Action concernant l’IMPRIMERIE NATIONALE suite à l’utilisation de GOOGLE RECAPTCHA sur le site CERTIFICAT-AIR.GOUV.FR
Le 25 novembre 2022, il a été constaté que le site « CERTIFICAT-AIR.GOUV.FR », édité par l’IMPRIMERIE NATIONALE, proposait de commander des vignettes « Crit’Air », et que la page dédiée aux demandes de vignettes chargeait le module GOOGLE RECAPTCHA lors du chargement initial de la page, sans information préalable.
Une plainte a été déposée à la CNIL pour demander que le module Google reCAPTCHA soit retiré, que les données collectées grâce au module reCAPTCHA soient supprimées et que les personnes soient informées que des données personnelles ont été collectées sans leur consentement.
Deux mois plus tard, le module GOOGLE RECAPTCHA a été retiré et remplacé par le module « CaptchEtat », une solution anti-robots éditée par l’État français. Aucune information n’a toutefois été donnée concernant la suppression des données. Les personnes qui ont effectué une demande de vignette n’ont pas été informées de cet incident.
Chronologie des événements :
- le 25/10/2022, une plainte a été déposée auprès de la CNIL (réf. 44-2057) pour demander (i) que le module Google reCAPTCHA soit retiré, (ii) que les données collectées grâce au module Google reCAPTCHA soient supprimées et que (iii) les personnes soient informées que des données personnelles ont été collectées sans leur consentement et transférées dans un pays ne garantissant pas une protection équivalente au RGPD.
- le 03/02/2022, un message a été reçu de la CNIL pour indiquer que « les services de la CNIL sont intervenus auprès de la déléguée à la protection des données personnelles de l’IMPRIMERIE NATIONALE qui [leur] a fait part du remplacement de la solution "ReCAPTCHA" de la société Google LLC par la solution "CaptchEtat" » (Voir le message intégral).