reCAPTCHA de Google et RGPD : un possible conflit ?

Temps de lecture : 5 minutes

serrer main robot 834

Au détour d’une recherche dans la documentation de Complianz, excellente extension (plugin) WordPress qui permet de gérer le consentement pour les cookies, j’ai trouvé l’article suivant (en anglais). Sa lecture m’a éclairé sur le fonctionnement du reCaptcha.

Jarno Vos, membre de Complianz (société néerlandaise), m’a gentiment autorisé à traduire l’article. Voici donc de quoi mieux comprendre ce qui se cache derrière l’utilisation d’un outil gratuit comme reCaptcha.

Mise à jour du 19 mai 2021

Dans un autre article en date du 23 février 2021 Complianz signale que depuis la version 5.4 de Contact Form 7 la compatibilité n’est plus assurée.

Complianz conseille plusieurs solutions :


Version originale de l’article publié le 14 août 2019 par Rogier Lankhorst.

Lors du développement de Complianz Privacy Suite, certaines questions intéressantes ont surgi. L’une d’elles que j’ai rencontrée aujourd’hui est la suivante : Google Recaptcha et le RGPD sont-ils conciliables ?

Contact Form 7 est, avec plus de 5 millions d’installations, l’extension de formulaire de contact numéro un sur WordPress. Moi aussi je l’utilise sur de nombreux sites. C’est simple, gratuit, et fonctionne bien. Si vous avez utilisé Contact Form 7 (ou tout autre formulaire de contact sur votre site) au cours des dernières années, vous avez peut-être remarqué que vous devez faire quelque chose contre le spam. Si vous n’avez pas de protection anti-spam en place, vous serez inondé d’e-mails indésirables. Longtemps, la solution la plus utilisée consistait à ajouter un affreux captcha au formulaire, avec des lettres et des chiffres difficiles à lire sur une image. L’utilisateur devait les taper dans un champ de saisie. Les robots spammeurs n’arrivent pas à lire ces images : problème résolu !

Mais cette solution n’est pas très conviviale : c’est laid, et cela gêne tellement les utilisateurs que vous risquez de perdre des conversions. Google reCaptcha à la rescousse ! Intégré à Contact Form 7, facile à configurer, il demande juste (en général) de cocher une case (je ne suis pas un robot). Dans la dernière version (Google reCaptcha v3), vous n’avez même pas à le faire : c’est un processus en arrière-plan.

Google reCAPTCHA et les données personnelles

Mais nous le savons tous : rien n’est gratuit, n’est-ce pas ? Alors, quel est le prix à payer pour cette formidable fonctionnalité ? En vérité : nos données personnelles.

Le mélange d’une empreinte digitale et de cookies internes est envahissant car Google peut donner un niveau d’entropie très élevé lorsqu’il s’agit de distinguer une personne en particulier.

Ron Perona sur businessinsider.com

Une partie des données que Google collecte avec reCAPTCHA est :

  • Un instantané complet de la fenêtre du navigateur de l’utilisateur à ce moment précis sera capturé, pixel par pixel ( !),
  • Les extensions de navigateur,
  • Tous les cookies placés par Google au cours des 6 derniers mois,
  • le nombre de clics de souris ou de contacts que vous avez effectués sur cet écran,
  • Informations CSS pour cette page,
  • Les objets Javascript
  • La date,
  • La langue du navigateur.

(voir aussi : businessinsider.com (en), gen.net.uk (en))

Nous ne pouvons pas confirmer ces informations, mais si vous regardez ce que Google dit à ce sujet, lorsque vous créez un nouveau jeu de clés reCaptcha :

Vous reconnaissez et comprenez que l’API reCAPTCHA fonctionne en collectant des informations matérielles et logicielles, telles que les données des appareils et des applications, et en les envoyant à Google pour analyse.

Et aussi :

Vous acceptez que si vous utilisez les API, il vous incombe d’afficher les notifications nécessaires et d’obtenir l’autorisation de collecter et de partager ces données avec Google.

Vous avez définitivement besoin d’un opt-in si vous voulez être conforme au RGPD.

Comment empêcher le placement de cookies

Si vous utilisez simplement le reCaptcha intégré de Contact Form 7, il est généralement difficile d’activer ces scripts de manière conditionnelle. Complianz Privacy Suite a résolu ce problème (en version gratuite et premium) en créant une liste de scripts tiers qui placent des cookies de suivi, et en désactivant tous ces scripts jusqu’à ce que les utilisateurs acceptent. Bien sûr, Google reCaptcha est inclus dans cette liste, tout comme Facebook, Youtube, Vimeo, Instagram, et bien d’autres.

