Comparatif des solutions alternatives à GOOGLE reCAPTCHA

Par Florent Gastaud 12 mai 2022

Dans le cadre d’un précédent article, nous rappelions toute l’importance des solutions de CAPTCHA, tout en évoquant les enjeux de conformité et de protection de la vie privée liés à l’utilisation de GOOGLE reCAPTCHA. Les problématiques de conformité engendrées par l’utilisation de la solution de GOOGLE au titre du RGPD (Règlement Général sur la Protection des Données) et des règles encadrant le dépôt de cookies et autres traceurs, devant amener les éditeurs de sites internet et d’applicatifs à se tourner vers des solutions alternatives à GOOGLE reCAPTCHA.

Voir 👓 l’article rédigé sur notre blog “La solution Google reCAPTCHA est-elle illégale ?” écrit le 22 avril 2022 par Florent Gastaud

Mais existe-t-il réellement des alternatives techniquement fiables, présentant un coût maîtrisé et juridiquement conformes, pouvant constituer des alternatives solides à la solution GOOGLE reCAPTCHA ? Telle est la question à laquelle nous allons tenter de répondre au travers de cet article ; dans l’espoir qu’il puisse aider des responsables de traitements et des DPO dans leurs propres analyses.

Sommaire

Critère n°1 : une solution de CAPTCHA techniquement fiable permettant de contrer les robots

N.B. : aux fins d’identifier des solutions alternatives à GOOGLE reCAPTCHA, nous avons analysé et pris en compte plusieurs critères, explicités ci-dessous.

*Solution de CAPTCHA basée sur de la reconnaissance de caractères dans une image*

Rappelons que l’objectif d’un CAPTCHA est de parvenir à différencier les robots des humains. En parvenant à opérer cette distinction, il est ainsi possible de se prémunir contre les tentatives d’actions automatisées déployées par des robots (attaques de type « brute force » sur des pages d’authentification, envoi massif de spams via des formulaires de contact, etc.).

L’efficacité technique d’une solution de CAPTCHA est donc le premier critère auquel il convient de s’intéresser. En la matière, il est intéressant de noter que le créateur de la solution de CAPTCHA SECUREIMAGE, solution open-source n’étant plus maintenue depuis 2020, basée sur des scripts PHP générant des images contenant des textes complexes, indiquait lors de l’arrêt de son développement :

(…) word image captchas are no longer a valid turing test for stopping form spam (…)

*Solution de “Puzzle CAPTCHA” basée sur le déplacement d’une image*

Ainsi, les CAPTCHA les plus efficaces seraient inéluctablement amenés à proposer des méthodes d’identification des robots allant au-delà de la traditionnelle reconnaissance de caractères au travers d’images.

Ces affirmations sont corroborées par d’autres sources, ainsi que par le développement de CAPTCHA alternatifs, au titre desquels nous pouvons notamment retrouver :

les sliders CAPTCHA, demandant à l’utilisateur de déplacer une image à sa bonne place ;
les CAPTCHA faisant appel à la logique, qui requièrent une réflexion plus poussée de l’utilisateur pour réussir le test. A titre d’exemple, plusieurs symboles peuvent être présentés à un utilisateur et il lui sera demandé lequel des symboles apparaît le moins de fois parmi l’ensemble des symboles ;
les CAPTCHA analysant les réactions d’un utilisateur sur une page web / un service (sa vitesse de clic, son temps de réaction,…), ainsi que l’environnement à partir duquel il charge la page web / le service (son navigateur, etc.) ;
les CAPTCHA recoupant des données externes à la page web visitée / au service appelé, à l’instar de ce que peut faire la solution reCAPTCHA de GOOGLE ;
les CAPTCHA se basant sur du Proof of Work, rendant les attaques de robot très consommatrices de puissance de calcul machine.

*Solution de CAPTCHA faisant appel à la logique*

Malgré toutes ces innovations, l’ensemble des CAPTCHA peuvent en réalité être contournés, avec plus ou moins de facilité, et à un coût plus ou moins élevé.

