« Se connecter »
Essai gratuit

hCaptcha est-il conforme au RGPD? Ce que les propriétaires de sites Web doivent savoir

Illustration analysant si hCaptcha est conforme au RGPD, montrant un widget de vérification humaine, une balance vie privée/sécurité, des symboles de protection des données de l'UE, et une liste de contrôle de la conformité.
captcha.eu

hCaptcha peut faire partie d'une configuration conforme au RGPD, mais il n'est pas conforme dès sa sortie de l'emballage, et il nécessite plus de travail de gouvernance que ne l'espèrent de nombreux propriétaires de sites web.

Intuition Machines, la société américaine à l'origine de hCaptcha, propose un accord de traitement des données, une certification du cadre de protection des données UE-USA et des clauses contractuelles types. Ce sont de véritables outils, et ils sont importants. Mais ils ne font pas le travail de mise en conformité à votre place. La base juridique, les cookies, les transferts internationaux de données et l'accessibilité doivent encore être réglés de votre côté, avant la mise en service, et non après qu'une autorité de contrôle a frappé à la porte.

Cet article explique exactement où ces questions se posent, ce qu'elles signifient en pratique et à quoi ressemble une configuration défendable.

Note éditoriale : Cet article a été rédigé à des fins d'information et ne constitue pas un avis juridique. Pour toute question relative à votre mise en œuvre spécifique ou à la législation nationale applicable, veuillez consulter un professionnel qualifié en matière de protection de la vie privée ou de droit.

Table des matières

En un coup d'œil : les quatre questions que soulève hCaptcha dans le cadre du RGPD

Avant d'entrer dans les détails, voici une carte rapide des questions clés. Chacun d'entre eux est expliqué en détail ci-dessous.

Question sur le RGPD
Position de hCaptcha
Ce que vous devez encore faire en tant qu'opérateur
Transfert international de données
Certifié DPF ; SCC disponibles en DPA
Vérifier que le DPA est signé ; documenter l'évaluation du transfert
Cookies et protection de la vie privée
Définit les cookies, y compris hmt_id
Déterminer si l'exemption pour nécessité technique s'applique dans votre juridiction
Rôle (processeur ou contrôleur)
Agit en tant que processeur selon sa FAQ
Vous restez le responsable du traitement. La base juridique, la transparence et la surveillance du fournisseur restent chez vous.
Accessibilité
Cible WCAG 2.2 AA ; certains défis visuels restent partiellement inaccessibles
Testez le flux d'utilisateurs réels. Ne vous fiez pas uniquement à la déclaration du vendeur

Comment fonctionne hCaptcha ?

Lorsque quelqu'un soumet un formulaire sur votre site web, hCaptcha intervient pour décider s'il s'agit d'un humain ou d'un robot. En fonction de votre plan, il affiche un défi visible (la tâche familière “choisissez tous les feux de circulation”), utilise des signaux d'arrière-plan invisibles ou applique un mélange des deux. Si le contrôle est réussi, il remet au formulaire un jeton. Votre serveur vérifie ensuite ce jeton à l'aide de la fonction API de hCaptcha.

Pour effectuer cette analyse, hCaptcha traite des données techniques et comportementales. Ses politique de confidentialité répertorie les métadonnées des communications, telles que l'adresse IP d'origine, ainsi que des informations analytiques, notamment le type de navigateur, le fournisseur d'accès, la plate-forme, le type d'appareil, le système d'exploitation et les horodatages d'accès. Il met également en place des cookies, dont htm_id décrit comme un cookie de première partie utilisé pour des statistiques strictement nécessaires, anonymes, liées au service et aux fonctions techniques, y compris l'aide à l'accessibilité.

Le traitement des données, les adresses IP, les signaux du navigateur, les cookies, c'est là que commencent les questions relatives au RGPD.