Et c’est là que nous pouvons tous voir des nuages noirs se former : si reCaptcha est opt-in (comme l’exige le RGPD), alors tout ce qu’un spammeur doit faire pour contourner reCaptcha, c’est de ne pas accepter les cookies, non ?

Et alors ?

Il y a bien sûr des implémentations possibles qui contournent ce problème : si vous empêchez la soumission du formulaire avant que les cookies ne soient acceptés, ou si reCaptcha n’est pas actif, cela pourrait être une solution. C’est ainsi que l’intégration de reCaptcha V3 dans Contact Form 7 fonctionne : soumettre le formulaire sans accepter les cookies n’est pas possible.

Si l’acceptation des cookies initialisait le reCaptcha, ce serait une solution viable. Comme l’activation du script nécessite que le script Contact Form 7 attende que le script reCaptcha soit complètement chargé, cela provoque des situations de concurrence dans la version actuelle. Dans la version bêta, cela a été corrigé : https://github.com/rlankhorst/complianz-gdpr. Ce sera publié avec la prochaine mise à jour (>2.1).

Jusqu’à ce que cette version soit publiée, vous ne pouvez pas utiliser Google Recaptcha et être conforme au RGPD en même temps. Ce qui signifie que pour prévenir le spam, vous devrez utiliser d’autres méthodes de protection contre le spam. Heureusement, il existe un module complémentaire pour Contact Form 7 qui ajoute un pot de miel (honeypot) à votre site. Un pot de miel est un champ caché, que les robots spammeurs rempliront, mais pas les humains (car ils ne voient pas le champ caché).

Cette solution ne nécessite pas de reCaptcha et est conforme au RGPD. Vous pouvez également télécharger l’extension bêta sur Github, ou attendre la prochaine version.

Mise à jour

Depuis de la version 2.1.1, Complianz est compatible avec Contact Form 7 (ce n’est plus le cas depuis la v5.4 de CF7) associé à reCaptcha v3. Avec cette implémentation, reCaptcha est bloqué jusqu’à ce que l’utilisateur consente et l’utilisateur ne peut pas soumettre un formulaire de contact. Quand il a donné son consentement reCaptcha est activé et le formulaire de contact peut être soumis d’une manière anti-spam.

Cela nous laisse deux méthodes pour utiliser Contact Form 7 (et aussi Gravity Forms, etc.) :

  • Avec reCaptcha v3, l’utilisateur peut soumettre un formulaire si le consentement a été donné pour les cookies.
  • Avec un pot de miel. L’utilisateur peut soumettre un formulaire sans que le consentement ait été donné.
  • Utilisez le lien hypertexte* : <a class="cmplz-accept-cookies" href="#">veuillez accepter les cookies</a> comme lien, ou bouton, avant le chargement conditionnel de reCaptcha et/ou le bouton de soumission, de sorte que les cookies doivent être acceptés avant de soumettre le formulaire. Ou utilisez-le sous n’importe quel formulaire, afin que les utilisateurs sachent pourquoi l’envoi du formulaire ne fonctionne pas correctement sans accepter les cookies.

Exemple de formulaire reCaptcha

Vie privée

[ ]  J'accepte la politique de confidentialité.

Ce formulaire utilise reCaptcha. Avant d'envoyer le formulaire, veuillez accepter les cookies.

Article originel traduit avec l’aide de www.DeepL.com/Translator (version gratuite).

* Note du traducteur :

  • Le lien « politique de confidentialité » devrait renvoyer à la politique de confidentialité du site.
  • En ayant installé Complianz, la classe « cmplz-accept-cookies » déclenche Complianz pour accepter tous les cookies, tout comme le ferait le bouton « Accepter tout » de la bannière de cookies. Ainsi, bien que le bouton ne renvoie à rien (#), il acceptera tous les cookies lorsqu’il est cliqué. Cela permet aux utilisateurs de soumettre le formulaire sans avoir à ouvrir la bannière de consentement et à cliquer sur « Accepter tout ».
Cyrille Sanson

Cyrille Sanson

Expert WordPress : conception de sites, audit, maintenance, dépannage, formation

Partager cet article ➡

Partager sur facebook
Partager sur twitter
Partager sur linkedin

Laisser un commentaire

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Abonnez-vous à ma newsletter