ReCAPTCHA & RGPD : comment rester conforme au RGPD en 2024 ?

La protection de votre site web contre les bots est nécessaire pour protéger votre organisation et les données de vos clients. Pour atténuer les risques, de nombreuses entreprises utilisent un CAPTCHA sur leur site web. Un CAPTCHA, qui signifie « Completed Automated Public Turing test to tell Computers and Humans Apart » (test de Turing public entièrement automatique pour différencier les ordinateurs des humains), demande aux utilisateurs de relever des défis censés être faciles pour les humains mais difficiles pour les bots. Cependant, à mesure que les bots deviennent plus sophistiqués, ils parviennent souvent à contourner les CAPTCHA traditionnels.

Bien qu’il existe différentes variétés de CAPTCHA, le reCAPTCHA de Google est couramment utilisé sur les formulaires de sites web ou pour prévenir le spam.

Les entreprises utilisant Google reCAPTCHA doivent comprendre son fonctionnement et ses limitations si elles veulent se conformer au Règlement Général sur la Protection des Données (RGPD) de l’Union européenne.

Comment fonctionne Google reCAPTCHA ?

Google reCAPTCHA v3, y compris invisible reCAPTCHA, fournit un moteur d’analyse de risque adaptatif qui examine les interactions afin de fournir un score de risque et d’alerter les utilisateurs en cas de trafic suspect. ReCAPTCHA v3 comprend une balise “Action” qui peut être utilisée tout au long du parcours de l’utilisateur afin que le moteur d’analyse des risques puisse surveiller l’activité sur plusieurs pages.

Google reCAPTCHA v3 offre trois avantages uniques :

• Plus de contrôle sur le moment où les utilisateurs doivent fournir une vérification supplémentaire.
• Possibilité d’enrichir le score de risque avec des informations sur l’utilisateur, y compris l’historique des transactions ou le profil.
• Option d’utiliser le score pour aider à entraîner des modèles d’apprentissage automatique.

Fondamentalement, reCAPTCHA aide à lutter contre les bots simples. Cependant, il présente quelques limites significatives, notamment :

• Il est incapable de protéger contre les bots sophistiqués.
• Il échoue à rationaliser l’expérience utilisateur.
• Il présente des problèmes de non-conformité en matière de protection des données.

Google reCAPTCHA est-il conforme au RGPD ?

Pour les entreprises en ligne, reCAPTCHA présente un risque de non-conformité au RGPD s’il n’est pas correctement mis en œuvre.

En vertu du RGPD, vous avez l’obligation de protéger les informations/données personnelles. Le règlement inclut ce qui suit dans sa définition des « données personnelles » :

Un identifiant en ligne d’un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale d’une personne physique.

De plus, dans le Recital 30, le RGPD spécifie que les adresses IP et les identifiants de cookies sont des identifiants en ligne.

ReCAPTCHA utilise des données de cookies et d’autres technologies de suivi dans le cadre de son score de risque pour déterminer si une activité est suspecte ou non. Puisque vous pouvez également enrichir le score de risque avec des informations telles que l’historique des transactions, vous pourriez combiner des données personnelles avec un identifiant en ligne pour faire une supposition sur l’intention de l’utilisateur, qu’elle soit économique, physiologique, culturelle ou sociale.

En outre, le RGPD exige que les utilisateurs sachent quand vous transférez des données personnelles vers un autre pays pour traitement. ReCAPTCHA envoie les données collectées aux serveurs américains de Google pour compléter le traitement, ce qui affecte votre conformité au RGPD.

Problèmes de conformité au RGPD avec Google reCAPTCHA

Bien que l’outil gratuit de Google reCAPTCHA puisse atténuer les risques posés par les bots simples, il manque de transparence, ce qui peut compromettre vos objectifs de conformité au RGPD.

1. Consentement de l’utilisateur

Le RGPD vise essentiellement à donner aux personnes concernées le contrôle sur les données collectées par les entreprises et sur la manière dont elles utilisent ces informations. La « facilité d’utilisation » de ReCAPTCHA est en contradiction avec l’exigence du RGPD selon laquelle les entreprises doivent assurer la transparence de la collecte et de l’utilisation des données.

Selon l’article 13, lorsque les entreprises collectent des données personnelles, elles doivent fournir les notifications suivantes au moment où elles obtiennent les informations :

• identité et coordonnées du responsable du traitement ;
• coordonnées du délégué à la protection des données, le cas échéant ;
• raison du traitement des données et base légale pour le faire ;
• où les données sont traitées et intérêts légitimes pour le faire ;
• qui recevra les données ;
• intention de transférer des données vers un autre pays, le cas échéant.