Pourquoi cela est plus important qu'il n'y paraît

Est-il facile de considérer le CAPTCHA comme un petit détail technique ? Ce n'est pas le cas. Le CAPTCHA se trouve à l'entrée des flux de travail les plus sensibles de votre site web : formulaires de connexion, de réinitialisation de mot de passe, d'enregistrement, de paiement et de contact. Ce sont précisément ces flux que les attaquants ciblent en premier.

Le "Credential stuffing", où des outils automatisés testent des millions de combinaisons de noms d'utilisateur et de mots de passe volés, touche plus particulièrement les formulaires de connexion. La création de faux comptes, les tests de cartes et le spam de formulaires touchent les autres. Les rapports de l'ENISA sur le paysage des menaces classent systématiquement les abus automatisés des applications web parmi les types d'attaques les plus courants affectant les organisations européennes.

Le choix d'un CAPTCHA est donc à la fois une décision de sécurité et une décision de protection des données. Un outil qui réduit le risque pour les robots mais qui crée un risque juridique, en raison d'un consentement de cookie non résolu, d'une base de transfert peu claire ou de lacunes en matière d'accessibilité, résout un problème tout en en créant discrètement un autre. Pour les responsables informatiques, les développeurs et les DPD, il vaut la peine de traiter ces deux aspects de la question ensemble.

Les trois domaines de risque du RGPD, expliqués

1. Transfert international de données

Intuition Machines est une société américaine. Sa politique de confidentialité stipule qu'elle peut traiter les données personnelles des personnes concernées aux États-Unis dans le cadre de la fourniture du service. Elle est également certifiée en vertu du cadre de protection des données de l'UE et des États-Unis.

DPF certification is a legitimate and meaningful transfer tool, but it is not a blank cheque. The EDPB’s guidance makes clear that organisations must verify the mechanism is in place and in scope. It must not simply assume that certification covers every scenario. A useful reference point is the Austrian Data Protection Authority’s 2022 ruling on Google Analytics (GZ: 2021-0.586.257). Which found that transmitting IP addresses and browser identifiers to a US server constitutes a transfer of personal data. While that ruling concerned Google Analytics specifically, it illustrates how strictly EU supervisory authorities may scrutinise transfers of technical metadata to US-based providers and why the analysis cannot be skipped simply because a tool holds DPF certification.

En termes pratiques : signez le DPA, confirmez que la certification DPF est à jour et documentez par écrit votre évaluation du transfert. Ne pensez pas que parce qu'un vendeur a coché la case DPF, le travail est fait de votre côté.

2. Cookies et vie privée, une question distincte à laquelle le RGPD ne répond pas

C'est la zone de risque la plus souvent négligée, et elle prend invariablement les exploitants de sites web au dépourvu.

Le RGPD et la directive ePrivacy sont deux instruments différents. Article 5, paragraphe 3, de la directive "vie privée et communications électroniques requires consent before placing cookies or accessing information on a user’s device, unless a specific technical necessity exemption applies. The EDPB’s guidelines on cookies make clear that this exemption is narrow. It must be assessed on a use-case-by-use-case basis; it is not a general carve-out for security or anti-bot tools.

hCaptcha sets cookies. Its cookie policy listshtm_id  and describes it as used for technical and service-related purposes. Whether the technical necessity exemption applies to your specific deployment depends on the concrete use case and the position of your national supervisory authority.

Voici le point qui retient l'attention : même si votre base juridique RGPD est l'exécution du contrat ou les intérêts légitimes, cela ne résout pas la question du cookie ePrivacy. Il s'agit d'obligations indépendantes. Si l'une est correcte, l'autre ne l'est pas automatiquement. Si vous ne pouvez pas démontrer clairement que l'exemption s'applique dans votre juridiction, les solutions les plus propres d'un point de vue opérationnel sont soit de ne charger hCaptcha qu'après consentement explicite, soit d'utiliser un CAPTCHA sans cookie qui supprime entièrement la question.

