Décision du BVwG autrichien concernant Google reCAPTCHA

Inhaltsverzeichnis

1. BVwG Autriche : Google reCAPTCHA n'est autorisé qu'avec un consentement explicite
2. Contexte et fonctionnement de reCAPTCHA
3. Le cas concret et la décision de justice
4. Conséquences pour les exploitants de sites web
5. Évaluation par des experts
6. Conclusion
7. Protégez le formulaire de votre site web contre les robots et restez conforme au RGPD avec CCM19

BVwG Autriche : Google reCAPTCHA n'est autorisé qu'avec un consentement explicite

Le tribunal administratif fédéral autrichien (BVwG) a précisé dans un jugement qui fera date que l'utilisation de Google reCAPTCHA sur des sites web n'est autorisée que si les utilisateurs concernés ont expressément consenti au traitement de leurs données personnelles.

Ce jugement met en lumière les défis croissants en matière de protection des données, notamment en ce qui concerne les services tiers très répandus qui collectent des données en arrière-plan.

Contexte et fonctionnement de reCAPTCHA

Google reCAPTCHA est un service très répandu qui doit aider les exploitants de sites web à distinguer les robots des utilisateurs humains et à lutter ainsi contre les attaques, le spam et les abus. Le service recueille toutefois plus que de simples données comportementales : En plus de l'analyse des mouvements de la souris et des saisies au clavier, un cookie (souvent le _GRECAPTCHA) est également installé, qui attribue un identifiant unique au terminal du visiteur. Ce faisant, des données sensibles telles que l'adresse IP et d'autres informations relatives au navigateur peuvent être transmises aux serveurs de Google.

Le cas concret et la décision de justice

Dans le cas présent, un utilisateur a visité le site web d'un parti politique - dans des circonstances où il avait déjà configuré ses paramètres de confidentialité de manière à renoncer aux cookies qui ne sont pas absolument nécessaires. Malgré ce paramétrage, l'outil reCAPTCHA a été activé et le cookie _GRECAPTCHA a été placé sur son appareil.

L'utilisateur s'est alors plaint auprès de l'autorité de protection des données compétente, car il n'avait pas été informé du transfert de données et n'avait pas eu la possibilité de s'opposer activement au traitement de ses données à caractère personnel.

Dans son jugement, le BVwG s'est appuyé sur les principes européens de protection des données, notamment sur les dispositions du RGPD et de la directive ePrivacy. Le tribunal est arrivé à la conclusion que reCAPTCHA - bien qu'il offre un certain avantage en termes de sécurité - ne fait techniquement pas partie du fonctionnement de base d'un site web.

Par conséquent, le traitement des données ainsi collectées ne peut pas être justifié par un intérêt légitime des opérateurs. Un consentement effectif des utilisateurs aurait donc été obligatoirement requis.

"L'implémentation de reCAPTCHA n'est pas techniquement nécessaire au fonctionnement du site web, raison pour laquelle il faut nier l'existence d'un intérêt légitime et qu'il aurait fallu obtenir le consentement de la partie co-intéressée"

^{Source : BVwG Autriche : Google reCAPTCHA nécessite un consentement}

Conséquences pour les exploitants de sites web

La décision du BVwG a des implications importantes :

• Transparence et information : les exploitants de sites web doivent informer leurs utilisateurs de manière claire et complète sur les données qui sont collectées et à quelles fins.
• Processus de consentement : Avant de placer des cookies qui ne sont pas techniquement obligatoires - comme celui de reCAPTCHA - un consentement opt-in actif et informé doit être obtenu.
• Examiner les alternatives : Compte tenu des exigences strictes en matière de protection des données, les exploitants devraient également envisager des alternatives plus respectueuses de la vie privée, telles que des solutions captcha hébergées localement ou des outils qui ne nécessitent pas de collecte invasive de données.

Cette décision souligne l'importance d'une gestion cohérente de la protection des données. De plus en plus souvent, les fonctions de sécurité qui traitent des données personnelles en arrière-plan se retrouvent également dans le collimateur des autorités de surveillance - tant en Autriche que dans d'autres pays de l'UE.

^{Sources :}

• ^{https://www.ris.bka.gv.at/JudikaturEntscheidung.wxe?Abfrage=Bvwg&Dokumentnummer=BVWGT_20240913_W298_2274626_1_00}
• ^{https://www.dr-bahr.com/news/google-recaptcha-darf-auf-webseite-nur-mit-ausdruecklicher-einwilligung-eingesetzt-werden-da-technisch-nicht-notwendig.html}
• ^{Google reCAPTCHA : consentement requis - KREMER LEGAL}

Évaluation par des experts

Les experts font remarquer que la décision du TAF ne doit pas être comprise comme une interdiction globale de l'utilisation de reCAPTCHA. Elle montre plutôt que le cadre juridique de la protection des données devient de plus en plus restrictif. Les avantages en matière de sécurité qu'offrent les solutions Captcha ne doivent pas conduire à ce que les droits des utilisateurs à la protection des données et à l'autodétermination en matière d'information soient bafoués. Les exploitants de sites Web sont donc confrontés au défi de garantir d'une part une protection efficace contre les robots et les spams et d'autre part de mettre en œuvre des procédures conformes à la protection des données.

Conclusion

L'arrêt du TAF marque une étape importante dans le champ de tension entre la sécurité sur Internet et la protection des données. Pour les opérateurs, cela signifie : Une présence sécurisée sur le web ne doit pas se faire au détriment de la vie privée des utilisateurs. L'obtention systématique d'un consentement clairement formulé avant l'activation d'outils tels que Google reCAPTCHA deviendra un impératif à l'avenir - sinon, les conséquences juridiques risquent d'être considérables.

^{Sources :}

• ^{BVerwG Autriche : consentement aux cookies pour Google reCAPTCHA}
• ^{https://www.lawfirm.eu/en/news/detail/bvwg-bestaetigt-google-recaptcha-verstoesst-ohne-einwilligung-gegen-die-dsgvo.html}

Protégez le formulaire de votre site web contre les robots et restez conforme au RGPD avec CCM19

Pour répondre aux exigences de l'arrêt du BVwG tout en protégeant efficacement vos formulaires en ligne contre les robots, il est recommandé de recueillir le consentement des utilisateurs directement sur le formulaire. Le CCM19 vous permet de réaliser cela sans effort en affichant d'abord un message conforme au RGPD à la place de la zone reCAPTCHA. Google reCAPTCHA ne sera chargé qu'après l'accord explicite de l'utilisateur, ce qui vous permettra de respecter les règles de protection des données tout en protégeant vos formulaires contre les spams et les abus.

Vous trouverez des instructions détaillées sur l'implémentation dans la documentation du CCM19.