Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

reCAPTCHA

Que fait Google reCAPTCHA ?

Google reCAPTCHA est un service gratuit de protection contre les robots et le spam de Google qui vérifie que les utilisateurs sont humains via des tests de défi (v2) ou une analyse comportementale invisible (v3). Il dépose des cookies Google et envoie des données d'empreinte numérique du navigateur vers les serveurs américains de Google. Les autorités européennes de protection des données et les tribunaux ont mis en question la conformité RGPD de reCAPTCHA. hCaptcha et Cloudflare Turnstile sont des alternatives respectueuses de la vie privée.

Qu''est-ce que Google reCAPTCHA ?

Google reCAPTCHA est un service CAPTCHA gratuit de Google qui protège les sites web contre les robots et le spam. reCAPTCHA v2 présente des défis visibles (case ''Je ne suis pas un robot'', sélection d''images). reCAPTCHA v3 fonctionne invisiblement en arrière-plan, attribuant un score de risque à chaque session utilisateur sans interaction visible. reCAPTCHA Enterprise offre des contrôles de confidentialité améliorés.

Préoccupations RGPD : cookies et traitement des données

reCAPTCHA dépose plusieurs cookies Google (NID, _GRECAPTCHA) et envoie des données d''empreinte numérique du navigateur à Google. Selon la directive ePrivacy, le dépôt de cookies non essentiels sur les appareils des utilisateurs nécessite un consentement. La tension principale : reCAPTCHA est une mesure de sécurité (intérêt légitime) mais dépose des cookies pouvant être utilisés à des fins publicitaires Google (nécessitant un consentement).

Alternatives conformes au RGPD

hCaptcha est une alternative CAPTCHA respectueuse de la vie privée qui n''utilise pas l''infrastructure de Google. Cloudflare Turnstile est un défi sans CAPTCHA qui minimise la collecte de données. Les deux offrent une protection contre les robots sans les préoccupations de partage de données avec Google. Pour les formulaires non publics, les techniques honeypot offrent une protection contre les robots sans aucune collecte de données.

Étapes pratiques de mise en conformité

Divulguez reCAPTCHA dans votre politique de confidentialité incluant le traitement des données de Google et le transfert vers les États-Unis. Signez l''accord de traitement de données de Google. Évaluez si l''intérêt légitime couvre le cas d''usage de sécurité ou si le consentement est nécessaire. Pour v3, assurez une divulgation sur l''ensemble du site. Envisagez de passer à hCaptcha ou Cloudflare Turnstile pour une conformité RGPD plus simple.

Categorie de consentement RGPD

Essentiel

Les sites web utilisant Google reCAPTCHA doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleThe legal basis for reCAPTCHA is contested in Europe. Legitimate interest (Art. 6(1)(f)) may support bot prevention as a security measure, but reCAPTCHA also sets persistent Google cookies (NID, _GRECAPTCHA) on user devices. Under the ePrivacy Directive, setting non-essential cookies requires consent. The German DPA and others have questioned reCAPTCHA's GDPR compliance. hCaptcha is a privacy-focused alternative.

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive, SCCs for US transfers. reCAPTCHA v3 runs invisibly and raises particular transparency concerns.

Considerations AIPD

Une AIPD n'est généralement pas requise pour les implémentations de sécurité reCAPTCHA standard. Cependant, reCAPTCHA v3 fonctionne sur toutes les pages de manière invisible, constituant une surveillance plus large qui peut justifier une évaluation des risques.

Exemple de texte de consentement

Ce site web utilise Google reCAPTCHA pour protéger les formulaires contre le spam et les abus. reCAPTCHA utilise des cookies et envoie des données à Google aux États-Unis à des fins d'analyse de sécurité. En utilisant les formulaires de ce site, vous acceptez le traitement des données Google reCAPTCHA.

