Google reCAPTCHA: est-il possible d'utiliser les données de manière conforme à la protection des données ?

Mise à jour Mai 2024: Le TTDSG est passé au TDDDG. Il réglemente l'accès aux terminaux, ce qui est important pour les cookies.

Mise à jour du 27.07.2023: Le cadre de protection des données (DPF) entre l'UE et les USA est en vigueur. Il permet le transfert de données vers les USA, si tous les destinataires de ces données sont certifiés par le DPF. Il est douteux que cet accord tienne, car il repose sur une ordonnance exécutoire fragile. Quoi qu'il en soit, d'autres raisons s'opposent à l'utilisation de Google reCAPTCHA (voir article).

Mise à jour du 16.05.2023: La centrale des consommateurs a obtenu un jugement contre la Telekom. Le tribunal dit que l'envoi de données à Google aux États-Unis n'est autorisé qu'à très strictes conditions.

Mise à jour du 12.04.2022: L'autorité de protection des données française CNIL a confirmé, suite à une réclamation, ce qui aurait dû être connu depuis longtemps: que Google reCAPTCHA ne peut être utilisé qu'avec le consentement. Motivée par la CNIL, dans la mesure où je l'ai compris: L'outil n'est pas seulement destiné à prévenir les dangers, mais collecte également (inutilement) des données pour d'autres fins.

Avec Google reCAPTCHA, les utilisateurs et leurs comportements sur le site Web où reCAPTCHA est intégré sont analysés de manière très approfondie. Et c'est (principalement) pour pouvoir distinguer un humain d'un programme robotique. Puisque le code reCAPTCHA est chargé notamment depuis la domaine google.com, l'outil a automatiquement accès aux cookies qui sont définis pour les utilisateurs Google connectés. L'un des cookies s'appelle NID et contient une identification unique de l'utilisateur, qui est également utilisée par Google Signals pour reconnaître les utilisateurs même entre appareils. Dans ce sens, il est presque sans importance du point de vue de la protection des données si reCAPTCHA (dans un cas particulier) dépose d'autres cookies ou non.

En outre, reCAPTCHA utilise également la domaine gstatic.com. Comme on peut lire sur les sites Web de Google, ce domaine est également utilisé par d'autres outils. Il est donc possible que des cookies soient échangés via ce domaine.

Lorsqu'un seul script de reCAPTCHA est appelé, voici à titre d'exemple les cookies utilisés par reCAPTCHA:

En raison du nombre de cookies transmis, le problème de protection des données avec Google reCAPTCHA est bien illustré. Comme l'admet Google lui-même, tous les cookies ne sont pas nécessaires: „Outre certains cookies standards de Google, reCAPTCHA dépose un cookie nécessaire (_GRECAPTCHA) lorsqu'il est exécuté pour fournir son analyse de risque.“ (Source: https://developers.google.com/recaptcha/docs/faq. Mise à jour: La phrase a été légèrement modifiée en termes ; le sens reste inchangé). Les cookies standards de Google sont par exemple NID. NID est approprié pour suivre l'utilisateur, tant pour des fins marketing que pour la création de profils d'utilisateurs. C'est ainsi que Google le reconnaît ("Certains cookies servent à enregistrer les préférences d'un utilisateur. Dans les navigateurs de la plupart des utilisateurs qui utilisent des services Google, il y a par exemple un cookie nommé „NID“. Ce cookie contient une ID unique, permettant d'enregistrer vos préférences et autres informations…", Source: https://policies.google.com/technologies/cookies?hl=de=).

Dès lors, il s'ensuit une obligation de consentement:

• Conformément à l'arrêt du Bundesgerichtshof (Cour fédérale allemande) sur Planet 49 est § 15 Abs. 3 TMG conforme à l'article 5, alinéa 3 de la directive ePrivacy à interpréter. Le TMG a été transféré en mai 2024 au DDG.
• L'article 5 (3) de la directive ePrivacy exige un consentement si on accède à des informations stockées dans l'appareil du utilisateur et que cela n'est pas techniquement nécessaire. L'accès aux cookies est prouvé. Techniquement, ils ne sont pas nécessaires, et seule le nombre élevé d'entre eux peut le prouver. Les cookies sont utilisés pour des fins de marketing en raison de leur nombre et de leurs valeurs. Il serait difficile de prouver le contraire.
• Le juge de l'Union européenne avait décidé dans l'affaire Planet49 que la collecte des données par les cookies est sans importance, qu'elles soient personnelles ou non.
• À partir de décembre 2021, s'applique en Allemagne l'article 25 du TTDSG pour les cookies

Lorsque Google reCAPTCHA est utilisé pour sécuriser des formulaires, alors un intérêt légitime est déjà exclu, car il existe de nombreuses alternatives efficaces qui sont nettement plus respectueuses de la vie privée. L'intérêt légitime n'est que le clou sous les fondements juridiques mentionnés par la DSGVO dans Article 6, alinéa 1 de la DSGVO. Au moins, il devrait être possible d'écrire directement un e-mail à partir du formulaire même lorsqu'il est protégé par des captchas contraires à la vie privée.

Variants

Selon https://developers.google.com/recaptcha/docs/versions, il existe plusieurs variantes de reCAPTCHA:

La version 2 précédente est disponible dans une forme visible et invisible.

