Guides Contrôle des outils
Google reCAPTCHA & RGPD : Consentement ou alternative ?
Google reCAPTCHA protège les formulaires contre les robots - mais collecte pour cela de nombreuses données et les envoie à Google. Ce que cela signifie pour la protection des données.
Ce que reCAPTCHA collecte
reCAPTCHA (v2/v3) analyse le comportement des utilisateurs et transmet notamment l'adresse IP, les données du navigateur et les interactions à Google.
reCAPTCHA v3, en particulier, fonctionne souvent en arrière-plan sur toutes les pages et évalue en permanence les visiteurs. Cela pose un problème en matière de protection des données, car cela va bien au-delà de la simple lutte contre les robots.
Ai-je besoin d'un consentement ?
Si reCAPTCHA est chargé avant que l'utilisateur n'ait donné son accord, un consentement est généralement requis, faute de quoi le risque est le même que pour les autres services Google.
reCAPTCHA doit au moins être mentionné dans la politique de confidentialité. S'il s'active dès le chargement de la page (ce qui est généralement le cas avec la version 3), il doit être chargé ou remplacé sur la base d'un consentement.
Des alternatives respectueuses de la vie privée
Il existe des solutions de protection contre les bots qui ne transmettent pas de données à Google, comme hCaptcha (options UE), Friendly Captcha ou des méthodes côté serveur telles que les honeypots.
C'est justement Friendly Captcha (fabriqué en Allemagne) et les champs « honeypot » qui permettent souvent de résoudre le problème sans avoir à afficher de bannière relative aux cookies – une solution idéale pour des formulaires allégés et conformes à la législation.
Vérifie ce qui se charge sur ton site
Vous ne savez pas si reCAPTCHA s'active avant le consentement ?
L'analyse gratuite BlueOcean permet de vérifier si reCAPTCHA et d'autres services Google se chargent avant que l'utilisateur n'ait donné son accord, ce qui te permet d'apporter des corrections ciblées.
Jetons un œil à vos sites
En 15 minutes, voyez où en sont les sites de vos clients — et comment les sécuriser sans effort.
Questions fréquentes
Est-ce que reCAPTCHA est conforme au RGPD ?
Uniquement avec le consentement de l'utilisateur (si le chargement a lieu avant l'acceptation) et une mention dans la politique de confidentialité. La version 3 est particulièrement problématique, car elle fonctionne en permanence en arrière-plan.
Existe-t-il des alternatives sans Google ?
Oui : Friendly Captcha, hCaptcha avec les options UE ou les champs « honeypot » offrent une protection contre les bots tout en présentant un risque nettement moindre en matière de protection des données.
Est-ce que reCAPTCHA doit figurer dans la déclaration de confidentialité ?
Oui, l'utilisation de reCAPTCHA et le transfert de données à Google doivent être mentionnés.