reCAPTCHA : les représentants des DPO s'inquiètent d'une mauvaise utilisation de l'outil de Google

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 10 août 2020 à 11h58

L'association des délégués à la protection des données pointe du doigt les dérives du système de détection automatique d'internautes du géant américain.

L'Association française des correspondants à la protection des données à caractère personnel (AFCDP) représente ceux que l'on surnomme les DPO, les délégués à la protection des données qui un rôle prépondérant avec le RGPD. Elle a pris la parole jeudi 6 août pour monter au créneau concernant l'utilisation qu'elle qualifie de "non maîtrisée" du reCAPTCHA de Google. Ce problème a été soulevé notamment dans la dernière mise en demeure adressée au ministère des Solidarités et de la Santé par la CNIL (au sujet de l'application StopCovid), qui s'interroge aussi sur l'outil.

Un reCAPTCHA qui aide Google à développer certains de ses services

Si vous n'êtes pas encore pleinement au courant des fonctionnalités du reCAPTCHA, rappelons que l'outil porté par Google aide à détecter automatiquement, à l'aide de l'intelligence artificielle, si l'individu est un humain ou non. Cela permet d'éviter toute connexion malveillante par des robots informatiques, pour schématiser le tout à l'extrême.

Le reCAPTCHA prend souvent la forme d'une case à cocher, ensuite suivie de plusieurs images en bloc parmi lesquelles il faut par exemple reconnaître celles où on peut retrouver un ou plusieurs passages piétons, bus, voitures, etc. Mais parce que Google a souvent un coup d'avance, le système en version reconnaissance de texte a permis de perfectionner les outils de numérisation de livres de Google Books. Sous la forme de la reconnaissance d'images, celui-ci a aidé à améliorer Google Street View et sa détection des numéros de rues.

"Le reCAPTCHA permet […] à Google de profiter du travail numérique de ses utilisateurs, qui produisent de la valeur pour Google sans qu'ils le sachent", dénonce l'AFCDP. Et les usages découlant de l'outil ne s'arrêtent pas là pour la firme de Mountain View.

Le problème ? Il n'y a pas ou peu d'alternative(s) crédible(s) pour remplacer le reCAPTCHA

Loin de n'être qu'un simple système de détection automatisée, le reCAPTCHA est aussi utilisé par Google pour procéder à un prélèvement de données personnelles. Certes, nous étions déjà au courant de ce fait, mais l'association des DPO précise que les observateurs ont remarqué que lors de son activation, l'outil de Google prélevait notamment l'adresse IP de l'internaute, mais aussi la date, la langue du navigateur, le nombre de clics, la liste des plugins, les cookies déposés par Google ces six derniers mois et les objets Javascript de la page.

Mais que fait Google de toutes ces informations ? Le géant américain se garde bien de nous le dire, puisque bien souvent, l'utilisateur n'est pas informé par le site qui fait appel au système reCAPTCHA. Et surtout, son consentement ne lui est pas demandé. En réalité, Google les analyse et… libre à vous d'imaginer la suite. Ce qui n'est pas sans pousser la Commission nationale de l'informatique et des libertés (CNIL) à s'interroger.

Voilà pourquoi l'association des délégués à la protection des données appelle à être attentif au traitement des données personnelles que le reCAPTCHA implique, d'autant plus que les développeurs et les sous-traitants sont pour le moment réticents à privilégier une autre solution. En effet, l'outil de Google est potentiellement "très lié à Google Analytics", nous prévient l'AFCDP.

StopCovid s'est défait de l'outil de Google dans sa dernière version

Dans sa délibération du 16 juillet 2020, la CNIL a rappelé que l'analyse d'impact sur les protection des données personnelles de StopCovid ne mentionnait pas la collecte de données faite par Google via le reCAPTCHA, alors même que Google informe les développeurs d'applications que le système de détection lui permet de procéder à des opérations d'analyse.

Cela ne vaut que pour la version v.1.0. de l'application de suivi de contacts, puisque la version la plus récente utilise la technologie alternative proposée par l'opérateur Orange.

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Njbx

Que cela profite a Google je vois pas en quoi c’est un problème, il doit bien y avoir une contrepartie pour pouvoir proposer un service “gratuit”.

