Le CAPTCHA, contre la protection des données personnelles ?
Et si ce n’était pas sur la question relative à GOOGLE ANALYTICS que la CNIL devrait mettre ses efforts pour la conformité de nos sites ?
[Pour rappel de la situation➡️ notre premier article qui faisait le point sur l’utilisation et la légalité de GOOGLE ANALYTICS et un second qui commente la position des autorités de contrôle sur l’utilisation de cette solution de mesure d’audience] Des éléments de cette analyse sont d’ailleurs tout à fait pertinents pour le sujet qui nous occupe dans ce dossier…
…On vous parle aujourd’hui des outils de CAPTCHA !
Qu’est-ce que le système de CAPTCHA ?
Le CAPTCHA c’est un test mis en place pour pouvoir accéder à certains services sur Internet. Il sert à différencier les utilisateurs humains d’éventuels robots malveillants (ou bots). On les retrouve généralement sous les formulaires de contact afin d’éviter de recevoir des spams mais ils peuvent également être disposés en amont de l’accès à une page afin de vérifier que vous êtes légitime à y accéder.
Ce qui va nous intéresser dans ce dossier, c’est que certains systèmes de CAPTCHA, pour fonctionner, nécessitent des opérations dites de « lecture et d’écriture » sur l’appareil de l’utilisateur, qu’il s’agisse d’un ordinateur ou d’un smartphone. Dès lors, il est nécessaire de se référer à l’article 82 de la loi Informatique et Libertés du 6 janvier 1978 (loi n°78-17), qui transpose les dispositions de la Directive ePrivacy (2002/58/CE du 12 juillet 2002).
L’article 82 de la Loi Informatique et Libertés nous indique ceci :
« Tout abonné d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
1°) De la finalité de toute action tendant à accéder, par voir de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;2°) Des moyens dont il dispose pour s’y opposer.
Cet accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :1°) Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
2°) Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »
Le fonctionnement du CAPTCHA
En application des dispositions de l’article 82 précité, un dispositif de CAPTCHA qui a donc pour seule finalité la sécurisation d’un site ou d’un mécanisme d’authentification des utilisateurs, ne requiert aucun consentement.
Ce ne sera pas le cas, et le consentement de l’utilisateur sera requis, dès lors que des opérations de lecture et d’écriture sur le terminal, ont d’autres finalités que la sécurisation d’un site. Ce sera par exemple le cas lorsque le fournisseur d’un système de CAPTCHA indique (ou n’indique pas explicitement d’ailleurs) réutiliser les données collectées pour son propre compte.
Parmi les systèmes de CAPTCHA les plus connus, il existe plusieurs modes de fonctionnement (dont un particulièrement problématique. Nous verrons ensuite pourquoi.). Il y a par exemple :
-
- Parmi les premières solutions de CAPTCHA, longtemps nous avons tous connu les formulaires ou liens de téléchargement qui étaient accompagnés d’un champ libre dans lequel nous devions saisir les chiffres et lettres d’une image souvent peu lisible. Cette solution n’était pas très user friendly (combien de fois nous sommes-nous trompés en recopiant ces caractères ?) et a peu à peu été remplacée par la solution proposant des images à sélectionner selon un critère défini (par exemple : sélectionner les bus sur cette image) utilisée par plusieurs éditeurs comme GOOGLE ou hCAPTCHA.
-
- Google reCAPTCHA nécessite désormais dans sa V2 de cocher une case « Je ne suis pas un robot » pour valider notre identité « humaine » ou voire n’a presque plus besoin de nous en mettant en place un processus en arrière-plan dans sa V3.
-
- Un autre type de CAPTCHA que l’on peut rencontrer est celui qui consiste à faire glisser un slider jusqu’au bon emplacement correspondant à une image (Puzzle CAPTCHA) ou plus largement donne une consigne (Slider CAPTCHA). Ce type de CAPTCHA peut être résolu plus ou moins facilement avec des scripts (c’est ce qui est démontré ici sur une ancienne version de « GeeTest CAPTCHA » basées sur la technologie des sliders).