3. Attribution des rôles : ce que le terme “transformateur” signifie réellement pour vous

La FAQ de hCaptcha indique qu'Intuition Machines agit en tant que sous-traitant pour ses clients dans le contexte pertinent du RGPD. Cette formulation est utile, et la DPA le reflète pour la prestation de services de base.

Mais ce qui ne change pas, c'est que vous êtes toujours le responsable du traitement. Vous décidez quelles pages comportent le CAPTCHA, sur quelle base juridique vous vous appuyez, comment les utilisateurs sont informés et comment vous traitez les demandes des personnes concernées qui portent sur des données traitées par le CAPTCHA. Le widget est externalisé. La responsabilité ne l'est pas.

In practice: your privacy notice should disclose hCaptcha’s processing. Your record of processing activities should list Intuition Machines as a sub-processor, and you should be able to explain to a supervisory authority why you made the deployment choices you made.

Le volet "régime" modifie-t-il la situation en matière de conformité ?

Oui, et c'est le détail que la plupart des déploiements négligent complètement.

Sur certains plans, l'utilisation des données et les contrôles contractuels peuvent différer sensiblement. Les entreprises clientes peuvent être en mesure de négocier des conditions de confidentialité plus strictes que les déploiements de niveau libre, y compris des restrictions sur la façon dont les données d'interaction sont utilisées au-delà de la fourniture de services de base.

Si votre organisation traite des données provenant d'utilisateurs de secteurs réglementés, tels que la santé, la finance ou les services publics, les conditions d'utilisation des données applicables méritent d'être examinées attentivement avant le déploiement, et non après. L'examen des conditions actuelles pour votre plan spécifique et, le cas échéant, la négociation de clauses DPA qui reflètent vos obligations font partie de la sélection responsable des fournisseurs en vertu du principe de responsabilité du RGPD.

L'accessibilité : une question de conformité, pas une note de bas de page

L'accessibilité a tendance à être traitée comme une considération secondaire dans les décisions relatives aux CAPTCHA. Pour de nombreux services numériques relevant du champ d'application et opérant dans l'UE, elle n'est plus facultative. La loi européenne sur l'accessibilité, qui est entrée en vigueur dans les États membres en juin 2025, signifie que les entreprises et les services couverts doivent répondre aux exigences d'accessibilité, avec WCAG 2.2 AA comme norme technique pertinente pour la plupart des implémentations basées sur le web.

La déclaration d'accessibilité de hCaptcha indique qu'elle vise la conformité aux WCAG 2.2 AA et qu'elle a effectué des audits internes et externes. Elle reconnaît également, en toute honnêteté, que certains défis visuels ne peuvent pas être rendus totalement accessibles tout en continuant à remplir leur fonction de sécurité.

Cette lacune a des conséquences réelles. Une déclaration d'accessibilité au niveau du fournisseur ne rend pas votre déploiement spécifique accessible. Les domaines suivants nécessitent de véritables tests dans le flux réel de l'utilisateur, et non une vérification par rapport à un PDF fourni par le vendeur :

  • Navigation au clavier. Le widget peut-il être activé et complété sans souris ? Cela doit fonctionner pour tous les utilisateurs.
  • Compatibilité avec les lecteurs d'écran et les défis audio. Le défi audio et l'expérience de repli doivent être testés à travers les lecteurs d'écran et les combinaisons de navigateurs avant d'être utilisés comme voie d'accessibilité. Le comportement peut varier considérablement entre NVDA, JAWS et VoiceOver, ainsi qu'entre différents navigateurs.
  • Gestion des états d'erreur. Lorsqu'un défi échoue ou se termine, les messages d'erreur sont-ils annoncés aux technologies d'assistance ou apparaissent-ils uniquement visuellement ?
  • Comportement mobile. Le widget s'affiche-t-il et fonctionne-t-il correctement dans un navigateur mobile dont les fonctions d'accessibilité sont activées ?

