Adieu reCAPTCHA, bonjour Turnstile : ou comment protéger ses formulaires en 2025

La p’tite histoire du pourquoi du comment

Fin janvier 2025, une cliente m’informe que tous les formulaires de son site affichent la phrase laconique suivante : « La vérification reCAPTCHA a échoué, veuillez réessayer« . Panique à bord puisque XLA Courtage est en pleine réception de demandes de devis d’assurances de prêts et d’assurances habitation pour les salariés de la Banque de France.
Il m’a fallu désactiver temporairement le reCAPTCHA pour permettre aux prospects de XLA Courtage de poursuivre la saisie de leurs demandes de devis.
Ce qui avait être une petite secousse sismique s’est transformée en une opportunité de réflexion sur les vraies raisons qu’avait Mirobolus d’utiliser l’outil de Google. Après quelques tests et une lecture avisée de la documentation sur le sujet, j’ai décidé de tester Turnstile de Cloudflare sur mon propre site mirobolus.fr. En 30 minutes seulement, tous mes formulaires étaient protégés et se voyaient débarrassés d’un outil un peu trop intrusif et peu regardant sur le RGPD…
Finalement, et comme souvent, chaque obstacle technologique cache une meilleure solution ! Il suffit de se retrouver devant le problème pour se pencher réellement sur les options alternatives👍

Pourquoi Mirobolus remplace reCAPTCHA ?

1. Migration obligatoire vers Google Cloud et nouvelle tarification
   Les utilisateurs de reCAPTCHA ont reçu l’info par email en 2024 : D’ici fin 2025, tous les utilisateurs de reCAPTCHA devront migrer leurs clés vers un projet Google Cloud. Cette transition est impérative pour continuer à utiliser le service. Le processus de migration sera progressif bien entendu, mais il était temps pour Mirobolus de prendre sa décision concernant la migration ou le divorce afin d’éviter toute interruption de service pour ses clients.
   Google en profite pour nous informer que son service, historiquement gratuit pour la plupart des utilisateurs, pourrait devenir payant selon l’usage et le trafic reçu par le site sur lequel il est installé. Et pompon de la pomponnette, lors de la création du compte sur Google Cloud, il nous est demandé d’ajouter un mode de paiement valide (carte bancaire, compte bancaire, etc.), même si l’on souhaite uniquement utiliser les services gratuits ou bénéficier d’une offre d’essai.
2. Problèmes de confidentialité et de conformité réglementaire
   C’est peu connu mais reCAPTCHA collecte une grande quantité de données personnelles : votre adresse IP, votre comportement de navigation, les mouvements de votre souris, les paramètres de votre navigateur, le temps passé sur la page web et pire : il se permettrait de faire des captures d’écran de votre navigateur ! Ces données sont transférées hors de l’Union européenne, notamment vers les États-Unis, ce qui pose problème au regard du RGPD.
   Les conditions d’utilisation, de stockage et même la nature exacte des données collectées par Google avec reCAPTCHA sont particulièrement floues. Mais ce qui est certain, c’est que l’implémentation de reCAPTCHA sur un site internet nécessite de recueillir le consentement explicite de l’utilisateur. Et c’est rarement le cas, reconnaissons-le !
3. Une mauvaise expérience utilisateur
   Que celui qui n’a pas ragé devant les images de bus à cocher ou de caractères illisibles à réécrire lèvent la main 👋
   Ces tests reCAPTCHA sont frustrants et nous font perdre du temps. Notons qu’ils excluent les personnes en situation de handicap même si on a parfois la possibilité d’écouter la série de chiffres et de lettres. Ils ralentissent le temps de chargement des pages web et bloquent parfois certaines fonctionnalités comme dans notre exemple avec XLA Courtage.
4. Dépendance à Google de plus en plus difficile à accepter
   Avec mon expérience professionnelle de plus de 30 ans (oui je sais, ça fait mal, je viens de la préhistoire du web…), j’ai passé ma carrière à composer avec Google : Google Analytics, Search console, reCaptcha, Fiches Google My Business, cette omnipotence de Google m’irrite depuis un bon moment. Il me fallait un couac comme celui-ci pour initier la recherche d’alternatives.

Pourquoi Mirobolus choisit Turnstile ?

D’après mes recherches et compte-tenu du profil de mes clients, Cloudflare Turnstile semble considérée comme l’une des meilleures alternatives à Google reCAPTCHA pour la protection contre les bots et le spam en 2025.

1. Une expérience utilisateur plus fluide
   Turnstile fonctionne de manière invisible pour la majorité des utilisateurs, sans puzzles ni cases à cocher.
2. Gratuité et évolutivité
   Turnstile est gratuit jusqu’à 1 million de requêtes par mois, ce qui est largement supérieur au quota gratuit de reCAPTCHA et au trafic enregistré sur les sites de mes clients.
3. Facilité d’intégration
   L’outil s’intègre facilement à tout site web ou CMS, sans nécessiter de modifications majeures du code ou d’être client Cloudflare. En outre, une extension pour WordPress est proposée pour implémenter les clés de sécurité très simplement.
4. Respect de la vie privée et Conformité RGPD
   CloudFlare s’engage à collecter un minimum de données personnelles et à ne pas les utiliser à des fins de reciblage publicitaire, ce qui est un atout par rapport à reCAPTCHA qui est régulièrement critiqué pour sa collecte massive de données. Une interrogation subsiste car je n’ai pas trouvé de politique de confidentialité dédiée à Turnstile sur le site de CloudFlare.