Le 20 juin dernier, j’ai remarqué que le formulaire de l’Assurance Maladie intégrait à son formulaire de déclaration de maintien à domicile le système anti-robot de Google. Après avoir saisit la CNIL, celle-ci est intervenue rapidement pour arrêter la collecte de données… un peu tard après plus de deux ans de pandémie.

Formulaire de déclaration de maintien à domicile Coronavirus, Assurance Maladie, avec un Captcha de Google "J'ai le Covid"

Pandémie de formulaires officiels qui imposent l’utilisation de logiciels tiers tels que Google reCAPTCHA. Cet outil permet de lutter contre les saisies automatiques faites par des robots mais collecte et analyse bon nombre de données personnelles. J’ai déjà évoqué le problème de reCAPTCHA lorsque l’IGPN, la police des polices, l’utilisait sur son formulaire de saisine. Après presque deux ans d’attente, la CNIL m’avait indiqué que l’utilisation du système anti-robot de Google devait être soumis au consentement et avait demandé au ministère de l’intérieur de ne plus l’utiliser. Ce dernier avait exécuté promptement cette demande.

L’Assurance Maladie n’a rien trouvé de mieux que d’imposer Google Captcha sur le formulaire de déclaration de maintien à domicile qu’il faut remplir lorsqu’on est positif au Covid et qu’on souhaite un arrêt de travail. A cause de cela, Google pouvait savoir si on était contaminé et pouvait relier cette information avec notre compte Google (si jamais on était connecté). J’ai déposé une plainte à la CNIL le 20 juin dernier et ai reçu une réponse ce 13 juillet. Comme pour l’IGPN, la CNIL a demandé à l’Assurance Maladie de ne plus utiliser cet outil et il a été enlevé rapidement.

Nous pouvons nous féliciter de cette action rapide de la CNIL qui en moins d’un mois a réglé le problème. En revanche, on peut se questionner sur le fait que pendant sûrement plus de deux ans ce formulaire est passé sous les radars de la CNIL qui s’est donné pour mission de contrôler l’intégralité des services numériques mis en place par les pouvoirs publics pour la pandémie. Dans sa réponse, la CNIL n’a pas précisé d’action du côté de Google pour supprimer les données collectées.

Quelles données sont collectées par Google reCAPTCHA ?

Il est très difficile voir impossible de savoir exactement quelles données sont utilisées par reCAPTCHA. Lorsqu’on souhaite ajouter le captcha de Google sur son site web, on doit accepter les conditions d’utilisation de reCAPTCHA. Celles-ci indiquent notamment que Google collecte des « informations matérielles et logicielles, telles que les données sur les appareils et les applis ». Il est également indiqué que « Les informations recueillies lorsque vous utilisez ce service seront utilisées pour améliorer la fonctionnalité reCAPTCHA, ainsi qu’à des fins de sécurité générale. Google ne s’en servira pas pour vous proposer de la publicité personnalisée. ».

Accepter les conditions d'utilisation de reCAPTCHA En utilisant les API reCAPTCHA ou en y accédant, vous acceptez les Conditions d'utilisation des API Google, les Conditions d'utilisation Google, ainsi que les Conditions d'utilisation supplémentaires ci-dessous. Avant d'accéder aux API, veuillez prendre connaissance de toutes les conditions et règles applicables. Conditions d'utilisation de reCAPTCHA Vous reconnaissez et comprenez que le fonctionnement de l'API reCAPTCHA repose sur la collecte d'informations matérielles et logicielles, telles que les données sur les appareils et les applis, qui sont transmises à Google pour analyse. Les informations recueillies lorsque vous utilisez ce service seront utilisées pour améliorer la fonctionnalité reCAPTCHA, ainsi qu'à des fins de sécurité générale. Google ne s'en servira pas pour vous proposer de la publicité personnalisée. En vertu de la section 3(d) des conditions d'utilisation des API Google, si vous utilisez les API, vous acceptez qu'il vous incombe d'en informer les utilisateurs et de leur demander leur autorisation pour la collecte et le partage de ces données avec Google. Dans l'Union européenne, le ou les clients d'API, et vous-même, devez vous conformer aux Règles relatives au consentement de l'utilisateur dans l'UE. Votre utilisation de reCAPTCHA est soumise à une limite du nombre d'appels. Google peut appliquer ces limites à sa seule discrétion via l'un des procédés décrits dans la section concernant les limites du nombre d'appels ou dans les présentes conditions d'utilisation.
Case à cocher dans l’interface d’administration de reCAPTCHA

On notera que la formulation « Google ne s’en servira pas pour vous proposer de la publicité personnalisée. » est un peu floue car ici le « vous » signifierait qu’il n’y aura pas de publicité personnalisée pour l’administrateur·rice du site web. La version anglaise de cette mention est plus claire et précise bien que les informations ne seront pas utilisées pour de la publicité personnalisée. En revanche, comme la CNIL le précisait dans sa réponse, Google invite les personnes intégrant reCAPTCHA à leur site à « se conformer aux Règles relatives au consentement de l’utilisateur dans l’UE », à savoir demander le consentement avant de charger le captcha.

J’ai demandé à Google de préciser exactement quelles données étaient utilisées par Google Captcha et comment. Leur mention « d’informations matérielles et logicielles » n’est pas très précise et aucune autre documentation n’indique avec précision comment fonctionne l’outil. Je n’ai pas encore reçu de réponse à ma demande (je pourrais mettre à jour cet article si jamais j’en reçois une).

Le problème avec Google Captcha

Le principal problème avec Google reCAPTCHA est son manque criant de transparence. Google ne fournit pas assez de documentation sur les données récoltées et les sites web l’utilisant n’informent pas non plus assez : les liens « Privacy » et « Terms » sur le module redirige vers les conditions générales de Google où aucune information sur reCAPTCHA ne sont présente. De plus, le consentement n’est pratiquement jamais demandé par les sites avant le chargement du module.

En ce qui concerne le pistage, Google indique qu’il n’en fait pas pour de la publicité ciblée mais il pourrait très bien changer d’avis demain. Enfin, en laissant la main à Google de décider qui peut entrer ou qui ne peut pas entrer, qui peut envoyer un formulaire ou qui ne peut pas, on laisse Google prendre une décision automatisée sans contrôle et basée sur des critères opaques.

La CNIL devrait communiquer sur le sujet pour informer le plus grand nombre de ses décisions qui ne sont rendues publiques que parce que j’ai publié les lettres que cette dernière m’a envoyé. Les sites ou applications utilisant Google Captcha sont très nombreux. Rien qu’en regardant un reportage sur la vignette Crit’Air dans un journal télévisé, j’ai pu voir un autre formulaire officiel l’utilisant. Ou encore ce formulaire pour déclarer des effets indésirables des médicaments.

Comme je le mentionnait au début de l’article, il est également très préoccupant que la CNIL n’ait pas vu que le formulaire de l’Assurance Maladie embarquait Google reCAPTCHA avant que je leur signale ce problème via une plainte. Les contrôles doivent être accrus et les pouvoirs publics doivent donner plus de moyens à la CNIL. J’ai alerté il y a quelques mois sur une incohérence dans les données de la fraude au pass vaccinal qui pourrait montrer une conservation de données illégale et je désespère de voir une quelconque enquête de la CNIL sur le sujet.