[les vrais comprendront]
- Le système de test de compétences qui va vous demander de résoudre un problème mathématique par exemple.
➡️Maintenant, au regard de ces éléments pourquoi le reCAPTCHA s’avère problématique ? 🤔
Un impact potentiellement fort pour les données personnelles de vos utilisateurs !
Nous l’avons vu ces derniers mois, une partie des efforts de la CNIL s’est concentrée sur la prise de position relative à l’utilisation de GOOGLE ANALYTICS. Comme nous vous l’avons expliqué dans nos précédentes publications, il est principalement reproché à GOOGLE d’opérer des transferts de données personnelles (adresse IP) vers leurs serveurs situés aux Etats-Unis. Or, ici, le périmètre des données concernées est limité.
C’est pourquoi la question des CAPTCHA est plus impactante pour la protection des données personnelles que peut l’être celle des cookies, en particulier en ce qui concerne le cas GOOGLE et sa solution anti-bot, GOOGLE reCAPTCHA.
Il existe plusieurs raisons à cela que nous vous listons ici. Le dispositif reCAPTCHA de GOOGLE :
-
-
- Implique le transfert de données personnelles vers des serveurs situés aux Etats-Unis ;
-
-
-
- Génère un dépôt de cookie automatique (d’office en version 3 dès la connexion de l’utilisateur au site – le fameux « reCAPTCHA» que vous pourrez observer en examinant les requêtes de la page web sur laquelle vous êtes) ;
-
-
-
- Collecte de nombreuses données personnelles à l’insu de l’utilisateur ;
-
-
-
- Nécessite selon l’article 82 de la LIL (précité), Google et la CNIL de recueillir le consentement de l’utilisateur avant d’être déployé (ce qui contredit la raison pour laquelle GA est prohibé par la CNIL). Par ailleurs, cela peut revenir à rendre obsolète le mécanisme de protection !
-
C’est au moment de déployer le reCAPATCHA via la mise en place de l’API de GOOGLE sur son site, que nous sommes quelque peu informés de ce qui est fait des données personnelles. Voici ce que la mise en place d’un jeu de clés reCAPTCHA implique :
« Vous reconnaissez et comprenez que le fonctionnement de l’API reCAPTCHA repose sur la collecte d’informations matérielles et logicielles, telles que les données sur les appareils et les applis, qui sont transmises à Google pour analyse […] Si vous utilisez les API, vous acceptez qu’il vous incombe d’en informer les utilisateurs et de leur demander leur autorisation pour la collecte et le partage de ces données avec Google ». ⬇️
La question que l’on est alors en droit de se poser avec un tel dispositif majoritairement utilisé par les sites internet du monde entier est la suivante ➡️ A la manière d’un cookie Wall, le prix a payer pour la sécurité de nos sites doit-il alors passer par la « monétisation » de nos données personnelles comme le souligne la CNIL ? La question reste ouverte, la pratique du cookie Wall n’étant pas elle-même interdite et évaluée au cas par cas.
[Exemple de bandeau de cookie Wall sur le site jeuxvideo.com]
Donc nous l’aurons compris, dans tous les cas, l’utilisation de GOOGLE reCAPTCHA (dans sa V3 ou V2) suppose nécessairement (et en théorie par opposition à la pratique constatée) de recueillir le consentement de l’utilisateur pour pouvoir être utilisé et ce, quitte à le rendre inefficace. Par ailleurs, l’utilisation du dispositif de GOOGLE doit également s’accompagner des informations adéquates pour informer pleinement l’utilisateur du traitement mis en œuvre.
En bref, la légalité du reCAPTCHA peut être remise en question (cf. affaire Google Analytics) et son utilisation doit être soumise (en théorie encore une fois) aux principes du RGPD et de la directive ePrivacy (respect du principe de transparence et recueil de consentement).
Quelle alternative au reCAPTCHA ?
