Google reCAPTCHA est un service de Google qui vise à protéger les sites web contre les attaques de bots, le spam et les activités abusives. Presque tout le monde connaît reCAPTCHA avec ses cases à cocher « Sélectionner toutes les images avec des feux de signalisation » ou « Je ne suis pas un robot ». Mais beaucoup ne savent pas comment Google se positionne par rapport à la protection des données, quelles données utilisateur sont collectées et si l’utilisation de Google reCAPTCHA est conforme au RGPD.
Nous souhaitons clarifier ces questions dans l’article suivant et examiner de plus près l’alternative au reCAPTCHA, Friendly Captcha, qui est conforme au RGPD.
Qu’est-ce que Google reCAPTCHA ?
Google reCAPTCHA est un service CAPTCHA qui fait la distinction entre les humains et les robots lors des interactions web. CAPTCHA est l’abréviation anglaise de « Completely Automated Public Turing test to tell Computers and Humans Apart ».
L’un des premiers services CAPTCHA, reCAPTCHA, a été repris par Google dès 2009. A l’époque, les utilisateurs devaient encore déchiffrer des chiffres et des lettres déformés, ce que les programmes informatiques ne pouvaient pas faire. À cette époque, la protection des données n’était pas encore un sujet de préoccupation.
Aujourd’hui, Google reCAPTCHA est utilisé dans le monde entier et se voit confronté à des robots et à une intelligence artificielle toujours plus performants, capables de résoudre rapidement ces simples énigmes CAPTCHA.
Les exploitants de sites web utilisent l’outil CAPTCHA reCAPTCHA de Google pour faire la distinction entre les utilisateurs réels et les utilisateurs automatisés ou les robots. Cela protège les sites web contre les attaques automatisées telles que le bourrage d’identité, les attaques DDoS ou la prise de contrôle de comptes.
Il existe différentes versions de reCAPTCHA:
-
reCAPTCHA v2: Google reCAPTCHA v2 peut être utilisé de deux manières différentes. L’une d’entre elles consiste à utiliser le No CAPTCHA reCAPTCHA. Dans ce cas, les utilisateurs doivent cocher une case « Je ne suis pas un robot » pour vérifier leur identité, tandis que d’innombrables données personnelles sont analysées. Il existe également les tâches de reconnaissance d’image bien connues de reCAPTCHA version 2 : les utilisateurs choisissent parmi neuf carreaux ceux qui correspondent à une description donnée. Ils identifient ainsi des feux de signalisation, des roues ou des bus. En plus des défis manuels, les données des utilisateurs sont collectées et analysées afin d’évaluer le risque d’une attaque de bot ou de spam.
-
reCAPTCHA v3: Avec le reCAPTCHA invisible v3, également appelé Invisible reCAPTCHA, aucune interaction de l’utilisateur n’est généralement requise. Pour reCAPTCHA version 3, Google collecte des données utilisateur telles qu’une capture d’écran complète de la fenêtre du navigateur ou l’adresse IP et stocke des cookies dans la mémoire persistante du navigateur. Sur la base des données utilisateur, Invisible reCAPTCHA déduit un score de risque pour chaque utilisateur. Il incombe maintenant à l’exploitant du site web de déterminer à partir de quel score de risque Invisible reCAPTCHA un utilisateur peut passer ou si des tests CAPTCHA supplémentaires sont nécessaires. Pour cette vérification supplémentaire, de nombreux administrateurs utilisent à nouveau les tâches de reconnaissance d’image de Google reCAPTCHA v2.
Pour une comparaison détaillée des avantages et des inconvénients des versions actuelles de reCAPTCHA, voir le comparatif reCAPTCHA v2 vs. v3.
reCAPTCHA & RGPD : Quelles données sont traitées par Google ?
Google reCAPTCHA collecte de manière intensive les données des utilisateurs pour reconnaître les personnes ou les robots. En ce qui concerne la protection des données et le RGPD, une collecte excessive de données doit être considérée comme critique.
