En tant qu’internaute, vous vous êtes peut-être déjà trouvé confronté à une série d’images où vous deviez cliquer, par exemple, sur tous les feux rouges ? Il s’agit d’un captcha.
Lorsque l’on demande à un internaute de confirmer qu’il n’est pas un robot, cela peut prêter à sourire. Pourtant ces protections sont devenues indispensables puisque 37% du trafic web mondial est le fait de robots. Certains de ces programmes sont intrusifs et entraînent des attaques programmées.
De plus en plus d’entreprises utilisent ces solutions afin de protéger leurs sites internet et leurs applications des robots malveillants. Cependant, si elles vous apportent une protection contre les robots, toutes ces solutions de captcha ne sont pas forcément conformes au RGPD (Règlement Général sur la Protection des données).
Dans ce guide, nous allons vous expliquer le fonctionnement d'un captcha. Nous vous indiquerons également comment mettre vos captchas en conformité avec le RGPD.
1- A quoi sert un Captcha ?
Qu’est-ce qu’un Captcha ?
Ce système est utilisé par les entreprises pour prévenir les attaques de robots malveillants. Il permet d’identifier la personne cherchant à accéder au site web comme une véritable personne ou un robot programmé.
Le captcha est l’acronyme de “Completely Automated Public Turing test to tell Computers and Humans Apart”. Il constitue une mesure de sécurité de type “authentification par question-réponse”. On appelle aussi cette mesure “test captcha” car la personne doit effectuer une action, si celle-ci correspond à la réponse attendue, le test est validé et la personne accède au service recherché.
Comment fonctionne un test Captcha ?
Les tests captcha fonctionnent globalement de trois manières différentes :
- en intégrant un champ libre dans lequel l'internaute recopie une série de chiffres et de lettres ou par l'intermédiaire d'images à sélectionner. Par exemple, l’utilisateur doit cliquer sur toutes les images comprenant des feux rouges dans un carré de plusieurs images ;
- en faisant glisser un slider jusqu’au bon emplacement correspondant à une image. On l’appelle le Puzzle Captcha ;
- en se présentant comme un système de test de compétences requérant de résoudre un problème mathématique (simple) par exemple.
Le fonctionnement des captchas peut être différent selon les éditeurs mais il se présente toujours sous la forme d’une question/réponse. Pour accéder au service demandé, il faut réussir le test !
Pourquoi mettre un captcha ?
L’installation de ce système permet de filtrer le trafic avec 2 objectifs :
- Lutter contre le spam des robots programmés ;
- Protéger les sites et les services d’usages frauduleux comme les tentatives de décryptage du mot de passe.
En effet, certains robots sont programmés pour utiliser les différents formulaires (notamment les formulaires de connexion ou d‘inscription à un site) afin de tenter des attaques informatiques comme le bourrage d’identifiants (credential stuffing). Cette attaque consiste à réaliser des tentatives d’authentification massives sur des sites web à partir de couples identifiants/mots de passe. Ils peuvent également servir à spammer les sites web en envoyant des publicités.
Les captchas sont généralement placés sous les formulaires de contact pour éviter les spams. Vous pouvez aussi les intégrer dès l’accès du site ou de la page afin de vous assurer que seules de vraies personnes y accèdent.
2- Captcha : quels risques pour les données personnelles ?
Des risques pour la vie privée des personnes
Les captchas permettent de prévenir les attaques de la part de robots malveillants. Mauvaise nouvelle : ils peuvent présenter des risques pour la vie privée des utilisateurs.
En effet, certains systèmes nécessitent des opérations de lecture et d’écriture sur l’appareil de l’utilisateur. Or, ces opérations peuvent avoir des conséquences sur la protection des données personnelles.
Prenons l’exemple de Google ReCaptcha, le système de Google, qui est à ce jour le plus utilisé. Les conséquences sur les informations des utilisateurs répondant au test posé par le Captcha sont de plusieurs ordres :
- Le système génère automatiquement un dépôt de cookie sur leur appareil;
- Il implique un transfert de données personnelles vers les états unis ;
- Il permet à Google, par l'intermédiaire de Recaptcha, de collecter de nombreuses informations personnelles sans que l’utilisateur n’en ait conscience (et qu'il en soit informé) :
- données relatives aux applications, aux navigateurs et aux appareils de l’internaute ;
- données relatives aux activités de l’internaute sur le service concerné ;
- données relatives à la position géographique de l’internaute.
- données d’identification ;
- données de paiement ;
- coordonnées des internautes.
Position de la CNIL sur reCaptcha de Google
La CNIL s’est positionnée sur le sujet de la solution de Google reCaptcha proposée par Google dans sa délibération n° 2020-056 du 25 mai 2020 à propos de l’application “StopCovid”.
L’autorité de contrôle Française a transmis une mise en demeure au Ministère des Solidarités et de la Santé concernant son recours au reCaptcha de Google au sein de l’application « StopCovid », devenue par la suite #TousAntiCovid.
En effet, elle a considérée que cette solution comme entrainant un transferts de données personnelles hors de l'Union européenne et sans le consentement de la personne concernée. À ce titre, reCaptcha de Google n'est pas conforme au RGPD.
Si le système de reCaptcha de Google n'est pas conforme au RGPD, alors, comment utiliser un système de captcha tout en protégeant les données personnelles ?
3- Comment mettre un outil de Captcha en conformité au RGPD ?
