Captcha, RGPD

Bonjour à tous,

Actuellement, je n’utilise aucun cookie sur mon site perso (un portfolio). Je dois néanmoins mettre en place un captcha sur la page de contact ; celui de Google va créer des cookies et il me semble donc que je devrais, le cas échéant, respecter les dispositions de la CNIL auxquelles je ne connais strictement rien (ce que je crois avoir compris, c’est que je dois informer l’utilisateur que le cookie de Google sera nécessaire techniquement au bon fonctionnement de mon site et donc que s’il n’en veut pas, il ne pourra pas accéder au formulaire de contact, le tout via une pop-in affichée sur toutes les pages du site jusqu’à ce qu’il ait cliqué sur un bouton "OK j’ai compris, j’accepte le cookie Google reCaptcha" ou "Non je refuse ce cookie, donc je n’aurai pas accès au formulaire de contact").

Néanmoins je n’ai pas envie de me lancer dans la réalisation du système de la CNIL et de plus je préférerais DE LOIN n’installer aucun cookie dans le navigateur du visiteur de mon site.

Ma question est donc : connaissez-vous un captcha, a priori autre que Google reCaptcha, qui n’installe aucun cookie côté client ET qui soit compatible RGPD&CNIL ? Au cas où je précise que mon site tourne sous PHP et Laravel 8.

Par exemple, que pensez-vous de ces captcha, qui s’annoncent GDPR-compliant ? Les connaissez-vous bien ? Les utiliseriez-vous en prod dans le cadre d’un développement professionnel d’agence Web ?

• BotDetect : https://captcha.com/#recaptcha_the_stalker_and_china

Merci bien, belle journée à vous !

PS : je précise n’avoir rien trouvé sur ZdS en saisissant la recherche "captcha rgpd"

Edit Arius : l’auteur étant actuellement en LS, ce passage est supprimé à sa demande.

Tu ne peux pas exiger d’un forum ce type de réponse.

vous prendrez donc vos responsabilités en me répondant

Ceci n’est pas acceptable. Ce n’est pas comme cela que fonctionne un forum.
Nous acceptons de t’aider, tu ne peux rien exiger des gens qui t’aident.

Pour ton problème, regarde du coté de hcaptcha. La complaisance RGPD n’a pour l’instant pas été élucidée.

Bein je n’interdis à personne d’écrire de réponse, je précise juste que je garderai uniquement en tête celles qui matchent mes critères.

Je ne veux pas de pb avec la cnil.

Après écrivez ce que vous voulez hein.

Edit: ache a posté avant, je maintiens le message, peut-être un peu plus étoffé.

On peut aussi trouver un juste milieu qui ne nécessite pas que tu supprime le message, mais permette aux gens de poster ici. En demandant une réponse fiable, vérifiée, sérieuse et toussa, et surtout en tentant d’engager la responsabilité des membres, tu réalise le genre de demande qu’on ferait typiquement à un professionnel. Il parait que c’est dans le mot, mais qui dit "un professionnel" dit "une rémunération".

En demandant une information ici, personne ne garanti sa réponse légalement. Au mieux tu auras des réponses satisfaisantes, au pire pas trop, chacun fait de son mieux pour te répondre, sur son temps libre. En impliquant la responsabilité des membres là-dedans, tu t’assures de n’avoir aucune réponse pertinente, en plus de créer encore une fois du conflit, alors qu’en retirant le dernier paragraphe, tu engages une discussion saine, qui t’amènera peut-être à des pistes intéressantes, bien que ces pistes ne soit pas garanties légalement par un juriste qui te signera le bon papelard. Pour ça, ce qu’il te faut ce n’est pas un forum en ligne, c’est un spécialiste du droit du numérique.

En répondant à cette question, vous garantissez la véracité des informations que vous donnerez ET que le cookie en question est juridiquement bien compatible RGPD&CNIL, tout du moins en France (vous prendrez donc vos responsabilités en me répondant, j’attends des réponses sérieuses & professionnelles). Au moins au moment où vous écrivez la réponse. Vous ne garantissez en revanche pas nécessairement qu’il soit utilisable en prod dans un milieu professionnel (pas de souci à ce niveau-là). Bref je préfère des réponses pertinentes.

Et bien, tu envoies un mail à la CNIL en posant ta question de manière complète et précise et tu obtiendras une réponse.

Je rappelle que, par ailleurs, les CGU du site disent expressément que :

8. Limitation de responsabilité Les informations présentes sur le site sont fournies en l’état et proviennent de sources réputées fiables. Cependant, l’éditeur du site ne peut garantir l’exactitude ou la pertinence de ces données. En outre, les informations mises à disposition sur ce site le sont uniquement à titre purement pédagogique et informatif.

