L’utilisation de Google « reCaptcha » nécessite le consentement de l’utilisateur

Le 11 avril 2022, la CNIL a répondu à la réclamation soumise par un particulier à propos de l’utilisation par le ministère de l’Intérieur du système anti-robot « reCAPTCHA » édité par Google. Selon la Commission, l’utilisation de cet outil nécessite obligatoirement le consentement préalable de l’utilisateur dans la mesure où le régime des cookies, tags et autres traceurs, c’est-à-dire le régime de la directive e-Privacy, lui est applicable.
Cette décision n’est pas anodine puisque cela revient à retirer toute efficacité au dispositif : en effet, il ne devrait en théorie pas être possible de conditionner l’accès à un service au consentement de l’utilisateur, ce dernier se trouvant dès lors contraint. Ainsi, une personne qui refuserait de consentir devrait tout de même avoir accès au service (en l’espèce, un formulaire), ce qui permet de contourner aisément la protection.
A ce titre, la décision du Conseil d’Etat du 19 juin 2020 (n°434684), dans laquelle il estime que les « Cookie walls » ne doivent pas être interdits par principe, est une véritable anomalie. Il est probable que ce mécanisme soit réutilisé par les éditeurs de site internet afin de pouvoir continuer à utiliser ce système, mais l’utilisation d’un cookie wall par une autorité publique pourrait être particulièrement mal vue, en particulier lorsqu’il s’agit d’un formulaire de signalement de faits à l’IGPN.

Pourquoi le « reCAPTCHA » Google est-il soumis au consentement ?

A titre liminaire, il convient de rappeler en quelques mots le régime de l’article 82 de la Loi Informatique et Libertés, qui est la transposition de la directive « e-Privacy ». Par principe, toute opération de lecture ou d’écriture effectué sur le terminal de l’utilisateur est soumis à son consentement préalable : c’est la raison pour laquelle les bannières « cookies » n’ont cessé de fleurir ces dernières années. Ce principe souffre de deux exceptions :

Le cookie, tag ou autre traceur a pour finalité exclusive de permettre et/ou de faciliter la communication par voie électronique ;

Le dispositif est « strictement nécessaire » à la fourniture du service à la demande exprès de l’utilisateur

La lettre de la CNIL est très succincte, mais est sur ce point particulièrement claire : le système ne peut bénéficier « d’aucune des exemptions au recueil du consentement prévues par l’article 82 » de la Loi Informatique et Libertés. En effet, même s’il s’agit d’un dispositif de sécurité, ce n’est pas là sa seule finalité : comme souvent, Google récupère de nombreuses données afin de mettre en œuvre des traitements qui ont des finalités différentes (ce qui ouvre d’ailleurs une fois de plus la problématique de transferts de données hors Union Européenne, à porpos de laquelle les autorités de protection des données sont très actives ces derniers temps).

Il résulte de la multiplicité des finalités, dont certaines ne sont pas essentielles au bon fonctionnement du site, que le consentement préalable des utilisateurs est obligatoire. Ne pas le demander constituerait une non conformité à la réglementation, susceptible de sanctions. Il convient de noter que ce n’est pas la première fois que la CNIL retoque une administration concernant l’utilisation de ce dispositif : cela avait été le cas au début de la pandémie, à l’occasion du contrôle de la mise en oeuvre de « Stop Covid », alors même qu’il ne s’agissait manifestement que d’une utilisation temporaire et réalisée dans l’urgence.

Quelles solutions alternatives ?

Une fois la problématique pointée du doigt, il reste à y trouver des alternatives : quoi qu’on en dise, ces systèmes sont dans certains cas presque indispensables. Dans sa lettre, la CNIL elle même ne propose pas d’alternatives, ce qui aurait été particulièrement bienvenue afin d’aider les responsables de traitement à mettre leurs sites en conformité. Et pour cause, celles-ci sont bien peu nombreuses : le très populaire hCaptcha est également édité par une entreprise américaine, et réalise lui aussi des collectes de données à ses propres fins. Peut-être reste-t-il la solution éditée par Orange, utilisée sur « Stop Covid », mais celle-ci souffre d’un défaut balançant l’absence de collecte de données : elle est payante.
Sans doute que cette méthode de différenciation de l’homme et d’une machine va devoir être mise de côté, au profit d’autres outils, tels que les très populaires modules « Antispam » présents sur WordPress ou Drupal. Espérons que des solutions respectueuses de la vie privée émergent rapidement !