A titre d’exemple, les Puzzle CAPTCHA peuvent être résolus par différentes méthodes à l’aide de solutions entièrement automatisées et gratuites.

Moyennant quelques dollars, il est également possible d’utiliser des solutions automatisées pour contourner le fameux reCAPTCHA de GOOGLE ou encore la solution hCAPTCHA.

Enfin, il existe même des services proposant de contourner les CAPTCHA grâce à des actions manuelles réalisées par de vrais humains, souvent situés dans des pays dont les salaires sont très faibles (Indonésie, Vietnam, Inde, Venezuela, …). Ces personnes sont ainsi rémunérées pour opérer à longueur de journée des vérifications de CAPTCHA à la volée.

*Capture d’écran du site https://anti-captcha.com/fr expliquant leur méthode de contournement des CAPTCHA*

Le prix, ainsi que la vitesse de résolution affichée par ces services pour les différentes typologies de CAPTCHA du marché constituent de bons indicateurs permettant d’évaluer la complexité avec laquelle les CAPTCHA peuvent être contournés. On constatera ainsi que les simples CAPTCHA basés sur des images sont les moins coûteux et les plus rapides à résoudre par des humains. Viennent ensuite les solutions hCAPTCHA, GOOGLE reCAPTCHA v2 et v3, puis enfin les versions Enterprise de GOOGLE ainsi que celles d’ARKOSE LABS et de GEETEST.

Capture d’écran du site https://anti-captcha.com/fr indiquant le coût et les vitesses de résolution des différents CAPTCHA

Aucune méthode de CAPTCHA ne semble donc infaillible. Il ne peut d’ailleurs en être autrement dans la mesure où des services ont recours à de réels humains pour résoudre ces CAPTCHA. Il est en revanche évident que la robustesse d’un CAPTCHA permettra de limiter son contournement. D’une part, car il sera techniquement plus complexe et donc plus long de réussir ce contournement et d’autre part car le coût unitaire de chaque contournement sera plus élevé ; réduisant in fine la rentabilité d’actions pouvant être menées par des attaquants.

Critère n°2 : une solution CAPTCHA facilement implémentable

Le succès de la solution reCAPTCHA de GOOGLE est sans aucun doute lié à sa facilité d’implémentation, ainsi qu’à sa gratuité. Intégrer la solution CAPTCHA de GOOGLE se fait très simplement, y compris pour des personnes ne disposant pas de compétences poussées en informatique. Cette facilité d’implémentation est bien entendu liée au service développé par GOOGLE, mais également à l’ensemble des applicatifs ayant développé des modules / fonctionnalités permettant de supporter nativement la solution reCAPTCHA de GOOGLE.

A titre d’exemple, l’extension Contact Form 7 de WORDPRESS, installée sur plus de 5 millions de sites internet, et permettant la création de formulaires sur le CMS (Content Management System) WORDPRESS, intègre nativement un module reCAPTCHA (v3) lequel permet à un éditeur de site internet d’activer la solution GOOGLE reCAPTCHA en quelques clics sur ses formulaires générés sous WORDPRESS, après avoir généré des clés reCAPTCHA via un compte GOOGLE. Une telle facilité d’implémentation encourage inéluctablement les éditeurs de site internet à avoir recours à la solution reCAPTCHA de GOOGLE pour protéger leurs formulaires contre les actions de robots.

*Illustration de l’intégration native du module reCAPTCHA au sein de l’extension Contact Form 7 de WORDPRESS*

Face aux craintes que peut générer la solution CAPTCHA de GOOGLE en matière de vie privée et de protection des données à caractère personnel, les développements visant à supporter nativement d’autres solutions de CAPTCHA commencent à faire leur émergence sur différents services. Mais ces intégrations restent à ce jour encore bien éloignées de la compatibilité dont bénéficie la solution GOOGLE reCAPTCHA avec de très nombreux services tiers.

Critère n°3 : le coût de la solution CAPTCHA

Évoquer un “coût” lorsqu’on parle de CAPTCHA représente d’ores et déjà une difficulté : de nombreux responsables de traitements ont en effet été habitués à la gratuité des services de GOOGLE reCAPTCHA.

