Questions fréquentes

Découvrez les problèmes courants que vous pouvez rencontrer ou les questions que vous pouvez vous poser lors de l'utilisation de reCAPTCHA.

Implémentation

Puis-je utiliser reCAPTCHA dans le monde entier ?

Oui, vous pouvez utiliser www.recaptcha.net dans votre code de frontend lorsque www.google.com n'est pas accessible à vos utilisateurs.

  • Commencez par remplacer <script src="https://www.google.com/recaptcha/enterprise.js?render=<SITE_KEY>"></script> par <script src="https://www.recaptcha.net/recaptcha/enterprise.js?render=<SITE_KEY>"></script>, en remplaçant la clé de site par <SITE_KEY>.
  • Ensuite, appliquez la même logique à tous les autres emplacements utilisant le code www.google.com/recaptcha/ sur votre site.

reCAPTCHA utilise-t-il des cookies ?

reCAPTCHA définit un cookie nécessaire (_GRECAPTCHA) lorsqu'il est exécuté afin de fournir son analyse des risques. Si vous préférez ne pas utiliser le domaine www.google.com qui peut contenir d'autres cookies, vous pouvez utiliser www.recaptcha.net.

Je souhaite masquer le badge reCAPTCHA. Qu'est-ce qui est autorisé ?

Vous êtes autorisé à masquer le badge tant que vous incluez le fait que vous utilisez reCAPTCHA pour protéger votre site, et que la mention "Les conditions d'utilisation et les règles de confidentialité de Google s'appliquent" soit visible dans le parcours utilisateur. Incluez le texte suivant :

This site is protected by reCAPTCHA and the Google
<a href="https://policies.google.com/privacy">Privacy Policy</a> and
<a href="https://policies.google.com/terms">Terms of Service</a> apply.

Exemple :

Exemple de liens vers les règles de confidentialité et les conditions d&#39;utilisation

À partir du 2 avril 2026, reCAPTCHA passera du statut de responsable du traitement à celui de sous-traitant des données. Vous pourrez toujours masquer le badge, mais vous devrez supprimer toute référence aux Conditions d'utilisation et aux Règles de confidentialité de Google, car elles ne seront plus applicables.

Puis-je personnaliser le widget ou le badge reCAPTCHA ?

Oui. reCAPTCHA propose des thèmes clairs et sombres. Pour choisir un thème, définissez l'data-theme attribut ou le theme paramètre lors du rendu du widget ou du badge.

  • Thème clair :
    Widget ou badge reCAPTCHA avec le thème clair

  • Thème sombre :
    Widget ou badge reCAPTCHA dans le thème sombre

J'utilise une Content Security Policy (CSP) sur mon site Web. Comment puis-je la configurer pour qu'elle fonctionne avec reCAPTCHA ?

Nous vous recommandons d'utiliser l'approche documentée avec CSP3. Veillez à inclure votre numéro, qui ne peut être utilisé qu'une seule fois, dans la balise de script enterprise.js de reCAPTCHA. Nous nous occuperons du reste.

Vous pouvez également ajouter les valeurs suivantes aux directives :

  • script-src https://www.google.com/recaptcha/, https://www.gstatic.com/recaptcha/
  • frame-src https://www.google.com/recaptcha/, https://recaptcha.google.com/recaptcha/
  • connect-src https://www.google.com/recaptcha/

Combien de domaines puis-je ajouter dans la liste des "domaines de validation" de la Google Cloud console ?

Vous pouvez ajouter jusqu'à 250 domaines par clé.

Pour utiliser une clé sur plus de 250 domaines, consultez Créer des clés pour les sites Web.

J'utilise une implémentation de plug-in tiers qui n'est pas officiellement compatible avec l'API cloud de reCAPTCHA, mais uniquement avec l'ancienne API reCAPTCHA siteverify. Puis-je toujours utiliser reCAPTCHA ?

Oui, l'ancienne clé secrète est disponible dans la Google Cloud console. Pour savoir comment la trouver, consultez Rechercher une ancienne clé secrète reCAPTCHA.

