Oui, le consentement des internautes doit obtenu avant d’utiliser le module Google reCAPTCHA.

De manière générale[1], il est obligatoire d’obtenir le consentement des internautes avant d’utiliser des cookies. Il existe cependant des exceptions lorsque ces cookies « ont pour finalité exclusive de faciliter la communication » ou lorsqu’ils sont « strictement nécessaires » au fonctionnement du service.

« l’exigence de consentement ne s’applique pas aux opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs. »

Le service reCAPTCHA proposé par Google étant destiné à détecter les robots, il pourrait éventuellement rentrer dans la catégorie des éléments facilitant la communication. Les données collectées par Google ne sont cependant pas utilisées uniquement pour détecter les activités suspectes, mais sont aussi utilisées à d’autres fins :

« le fonctionnement de l’API reCAPTCHA repose sur la collecte d’informations matérielles et logicielles, telles que les données sur les appareils et les applis, qui sont transmises à Google pour analyse. Les informations recueillies lorsque vous utilisez ce service seront utilisées pour améliorer la fonctionnalité reCAPTCHA, ainsi qu’à des fins de sécurité générale. »

— Google.com, conditions d’utilisation de reCAPTCHA, décembre 2021

Le module reCAPTCHA n’a donc pas comme « finalité exclusive » l’amélioration de la sécurité. Par conséquent, le consentement des internautes doit être obtenu. Google le précise même dans ses conditions :

« [Si] vous utilisez les API, vous acceptez qu’il vous incombe d’en informer les utilisateurs et de leur demander leur autorisation pour la collecte et le partage de ces données avec Google. Dans l’Union européenne, le ou les clients d’API, et vous-même, devez vous conformer aux Règles relatives au consentement de l’utilisateur dans l’UE. »

— Google.com, conditions d’utilisation de reCAPTCHA, décembre 2021

La CNIL[2], autorité de contrôle française, a, par ailleurs, déjà indiqué que le module reCAPTCHA de Google était soumis au consentement des utilisateurs[3].

Notes et références

  1. L’utilisation de cookies nécessite, de façon générale, l’autorisation des visiteurs. Voir « Doit-on obtenir le consentement des utilisateurs avant d’utiliser des cookies ? ».
  2. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  3. La CNIL a considéré que le module reCAPTCHA de Google nécessitait le consentement des internautes (source : CNIL, MED-2020-015, 15 juillet 2020, Ministère des Solidarités et de la Santé).