Pour les organisations du secteur public et les services ayant une large base d'utilisateurs, ces tests ne sont pas des options supplémentaires. Ils font partie des exigences de conformité.

Comment réduire les risques liés au RGPDsi vous continuez à utiliser hCaptcha ?

Si vous avez examiné les points ci-dessus et décidé que hCaptcha est le bon outil pour votre contexte, les étapes suivantes vous mettront dans une position matériellement plus forte.

  • Signer et conserver le DPA.

    Les politiques générales de protection de la vie privée ne suffisent pas. Le DPA régit votre relation avec le sous-traitant et doit figurer dans le dossier de documentation de votre fournisseur, signé, daté et consultable si un DPA vous le demande.

  • Vérifiez votre base de transfert.

    Confirmez que la certification du DPF est à jour au moment du déploiement, et pas seulement au moment où vous en avez entendu parler pour la première fois. Consignez par écrit votre évaluation du transfert.

  • Traiter séparément la question du cookie ePrivacy.

    Déterminer exactement quand les cookies sont installés. Si vous ne pouvez pas faire valoir clairement que l'exemption pour nécessité technique s'applique dans votre juridiction, chargez hCaptcha après consentement ou utilisez une alternative sans cookie. Le fait de ne pas procéder à cette évaluation ne supprime pas l'obligation.

  • Passez en revue les conditions d'utilisation de votre forfait et de vos données.

    Vérifiez si les conditions applicables sont compatibles avec vos obligations, en particulier si vous traitez des données d'utilisateurs dans des contextes réglementés ou sensibles.

  • Testez l'accessibilité pour de vrai.

    Exécutez les tests de navigation au clavier, de repli audio, d'état d'erreur et de mobilité décrits ci-dessus. Ne considérez pas une déclaration de conformité du fournisseur comme un substitut à un test réel.

  • Étendez vos défenses.

    Ce point est plus important qu'il n'y paraît à première vue. Plus vous pouvez réduire la fréquence de déclenchement d'un CAPTCHA, grâce à la limitation du taux de déclenchement, à la validation côté serveur, aux champs de type "honeypot" et à la surveillance des tentatives de connexion, moins les données sont traitées par un outil CAPTCHA tiers en premier lieu. Moins de déclenchements signifie moins de points de données envoyés à un processeur externe. C'est à la fois bon pour la vie privée et bon pour l'expérience de l'utilisateur. La CNIL souligne explicitement que les CAPTCHA ne sont qu'un outil parmi un ensemble plus large de mesures, et non une solution autonome. La superposition signifie également que si hCaptcha est indisponible ou bloqué par l'outil de protection de la vie privée d'un utilisateur, ce qui arrive, votre protection de base ne s'effondre pas complètement.

  • Mettez à jour votre avis de confidentialité.

    Confirmez que le traitement de hCaptcha est divulgué, que les utilisateurs sont informés de la base de transfert américaine et que votre registre des activités de traitement mentionne Intuition Machines en tant que sous-traitant.

Conclusion

hCaptcha is not automatically unlawful in Europe. For organisations prepared to do the governance work, signed DPA, transfer documentation, ePrivacy cookie assessment, plan-tier review and real accessibility testing, it can be part of a compliant deployment.

La réponse honnête à la question de savoir si hCaptcha est conforme au RGPD est la suivante : cela dépend de la manière dont vous le déployez, du niveau de votre plan, du secteur dans lequel vous opérez et de la rigueur avec laquelle vous avez documenté vos décisions. La certification des fournisseurs est un point de départ, pas une ligne d'arrivée.

Pour certaines organisations, ce compromis peut encore être acceptable. Cependant, d'autres préféreront une solution CAPTCHA européenne qui réduit les frictions liées à la protection de la vie privée et évite les barrières visuelles. Dans ce contexte, captcha.eu peut être une alternative pertinente. Il est hébergé en Autriche, conçu pour être conforme au RGPD, n'utilise pas de cookies ni de tracking, et détient la certification WACA Silver / WCAG 2.2 AA.