Comment éviter d'entrer dans le code reCAPTCHA lors du débogage de mon site ?

Pour éviter d'entrer dans le code reCAPTCHA lors du débogage d'autres codes JavaScript sur votre site, ajoutez le script reCAPTCHA /recaptcha__.+\.js$ à la liste d'exclusion de votre navigateur. Pour obtenir des instructions concernant Chrome, consultez Ignorer une liste personnalisée de scripts. Des fonctionnalités similaires sont disponibles dans d'autres navigateurs.

Pourquoi la page défile-t-elle jusqu'en bas lorsque l'utilisateur termine le test sur iOS 10 uniquement ?

Il s'agit d'un bug de mise au point que nous avons signalé à Apple. Il n'affecte que les utilisateurs d'iOS 10 et uniquement sur certains sites. Si vous êtes concerné, vous pouvez contourner le problème en déplaçant le widget reCAPTCHA plus haut ou plus bas sur la page.

Utilisation

Existe-t-il des limites de débit concernant mon utilisation de reCAPTCHA ?

Oui, consultez Quotas et limites.

Quel fuseau horaire est utilisé dans le tableau de bord reCAPTCHA ? Puis-je changer ce paramétrage ?

Ce fuseau horaire est basé sur le fuseau horaire client de votre navigateur. Vous ne pouvez pas modifier ce paramètre pour le moment.

Comment mesurer la qualité des scores que reCAPTCHA renvoie ?

En fin de compte, cela dépend de votre cas d'utilisation et des résultats requis. En règle générale, nous vous recommandons d'utiliser vos propres métriques internes sur le comportement des utilisateurs pour déterminer l'exactitude de votre score, par exemple :

  • Un utilisateur qui a réinitialisé son mot de passe et reçu un score élevé a-t-il signalé plus tard que son compte a été piraté ?
  • Un utilisateur qui s'est connecté avec un faible score a-t-il ensuite envoyé du spam à d'autres ?
  • Un utilisateur qui n'a pas réussi à se connecter et qui a reçu un faible score a-t-il ensuite essayé de se connecter à plusieurs autres noms d'utilisateur ?

Comment puis-je obtenir plus d'informations sur le trafic de mon site Web ?

Vous pouvez consulter les détails sur la reCAPTCHA page de la Google Cloud console.

J'aimerais exécuter des tests automatisés avec reCAPTCHA. Que dois-je faire ?

Vous pouvez créer des clés de site reCAPTCHA conçues pour les tests à l'aide de Google Cloud CLI. Pour en savoir plus, consultez les options --testing-challenge et --testing-score sur la page recaptcha keys create reference.

Exemples

  • Créer une clé de site de case à cocher qui renvoie toujours "No CAPTCHA" (pas de test) et 1.0 (modifier --domains et --display-name ci-dessous).
gcloud recaptcha keys create --testing-challenge=nocaptcha --testing-score=1.0 --web --domains="domain1.com,domain2.com" --display-name="Always No CAPTCHA" --integration-type=checkbox
  • Créer une clé de site de case à cocher renvoyant toujours un test non résolu (modifier --domains et --display-name ci-dessous).
gcloud recaptcha keys create --testing-score=0.0 --testing-challenge=challenge --web --domains="domain1.com,domain2.com" --display-name="Unsolvable Challenge" --integration-type=checkbox
  • Créer une clé de site basée sur un score qui renvoie toujours un score défini (modifier --domains, --display-name et --testing-score ci-dessous).
gcloud recaptcha keys create --testing-score=1.0 --web --domains="domain1.com,domain2.com" --display-name="Always 1" --integration-type=score

J'aimerais communiquer avec l'API REST reCAPTCHA. Puis-je supposer que le format de réponse ne changera pas à l'avenir ?

À mesure que notre produit évolue, nous pouvons appliquer des modifications non destructives comme l'ajout de nouveaux champs à notre API. Si vous utilisez JSON, veillez à ne pas valider strictement le format de la réponse pour maintenir la compatibilité avec les futures ajouts à l'API.

