pas offrir, quelle que soit la qualité de sa politique no-logs.

Quelle est la différence entre le CSE et le SCRS?

Le CSE (Centre de la sécurité des télécommunications) collecte du renseignement électronique étranger et protège les systèmes gouvernementaux. C'est l'équivalent canadien de la NSA. Son mandat légal l'empêche de cibler directement les Canadiens.

Le SCRS (Service canadien du renseignement de sécurité) mène des enquêtes de sécurité nationale à l'intérieur du Canada — plus proche du FBI. Il peut cibler des individus au Canada avec des mandats judiciaires. Les deux agences peuvent partager des informations avec leurs homologues Five Eyes.

Un VPN basé hors des Five Eyes me protège-t-il vraiment mieux?

Pour la plupart des gens, la différence est marginale dans la pratique quotidienne. Ce qui compte davantage, c'est la politique no-logs et la robustesse technique du VPN.

Là où la juridiction fait une différence réelle : si vous êtes ciblé par une enquête gouvernementale. Un VPN en Suisse n'est pas soumis aux ordonnances judiciaires canadiennes ou américaines. Il doit répondre à ses propres autorités suisses, selon ses propres lois — et si le VPN n'a pas de logs à donner, même sous pression, il n'y a rien à communiquer.

Les FAI canadiens sont-ils obligés de conserver mon historique de navigation?

Non, il n'existe pas de loi canadienne imposant une durée minimale de rétention des données de navigation — contrairement à certains régimes européens. Mais les FAI comme Bell et Rogers conservent quand même des métadonnées de connexion pendant des mois ou des années pour leurs propres besoins commerciaux.

Ces données peuvent être communiquées aux autorités sur ordonnance judiciaire. En 2022, les grands FAI canadiens ont répondu à plusieurs centaines de milliers de telles demandes. Un VPN avec politique no-logs empêche votre historique de navigation d'exister du côté du fournisseur VPN — et s'il n'existe pas, il ne peut pas être transmis.

Pour approfondir

🔐

Vos droits à l'anonymat au Québec

Loi 25, LPRPDE, ce que votre FAI peut voir — guide complet de vos droits numériques au Québec en 2026.

🆓

VPN gratuit vs payant — le comparatif honnête

ProtonVPN est-il vraiment gratuit? Les autres VPN gratuits sont-ils dangereux? On démêle tout ça.

📶

WiFi public — les vrais risques

Cafés, aéroports, universités : ce qu'un attaquant peut vraiment faire sur votre réseau, et comment vous protéger.