Mullvad VPN

Mullvad VPN AB est immatriculée auprès du Bolagsverket sous le numéro d'organisation 559238-4001, à Box 53049, 400 14 Göteborg, Suède, avec un bureau visible au 28 Engelbrektsgatan. Son unique actionnaire est Amagicom AB (numéro d'organisation 5567839807, même adresse à Göteborg), et Amagicom AB est elle-même détenue à 100 % par les fondateurs Fredrik Strömberg et Daniel Berntsson, qui restent activement impliqués dans l'entreprise. La page « About » l'indique mot pour mot : « Both Mullvad VPN AB and our parent company Amagicom AB are 100% owned by us, the founders Fredrik Strömberg and Daniel Berntsson, who are actively involved in the company. » Aucun capital-risque, aucun fonds de capital-investissement, aucune introduction en bourse ni aucune entité de holding étrangère ne se trouve au-dessus du groupe -- un trait distinctif parmi les VPN grand public, dont les concurrents se rangent généralement sous des structures de holding de type capital-investissement.

Le groupe Mullvad ne compte aucune entité immatriculée aux États-Unis. Mullvad VPN AB et Amagicom AB sont toutes deux des aktiebolag suédoises basées à Göteborg, toutes deux détenues par les fondateurs, et aucune filiale américaine, britannique ou étrangère n'est divulguée dans aucune source publique. Il n'existe donc aucune entité Mullvad que le CLOUD Act américain pourrait contraindre directement. Mullvad fait toutefois appel à deux sous-traitants américains -- Stripe Inc. pour le traitement des paiements par carte (données de carte uniquement ; les utilisateurs qui paient en espèces, en Monero ou via Swish/SEPA ne passent pas par Stripe) et Google LLC pour le terminateur MX entrant sur la messagerie d'entreprise non destinée aux clients (la messagerie de support destinée aux clients a été autohébergée en 2024) -- tous deux eux-mêmes accessibles au CLOUD Act, mais aucun ne voit le trafic VPN, les requêtes DNS ni les métadonnées de connexion. Mullvad exploite bien des serveurs VPN physiquement situés aux États-Unis dans une vingtaine de villes ; ceux-ci sont soumis aux réquisitions des autorités locales au niveau de la colocation, mais l'architecture en RAM uniquement / sans journalisation de Mullvad fait qu'il n'existe aucune donnée client historique à remettre, et les clients peuvent choisir d'éviter entièrement les serveurs de sortie aux États-Unis (ou dans tout autre pays des Five Eyes).

Selon la politique sans journalisation publiée sur mullvad.net/en/help/no-logging-data-policy : « no logging of traffic, no logging of DNS requests, no logging of connections (including when one is made and when it disconnects), no logging of IP addresses, no logging of user bandwidth. » Les données que Mullvad conserve effectivement se limitent au numéro de compte aléatoire à 16 chiffres, à la date d'expiration du compte, à la clé publique WireGuard et à l'adresse de tunnel lorsque WireGuard est utilisé, à des métadonnées de paiement à courte rétention (20 jours pour les identifiants de transaction) et aux pièces comptables légales conservées jusqu'à 7 ans en application de la loi suédoise Bokföringslagen. Le département des opérations nationales de la police suédoise a exécuté un mandat de perquisition au bureau de Göteborg le 18 avril 2023 -- le premier en 14 années d'activité -- et est reparti les mains vides parce qu'il n'existait aucune donnée client à saisir.

Mullvad génère à la demande un numéro de compte aléatoire à 16 chiffres sur mullvad.net/account/create ; ni e-mail, ni nom d'utilisateur, ni mot de passe ne sont exigés. Vous pouvez payer anonymement en envoyant des espèces par la poste dans l'une de neuf devises (l'enveloppe est détruite après comptage des espèces) ou en envoyant du Monero vers le portefeuille XMR de Mullvad. Les paiements en espèces ne sont pas remboursables en raison des règles anti-blanchiment ; Mullvad n'enregistre que le montant, la devise et l'horodatage. Les paiements par carte, PayPal, virement bancaire et Swish sont acceptés mais associent le compte à un nom ; dans ces cas, l'identifiant de transaction est supprimé après 20 jours, tandis que les pièces comptables légales sont conservées 7 ans en application de la loi suédoise Bokföringslagen.

La politique littérale de Mullvad publiée sur mullvad.net/en/help/how-we-handle-government-requests-user-data dit : « We must -- and do -- make it impossible for us to fulfill any data request. There is simply no data to request, nor confiscate in the case of physical seizure. » Sur la question d'une obligation d'espionner, l'entreprise ajoute : « we will cease operation of our service in the affected jurisdiction and only resume it if the legal situation has been remedied. » Le droit suédois ne permet actuellement pas de contraindre une entreprise à coopérer à une surveillance. Le mandat de perquisition du 18 avril 2023 à Göteborg est le seul test en conditions réelles attesté ; Mullvad a démontré son architecture sans journalisation, le procureur a été consulté et aucune donnée n'a été saisie.