Details techniques

Methode de suiviJavaScript widget, browser fingerprinting, behavioural analysis, risk scoring, Google account signals, persistent cookies

Localisation des serveursUnited States (Google infrastructure)

Donnees transferees hors UEGoogle reCAPTCHA (v2 and v3) processes visitor browser data, IP addresses, cookies, and behavioural signals on Google's US infrastructure for fraud and bot detection purposes. EU personal data transfers require Standard Contractual Clauses. Google reCAPTCHA Enterprise has enhanced privacy controls.

Domaines tiers contactes

www.google.comwww.gstatic.comrecaptcha.net

Cookies deposes

Nom	Type	Duree	Finalite
_GRECAPTCHA	persistent	6 months	Google reCAPTCHA security token used for bot risk scoring and challenge verification

Google reCAPTCHA est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Google reCAPTCHA nécessite-t-il un consentement RGPD ?

La base légale est contestée. reCAPTCHA dépose des cookies Google (NID, _GRECAPTCHA) sur les appareils des utilisateurs. Selon l'ePrivacy, le dépôt de cookies nécessite un consentement. Cependant, l'intérêt légitime peut soutenir le cas d'usage de sécurité. L'approche la plus sûre : utilisez reCAPTCHA uniquement sur les pages de formulaire (pas sur l'ensemble du site), divulguez dans la politique de confidentialité.

Quels cookies Google reCAPTCHA dépose-t-il ?

reCAPTCHA dépose _GRECAPTCHA (jeton de sécurité, 6 mois) et peut lire le cookie NID (identifiant Google, 6 mois) s'il est déjà présent. Ce sont des cookies Google stockés sur l'appareil de l'utilisateur, nécessitant une base légale ePrivacy.

Quelle est la différence entre reCAPTCHA v2 et v3 pour le RGPD ?

reCAPTCHA v2 : défi visible sur des pages spécifiques, ne se déclenche que lorsque l'utilisateur interagit avec le formulaire. reCAPTCHA v3 : fonctionne invisiblement sur chaque visite de page sans interaction de l'utilisateur. v3 soulève de plus fortes préoccupations RGPD en raison de la surveillance à l'échelle du site sans connaissance de l'utilisateur.

reCAPTCHA transfère-t-il des données vers les États-Unis ?

Oui. Tout le traitement reCAPTCHA s'effectue sur l'infrastructure américaine de Google. Des CCT sont requises. Acceptez les conditions reCAPTCHA de Google qui incluent des conditions de traitement des données. Divulguez le transfert vers les États-Unis dans votre politique de confidentialité.

Quelles sont les alternatives conformes au RGPD à Google reCAPTCHA ?

hCaptcha : CAPTCHA respectueux de la vie privée avec des conditions RGPD plus claires, aucun partage de données avec Google. Cloudflare Turnstile : défi sans CAPTCHA avec une collecte minimale de données. Technique honeypot : champ de formulaire caché invisible que seuls les robots remplissent — zéro collecte de données.

reCAPTCHA v3 est-il un problème pour la transparence selon le RGPD ?

Oui. reCAPTCHA v3 fonctionne invisiblement sur chaque page sans connaissance de l'utilisateur. Le principe de transparence du RGPD exige une divulgation claire de tout traitement de données. Si déployé sur l'ensemble du site, les visiteurs doivent être clairement informés dans la politique de confidentialité.

reCAPTCHA Enterprise résout-il les problèmes RGPD ?

reCAPTCHA Enterprise offre des contrôles de confidentialité améliorés incluant la possibilité de ne pas envoyer de données à Google à des fins publicitaires. Il est plus conforme au RGPD que le reCAPTCHA standard mais implique toujours un transfert vers les États-Unis.

Comment divulguer reCAPTCHA dans ma politique de confidentialité ?

Indiquez : que les formulaires du site web sont protégés par Google reCAPTCHA, que reCAPTCHA collecte des informations matérielles, logicielles et des données comportementales et les envoie à Google pour analyse, que ces données sont traitées aux États-Unis sous CCT, et fournissez un lien vers la Politique de confidentialité et les Conditions d'utilisation de Google.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min