DataDome

Décision : la Commission nationale de l’informatique et des libertés confirme que reCAPTCHA utilise les données à d’autres fins que la sécurité

Table des matières
Kira Lempereur, Sr. Technical Writer
19 Apr, 2023
|
min

Le reCAPTCHA de Google est le CAPTCHA le plus utilisé sur Internet, mais il n’est ni le plus sûr, ni le plus efficace, ni le plus respectueux de la vie privée. La Commission nationale de l’informatique et des libertés (CNIL) a officiellement constaté que reCAPTCHA utilise un nombre excessif de données à caractère personnel à d’autres fins que la sécurité. Cela porte donc atteinte à la vie privée des utilisateurs finaux qui interagissent avec les sites web et les applications utilisant reCAPTCHA.

reCAPTCHA n’étant pas automatiquement conforme au RGPD, toute entreprise qui y est soumise et qui utilise ce service de test CAPTCHA doit indiquer très clairement aux utilisateurs finaux quelles données sont collectées, à quelles fins, et où ces données sont envoyées et stockées.

ReCAPTCHA et le RGPD & GDPR

Le RGPD repose sur l’idée que les données des utilisateurs sur Internet doivent être privées et protégées, et qu’elles ne doivent être collectées que dans un but précis connu de la personne concernée. L’utilisateur doit en outre être averti des informations exactes qui seront collectées avant qu’elles ne le soient, et il doit pouvoir refuser cette collecte.

Depuis 2020, la CNIL enquête sur la façon dont reCAPTCHA utilise les données, et si les entreprises qui utilisent ce service sur leurs sites web informent correctement les utilisateurs et leur demandent leur consentement. Google lui-même n’indique pas clairement dans quel but reCAPTCHA collecte les données des utilisateurs (notamment l’adresse IP, les cookies déposés par Google sur l’appareil au cours des six derniers mois et une liste de plugins), et il est possible que ces données soient, entre autres, envoyées à Google Analytics (une plateforme de marketing).

Google indique que les entreprises doivent informer les utilisateurs finaux et obtenir leur consentement pour traiter leurs données, mais il ne fournit ni n’impose de telles notifications.

En substance, les entreprises qui utilisent reCAPTCHA doivent s’assurer que le consentement de l’utilisateur est « libre, spécifique, éclairé et univoque », conformément aux exigences du RGPD. Il est difficile d’obtenir le consentement parce que l’objectif de la collecte de données n’est pas entièrement défini ou compris, si bien que le consentement ne peut pas être pleinement éclairé.

Le CAPTCHA et la collecte de données

La meilleure façon de protéger votre site web, votre application mobile et/ou votre API est de vous appuyer sur une solution qui ne collecte pas de données inutiles et, surtout, qui utilise les données traitées uniquement pour des raisons de sécurité. Un CAPTCHA traditionnel comme reCAPTCHA, qui utilise des données pour des raisons autres que la sécurité, doit permettre aux utilisateurs finaux de refuser la collecte pour être conforme au RGPD. Les bots peuvent utiliser cette faille pour contourner le test.

Une solution CAPTCHA conforme au RGPD doit impérativement présenter les qualités suivantes :

  • La transparence sur la collecte, le stockage et la rétention des données.
  • Les normes de sécurité et de chiffrement les plus strictes.
  • La dispense des exigences de consentement de l’utilisateur final et du droit de refus (grâce à de la transparence concernant la collecte et l’utilisation minimales des données uniquement à des fins de sécurité).

Votre fournisseur de services de protection contre les bots et la fraude doit vous garantir qu’il ne traite les données qu’à des fins de sécurité et qu’il respecte les normes de traitement des données et les bonnes pratiques les plus strictes.

Le DataDome CAPTCHA : protéger la vie privée des utilisateurs

La solution CAPTCHA sans faille de DataDome s’intègre parfaitement à notre puissante protection contre les bots et la fraude. Le moteur de détection basé sur l’apprentissage automatique élimine les bots en temps réel, dès la première requête. Il présente un test CAPTCHA pour recueillir davantage de signaux seulement si d’autres signaux indiquent que l’utilisateur est probablement un bot.

DataDome ne recueille que les données absolument nécessaires, qui sont protégées par les normes de sécurité les plus élevées et utilisées uniquement à des fins de détection et de sécurité.

Notre taux de faux positifs de 0,01 % est le plus performant du secteur. Il garantit que moins de 1 test CAPTCHA sur 10 000 est vu par un humain. Et dans les rares cas où cela se produit, les utilisateurs humains passent un CAPTCHA rapide à charger et simple à résoudre : facile pour les humains, difficile pour les bots.

Notre CAPTCHA a déjà empêché des millions de tentatives malveillantes de passer le CAPTCHA et chaque tentative ne fait qu’améliorer la précision de notre moteur de détection. Nous offrons une précision inégalée sans compromis, et préservons votre expérience utilisateur, votre sécurité et les performances de votre site tout en protégeant les données de vos clients.

DataDome ne collecte pas autant de données que possible sur les utilisateurs finaux sans indiquer pourquoi, mais se conforme aux lois sur la confidentialité des données en Amérique du Nord, EMEA, APAC, Amérique du Sud et en Afrique. Aucun consentement ou refus requis.

Conclusion

La CNIL a officiellement déclaré ce que de nombreux adeptes de la protection de la vie privée soupçonnaient depuis longtemps : reCAPTCHA collecte un nombre excessif de données sur les clients, notamment des informations personnelles, et ne précise pas exactement pourquoi ni comment ces données sont utilisées.
Toute entreprise qui se protège avec reCAPTCHA s’expose à des problèmes de confidentialité et à un risque de violation de données, sans pour autant être correctement protégée contre les bots malveillants (qui contournent facilement les tests).

La meilleure façon de minimiser les risques liés à la confidentialité des données est de choisir un CAPTCHA totalement conforme aux règles de confidentialité. Découvrez le DataDome CAPTCHA en action avec un essai gratuit de 30 jours ou une démonstration en direct.

DataDome
Kira Lempereur
Sr. Technical Writer
Kira Lempereur est rédactrice technique senior chez DataDome et responsable du pôle LGBTQ+ de l'entreprise. Elle collabore avec les équipes chargées de la recherche sur les menaces, du marketing et des produits afin de créer du contenu visant à renforcer un leadership éclairé en matière de lutte contre les bots et la fraude en ligne. Kira possède plus de 6 ans d'expérience dans le secteur de la cybersécurité, allant des logiciels antivirus d'entreprise à la lutte contre les bots.

Articles liés