Politique de confidentialité Google reCAPTCHA : les éléments essentiels à inclure

La protection du site web de votre entreprise contre les attaques de bots est essentielle pour sécuriser les données sensibles et maintenir sa disponibilité. De nombreuses entreprises utilisent Google reCAPTCHA pour se protéger contre les bots et prévenir les violations de données.

Le reCAPTCHA « invisible » de Google collecte et analyse la manière dont les utilisateurs naviguent sur votre site web pour déterminer si l’activité est suspecte. Bien qu’il puisse aider à atténuer les risques liés aux bots moins sophistiqués, il capture des données personnelles qui peuvent affecter votre conformité en matière de protection de la vie privée. Plus important encore, il existe une incertitude quant à la manière dont Google utilise les données collectées par cet outil.

Pour être en conformité et le rester, vous devez inclure sur votre site web une politique de confidentialité pour reCAPTCHA qui informe clairement les utilisateurs et leur permet de se désinscrire.

Qu’est-ce que la politique de confidentialité reCAPTCHA ?

Étant donné que reCAPTCHA vise à améliorer l’expérience utilisateur, il collecte des données permettant d’identifier certains types d’activités de bots. En gros, reCAPTCHA prend un instantané de vos actions sur un site web, compare ces informations à ce qu’il connaît des activités de bots, et utilise un algorithme pour déterminer si vous êtes une personne réelle ou non.

Types de données collectées par reCAPTCHA :

• adresse IP,
• ressources chargées, y compris les styles ou les images,
• informations sur le compte Google de l’utilisateur,
• comportement, comme le défilement sur une page, le mouvement de la souris, les clics sur des liens, le temps passé à remplir des formulaires, et les modèles de frappe,
• historique du navigateur,
• informations CSS,
• plug-ins du navigateur,
• cookies.

Pourquoi une politique de confidentialité reCAPTCHA est-elle nécessaire ?

Au cours des cinq dernières années, de plus en plus de législations ont été mises en place pour protéger la confidentialité des données. Bien que le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne soit peut-être le plus connu, au moins cinq États américains ont désormais des lois complètes sur la protection des données personnelles.

Voici quelques exemples de ces lois :

• California Consumer Privacy Act (CCPA), mis à jour et renommé Consumer Privacy Rights Act (CPRA),
• Colorado Privacy Act,
• Connecticut Personal Data Privacy and Online Monitoring,
• Utah Consumer Privacy Act,
• Virginia Consumer Data Privacy Act.

De plus, des lois sur la protection de la vie privée ont été adoptées dans le monde entier, notamment :

• au Brésil : Lei Geral de Proteção de Dados Pessoais (LGPD),
• en Chine : Loi sur la Protection des Informations Personnelles (PIPL),
• en Australie : Privacy Act et les Australian Privacy Principles,
• en Afrique du Sud : Protection of Personal Information Act (POPIA).

À mesure que les pays adoptent des lois sur la protection de la vie privée de plus en plus strictes, les entreprises doivent comprendre leurs responsabilités pour éviter les amendes et les sanctions.

Les exigences de Google en matière de politique de confidentialité

Reconnaissant la tendance mondiale à l’application des lois sur la vie privée, Google propose des recommandations pour établir une politique de confidentialité de base.

Selon Google, votre politique de confidentialité doit inclure, au minimum, les éléments suivants :

• les données que vous collectez,
• l’utilisation que vous faites de ces données,
• les données que vous partagez,
• avec qui vous partagez ces données.

Absence de protection de la vie privée des utilisateurs et de conformité avec ReCAPTCHA

Les suggestions de Google constituent le strict minimum de ce que doit contenir votre politique de confidentialité. Google indique que vous pouvez envisager d’aborder vos pratiques en matière de sécurité des informations, les moyens par lesquels les utilisateurs peuvent modifier ou supprimer leurs informations personnelles, ainsi que les pratiques de conservation des données.

De plus, bien que reCAPTCHA puisse atténuer certains risques, il n’a pas la capacité de se protéger contre les attaques sophistiquées de bots et permet le partage de données à des fins marketing ou commerciales. Cela peut affecter votre conformité en matière de protection des données, notamment en ce qui concerne les exigences du RGPD.

Politique de consentement des utilisateurs de l’UE

Google reconnaît et aborde certaines de ces différences et limitations. Par exemple, il précise que vous devez ajouter une politique de consentement des utilisateurs en UE, qui inclut certaines divulgations et un langage de consentement spécifique.

Pour tous les produits Google utilisés sur votre site web, y compris reCAPTCHA, vous devez :

• obtenir le consentement pour utiliser des cookies ou d’autres formes de stockage local ;
• obtenir le consentement pour collecter, partager et utiliser des données personnelles à des fins de personnalisation publicitaire ;
• conserver des preuves du consentement des utilisateurs ;
• fournir des instructions claires sur la manière dont les utilisateurs peuvent révoquer leur consentement ;
• identifier chaque partie susceptible de collecter, recevoir ou utiliser des données personnelles ;
• fournir des informations claires et facilement accessibles sur la manière dont ces parties utilisent les données personnelles.

