Cet article traite de la conformité de Google reCAPTCHA avec le RGPD. Nous y revenons sur ce qu’est reCAPTCHA, y expliquons sa popularité auprès des exploitants de sites dans le monde entier et y développons les répercussions d’une utilisation de Google reCAPTCHA sur la confidentialité d’un site web. Nous allons plus précisément vous dire que penser de reCAPTCHA dans le contexte du RGPD.

Nous aborderons également les alternatives à Google reCAPTCHA qui s’offrent à vous pour protéger votre site web sans perdre en expérience utilisateur ni enfreindre la législation applicable en matière de protection des données, comme le RGPD.

reCAPTCHA protection system

Qu'est-ce que reCAPTCHA ?

reCAPTCHA, c’est un test qui sert à déterminer si le visiteur d’un site web est un être humain ou un ordinateur. Le terme CAPTCHA est l’abréviation de « completely automated public Turing test to tell computers and humans apart » ou en bon français test de Turing public entièrement automatisé visant à différencier les ordinateurs des humains. Les captchas sont utilisés principalement dans les formulaires des sites web. Le but visé est d’empêcher les bots d’envoyer des requêtes non sollicitées aux exploitants de sites web. Les bots sont en règle générale appelés machines ou programmes robots.

L’objectif principal de Google reCAPTCHA n’est pas de protéger les données, mais bien d’éviter qu’un grand nombre de messages automatisés ne viennent paralyser l’infrastructure informatique de l’exploitant du site. Il réduit également au minimum le risque de recevoir des virus ou des chevaux de Troie envoyés par un bot.

Google reCAPTCHA cherche donc avant tout à exclure tout accès indésirable par des programmes automatisés. Il peut ainsi contribuer à réduire le spam et à prévenir les connexions automatisées. C’est la raison pour laquelle les tests reCAPTCHA sont généralement intégrés aux formulaires de contact, aux inscriptions, aux commandes, aux enquêtes et aux fonctionnalités de commentaire.

Dans le cadre d’un test de ce genre, visant à distinguer les humains des machines, il est demandé aux utilisateurs du site web d’effectuer une tâche. Dans la pratique, les tâches arithmétiques simples telles que saisir un texte crypté ou reconnaître certaines images se sont imposées. Vous avez certainement déjà effectué à de nombreuses reprises ces tâches fastidieuses afin de pouvoir envoyer un message ou vous inscrire.

Fallback image recognition task

Comment fonctionne un test reCAPTCHA ?

Quatre formes de reCAPTCHA sont aujourd’hui courantes dans la vie quotidienne. Quasiment tous les internautes ont déjà consulté un site web où il leur était demandé de cocher une case afin de confirmer qu’ils n’étaient pas un robot. Cette procédure est connue sous le nom de No CAPTCHA reCAPTCHA. L’implication demandée à l’utilisateur est ici minime, tout comme avec un test reCAPTCHA invisible qui s’exécute en arrière-plan. Cependant, si Google ne parvient pas à collecter suffisamment de données concernant l’utilisateur, les deux méthodes passent au fameux Image reCAPTCHA.

L’Image reCAPTCHA est bien plus chronophage pour l’utilisateur, qui doit en effet sélectionner entre plusieurs images, celles qui présentent un motif spécifique. La sélection de toutes les images comportant une voiture en est un bon exemple. Ce test prend généralement beaucoup de temps avec parfois des motifs difficilement reconnaissables, de sorte que de nouvelles images doivent être affichées en permanence.

Avec le Text reCAPTCHA, le taux d’erreur augmente également. Il faut ici saisir un texte déformé dans un champ de contrôle. Là encore, il n’est pas toujours aisé de reconnaître les lettres affichées.

Le No CAPTCHA reCAPTCHA en particulier et l’Invisible reCAPTCHA peuvent poser des problèmes de protection des données, car des données à caractère personnel sont collectées.

reCAPTCHA v3

Google reCAPTCHA & traitement des données

Des données sont collectées et traitées afin de pouvoir déterminer si le visiteur d’un site web est un être humain ou un ordinateur. Les données impliquées peuvent varier d’un fournisseur de test captcha à l’autre.

