L’utilisation de Google reCAPTCHA est illégale, avec ou sans le consentement des visiteurs.

De manière générale, le consentement de l’internaute est obligatoire lorsqu’on accède aux informations présentes dans le terminal de l’internaute ou lorsqu’on écrit des informations (comme des cookies) dans son terminal[1].

Il existe toutefois une exception à cette règle lorsque ces accès de lecture ou d’écriture « ont pour finalité exclusive de faciliter la communication » ou sont « strictement nécessaires » au fonctionnement du service.

Le service reCAPTCHA de Google ne peut toutefois pas bénéficier de cette exception, car les données collectées et traitées par Google ne sont pas utilisées uniquement pour détecter les robots ou les activités suspectes, comme le précisent les conditions d’utilisation de Google :

« le fonctionnement de l’API reCAPTCHA repose sur la collecte d’informations matérielles et logicielles, telles que les données sur les appareils et les applis, qui sont transmises à Google pour analyse. Les informations recueillies lorsque vous utilisez ce service seront utilisées pour améliorer la fonctionnalité reCAPTCHA, ainsi qu’à des fins de sécurité générale. »

— Google.com, conditions d’utilisation de reCAPTCHA, décembre 2021

Le module reCAPTCHA n’a donc pas comme « finalité exclusive » l’amélioration de la sécurité. Le consentement des internautes doit donc être obtenu. Google le précise même dans ses conditions :

« [Si] vous utilisez les API, vous acceptez qu’il vous incombe d’en informer les utilisateurs et de leur demander leur autorisation pour la collecte et le partage de ces données avec Google. Dans l’Union européenne, le ou les clients d’API, et vous-même, devez vous conformer aux Règles relatives au consentement de l’utilisateur dans l’UE. »

— Google.com, conditions d’utilisation de reCAPTCHA, décembre 2021

La CNIL a, par ailleurs, déjà indiqué que le service reCAPTCHA était soumis au consentement des utilisateurs[2].

Le vrai problème ne réside cependant pas dans l’obtention d’un consentement, mais dans la conformité de Google reCAPTCHA avec le RGPD, puisque même avec le consentement de la personne, les exigences du RGPD s’appliquent.

Une de ces exigences est de garantir une protection équivalente au RGPD lorsque les données sont exportées dans un pays non membre de l’Union européenne. Cette exigence n’est pas respectée dans le cas de Google reCAPTCHA, car les États-Unis, pays dans lequel les serveurs de Google sont situés, n’assurent pas une protection adéquate en raison de la surveillance de masse réalisée par les services de renseignement américains[3].

Avec ou sans le consentement des utilisateurs, l’utilisation de Google reCAPTCHA est donc prohibée.

Notes et références

  1. Voir « Doit-on obtenir le consentement des utilisateurs avant d’utiliser des cookies ? ».
  2. La CNIL a considéré que le module reCAPTCHA de Google nécessitait le consentement des internautes (source : CNIL, Mise en demeure n° MED-2020-015, 15 juillet 2020, Ministère des Solidarités et de la Santé).
  3. Les données à caractère personnel ne peuvent pas être transférées vers les États-Unis, car le pays ne garantit pas un niveau de protection équivalent au RGPD. Voir : « Peut-on transférer des données à caractère personnel vers les États-Unis ? ».
Sigles et acronymes
  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données