Question:
GDPR - reCAPTCHA avec le consentement de l'utilisateur?
lp1051
2018-04-23 19:07:40 UTC
view on stackexchange narkive permalink

Cette question concerne spécifiquement le reCAPTCHA de Google, mais peut éventuellement s'appliquer à de nombreuses autres solutions CAPTCHA qui collectent des données "personnelles".

Je lisais brièvement sur Réglementations ePrivacy et j'ai trouvé de très bonnes ressources sur PECR et les cookies sur ICO. J'ai essayé de contacter ICO via leur chat en direct, mais malheureusement, ils ne fournissent aucun conseil juridique. Cependant, ils ont dit - "Si vous collectez des données personnelles, vous devez vous conformer au RGPD."

D'après ce que j'ai pu trouver en ligne et ce que je peux voir dans le navigateur, le reCAPTCHA de Google collecte le matériel du client et des informations logicielles afin d'analyser si le client est un humain ou un robot. Certains cookies sont envoyés à google.com. Certaines sources non officielles disent que Google utilise même son cookie de suivi GA pour identifier l'homme par rapport au robot. Dans ma compréhension, cette approche peut être considérée comme un suivi ou une empreinte digitale.

Je me demande donc comment cela se passe d'un point de vue juridique? Avons-nous vraiment besoin d'obtenir le consentement de l'utilisateur avant de pouvoir utiliser le reCAPTCHA de Google sur un site Web destiné aux citoyens de l'UE?

ICO dit, il existe des exceptions pour

cookies de session apportant une sécurité indispensable pour se conformer à la sécurité de la protection des données ...

ReCAPTCHA peut-il être considéré comme un outil de sécurisation de la protection des données?

Mon point est-ce qu'aucun bot ne donnera jamais son consentement à reCAPTCHA, alors quel moyen de sortir de cette énigme?

MISE À JOUR (2018-05-07) I a remarqué que Google a mis à jour sa politique de consentement des utilisateurs dans l'UE, qui est liée à partir de l'administrateur reCAPTCHA, située ici: leurs conditions d'utilisation:

... il est de votre responsabilité de fournir les avis ou consentements nécessaires pour la collecte et le partage de ces données avec Google. Pour les utilisateurs de l'Union européenne, vous et votre (vos) client (s) API devez vous conformer à la politique de consentement des utilisateurs de l'UE actuellement disponible à l'adresse http://www.google.com/about/company/user-consent-policy.html.

Donc, en supposant que le consentement est requis, je voudrais reformuler ma question initiale:

Si j'offre des moyens de donner mon / ou refuser reCAPTCHA; Est-il légalement acceptable d'inclure et d'exécuter reCAPTCHA sur le site Web par défaut sans consentement préalable?

"aucun bot ne donnera jamais son consentement": pourquoi pas? Si le robot essaie de vous faire croire que c'est une personne, il consentira bien sûr. Quoi qu'il en soit, si la chose est un robot, il ne devrait y avoir aucune responsabilité en vertu du RGPD, car il n'y a pas de données personnelles, n'est-ce pas?
J'ai également du mal à comprendre comment reCAPTCHA pourrait mettre un processeur de données en possession de données personnelles sans consentement. La personne utilisant reCAPTCHA ne serait-elle pas anonyme, auquel cas le RGPD ne s'applique pas, ou n'aurait-elle pas donné son consentement au traitement des données?
Quatre réponses:
Shinrai
2018-05-28 09:37:29 UTC
view on stackexchange narkive permalink

"De votre point de vue, vous ne devriez pas vous soucier de demander la permission d'utiliser reCaptcha car ce n'est pas vous qui traitez les données, c'est Google et toute conformité au RGPD leur incombe."

C'est tout simplement faux. Si un utilisateur visite votre site Web, vous êtes le contrôleur des données collectées sur votre site Web. Quelle que soit l'entité qui recueille ces données.

Cependant, à mon avis non juridique, reCAPTCHA relève de l'article 6, sections 1d et 1f. Considérant également 49.

1d:

"le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique;"

Bien que vous puissiez argumenter dans certains cas (très probablement), reCAPTCHA est utilisé pour réduire le spam à une entité commerciale et non à une «personne physique».

1f:

«le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf lorsque ces intérêts sont supplantés par les intérêts ou les droits et libertés fondamentaux de la personne concernée qui nécessitent la protection des données à caractère personnel, en particulier lorsque la personne concernée est un enfant. »

Voici où la vraie décision s'applique« Intérêts légitimes ». En tant qu'entreprise, vous avez un intérêt légitime à réduire le spam dans votre entreprise. Non seulement le spam prend votre temps, mais il prend également vos ressources. Quant à la mesure dans laquelle le spam est absorbé, cela dépend de l'utilisation en question. Mais presque tout le monde peut supposer en toute sécurité que la réduction du spam (l'une des pierres angulaires du RGPD) est un intérêt légitime.