Le recours à des solutions alternatives, notamment lorsqu’elles sont open source et installables on-premise, pourra permettre de préserver un coût très faible. Mais ces solutions se font relativement rares et ont bien souvent été abandonnées par leurs créateurs (c’est le cas de SECURIMAGE et de VISUAL CAPTCHA par exemple).

La plupart des solutions pérennes, présentant des fonctionnalités avancées (i.e. les fonctionnalités étant techniquement les plus susceptibles de ne pas être contournées par des robots) et étant les plus simples d’intégration (car fonctionnant en mode SaaS et ne nécessitant pas un déploiement on-premise) seront inéluctablement payantes. C’est notamment le cas des solutions hCAPTCHA, GEETEST, ARKOSE LABS ou encore FRIENDLY CAPTCHA.

Quelle que soit la solution technique retenue, les coûts d’une solution de CAPTCHA ne devraient pas représenter des montants trop importants pour une entreprise. Pour les entités qui se contentaient jusqu’à présent d’une solution gratuite, telle que la solution reCAPTCHA de GOOGLE, sans réellement se préoccuper des enjeux de conformité associés à une telle gratuité, il conviendra dans un premier temps de faire le deuil de cette gratuité et d’allouer quelques euros et/ou quelques ressources humaines au déploiement d’une solution plus respectueuse des réglementations relatives à la protection des données personnelles et au dépôt de traceurs.

Critère n°4 : la conformité aux réglementations sur la protection des données personnelles

En tant que DPO externalisés, dont le métier est d’accompagner nos clients dans le respect de leurs obligations en matière de protection des données personnelles, le critère de la conformité est le critère le plus important pour nous. En effet, c’est ce critère qui permettra de déterminer si une entité ayant recours à une solution de CAPTCHA est en situation de légalité ou d’illégalité. C’est donc ce critère qui est susceptible d’engendrer des risques de non-conformité réglementaire et donc in fine, de sanctions potentielles.

L’évaluation de la conformité des solutions CAPTCHA est opérée en partant du postulat que la solution de CAPTCHA est utilisée par une société établie en Union européenne, et qu’elle a vocation à être exposée auprès d’internautes et/ou de clients de la société (exemple : une société implémentant une solution de CAPTCHA sur un formulaire de contact public de son site internet). Ces évaluation ont été opérées à partir de la documentation publique étant mise à disposition par les éditeurs de solutions CAPTCHA.

La conformité d’une solution de CAPTCHA peut être sujette à interprétation. Pour notre part, nous avons notamment pris en compte les éléments listés ci-après pour définir la conformité présumée des solutions CAPTCHA étudiées. Nous vous invitons à opérer vos propres analyses, dans la mesure où les conditions de traitements de données personnelles par les différentes solutions de CAPTCHA sont susceptibles d’évoluer dans le temps :

la proportionnalité des données personnelles pouvant être traitées par la solution de CAPTCHA pour fonctionner ;
le mode de traitement de ces données personnelles (sont-elles traitées uniquement par le responsable de traitement ou sont-elles traitées par des entités tierces ?). Lorsque les données sont traitées par un tiers, des critères relatifs aux enjeux de transferts de données hors de l’Union européenne 🌎 ou encore de contractualisation 📃 avec le tiers sont considérées ;
la mise en œuvre ou non d’opérations de lecture et d’écriture sur le terminal de l’utilisateur (en d’autres termes, la solution de CAPTCHA utilise-t-elle des cookies 🍪 et autres traceurs pour fonctionner ?).

A contrario des autres critères, le critère de la conformité de la solution CAPTCHA aux réglementations sur la protection des données personnelles est un critère éliminatoire. En d’autres termes, nous avons tout bonnement exclu certaines solutions de CAPTCHA de notre sélection finale si, selon nous, elles positionnaient son utilisateur responsable de traitement dans une situation de potentielle illégalité.