L’utilisateur du site assume l’ensemble des risques découlant de l’utilisation des informations présentes sur le site ou dans les sites joignables au travers des liens hypertextes.

Le membre a l’obligation de garder son mot de passe secret. Toute divulgation du mot de passe, quelle que soit sa forme, est interdite. Ce dernier assume les risques liés à l’utilisation de son identifiant et mot de passe. Nous vous encourageons à utiliser pour votre compte des mots de passe forts (mots de passe constitués d’une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux).

Le site ne saurait être responsable d’un quelconque dommage résultant d’un manquement du membre sur ce qui précède.

Une garantie optimale de la sécurité et de la confidentialité des données transmises n’est pas assurée par le site. Toutefois, le site s’engage à mettre en œuvre tous les moyens nécessaires afin de garantir au mieux la sécurité et la confidentialité des données.

La responsabilité du site ne peut être engagée en cas de force majeure ou du fait imprévisible et insurmontable d’un tiers.

Quant à ceci :

Mais bon si ça aussi ça pose problème, dites-le moi et, comme d’habitude (……), je vais retirer ça et comme ça tout le monde sera content et tout sera parfaitement parfait selon vos habitudes communautaires avec tout lisse, et 0 truc qui sorte un peu de votre routine et de vos règles… 0 exotisme

Si les règles (notamment de respect) de cette communauté te sont incompréhensibles, libre à toi d’aller voir ailleurs.

Tu as une attitude qui est déplaisante (en supprimant des posts, par exemple), voilà que maintenant, tu te permets d’exiger des choses de la part des membres qui n’ont aucun compte à te rendre (et en invoquant leur prétendue responsabilité…) et ce, en usant d’un ton arrogant.

Non, stop. Ça suffit. Vu que ton attitude est depuis longtemps — et je rappelle que nous avons fait preuve d’une graaaande patience à ton égard — contraire à la netiquette, aux règles du site et désormais aux conditions d’utilisation du site, tu écopes d’une lecture seule de 3 jours.

J’espère que cela te donnera assez de temps pour sérieusement réfléchir sur ton comportement et faire un virage à 180°.

Actuellement, je n’utilise aucun cookie sur mon site perso (un portfolio). Je dois néanmoins mettre en place un captcha sur la page de contact ;

J’ai une solution non pas juridique mais technique à suggérer. Es-tu certain d’avoir besoin d’une telle protection pour un site perso/portfolio ? Elle me semble assez lourde en plus d’impliquer la gestion de détails juridiques annexes (comme tu le sais déjà).

La technique du champ invisible piégé dans le formulaire (honeypot) permet sans doute de contrer déjà une bonne partie des messages indésirables, et sa mise en œuvre est plutôt triviale : tu un champ caché qui est censé resté vide. Côté backend, si ce champ est rempli, alors tu as vraisemblablement le message d’un robot peu subtil.

Mettre le champ directement en <input type="hidden"> peut être trop évident à détecter pour un robot, car la sémantique est claire. Le mieux serait donc sûrement de cacher le champ en CSS ou dynamiquement en JS en réglant son opacité à 0, par exemple. Le but est que l’utilisateur légitime ne puisse pas le voir (et pas le remplir), tandis que le robot oui.

Tu peux trouver des petites variantes pour rendre la tâche encore plus difficile, avec un peu de JS et de créativité.

Je pense que tu peux t’en sortir avec une solution simple de ce genre. Si cela s’avérait insuffisant, bien entendu, tu pourrais envisager le recours au captcha.

Je pose ça là (j’y reviens entre autres sur les idées proposées par mon voisin du dessus).

Bonjour,

J’ai eu la problématique récemment pour mon site alors je me permets de la poster ici. Je la trouve à la fois simple et facile à mettre en œuvre.

C’est tout bête : dans le formulaire d’inscription, je rajoute un champ "En que mois sommes-nous ?" où l’utilisateur doit tout simplement indiquer le mois de l’année en cours.

Une petite vérification en back que c’est correct, et le tour est joué.

L’avantage est d’être respectueux de la vie privée, facile pour les humains, mais un robot risque de mettre un champ au hasard, ou le premier (des spams en janvier à prévoir du coup ^^).

Ce n’est pas parfait, si un attaquant veut vraiment me spammer il rajoutera cela dans son robot. Mais je n’en suis pas là.

En espérant avoir aidé !

Et ça ne fonctionne pas vraiment : tous les mois, tu as des jours pendant lesquels tu peux bloquer des gens légitimes qui ne sont pas dans le même fuseau horaire que ton serveur.