Google a annoncé qu'il allait reclasser son rôle dans l'utilisation de reCAPTCHA du point de vue de la protection des données. A partir du 2 avril 2026, Google n'agira plus en tant que responsable du traitement dans le cadre de reCAPTCHA, mais en tant que sous-traitant au sens de l'article 4, point 8. RGPD. Ce que cela signifie concrètement pour les entreprises et ce à quoi elles doivent continuer à faire attention.
Nouvelle répartition des rôles à partir d'avril 2026
L'évaluation juridique de l'ancienne répartition des rôles a longtemps été controversée. Jusqu'à présent, Google se considérait comme responsable des données traitées dans le cadre de reCAPTCHA. Cela signifiait que l'entreprise devait respecter les finalités et les moyens des Traitement y compris la possibilité d'utiliser les informations collectées dans le cadre des contrôles CAPTCHA à ses propres fins.
C'est précisément le point de départ des critiques de nombreux défenseurs de la vie privée. Les exploitants de sites web intègrent certes techniquement reCAPTCHA, mais ils n'ont qu'une influence limitée sur la manière dont Google traite les données des utilisateurs collectées à cette occasion. Il a notamment été reproché que le traitement des données puisse aller au-delà de la simple défense contre les abus et être utilisé par Google à des fins d'analyse ou d'amélioration. Cela a soulevé des questions importantes en matière de protection des données en ce qui concerne RGPD ainsi qu'à l'article 25 de la TDDDG.
Avec l'annonce début 2026, Google procède à une adaptation fondamentale. À l'avenir, un contrat de sous-traitance sera mis à disposition pour reCAPTCHA ; le contrat de sous-traitance de Google est déterminant à cet égard. Cloud Addendum sur le traitement des données.
Conseil de lien : Addendum au traitement des données Google
Dans cette constellation, Google traitera à l'avenir les données collectées dans le cadre de reCAPTCHA en principe sur ordre et selon les instructions des exploitants de sites web respectifs. Les données ne peuvent donc en principe être traitées que pour la mise à disposition et la sécurisation du service et non plus à des fins indépendantes de Google.
La responsabilité principale en matière de protection des données incombe donc clairement aux exploitants de sites web qui utilisent reCAPTCHA.
Techniquement, rien ne change avec reCAPTCHA
Le changement ne modifie en rien le fonctionnement technique de reCAPTCHA. Les fonctions, les mécanismes de protection et les intégrations restent inchangés. Le changement concerne uniquement la répartition des rôles en matière de protection des données ainsi que la structure contractuelle sous-jacente.
Google informe déjà ses clients de cette adaptation et indique qu'il convient notamment de mettre à jour les avis de confidentialité sur les sites web concernés.
Conseil de lecture : Voici les changements prévus pour les bannières de cookies
Ce que les entreprises doivent désormais prendre en compte avec reCAPTCHA
Pour les entreprises, la nouvelle répartition des rôles apporte plus de clarté - mais n'implique pas une réduction de leurs propres obligations. Quiconque utilise reCAPTCHA est désormais clairement responsable au sens de l'article 4, point 7, de la loi sur la protection des données. RGPD et doit remplir les obligations qui en découlent en matière de protection des données.
Les entreprises devraient donc vérifier en particulier,
- si reCAPTCHA est couvert par le Google Data Processing Addendum existant,
- si les conditions contractuelles mises à jour ont été valablement incluses,
- si le Registre des activités de traitement doit être adapté,
- et si les Déclaration de confidentialité décrit de manière transparente la nouvelle répartition des rôles ainsi que le traitement des données.
La classification de Google comme sous-traitant ne dispense donc pas les entreprises de leurs obligations de contrôle et de documentation. Au contraire, elle met encore plus l'accent sur ces obligations.
L'obligation de consentement reste valable dans de nombreux cas
Même si Google agit à l'avenir en tant que sous-traitant, l'obligation de consentement ne change pas dans de nombreux cas.
Lors de l'utilisation de reCAPTCHA, des messages sont régulièrement informations enregistrées ou lues sur l'équipement terminal des utilisateurs, par exemple sur Cookies ou d'autres identifiants techniques. L'objectif est d'analyser le comportement des visiteurs du site web et de reconnaître les accès automatisés. Ainsi, leur utilisation continue de relever en principe de l'article 25, paragraphe 1 de la loi TDDDG.
Dans la pratique, cela signifie que reCAPTCHA ne devrait régulièrement être utilisé qu'après une vérification préalable. Consentement être chargés via un outil de gestion du consentement. Les entreprises devraient donc vérifier,
- si le script reCAPTCHA n'est effectivement activé qu'après accord et
- si le service est correctement décrit dans la bannière Consent.
En outre, il peut être utile d'envisager des alternatives moins intrusives ou d'intégrer techniquement reCAPTCHA de manière à réduire au maximum les transferts de données.
Faites vérifier votre site web maintenant
Le changement est une étape importante du point de vue de la conformité. Elle met fin à une longue discussion sur la répartition des rôles en matière de protection des données dans reCAPTCHA et apporte plus de clarté dans l'attribution des responsabilités.
Les entreprises ne devraient toutefois pas considérer cette modification comme une simple formalité. Il s'agit plutôt d'une occasion de réexaminer de manière structurée leur propre intégration de reCAPTCHA sur le plan technique, contractuel et organisationnel.
Nos experts aident les entreprises à intégrer des services de suivi et de sécurité tels que reCAPTCHA de manière légale et à vérifier les sites web existants du point de vue de la protection des données.
Dans le cadre d'un contrôle de site web, nous analysons entre autres
les services de tiers et les technologies de suivi utilisés
Mécanismes de consentement et bannières de consentement
Transfert de données vers des pays tiers
Déclaration de protection des données et obligation de documentation
N'hésitez pas à prendre contact avec nous.
Yussef Benjabri, Conformité Expert 2B Advice
German 
English 
Italian 
French