PrivacyTools.io
Évalué par Marco Wollank
Remplacer aujourd'hui : reCAPTCHA

Le meilleur CAPTCHA respectueux de la confidentialité en 2026

Alternatives privées à reCAPTCHA, vérifiées selon nos critères publics.

Regroupé par niveau de menace

Couvert Un début facile et de bons réglages par défaut pour tous
Renforcé Un peu de configuration et de vrais gains pour les motivés

How they compare

Tool Hosting Based in Cost
ALTCHA
Self-hosted · Free
mCaptcha
Self-hosted · Free
Friendly Captcha
Managed (EU) Germany Freemium

Chaque CAPTCHA sur votre site est une demande que vous adressez à un visiteur, et le plus populaire répond devant Google. Il observe comment les gens bougent et cliquent et pose un cookie de pistage pour les suivre, puis transforme leur effort de résolution en étiquettes qui entraînent les propres modèles de Google. Tout cela est le prix du blocage d’un spam que vous pourriez bloquer autrement. Les outils ici font le même travail avec un puzzle en arrière-plan qui coûte du vrai calcul à un spammeur, sans rien demander à la confidentialité de votre visiteur.

Pourquoi vous ne pouvez pas simplement désactiver le pistage dans reCAPTCHA

La collecte de données n’est pas un paramètre, c’est la façon dont reCAPTCHA décide qui est humain. Il note des signaux comportementaux comme le mouvement de la souris et le timing des clics, puis les rattache à un identifiant via le cookie _GRECAPTCHA et envoie tout cela aux serveurs de Google aux États-Unis. Il n’y a pas d’interrupteur qui garde le blocage des bots tout en abandonnant la surveillance, car la surveillance est le blocage des bots. Les données font aussi double emploi : résoudre ses défis aide à entraîner les systèmes d’apprentissage automatique de Google. La seule façon d’empêcher votre formulaire de profiler vos visiteurs est de cesser d’utiliser un profileur, et c’est ce que chaque sélection de cette page vous permet de faire.

Comment nous choisissons

Chaque outil ici est tenu à nos critères d’inclusion publics : il doit bloquer l’abus sans pister le visiteur, ne poser aucun cookie publicitaire, n’envoyer aucune donnée de visiteur à un tiers pour du profilage, et dire clairement comment il fonctionne. Nous privilégions les conceptions à preuve de travail qui tournent dans le navigateur et se vérifient sur votre serveur, et nous ne listons que ce que nous mettrions sur notre propre formulaire de contact. Là où un outil fait une concession, comme être géré plutôt qu’auto-hébergé, nous le disons.

Que rechercher dans un CAPTCHA

Commencez par l’endroit où la vérification a lieu. Un CAPTCHA auto-hébergé comme ALTCHA ou mCaptcha garde chaque requête sur une infrastructure que vous contrôlez, donc aucune donnée de visiteur ne quitte votre serveur. Ensuite, regardez la méthode : un puzzle de preuve de travail en arrière-plan arrête le spam de masse sans demander à votre lecteur d’étiqueter des images. Vérifiez ensuite le comportement des cookies, car un outil qui ne pose aucun cookie et ne stocke rien dans le navigateur est un outil que vous pouvez déployer sans fenêtre de consentement. Enfin, pesez l’effort que vous pouvez y consacrer. L’auto-hébergement vous donne le plus de contrôle, tandis qu’une option gérée comme Friendly Captcha en cède une partie contre un service que quelqu’un d’autre fait tourner.

Et hCaptcha ou Cloudflare Turnstile ?

Les deux sont un net progrès sur reCAPTCHA côté confidentialité, et vous les avez peut-être déjà entendu recommander. Ils évitent le problème du profil publicitaire et s’intègrent facilement. La distinction honnête est que les deux restent un tiers à qui vous confiez les signaux de vos visiteurs : la vérification tourne sur les serveurs de quelqu’un d’autre, et vous faites confiance aux conditions de cette entreprise sur les données plutôt que de supprimer le tiers entièrement. C’est une posture différente de celle d’un CAPTCHA auto-hébergé, où rien concernant le visiteur ne quitte jamais votre propre serveur. Les deux sont raisonnables si un service géré vous convient, mais pour cette raison nous vous orientons plutôt vers l’option gérée basée dans l’UE ci-dessus, et nous réservons nos premières places aux outils que vous pouvez faire tourner vous-même.

Comment changer

Choisissez un outil et posez son widget dans le formulaire que vous voulez protéger, puis vérifiez la réponse sur votre serveur, ce que chaque projet documente avec des exemples à copier-coller. La plupart des gens commencent par un seul formulaire très spammé, un encart de contact ou une inscription, confirment que le puzzle fait son travail, puis le déploient sur tout le site. Si vous quittez précisément l’outil de Google, notre page d’alternatives à reCAPTCHA détaille l’échange. Le CAPTCHA est rarement le seul script Google d’un site, donc associer ceci à une analytique respectueuse de la confidentialité et à un système de commentaires qui n’appelle pas ses serveurs referme davantage la même fuite. Pour évincer Google sur toute la ligne, le manuel dégoogliser couvre le reste.

Questions fréquentes

Existe-t-il une alternative à reCAPTCHA respectueuse de la confidentialité ?
Oui, et vous avez un vrai choix. Les sélections de cette page arrêtent le spam avec un puzzle de preuve de travail en arrière-plan au lieu de profiler le visiteur. Aucune ne pose de cookie de pistage, et les auto-hébergées gardent chaque vérification sur votre propre serveur, donc aucune donnée de visiteur ne sort.
Qu'est-ce qu'un CAPTCHA à preuve de travail ?
Il demande au navigateur du visiteur de calculer un petit puzzle avant l'envoi d'un formulaire. Une vraie personne ne remarque jamais le bref délai. Un outil automatisé qui tire des milliers de requêtes paie ce coût de calcul sur chacune, et c'est ce qui rend le spam de masse lent et coûteux plutôt que gratuit.
Ces CAPTCHA sont-ils plus difficiles pour mes visiteurs ?
En général ils sont plus faciles. La plupart des CAPTCHA à preuve de travail sont invisibles ou une simple case à cocher, donc il n'y a pas de texte déformé à déchiffrer ni de feux de circulation à cliquer. Le travail se fait en arrière-plan pendant que le visiteur remplit le formulaire.
Les CAPTCHA respectueux de la confidentialité nécessitent-ils un bandeau cookies ou un consentement ?
Les options auto-hébergées ici ne posent aucun cookie et n'envoient rien à un tiers, donc il n'y a pas de pistage à consentir ni rien à ajouter à une politique de confidentialité. Un service géré traite tout de même une requête sur ses serveurs, alors vérifiez ses conditions sur les données, mais aucun de ceux-ci ne construit un profil publicitaire comme le fait le leader en place.
Un CAPTCHA peut-il arrêter tous les bots ?
Aucun outil n'arrête tout. La preuve de travail rend coûteux l'abus automatisé à gros volume, ce qui traite le spam qui remplit la plupart des formulaires. Un attaquant déterminé qui vise précisément votre site peut toujours payer le prix, alors traitez un CAPTCHA comme une couche parmi d'autres plutôt que comme toute la défense.
Quitter reCAPTCHA va-t-il nuire à ma protection contre le spam ?
Pour le flot quotidien de spam de formulaire et d'inscriptions bidon, non. La preuve de travail élève le coût des envois de masse, d'où vient la majeure partie de l'abus. Vous renoncez au scoring comportemental de Google, mais vous cessez aussi de nourrir Google avec vos visiteurs, et c'est la contrepartie dont parle cette page.