Demongornot

Le problème c’est que ça participe au monopole de Google, qui ne fait rien de positif avec, et surtout, que ça participe à la normalisation de la collecte de données, d’intrusion dans la vie privé, et de ce que Google sait sur toi.
Car ce system lui permet de savoir ce que les utilisateur regardent sans avoir besoin de passé par le moteur de recherche ni les publicité Adsense, son navigateur Chrome ou autre, en gros, là ou ils ne devraient absolument pas se trouvé, ce qui rend le net encore plus difficile à naviguer sans être pister.

kroman

En espérant que l’UE force Google à ne plus nous proposer ces Captcha qui nous pourrissent la vie sur internet ! C’est invivable avec Tor ou un VPN…

Gus_71

« … le reCAPTCHA est aussi utilisé par Google pour procéder à un prélèvement de données personnelles. Certes, nous étions déjà au courant de ce fait, … » :
Ben non, je ne savais même pas qu’il s’agissait d’un outil de Google !
(Tout le monde n’est pas dans l’actualité informatique du matin au soir !)

" l’outil de Google prélevait notamment l’adresse IP de l’internaute, mais aussi la date, la langue du navigateur, le nombre de clics, la liste des plugins, les cookies déposés par Google ces six derniers mois, et les objets Javascript de la page." :
Il y a moyen d’empêcher la collecte de quelques unes de ces informations ?
(J’ai déjà ajusté la sécurité de Firefox au plus juste, et mis uBlock Origin)
Juste pour emm…, heu, embêter Google !

TofVW

Bah, déjà, dis-toi bien qu’à chaque fois que tu valides un Captcha de Google, tu bosses gratuitement pour eux: par exemple, tu as dû remarquer qu’il y a un nombre faramineux de Captcha qui te demandent de cliquer sur des feux rouges. Et comme par hasard, le mois dernier Google a rajouté les feux rouges sur Maps! Tiens tiens…

Si ça ne tenait qu’à moi, je demanderais à être rémunéré à chaque validation de Captcha; puisque l’on participe à entrainer leur IA, une contrepartie (financière si possible) me paraît logique. Surtout que je n’utilise aucun service Google, donc RAB de leur GMaps, de ses feux rouges ou de ses bornes à incendie.

Deuxième argument, mais à vérifier, j’ai cru lire il y a quelques temps que dans un futur proche, Google voulait faire payer les sites qui voulaient utiliser son Captcha.
Façon de faire habituelle de la société la plus détestable et nocive de la Planète, une fois que tu as acquis le monopole, écrasé les concurrents, et que tout le monde utilise ton service gratuit, tu le rends payant. Ils ont fait la même chose avec les sites voulant utiliser leur plug-in Maps.

Voilà, le plus triste, c’est qu’en face personne (à ma connaissance) ne propose un outil de vérification efficace. Je suis tombé sur des sites utilisant le Captcha de CloudFlare, c’était une vraie purge, comme j’en ai rarement vue sur le Net.

Mais bon, malgré cette façon de faire, malgré tout ce que l’on sait sur Google, il y a encore des millions (milliards?) de gens qui utilisent leurs services, alors qu’on trouve des équivalents tout aussi efficaces dans chaque domaine. Va comprendre…

BliZarH

D’autant plus que CloudFlare fait la même chose.

Leur nom n’est pas dans la liste des 4 GAFA mais il pourrait presque.

eaglestorm

y a un truc que je capte pas

ces histoires d’entrainement d’IA avec ce captcha

quand il te demande d’identifier un passage piéton ou autre chose, si tu cliques pas la bonne case, il te bloque l’accés non ? ça veut donc dire qu’il sait deja où se trouve le passage piéton sur l’image

et donc en quoi y a besoin qu’on l’entraine si il sait deja ?

je comprends pas

TofVW

Quand je remplis un Captcha, pour tester je fais souvent exprès d’oublier une case correcte, et/ou j’en mets une autre au hasard. 8 fois sur 10, ça fonctionne et il me laisse passer.
Donc il est bien en train d’apprendre.

Synthox

Tout ces gens qui crient au scandale… qui pensent devoir être payer, lol, tout ça fait avancer les technologies quoi que vous en pensiez, les bots sont des horreurs à gérer et le reCaptcha aide grandement les développeurs de site.

Après il vous reste une solution si vous avez peur de vos donnés, couper vite internet et aller habiter dans une grotte très profonde sans plus rien, ni CB, ni carte de magasin en veux-tu en voilà, même que vous devriez faire attention à vos voisins qui doivent tout savoir sur vous sans que vous le sachiez ! de vrais langues de vipère je vous dis !, enfin voilà, vous avez peur de quoi ? qu’on sache que vous trompez votre femme ou combien vous avez de sous dans votre portefeuille ? ce que vous mangez au petit dej ? pfft plein de gens le savent déjà sans forcement utiliser votre connexion internet…

bref, la parano quoi.

yatto

Il y a hCaptcha comme alternative qui commence doucement à monter, je l’ai vu utilisé sur des sites à audience déjà relativement forte : https://www.hcaptcha.com/