Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
ALTCHA est une alternative open source et respectueuse de la vie privée aux captchas classiques, développée par BAU.PLUS en Slovaquie (UE). Elle protège les formulaires contre le spam et les bots grâce à un défi de preuve de travail résolu dans le navigateur, sans cookies, sans profilage comportemental et sans empreinte numérique dans sa configuration par défaut. ALTCHA peut être entièrement auto hébergée ou utilisée via le point d'accès européen, ce qui en fait l'un des choix les plus propres en matière de conformité RGPD.
ALTCHA est une alternative open source aux captchas classiques, développée par Daniel Regeci et l'équipe BAU.PLUS en Slovaquie. Au lieu de s'appuyer sur le suivi comportemental, le fingerprinting ou la résolution d'images, il fait calculer dans le navigateur du visiteur un défi de preuve de travail avant l'envoi du formulaire. Le serveur vérifie ensuite le jeton signé et accepte ou rejette la soumission, ce qui bloque la grande majorité des bots de spam sans jamais profiler l'utilisateur humain.
Dans sa configuration par défaut, ALTCHA ne dépose aucun cookie, n'effectue pas de fingerprinting et ne construit aucun profil comportemental. Les seules données traitées sont l'adresse IP du visiteur (inévitable pour toute requête HTTP vers le point de vérification), le défi de preuve de travail et le jeton signé de courte durée renvoyé par le navigateur. En cas d'utilisation de la variante hébergée sur eu.altcha.org ou us.altcha.org, une valeur altcha_session temporaire peut être conservée côté serveur pour la limitation de débit, mais aucun identifiant client persistant n'est stocké sur l'appareil.
Parce qu'ALTCHA n'effectue qu'un calcul local dans le navigateur et un seul échange signé avec le point de vérification, il entre confortablement dans l'exception du strictement nécessaire de l'art. 5(3) ePrivacy, telle que transposée dans les droits nationaux. Il n'y a pas de profilage au sens de l'art. 22 RGPD, aucune donnée sensible et, lorsque le point d'accès européen ou une instance auto hébergée est utilisé, aucun transfert de données personnelles vers un pays tiers. Les obligations RGPD restantes se limitent à la transparence dans la politique de confidentialité et à une brève analyse d'intérêt légitime.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Dans la plupart des déploiements, aucun consentement préalable n'est exigé. ALTCHA peut être chargé au titre de l'exception ePrivacy car il est essentiel pour protéger l'envoi du formulaire demandé contre les abus, et le traitement repose sur l'art. 6(1)(f) RGPD (intérêt légitime à prévenir la fraude et les abus) ou l'art. 6(1)(b) RGPD (exécution du contrat que représente le formulaire). Il convient de le placer dans la catégorie strictement nécessaire de la bannière de cookies, avec une courte explication dans la politique de confidentialité. Le consentement ne devient pertinent que si le déploiement est combiné à des fonctions optionnelles d'analyse ou de scoring qui dépassent la simple protection antispam.
Lorsque ALTCHA est auto hébergé ou utilisé via le point d'accès eu.altcha.org, aucune donnée personnelle ne quitte l'UE, ce qui élimine totalement la question des transferts au titre du chapitre V du RGPD. Si l'éditeur choisit us.altcha.org, le traitement s'appuie sur les clauses contractuelles types et une étude d'impact des transferts, qui doivent figurer dans la politique de confidentialité et le registre des traitements. En pratique: documentez la LIA, privilégiez la variante européenne ou auto hébergée, mentionnez ALTCHA dans la politique de confidentialité sous sécurité, listez le dans le strictement nécessaire de la bannière et révisez la configuration chaque année pour vérifier qu'aucune fonction optionnelle de suivi n'a été activée.
Les sites web utilisant ALTCHA doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD complète n'est généralement pas nécessaire pour ALTCHA dans sa configuration par défaut: aucun cookie, aucune empreinte numérique, aucun profilage comportemental, et un traitement limité à l'adresse IP temporaire et à un jeton de preuve de travail de courte durée. Une analyse d'intérêt légitime (LIA) reste recommandée pour documenter la finalité de prévention de la fraude, le caractère le moins intrusif de la solution par rapport à reCAPTCHA ou hCaptcha, et l'absence de profilage. En cas d'utilisation du point d'accès américain, documentez l'étude d'impact des transferts et les CCT associées.
