Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
Yandex SmartCaptcha est un service anti bots de la marque Yandex Cloud opéré par Yandex LLC, dont le siège est à Moscou et les centres de données en Fédération de Russie. Il distingue les humains des bots par une analyse comportementale invisible, du fingerprinting et, en cas de doute, des défis interactifs. La Russie ne bénéficie d'aucune décision d'adéquation au RGPD : embarquer SmartCaptcha sur un site européen déclenche les obligations du chapitre V, requiert un consentement éclairé et est généralement déconseillé par la CNIL au profit d'alternatives basées en UE.
Yandex SmartCaptcha est un service anti bots commercialisé par Yandex LLC, société russe dont le siège social est à Moscou, au sein de la suite Yandex Cloud. Il protège les formulaires, les pages de connexion et les API contre les abus automatisés en combinant un scoring comportemental invisible et des défis interactifs adaptatifs (grilles d''images, curseurs) affichés uniquement aux sessions suspectes. Le service est soumis aux conditions de Yandex Cloud régies par le droit russe et est largement déployé en Fédération de Russie. Son utilisation sur un site européen doit être soigneusement justifiée.
SmartCaptcha collecte l''adresse IP, le User Agent, des informations d''écran et de fuseau horaire, les mouvements de souris et de clavier, les évènements tactiles, des signaux de fingerprinting (canvas, WebGL, contexte audio, polices) et l''URL référente. Il dépose des cookies de courte durée sur smartcaptcha.yandexcloud.net et captcha.yandex.ru et stocke des jetons dans le local storage pour retenir les sessions validées. Le défi est rendu dans une iframe sandboxée chargée depuis les serveurs Yandex. Chaque évaluation est transmise à l''infrastructure Yandex en Russie et produit un verdict binaire et un score de confiance.
Les signaux comportementaux et les cookies relèvent pleinement de l''article 5(3) de la directive ePrivacy et déclenchent l''obligation de consentement transposée à l''article 82 de la loi Informatique et Libertés en France. Certains responsables soutiennent que la protection anti bots est strictement nécessaire, mais la CNIL et le CEPD ne retiennent cette qualification que pour des captchas de première main, sans profilage. Yandex collecte des données de fingerprinting et opère hors UE, ce qui exclut la voie de l''exemption.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
La base légale recommandée est le consentement explicite de l''article 6(1)(a) du RGPD combiné à l''article 5(3) ePrivacy. Le script du défi doit être bloqué tant que la catégorie sécurité ou protection anti bots n''est pas acceptée dans la bannière de consentement, et un parcours alternatif (lien e mail, question simple, captcha européen) doit être proposé en cas de refus. L''intérêt légitime de l''article 6(1)(f) est fragile : le test de nécessité échoue dès lors qu''hCaptcha, Cloudflare Turnstile ou Friendly Captcha offrent une protection équivalente sans transfert vers la Russie.
La Russie ne bénéficie d''aucune décision d''adéquation. Les transferts requièrent donc un outil de l''article 46 du RGPD, en pratique des Clauses Contractuelles Types. Depuis Schrems II (CJUE C 311/18), une évaluation d''impact du transfert est obligatoire et doit prendre en compte la loi fédérale 374 FZ (loi Iarovaïa), le régime d''interception SORM et les pouvoirs étendus du FSB. La pseudonymisation et le chiffrement de bout en bout sont difficiles à mettre en œuvre pour un captcha qui requiert des signaux bruts. Le régime de sanctions de l''UE (règlement 833/2014) peut également restreindre les relations contractuelles avec des prestataires russes.
Réalisez une AIPD complète, évaluez les alternatives européennes (hCaptcha en Irlande, Cloudflare Turnstile sous CCT et EU US Data Privacy Framework, Friendly Captcha en Allemagne) et vérifiez l''exposition aux sanctions. Si SmartCaptcha reste indispensable, signez l''avenant CCT de Yandex Cloud, documentez l''évaluation d''impact du transfert, restreignez le défi aux points sensibles, bloquez le script derrière une bannière de consentement granulaire et mettez à jour la politique de confidentialité et le registre. Surveillez les décisions de la CNIL, du CEPD et des autorités nationales sur les sous traitants russes et préparez un plan de migration.
Les sites web utilisant Yandex SmartCaptcha doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une analyse d'impact relative à la protection des données au titre de l'article 35 du RGPD est fortement recommandée car Yandex SmartCaptcha combine (i) une surveillance systématique des visiteurs via des signaux comportementaux et de fingerprinting, (ii) une décision automatisée susceptible de bloquer des utilisateurs légitimes et (iii) un transfert vers un pays tiers sans décision d'adéquation. L'AIPD doit documenter le test de nécessité face aux alternatives européennes (hCaptcha, Cloudflare Turnstile, Friendly Captcha), l'évaluation d'impact du transfert vers la Russie, les garanties (CCT, chiffrement en transit, clauses contractuelles relatives aux demandes étatiques) et le risque résiduel.
Exemple de texte de consentement
Ce site utilise Yandex SmartCaptcha pour détecter les bots sur les formulaires et les pages de connexion. SmartCaptcha dépose des cookies et des identifiants sur votre terminal et transmet des signaux du navigateur et votre adresse IP aux serveurs de Yandex LLC situés en Fédération de Russie. La Russie n'est pas couverte par une décision d'adéquation au RGPD et votre transfert s'effectue sous Clauses Contractuelles Types avec mesures supplémentaires. Cliquez sur Accepter pour activer la protection ou Refuser pour utiliser un parcours de vérification alternatif.