Les données personnelles suivantes de l’utilisateur semblent être collectées lors de la vérification de Google reCAPTCHA, en plus d’autres données en partie inconnues :
-
adresse IP du visiteur du site web
-
URL du site web visité
-
Capture d’écran complète de la fenêtre du navigateur
-
URL de référence (le site web d’où le visiteur est venu)
-
Temps passé sur le site web
-
Mouvements de la souris et saisies au clavier
-
Système d’exploitation et navigateur
-
Paramètres de l’appareil (comme l’heure, la langue et l’emplacement)
-
Plugins de navigateur installés
-
Cookies, y compris les cookies Google
Pour les exploitants de sites web, il est difficile de se conformer aux obligations d’information prévues par l’article 13 du RGPD. En effet, Google ne révèle pas exactement ce que les données personnelles des utilisateurs finaux sont collectées par reCAPTCHA, ni pourquoi ou comment elles le sont. Dans sa déclaration de protection des données de l’UE, il se contente de dire que des données sont collectées et qu’il faut donc obtenir le consentement des utilisateurs européens.
L’Office bavarois de contrôle de la protection des données (BayLDA) a abordé ce problème dans sa FAQ. L’autorité de protection des données recommande donc vivement aux exploitants de sites web d’envisager une alternative à reCAPTCHA qui soit conforme au RGPD.
Les exploitants de sites web devraient absolument envisager des alternatives. Si Google reCAPTCHA est néanmoins intégré, le responsable doit être conscient qu'il doit être en mesure de prouver son utilisation légitime conformément à l'article 5, paragraphes 1 et 2 du RGPD. Celui qui ne peut pas expliquer comment Google traite les données des utilisateurs ne peut pas informer l'utilisateur de manière transparente et ne peut pas prouver l'utilisation légitime. Étant donné qu'une connexion aux serveurs de Google est établie lors de l'activation de l'outil et qu'un transfert de données vers les États-Unis peut ainsi avoir lieu, les exigences applicables aux transferts vers des pays tiers doivent également être respectées (voir à ce sujet la FAQ « Notre entreprise peut-elle transférer des données à caractère personnel vers des pays non membres de l'UE ? » sous le terme de recherche « Circulation internationale des données »), y compris les exigences découlant de l'arrêt de la Cour de justice des Communautés européennes (CJCE) dans l'affaire « Schrems II ». Chaque utilisateur doit notamment vérifier si les exigences strictes découlant de l'arrêt Schrems II peuvent être respectées. Si ce n'est pas le cas, la transmission n'est pas autorisée.
BayLDA
Friendly Captcha est une alternative reCAPTCHA RGPD, qui ne stocke aucune donnée dans la mémoire persistante du navigateur et n’utilise à aucun moment les données à des fins de marketing. Testez Friendly Captcha en vous inscrivant à un mois d’essai gratuit.
Google reCAPTCHA est-il conforme au RGPD ?
Les experts internationaux en matière de protection des données sont plutôt critiques quant à la question de savoir si reCAPTCHA est conforme au GDPR. L’analyse invisible du comportement des utilisateurs et la collecte de données à caractère personnel sont critiquées par reCAPTCHA.
Toute collecte ou traitement de données personnelles pour des outils d’analyse ou à des fins de marketing ne peut se faire que dans le cadre de dispositions concrètes du RGPD. Les exploitants de sites web doivent toujours faire passer la protection des données des utilisateurs avant tout.
Outre la collecte intensive de données par Google reCAPTCHA, il existe d’autres raisons qui s’opposent à la conformité au RGPD : le manque de transparence concernant la protection des données, l’absence de directives de protection des données spécifiquement adaptées à reCAPTCHA, l’utilisation de cookies et le transfert de données vers des pays non membres de l’UE.
Nous allons examiner ces questions de protection des données de plus près.
reCAPTCHA face à l’exigence de transparence du RGPD
Depuis mai 2018, le règlement général européen sur la protection des données (RGPD) constitue le cadre juridique de la protection des données dans l’Union européenne. Il garantit le droit fondamental à l’autodétermination en matière d’information en améliorant la transparence et la participation des utilisateurs européens quant aux données collectées et à la manière dont elles sont traitées.