Exemple de texte de consentement
ALTCHA est utilisé sur ce site comme mesure de sécurité strictement nécessaire pour protéger nos formulaires contre le spam et les abus automatisés. Le défi s'exécute localement dans votre navigateur sous forme de preuve de travail, ne dépose aucun cookie et ne vous profile pas. À ce titre, il est chargé sans consentement préalable au titre de l'art. 5(3) ePrivacy et de l'art. 6(1)(f) RGPD. Les détails figurent dans notre politique de confidentialité.
Domaines tiers contactes
altcha.orgeu.altcha.orgus.altcha.orgcdn.altcha.orgapi.altcha.orgdocs.altcha.orgCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| altcha_session | http_cookie | session | Optional short lived server side identifier used only by the hosted variant to apply rate limiting on the verification endpoint. Not set on the visitor device. |
| altcha_token | first_party_storage | request | Signed proof of work token returned by the widget and submitted with the form. Held only in the form payload, not persisted in cookies or localStorage by default. |
| altcha_challenge | first_party_storage | request | Challenge payload generated by the server and consumed by the widget during the single page lifecycle. Discarded as soon as the proof of work is solved. |
| altcha_rate_limit | http_cookie | session | Optional anti abuse counter used by self hosted deployments that opt in to per session rate limiting. Off by default. |
ALTCHA est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.
Aucun en configuration par défaut. ALTCHA exécute une preuve de travail dans le navigateur et renvoie un jeton signé; aucun cookie ni identifiant client n'est stocké. La variante hébergée peut conserver côté serveur un enregistrement altcha_session de courte durée, uniquement pour la limitation de débit.
Dans la plupart des cas non. ALTCHA protège l'envoi du formulaire demandé par l'utilisateur, ce qui relève du strictement nécessaire au sens de l'art. 5(3) ePrivacy, et peut donc être chargé sans consentement préalable. Documentez l'analyse d'intérêt légitime et mentionnez le dans le strictement nécessaire de la bannière.
L'art. 6(1)(f) RGPD (intérêt légitime à la prévention de la fraude et des abus) est la base principale, avec l'art. 6(1)(b) RGPD (exécution du contrat) en alternative lorsque le captcha est nécessaire pour fournir le service demandé.
Non en cas d'auto hébergement ou d'utilisation du point d'accès eu.altcha.org, situé dans l'Union européenne. Des transferts vers les États Unis ne se produisent que si vous choisissez explicitement us.altcha.org, ce qui impose des CCT et une étude d'impact des transferts.
En général non. ALTCHA ne profile pas les utilisateurs, ne dépose pas de cookies et ne réalise pas de fingerprinting; le risque est faible. Une courte analyse d'intérêt légitime suffit dans la plupart des cas. Une AIPD ne devient pertinente que si vous activez des fonctions optionnelles d'analyse ou de scoring.
Privilégiez la version auto hébergée ou le point d'accès eu.altcha.org, documentez la LIA, mentionnez ALTCHA dans la politique de confidentialité sous sécurité, placez le dans le strictement nécessaire de la bannière de cookies et vérifiez chaque année qu'aucune fonction optionnelle n'est activée.
Oui. Friendly Captcha est un équivalent européen très proche. mCaptcha est une autre solution open source à preuve de travail. hCaptcha est orienté vie privée mais basé aux États Unis, Cloudflare Turnstile est très répandu mais sur infrastructure américaine, et Google reCAPTCHA est l'option la plus invasive.
Ajoutez une courte section dans la politique de confidentialité expliquant qu'ALTCHA est utilisé pour protéger les formulaires contre le spam et les abus, qu'il exécute localement une preuve de travail, ne dépose pas de cookies et ne profile pas les utilisateurs, et que le traitement repose sur l'intérêt légitime au titre de l'art. 6(1)(f) RGPD.