Google est une nouvelle fois dans le viseur de la CNIL pour son outil reCAPTCHA. Sa décision du 11 avril 2022 vient réaffirmer une position déjà énoncée en juillet 2020. Ainsi, l’Autorité de contrôle considère que les cookies utilisés et déposés par la solution reCAPTCHA de Google nécessitent le recueil du consentement.
L’outil reCAPTACHA, Quésako ?
Avez-vous déjà dû cliquer sur des photos avec feux rouges ? des bornes incendies ? Alors c’est que vous avez déjà utilisé l’outil reCAPTCHA. Développé par Google, cet outil d’intelligence artificielle permet de détecter automatiquement si l’internaute est un humain ou un robot.
Au-delà de sa fonction première, les outils CAPTCHA analysent désormais le comportement des internautes afin de lui attribuer un score de légitimité. Pour ce faire, sont collectées l’adresse IP des internautes, la date de connexion, la langue du navigateur, le nombre de clics, etc. Cette analyse de comportement induit un traitement de données dont on ne connait pas la finalité. L’importance du consentement prend tout son sens car la collecte des données manque de transparence pour l’internaute.
Cette solution CAPTCHA est très utilisée par les gestionnaires de site internet car elle améliore nettement la sécurité des systèmes d’informations.
La saga judiciaire
C’est à l’occasion d’un avis rendu en juillet 2020 sur l’application « StopCovid » que la CNIL a, pour la première fois, énoncé sa position.
L’AFCDP, association regroupant de nombreux DPO, avait alors averti ses membres quant aux enjeux de conformité qui pourraient amener la CNIL à des sanctions en cas « d’utilisation non maitrisée » de l’outil reCAPTCHA.
Plus récemment, le sujet a pris une certaine ampleur à la suite d’une publication sur les réseaux sociaux par un membre de l’association Exodus Privacy d’une réponse adressée par le service des plaintes de la CNIL.
La plainte dont il est question avait été adressée à la CNIL concernant l’utilisation faite par un site étatique de l’outil reCAPTCHA.
A cette occasion, la CNIL réaffirme sa position : les traceurs cookies utilisés et déposés par la solution reCAPTCHA de Google nécessitent obligatoirement le recueil du consentement des personnes concernées.
Ce service de sécurisation de formulaire doit être affiché et utilisé uniquement si on détient le consentement de l’utilisateur.