Je confirme la réponse de @Litsip (surtout l'aspect sécurité illusoire que vendent les fournisseurs de vpn) :
exemple : http://www.numerama.com/tech/298268-la-collaboration-decriee-de-purevpn-avec-le-fbi-pose-la-question-de-lanonymat-des-vpn.html
Mais s'il n'y avait que ça comme souci avec ces services, ça serait presque acceptable (mis à part l'aspect mensonger). La vérité est bien pire :
lorsque tu es connecté en VPN à un serveur, ce serveur (et toutes les personnes qui y ont accès) est aussi connecté à ta machine => il peut y accéder presque aussi facilement que s'il était à coté de toi, sur la même box
on peut en limiter les effets à la condition de bien configurer les pare feu de tous les clients du VPN (nas, pc, ...) => personne ne le fait
les personnes qui utilisent ces offres VPN le font car leur trafic sera brouillé (pas caché, juste brouillé) pour leur FAI ... mais ils oublient simplement qu'en faisant ça, le FAI ça devient l'hébergeur du VPN, ce dernier verra donc 100% du trafic
à titre perso j'ai plus confiance dans mon FAI qui est soumis aux lois françaises (cherche "secret de la correspondance" dans le code pénal) que dans une entreprise étrangère, domiciliée dans je ne sais quel pays (panama pour nordvpn) et qui se rend illégale aux yeux de nombreux pays (au panama les logs ne sont pas obligatoires, mais ils le sont pour la plupart des nœuds de sortie qui sont utilisés, donc soit ils mentent, soient ils sont dans l'illégalité)
par contre si on habite dans un pays nettement moins respectueux des droits de l'homme, ces offres VPN peuvent rendre service ... à la condition que l'hébergeur soit vraiment clean et de confiance et que ... (point suivant)
ton trafic entre ta machine et le nœud de sortie a beau être chiffré, si tu te connectes (volontairement ou non) à un site, ou même que tu laisses trainer ne serait ce qu'un seul cookie, ou que tu ne laisses passer qu'une seule vérification de mise à jour (windows, mac, android, apple, antivirus, ...), il sera très facile de remonter à ta vraie adresse IP
sans parler du fait qu'il est assez simple de savoir que quelqu'un fait, au hasard, du torrent dans un vpn (on ne sait pas quel est le torrent, mais on sait que ça en est)
je pourrai en parler longtemps (chine, protection illusoire, financement des mafias, ...), donc je m'arrête là.
À ton avis, pourquoi les lanceurs d'alerte utilisent uniquement des VM jetables (qubes) ou des distributions en lecture seule (Tails par exemple), systématiquement via Tor ou I2p ou ... en utilisant des navigateurs spécialement configurés ... mais jamais des solutions VPN ?
En complément, l'utilisation des 2 types de VPN (client et serveur) sur le même boitier (ton nas par exemple) n'est pas toujours simple à faire, donc à éviter si possible.