Le reCAPTCHA, le système anti-robot de Google que l'on retrouve sur de nombreux sites, souffre d'une entorse au recueil du consentement de l'utilisateur, selon la CNIL.
En juillet 2020, le data engineer et développeur David Libeau avait déposé une plainte auprès de la Commission nationale de l'informatique et des libertés (CNIL), sur l'utilisation par le ministère de l'Intérieur du reCAPTCHA de Google, ce petit système de sécurité qui prend la forme d'une case à cocher. Près de deux ans plus tard, la CNIL lui répond que le mécanisme doit être soumis au consentement de l'utilisateur, ce qui n'était pas le cas sur le site du ministère.
Le reCAPTCHA du formulaire de signalement de l'IGPN doit conduire au recueil du consentement
Plus précisément, c'est le reCAPTCHA présent sur une page web permettant d'opérer un signalement de faits à l'Inspection générale de la police nationale (IGPN) qui était mis en cause.
Si le mécanisme est destiné à bloquer les bots et autres logiciels malveillants qui sévissent sur le Web, et qu'il est donc utile à la sécurité des 5 millions de sites sur lesquels il oeuvre, il reste soumis à la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
La CNIL a écrit au ministère de l'Intérieur pour lui signifier que « les opérations de lecture et d'écriture effectuées par ce dispositif sur le terminal de l'utilisateur » (donc le fait de cocher le formulaire reCAPTCHA sur cette page qui propose le formulaire de signalement de l'IGPN) restent soumises au recueil du consentement des personnes concernées.
La CNIL a invité le ministère de l'Intérieur à ne plus utiliser le reCAPTCHA
L'article 82 de la loi du 6 janvier 1978 rappelle que l'accès, ici au formulaire, ne peut se faire que dans le cas où l'utilisateur a exprimé « son consentement ». Et le gendarme des données ajoute que s'il existe deux exceptions au recueil du consentement, aucune d'entre elles ne semble applicable au reCAPTCHA.
La CNIL explique que « dans la mesure où la collecte d'information n'aurait pas pour seule finalité la sécurisation du site au bénéfice des utilisateurs mais qu'elle permettrait par ailleurs des opérations d'analyse de la part de Google », une exception au consentement ne peut pas être appliquée.
Sans que l'on sache si la CNIL et Google ont discuté ensemble des contours du recueil du consentement avec le reCAPTCHA, l'autorité a invité le ministère à recourir à un autre dispositif, ou alors à prendre des mesures complémentaires de sécurité. En consultant la page de signalement IGPN, on constate effectivement l'absence du formulaire anti-robot de Google.
En 2020, la CNIL avait déjà mis en demeure le ministère de la Santé pour le recours au reCAPTCHA de Google dans l'environnement TousAntiCovid (permettant ainsi à l'entreprise de savoir si vous utilisiez l'application ou non). Les représentants des DPO avaient aussi pointé du doigt les dérives du système de détection automatique des internautes, évoquant à l'époque une utilisation « non maîtrisée ».
Contacté par Clubic mardi matin, Google n'a pas encore livré de réponse officielle à ce sujet.
Source : Twitter @DavidLibeau
