Consentement : au tour du "reCAPTCHA" de Google d’être épinglé par la CNIL

19 avril 2022 à 15h45
2
reCAPTCHA

Le reCAPTCHA, le système anti-robot de Google que l'on retrouve sur de nombreux sites, souffre d'une entorse au recueil du consentement de l'utilisateur, selon la CNIL.

En juillet 2020, le data engineer et développeur David Libeau avait déposé une plainte auprès de la Commission nationale de l'informatique et des libertés (CNIL), sur l'utilisation par le ministère de l'Intérieur du reCAPTCHA de Google, ce petit système de sécurité qui prend la forme d'une case à cocher. Près de deux ans plus tard, la CNIL lui répond que le mécanisme doit être soumis au consentement de l'utilisateur, ce qui n'était pas le cas sur le site du ministère.

Le reCAPTCHA du formulaire de signalement de l'IGPN doit conduire au recueil du consentement

Plus précisément, c'est le reCAPTCHA présent sur une page web permettant d'opérer un signalement de faits à l'Inspection générale de la police nationale (IGPN) qui était mis en cause.

Si le mécanisme est destiné à bloquer les bots et autres logiciels malveillants qui sévissent sur le Web, et qu'il est donc utile à la sécurité des 5 millions de sites sur lesquels il oeuvre, il reste soumis à la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

La CNIL a écrit au ministère de l'Intérieur pour lui signifier que « les opérations de lecture et d'écriture effectuées par ce dispositif sur le terminal de l'utilisateur » (donc le fait de cocher le formulaire reCAPTCHA sur cette page qui propose le formulaire de signalement de l'IGPN) restent soumises au recueil du consentement des personnes concernées.

La CNIL a invité le ministère de l'Intérieur à ne plus utiliser le reCAPTCHA

L'article 82 de la loi du 6 janvier 1978 rappelle que l'accès, ici au formulaire, ne peut se faire que dans le cas où l'utilisateur a exprimé « son consentement ». Et le gendarme des données ajoute que s'il existe deux exceptions au recueil du consentement, aucune d'entre elles ne semble applicable au reCAPTCHA.

La CNIL explique que « dans la mesure où la collecte d'information n'aurait pas pour seule finalité la sécurisation du site au bénéfice des utilisateurs mais qu'elle permettrait par ailleurs des opérations d'analyse de la part de Google », une exception au consentement ne peut pas être appliquée.

Sans que l'on sache si la CNIL et Google ont discuté ensemble des contours du recueil du consentement avec le reCAPTCHA, l'autorité a invité le ministère à recourir à un autre dispositif, ou alors à prendre des mesures complémentaires de sécurité. En consultant la page de signalement IGPN, on constate effectivement l'absence du formulaire anti-robot de Google.

En 2020, la CNIL avait déjà mis en demeure le ministère de la Santé pour le recours au reCAPTCHA de Google dans l'environnement TousAntiCovid (permettant ainsi à l'entreprise de savoir si vous utilisiez l'application ou non). Les représentants des DPO avaient aussi pointé du doigt les dérives du système de détection automatique des internautes, évoquant à l'époque une utilisation « non maîtrisée ».

Contacté par Clubic mardi matin, Google n'a pas encore livré de réponse officielle à ce sujet.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
2
3
Nymoi
2 ans plus tard, ils répondent ? Ouais, ben ça fait 2 ans qu’ils le font, alors pourquoi s’arrêter ?<br /> Moi, ça ne marche jamais les captchas, je choisis les feux de circulation, puis ça m’affiche des vélos, ensuite des collines, après des bateaux et aussi des palmiers, etc. Pff…
serged
Vraiment nul ces recaptcha.<br /> A cause de ces recaptcha, pas pu m’inscrire sur les forums de fr-android…<br /> A signaler qu’il existe une extension pour Firefox et Chrome qui permet de les éviter.
Voir tous les messages sur le forum

Lectures liées

Pwn2Own : Windows 11 et Microsoft Teams hackés, plusieurs fois
Google dépose le bilan en Russie
Ce nouveau hack permet de récupérer vos informations bancaires
Surfshark VPN s'offre enfin une interface sous Linux
Ces 200 applications Android vous espionnent et volent vos données, supprimez-les d'urgence !
Une nouvelle arnaque bancaire par téléphone signalée par la DGCCRF
Ransomware : ce groupe de hackers russes est considéré comme le plus dangereux
Ce VPN à prix délirant vous fera gagner en cyberconfidentialité
Attention aux malwares cachés dans des fichiers PDF disponibles via Google
Voici les meilleurs antivirus pour un usage professionnel
Haut de page