Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’AFCDP alerte sur l’utilisation non maîtrisée du « reCAPTCHA » de Google

août 2020 par Marc Jacob

Au détour de son audit de l’application StopCovid, la CNIL « épingle » l’usage du reCAPTCHA de Google. L’AFCDP s’en félicite et attire l’attention des Délégués à la Protection des Données sur les risques subsistant en l’absence de solution conforme.

En quoi le reCAPTCHA concerne-t-il les données personnelles ?

Au-delà de sa fonction de reconnaissance des humains, le reCAPTCHA est utilisé par Google pour d’autres usages qui ont un impact sur les données personnelles des utilisateurs.

En effet, des observateurs ont détecté que lors de son activation, l’outil de Google collecte de nombreuses informations, dont l’adresse IP de l’internaute, ainsi que :
 la liste de « plugins »
 les « cookies » implantés par Google au cours des 6 derniers mois
 le nombre de clics effectués
 les objets Javascript de la page
 la date, la langue du navigateur, etc.

Ces données sont transmises à Google pour analyse, la plupart du temps sans qu’aucune information ne soit donnée à l’utilisateur par le site web qui a pris l’initiative de l’implémenter, et, à plus forte raison, sans son consentement.

Lorsqu’un organisme décide de bâtir un site web et d’y implanter un reCAPTCHA, son responsable de traitement doit donc être attentif au traitement de données personnelles que cela implique.

Les Délégués à la Protection des Données (DPD/DPO) confrontés à ce type situation se heurtent le plus souvent à des réticences, voire un refus des développeurs et des sous-traitants de remplacer cet outil par un autre plus respectueux de la protection des données.

Il semble que les développeurs soient de bonne foi, ne sachant pas comment remplacer l’outil de Google, qui pourrait en outre être très lié à Google Analytics.

Qu’a dit la CNIL dans sa décision sur StopCovid ?

Après avoir réalisé un audit de l’application StopCovid, la CNIL a adopté le 15 juillet 2020, la décision MED-2020-015 de mise en demeure du ministère des Solidarités et de la Santé[1].

Dans cette décision, elle note un changement majeur intervenu dans l’application : « la méthode d’authentification par captcha - qui permet de vérifier lors de l’activation initiale de l’application que cette dernière est utilisée par un être humain - qui reposait sur la technologie reCaptcha de la société GOOGLE, est désormais remplacée par la technologie captcha développée par la société ORANGE. »

La CNIL confirme également qu’elle a constaté « que la collecte des données présentes sur l’équipement connecté de l’utilisateur dans le cadre de la technologie reCaptcha de la société GOOGLE déployée dans la version initiale de l’application (v1.0.*de l’application), n’est pas précisée dans l’analyse d’impact. »

Or, comme le rappelle la Commission, Google informe bien les développeurs que son outil n’est pas seulement destiné à la sécurisation de l’application ; il permet également des opérations d’analyse par Google. Il repose sur la « collecte d’informations matérielles et logicielles (telles que les données sur les appareils et les applications) et […] ces données sont transmises à Google pour analyse ». Il appartient donc aux développeurs, pour se conformer au RGPD, d’informer les utilisateurs et de leur demander leur consentement. En cas de refus, une solution de repli doit être rendue possible.

Si la présence de la technologie alternative d’Orange est bien présente dans la nouvelle version de StopCovid, la CNIL observe que les utilisateurs de l’ancienne version sont toujours soumis au reCAPTCHA de Google. D’ailleurs, pour les personnes qui ont téléchargé l’ancienne version de StopCovid et ne l’ont pas encore activée, la CNIL enjoint le ministère de procéder à leur information et de recueillir leur consentement.

L’AFCDP alerte ses membres sur les risques et souhaite une solution viable
Ayant échangé avec la CNIL dès 2016 à ce sujet, l’AFCDP ne peut qu’approuver la position de la Commission qui reconnaît formellement l’existence des questionnements que soulève l’implémentation du reCAPTCHA de Google par les responsables de traitement au sein d’un site Web.

Cette mise en demeure du Ministère devrait désormais permettre aux Délégués à la protection des données d’appuyer leurs demandes auprès des développeurs et des sous-traitants, qui considéraient qu’en l’absence de réaction de la CNIL, le reCAPTCHA de Google était par nature réputé conforme au RGPD.

L’AFCDP attire à nouveau l’attention de ses membres sur les enjeux de conformité qui se posent en cas d’usage du reCAPTCHA de Google, et sur les possibles sanctions que la CNIL pourrait prendre en cas d’utilisation non maîtrisée, sur la base de sa décision MED-2020-015.

L’AFCDP accueille également avec satisfaction la nouvelle de solutions alternatives conformes. Elle souhaite que des solutions soit rapidement rendues accessibles à tous les développeurs, et qu’elles fassent l’objet d’une large communication de la part de la CNIL.

Enfin, l’AFCDP recommande à ses membres DPD/DPO de mettre en œuvre un plan d’action comportant un inventaire des sites utilisant le reCAPTCHA de Google, une analyse des modalités de mise en œuvre, et le cas échéant, des recommandations de solutions alternatives.


[1] https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000042125452&fastReqId=965192718&fastPos=2


Voir les articles précédents

    

Voir les articles suivants