Notre comparatif des solutions de CAPTCHA

Comparatif établi en avril 2022 sur la base des informations publiques disponibles pour chacune des solutions étudiées

Solution CAPTCHA concernée	Description de la solution	Est-ce techniquement fiable ?	Son implémentation est-elle aisée ?	Coût	La solution CAPTCHA est-elle conforme réglementairement ?
Technique du Honeypot 🍯	Un champ de saisie factice (non visible pour un humain) est ajouté sur un formulaire, via quelques lignes de code. Si le robot y saisit des informations, il sera détecté comme tel.	🟧 Fiabilité limitée	🟩 Implémentation aisée	🟩 Aucun coût	🟩 Conforme à nos exigences Elle n’engendre pas de traitement de données personnelles ou de transferts de données à des tiers.
IconCaptcha	Solution de CAPTCHA basée sur la logique, en jQuery & PHP, à installer on-premise	🟩 Bonne fiabilité (notamment liée au fait que la solution ne soit pas très répandue. Peu de solutions de contournement semblent exister).	🟥 Nécessite des compétences techniques JavaScript et PHP	🟩 Aucun coût	🟩 Conforme à nos exigences Elle n’engendre pas de traitement de données personnelles ou de transferts de données à des tiers.
BotDetect CAPTCHA Generator	Solution open-source basée sur de la reconnaissance de caractères à installer on-premise (Native .NET Core 1/2, .NET, Java & PHP backends)	🟥 Contournement aisé	🟥 Nécessite des compétences techniques JavaScript et PHP	🟩 Aucun coût	🟩 Conforme à nos exigences Elle n’engendre pas de traitement de données personnelles ou de transferts de données à des tiers.
MT Captcha	Solution SaaS de CAPTCHA combinant une analyse des réactions d’un utilisateur, à l’analyse de données externes (exemple : la récupération d’une adresse IP) et des tests basés sur la reconnaissance de caractères sur des images.	🟧 Fiabilité limitée	🟧 Des solutions facilitant l’implémentation technique sont développées, mais encore limitées à quelques services tiers (exemple : MTCaptcha WordPress Plugin)	🟧 Coûts maîtrisés	🟥 Non conforme à nos exigences (Cf les explications dans la suite de cet article)
hCAPTCHA	Solution SaaS de CAPTCHA combinant une analyse des réactions d’un utilisateur, à l’analyse de données externes (exemple : la récupération d’une adresse IP) et des tests basés sur la reconnaissance de caractères sur des images.	🟧 Fiabilité limitée (notamment liée au fait que la solution soit très rependue. De nombreuses solutions de contournement tentent d’être développées).	🟧 / 🟩 Des solutions facilitant l’implémentation technique sont développées et déployées sur de plus en plus de services tiers (exemple : implémentation native dans WPForms, hCAPTCHA for WordPress) 🟥 L’implémentation de fonctionnalités permettant un meilleur respect de la vie privée ( “Secure Enclave” et “First-Party Hosting with IP Blinding”) nécessite des compétences avancées.	⬛ Les coûts de la solution “entreprise” ne sont pas publics. Une version gratuite existe, mais cette dernière n’est pas conforme à nos exigences de conformité.	🟥 La version gratuite est non conforme à nos exigences (Cf les explications dans la suite de cet article) 🟧 La version payante “entreprise” est susceptible de répondre partiellement à nos exigences sous réserve du déploiement des options “Secure Enclave” et “First-Party Hosting with IP Blinding” (aucune documentation, publique ne détaille ces fonctionnalités)
Friendly CAPTCHA	Solution SaaS de CAPTCHA combinant un mécanisme de Proof of Work, avec une analyse des réactions d’un utilisateur, à l’analyse de données externes (exemple : la récupération d’une adresse IP).	🟩 Bonne fiabilité	🟧 / 🟩 Des solutions facilitant l’implémentation technique sont développées et déployées sur de plus en plus de services tiers (exemples : implémentations WORDPRESS, JOOMLA, MAGENTO, etc.)	🟧 / 🟥 Coûts relativement élevés (200€ par mois pour le plan professionnel que nous recommandons)	🟩 Conforme à nos exigences avec son plan “professionnel” La solution n’a pas recours à des cookies 🍪 Un DPA conforme aux exigences de l’article 28 du RGPD est proposé par Friendly CAPTCHA. La solution est éditée par une entité basée en Allemagne proposant au travers de son plan professionnel “Advanced” un hébergement des données garanti en Union européenne.
GeeTest	Solution SaaS de CAPTCHA combinant une analyse des réactions d’un utilisateur, à l’analyse de données externes (exemple : la récupération d’une adresse IP) et différents types de tests (puzzle, logique, images, …).	🟩 Bonne fiabilité. L’outil propose de très nombreuses options visant à renforcer sa fiabilité face aux robots et est déployé par des sites très exposés à des attaques de robots.	🟧 Des solutions facilitant l’implémentation technique sont développées, mais encore limitées à quelques services tiers (exemple : GeeTest’s CAPTCHA for WORDPRESS)	⬛ Les coûts de la solution ne sont pas publics. Aucune offre accessible aux particuliers ne semble être disponible.	🟥 La version gratuite est non conforme à nos exigences (Cf les explications dans la suite de cet article)