Quelles sont mes options si je souhaite créer une clé reCAPTCHA classique ?

Vous ne pouvez plus créer de clés classiques. Si vous disposez de clés classiques existantes, nous vous recommandons de migrer depuis reCAPTCHA Classic. Tous les clients Google Cloud reCAPTCHA peuvent créer 10 000 évaluations par mois sans frais. Pour en savoir plus sur l'utilisation et les tarifs, consultez Tarifs de reCAPTCHA.

Traitement des données

En savoir plus sur le traitement des données reCAPTCHA

Quelles sont les implications et les recommandations concernant la suppression des références aux Règles de confidentialité et aux Conditions d'utilisation de Google du badge reCAPTCHA et des sites Web des clients à partir du 2 avril 2026 ?

À partir du 2 avril 2026, les références aux Règles de confidentialité et aux Conditions d'utilisation de Google seront supprimées du badge reCAPTCHA pour refléter le rôle du client en tant que responsable du traitement et celui de Google en tant que sous-traitant des données client. Même si ces liens resteront actifs pour d'autres produits Google, nous recommandons aux clients de supprimer ces références de leurs propres sites Web à partir de cette date pour une représentation précise. Vous pouvez continuer à masquer le badge reCAPTCHA si nécessaire.

Les clients assument-ils le rôle de responsable du traitement ?

Les clients reCAPTCHA ont toujours été responsables du traitement en ce qui concerne les données de leurs utilisateurs finaux. Google, cependant, a toujours considéré qu'il agissait en tant que responsable du traitement indépendant en ce qui concerne la fourniture de reCAPTCHA. En passant au rôle de sous-traitant des données, Google renonce à sa capacité de déterminer les finalités et les moyens de traitement des données client. C'est pourquoi les clients reCAPTCHA doivent supprimer les références aux Règles de confidentialité et aux Conditions d'utilisation de Google. À partir du 2 avril 2026, les clients reCAPTCHA seront les seuls responsables du traitement des données client, et Google ne traitera vos données client reCAPTCHA que conformément aux Conditions d'utilisation de Google Cloud et à l'Avenant relatif au traitement des données dans le cloud.

Le cookie reCAPTCHA (_grecaptcha) restera en place et ne sera pas affecté.

Le passage de Google au rôle de sous-traitant des données a-t-il des implications pour les implémentations reCAPTCHA actuelles des clients ou pour leur position contractuelle avec Google ?

Il n'y a aucune implication pour les implémentations reCAPTCHA de nos clients ni pour leur position contractuelle en ce qui concerne Google. Cela dit, nous encourageons les clients à examiner leurs propres informations sur la confidentialité destinées aux utilisateurs finaux pour s'assurer qu'elles couvrent l'objectif du traitement effectué par reCAPTCHA, à savoir la sécurité, la prévention des fraudes et des utilisations abusives. Les Conditions spécifiques au service reCAPTCHA seront mises à jour dans le cadre du passage de reCAPTCHA au statut de sous-traitant des données, mais cette mise à jour consistera principalement à supprimer les obligations de nos clients, comme l'obligation de présenter les Règles de confidentialité et les Conditions d'utilisation de Google à leurs utilisateurs finaux.

En tant que sous-traitant des données, quelles sont les limites de traitement qui s'appliquent aux données client traitées par reCAPTCHA ?

Google s'engage à traiter les données client capturées à l'aide de reCAPTCHA uniquement si cela est nécessaire pour fournir et gérer le service, et à s'assurer que les capacités de sécurité, de détection des menaces, de protection et de réponse du service restent efficaces contre les menaces en constante évolution. Cette limitation de finalité est déjà incluse dans les Conditions spécifiques au service reCAPTCHA actuelles et est davantage fondée sur nos obligations en tant que sous-traitant des données dans l'Avenant relatif au traitement des données dans le cloud.

Quelles sont les données de session recueillies par reCAPTCHA et comment Google les protège ?

Pour en savoir plus sur les données collectées par reCAPTCHA et sur les mesures prises par Google pour les protéger, consultez notre Avenant relatif au traitement des données dans le cloud et les Conditions spécifiques au service reCAPTCHA.