Domaines tiers contactes
smartcaptcha.yandexcloud.netcaptcha.yandex.ruyandex.ruyandex.commc.yandex.ruCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| yandexuid | Persistent | 1 year | Long lived Yandex visitor identifier used by SmartCaptcha to recognise the browser across challenges and to feed Yandex anti fraud signals. |
| yp | Persistent | 10 years | Yandex preferences cookie storing language, region and security settings used by SmartCaptcha and other Yandex products. |
| i | Persistent | 1 year | Yandex identifier cookie linked to the visitor profile, used to detect bot patterns and repeat offenders across sessions. |
| smartcaptcha_token | Local Storage | Session | Validation token stored after a successful challenge so the visitor is not prompted again within the same session. |
| yandex_login | Session | Session | Optional session cookie set when the visitor is logged in to a Yandex account, used to lower the friction of the challenge. |
Yandex SmartCaptcha est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.
SmartCaptcha collecte l'adresse IP du visiteur, le User Agent, les informations d'écran et de fuseau horaire, les mouvements de souris et de clavier, les évènements tactiles, des signaux de fingerprinting (canvas, WebGL, contexte audio, polices installées) et l'URL référente. Il dépose des cookies et stocke des jetons sur smartcaptcha.yandexcloud.net et captcha.yandex.ru afin de mémoriser les sessions validées. Tous les signaux sont transmis aux serveurs Yandex en Fédération de Russie pour évaluation. Le résultat est un score de confiance et un verdict binaire utilisé par le site pour autoriser ou bloquer la soumission.
Oui. Comme SmartCaptcha écrit des jetons et des cookies sur le terminal et collecte des signaux de fingerprinting, il relève de l'article 5(3) ePrivacy et exige un consentement préalable, libre, spécifique et éclairé. La CNIL, la DSK allemande et l'AEPD n'acceptent pas l'exemption strictement nécessaire pour un captcha en pays tiers qui pratique du profilage. Le script du défi doit être bloqué tant que la catégorie sécurité ou anti bots n'est pas acceptée et un parcours alternatif doit être proposé en cas de refus.
Le consentement de l'article 6(1)(a) du RGPD combiné à l'article 5(3) ePrivacy est la base la plus sûre. L'intérêt légitime de l'article 6(1)(f) est contesté car le test de nécessité ne peut être satisfait dès lors qu'hCaptcha, Cloudflare Turnstile ou Friendly Captcha offrent une protection équivalente sans transfert hors UE. Si le consentement est recueilli, il doit être granulaire, séparé des autres finalités, retirable facilement et enregistré dans la plateforme de gestion du consentement avec preuve d'acceptation.
SmartCaptcha traite les données dans les centres Yandex Cloud à Moscou et Vladimir. La Russie ne bénéficie d'aucune décision d'adéquation au titre de l'article 45 du RGPD : les transferts reposent donc sur les Clauses Contractuelles Types de l'article 46 accompagnées des mesures supplémentaires recommandées par le CEPD après Schrems II. L'évaluation d'impact du transfert doit examiner la loi fédérale 374 FZ (loi Iarovaïa), le régime d'interception SORM et les pouvoirs d'accès du FSB, et expliquer comment les garanties techniques ou contractuelles atténuent le risque résiduel.
Une analyse d'impact relative à la protection des données au titre de l'article 35 du RGPD est fortement recommandée. Le traitement coche plusieurs critères de la liste CEPD : surveillance systématique via des signaux comportementaux, décisions automatisées susceptibles de bloquer des utilisateurs légitimes et transferts vers un pays tiers sans adéquation. L'AIPD doit comparer SmartCaptcha aux alternatives européennes, documenter l'évaluation d'impact du transfert, lister les garanties (CCT, chiffrement, restrictions contractuelles) et quantifier le risque résiduel.
Bloquez le script SmartCaptcha tant que le visiteur n'a pas accepté la catégorie sécurité dans la bannière. Limitez le défi aux points sensibles (connexion, inscription, paiement) plutôt qu'à toutes les pages. Signez le contrat de sous traitance Yandex Cloud et l'avenant Clauses Contractuelles Types. Documentez l'évaluation d'impact du transfert et mettez à jour la politique de confidentialité, le registre des traitements et le registre cookies. Prévoyez un parcours de vérification alternatif accessible pour ne pas exclure les visiteurs qui refusent.
Parmi les alternatives compatibles UE figurent hCaptcha (Intuition Machines, serveurs UE et CCT), Cloudflare Turnstile (États Unis sous EU US Data Privacy Framework et CCT), Friendly Captcha (Allemagne, privacy by design, sans fingerprinting), Altcha (open source, auto hébergeable) et Anubis ou les défis de preuve de travail simples. Pour les formulaires à faible risque, des mesures côté serveur comme les champs miroirs, la limitation de débit ou la mesure du temps de remplissage peuvent remplacer un captcha tiers.
Inscrivez Yandex SmartCaptcha nommément dans le registre cookies sous la catégorie sécurité ou protection anti bots. Indiquez le responsable (Yandex LLC), les catégories de données (IP, signaux de fingerprinting, données comportementales), les cookies et jetons posés, la durée de conservation, la base légale (consentement), la destination du transfert (Russie) et les garanties (CCT et évaluation d'impact). Ajoutez un lien vers la documentation Yandex Cloud. Révisez la politique à chaque changement de prestataire ou lorsque la CNIL ou le CEPD publie de nouvelles lignes directrices sur les sous traitants russes.