hCAPTCHA : zoom sur les enjeux de conformité

hCAPTCHA est souvent présentée comme étant une alternative naturelle et “conforme” à la solution reCAPTCHA de GOOGLE. Il s’avère pourtant que cette solution souffre quasiment des mêmes enjeux de conformité que ceux liés à l’utilisation de la solution de GOOGLE.

Sans que nous ne revenions en détail sur ces problématiques de conformité, dont le détail figure au sein de notre article 👓 “La solution GOOGLE reCAPTCHA est-elle illégale ?“, les enjeux de conformité suivants se posent avec hCAPTCHA :

la solution hCAPTCHA utilise par défaut un grand nombre de données 🕵️ (adresses IP, type de navigateur, fournisseur de services Internet, type d’appareil, système d’exploitation, date et heure d’accès, mouvements de la souris, position du défilement, événements liés à l’appui sur les touches, événements liés au toucher, informations du gyroscope/accéléromètre, etc.) pour faire fonctionner sa solution de CAPTCHA. Bien que l’étendue de ces données soit moins importante que celle de GOOGLE, elle reste conséquente et ce d’autant plus que hCAPTCHA se réserve la possibilité de conserver des données liées aux adresses IPs sous certaines circonstances (en cas de suspicion d’activité anormale notamment) ;
hCAPTCHA est édité par la société “Intuition Machines, Inc.” basée à San Francisco, aux États-Unis. L’utilisation de hCAPTCHA entraîne des transferts de données personnelles hors de l’Union européenne 🌎 et notamment vers les États-Unis, sans que des “mesures complémentaires” telles que définies par l’EDPB dans ses recommandations “01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data“ ne soient déployées ;
la solution hCAPTCHA nécessite le dépôt et la lecteur de cookies 🍪 et autres traceurs. Or, les données traitées par hCAPTCHA le sont pour des finalités dépassant largement les finalités permettant le dépôt de cookies sans consentement, à savoir “permettre ou faciliter la communication par voie électronique” ou être “strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur“. hCAPTCHA indiquant au sein de sa Politique de confidentialité traiter les données pour “améliorer le site et le service”, “obtenir des informations sur le marché”, “fournir un marché pour les données étiquetées” ou encore “sécuriser nos services et nos systèmes”.

L’ensemble des points susmentionnés nous amènent à devoir considérer que la solution gratuite de hCAPTCHA ne répond pas à nos exigences de conformité, au même titre que la solution reCAPTCHA de GOOGLE.

Le Data Processing Addendum (DPA) hCAPTCHA prévoit cependant des fonctionnalités uniquement accessibles au sein de la version “entreprise” payante de hCAPTCHA, étant susceptibles de permettre un usage conforme de la solution hCAPTCHA :

If Company utilizes “Secure Enclave” and “First-Party Hosting with IP Blinding” features, no
Company Personal Data associated with end users is ever transferred outside of the EEA/UK by Processor:
data is first deidentified by Company rather than Processor, in a location of Company’s choice.