Après ces constats qui nous font comprendre qu’il vaudrait mieux bannir l’utilisation du reCAPTCHA, existe-t-il des solutions alternatives, viables (et gratuites) pouvant remplacer le reCAPTCHA de GOOGLE et nous permettre de respecter la législation applicable de manière efficiente ? Ces solutions doivent évidemment être performantes dans la lutte contre les spams provenant des bots.
Dans le tableau suivant ⬇️ (déjà posté sur LinkedIn), vous trouverez un comparatif de deux alternatives à GOOGLE reCAPTCHA qui méritent selon nous d’être considérées comme des options viables et vous permettant de respectant la législation. Ces dernières n’ont pour objectif que de sécuriser votre Internet et n’implique le dépôt d’aucun cookie supplémentaire.
Cependant ces deux alternatives gratuites sont plus ou moins facilement déployables.
Contact Form 7 Image Captcha
S’agissant de Contact Form 7 Image Captcha dans sa version gratuite, il s’agit d’une extension WordPress qui s’installe et se configure très simplement dans ce CMS.
Cette extension est accompagnée d’un Honeypot qui consiste à attirer et ainsi identifier les bots via des champs invisibles pour l’utilisateur et donc les piéger en les détournant de vos formulaires [lien vers l’extension dans l’image⬇️].
IconCaptcha
S’agissant d’IconCaptcha, la seconde alternative à GOOGLE que nous vous présentons est de la conception d’un ingénieur en informatique néerlandais du nom de Fabian Wennink : https://www.fabianwennink.nl
Il s’agit là de la solution la plus user-friendly (esthétique) et présentant un système robuste car il présente plus d’options que Contact Form 7 Image Captcha dans le choix des images et s’avère moins utilisé par les sites. Le bémol concernant IconCaptcha est qu’il nécessite quelques connaissances techniques afin d’être implémenté.
Fabian a constitué un GitHub décrivant pas à pas le processus à suivre pour déployer l’outil (pas d’installation directe depuis votre CMS préféré pour l’instant. L’application est régulièrement mise à jour, lorsque nous écrivons ce texte, la dernière version 3.1.1 date du 23.10.2022).
Après avoir dézippé le contenu d’une archive comprenant les scripts et images servant au CAPTCHA, une implémentation HTLM sera requise au sein du formulaire que vous souhaitez protéger. Côté CMS, il vous faudra également implémenter le script via JavaScript/Jquerry ou PHP. Les options de personnalisation (couleurs, texte à afficher en fonction des scénarios) sont ensuite détaillées afin de vous permettre de paramétrer IconCaptcha à votre convenance pour une parfaite implémentation sur votre site.
Ces deux solutions sont donc conformes car elles n’impliquent le dépôt d’aucun cookie et ne collecte aucune donnée personnelle tout en assurant la sécurisation de votre site et de vos formulaires. Elles sont de surcroît gratuites.
Autres alternatives
Il existe encore de nombreuses alternatives au reCAPTCHA de GOOGLE mais bien souvent, même si certaines versions existent gratuitement, celles qui seront conformes seront quant à elles payantes.
De manière non-exhaustive, voici quelques outils connus accompagnés de quelques éléments descriptifs (mais que nous n’avons pas encore testés) :
🟢GeeTest Captcha dont nous avons déjà parlé un peu plus haut.
-
- Une intégration simple dans WordPress
- Les coûts de la solution ne sont pas publics
- Des anciennes versions dont la sécurité a été facilement détournée (cf. introduction)
- Un outil régulièrement mis à jour et une nouvelle version v4 disponible
- Plus d’infos ici : https://www.geetest.com/en/
🟢hCAPTCHA : peut-être la solution alternative la plus répandue ?
