Au-delà du CAPTCHA : reprendre la main sur la vérification humaine sans sous-traiter sa sécurité à Google

# Au-delà du CAPTCHA : reprendre la main sur la vérification humaine sans sous-traiter sa sécurité à Google

Chaque formulaire de contact, chaque page de connexion, chaque espace client de votre organisation pose discrètement une question à un serveur américain. Pas à votre serveur. À celui de Google, ou de Cloudflare, ou d'hCaptcha. La vérification que l'utilisateur est bien un humain — cette friction mineure que vous avez intégrée sans trop y penser — est en réalité l'un des angles morts les plus systématiques de la souveraineté numérique des entreprises européennes.

En 2026, alors que le RGPD a soufflé ses huit bougies et que l'AI Act commence à produire ses premiers effets réglementaires, beaucoup de DSI ont sécurisé leurs clouds, audité leurs SaaS critiques, rapatrié certaines données sensibles. Mais ils continuent d'envoyer les empreintes comportementales de leurs utilisateurs vers Mountain View à chaque chargement de reCAPTCHA.

Ce que fait vraiment un CAPTCHA — et pourquoi ça pose problème

Sur le papier, un CAPTCHA est simple : il distingue un humain d'un bot. Mais le mécanisme sous-jacent de reCAPTCHA v3 — qui est aujourd'hui le standard de facto sur une très grande partie du web — va bien au-delà. Il analyse le comportement de navigation de l'utilisateur sur votre site, croise ces données avec l'historique de navigation global de Google, attribue un score de confiance, et vous renvoie un verdict.

Ce qui est envoyé à Google, ce n'est pas juste "cet utilisateur a cliqué sur des feux tricolores". C'est un profil comportemental horodaté, corrélé avec d'autres sessions, enrichi par des cookies tiers encore présents selon les configurations. Pour un portail RH, un espace client bancaire, ou une plateforme de gestion de contrats, la question n'est plus abstraite : quelles données comportementales de vos utilisateurs les plus sensibles sont actuellement collectées par un tiers américain à chaque visite ?

Le Comité européen de la protection des données (CEPD) a rappelé à plusieurs reprises que tout transfert de données vers les États-Unis doit reposer sur une base légale solide. Le Privacy Shield 2.0 — officiellement le Data Privacy Framework — a certes été adopté en 2023, mais sa fragilité juridique est documentée : Max Schrems et NOYB ont annoncé dès sa publication qu'ils contestaient sa validité. En 2026, le sujet reste juridiquement ouvert. Construire une architecture de sécurité sur une brique dont la légalité peut être remise en cause par un arrêt de la CJUE, c'est un risque de conformité que peu de DPO accepteraient s'ils en prenaient pleinement conscience.

Le marché des alternatives : moins simple qu'il n'y paraît

Face à ce constat, la tentation est d'aller chercher une alternative "souveraine" comme on change de fournisseur cloud. Mais le marché des solutions anti-bot est plus complexe que celui de l'hébergement.

La première piste sérieuse, et souvent sous-estimée, c'est de se demander si l'on a vraiment besoin d'un CAPTCHA. Pour beaucoup de formulaires à faible enjeu, des techniques côté serveur — honeypots, vérification du temps de remplissage, analyse des en-têtes HTTP, limitation de débit — suffisent à bloquer l'immense majorité des bots automatisés sans collecter quoi que ce soit sur l'utilisateur. Ce n'est pas glamour, c'est du travail d'ingénierie, mais c'est souverain par construction.

Pour les cas où une vérification plus robuste est nécessaire, deux approches méritent l'attention des équipes techniques européennes.

Friendly Captcha est une solution développée en Allemagne qui mérite d'être mentionnée ici pour de bonnes raisons, pas pour faire du remplissage. Son modèle repose sur un proof-of-work côté client : le navigateur de l'utilisateur résout un puzzle cryptographique, ce qui ralentit les attaques en masse sans nécessiter de profil comportemental. Les données personnelles ne transitent pas vers un tiers. L'entreprise est basée à Munich, soumise au droit allemand et donc au RGPD. Pour des portails B2B, des espaces clients d'ETI ou des interfaces d'administration, c'est une alternative crédible que plusieurs RSSI français ont commencé à évaluer sérieusement.

hCaptcha est souvent cité comme alternative à reCAPTCHA, et il est vrai que son modèle économique est différent (il monétise les puzzles résolus comme annotation de données pour l'IA). Mais son hébergement est américain et ses conditions de transfert de données posent les mêmes questions juridiques que Google, avec moins de clarté contractuelle. Le citer comme solution "souveraine" serait inexact.