L’article 21 exige que les entreprises donnent aux personnes concernées le droit de s’opposer à la collecte et au traitement de leurs données personnelles.

En combinant les articles 13 et 21, cela crée ce qu’on appelle normalement la « Politique de cookies ». Chaque fois que vous collectez des cookies, que le RGPD considère comme des données personnelles, vous devez obtenir le consentement de l’utilisateur et offrir la possibilité de se désinscrire.

Vous risquez une violation du RGPD si vous utilisez reCAPTCHA et que vous ne parvenez pas à :

• notifier le client,
• obtenir son consentement,
• lui permettre de se désinscrire.

2. Finalité du traitement et minimisation des données

L’article 5 définit les raisons légales pour traiter les données personnelles. De plus, il établit une exigence de « limitation de la finalité ». En ce qui concerne reCAPTCHA, les données à caractère personnel peuvent être :

• collectées à des fins spécifiées, explicites et légitimes ;
• non traitées ultérieurement d’une manière incompatible avec ces finalités ;
• traitées ultérieurement uniquement si cela sert l’intérêt public, des fins scientifiques, historiques ou statistiques.

En outre, l’article 5 établit une exigence de minimisation des données notant que la collecte de données doit être adéquate, pertinente et limitée à ce qui est nécessaire.

C’est un autre risque potentiel. Bien que reCAPTCHA fournisse une certaine protection contre les attaques de bots, il existe des solutions alternatives de protection contre les bots qui ne nécessitent pas le traitement des données personnelles. Par conséquent, l’utilisation de reCAPTCHA ne se conforme pas nécessairement aux exigences de minimisation des données et de limitation de la finalité.

3. Transferts internationaux de données

Dans l’article 46, le RGPD explique que lors du transfert de données personnelles vers un pays tiers, les responsables du traitement et les sous-traitants doivent mettre en œuvre des garanties appropriées. Il est ensuite expliqué que les contrats entre les parties qui traitent les données (responsable du traitement, sous-traitant ou destinataire des données à caractère personnel) constituent une garantie appropriée. Il est également important de se rappeler que lorsque vous transférez des données vers un pays tiers, vous devez en informer la personne concernée et obtenir son consentement.

Puisque reCAPTCHA envoie des données aux États-Unis, si vous êtes dans un autre pays, vous devez vous assurer d’avoir un contrat avec Google. Vous devez également informer les utilisateurs finaux que vous transférez leurs données. Sinon, vous risquez d’enfreindre le RGPD.

Les risques de non-conformité au RGPD

Trouver un équilibre entre la protection de la vie privée des personnes concernées, la cybersécurité et la conformité est un véritable défi. Vous devez atténuer les risques liés aux bots malveillants sans utiliser de reCAPTCHA, ce qui augmenterait le risque de non-conformité. Lorsque vous comprenez les risques de non-conformité, vous pouvez prendre une décision plus éclairée.

Pénalités du Règlement Général sur la Protection des Données (RGPD)

En vertu du RGPD, une violation peut entraîner des amendes allant jusqu’à 20 millions d’euros ou 4 % de votre chiffre d’affaires annuel total. Il peut également vous être interdit de traiter des données.

Chaque pays dispose de son propre organisme de protection des données (DPA) qui détermine les amendes et les restrictions de traitement. Dans certains cas, le DPA peut choisir d’appliquer les deux.

Atteinte à la réputation de l’entreprise

Les violations du RGPD sont du domaine public. Les organes de presse font souvent état des amendes et des sanctions liées au GDPR. L’impact sur la réputation a un effet d’entraînement : les clients prennent connaissance de la violation, ne vous font plus confiance et choisissent de s’adresser à un concurrent.

Coût de la gestion des dommages

Surmonter les dommages à votre réputation coûte également de l’argent. Vous pourriez devoir payer une agence de relations publiques pour vous aider à :

• répondre aux demandes des médias,
• suivre l’actualité à la recherche d’articles,
• communiquer le problème sur votre site web.

Responsabilité en cas de dommages

En vertu de l’article 82 du GDPR, les personnes concernées ont le droit d’être indemnisées pour les dommages matériels ou immatériels résultant d’une violation. Si vous enfreignez le RGPD, les personnes concernées peuvent intenter une action en justice, ce qui entraîne des frais d’avocat et le paiement de tout dommage évalué.

