Bien qu’utilisé à des fins de sécurité, le ReCaptcha de Google mis en place sur des formulaires de contact doit néanmoins recueillir le consentement des personnes concernées.
Dans le cadre de ses délibérations relatives à Stop Covid (1), la Cnil avait déjà indiqué que l’utilisation de la solution ReCaptcha proposée par un tiers Google était susceptible d’entraîner :
- la collecte de données personnelles,
- des transferts de données hors de l’Union européenne, ainsi que
- des opérations de lecture/écriture qui nécessitaient un consentement de l’utilisateur.
Qu’est-ce qu’un Captcha ?
La méthode d’authentification par captcha permet de vérifier lors de l’activation initiale d’une application ou lors du remplissage d’un formulaire en ligne que l’action en question est bien celle d’un être humain et non d’un robot.
Pourquoi soumettre le ReCaptcha de Google au consentement ?
Bien qu’utilisé à des fins de sécurité, ce dispositif doit néanmoins recueillir le consentement des personnes concernées. C’est en effet ce que la Cnil a confirmé à un développeur web qui l’a saisit à propos de l’utilisation du système anti-robot « ReCaptcha » de Google (2). Pour la Cnil :
« Aucune des exemptions au recueil du consentement prévues par l’article 82 de la loi du 6 janvier 1978 modifiée ne semble applicable à ce dispositif dans la mesure où la collecte d’information n’aurait pas pour seule finalité la sécurisation du site au bénéfice des utilisateurs mais qu’elle permettrait par ailleurs des opérations d’analyse de la part de Google ».
Les conditions générales de ReCaptcha précisent d’ailleurs que :
« le fonctionnement de l’API reCAPTCHA repose sur la collecte d’informations matérielles et logicielles, telles que les données sur les appareils et les applis, qui sont transmises à Google pour analyse. Les informations recueillies lorsque vous utilisez ce service seront utilisées pour améliorer la fonctionnalité reCAPTCHA, ainsi qu’à des fins de sécurité générale ».
Ces mêmes conditions rappellent que l’utilisateur de ReCaptcha doit se conformer aux règles relatives au consentement de l’utilisateur dans l’UE.
Le ReCaptcha et les flux hors de l’Union européenne
Par ailleurs, compte tenu des dernières mises en demeure de la Cnil concernant l’utilisation de Google Analytics (3), il peut être relevé que l’utilisation de ReCaptcha qui implique une communication de données à Google pour analyse pose également la question de la mise en œuvre de flux hors union européenne.
Ainsi, quand bien même un éditeur de site déciderait de soumettre au consentement les cookies ReCaptcha, la question des flux resterait entière. Aussi, dans l’attente de l’adoption de la décision d’adéquation suite à l’annonce de l’accord entre les US et l’Europe (4), il est recommandé de rechercher des solutions alternatives à l’outils ReCaptcha (5).
Céline Avignon
Lexing – Département publicité et marketing électronique
Notes
(1) Cnil, Délib. 2020-056 du 25 mai 2020 portant avis sur un projet de décret relatif à l’application mobile dénommée « StopCovid » ; Décision n°MED-2020-015 du 15 juillet 2020 mettant en demeure le ministère des solidarités et de la santé ; Délib. MEDP-2020-003 du 16 juillet 2020 décidant de rendre publique la mise en demeure n° MED-2020-015 du 15 juillet 2020 prise.
(2) David Libeau, https://twitter.com/DavidLibeau/status/1516041376542208012
(3) Cf. nos articles, « Google Analytics : la Cnil apporte des précisions », post du 18 02 2022 et « La Cnil se prononce sur l’utilisation de Google Analytics », post du 11 02 2022.
(4) Cf. Virginie Bensoussan-Brulé, « Accord de principe UE-USA sur le transfert de données personnelles », post du 31 03 2022 et « Accord sur le transfert de données UE-USA : le point de vue d’Alain Bensoussan », post du 07 04 2022.
(5) Cf. Alain Bensoussan, Céline Avignon, Cookies, traceurs et droit, Lexing Éditions, Juin 2022 (à paraître).