Quatre juridictions nordiques, pour l'hébergement.
Article par article, en langage clair.
Suède, Finlande, Norvège, Islande — quatre régimes constitutionnels de liberté de la presse, chacun avec une forme juridique distincte. Les lois réelles, la jurisprudence réelle, la posture d'appartenance UE / EEE réelle, et ce que chacune signifie pour un serveur qui s'y trouve.
| Sweden | Finland | Norway | Iceland | |
|---|---|---|---|---|
| Bastion | STO.001 | HEL.001 | OSL.001 | RKV.001 |
| Membre de l'UE | Oui (1995) | Oui (1995) | Non · EEE | Non · EEE |
| Loi constitutionnelle sur la liberté de la presse | Tryckfrihetsförordningen (1766) | Sananvapauslaki + §12 | §100 Grunnloven (1814) | §73 + IMMI (2010) |
| Divulgation des sources | Infraction pénale | Infraction légale | Protection renforcée | Protection légale |
| GDPR | Direct (UE) | Direct (UE) | Incorporé dans l'EEE | Incorporé dans l'EEE |
| Autorité de régulation | IMY | DPO | Datatilsynet | Persónuvernd |
| Conservation massive des données | Aucun mandat général | Aucun mandat général | Aucun mandat général | Aucun mandat général |
Suède — le plus ancien régime écrit de liberté de la presse au monde.
La Tryckfrihetsförordningen suédoise, la loi sur la liberté de la presse, date de 1766 — antérieure aux États-Unis. C'est l'un des quatre actes constitutionnels et il prime sur le droit ordinaire. Combinée à la Yttrandefrihetsgrundlagen, la loi fondamentale sur la liberté d'expression (1991), la Suède accorde aux éditeurs, journalistes et à leurs sources un bouclier écrit, juridiquement appliqué, contre l'ingérence de l'État.
Pour un opérateur d'infrastructure de communication, le fait pertinent est que la divulgation d'une source anonyme est elle-même une infraction pénale selon le droit suédois — même lorsque la police interroge sur la source. Le seuil que l'État doit atteindre pour exiger des données opérationnelles est fixé par la constitution, pas par le pouvoir discrétionnaire d'un enquêteur. Les deux contraintes survivent à la transposition dans un modèle d'hébergement payé en crypto et sans identité.
La Suède est dans l'UE et applique le RGPD directement. L'autorité suédoise de protection des données (IMY) est l'une des plus fermes d'Europe — la minimisation de l'article 5 est appliquée. La Suède abrite aussi le précédent européen le plus célèbre en matière d'hébergement de contenus controversés — Bahnhof héberge WikiLeaks dans le bunker Pionen depuis 2010, sans ingérence étatique réussie.
Pour quoi c'est le mieux adapté : Les clients qui veulent le plus long pedigree constitutionnel possible, le régulateur GDPR le plus strict du groupe de quatre pays, et le bilan juridique établi autour de l'hébergement de discours controversés.
Finlande — discrètement le pays le plus constamment libre en matière de presse.
La Finlande inscrit la protection de la liberté d'expression directement dans la Constitution. L'Article 12 accorde à toute personne la liberté d'expression, le droit de publier sans interférence préalable, et une garantie que les conditions d'exercice public de l'expression sont écrites dans la loi ordinaire plutôt que laissées à l'exécutif. Le Sananvapauslaki — la Loi sur l'exercice de la liberté d'expression dans les médias de masse — met en œuvre ce droit constitutionnel avec le niveau de précision dont la législation finlandaise est connue.
Pour les opérateurs d'infrastructure, les deux faits opérationnels qui comptent sont : (1) le Sananvapauslaki reconnaît une personne responsable opérationnelle dont le rôle statutaire inclut la protection des sources, et la divulgation forcée de l'identité de la source est une infraction statutaire ; (2) le régime constitutionnel contraint la capacité de l'État à contraindre les données de l'infrastructure de communication, rendant les demandes administratives routinières moins viables que dans de nombreuses juridictions comparables.
La Finlande est dans l'UE et applique le GDPR directement. Le Bureau du médiateur de la protection des données est conservateur, prescriptif et prêt à émettre des décisions contraignantes. La Finlande a constamment figuré en tête de l'Indice mondial de la liberté de la presse depuis une décennie — l'environnement culturel et juridique pour l'infrastructure de confidentialité est inhabituellement stable.
Pour quoi c'est le mieux adapté : Les clients qui accordent la priorité absolue à la prévisibilité juridique et à un environnement politiquement stable. La Finlande est la juridiction où les compromis sont le mieux compris et les régulateurs les plus explicites.
Norvège — EEE, pas UE. Une distinction significative.