La piste réellement intéressante à moyen terme, c'est l'approche "zero-knowledge" ou sans friction. Des solutions comme Turnstile de Cloudflare — là encore américain, ce qui limite son intérêt souverain — ou des implémentations basées sur des tokens d'attestation anonymes commencent à émerger. Le principe : prouver qu'un utilisateur est légitime sans collecter ses données comportementales, via des mécanismes cryptographiques. C'est encore jeune, mais c'est la direction que plusieurs groupes de travail du W3C explorent activement. Pour un DSI qui pense à deux ou trois ans, c'est une évolution à surveiller de près.

Ce que ça change concrètement pour vous

Si vous gérez des applications web exposées à des utilisateurs externes — clients, partenaires, fournisseurs — il y a probablement un reCAPTCHA quelque part dans votre stack. Pas parce que quelqu'un a fait un mauvais choix, mais parce que c'était le chemin de moindre résistance lors du développement.

La première action concrète n'est pas de migrer : c'est de cartographier. Savoir exactement où des services tiers de vérification sont appelés, dans quels contextes, avec quelles données utilisateur en jeu. Cet inventaire révèle souvent des surprises : des CAPTCHA sur des formulaires internes où il n'y en a pas besoin, des implémentations oubliées dans des applications legacy, des plugins CMS qui appellent des services externes sans que personne n'y ait prêté attention récemment.

Ensuite, il faut différencier par niveau de sensibilité. Un formulaire de newsletter et un portail d'accès aux données RH ne méritent pas la même approche. Pour le premier, un honeypot bien configuré est souvent suffisant. Pour le second, la question de la souveraineté de la vérification d'identité mérite une vraie réflexion architecturale.

Il y a aussi une conversation à avoir avec votre DPO — ou à initier si elle n'a pas eu lieu. La question n'est pas "reCAPTCHA est-il illégal ?" (la réponse est nuancée et dépend des contextes), mais "avons-nous documenté ce transfert de données dans notre registre de traitement, et sur quelle base légale repose-t-il ?" Dans beaucoup d'organisations, la réponse honnête est non. Ce n'est pas catastrophique, mais c'est un angle mort à combler.

La question de fond que ce sujet soulève

Le CAPTCHA est un cas d'école parce qu'il illustre parfaitement un mécanisme systémique : les outils gratuits, pratiques et universellement adoptés ont souvent un coût caché mesuré en données et en dépendance. reCAPTCHA est gratuit parce que les données comportementales qu'il collecte ont de la valeur pour Google. Ce n'est pas un jugement moral, c'est le modèle économique.

Pour les décideurs IT européens, la question n'est pas d'être anti-américain ou de basculer dans un nationalisme technologique qui ne tient pas. C'est de comprendre, brique par brique, où se trouvent les dépendances structurelles de leur architecture, et de faire des choix conscients plutôt que subis.

Sur le sujet spécifique des anti-bots, la maturité des alternatives européennes est réelle mais inégale. Friendly Captcha est crédible pour des cas d'usage B2B standard. Pour des applications à très haute disponibilité ou à très fort trafic, les solutions locales n'ont pas encore la profondeur d'infrastructure des acteurs américains — et il serait malhonnête de prétendre le contraire.

Ce qui est en train de changer, c'est la perception du risque. Pendant longtemps, le risque de non-conformité sur ces briques perifériques semblait théorique. Avec l'AI Act qui renforce l'attention sur les traitements comportementaux automatisés, avec la montée en compétence des autorités de protection des données nationales, et avec la pression croissante des grandes entreprises clientes sur la conformité de leurs fournisseurs, les ETI et PME commencent à réaliser que ces angles morts peuvent devenir des points de friction commerciaux.

La vraie question que chaque DSI devrait se poser en sortant de cet article n'est pas "par quoi remplacer mon CAPTCHA ?" C'est : combien d'autres briques de mon architecture fonctionnent sur ce même modèle — gratuites, invisibles, omniprésentes, et fondées sur un transfert de données que personne n'a vraiment audité ? Le CAPTCHA n'est pas le problème. C'est le symptôme le plus visible d'une dette de souveraineté qui s'est accumulée silencieusement depuis dix ans.