Un point sur l’outil antispam le Recaptcha V3 de Google plébiscité par un large panel des sites et blogs high tech et marketing.
Des centaines d’articles louent en effet le mérite de cet outil anti-spam affiché comme complètement transparent pour l’internaute.
Selon BuiltWith, 1,374,527 de sites web utilisent reCAPTCHA V3 et 5,067,559 utilisent reCAPTCHA.
Et vous ?
Terminé les spams, terminé la perte de conversion sur les formulaires causée par une ou des actions supplémentaires avec un captcha. L’Intelligence Artificielle de Google bat les robots spammeurs, est capable de reconnaitre un humain mieux qu’un humain.
La contrepartie ? un simple petit logo sur le site web !
Google est le champion incontesté de l’aide aux entreprises, du temps gagné pour les marketeurs, les développeurs avec des outils complets, ergonomiques, et surtout gratuits…
Oui mais voilà et la RGPD dans tout cela ? Vos prospects sont-ils au courant que toutes leurs données très sensibles (formulaires de connexion avec email et mots de passe par exemple ?) sont envoyées et conservées dans les serveurs US de Google ? Pensez-vous être en conformité avec la RGPD ?
On en parle ensemble dans cet article !
Un peu d’historique et de définition :
« Le terme CAPTCHA est une marque commerciale déposée par l’université Carnegie-Mellon désignant une famille de tests de Turing permettant de différencier de manière automatisée un utilisateur humain d’un ordinateur. Ce test de défi-réponse est utilisé en informatique pour vérifier que l’utilisateur n’est pas un robot. » (source wikipédia)
En 2009, Google rachète Recaptcha, spécialiste de la lutte anti-spam pour les formulaires web.
Les versions de Recaptcha évoluent avec le temps et la dernière en date, Recaptcha V3 est désormais totalement transparente pour l’utilisateur.
Plus besoin d’écrire un texte, de cliquer sur des images pour reconnaitre tous les passages piétons d’un puzzle, dorénavant Google met en avant la reconnaissance d’un comportement humain sur le site web. Plus de temps perdu par l’internaute pour remplir un formulaire, en découle donc une meilleure expérience utilisateur et un taux de conversion plus important.
Le hic ? Le but, louable, de protéger les sites, de faire baisser le spam, cache un hold-up mondial sur des données sensibles et personnelles.
On pourra citer l’excellent article de Bruno Rasle, Délégué général de l’AFCDP https://www.editions-legislatives.fr/actualite/bien-sur-que-je-ne-suis-pas-un-robot-quoique… qui alerte sur le manque de transparence de Google sur la gestion des données.
Voici ce que le « Privacy Policy » de Google Recaptcha indique sur la collecte des données :
“So, what personal information does the reCAPTCHA collect?
First, the reCAPTCHA algorithm will check to see if there’s a Google cookie placed on the computer being used.
Then, an additional reCAPTCHA-specific cookie will be added to the user’s browser, and a complete snapshot of the user’s browser window at that moment in time will be captured, pixel by pixel.
Some of the browser and user information collected at this time includes :
All cookies placed by Google over the last 6 months,
How many mouse clicks you’ve made on that screen (or touches if on a touch device),
The CSS information for that page,
The date,
The language your browser is set to,
Any plug-ins you have installed on the browser, and
All Javascript objects …»
La liste est bien sur non exhaustive et Google se garde bien de ne pas trop donner d’indications sur l’ensemble des données récoltées mais le géant du web a déjà été sanctionné par la CNIL à une amende record de 50 millions d’euros en 2019 pour manque de transparence et d’informations vis-à-vis du traitement des données récoltées par ses différents produits par les internautes européens. Google ne communiquant pas suffisamment sur le type, la finalité et le temps de conservation de ces données qui sont pourtant soumis à une réglementation stricte par la CNIL.
Conformité RGPD
Pour l’utilisation de Recaptcha, Google invoque sa certification Privacyshield pour le transfert de données entre l’UE et les Etats Unis et se place comme sous-traitant de la gestion de l’information mais ne se reconnait pas co-responsable de son traitement, le site web utilisant ReCAPTCHA restant le seul responsable de la gestion et de l’information sur la finalité des données de l’internaute.
Votre visiteur est-il courant que l’ensemble de ses données et de son comportement sur la page, des plugins installés de son navigateur, seront récoltés et sauvegardés ? A-t-il le moindre moyen de demander à modifier, supprimer ses informations ? L’avez-vous réellement informé que l’utilisation d’un Recaptcha était aussi intrusive ? Avez-vous vérifié avec votre délégué à la protection des données que l’utilisation de ce dispositif était compatible avec la RGPD ?
La RGPD impose un consentement explicite de la part de l’internaute après lui avoir fait mention des finalités et règles de l’enregistrement de ses données de navigation mais comment lui demander son consentement sans rien connaitre ou presque de la finalité de ces données chez Google ?
En tant que simple internaute accepteriez-vous de savoir vos logins/mots de passe collectés ? C’est pourtant le cas lorsque ReCAPTCHA est installé sur des formulaires de connexion ou de création de compte.
De nombreuses solutions techniques existent pourtant pour permettre la vérification entre un robot spammeur ou un humain sans passer par un prestataire et script externe.
Google ReCAPTCHA n’est pas une finalité et s’il est mis en place dans une de vos solutions digitales, peut-être devriez-vous vous pencher sur le choix de cette technologie et vérifier avec votre service juridique qu’elle est conforme avec la réglementation en vigueur.
Un prochain article explorera différentes solutions en javascript et PHP pouvant être mises en place et suffisantes dans 99 % des cas standards des formulaires.
N’hésitez pas à nous contacter pour auditer vos besoins techniques ! 😊