La version 3 de reCAPTCHA est toujours invisible ou crée un score pour l'utilisateur actuel. Avec ce score, le site appelé peut déterminer s'il s'agit d'un visiteur humain ou d'un robot.

Conditions d'utilisation

Pour utiliser Google reCAPTCHA, les conditions d'utilisation doivent être acceptées, qui stipulent notamment que: „Vous confirmez et vous convenez de ce que la fonctionnalité de l'API reCAPTCHA repose sur le fait qu'on collecte et on envoie à Google des informations relatives au matériel et au logiciel, comme les données d'appareil et d'application.“ ainsi que „Pour les utilisateurs dans l'Union européenne, vous devez respecter la directive de l'accord du consentement de l'utilisateur et vos clients API doivent se conformer à cette directive.“ (Gras ajouté, lien retiré de la source).

L'utilisation de Google reCAPTCHA sans consentement semble donc peu probable et est d'après les conditions d'utilisation de Google interdite, notamment en 31. Les conditions d'utilisation sont là indiquées comme suit en plusieurs parties:

• Conditions d'utilisation des API de Google
• Conditions d'utilisation de Google
• Conditions d'utilisation pour reCAPTCHA:

Ils confirment et prennent acte que le fonctionnement de l'API reCAPTCHA repose sur la collecte et l'envoi à Google des informations relatives au matériel et au logiciel, par exemple les données d'appareil et d'application. Les informations recueillies lors de l'utilisation du service sont utilisées pour améliorer reCAPTCHA et la sécurité générale. Elles ne sont pas utilisées par Google pour une publicité personnalisée. Conformément à l'article 3 (d) des conditions d'utilisation des API Google, ils déclarent accepter que lors de l'utilisation des APIs, ils sont responsables de fournir ou d'obtenir les informations nécessaires ou les autorisations relatives à la collecte et au partage de ces données auprès de Google. Pour les utilisateurs dans l'Union européenne, ils doivent respecter la directive sur l'autorisation du consommateur et leurs clients API doivent se conformer à cette directive. L'utilisation de reCAPTCHA est soumise à certaines limitations d'appel. Google se réserve le droit de faire respecter ces limitations par tous les moyens décrits dans limitations d'appel ou dans ces conditions d'utilisation.

Source : https://www.google.com/recaptcha/admin/create

Beaucoup de succès dans la lecture, la compréhension et le respect de ces conditions complexes. La directive sur l'acceptation des utilisateurs par l'Union européenne chez Google est intéressante à lire. Si un tiers demande des informations, cela pourrait déclencher une procédure complexe.

Je peux donc seulement déconseiller l'utilisation de Google reCAPTCHA, car une autorisation est nécessaire et il est difficile, juridiquement parlant, d'y parvenir.

Alternatives

Pour WordPress et le formulaire de contact populaire Contact Form 7, il existe avec Contact Form 7 Image Captcha une variante conviviale pour l'utilisateur et respectueuse des données.

Presque tous les serveurs supportent

php

. Avec PHP, il est possible de créer un Captcha d'une manière relativement simple. Voici un exemple en PHP qui affiche un texte sous forme d'image.

<?php
$img = imagecreatetruecolor(300, 80);
$text\_color = imagecolorallocate($img, 233, 200, 200);
imagestring($img, 2, 1, 1,  'Datenschutz hilft', $text\_color);
$x=imagejpeg($img,"test1.jpg");
imagedestroy($img);

Un autre exemple de PHP montre comment utiliser des questions simples comme calculs.

Il suffit de faire simple, si une tâche de calcul est conçue comme un champ d'entrée standard. Par exemple, la question pourrait être: «Combien vaut 17 moins 3». La réponse serait autorisée: «quatorze» ou «14». La réponse pourrait être vérifiée avec une simple fonction JavaScript. reCAPTCHA nécessite toutefois des connaissances en développement et aussi des connaissances juridiques.

Un autre article décrit des alternatives aux outils Google les plus utilisés.

Si une agence insiste sur l'utilisation de reCAPTCHA, demandez-lui d'assumer la responsabilité et voyez ce qui se passe. Si l'agence pense qu'une autre solution n'est pas possible, suggérez-lui de connaître quelqu'un qui peut soutenir l'agence à cette tâche insoluble moyennant un coût. Lorsque quelqu'un propose reCAPTCHA, celui-ci devrait être familier avec les conditions juridiques de base.

Comme souvent sur les sites web, il existe des alternatives meilleures pour les possibilités évidentes, qui peuvent rivaliser avec les leaders de la course en termes de fonctionnalité. À la différence des services Google ou d'autres suspects bien connus, les possibilités respectueuses de la vie privée offrent une grande sécurité juridique et souvent une autonomie maximale. Qui veut être dépendant d'un seul conglomérat ? Moi non plus. C'est pourquoi je recommande également d'utiliser autant que possible les applications Google. Cela commence par le terminal mobile, pour lequel des appareils dé-Google-és comme le Fairphone, basé sur Android, sont disponibles. Il s'agit ensuite de moteurs de recherche qui ne proviennent ni de Microsoft ni de Google. Les exemples cités sont Ecosia, DuckDuckGo et Startpage. Les résultats sont très bons et la soif de données est soit inexistantes, soit beaucoup moins importantes que celles des géants américains du Net. Si vous préférez cependant confier vos données aux services secrets américains, continuez à utiliser Google & Co (qui reconnaissent d'ailleurs être écoutés par les autorités américaines, comme le FBI).