Le RGPD oblige les entreprises à ne collecter des données personnelles qu’avec le consentement explicite des utilisateurs et à limiter la collecte de données à ce qui est indispensable à l’exécution d’un service.
La transparence au sens du RGPD signifie, lors de l’utilisation de reCAPTCHA, que les exploitants de sites web doivent fournir les informations suivantes à leurs utilisateurs :
-
Quelles données personnelles sont collectées ?
-
Comment les données personnelles sont-elles utilisées ?
-
Comment les données personnelles sont-elles protégées ?
-
À quels tiers les données personnelles sont-elles transmises ?
Les clients reCAPTCHA ne trouvent toutefois pas ces informations spécifiques dans la déclaration de confidentialité de Google. Il semble toutefois clair que Google reCAPTCHA collecte de nombreuses données et utilise souvent le cookie « _GRECAPTCHA ».
À l’aide des cookies, reCAPTCHA crée une empreinte digitale individuelle pour chaque utilisateur, ce qui permet à Google de suivre le comportement des utilisateurs sur l’ensemble du site. Vous trouverez des informations sur les avantages et les inconvénients du « fingerprinting » dans le Friendly Captcha Wiki.
Le non-respect de ces exigences de transparence peut entraîner des conséquences juridiques et des amendes, comme le montrent l’affaire Cityscoot et l’affaire NS Cards France. Dans ce cas, la Commission française de protection des données a décidé que l’utilisation de Google reCAPTCHA ne répondait pas aux exigences de transparence du RGPD et qu’aucun consentement n’avait été obtenu pour l’utilisation de Google reCAPTCHA. La société Cityscoot a été condamnée par la CNIL à une amende de 125.000 € et NS Cards France à une amende de 105.000 €.
Pour plus d’informations sur la façon dont reCAPTCHA utilise les cookies, consultez l’article de blog sur les cookies CAPTCHA.
reCAPTCHA sans intérêt légitime oblige à une bannière de cookies
L’utilisation de reCAPTCHA et la collecte de données qui en découle présentent-elles un intérêt légitime au sens de l’article 6, paragraphe 1 du RGPD ?
Certains argumentent que reCAPTCHA permet de protéger les sites web et les formulaires web contre les spams et les bots. Cette protection contre les bots garantit la disponibilité du site web et rend ainsi possible le fonctionnement sécurisé du site web.
En revanche, reCAPTCHA collecte et stocke un grand nombre de données, installe des cookies et ne peut pas être utilisé à des fins autres que la protection fonctionnelle contre les bots. En outre, il existe désormais des solutions CAPTCHA respectueuses de la protection des données et conformes au RGPD, comme Friendly CAPTCHA. L’argumentation par l’intérêt légitime devient alors presque impossible.
reCAPTCHA utilise des cookies, collecte et stocke des données personnelles. Pour l’utilisation de cookies, qui ne sont pas nécessaires au fonctionnement d’un site web, le RGPD et l’article 25, paragraphe 1, de la TDDDG exigent le consentement de l’utilisateur via une bannière de cookies.
Pour ce faire, les exploitants de sites web doivent utiliser des outils de consentement aux cookies qui bloquent tous les scripts Google utilisant des cookies reCAPTCHA. Ces outils permettent d’obtenir le consentement de l’utilisateur par opt-in – le cookie consent – pour les données collectées par Google. De même, les utilisateurs doivent pouvoir retirer leur consentement à tout moment via la procédure opt-out.
Ces directives placent de nombreux exploitants de sites web devant un dilemme : ils doivent obtenir le consentement préalable des utilisateurs au moyen de bannières de cookies pour utiliser reCAPTCHA conformément au RGPD.
Tout utilisateur qui ne veut pas ou ne peut pas donner son consentement sera donc exclu de toutes les interactions web protégées par reCAPTCHA .