En d’autres termes, hCAPTCHA laisserait la possibilité à ses clients professionnels d’activer une fonctionnalité leur permettant de traiter les données personnelles de leurs utilisateurs exposés au hAZPTCHA au sein de leurs propres centres de données, puis d’envoyer des données ne constituant pas un traitement de données personnelles sur les serveurs hCAPTCHA. Sous réserve d’approfondir cette fonctionnalité avec l’éditeur, nous pensons que cette dernière peut constituer une très bonne piste pour utiliser la solution hCAPTCHA tout en répondant aux exigences des réglementations sur la protection des données personnelles.

Prendre connaissance du DPA hCAPTCHA (avril 2022)

Prendre connaissance de la Politique de confidentialité hCAPTCHA (avril 2022)

MT CAPTCHA : zoom sur les enjeux de conformité

MT CAPTCHA se présente aux premiers abords comme étant une solution “GDPR compliant“. L’étude de ses fonctionnalités et de ses différentes documentations (dont ses “Privacy Policy“) nous a cependant intrigués sur certains points.

Tout d’abord, MT CAPTCHA stipule au sein de sa “Privacy Policy” que sa solution ne traite pas de données personnelles relatives aux utilisateurs étant amenés à être confrontés à sa solution de CAPTCHA. Pourtant, le documentation technique de MT CAPTCHA relative au “Threat SPECT” vient dans le même temps indiquer que la solution MT CAPTCHA analyse l’IP de l’internaute pour évaluer les risques liés à ladite IP (a-t-elle été utilisée précédemment par des attaquants ? est-ce une IP utilisée par une solution de VPN ? etc.). MT CAPTCHA indique procéder par la suite à une “anonymisation irréversible de l’IP” afin de ne pas la stocker. Mais d’un point de vue réglementaire et plus spécifiquement eu égard à la définition de l’article 4-2) du RGPD, cet usage de l’adresse IP, bien que temporaire, est bien un “traitement” de données personnelles opéré par MT CAPTCHA. Dès lors, l’ensemble des règles applicables à tout traitement de données personnelles se trouvent applicables, y compris les éventuels enjeux liés aux transferts de données personnelles hors de l’Union européenne. Sur ce point, quelques précautions s’opposent dans la mesure où :

MT Captcha est une société basée aux États-Unis (1400 Four Embarcadero Center – San Francisco, CA 94111) ;
MT Captcha déclare au sein de son “Data Processing Agreement“ ne pas avoir recours à des sous-traitants ultérieurs (dès lors, MT CAPTCHA devrait opérer ses activités depuis son siège sociale) ; et
MT Captcha déclare dans le même temps ne pas procéder à de transferts de données personnelles hors de l’Union européenne.

Ces 3 éléments nous apparaissent, à première vue, relativement contradictoires.

Prendre connaissance du DPA MT CAPTCHA (avril 2022)

Prendre connaissance de la Privacy Policy MT CAPTCHA (avril 2022)

Enfin, il convient de noter que la solution MT CAPTCHA suppose l’utilisation de cookies 🍪. Or, la “Privacy Policy” de MT CAPTCHA stipule que les données traitées par le biais de MT CAPTCHA (incluant in fine les données collectées par le biais de cookies) sont traitées pour plusieurs finalités :

To provide and maintain our Captcha Service
To provide customer support
To gather analysis or valuable information so that we can improve our Captcha Service
To monitor the usage of our Captcha Service
To detect, prevent and address technical issues
To provide usage audit and reporting to client website operators that incorporates our Captcha Service

Rappelons que par principe, les opérations de lecture et d’écriture sur le terminal d’un utilisateur sont conditionnées au consentement préalable, comme le dispose l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Ce même article prévoit bien des exemptions au consentement, mais ces dernières concernent uniquement les traceurs ayant pour “finalité exclusive de permettre ou faciliter la communication par voie électronique” ou qui sont “strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur“. Or, dans le cadre de sa décision MED-2020-015 du 15 juillet 2020, la CNIL avait eu l’occasion de considérer, en ce qui concerne la solution reCAPTCHA de GOOGLE, que les données traitées par GOOGLE l’étaient pour des finalités plus larges que la seule sécurisation de l’application sur laquelle est déployé reCAPTCHA. Un raisonnement totalement similaire pourrait être appliqué dans le cas d’espèce, pour la solution MT CAPTCHA.