La Norvège est membre de l'Espace économique européen mais pas de l'Union européenne. La conséquence pratique est significative et sous-appréciée. La Cour de justice de l'Union européenne n'a pas de juridiction directe sur un opérateur norvégien ; les instruments secondaires réservés à l'UE qui n'ont pas été incorporés dans l'accord EEE ne lient pas la Norvège ; et la Norvège conserve une autorité nationale indépendante sur l'application de la protection des données.
Ce n'est pas une échappatoire juridique — la Norvège a le RGPD en vigueur via l'accord EEE et le Datatilsynet est un régulateur actif. Ce que cela offre, c'est un second forum juridique souverain étroitement aligné sur les normes de confidentialité de l'UE mais libre de la législation proprement européenne que le reste du bloc pourrait adopter.
Par-dessus le GDPR incorporé dans l'EEE se trouve l'Article 100 de la Constitution norvégienne, rédigé à l'origine en 1814 et substantiellement révisé en 2004. Il garantit la liberté d'expression et la protection de l'infrastructure de communications contre l'action arbitraire de l'État — écrit au-dessus du statut ordinaire, dans la même position architecturale que les équivalents suédois et finlandais.
Pour quoi c'est le mieux adapté : Les clients qui veulent être dans le GDPR incorporé dans l'EEE mais en dehors des institutions politiques UE et en dehors de l'autorité directe de la CJUE. La raison du « second forum souverain ».
Islande — la doctrine de confidentialité la plus explicite d'Europe.
En 2010, l'Althingi — le parlement islandais — a adopté une résolution dirigeant le pays vers le régime combiné le plus fort pour la liberté d'expression, la protection des sources et l'immunité des hébergeurs disponible dans une seule juridiction. Cette résolution est l'Initiative islandaise pour les médias modernes, IMMI. Plusieurs de ses piliers sont maintenant écrits dans la loi ordinaire ; le reste de la doctrine façonne la façon dont les tribunaux et les régulateurs islandais interprètent les affaires de communications.
Par-dessus l'IMMI se trouve l'Article 73 de la Constitution islandaise, qui garantit la liberté d'expression et interdit la censure préalable. L'Islande est membre de l'EEE mais pas dans l'UE — le GDPR s'applique via l'accord EEE et est appliqué par Persónuvernd, mais la CJUE n'a pas d'autorité directe sur un opérateur islandais.
L'Islande n'a pas de mandat statutaire pour la conservation massive des données. La législation de sécurité nationale est comparativement étroite. Le pays est petit, l'État de droit est solide, et le consensus politique autour de la protection de l'infrastructure de communications est inhabituellement durable à travers le spectre politique. Le précédent historique célèbre (la défense par 1984 Hosting du contenu adjacent à WikiLeaks, le bilan de 15 ans d'OrangeWebsite) est une jurisprudence locale qu'aucune autre juridiction du groupe ne possède.
Pour quoi c'est le mieux adapté : Les clients qui veulent l'approbation officielle la plus explicite de la posture opérationnelle disponible n'importe où en Europe, le GDPR incorporé dans l'EEE sans politique UE, et la valeur symbolique d'exploiter une infrastructure sur l'île IMMI.
Quand choisir lequel. Quatre modèles de menace, quatre réponses.
Choisissez Stockholm.
La Tryckfrihetsförordningen (1766) plus le précédent opérationnel Bahnhof / WikiLeaks. Le plus établi de loin.
Choisissez Helsinki.
La Finlande est systématiquement la plus ennuyeuse politiquement des quatre. Le Sananvapauslaki a la formulation la plus précise sur le devoir statutaire de protection des sources.
Choisissez Oslo.
La Norvège est uniquement EEE, donc le droit secondaire UE qui n'a pas été incorporé ne s'applique pas et la CJUE n'a pas d'autorité directe. Le Datatilsynet est indépendant.
Choisissez Reykjavík.
L'IMMI est une résolution parlementaire dirigeant explicitement le pays vers le régime de confidentialité combiné le plus fort dans une seule juridiction. Aucune déclaration équivalente n'existe ailleurs.
Questions, réponses.
Huit questions de niveau statutaire qu'un lecteur attentif pose avant de choisir un bastion nordique.
La Suède, la Finlande, la Norvège et l'Islande sont-elles toutes dans l'UE ?
La Suède et la Finlande oui, la Norvège et l'Islande non. La Suède a rejoint l'UE en 1995 et la Finlande en 1995. La Norvège et l'Islande ont à plusieurs reprises refusé l'adhésion à l'UE mais ont rejoint l'Espace économique européen en 1994 — elles incorporent la majeure partie du droit du marché unique de l'UE, y compris le RGPD via l'accord EEE, mais restent en dehors des institutions politiques de l'UE et hors de la juridiction directe de la Cour de justice de l'Union européenne. L'effet pratique pour l'hébergement : les instruments secondaires propres à l'UE ne lient pas la Norvège ou l'Islande, et la CJUE n'a aucune autorité directe sur les opérateurs qui s'y trouvent.
Laquelle des quatre est la plus forte pour la liberté de la presse ?