Les données personnelles font l’objet d’une protection par le RGPD. Pour rappel, au sens du RGPD, les données à caractère personnel sont toutes les informations directe ou indirecte permettant d'identifier une personne physique.
Pour utiliser des Captchas tout en protégeant les données personnelles, deux options :
- Configurer reCaptcha de Google pour mettre la solution en conformité ;
- Choisir une alternative.
Comment utiliser une solution Captcha conforme au RGPD ?
Etape n°1 Recueillir le consentement des utilisateurs
La CNIL a encore durci ses positions face aux problèmes de protection de données que posent les systèmes de captcha non conformes.
Ainsi, en avril 2022, la CNIL a confirmé que la “collecte d’informations pratiquée par la solution reCaptcha de Google n’avait pas comme seule finalité la sécurisation du site web. Son utilisation devrait donc être soumise au consentement des personnes concernées”.
Il ressort de cette décision que, pour être exemptée de consentement, la solution doit avoir pour seule finalité la sécurisation d’un site ou d’un mécanisme d’authentification des utilisateurs.
Selon la CNIL, selon l’article 82 de la Loi Informatique et Liberté, dès lors que les opérations de lecture et d’écriture ont d’autres finalités que la sécurisation d’un site internet, le consentement des utilisateurs doit systématiquement être demandé. A défaut, il y a non conformité au RGPD.
C’est, par exemple, le cas si l’éditeur du Captcha réutilise les données collectées pour son propre compte. Ainsi, si vous désirez utiliser ReCaptcha de Google, vous devez obligatoirement recueillir l’accord de la personne concernée au préalable.
Etape n°2 - Informer les internautes
La demande de consentement doit obligatoirement s’accompagner de la mise à disposition des informations nécessaires pour éclairer l’utilisateur concernant le traitement mis en œuvre.
Ces informations doivent être délivrées avant le déclenchement des opérations de lecture et d’écriture sur l’appareil de l’internaute. C’est-à-dire avant que l’utilisateur ne réponde au test proposé par les Captchas.
Les informations à fournir sont celles inscrites à l’article 13 du RGPD :
- L’identité et les coordonnées du responsable du traitement et, le cas échéant, de son délégué à la protection des données (DPO),
- Les finalités du traitement
- La base légale de collecte de l’information (dans ce cas, le consentement),
- Les destinataires des données personnelles,
- Le transfert de ces données en dehors de l’UE,
- La durée de conservation des données personnelles,
- La possibilité d’exercer ses droits RGPD;
- Le droit d’introduire une réclamation auprès de la CNIL.
- L’existence d’une prise de décision automatisée, y compris profilage.
Ces informations peuvent se trouver dans la politique de confidentialité ce qui vous permet de seulement introduire le lien qui renvoie vers cette page.
Vous l’aurez compris, si vous désirez utiliser la solution ReCaptcha de Google, c’est toujours possible ! Cependant, il est obligatoire :
- de recueillir le consentement de l’internaute à la collecte de ses données personnelles,
- d’informer celui-ci de l’utilisation de traceurs et de la collecte de données à caractère personnel à des fins d’analyse.
Le principe est le même que pour l’application de cookies sur un site web ou l'utilisation de Google analytics. Tout dépend de la finalité ! Dans le cas où les données sont collectées à des fins autres que la sécurisation du site web, les utilisateurs doivent consentir à l’utilisation d’un Captcha.
hCaptcha : une solution Captcha conforme au RGPD
Le plus simple pour mettre vos Captchas en conformité c’est encore d’utiliser une solution nativement conforme au RGPD ! C’est-à-dire une solution qui :
- Collecte des informations uniquement dans une finalité de sécurisation du site ;
- N’implique le dépôt d’aucun cookie supplémentaire ;
- Traite et gère de façon anonyme les requêtes utilisateurs du Captcha.
Parmi ces outils, nous pouvons citer hCaptcha. Cette solution de captcha est conforme au RGPD car leur modèle économique ne repose pas sur la collecte de données comme Google ReCaptcha mais sur la fourniture de fonctionnalités supplémentaires payantes. hCaptcha est actuellement l’alternative à ReCaptcha la plus répandue.
En installant hCaptcha, vous n’aurez pas besoin de recueillir le consentement de vos utilisateurs. En effet, cette solution entre dans la catégorie d’exemption au recueil du consentement car sa finalité est strictement limitée à la sécurisation des services proposés.
Outre hCaptcha qui est la plus connue, nous pouvons citer une liste d’autres alternatives à Google Recaptcha. Ces outils de Captcha sont respectueux de la protection des données à caractère personnel, s'avérant ainsi conformes au RGPD. C’est le cas notamment de :
- API Captcha d’ORANGE : une solution 100% Française basée sur des technologies open-source ;
- Contact Form 7 Image Captcha : il s’agit d’une extension WordPress qui s’installe et se configure très simplement dans ce CMS ;
- IconCaptcha : outil open-source et gratuit mais pas encore disponible sous forme de plugin WordPress ;
- Really Simple Captcha : s’il est considéré comme moins efficace que les solutions mentionnées, cet outil est garanti conforme au RGPD.
Pour résumer, les Captchas sont indispensables pour protéger vos applications du spam et des programmes malveillants. Pour protéger également les données personnelles de vos utilisateurs, privilégiez une solution de Captcha “RGPD-Friendly” !
👉 Pour vous aider à chaque étape de votre conformité, pensez à utiliser Leto, le logiciel RGPD. Réserver une démo avec nos experts !