-
- Nécessite une configuration avancée pour prendre en compte la protection des données personnelles
- La version gratuite n’est a priori pas conforme aux exigences relatives à la protection des données personnelles
- Le prix de la version entreprise n’est pas rendu public
- Solution la plus répandue avec le reCAPTCHA de GOOGLE qui démontre la robustesse de son mécanisme
🟢FriendlyCaptcha
-
- Déploiement facilité sur certains CMS comme WordPress et Joomla notamment
- Pas de cookies déposés
- Une version gratuite limitée en option pour un domaine et qui ne permet pas l’utilisation pour un usage commercial
- La version payante pour un gros site nécessitant une protection volumineuse en termes de requêtes débute à 200€ par mois
- Tarifs disponibles ici : https://friendlycaptcha.com
🟢Enfin, un dernier CAPTCHA intéressant à lister ici. Il peut être déployé depuis le CMS DRUPAL (privilégié par les institutions gouvernementales notamment) lequel propose un ensemble de modules de CAPTCHA (cf. liste ci-dessous⬇️).
Parmi ces modules, celui que nous pouvons voir ci-dessous⬇️ est notamment déployé sur le site du Comité Européen de la Protection des Données (ou EDPB pour European Data Protection Board). Il n’implique pas de dépôt de cookies et reprend le principe du slider dont nous parlions au début de ce dossier🚀. Il peut s’agir ici d’une bonne alternative si vous utilisez Drupal pour administrer votre site.
Attention aux plugins et les options activées par défaut
Nous attirons également votre attention sur les plugins de formulaire de contact qui peuvent mettre en place automatiquement ce type de dispositif. C’est le cas par exemple du gestionnaire de formulaire Contact Form 7 (le plus utilisé sur WordPress) qui peut se paramétrer par défaut avec GOOGLE reCAPTCHA. Soyez vigilants sur ce que cela implique pour les données de vos utilisateurs et veillez à bien vérifier les options activables ou activées !
Une autre solution comme Ninja Forms peut également prévoir cette possibilité avec le reCAPTCHA mais dispose également d’un système de CAPTCHA qui a priori n’implique pas le dépôt de cookies pour fonctionner. Cependant, ne l’ayant pas testé nous ne savons pas si celui-ci est efficace ni très paramétrable. La capture suivante est tirée d’un site français mais le système de protection s’affiche en anglais.
Enfin, un autre outil comme DIVI (éditeur de contenu de CMS comme WordPress) de Elegant Themes permet d’intégrer au choix le reCAPTCHA V3 ou un CAPTCHA mathématique peut être déployé par défaut et qui n’implique pas le dépôt de cookies ⬇️.
Points à retenir
En résumé, le reCAPTCHA de GOOGLE est la solution la plus utilisée dans le monde, mais comme nous l’avons démontré ici il existe des solutions alternatives viables sans impliquer de coûts supplémentaires ou trop importants. La solution pour laquelle vous pourrez opter pourra être également guidée par la plateforme sur laquelle est développée votre site.
Cependant, il faut noter qu’aucune autorité de contrôle n’interdit pour l’heure l’utilisation du reCAPTCHA de GOOGLE. La CNIL elle, n’insiste que sur la nécessité de recueillir le consentement de l’utilisateur. Il n’est fait aucune mention des transferts vers les Etats-Unis, pourtant jugés illégaux dans le cadre de l’utilisation des services de Google Analytics.
En théorie, l’utilisation d’une solution de CAPTCHA devant être soumise au consentement de l’utilisateur rend inefficace le dispositif qui poursuit une finalité de sécurisation du site. Comme le souligne la CNIL un simple refus permettrait alors de contourner le système.
Une possibilité cependant pour le reCAPTCHA de GOOGLE ? Ne pas seulement soumettre l’utilisation du CAPTCHA au consentement mais conditionner l’affichage complet du formulaire de contact à l’acceptation du dépôt de cookies de sorte que les bots ne puissent pas spammer lesdits formulaires. Mais cette solution, handicapante et décourageante pour générer du lead au travers du formulaire, ne peut pas s’appliquer en tout état de cause à l’accès à un service ou une page soumise directement à l’approbation du CAPTCHA.
Reste à voir si la CNIL ou les autres autorités européennes se prononceront un jour sur ces solutions de manière plus prononcée sur le recours à ces outils de sécurisation et ce que cela implique en matière de protection des données. Si c’est le cas, nous ne manquerons pas de vous le faire savoir 🧑🏻🚀👨🏻🚀
Stay tuned, stay safe 🚀