L’ensemble des points évoqués ci-dessus nous amènent à grandement nous interroger, au-delà des déclarations de principe affichées sur le site MT CAPTCHA, sur la conformité réelle de cette solution eu égard aux réglementations encadrant le traitement de données personnelles. Une étude plus poussée nécessiterait des échanges avec l’éditeur de la solution. Dans le cadre du présent comparatif, les trop grands doutes nous habitant nous forcent à considérer cette solution comme non-conforme à nos exigences de conformité.

GEETEST : zoom sur les enjeux de conformité

Au même titre que les solutions reCAPTCHA de GOOGLE ou hCAPTCHA, la solution CAPTCHA de GEETEST est amenée à traiter un nombre très important de données pour fonctionner.

La documentation GEETEST indique même procéder à l’analyse de plus de 100 paramètres, dont les données de réseau, les données relatives à l’appareil depuis lequel est opérée la connexion de l’utilisateur et même des données biométriques :

Geetest CAPTCHA is equipped with biometric classification models, powered by machine learning algorithms such as clustering, hash and CNN to detect non-human traffic. As users interact with the CAPTCHA, GeeTest collects and analyzes the environmental and biometric data.

Rappelons que les données biométriques sont des données considérées comme particulièrement sensibles et dont le traitement est régi par des règles spécifiques, particulièrement contraignantes, telles que définies notamment à l’article 9 du RGPD.

Cette collecte massive de données, y compris potentiellement de “catégories particulières de données” interroge tout particulièrement sur la proportionnalité de tels traitements (article 5 du RGPD).

Notons par ailleurs que l’éditeur de la solution GEETEST est une entreprise chinoise (Wuhan Jiyi network technology Co.,Ltd), dont les garanties contractuelles 📃 proposées au sein de son Data Processing Agreement sont loin d’être conformes aux exigences de l’article 28 du RGPD.

Notamment, GEETEST ne fournit aucune réelle information relative aux sous-traitants ultérieurs pouvant être amenés à traiter les données personnelles des utilisateurs confrontés à ses CAPTCHA. GEETEST se contente par ailleurs d’indiquer que des transferts de données hors de l’Union européenne 🌎 sont opérés dans le cadre de l’utilisation de son service, sans évoquer davantage de détails, ni fournir davantage de mesures de conformité vis-à-vis de ses clients. Nous pouvons à cet égard aisément supposer que des transferts de données personnelles vers la Chine sont opérés.

L’ensemble des points évoqués ci-dessus nous amènent à grandement nous interroger sur la conformité de cette solution eu égard aux réglementations encadrant le traitement de données personnelles. Une étude plus poussée nécessiterait des échanges avec l’éditeur de la solution. Dans le cadre du présent comparatif, les trop grands doutes nous habitant nous forcent à considérer cette solution comme non-conforme à nos exigences de conformité.

En conclusion : quelle solution de captcha utiliser ?

Au travers de cet article, et sans prétendre être exhaustif (nous aurions ainsi pu citer les travaux open source PoW CAPTCHA, la solution Image Captcha spécialisée pour les formulaires de contact WORDPRESS ou encore la solution CAPTCHA d’Arkose Labs), nous avons pu mettre en avant l’existence de nombreuses alternatives à la solution reCAPTCHA de GOOGLE. Certaines d’entres elles s’avèrent extrêmement pertinentes, dans la mesure où elles réussissent à combiner les quatre critères que nous avions pris comme point de comparaison.