En conséquence, les opérateurs de sites web intègrent des barrières avec reCAPTCHA pour tous les utilisateurs qui ne veulent ou ne peuvent pas partager des informations avec Google. Les utilisateurs légitimes peuvent être soumis à des tests CAPTCHA répétés ou se voir refuser l’accès aux services. Ce processus conduit à une mauvaise expérience utilisateur et à une limitation de l’accessibilité CAPTCHA par reCAPTCHA.
Un parti politique autrichien a également appris que l’utilisation de Google reCAPTCHA ne peut pas être justifiée par l’intérêt légitime. Le tribunal administratif fédéral autrichien confirme certes que reCAPTCHA est utile pour se défendre contre les cyberattaques, mais que les cookies utilisés ne contribuent pas en même temps à garantir la fonction essentielle du site.
Le consentement de l’utilisateur avec une bannière de cookies n’a pas été obtenu et l’utilisation de reCAPTCHA n’était donc pas autorisée du point de vue de la protection des données.
Les transferts de données reCAPTCHA vers les États-Unis contournent le RGPD
Une autre raison qui rend difficile, pour les défenseurs de la vie privée, le classement de reCAPTCHA comme conforme au RGPD est l’inévitable transfert de données vers les États-Unis.
Comme cela a déjà été constaté dans plusieurs décisions d’autorités européennes de protection des données concernant l’utilisation de Google Analytics, Google collecte des données avec ses outils et les transfère aux États-Unis. Ce transfert de données est donc contraire à l’arrêt Schrems II de la Cour européenne de justice.
En tant qu’exploitant de site web, il faut partir du principe qu’une connexion aux serveurs de Google est établie lors de l’utilisation de reCAPTCHA.
L’analyse des données utilisateur commence automatiquement par Google en arrière-plan, dès que l’utilisateur du site web consulte un site web. Les données personnelles sont immédiatement transmises aux serveurs de Google. Google ne définit explicitement à aucun moment quels serveurs sont utilisés à cet effet. Un transfert de données transfrontalier ne peut donc pas être exclu avec certitude.
Tous les exploitants de sites web pour lesquels un traitement sûr et local des données est important devraient donc miser sur un CAPTCHA européen. Les fournisseurs européens de CAPTCHA comme Friendly Captcha respectent des normes de protection des données plus strictes, ont une souveraineté des données assurée et sont transparents quant à leur traitement des données.
La raison la plus importante qui s’oppose à un CAPTCHA américain comme Google reCAPTCHA est probablement la surveillance possible par le gouvernement américain. Une entreprise américaine comme Google est soumise à des lois sur la protection des données différentes de celles en vigueur en Europe, ce qui rend cette surveillance possible.
Sur la base du Foreign Intelligence Surveillance Act et des National Security Letters, les autorités de sécurité américaines ont le droit d’accéder aux données personnelles des serveurs situés à l’étranger. Cela doit servir la sécurité nationale. Les autorités de sécurité comme le FBI ont ainsi la possibilité d’obtenir des informations personnelles, des communications électroniques et des documents financiers d’utilisateurs et de sites web européens sans autorisation judiciaire préalable.
En revanche, un CAPTCHA européen tel que Friendly Captcha protège contre la surveillance étrangère non autorisée et offre un traitement des données transparent avec une documentation claire sur la conformité au RGPD.
Amendes – que risque-t-on en cas de non-respect du RGPD ?
Nous avons vu que Google reCAPTCHA n’est pas sans poser de problèmes en matière de protection des données. Ceux qui ne respectent pas les obligations susmentionnées en matière de transparence, de consentement obligatoire et de transferts de données vers les États-Unis, ou qui ne peuvent pas les respecter en raison d’un manque d’informations, enfreignent le RGPD.
Ces infractions peuvent se traduire par une amende pouvant aller jusqu’à 20 millions d’euros ou jusqu’à quatre pour cent du chiffre d’affaires annuel mondial.
Outre les pertes financières, les amendes RGPD peuvent également avoir un impact sur la réputation d’une entreprise. Ces atteintes à la réputation peuvent avoir un impact négatif à long terme sur la confiance des clients et les affaires en cours. Il est donc judicieux d’envisager une alternative à Google reCAPTCHA qui soit conforme au RGPD.
