Captcha et RGPD : votre site web est-il conforme ?

Détecter les attaques de robots malveillants, tout en protégeant la vie privée des utilisateurs, voilà l’équation à résoudre pour sécuriser ses sites web et applications mobiles.
De nombreuses entreprises ou administrations utilisent une solution Captcha pour protéger leurs ressources en ligne. Mais ces solutions anti-robots sont-elles vraiment conformes au RGPD ? Explications !

Captcha : protéger vos services en ligne des attaques de robots malveillants

Une solution Captcha permet de détecter si un service en ligne est utilisé par une personne bien réelle, et non pas par un robot programmé. Vous protégez ainsi vos formulaires d’inscription ou de contact, vos sondages en ligne, la récupération de mot de passe oublié etc.

 
 

+1/3

du trafic internet mondial est réalisé par des robots dont la majorité sont malveillants

Source : Bad Bot Report 2021

 

Il est nécessaire que le Captcha mis en place soit conforme au RGPD. Et ce n’est pas le cas de nombreuses solutions proposées sur le marché.

La CNIL durcit sa position face aux solutions Captcha non conformes

Les services en ligne ont une responsabilité sur la protection des données personnelles des utilisateurs.

La CNIL durcit ses mises en demeure et ses pénalités financières sur des solutions Captcha non conformes au Règlement Général sur la Protection des Données :

  • En juillet 2020, la CNIL avait tiré l’alarme sur la méthode d’authentification par Captcha initialement prévue dans l’application StopCovid devenue depuis lors #TousAntiCovid. Elle était « susceptible d’entraîner la collecte de données personnelles non prévues dans le décret, des transferts de données hors de l’Union Européenne, ainsi que des opérations de lecture/écriture qui nécessiteraient un consentement de l’utilisateur ».
  • En 2021, la CNIL a sanctionné de 150 000 euros et 75 000 euros un responsable de traitement et son sous-traitant pour ne pas avoir pris de mesures satisfaisantes pour faire face à des attaques par bourrage d’identifiants (credential stuffing).
  • En avril 2022, la CNIL a confirmé que la collecte d’informations pratiquée par la solution reCaptcha de Google n’avait pas comme seule finalité la sécurisation du site web. Son utilisation devait donc être soumise au consentement des utilisateurs.

L’alternative : avoir recours à une solution Captcha conforme au RGPD.

Comment mettre en place une solution 100% conforme au RGPD ?

Lors du lancement de l’application #StopCovid, Orange Business Services a conçu une solution Captcha souveraine. Elle est managée et hébergée en France. Elle répond aux enjeux de sécurité et de conformité RGPD identifiés dans la mise en demeure de la CNIL au ministère de la Santé.

Pourquoi ce Captcha est-il conforme à la protection des données ? C’est simple, la solution ne recueille et ne stocke aucune donnée personnelle. Les requêtes utilisateurs du Captcha sont traitées et gérées de façon anonyme.

 

Auditée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), dans le cadre de son usage pour TousAnticovid, la solution sécurisée Live Identity-Captcha est intégrable en moins d’une semaine, via API, sur un site web ou une application mobile.

Et vous, votre solution Captcha est-elle conforme au RGPD ?

300x300_aziz-haouas.png
Aziz Haouas

Responsable Marketing chez Orange Business Services, J’ai 15 ans d’expérience dans l’authentification forte, la confiance digitale, la fraude à l’identité numérique…pour simplifier et sécuriser les parcours digitaux.