Vraiment gratuit le service reCAPTCHA de GOOGLE ?

reCAPTCHA est une solution proposée par Google pour différencier de manière automatisée un humain d’un robot. Cet outil est diaboliquement efficace pour différencier un robot, d’un humain. Cette solution s’est d’ailleurs progressivement imposée comme étant la plus utilisée sur internet.

Enjeux de conformité liés à l’usage de GOOGLE reCAPTCHA

GOOGLE reCAPTCHA traite des données pour différencier l’humain du robot et dépose des traceurs (cookies) sur les équipements des internautes. Il y a donc de forts enjeux de conformité liés à son utilisation.

L’évolution des CAPTCHA a poussé certains éditeurs, dont GOOGLE, à perfectionner leurs méthodes d’identification de robots en analysant des informations toujours plus vastes des internautes. Ces évolutions permettent à GOOGLE de fournir un mécanisme de CAPTCHA extrêmement performant et totalement gratuit et facilement implémentable.

La 3eme version de reCAPTCHA implémentée en 2017, rend l’usage du dispositif pratiquement invisible dans la majorité des cas si l’utilisateur est un humain, et donne lieu à de sérieuses inquiétudes concernant notre vie privée.

Le RGPD impose une information concise, transparente, compréhensible.

La documentation technique mise à disposition par GOOGLE sur sa solution ne permet pas réellement de comprendre quelles sont les données traitées et prises en compte. Rien de très surprenant dans la mesure où GOOGLE s’assure de préserver son avance sur toute personne qui souhaiterait développer des mesures de contournement de sa solution.

Quant à la documentation juridique elle fournit quelques éléments d’information. Ainsi, lors de la création d’un CAPTCHA, GOOGLE impose à l’éditeur du site concerné, l’acceptation de différentes conditions :

  • Des conditions d’utilisation liées aux API de GOOGLE
  • Des Conditions d’utilisation liées à GOOGLE
  • Le fait de se conformer aux “Règles relatives au consentement” dans l’UE.

Ces documents renvoient sur d’autres documents (ex: “Google API Services User Data Policy“). Ils peuvent être mis à jour au bon vouloir de GOOGLE, rendant (et c’est d’usage chez GOOGLE) l’identification précise très complexe de ses obligations et garanties.

Usage des données collectées, vie privée et RGPD

Les données sont collectées par reCAPTCHA pour chaque personne l’utilisant (chaque visiteur de votre site internet..). Les données concernent le matériel et les logiciels installés de l’internaute.

Ces données incluent tous les cookies de moins de 6 mois déposés par Google, tous les clics sur la page où se situe le dispositif, l’horodatage, toutes les informations CSS et objets JavaScript, toutes les extensions installées sur le navigateur, la langue configurée, ainsi qu’une vraisemblable une capture d’image de la fenêtre du navigateur. Les données telles que les identifiants entrés sur les pages de connexion à un compte sont aussi concernées. Pas mal dans le genre « collecte des données ».

De nombreux sites internet utilisent la solution GOOGLE reCAPTCHA.

D’ailleurs la CNIL recommande dans sa délibération 2017-012 du 19 janvier 2017 le déploiement d’un mécanisme de type “captcha” aux fins de se prémunir contre les soumissions automatisées et intensives de tentatives.

Simple à implémenter, compatible avec de nombreux applicatifs et efficace pour différencier un robot d’un humain. Cependant, la licéité de GOOGLE reCAPTCHA est régulièrement remise en cause par les professionnels du domaine de la protection des données personnelles et par la Commission Nationale de l’Informatique et des Libertés (CNIL).

Le consentement pour utiliser le service reCAPTCHA

GOOGLE exige le consentement pour utiliser son service reCAPTCHA.

La CNIL exige également le consentement au titre du respect de l’article 82 de la loi Informatique et Libertés. Cependant, il est pratiquement impossible de recueillir le consentement avant d’utiliser la solution reCAPTCHA.

Transferts de données personnelles hors de l’Union européenne

Il y a aussi des enjeux de conformité supplémentaires liés aux transferts de données personnelles hors de l’Union européenne.

Malgré son efficacité et sa facilité d’implémentation, l’utilisation de GOOGLE reCAPTCHA soulève des questions de conformité très importantes. Il est donc essentiel pour les utilisateurs de cette solution de comprendre ces enjeux et de prendre les mesures appropriées pour garantir la protection des données personnelles.

L’utilisation de la solution GOOGLE reCAPTCHA est-elle illégale ?

Pour la plupart des cas, il est fort probable que l’utilisation de reCAPTCHA soit considérée comme étant illicite au regard de la disproportionnalité des données que peut être amenée à traiter cette solution et des enjeux pour les transferts de données personnelles qu’elle engendre vers les États-Unis (Article 44 et 45 du RGPD).

Des solutions alternatives supposant le traitement de bien moins de données personnelles (voir ne supposant aucun traitement de données personnelles) pourraient permettre de remplir les mêmes objectifs, à savoir éviter la mise en œuvre d’actions automatisées par des robots.

Friendly Captcha est une de ces solutions parmi les plus prometteuses. Portée par un acteur européen elle propose un traitement de données en UE dans sa version payante. Elle fonctionne sans procéder au dépôt de cookies et autres traceurs, tout en assurant une efficacité adaptée pour la très grande majorité des usages. Elle traite par ailleurs un nombre restreint de données personnelles

IRSM News

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *