[…] la CNIL m’avait indiqué que l’utilisation du système anti-robot de Google devait être soumis au consentement et avait demandé au ministère de l’intérieur de ne plus l’utiliser. Ce dernier avait exécuté promptement cette demande.
Google reCAPTCHA sur des formulaires web de l'IGPN et de l'Assurance Maladie, ainsi que dans la première version de StopCovid. La CNIL fait les gros yeux dans les deux premiers cas et met en demeure dans le dernier. Dans les trois cas, reCAPTCHA a été retiré.
Je note que l'analyse de la CNIL porte sur la base légale du traitement en lui-même, qui doit être le consentement au motif que Google déclare, dans sa documentation officielle, que reCAPTCHA analyse des données personnelles (sous-entendu en dépassant le cadre de ce qui est strictement nécessaire pour sécuriser un site web) et nécessite le consentement.
Elle ne porte pas sur la nationalité de Google, sur le transfert illégal vers les États-Unis des données (pour analyse), ni sur le transfert illégal vers les USA de données personnelles que le téléchargement de reCAPTCHA en-lui-même génère. Pour utiliser reCAPTCHA, il faut un double consentement : un pour le traitement (l'analyse), un autre avant le chargement de l'outil pour le transfert de données persos aux USA (après information sur les risques encourus, cf. l'article 49.1a du RGPD). Raisonnement détaillé. Mais, la CNIL reste muette sur ce deuxième consentement.
ÉDIT DU 28/03/2023 : délibération plus récente de la CNIL (16/03/2023). Paragraphes 79 à 96. Elle ne se positionne toujours pas sur le transfert illégal de données personnelles vers les États-Unis. Via https://twitter.com/Cellular_PP/status/1640644058711224320 via aeris22. FIN DE L'ÉDIT DU 28/03/2023.