FAQ – Foire aux questions

hCaptcha est-il conforme au RGPD par défaut ?

Non. hCaptcha fournit un DPA, une certification DPF et des SCC, mais il s'agit d'outils que les opérateurs peuvent utiliser - et non d'une garantie de conformité. La base juridique, la question des cookies ePrivacy, la documentation de transfert et l'accessibilité restent de la responsabilité de l'exploitant du site web.

Est-ce que hCaptcha transfère des données personnelles aux États-Unis ?

Oui, Intuition Machines déclare qu'elle peut traiter des données à caractère personnel aux États-Unis dans le cadre de la fourniture du service et qu'elle est certifiée par le cadre de protection des données UE-États-Unis. La certification DPF est un mécanisme de transfert valable, mais il convient de vérifier qu'elle est à jour et de la documenter dans le cadre de vos dossiers de transfert.

Est-ce que hCaptcha utilise des cookies ?

Oui. Sa politique en matière de cookies énumère les cookies, y compris htm_id, décrits comme étant utilisés à des fins techniques et liées au service. La question de savoir si un consentement en matière de protection de la vie privée est nécessaire avant d'installer ces cookies dépend de l'application ou non de l'exemption pour nécessité technique dans votre juridiction spécifique et dans votre cas d'utilisation. Cela ne peut pas être présumé, cela nécessite une évaluation délibérée.

Le plan tarifaire de hCaptcha a-t-il une incidence sur la conformité ?

C'est possible. L'utilisation des données et les contrôles contractuels peuvent varier d'un plan à l'autre, et les entreprises peuvent être en mesure de négocier des conditions de confidentialité plus strictes que les autres déploiements. Si vous traitez des données provenant d'utilisateurs appartenant à des secteurs réglementés, il est utile d'examiner les conditions applicables à votre plan spécifique avant de le déployer.

hCaptcha est-il accessible ?

hCaptcha vise la conformité aux WCAG 2.2 AA et propose un défi audio comme alternative aux tâches visuelles. Toutefois, il reconnaît que certains défis visuels ne peuvent pas être rendus totalement accessibles tout en continuant à remplir leur fonction de sécurité. L'accessibilité doit être vérifiée au moyen de tests réels, de la navigation au clavier, de l'expérience de repli audio à travers différents lecteurs d'écran et navigateurs, et des annonces d'état d'erreur, et non pas supposée à partir de la seule déclaration du vendeur.

Puis-je me passer de l'évaluation du consentement en matière de cookies si ma base juridique RGPD est l'intérêt légitime ?

Les exigences de la directive "vie privée et communications électroniques" en matière de cookies sont indépendantes du GDPR. Même si la base légale du GDPR est valide, l'article 5, paragraphe 3, de la directive "vie privée et communications électroniques" s'applique toujours séparément. Une lacune dans la conformité de l'un n'est pas corrigée par la mise en conformité de l'autre.

Qu'est-ce qu'une alternative à hCaptcha conforme au RGPD?

Pour les organisations où l'hébergement de données européennes, l'absence de cookies et l'accessibilité certifiée sont des exigences plutôt que des préférences, captcha.eu a été conçu exactement en fonction de ces contraintes. Hébergement autrichien, pas de cookies, pas de traçage, intégration invisible et indépendante. conformité vérifiée aux WCAG 2.2 AA via la certification WACA Silver du TÜV Autriche.

100 demandes gratuites

Vous avez la possibilité de tester et d'essayer notre produit avec 100 demandes gratuites.

Commencer procès

Si vous avez des questions

Contactez-nous

Notre équipe d’assistance est disponible pour vous aider.

Contactez-nous

Messages récents

fr_FRFrench
en_USEnglish de_DEGerman es_ESSpanish nl_NLDutch it_ITItalian fr_FRFrench