Google reCAPTCHA épinglé par la CNIL

Google reCAPTCHA épinglé par la CNIL
⏱ Lecture 3 min

Par Anne Charlotte Andrieux et Eléonore Hakim

Dans la continuité du positionnement adopté quant à Google Analytics, la CNIL a estimé que la solution reCAPTCHA de Google n’est pas conforme à l’article 82 de la Loi Informatique et Libertés (LIL).

Bien connu des internautes, la solution reCAPTCHA Google se présente par une case à cocher, suivi d’un exercice de reconnaissance d’image. Cette méthode permet notamment d’évaluer si le comportement d’un utilisateur correspond ou non à celui d’un humain et de prévenir les requêtes multiples et automatisées.

La solution est aujourd’hui utilisée par de nombreux sites Internet à des fins de sécurité, afin de bloquer les logiciels malveillants.

L'impact du reCAPTCHA de Google sur les données personnelles des utilisateurs

L’Association française des correspondants à la protection des données à caractère personnel (AFCDP) a alerté sur l’utilisation du reCAPTCHA de Google. Selon l’Association, l’outil Google comporte d’autres finalités, que la simple reconnaissance des humains, ce qui entrainerait des impacts sur les données personnelles des utilisateurs.

En effet, après étude de la solution, l’Association a pu constater qu’elle collectait de nombreuses informations personnelles et notamment :

  • Des informations relatives aux applications, aux navigateurs et aux appareils de l’internaute ;

  • Des informations relatives aux activités de l’internaute sur le service concerné ;

  • Des données d’identification ;

  • Les coordonnées des utilisateurs ;

  • Des données de paiement ;

  • Des informations relatives à la position géographique de l’internaute.

Les conditions d’utilisation de reCAPTCHA précisent à ce titre que « Le fonctionnement de l’API reCAPTCHA repose sur la collecte d’informations matérielles et logicielles, telles que les données sur les appareils et les applis, qui sont transmises à Google pour analyse ».

Il en résulte des conditions d’utilisation que la collecte d’informations sur le terminal de l’utilisateur n’a pas pour seule finalité la sécurisation de l’application mais permet également des opérations d’analyse de la part de Google.

Compte tenu de ses enjeux, la CNIL a eu l’occasion de se prononcer à deux reprises.

Google reCAPTCHA non conforme au RGPD

Par sa décision MED-2020-015 du 15 juillet 2020, la CNIL a mis en demeure le Ministère des Solidarités et de la Santé pour le recours au reCAPTCHA de Google au sein de l’application « StopCovid ».

La CNIL a retenu plusieurs manquements et notamment un manquement à l’obligation d’informer l’utilisateur et d’obtenir son consentement avant d’inscrire et de lire des informations sur son équipement terminal de communication électronique.

Pour la Commission, la solution reCAPTCHA suppose la lecture/l’écriture sur l’équipement terminal de l’utilisateur d’informations, par le biais de cookies et autres traceurs.

Or, il résulte de l’article 82 de la LIL, qu’à l’exception des traceurs, strictement nécessaires à la fourniture d’un service de communication en ligne ou de traceurs ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique, leur dépôt ne peut avoir lieu qu’à la condition que l’utilisateur ait exprimé son consentement.

La CNIL considère également que sont exemptés de consentement, les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisés ou inattendus.

La solution reCAPTCHA de Google aurait pu rentrer dans cette dernière catégorie d’exemption au recueil du consentement. Cependant et comme évoqué précédemment, « La collecte d’informations sur l’ordiphone de l’utilisateur n’a pas pour seule finalité la sécurisation de l’application mais permet également des opérations d’analyse de la part de cette société ».

Par conséquent, la Commission a estimé que l’outil Google reCAPTCHA ne rentre pas dans le périmètre des exemptions de consentement et doit donc être soumis au recueil du consentement de l’utilisateur, conformément à l’article 82 de la LIL.

Plus récemment, la CNIL a confirmé sa position en affirmant à un plaignant que les opérations de lecture et d’écriture effectués par la solution Google reCAPTCHA sur le terminal de l’utilisateur sont conditionnées au recueil du consentement des personnes concernées. La plainte avait été déposée à l’encontre du Ministère de l’Intérieur, en raison du recours au reCAPTCHA sur le site internet de l’Inspection générale de la police nationale (IGPN).

Des enjeux relatifs aux transferts de données hors UE

Récemment la CNIL a considéré que Google ReCaptcha soulève des enjeux relatifs aux transferts de données personnelles en dehors de l’Union européenne et notamment vers les Etats Unis.

Rappelons que la CNIL a récemment mis en demeure un gestionnaire de site internet français ayant recours à Google Analytics d’en cesser l’utilisation, à raison des transferts de données en dehors de l’Union européenne induits par cette solution.

Or, dans la mesure où le reCAPTCHA implique une analyse par Google des données personnelles des utilisateurs, il est probable que la solution implique également des transferts de données en dehors de l’Union Européenne.

Il en résulte que l’usage du reCAPTCHA de Google est susceptible d’entraîner des conséquences similaires, à celles prises par la CNIL à l’encontre du gestionnaire de site ayant recours à Google Analytics.

Compte tenu de ses nombreux enjeux de conformité, les développeurs et les sous-traitants devront faire preuve de vigilance quant à l’utilisation de cet outil, voire envisager son remplacement, par un outil plus respectueux de la protection des données personnelles.

***

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit, notamment en matière de protection des données personnelles. N’hésitez pas à faire appel à nos experts pour vous conseiller. Contactez-nous ici.

 

Anne-Charlotte Andrieux

Auteur Anne-Charlotte Andrieux

Suivez-nous sur Linkedin