Jusqu’au 2 avril 2026, Google était considéré comme responsable du traitement des données traitées dans le cadre de l’utilisation par ses clients de son service de vérification dénommé « reCAPTCHA »[1]. Désormais, Google indique qu’il agit en tant que sous-traitant et « renonce à sa capacité à déterminer les finalités et les moyens de traitement des données client ».
reCAPTCHA est l’un des services de Google utilisé sur de nombreux sites web pour vérifier que l’utilisateur est bien une personne et non un robot. Son utilisation implique la collecte de certaines données personnelles.
Cela étant, ce n’est pas parce que Google se présente comme « sous-traitant » qu’il l’est nécessairement au sens du RGPD. La CNIL pourrait requalifier le rôle de Google en responsable de traitement lorsqu’il fournit le service reCAPTCHA si, en pratique, il conserve un pouvoir décisionnel sur le traitement des données.
Ce changement de positionnement a des conséquences importantes pour les organismes qui utilisent reCAPTCHA : ils demeurent responsables de la conformité au RGPD et doivent, à ce titre, respecter leurs obligations (information, encadrement contractuel, gestion des cookies et du consentement).
[1] Questions fréquentes | reCAPTCHA | Google Cloud Documentation Questions fréquentes | reCAPTCHA | Google Cloud Documentation
