Consentement : au tour du "reCAPTCHA" de Google d’être épinglé par la CNIL

Alexandre Boero
Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.
Publié le 19 avril 2022 à 15h45
reCAPTCHA

Le reCAPTCHA, le système anti-robot de Google que l'on retrouve sur de nombreux sites, souffre d'une entorse au recueil du consentement de l'utilisateur, selon la CNIL.

En juillet 2020, le data engineer et développeur David Libeau avait déposé une plainte auprès de la Commission nationale de l'informatique et des libertés (CNIL), sur l'utilisation par le ministère de l'Intérieur du reCAPTCHA de Google, ce petit système de sécurité qui prend la forme d'une case à cocher. Près de deux ans plus tard, la CNIL lui répond que le mécanisme doit être soumis au consentement de l'utilisateur, ce qui n'était pas le cas sur le site du ministère.

Le reCAPTCHA du formulaire de signalement de l'IGPN doit conduire au recueil du consentement

Plus précisément, c'est le reCAPTCHA présent sur une page web permettant d'opérer un signalement de faits à l'Inspection générale de la police nationale (IGPN) qui était mis en cause.

Si le mécanisme est destiné à bloquer les bots et autres logiciels malveillants qui sévissent sur le Web, et qu'il est donc utile à la sécurité des 5 millions de sites sur lesquels il oeuvre, il reste soumis à la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

La CNIL a écrit au ministère de l'Intérieur pour lui signifier que « les opérations de lecture et d'écriture effectuées par ce dispositif sur le terminal de l'utilisateur » (donc le fait de cocher le formulaire reCAPTCHA sur cette page qui propose le formulaire de signalement de l'IGPN) restent soumises au recueil du consentement des personnes concernées.

La CNIL a invité le ministère de l'Intérieur à ne plus utiliser le reCAPTCHA

L'article 82 de la loi du 6 janvier 1978 rappelle que l'accès, ici au formulaire, ne peut se faire que dans le cas où l'utilisateur a exprimé « son consentement ». Et le gendarme des données ajoute que s'il existe deux exceptions au recueil du consentement, aucune d'entre elles ne semble applicable au reCAPTCHA.

La CNIL explique que « dans la mesure où la collecte d'information n'aurait pas pour seule finalité la sécurisation du site au bénéfice des utilisateurs mais qu'elle permettrait par ailleurs des opérations d'analyse de la part de Google », une exception au consentement ne peut pas être appliquée.

Sans que l'on sache si la CNIL et Google ont discuté ensemble des contours du recueil du consentement avec le reCAPTCHA, l'autorité a invité le ministère à recourir à un autre dispositif, ou alors à prendre des mesures complémentaires de sécurité. En consultant la page de signalement IGPN, on constate effectivement l'absence du formulaire anti-robot de Google.

En 2020, la CNIL avait déjà mis en demeure le ministère de la Santé pour le recours au reCAPTCHA de Google dans l'environnement TousAntiCovid (permettant ainsi à l'entreprise de savoir si vous utilisiez l'application ou non). Les représentants des DPO avaient aussi pointé du doigt les dérives du système de détection automatique des internautes, évoquant à l'époque une utilisation « non maîtrisée ».

Contacté par Clubic mardi matin, Google n'a pas encore livré de réponse officielle à ce sujet.

Alexandre Boero
Par Alexandre Boero
Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (1)
serged

Vraiment nul ces recaptcha.
A cause de ces recaptcha, pas pu m’inscrire sur les forums de fr-android…

A signaler qu’il existe une extension pour Firefox et Chrome qui permet de les éviter.