Ya deux problematiques niveau DNS
1) Les fournisseurs d'accès (proximus, voo) censurent certains domaines et donc "mentent" quand vous faites une résolution DNS
Ce probleme est resolu soit en faisant vos queries ailleurs (google, cloudflare) soit en faisant tourner votre propre DNS chez vous (NAS, pfsense, etc)
2) Il est possible de "sniffer" votre traffic DNS (qu'il soit destiné a votre isp ou a google/cloudflare) et donc de savoir sur quels sites vous surfez. Ici on entre dans un niveau de parano élevé. La solution est par exemple le DNS TLS (cfr korben) directement sur votre pc, ou encore un dns local mais qui lui meme forwarde en DNS TLS.
A noter que "faire du TLS chez CLoudflare" c'est utiliser un service americain dont on ne sait rien du tout, qui promet-jure qu'il ne veut que votre bien, mais vu qu'on parle ici d'être très parano ca me semble tout de même incomplet.