reCAPTCHA : les représentants des DPO s'inquiètent d'une mauvaise utilisation de l'outil de Google

10 août 2020 à 11h58
19
reCAPTCHA

L'association des délégués à la protection des données pointe du doigt les dérives du système de détection automatique d'internautes du géant américain.

L'Association française des correspondants à la protection des données à caractère personnel (AFCDP) représente ceux que l'on surnomme les DPO, les délégués à la protection des données qui un rôle prépondérant avec le RGPD. Elle a pris la parole jeudi 6 août pour monter au créneau concernant l'utilisation qu'elle qualifie de "non maîtrisée" du reCAPTCHA de Google. Ce problème a été soulevé notamment dans la dernière mise en demeure adressée au ministère des Solidarités et de la Santé par la CNIL (au sujet de l'application StopCovid), qui s'interroge aussi sur l'outil.

Un reCAPTCHA qui aide Google à développer certains de ses services

Si vous n'êtes pas encore pleinement au courant des fonctionnalités du reCAPTCHA, rappelons que l'outil porté par Google aide à détecter automatiquement, à l'aide de l'intelligence artificielle, si l'individu est un humain ou non. Cela permet d'éviter toute connexion malveillante par des robots informatiques, pour schématiser le tout à l'extrême.

Le reCAPTCHA prend souvent la forme d'une case à cocher, ensuite suivie de plusieurs images en bloc parmi lesquelles il faut par exemple reconnaître celles où on peut retrouver un ou plusieurs passages piétons, bus, voitures, etc. Mais parce que Google a souvent un coup d'avance, le système en version reconnaissance de texte a permis de perfectionner les outils de numérisation de livres de Google Books. Sous la forme de la reconnaissance d'images, celui-ci a aidé à améliorer Google Street View et sa détection des numéros de rues.

"Le reCAPTCHA permet […] à Google de profiter du travail numérique de ses utilisateurs, qui produisent de la valeur pour Google sans qu'ils le sachent", dénonce l'AFCDP. Et les usages découlant de l'outil ne s'arrêtent pas là pour la firme de Mountain View.

reCAPTCHA not a robot

Le problème ? Il n'y a pas ou peu d'alternative(s) crédible(s) pour remplacer le reCAPTCHA

Loin de n'être qu'un simple système de détection automatisée, le reCAPTCHA est aussi utilisé par Google pour procéder à un prélèvement de données personnelles. Certes, nous étions déjà au courant de ce fait, mais l'association des DPO précise que les observateurs ont remarqué que lors de son activation, l'outil de Google prélevait notamment l'adresse IP de l'internaute, mais aussi la date, la langue du navigateur, le nombre de clics, la liste des plugins, les cookies déposés par Google ces six derniers mois et les objets Javascript de la page.

Mais que fait Google de toutes ces informations ? Le géant américain se garde bien de nous le dire, puisque bien souvent, l'utilisateur n'est pas informé par le site qui fait appel au système reCAPTCHA. Et surtout, son consentement ne lui est pas demandé. En réalité, Google les analyse et… libre à vous d'imaginer la suite. Ce qui n'est pas sans pousser la Commission nationale de l'informatique et des libertés (CNIL) à s'interroger.

Voilà pourquoi l'association des délégués à la protection des données appelle à être attentif au traitement des données personnelles que le reCAPTCHA implique, d'autant plus que les développeurs et les sous-traitants sont pour le moment réticents à privilégier une autre solution. En effet, l'outil de Google est potentiellement "très lié à Google Analytics", nous prévient l'AFCDP.

StopCovid s'est défait de l'outil de Google dans sa dernière version

Dans sa délibération du 16 juillet 2020, la CNIL a rappelé que l'analyse d'impact sur les protection des données personnelles de StopCovid ne mentionnait pas la collecte de données faite par Google via le reCAPTCHA, alors même que Google informe les développeurs d'applications que le système de détection lui permet de procéder à des opérations d'analyse.