Alternative à Google reCAPTCHA conforme au RGPD
Ceux qui souhaitent utiliser un CAPTCHA conforme au RGPD devraient envisager une alternative reCAPTCHA conforme à la protection des données.
Friendly Captcha est une alternative reCAPTCHA sûre et conforme au RGPD pour la protection contre les robots et les spams. Avec Friendly Captcha, les exploitants de sites web peuvent se conformer aux exigences du RGPD tout en protégeant les interactions web importantes telles que les connexions, les inscriptions et les formulaires en ligne contre les attaques de bots.
En tant que CAPTCHA RGPD, Friendly Captcha offre les fonctions suivantes :
-
Friendly Captcha vérifie l’appareil de l’utilisateur final avec des défis de preuve de travail invisibles en arrière-plan.
-
Il utilise des signaux de risque avancés pour détecter et empêcher les activités des bots.
-
Friendly Captcha fonctionne sans cookies HTTP et renonce au stockage persistant dans le navigateur.
-
Friendly Captcha est conforme au RGPD et ne collecte pas de données personnelles inutiles.
Contrairement à Google reCAPTCHA, Friendly Captcha ne mise pas sur la collecte et l’évaluation extensives des données des utilisateurs, mais sur l’évaluation de signaux de risque anonymes et sur des défis de preuve de travail avancés et invisibles.
Les informations sur la collecte et l’utilisation des données sont transparentes et aucun cookie CAPTCHA n’est installé. Le consentement de l’utilisateur au moyen de bannières de cookies n’est donc pas nécessaire.
Friendly Captcha est un CAPTCHA de l’UE. Les données des utilisateurs de l’UE restent donc toujours au sein de l’UE.
En résumé, Friendly Captcha répond entièrement aux exigences du RGPD et des lois internationales sur la protection des données telles que CCPA et PIPL.
Vous souhaitez passer à une solution CAPTCHA conforme au RGPD ? Testez Friendly Captcha gratuitement pendant 30 jours. L’équipe Friendly Captcha Enterprise se fera un plaisir de répondre à vos questions concernant l’implémentation.
FAQ
Google reCAPTCHA pose problème par rapport au RGPD, car il utilise des cookies pour son service, collecte des données personnelles et les transfère souvent aux États-Unis. Il est impératif d’obtenir le consentement des utilisateurs via un outil de gestion du consentement, car les exploitants de sites Web ne peuvent pas arguer d’un intérêt légitime. Friendly Captcha propose un CAPTCHA conforme au RGPD comme alternative à Google reCAPTCHA.
Oui, Friendly Captcha est entièrement conforme au RGPD, car il réduit au minimum la collecte de données personnelles, ne place pas de cookies HTTP, ne stocke pas de données personnelles dans la mémoire permanente du navigateur et prend en charge un traitement des données limité à l’UE.
Google reCAPTCHA est un service de sécurité de Google qui vise à protéger les sites web contre le spam et les attaques automatisées. Il analyse le comportement des utilisateurs afin de distinguer les vraies personnes des robots. Pour ce faire, il utilise différentes technologies telles que des tâches de reconnaissance d’image ou une analyse invisible du comportement et collecte en outre des données personnelles sur les utilisateurs à des fins d’analyse.
Les autorités européennes chargées de la protection des données examinent d’un œil critique l’utilisation de reCAPTCHA par les exploitants de sites web. Des autorités telles que la CNIL française ont rendu des décisions juridiques concernant Google reCAPTCHA.
L’utilisation de reCAPTCHA peut être illégale au regard de la législation européenne et plusieurs propriétaires de sites web ont été jugés coupables d’avoir agi de la sorte. Si vous souhaitez utiliser reCAPTCHA sans enfreindre la loi, vous pouvez demander une assistance juridique professionnelle.
Comme il est difficile d’utiliser reCAPTCHA légalement en vertu du droit de l’UE, il vaut la peine de chercher une alternative reCAPTCHA conforme au RGPD, comme Friendly Captcha.
