Avocats en Données Personnelles

L’utilisation du service Google reCaptcha ne dispense pas l’éditeur d’un service d’informer ses utilisateurs sur le traitement des données collectées.  L’article 82 de la loi n° 78-17 du 6 janvier 1978 est pleinement applicable à Google reCaptcha. 

L’éditeur qui a choisi de recourir au mécanisme de reCaptcha permet les actions de lecture et d’écriture des informations présentes sur les terminaux des utilisateurs. Il est donc responsable du respect des dispositions de l’article 82 de la loi ” Informatique et libertés ” lors de l’utilisation du mécanisme de reCaptcha de Google.

L’article 82 de la loi n° 78-17 du 6 janvier 1978

L’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée pose que ” tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 

2° Des moyens dont il dispose pour s’y opposer. 

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. 

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur : 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur “.

Affaire Cityscoot 

La société CITYSCOOT, en tant qu’elle édite le site web ” cityscoot.eu ” et l’application mobile CITYSCOOT, a une part de responsabilité dans le respect des obligations de l’article 82 de la loi ” Informatiques et Libertés ” pour les opérations de lecture et / ou d’écriture d’informations effectuées dans le terminal des utilisateurs via le mécanisme de reCaptcha fourni par la société Google, lors de la création du compte sur l’application mobile ainsi que lors de la connexion et la procédure de mot de passe oublié sur le site internet. 

Or, la société CITYSCOOT ne fournit aucune information, notamment par une fenêtre de consentement, de la collecte d’informations stockées sur l’équipement de l’utilisateur, ni des moyens de refuser cette collecte. 

Le consentement de l’utilisateur portant sur l’accès aux informations stockées sur son équipement ou sur l’inscription d’informations sur son équipement n’est recueilli à aucun moment.

En défense, la société a fait valoir sans succès qu’elle utilise le mécanisme de reCaptcha dans le seul but d’assurer la sécurisation du mécanisme d’authentification des utilisateurs. L’utilisation du reCaptcha ne bénéficie pas de la seconde exemption prévue à l’article 82 de la loi ” Informatique et Libertés ” en ce que le service est demandé par l’utilisateur – à savoir l’inscription ou la connexion au service de CITYSCOOT – et que les actions de lecture et d’écriture des informations présentes sur les terminaux sont nécessaires pour assurer la sécurité du service. 

Régime juridique des cookies tiers 

Le Conseil d’Etat a jugé (CE, 6 juin 2018, Editions Croque Futur, n° 412589, Rec.), qu’au titre des obligations qui pèsent sur l’éditeur d’un site qui dépose des ” cookies tiers “, figurent celle de s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire de son site, des traceurs qui ne respectent pas la réglementation applicable en France, et d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements. 

Le Conseil d’Etat a en particulier jugé que ” les éditeurs de site qui autorisent le dépôt et l’utilisation de tels ” cookies ” par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le ” cookie “, notamment lorsque ce dernier conserve seul la maitrise du respect de sa finalité ou de sa durée de conservation. 

Au titre des obligations qui pèsent sur l’éditeur de site dans une telle hypothèse, figurent celle de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des ” cookies ” qui ne respectent pas la règlementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements ” (v. également CNIL, FR, 27 septembre 2021, Sanction, n° SAN-2021-013, publié).

Si les recommandations émises par la CNIL en matière de cookies ont évolué récemment pour tenir compte des évolutions induites par le RGPD en matière de consentement notamment, ces évolutions n’ont pas d’incidence dans le cas d’espèce et il a continuellement été considéré, comme l’indique la délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978 depuis abrogée, que ” lorsque plusieurs acteurs interviennent dans le dépôt et la lecture de cookies (par exemple lorsque les éditeurs facilitent le dépôt de cookies qui sont ensuite lus par des régies publicitaires), chacun d’entre eux doit être considéré comme coresponsable des obligations découlant des dispositions de l’article 32-II précité [actuel article 82 de la loi du 6 janvier 1978] “. 

Cette délibération précise qu’il en est ainsi ” des éditeurs de sites internet (ou des éditeurs d’application mobile par exemple) et de leurs partenaires (régies publicitaires, réseaux sociaux, éditeurs de solutions de mesure d’audience…). 

En effet, dans la mesure où les éditeurs de site constituent souvent l’unique point de contact des internautes et que le dépôt de Cookies de tiers est tributaire de la navigation sur leur site, il leur appartient de procéder, seuls ou conjointement avec leurs partenaires, à l’information préalable et au recueil du consentement explicités à l’article 2 de la présente recommandation “. La CNIL a d’ailleurs déjà consacré la responsabilité des éditeurs de sites internet dans plusieurs décisions (v. en ce sens, Délibération SAN-2021-013 du 27 juillet 2021).

Régime d’exemption 

Si un responsable de traitement peut se prévaloir d’une exemption à l’information et au recueil du consentement lorsque les opérations de lecture/écriture effectuées dans le terminal d’un utilisateur ont pour seule finalité la sécurisation d’un mécanisme d’authentification au bénéfice des utilisateurs (v. en ce sens, CNIL, FR, 27 septembre 2021, Sanction, n° SAN-2021-013, publié), il en va autrement lorsque ces opérations poursuivent également d’autres finalités qui ne sont pas strictement nécessaires à la fourniture d’un service.

Or, le mécanisme de reCaptcha Google n’a pas pour seule finalité la sécurisation du mécanisme d’authentification au bénéfice des utilisateurs mais permet par ailleurs des opérations d’analyse de la part de Google, ce que la société Google précise elle-même dans ses conditions générales d’utilisation.

A ce titre, la société GOOGLE informe les sociétés ayant recours à la technologie reCaptcha, dans des conditions générales d’utilisation disponibles en ligne, que le fonctionnement de l’API reCAPTCHA repose sur la collecte d’informations matérielles et logicielles (telles que les données sur les appareils et les applications) et que ces données sont transmises à Google pour analyse. La société GOOGLE précise également qu’il incombe à ces sociétés d’informer les utilisateurs et de demander leur autorisation pour la collecte et le partage des données avec GOOGLE.

En conclusion,  la société CITYSCOOT aurait dû informer les utilisateurs et recueillir leur consentement, ce qui n’était pas le cas en l’espèce. La société a donc méconnu ses obligations au regard de l’article 82 de la loi ” Informatique et Libertés ” en permettant le dépôt de cookies sur le terminal des utilisateurs via le mécanisme de reCaptcha fourni par la société Google sans informer les utilisateurs et sans recueillir leur consentement.