ENTREPRISES & STRATÉGIES — Technologies

RGPD

Le recaptcha, illégal en Europe?



238232.jpg

La version évoluée du captcha devra être confrontée au règlement européen sur la protection des données. (Photo: Shutterstock)

La technologie qui consiste à déterminer si la personne derrière un formulaire est un robot ou un humain donne lieu à la collecte d’informations personnelles. Obtenues sans le consentement explicite de l’utilisateur. Au risque de contrevenir à la réglementation européenne?

Le recaptcha, évolution du captcha, est un algorithme de Google bien pratique pour les sites qui veulent lutter contre les spammeurs. Ce dispositif permet de confirmer un acte humain et volontaire par une simple case à cocher, parfois couplée d’une sélection d’images à identifier.

Problème, les données collectées par le géant américain à cette occasion donnent le tournis: tous les cookies placés par Google ces six derniers mois, le nombre de clics réalisés par l’utilisateur à l’écran, la date, la langue du navigateur, les plug-ins installés…

Google indique même installer un nouveau cookie et réaliser une copie de la fenêtre du navigateur, pixel par pixel! 

Un nouveau sujet pour le régulateur 

La firme de Mountain View reporte sur les éditeurs de sites la responsabilité de «déployer des efforts ‘commercialement raisonnables’ pour divulguer [les] pratiques de collecte, de partage et d’utilisation des données».

Charge à eux donc d’obtenir le consentement des usagers et de leur fournir des informations claires et compréhensibles sur tout cookie . Dans les faits, quel internaute peut dire qu’il a été correctement informé lors d’un recaptcha? On peut même se demander quel éditeur serait en capacité de livrer une information réellement satisfaisante. Que fait Google de ces données? Combien de temps sont-elles conservées?

Bruno Rasle, délégué général de l’Association française des correspondants à la protection des données à caractère personnel, suggère des alternatives  dans un billet argumenté . La Commission nationale pour la protection des données, quant à elle, indiquait, à l’heure de notre bouclage, qu’elle n’avait pas encore été saisie du sujet.