Cela ne vaut que pour la version v.1.0. de l'application de suivi de contacts, puisque la version la plus récente utilise la technologie alternative proposée par l'opérateur Orange.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
19
13
Njbx
Que cela profite a Google je vois pas en quoi c’est un problème, il doit bien y avoir une contrepartie pour pouvoir proposer un service “gratuit”.
Demongornot
Le problème c’est que ça participe au monopole de Google, qui ne fait rien de positif avec, et surtout, que ça participe à la normalisation de la collecte de données, d’intrusion dans la vie privé, et de ce que Google sait sur toi.<br /> Car ce system lui permet de savoir ce que les utilisateur regardent sans avoir besoin de passé par le moteur de recherche ni les publicité Adsense, son navigateur Chrome ou autre, en gros, là ou ils ne devraient absolument pas se trouvé, ce qui rend le net encore plus difficile à naviguer sans être pister.
kroman
En espérant que l’UE force Google à ne plus nous proposer ces Captcha qui nous pourrissent la vie sur internet ! C’est invivable avec Tor ou un VPN…
Gus_71
«&nbsp;… le reCAPTCHA est aussi utilisé par Google pour procéder à un prélèvement de données personnelles. Certes, nous étions déjà au courant de ce fait, …&nbsp;» :<br /> Ben non, je ne savais même pas qu’il s’agissait d’un outil de Google !<br /> (Tout le monde n’est pas dans l’actualité informatique du matin au soir !)<br /> " l’outil de Google prélevait notamment l’adresse IP de l’internaute, mais aussi la date, la langue du navigateur, le nombre de clics, la liste des plugins, les cookies déposés par Google ces six derniers mois, et les objets Javascript de la page." :<br /> Il y a moyen d’empêcher la collecte de quelques unes de ces informations ?<br /> (J’ai déjà ajusté la sécurité de Firefox au plus juste, et mis uBlock Origin)<br /> Juste pour emm…, heu, embêter Google !
TofVW
Bah, déjà, dis-toi bien qu’à chaque fois que tu valides un Captcha de Google, tu bosses gratuitement pour eux: par exemple, tu as dû remarquer qu’il y a un nombre faramineux de Captcha qui te demandent de cliquer sur des feux rouges. Et comme par hasard, le mois dernier Google a rajouté les feux rouges sur Maps! Tiens tiens…<br /> Si ça ne tenait qu’à moi, je demanderais à être rémunéré à chaque validation de Captcha; puisque l’on participe à entrainer leur IA, une contrepartie (financière si possible) me paraît logique. Surtout que je n’utilise aucun service Google, donc RAB de leur GMaps, de ses feux rouges ou de ses bornes à incendie.<br /> Deuxième argument, mais à vérifier, j’ai cru lire il y a quelques temps que dans un futur proche, Google voulait faire payer les sites qui voulaient utiliser son Captcha.<br /> Façon de faire habituelle de la société la plus détestable et nocive de la Planète, une fois que tu as acquis le monopole, écrasé les concurrents, et que tout le monde utilise ton service gratuit, tu le rends payant. Ils ont fait la même chose avec les sites voulant utiliser leur plug-in Maps.<br /> Voilà, le plus triste, c’est qu’en face personne (à ma connaissance) ne propose un outil de vérification efficace. Je suis tombé sur des sites utilisant le Captcha de CloudFlare, c’était une vraie purge, comme j’en ai rarement vue sur le Net.<br /> Mais bon, malgré cette façon de faire, malgré tout ce que l’on sait sur Google, il y a encore des millions (milliards?) de gens qui utilisent leurs services, alors qu’on trouve des équivalents tout aussi efficaces dans chaque domaine. Va comprendre…
BliZarH
D’autant plus que CloudFlare fait la même chose.<br /> Codeberg.org<br /> cloudflare-tor<br /> A Project to deal with the Great Cloudwall (CloudFlare)<br /> Leur nom n’est pas dans la liste des 4 GAFA mais il pourrait presque.
eaglestorm
y a un truc que je capte pas<br /> ces histoires d’entrainement d’IA avec ce captcha<br /> quand il te demande d’identifier un passage piéton ou autre chose, si tu cliques pas la bonne case, il te bloque l’accés non ? ça veut donc dire qu’il sait deja où se trouve le passage piéton sur l’image<br /> et donc en quoi y a besoin qu’on l’entraine si il sait deja ?<br /> je comprends pas
TofVW
Quand je remplis un Captcha, pour tester je fais souvent exprès d’oublier une case correcte, et/ou j’en mets une autre au hasard. 8 fois sur 10, ça fonctionne et il me laisse passer.<br /> Donc il est bien en train d’apprendre.
Synthox
