photo de geralt

| Publié :

| Temps de lecture :

4 minutes

| Auteur :

| Utiliser reCAPTCHA sur les sites web modernes

  1. RGPD : ce que vous devez savoir
  2. WordPress 4.9.6 : Prêt pour le GDPR
  3. Les polices de Google et le problème du GDPR
  4. Google Fonts pour WordPress en auto-hébergement
  5. Google reCAPTCHA et la conformité au GDPR

Le développement de la suite Complianz Privacy a soulevé des questions intéressantes. L’une d’entre elles que j’ai rencontrée aujourd’hui est la suivante : Google ReCAPTCHA et le GDPR sont-ils conciliables sur votre site web ?

WP Forms est, avec plus de 5 millions d’installations, le plugin de formulaire de contact numéro un sur WordPress. Je l’utilise également sur de nombreux sites. C’est simple, gratuit et ça marche du tonnerre. Si vous avez utilisé WP Forms (ou tout autre formulaire de contact sur votre site) au cours des dernières années, vous avez peut-être remarqué que vous deviez faire quelque chose au sujet du spam.

Si vous ne disposez pas d’une protection anti-spam, vous serez inondé de courriels indésirables. Pendant des années, la solution la plus utilisée consistait à ajouter au formulaire un horrible captcha, avec des lettres, des chiffres, etc. difficiles à lire sur une image. L’utilisateur devait les saisir dans un champ de saisie. Les spambots ont du mal à lire ces images : problème résolu !

Mais cette solution n’est pas très conviviale : elle est laide et ennuie tellement les utilisateurs que vous risquez de perdre des conversions. Google ReCAPTCHA à la rescousse ! Il est intégré à WP Forms, facile à mettre en place, et vous n’avez (généralement) qu’à cocher une case (je ne suis pas un robot). Dans la dernière version (Google Recaptcha v3), vous n’avez même pas besoin de le faire : c’est un processus d’arrière-plan.

Google ReCAPTCHA et les données personnelles

Mais nous savons tous qu’il n’y a pas de repas gratuit, n’est-ce pas ? Quel est donc le prix à payer pour cette grande fonctionnalité ? C’est vrai : il s’agit de données à caractère personnel.

La combinaison d’une empreinte digitale et de cookies de première partie est omniprésente, car Google peut fournir un niveau d’entropie très élevé lorsqu’il s’agit de distinguer une personne individuelle.

Ron Perona sur businessinsider.com

Une partie des données collectées par Google avec ReCAPTCHA est :

  • Un instantané complet de la fenêtre du navigateur de l’utilisateur à ce moment précis sera capturé, pixel par pixel ( !).
  • Plugins de navigateur
  • Tous les cookies placés par Google au cours des 6 derniers mois,
  • Nombre de clics de souris/touches effectués sur cet écran
  • Informations CSS pour cette page,
  • Objets Javascript
  • La date,
  • Le langage du navigateur

(voir aussi : businessinsider.com, gen.net.uk)

Cette information ne peut pas être confirmée par nous, mais si vous regardez ce que Google dit à ce sujet lorsque vous créez un nouveau jeu de clés ReCAPTCHA:

Vous reconnaissez et comprenez que l’API reCAPTCHA fonctionne en collectant des informations matérielles et logicielles, telles que les données de l’appareil et de l’application, et en les envoyant à Google à des fins d’analyse.

Et, selon Google :

Vous reconnaissez que si vous utilisez les API, il vous incombe d’afficher les notifications nécessaires et d’obtenir l’autorisation de collecter et de partager ces données avec Google.

Vous avez absolument besoin d’un opt-in si vous voulez être conforme au GDPR.

Comment empêcher l’installation de cookies

Si vous n’utilisez que le ReCAPTCHA intégré à WP Forms, il est généralement difficile d’activer ces scripts de manière conditionnelle. Complianz Privacy Suite a résolu ce problème (en version gratuite et premium) en créant une liste de scripts tiers qui placent des cookies de suivi, et en désactivant tous ces scripts jusqu’à ce que l’utilisateur l’accepte. Bien entendu, Google ReCAPTCHA est inclus dans cette liste, tout comme Facebook, Youtube, Vimeo, Instagram, et bien d’autres encore.

Et c’est là que nous pouvons tous voir des nuages noirs se former : si ReCAPTCHA est opt-in (comme l’exige le GDPR), tout ce qu’un spammeur doit faire pour contourner Recaptcha, c’est de ne pas accepter les cookies, n’est-ce pas ?

Et maintenant ?

Il existe bien sûr des solutions pour contourner ce problème : si vous empêchez la soumission du formulaire avant que les cookies ne soient acceptés, ou si le ReCAPTCHA n’est pas actif, cela peut être une solution. C’est ainsi que fonctionne l’intégration de ReCAPTCHA V3 dans WP Forms : il n’est pas possible de soumettre le formulaire sans accepter les cookies.

Si l’acceptation des cookies initialisait le ReCAPTCHA, ce serait une solution viable. Comme l’activation du script nécessite que le script WP Forms attende que le script ReCAPTCHA soit complètement chargé, cela provoque des conditions de course dans la version actuelle. Dans la version bêta, cela a été corrigé : https://github.com/rlankhorst/complianz-gdpr. Cela sera publié avec la prochaine mise à jour.

*Edit* Cette mise à jour est maintenant disponible, rendant la V3 ReCAPTCHA dans WP Forms conforme à GDPR si vous l’utilisez en combinaison avec le plugin Complianz.

Tant que cette version n’est pas disponible, vous ne pouvez pas utiliser Google ReCAPTCHA et vous conformer au GDPR en même temps.

Mise à jour

Depuis la version 2.1.1, Complianz est désormais compatible avec WP Forms avec ReCAPTCHA V3. Dans cette mise en œuvre, ReCAPTCHA sera bloqué jusqu’à ce que l’utilisateur donne son consentement et que l’utilisateur ne puisse pas soumettre un formulaire de contact, puis, une fois le consentement donné, ReCaptcha sera activé et le formulaire de contact pourra être soumis à l’abri du spam.

Cela nous laisse deux méthodes pour utiliser WP Forms (et par exemple Gravity Forms, etc.) :

  • Avec ReCAPTCHA V3, l’utilisateur peut soumettre un formulaire s’il a donné son consentement pour les cookies. Exemple d’intégration
  • Utilisez le lien hypertexte :
    < a class="cmplz-accept-cookies" href="#">Accept Cookies before sending the Form

    sous forme de lien ou de bouton, avant le chargement conditionnel du ReCAPTCHA et/ou du bouton de soumission, de sorte que les cookies doivent être acceptés avant la soumission du formulaire. Vous pouvez également l’utiliser sous n’importe quel formulaire, afin que les utilisateurs sachent pourquoi l’envoi du formulaire sans accepter les cookies ne fonctionne pas correctement.

Cet article a été publié à l’origine sur Complianz.io, notre partenaire en matière de conformité GDPR et Cookie.