Il conviendra par ailleurs de ne pas oublier que chaque besoin est singulier, et qu’en conséquence de quoi, une solution CAPTCHA peut être plus adaptée à une situation qu’à une autre (l’espace d’authentification d’un site de cryptomonnaie particulièrement exposé ne disposera pas du tout des mêmes besoins que le formulaire de contact B to B d’une petite entreprise).

Eu égard à nos critères combinant technique et conformité, nous vous invitons à tout particulièrement vous intéresser aux solutions suivantes :

Friendly CAPTCHA est la solution nous ayant le plus convaincus. Au-delà d’être portée par un acteur européen (Allemand) proposant un traitement des données en Union européenne dans ses versions payantes professionnelles, cette solution de CAPTCHA fonctionne sans procéder au dépôt de cookies et autres traceurs, tout en assurant une efficacité adaptée à la très grande majorité des usages. Elle traite par ailleurs un nombre restreint de données personnelles, exhaustivement énumérées au sein de l’Annexe 1 “Details about the data processing” de son Data Processing Agreement standard. Afin de bénéficier d’une solution CAPTCHA la plus conforme possible, il conviendra de se tourner vers l’offre “Advanced” à 200€ par mois permettant de disposer d’un hébergement et d’un traitement des données en Union européenne et de réelles garanties contractuelles conformes à l’article 28 du RGPD.

Retrouvez notre 🛠️ tutoriel pour installer la solution Friendly CAPTCHA sur WORDPRESS.

En deuxième position, nous recommandons l’implémentation de solution de CAPTCHA installables on-premise, qui n’engendreront aucun flux de données vers des services tiers, en complément de l’implémentation d’une technique de Honeypot . Bien que les solutions de CAPTCHA on-premise nécessitent un peu plus de compétences techniques et peuvent s’avérer moins performantes sur le long terme (car ne bénéficient pas forcément des mêmes développements que certaines solutions CAPTCHA portées par de gros éditeurs), elles seront largement suffisantes dans de très nombreux scénarios. Parmi ces solutions, nous vous recommandons la solution IconCaptcha qui semble proposer un mécanisme peu contourné par les robots les plus courants.

Pour refermer ce podium, nous souhaitons laisser notre chance à la solution hCAPTCHA qui semble proposer des mécanismes permettant de réunir à la fois nos exigences techniques et juridiques. Seule la solution “entreprise” (payante) de cette solution pourrait prétendre à répondre à nos critères de conformité, sous réserve que soient activées les fonctionnalités “Secure Enclave” et“First-Party Hosting with IP Blinding”. Le mode de fonctionnement réel de ces fonctionnalités devra impérativement être étudié avec l’éditeur (ce que nous n’avons pas eu l’occasion de faire) : ce dernier ne fournissant pas de documentation publique à ce sujet. L’implémentation de ces fonctionnalités semble par ailleurs engendrer une certaine complexité technique, qui supposera de disposer des compétences techniques adéquates.

Pour autant, cela ne signifie pas que les solutions de CAPTCHA doivent être abandonnées. Tout au contraire, ces solutions sont plus que jamais nécessaires pour davantage sécuriser nos systèmes d’informations. Il conviendra en revanche de se tourner vers d’autres solutions, parfois payantes, parfois moins performantes, parfois moins simples d’implémentation. Un juste compromis certainement nécessaire pour assurer une meilleure protection de la vie privée et des données personnelles des internautes.

N’hésitez pas à vous abonner à notre newsletter 📰 pour ne pas rater nos prochaines publications

Si vous êtes à la recherche d’un DPO externalisé pour vous accompagner dans vos enjeux de conformité aux réglementations sur la protection des données personnelles, vous pouvez prendre connaissance de nos prestations d’accompagnement et le cas échéant nous contacter. Fort d’une petite équipe très expérimentée, dont l’ensemble des membres réunissent les indispensables compétences du DPO, Mon DPO externe accompagne des structures nationales et internationales dans la maîtrise de leurs risques de conformité.

Quelles sont les solutions alternatives à GOOGLE reCAPTCHA ?