Pour en savoir plus sur la manière dont Google protège les données, consultez le Livre blanc sur la sécurité.

reCAPTCHA est-il conforme au RGPD ?

Oui. Dans Google Cloud, nous encourageons les initiatives qui donnent la priorité à la sécurité et à la confidentialité des données à caractère personnel des clients, et qui permettent de les améliorer. Notre volonté est que les clients reCAPTCHA puissent utiliser nos services en toute confiance, au regard des exigences de RGPD. Nous nous engageons dans notre Avenant relatif au traitement des données dans le cloud à respecter le RGPD en ce qui concerne le traitement des données à caractère personnel des clients dans tous Google Cloud les services, y compris reCAPTCHA.

Pour connaître les conditions supplémentaires spécifiques à reCAPTCHA, consultez les Conditions spécifiques au service reCAPTCHA.

Les informations sur les transactions de paiement sont-elles collectées par reCAPTCHA ?

Lorsque vous installez reCAPTCHA sur une page de transaction de paiement, il examine certains signaux de transaction pour vous protéger contre les attaques automatisées. Par exemple, de nombreuses tentatives d'achat par seconde avec le même prix peuvent, dans certains cas, indiquer une attaque.

Toutefois, les bots ne représentent qu'une petite partie du problème global de la fraude. Pour une protection plus complète, intégrez-vous à reCAPTCHA Fraud Prevention, qui vous permet d'envoyer des informations de transaction plus complètes et de recevoir des évaluations sur les fraudes telles que les tests de cartes et l'utilisation d'instruments volés.

Validation des gestes de la main

Les sections suivantes fournissent des informations sur la collecte de données, les autorisations et l'accessibilité pour la validation des gestes de la main.

Collecte et stockage des données

Quelles données sont collectées par reCAPTCHA lorsque la fonctionnalité "Gestes de la main" est activée ?

  • Google analyse une ou plusieurs vidéos de la main d'un utilisateur lorsqu'il effectue différentes actions ou différents gestes. La vidéo est traitée pour extraire les données de repères de la main, qui incluent 21 coordonnées des articulations de la main .
  • Les vidéos ne sont jamais associées à l'identité de l'utilisateur et sont supprimées après le processus de validation. L'audio n'est jamais enregistré.

Quelles données supplémentaires sont stockées par reCAPTCHA lorsque la fonctionnalité "Gestes de la main" est activée ?

  • Google ne conserve aucune image ni vidéo des gestes de la main d'un utilisateur après la procédure de validation, et n'utilise pas ces données à d'autres fins. Les vidéos ou les images sont automatiquement supprimées une fois le test terminé.
  • Les informations collectées par Google seront utilisées et stockées conformément aux Règles de confidentialité de Google .

Autorisations

En savoir plus sur les autorisations d'accès à l'appareil photo pour la validation des gestes de la main

Qui reçoit les autorisations d'accès à l'appareil photo avec le consentement de l'utilisateur : Google ou les applications tierces ?

Les tests de gestes de la main nécessitent des autorisations pour accéder à l'appareil photo d'un utilisateur. Une fois que l'utilisateur a accepté d'effectuer des gestes de la main, Google reçoit les autorisations d'accès à l'appareil photo, et les utilisateurs peuvent gérer les autorisations dans les paramètres du navigateur à tout moment. Google traite les vidéos de gestes de la main uniquement à des fins de validation de sécurité et ne transfère aucune donnée ni autorisation associée à des tiers.

Problèmes d'accessibilité

En savoir plus sur l'accessibilité pour la validation des gestes de la main

Comment fonctionnent les gestes de la main pour les utilisateurs ayant des problèmes d'accessibilité ?

Pour les utilisateurs ayant des problèmes d'accessibilité qui ne peuvent pas utiliser les gestes de la main pour se valider, reCAPTCHA continuera à proposer des tests visuels et audio, et à développer de nouveaux tests alternatifs plus accessibles et sécurisés.