On en discutait ici même il y a 2 mois environ, la CNIL a annoncé que l’utilisation de Google Analytics devenait illégale. Cela avait bouleversé tout le monde du web puisque cette solution est utilisée par de nombreux sites internets.
Le 11 avril 2022, la CNIL informait que c’est désormais Google ReCaptcha qui est sanctionné. À l’inverse de Google Analytics qui est totalement interdit, le service de sécurisation de formulaire doit être affiché et utilisé uniquement si l’on a le consentement de l’utilisateur.
ReCaptcha, qu’est-ce donc ?
Google Recaptcha est un service proposé par le géant américain qui permet de sécuriser les formulaires. Ce dernier évite le spam de formulaire et ainsi vous évite de recevoir de multiples messages automatisés de la part de robots. Pour cela, on demande à l’utilisateur de sélectionner des images de motos, de voitures, de feux de routes… Si la sélection est pertinente, alors on autorise l’envoi du formulaire, sinon celui-ci n’est pas envoyé puisque l’utilisateur est considéré comme un robot.
C’est une solution extrêmement répandue sur le web, car elle est très simple à installer et permet d’identifier les robots assez efficacement.
Quel impact ?
Tout comme pour Google Analytics, la vraie question reste l’impact que cela va avoir sur nos sites internets. Est-ce que l’on doit d’ores-et-déjà supprimer ce service de nos sites internets ?
Avant tout, je pense qu’il ne faut pas se précipiter. Tout comme pour le service de statistiques du géant américain, ces derniers ne peuvent pas se permettre de perdre tout le marché européen. Il y a donc de forte chance qu’ils essaient de se conformer au RGPD et aux demandes de la CNIL pour que les utilisateurs français et européens puissent toujours utiliser leurs services.
Ce dernier peut toujours être utilisé si l’on bénéficie du consentement de l’utilisateur. Il faut alors ajouter cela au bandeau de cookie déjà présent sur un site internet.
Le problème reste que si l’on applique cela à la lettre, il suffit désormais aux robots de refuser les cookies pour pouvoir envoyer remplir les formulaires sans passer par ce service de sécurisation.
Comment se conformer aux recommandations de la CNIL
Si vous souhaitez vous conformer aux recommandations de la CNIL vous avez de ce fait deux possibilités.
La première, c’est de supprimer Google Recaptcha de vos formulaires et de le remplacer par une alternative qui serait RGPD compliant et donc autorisé par la CNIL.
La seconde possibilité est de demander le consentement aux utilisateurs pour utiliser lors données, cela se fait notamment par un bandeau de cookies. Voyons ces solutions plus en détail.
Par quoi remplacer Google ReCaptcha ? Les meilleures alternatives !
Comme beaucoup de service, ReCaptcha n’échappe pas à la concurrence, il existe alors sur ce marché de sécurisation des formulaires un grand nombre de concurrents.
hCaptcha une solution efficace & conforme au RGPD
Pour ma part, j’ai installé et utilisé à de multiples reprises (sur ce site par exemple) le service hCaptcha. Ils se présentent eux même comme étant des « protecteurs de la vie privée des utilisateurs » et ils ont l’avantage d’être conforme au RGPD.
Tout comme la solution de Google, ils proposent de régler le niveau de difficulté du Captcha afin de proposer une sécurité plus ou moins conséquente.
C’est un service Freemium, mais de mon côté, je suis toujours resté en version gratuite et il est suffisant pour la majorité des demandes aujourd’hui.
FriendlyCaptcha, une seconde solution aussi conforme au RGPD
Une autre solution que je connais, mais que j’ai moins utilisé pour le coup, c’est FriendlyCaptcha. Celui-ci propose un service similaire à hCaptcha et Google Recaptcha. Il a cependant l’avantage d’être conforme au RGPD à l’inverse de la solution de Google. C’est une solution que je peux vous recommander, car ils sont basés en Allemagne et donc européen. Ils se doivent donc d’être conforme au RGPD pour commercialiser leur service.
Comment ajouter ReCaptcha au bandeau de cookies ?
Vous êtes attaché à Google Recaptcha et vous ne souhaitez pas en changer ? Il reste possible de demander à vos utilisateurs leur consentement pour utiliser leur données et les fournir à Google.
Comme je vous le disais précédemment, et j’attire votre attention à ce sujet, cela risque d’augmenter le nombre de spam que vous allez recevoir. Les robots n’auront qu’à refuser les cookies sur votre site pour passer au travers de la sécurité.
Si vous souhaitez tout de même le faire, il vous suffit pour cela d’intégrer à votre bandeau de cookies Google Recaptcha. Tout dépend de la solution que vous utilisez, mais c’est en général assez simple à mettre en place.
Une fois cela fait, il vous suffit d’exécuter le code du Captcha, si et seulement si, vous avez la confirmation du consentement de l’utilisateur. Il vous faudra donc faire du changement au niveau de votre Javascript qui gère l’affichage, mais aussi au niveau de votre back-end et de votre logique puisque celle-ci doit également vérifier que le captcha a bien été validé.
Quoi que vous décidiez, je vous conseille de vous conformer aux recommandations de la CNIL. Les changements ne sont pas énormes et il vaut mieux les réaliser maintenant plutôt que d’être contacté par la CNIL avec une mise en demeure ou pire, une amende.