Retrait de la certification RGPD

Pour permettre aux personnes concernées, certaines entreprises ont obtenu une certification RGPD au titre de l’article 42 dans le cadre de leur transparence. Une violation du RGPD peut signifier que vous ne répondez plus aux critères de certification, ce qui permet aux organismes de certification de la révoquer.

Comment rester conforme au RGPD lors de l’utilisation de ReCAPTCHA

Comme le RGPD se concentre sur l’information des personnes sur les données que vous collectez et comment vous pouvez les utiliser, les utilisateurs de reCAPTCHA doivent disposer des informations appropriées sur leur site web afin que les utilisateurs finaux puissent donner leur consentement éclairé.

1. Utiliser une politique de confidentialité pour reCAPTCHA de Google

Les sites web qui utilisent reCAPTCHA devraient avoir une politique de confidentialité traitant spécifiquement de reCAPTCHA. Cette politique doit comprendre les éléments suivants :

• ce que c’est ;
• comment il est utilisé ;
• comment il fonctionne ;
• la base légale pour son utilisation ;
• comment les personnes peuvent retirer leur consentement ;
• les noms des processeurs tiers ;
• où les processeurs tiers traitent les données ;
• quelles sont leurs garanties.

2. Inclure une politique en matière de cookies

Vous avez peut-être déjà une politique de cookies sur votre site web. Cependant, les sites web qui utilisent reCAPTCHA doivent inclure :

• tous les cookies placés par reCAPTCHA ;
• quels cookies seront installés ;
• à quoi serviront les cookies.

3. Inclure une bannière de cookies et respecter la loi sur les cookies

Votre bannière de cookies est l’avis en bas de votre site web indiquant aux gens que vous collectez des cookies. Comme reCAPTCHA est considéré comme un cookie de marketing et de protection contre le spam, les sites web doivent s’assurer d’offrir aux utilisateurs la possibilité de se désinscrire.

Limites de Google ReCAPTCHA pour la conformité au RGPD

Vous devez comprendre les limitations de reCAPTCHA et comment cela peut affecter votre conformité au RGPD.

Violations de données

Les cybercriminels peuvent utiliser reCAPTCHA lors d’une attaque de phishing pour gagner la confiance des gens. Une attaque a envoyé des e-mails prétendant être une nouvelle notification de messagerie vocale. Lorsque les utilisateurs cliquaient sur le lien, ils étaient dirigés vers une page web avec un reCAPTCHA. Pensant qu’il s’agissait d’une protection de sécurité, ils cliquaient sur le reCAPTCHA, ce qui les dirigeait ensuite vers une page de phishing pour collecter des identifiants.

Attaques de bots

Bien que vous puissiez utiliser reCAPTCHA pour la protection contre les bots, les attaques de bots sophistiquées utilisent souvent des logiciels de reconnaissance d’image qui peuvent résoudre les défis.

Attaques sur le site web côté client

Certaines implémentations de reCAPTCHA utilisent JavaScript. Cependant, JavaScript n’est pas toujours une option sécurisée et peut vous laisser ouvert aux attaques sur le site web côté client.

Alternatives à reCAPTCHA conformes au RGPD

La bonne nouvelle est que vous pouvez trouver des alternatives à reCAPTCHA qui permettent de garantir la sécurité sans compromettre la confidentialité des données des utilisateurs.

1. Solution de protection contre les bots

Les solutions de protection contre les bots éliminent le besoin d’un reCAPTCHA. Vous créez une liste autorisée de bots partenaires de confiance, et la solution vous protège contre tout le reste.

2. HoneyPot

Avec un honeypot, vous pouvez piéger les bots. Lorsque vous incorporez des champs de formulaire cachés dans vos formulaires, les personnes ne les voient pas mais les bots les remplissent souvent. Vous ne collectez pas de données personnelles, mais vous attrapez tout de même les bots malveillants.

Restez conforme au RGPD avec DataDome

La solution de protection contre les bots et le CAPTCHA conforme au RGPD de DataDome protègent les données et la confidentialité des clients. Notre solution avancée de protection contre les bots fonctionne et apprend en temps réel, traitant 1 000 milliards de signaux de données pour garantir un taux de faux positifs inférieur à 0,01 %. Bien que 99,99 % de vos utilisateurs ne verront jamais un CAPTCHA, nous en avons créé un qui est convivial, conforme à la protection de la vie privée et sécurisé contre les bots (même les plus sophistiqués). Notre CAPTCHA est intégré à la mise à jour de notre solution de protection contre les bots, vous protégeant sur tous les points de terminaison.

Notre CAPTCHA est conforme aux lois locales sur la protection des données en Amérique du Nord, EMEA, APAC, Amérique du Sud et Afrique.