GuiGui's Show

Avec reCAPTCHA, Google collectait et traitait des données à caractère personnel (DCP) au-delà de ce qui nécessaire pour sécuriser un site web. De ce fait, Google était responsable de traitement au sens du RGPD.

Cela avait conduit la CNIL à soumettre l'utilisation de reCAPTCHA au consentement du visiteur d'un site web y recourant (car la base légale de l'intérêt légitime n'était pas mobilisable pour la raison qui vient d'être énoncée). Voir ici, là et là-bas.

À partir d'avril 2026, ça ne sera plus le cas : Google traitera les DCP uniquement pour sécuriser un site web, en agissant en tant que sous-traitant de l'éditeur du site web qui sera, lui, le responsable du traitement. Dès lors, le consentement du visiteur ne sera plus requis.

Le seul grief restant à l'encontre de reCAPTCHA est le transfert de DCP à une entité soumise à un droit moins protecteur des DCP que le droit de l'UE. Mais, pour l'heure, il reste à en convaincre les juridictions et ce n'est pas gagné (voir ici et là). Des alternatives à reCAPTCHA procèdent également à de tels transferts.

Via Aeris.