L’utilisation de Google reCAPTCHA est illégale, avec ou sans le consentement des visiteurs.

De manière générale[1], il est obligatoire d’obtenir le consentement des internautes avant d’utiliser des modules, comme Google reCAPTCHA, qui lisent des informations présentes (notamment des cookies) dans le terminal de l’internaute ou qui déposent des informations dans son terminal.

Il existe toutefois des exceptions lorsque ces informations « ont pour finalité exclusive de faciliter la communication » ou lorsqu’ils sont « strictement nécessaires » au fonctionnement du service.

« l’exigence de consentement ne s’applique pas aux opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs. »

Le service reCAPTCHA proposé par Google étant destiné à détecter les robots, il pourrait éventuellement rentrer dans la catégorie des éléments facilitant la communication. Les données collectées par Google ne sont toutefois pas utilisées uniquement pour détecter les activités suspectes :

« le fonctionnement de l’API reCAPTCHA repose sur la collecte d’informations matérielles et logicielles, telles que les données sur les appareils et les applis, qui sont transmises à Google pour analyse. Les informations recueillies lorsque vous utilisez ce service seront utilisées pour améliorer la fonctionnalité reCAPTCHA, ainsi qu’à des fins de sécurité générale. »

— Google.com, conditions d’utilisation de reCAPTCHA, décembre 2021

Le module reCAPTCHA n’a donc pas comme « finalité exclusive » l’amélioration de la sécurité. Par conséquent, le consentement des internautes doit être obtenu. Google le précise même dans ses conditions :

« [Si] vous utilisez les API, vous acceptez qu’il vous incombe d’en informer les utilisateurs et de leur demander leur autorisation pour la collecte et le partage de ces données avec Google. Dans l’Union européenne, le ou les clients d’API, et vous-même, devez vous conformer aux Règles relatives au consentement de l’utilisateur dans l’UE. »

— Google.com, conditions d’utilisation de reCAPTCHA, décembre 2021

La CNIL a, par ailleurs, déjà indiqué que le module reCAPTCHA de Google était soumis au consentement des utilisateurs[2].

Le vrai problème ne réside cependant pas dans l’obtention d’un consentement, mais dans la conformité de Google reCAPTCHA avec le RGPD, puisque même avec le consentement de la personne, les exigences du RGPD s’appliquent.

Une de ces exigences est de garantir une protection équivalente au RGPD lorsque les données sont exportées dans un pays non membre de l’Union européenne. Cette exigence n’est pas respectée dans le cas de Google reCAPTCHA, car les États-Unis, pays dans lequel les serveurs de Google sont situés, n’assurent pas une protection adéquate en raison de la surveillance de masse réalisée par les services de renseignement américains[3].

Avec ou sans le consentement des utilisateurs, l’utilisation de Google reCAPTCHA est donc prohibée.

Notes et références

  1. L’utilisation de cookies nécessite, de façon générale, l’autorisation des visiteurs. Voir « Doit-on obtenir le consentement des utilisateurs avant d’utiliser des cookies ? ».
  2. La CNIL a considéré que le module reCAPTCHA de Google nécessitait le consentement des internautes (source : CNIL, Mise en demeure n° MED-2020-015, 15 juillet 2020, Ministère des Solidarités et de la Santé).
  3. Les données à caractère personnel ne peuvent pas être transférées vers les États-Unis, car le pays ne garantit pas un niveau de protection équivalent au RGPD. Voir : « Peut-on transférer des données à caractère personnel vers les États-Unis ? ».

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données