Considérant 49 (extrait):

Le traitement des données personnelles dans la mesure strictement nécessaire et proportionnée aux fins d'assurer la sécurité des réseaux et des informations, c'est-à-dire la capacité d'un réseau ou d'un système d'information à résister, à un niveau de confiance donné, à des événements accidentels ou illégaux ou les actions malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité des données personnelles stockées ou transmises, ainsi que la sécurité des services connexes offerts par, ou accessibles via, ces réseaux et systèmes, […] par les fournisseurs de réseaux et services de communications électroniques et par les fournisseurs de technologies et de services de sécurité, constitue un intérêt légitime du responsable du traitement concerné. Cela pourrait, par exemple, inclure la prévention de l’accès non autorisé aux réseaux de communications électroniques et de la distribution de codes malveillants et l’arrêt des attaques par «déni de service» et des dommages aux systèmes de communication informatiques et électroniques.

1d n'est probablement pas applicable, car le spam n'est pas une question de vie ou de mort («intérêt vital») dans la plupart des cas. 1d est destiné aux situations de type secours en cas de catastrophe. Cependant, je conviens que les intérêts légitimes sont le choix le plus susceptible de fonctionner. Il vous suffit de faire le travail (documenter à l'avance l'exercice d'équilibrage des intérêts).
Alors que oui, 1d ne s'appliquerait généralement pas. Il y a des voies pour lesquelles il PEUT ou PEUT PAS, en particulier les robots peuvent frapper une page en essayant de saisir des données volées. Avec reCAPTCHA en place, les robots de merde ne sont pas autorisés à tenter de vérifier les données volées. Donc, bien que ce soit un tronçon et un scénario très spécifique, cela pourrait toujours s'appliquer.
@Shinrai Le cas de votre commentaire ne tombe clairement pas sous 1d, pas même avec un bout droit, car, encore une fois, les «intérêts vitaux» couvrent les catastrophes, «l'intégrité physique de la vie», etc. Ce que vous décrivez est 1f, tel quel une question de sécurité de l'information, comme expliqué à l'article 49.
Kyle Wardle
2018-05-04 18:18:03 UTC
view on stackexchange narkive permalink

Regardez-vous du point de vue de Google ou de votre point de vue?

De votre point de vue, vous ne devriez pas vous soucier de demander la permission d'utiliser reCaptcha car ce n'est pas vous qui traitez les données, c'est Google et toute conformité au RGPD leur incombe.

De leur point de vue, cela ne devrait pas être un problème, le RGPD s'inquiète des informations personnellement identifiables et donc 99% des données matérielles et logicielles et des données de suivi concernant votre curseur mouvement pour voir si vous êtes un robot ou non ne tombera pas dans cette catégorie. Les données qu'ils pourraient stocker seraient comme des adresses IP qui sont protégées par le RGPD dans la plupart des cas.

** vous ne devriez pas vous soucier de demander la permission d'utiliser reCaptcha car ce n'est pas vous qui traitez les données ** c'est exactement le raisonnement qui a rendu possible le RGPD :)
L'utilisateur doit savoir quelles données vous collectez et comment vous utilisez ses données, y compris si vous en donnez une partie à Google ou à tout autre service externe. En intégrant un service tiers dans votre site Web, * vous * êtes responsable de savoir ce qu'il fait et d'informer l'utilisateur.
Anon
2019-06-12 20:17:29 UTC
view on stackexchange narkive permalink

Vous n'avez pas besoin de consentement pour ce type de cookie car il serait dans l'intérêt légitime du responsable du traitement de collecter ces informations. L'utilisateur remplissant un formulaire et cochant un reCAPTCHA soumettrait de toute façon des données au responsable du traitement. Demander le consentement serait idiot s'il y a un réel intérêt pour le responsable du traitement

LarS
2018-05-04 03:38:41 UTC
view on stackexchange narkive permalink

La seule chose que je peux imaginer est de désactiver la soumission de formulaire par défaut et d'activer la soumission de formulaire avec reCAPTCHA à la demande, après que l'utilisateur a donné son consentement pour utiliser reCAPTCHA.

Ce n'est pas ainsi que fonctionne le RGPD. Le consentement doit être significatif.
Je ne comprends pas ce que tu veux dire. À mon avis, reCAPTCHA est chargé sur chaque page où il est contenu, peu importe si l'utilisateur souhaite réellement soumettre des formulaires et utilise le service. Le service peut être utilisé pour collecter des données personnelles (au moins l'adresse IP) et suivre les utilisateurs, sans aucun moyen de se désinscrire. Au moins de cette façon, en ne chargeant pas reCAPTCHA et en désactivant la soumission de formulaire pour éviter le spam, l'utilisateur a la possibilité de se désinscrire.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...