Oui, Google reCAPTCHA nécessite une autorisation de cookie, car il place des cookies et transmet souvent des données personnelles aux serveurs de Google aux États-Unis. Ces données peuvent être utilisées pour analyser le comportement des utilisateurs et être associées à d’autres services Google. Selon le RGPD, un consentement actif via un outil de consentement aux cookies est nécessaire avant que reCAPTCHA ne soit chargé. Sans le consentement des utilisateurs, l’intégration n’est pas conforme au RGPD.
Pour se conformer au RGPD lors de l’utilisation de reCAPTCHA, il est essentiel d’obtenir le consentement explicite de l’utilisateur et de limiter la collecte de données à ce qui est strictement nécessaire pour le service. Le transfert de données personnelles vers des pays situés en dehors de l’Espace économique européen exige des garanties supplémentaires pour les exploitants de sites web. Friendly Captcha est une solution beaucoup plus simple pour protéger votre propre site web contre le spam et les robots sans avoir besoin de mesures de sécurité supplémentaires.
Une alternative conforme au GDPR est Friendly Captcha, qui ne stocke ni ne suit aucune donnée personnelle. Le CAPTCHA de l’UE offre des avantages en matière de protection des données et peut être utilisé sans le consentement de l’utilisateur ou des cookies.
Dans leur recherche d’alternatives CAPTCHA conformes au RGPD, qui protègent les sites web des robots et du spam, les exploitants de sites web tombent sur Friendly Captcha, hCaptcha et Honeypots comme alternatives CAPTCHA respectueuses de la protection des données. En comparaison avec hCaptcha ou Honeypots, seul Friendly Captcha est finalement convaincant.
-
Friendly Captcha: Friendly Captcha est le CAPTCHA RGPD qui propose son widget frontal en open source et est donc transparent de bout en bout. Friendly Captcha vérifie l’appareil de l’utilisateur final avec des défis de preuve de travail invisibles en arrière-plan. Il utilise des signaux de risque avancés pour détecter et empêcher les activités des bots. Le EU CAPTCHA Friendly Captcha fonctionne sans cookies HTTP et renonce entièrement au stockage persistant du navigateur.
-
hCaptcha: Les défis basés sur l’image de hCaptcha sont comparables à ceux de reCAPTCHA v2. En ce qui concerne la conformité au RGPD, hCaptcha révèle quelles données personnelles sont collectées. Toutefois, hCaptcha utilise des cookies, ce qui est critique du point de vue du RGPD. Pour l’utilisation de hCaptcha, les utilisateurs européens envoient des données aux serveurs hCaptcha aux États-Unis. Le transfert de données et les cookies rendent donc l’utilisation de hCaptcha critique du point de vue du RGPD.
-
Pots de miel: Dans le domaine de la sécurité informatique, la méthode des pots de miel (Honeypots) est un appât simple destiné à piéger les bots avec des champs de saisie cachés. Les bots simples remplissent ces champs invisibles et se font ainsi reconnaître. Pour les bots plus avancés, ces pots de miel atteignent toutefois rapidement leurs limites et ne peuvent pas garantir une sécurité complète.
Oui, Google reCAPTCHA utilise des cookies pour analyser l’activité des utilisateurs et reconnaître les robots. Les données personnelles des utilisateurs enregistrées peuvent également être transmises aux serveurs de Google aux États-Unis. Les exploitants de sites web doivent mentionner l’utilisation des cookies reCAPTCHA dans leur déclaration de protection des données ; il existe une obligation de consentement. Une alternative CAPTCHA sans cookie est Friendly Captcha.
Google reCAPTCHA collecte les adresses IP, les mouvements de la souris, le temps passé sur le site et d’autres signaux d’utilisateurs pour distinguer les humains des robots. Ces données peuvent être associées à d’autres services Google et traitées aux États-Unis. C’est pourquoi une intégration conforme à la protection des données est presque impossible à mettre en œuvre malgré une déclaration de protection des données adaptée.