As we’ll consider below, it might be impossible to use reCAPTCHA legally under EU law, but no data protection authority has said this.
Si, si, des APD ont clairement estimé que reCAPTCHA n'est pas conforme au RGPD, notamment dans des mises en demeure. Idem pour hCAPTCHA (arrêt CJUE Schrems II, raisonnement ici).
L'auteur connaît au moins l'une des mises en demeure de la CNIL sur le sujet, donc j'imagine qu'il voudrait qu'une APD dise que reCAPTCHA est illégal en tout temps et en tout lieu. Or, au moins en droit français, une autorité administrative ne peut pas prescrire des interdictions d'ordre général, mais elle doit examiner la conformité au cas par cas. C'est au responsable de traitement (et à son DPO) de décliner des lignes directrices ou une décision de justice ou celle d'une autorité administrative pour vérifier si ses traitements de données personnelles sont conformes au RGPD à travers le temps (il y a un travail de suivi).
Après tout, tu peux légalement faire télécharger aux visiteurs de ton site web une police de caractères depuis les serveurs de Google Fonts si tu installes un reverse proxy bien configuré au milieu (ceci dit, tu iras plus vite en hébergeant ladite police en local, avec les autres fichiers de ton site web). Tu peux légalement utiliser Google Analytics sous la même condition technique (mais tes stats vont perdre tout intérêt). Tu peux légalement stocker les données chiffrées de tes clients sur du stockage à froid ricain type mamazone S3. Etc. L'enjeu, c'est les conditions de mise en œuvre.
Par simplification, on fait parfois des raccourcis comme d'affirmer que Google Analytics est illégal, car les moyens de l'utiliser légalement détruisent complètement son intérêt, donc on sait d'avance qu'environ personne s'y aventurera, donc on peut directement affirmer que son utilisation est illégale. Mais il n'est pas toujours possible d'exclure tous les cas d'utilisation d'un produit / service.
Exemple. À l'heure actuelle, les conditions d'utilisation de reCAPTCHA précisent qu'il collecte beaucoup plus de données techniques identifiantes que ce qui est nécessaire pour la sécurisation d'un formulaire web. Donc son utilisation doit reposer sur le consentement du visiteur. Or, le RGPD dispose que le refus de consentir ne doit pas entraîner de préjudice. Donc il faudrait autoriser l'envoi du formulaire web protégé à tout visiteur qui refuserait de consentir… dont les robots. Ou basculer sur une deuxième procédure de vérification. Dans les deux cas, l'intérêt d'utiliser reCAPTCHA tombe. Tant que Google ne changera pas le fonctionnement interne de reCAPTCHA, ce raisonnement demeurera intact. Et ça, c'est pour un seul grief, il reste le deuxième, le fait que des données personnelles (ne serait-ce que l'adresse IP pour télécharger le CAPTCHA) sont envoyées à une société commerciale ricaine sans garanties suffisantes (arrêt Schrems II de la CJUE, toujours). Vu les données techniques récoltées par reCAPTCHA pour son fonctionnement, il n'est pas certain qu'intercaler un reverse proxy qui supprime les données persos permette son fonctionnement. Donc il n'est pas faux d'affirmer que reCAPTCHA n'est pas conforme au RGPD. Et encore moins qu'il vaut mieux dépenser de l'énergie à s'en passer plutôt que d'essayer de le tordre, ainsi que le RGPD, dans l'espoir que ça fasse le boulot.