Tout ces gens qui crient au scandale… qui pensent devoir être payer, lol, tout ça fait avancer les technologies quoi que vous en pensiez, les bots sont des horreurs à gérer et le reCaptcha aide grandement les développeurs de site.<br /> Après il vous reste une solution si vous avez peur de vos donnés, couper vite internet et aller habiter dans une grotte très profonde sans plus rien, ni CB, ni carte de magasin en veux-tu en voilà, même que vous devriez faire attention à vos voisins qui doivent tout savoir sur vous sans que vous le sachiez ! de vrais langues de vipère je vous dis !, enfin voilà, vous avez peur de quoi ? qu’on sache que vous trompez votre femme ou combien vous avez de sous dans votre portefeuille ? ce que vous mangez au petit dej ? pfft plein de gens le savent déjà sans forcement utiliser votre connexion internet…<br /> bref, la parano quoi.
yatto
Il y a hCaptcha comme alternative qui commence doucement à monter, je l’ai vu utilisé sur des sites à audience déjà relativement forte : https://www.hcaptcha.com/
TofVW
Ok millennial.
Synthox
Ok ou pas c’est pareil ^^
carinae
La il ne s’agit pas de ça. On le sait bien que Google récupére un tas d’informations notamment via Android d’ailleurs. Le problème ici c’est qu’ils récupèrent des informations sous couvert d’une application dédiée à la sécurité. Perso je ne savais pas que ça appartenait à Google mais je pense qu’en plus ils n’ont pas besoin de ça pour récupérer des informations. Sans compter que l’intérêt pour les développeurs est assez limité…
dFxed
Le problème c’est juste la jalousie, de comprendre que vous «&nbsp;bossez&nbsp;» gratuit.<br /> Le reste c’est du génie, ils fournissent un service gratuit permettant la distinction des bots, tout en enrichissant leurs autres services avec les données générées par nos clics.<br /> Quand on sait que la mode des années 2005 c’était les sites vous faisant cliquer sur des pubs a gogo pour vous rémunérer quelques centimes, alors que ces sites étaient de mèche avec les publicitaires, pour entuber tout le monde, sans créer quoi que ce soit d’utile, je suis bien content de voir que certains mettent à profit les tâches répétitives et inintéressantes.
TofVW
dFxed:<br /> ils fournissent un service gratuit<br /> Un article parmi tant d’autres… Il suffit de faire une recherche «&nbsp;Google veut faire payer reCaptcha&nbsp;» pour trouver les autres.
dFxed
«&nbsp;Google veut faire payer reCaptcha&nbsp;»<br /> merci de confirmer que c’est bien gratuit.
TofVW
Pour le moment… et encore, tout dépend du point de vue (cf. l’article de Clubic).
eaglestorm
ah ok, il compte vraiment sur toi pour cliquer les bonnes cases alors ?<br /> bon, perso, je joue le jeu, j’ai envi de voir une IA forte de mon vivant
ares-team
«&nbsp;Atteinte à la vie privée&nbsp;», rien que collecter l’IP est censé être une infraction.<br /> Car personne n’a ce droit sans décision Judiciaire.<br /> Mais comme je le disai sur un autre site, personne (je parle des Autorité de chaque pays) ne fait quelque chose contre ça.<br /> Mais quand c’est une entreprise Chinoise qui sort quelque chose que tout le monde veut utiliser, ils veulent tous le bannir pour risque d’espionnage et/ou sécurité nationale.<br /> Surtout (comme écrit dans l’article, ils ne s’en cache pas) ils le savent tous que Google, Amazon, Apple, Microsoft (par exemple) écoutent en permanant nos conversation grace à leur assistant personnel ou appareil connecté.<br /> Mais ca va, juste un petit message sur leur page Twitter pour s’excuser et ils peuvent continuer.
TheDoc
yatto:<br /> hCaptcha<br /> Bonjour,<br /> Quelle autre alternative au captcha qui soit RGPD compatible conseillerez-vous (en dehors de hCaptcha) ? Il semble que la V de TousAntiCovid utilise la solution d’Orange mais je ne trouve rien là dessus sur internet…<br /> Je recherche une solution compatible pour un portail médical ou le respect des données personnelles a son importance…<br /> Merci +++
Voir tous les messages sur le forum

Actualités du moment

Amazon investira 10 milliards pour concurrencer la constellation Starlink de SpaceX
La capitalisation boursière d'Apple dépasse celle de toutes les entreprises du CAC40 réunies
Soldes : 81% de remise sur l'abonnement PureVPN en ce moment !
Final Fantasy VII Remake : plus de 5 millions de ventes dans le monde
Soldes Amazon et Cdiscount : les meilleurs bons plans high-tech du week-end
Uber a gagné deux fois plus d'argent grâce aux livraisons de repas plutôt qu'à ses VTC au second trimestre
DOOM Eternal : la première extension se dévoile en vidéo
PUBG Mobile en 90fps ? OnePlus gagne l'exclusivité
RED, Free, Sosh, B&YOU : 4 forfaits mobiles 4G en promo pour la fin des Soldes
La carte mère ROG STRIX B550-E GAMING en promo pour les Soldes chez Amazon
Haut de page