Difficile à classer objectivement. La Suède a la plus longue protection constitutionnelle continue (Tryckfrihetsförordningen depuis 1766). L'Islande a la doctrine moderne la plus explicite (résolution parlementaire IMMI 2010). La Finlande a la protection légale des sources la plus précise (Sananvapauslaki). La Norvège a la clause constitutionnelle la plus ancienne (Article 100 de la constitution de 1814). Pour différents profils de clients, différentes options l'emportent — voir le tableau de comparaison ci-dessous.
Le GDPR s'applique-t-il sur chaque serveur ?
Oui. La Suède et la Finlande sont membres de l'UE et appliquent le RGPD directement. La Norvège et l'Islande incorporent le RGPD via l'accord EEE et l'appliquent sous leurs régulateurs nationaux (Datatilsynet, Persónuvernd). La conséquence opérationnelle pour NordBastion : la minimisation des données de l'article 5 est une obligation légale sur chaque bastion, en plus de l'engagement doctrinal qui l'exige déjà.
Les forces de l'ordre du pays X peuvent-elles contraindre l'accès aux données d'un serveur dans le pays Y ?
Par voie d'entraide judiciaire formelle — oui, en principe. En pratique le processus est lent (semaines à mois pour une demande d'ENTR), exige que l'autorité étrangère établisse la double incrimination (l'acte doit être illégal dans les deux pays), et passe par les tribunaux du pays destinataire qui appliquent le droit constitutionnel de ce pays. Une demande du pays X pour des données sur un serveur en Suède est examinée sous le régime suédois de liberté de la presse avant tout transfert de données. C'est sensiblement différent d'une demande interne.
Y a-t-il un seul « meilleur » pays nordique pour l'hébergement ?
Non, et tout hébergeur qui vous dit qu'il y en a un survend. Les quatre juridictions échangent des choses différentes. La Suède et la Finlande sont dans l'UE et dans la juridiction de la CJUE, mais ont les statuts les plus solides de liberté de la presse et de protection des sources. La Norvège et l'Islande sont en dehors de la politique UE mais dans l'EEE et en dehors de l'autorité directe de la CJUE. Le bon choix dépend du compromis qui correspond à votre modèle de menace — et la valeur unique de fonctionner sur les quatre est que vous n'avez pas à vous engager sur une seule réponse.
Où la société d'exploitation NordBastion elle-même est-elle enregistrée ?
En Estonie. NordBastion OÜ est une société à responsabilité limitée privée estonienne. L'Estonie n'est pas l'une des quatre juridictions opérationnelles, mais son droit des sociétés a été choisi parce que l'e-Résidence estonienne et le cadre d'entreprise sous-jacent conviennent bien à un opérateur soucieux de la vie privée (entièrement numérique, sans exigence de présence en personne, registre d'entreprise transparent). Les serveurs se trouvent physiquement en Suède, Finlande, Norvège et Islande quel que soit l'endroit où la société opérationnelle est enregistrée.
Qu'est-ce que l'IMMI ?
L'Initiative islandaise pour les médias modernes — une résolution adoptée à l'unanimité en 2010 par le parlement islandais (l'Althingi) demandant au pays de promulguer le régime combiné le plus fort en matière de liberté d'expression, de protection des sources et d'immunité des hébergeurs disponible dans une juridiction unique. Plusieurs piliers de l'IMMI ont depuis été inscrits dans la loi islandaise ordinaire ; le reste de la doctrine oriente l'interprétation des affaires de communication par les tribunaux et régulateurs islandais. Pour un client d'hébergement privé, l'IMMI est l'aval officiel le plus explicite de la posture opérationnelle disponible nulle part ailleurs en Europe.
Les quatre pays nordiques ont-ils tous un équivalent légal du canari de mandat ?
Non — le canari de mandat est une pratique opérationnelle des hébergeurs, pas une institution statutaire. Le cadre juridique qui rend un canari significatif est la règle selon laquelle une ordonnance judiciaire de remise de données peut également bâillonner l'opérateur pour qu'il confirme publiquement que l'ordonnance existait. Dans les quatre pays nordiques, cette structure de clause de bâillon existe, ce qui signifie que l'absence d'une mise à jour du canari selon un calendrier publié est elle-même un signal juridiquement significatif. Le canari de NordBastion est réaffirmé le premier de chaque mois et signé avec la clé PGP publiée ; voir /warrant-canary/.
La même gamme de produits, quatre régimes juridiques.
Dernière révision · 2026-05-20 · Références · texte législatif + traductions officielles
Anonymous VPS hosting in 2026 — the cluster.
This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.
Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.
What “no KYC” actually means — and what it does not.
XMR end-to-end — wallet, transfer, confirmations, change.
Lightning invoice → paid VPS in under 30 seconds.
SSH keys, ufw, fail2ban, kernel knobs, unattended-upgrades.