Ce que votre politique de confidentialité Google reCAPTCHA doit inclure

Rédiger une politique de confidentialité pour Google reCAPTCHA peut sembler intimidant. Pour vous conformer au RGPD, vous devez indiquer que vous utilisez reCAPTCHA de Google et expliquer ce que cela signifie pour les utilisateurs. Cependant, vous pouvez prendre des mesures concrètes pour atteindre vos objectifs de conformité et de protection des données.

Ce que vous collectez

Votre politique doit clairement indiquer ce que reCAPTCHA collecte. Il est important de rappeler que lorsque les utilisateurs sont connectés à leur compte Google, reCAPTCHA collecte également ces informations, et les utilisateurs doivent en être informés.

Voici quelques exemples de données à prendre en compte :

• URL de référence,
• adresse IP,
• informations sur le système d’exploitation,
• cookies,
• comportement de la souris et du clavier,
• paramètres de date et de langue,
• objets JavaScript,
• résolution d’écran.

Pourquoi avez-vous besoin de ces données ?

La plupart des lois sur la protection des données exigent que vous réduisiez au minimum la collecte des données. Au lieu de collecter toutes les données disponibles, vous devez vous limiter à celles qui sont nécessaires. Par exemple, le RGPD intègre une exigence de « limitation des finalités ».

Votre politique de confidentialité reCAPTCHA doit expliquer la raison pour laquelle vous capturez des données personnelles. Dans ce cas, il s’agit d’atténuer les violations de données causées par des bots malveillants.

Comment collecter les données ?

Pour donner leur consentement, les utilisateurs doivent savoir comment vous collectez les données. Si vous utilisez reCAPTCHA, vous devez prendre en compte tous les endroits sur votre site web où cette technologie collecte des informations utilisateur, notamment :

• les cookies,
• les formulaires,
• les sondages,
• les pages d’inscription,
• les pages de souscription à la newsletter,
• les clics sur les liens.

Comment conserver les données ?

Puisque reCAPTCHA envoie des données à Google, vous ne savez pas exactement où les informations sont stockées. Vous devez veiller à l’expliquer, en particulier si vous devez vous conformer aux exigences en matière de résidence des données. En outre, vous devez également expliquer que vous ne savez pas pendant combien de temps Google conserve les données.

Façons dont vous communiquez les changements

Votre site web est dynamique, et votre politique de confidentialité peut évoluer avec le temps. Plus important encore, vous pourriez choisir de modifier la manière dont vous utilisez les informations.

Il est nécessaire d’informer les utilisateurs de la façon dont vous prévoyez de les avertir de ces changements afin qu’ils aient la possibilité de révoquer leur consentement. Vous pouvez choisir de leur envoyer un e-mail ou d’afficher une date de modification de la politique de confidentialité sur votre site web.

Comment les utilisateurs peuvent-ils communiquer avec vous ?

Si des utilisateurs ont des questions concernant votre politique de confidentialité, il est important de les diriger vers une personne capable de leur fournir des réponses. Par exemple, vous pouvez choisir de fournir une adresse e-mail de webmaster.

Comment protégez-vous les données personnelles ?

La cybersécurité et la protection des données sont étroitement liées. La protection de la vie privée vous oblige à obtenir le consentement des utilisateurs et à veiller à ce que seules les personnes autorisées puissent accéder aux données personnelles. Si des acteurs malveillants obtiennent un accès non autorisé, vous faites face à un problème de sécurité des données et de protection de la vie privée.

Votre politique de protection de la vie privée doit décrire les mesures de protection de l’information, notamment :

• les protections informatiques,
• les contrôles d’accès physique,
• les contrôles de sécurité des sites web et des applications, comme l’activation du SSL,
• les moyens alternatifs de fournir des données confidentielles.

Comment les utilisateurs peuvent-ils supprimer des données ?

Étant donné que reCAPTCHA envoie les données à Google, les utilisateurs peuvent avoir besoin de contacter le support Google pour supprimer toutes leurs données. Vous pouvez également expliquer comment ils peuvent minimiser les données envoyées par reCAPTCHA en suggérant :

• de se déconnecter de leurs comptes Google,
• de supprimer leur historique,
• de supprimer les cookies.

Exemples de politiques de confidentialité ReCAPTCHA

Restez conforme et protégez les données des utilisateurs avec DataDome

Le DataDome CAPTCHA combine la confidentialité, la facilité d’utilisation et la sécurité pour une meilleure protection contre les bots. Notre CAPTCHA protège la vie privée des utilisateurs finaux car il ne capture pas d’informations personnellement identifiables telles que le nom, l’adresse e-mail, les identifiants, le numéro de téléphone, le numéro IMEI (International Mobile Equipment Identity) ou les détails de paiement. Avec des temps de chargement et de résolution considérablement réduits, notre CAPTCHA offre une meilleure expérience utilisateur, ce qui permet d’augmenter les conversions et de faciliter le parcours client.

Avec un taux de faux positifs de 0,01 %, vous assurez la sécurité en protégeant votre organisation contre les attaques de bots et la fraude en ligne tout en réduisant la charge de travail de votre équipe de sécurité.