L’utilisation de Google reCAPTCHA s’accompagne de la collecte de données à caractère personnel. Pour être plus précis, les données utilisées pour le test sont les suivantes (liste non exhaustive) :

  • Adresse IP du visiteur du site web
  • Page web visitée
  • Résolution de l’écran et de la fenêtre
  • Déplacements de la souris et frappes au clavier
  • Réglages de l’appareil (comme la langue et la situation géographique)
  • Cookies
  • Plugins de navigateur installés

 

Google reCAPTCHA traite notamment l’adresse IP et s’enquiert des cookies installés. La fonction recherche avant tout les cookies des services Google tels que YouTube ou Gmail. De plus, un cookie distinct est souvent installé pour permettre l’exécution du test captcha.

Secured data protection

reCAPTCHA est-il conforme au RGPD ?

La question de savoir si l’utilisation d’un reCAPTCHA est nécessaire et si elle présente bien un intérêt légitime pour l’exploitant du site web n’est pas clairement tranchée. Si d’aucuns font valoir qu’il est indispensable d’inclure un test reCAPTCHA aux fins de protéger le site web contre le spam, d’autres leur rétorquent qu’il existe des alternatives au reCAPTCHA, qui sont elles conformes au RGPD.

Le problème de confidentialité posé par Google reCAPTCHA découle de plusieurs aspects.

Parmi les reproches formulés, l’analyse du comportement de navigation d’un utilisateur qui permet d’en déduire son comportement de consommateur. Google peut utiliser ces données afin d’afficher des publicités ciblées. Cet aspect est sans rapport avec la raison d’être de reCAPTCHA.

Chaque fois que des données à caractère personnel sont traitées, les utilisateurs d’un site web doivent en être avertis et, si l’utilisation est à des fins de marketing, ils doivent également donner leur consentement préalable au traitement des données. La collecte de données à caractère personnel lors de l’utilisation de reCAPTCHA pose problème à cet égard. Les utilisateurs doivent être informés en détail de la politique de confidentialité et de l’utilisation d’outils de gestion du consentement.

Pour les services européens, toutefois, le point le plus critique tient au fait que Google soit un fournisseur américain, autrement dit les données des utilisateurs sont transférées via reCAPTCHA aux États-Unis. Au regard du RGPD de l’UE et des décisions Schrems, ce transfert de données est très contestable.

Il est conseillé, lors de l’utilisation de Google reCAPTCHA, de faire appel à un professionnel suffisamment tôt, car les erreurs de mise en œuvre des obligations associées en matière de protection des données peuvent coûter cher.

Secure captcha

Alternative au reCAPTCHA conforme au RGPD

Les enjeux susmentionnés de protection des données avec Google reCAPTCHA nous ont incités à concevoir une alternative qui soit conforme aux dispositions en matière de protection des données. De cette façon, les exploitants de sites web peuvent désormais continuer à se protéger efficacement contre le spam et les bots, avec la certitude qu’ils préservent la vie privée de leurs utilisateurs. La solution a été baptisée Friendly Captcha et est conforme au RGPD comme aux décisions Schrems II.

Friendly Captcha a de nombreux atouts à faire valoir :

  • Aucun cookie n’est nécessaire.
  • Aucune donnée personnelle n’est conservée.
  • Le traitement des données est décentralisé.
  • La solution est conviviale et accessible à tous, car les utilisateurs n’ont pas la moindre tâche à accomplir.

 

Friendly Captcha conjugue la convivialité et les normes de sécurité les plus élevées. Au cours du développement, nos priorités étaient de fournir une protection efficace, de remplir toutes les exigences en matière de respect de la vie privée et de permettre aux utilisateurs à l’accès restreint, d’accéder sans limite à votre site web. Avec Friendly Captcha, les tâches pénibles, telles que reconnaître certains motifs ou saisir un texte, sont désormais de l’histoire ancienne. Le test captcha, qu’il est à faire à un humain ou à un robot, est exécuté en arrière-plan. Aucune donnée personnelle n’est conservée et toutes les données sont traitées dans l’UE, ce qui élimine de fait le problème de la protection des données inhérent à Google reCAPTCHA.

Secured bot protection process

Passer à un CAPTCHA respectueux de la vie privée

Avec Friendly Captcha, notre alternative à Google reCAPTCHA, nous apportons une contribution importante à la protection anti-spam et anti-bots pour les start-ups, les moyennes entreprises et les grandes sociétés. Nous proposons diverses formules de services en fonction des besoins propres à chaque entreprise.

Nous nous faisons un plaisir de vous conseiller et de vous exposer les avantages de notre technologie, en ce qui concerne notamment la question fondamentale de reCAPTCHA et de la protection des données.

Si vous voulez essayer Friendly Captcha vous-même, vous pouvez regarder notre live demo. Vous trouverez de plus amples renseignements concernant Friendly Captcha ici.