alternatives-recaptcha-formulaires-protection
Accueil > Web > Alternatives à reCAPTCHA : protéger ses formulaires sans plomber ses conversions

⭠ Retour à la catégorie

Alternatives à reCAPTCHA : protéger ses formulaires sans plomber ses conversions

Publié par Hugo Duterque le 9 mars 2026
Temps de lecture : 10 minutes

Sommaire

Résumer ou partager cet article :

Google reCAPTCHA équipe encore des millions de sites en France, mais le contexte a changé. La CNIL a sanctionné des entreprises pour son usage non encadré, le service collecte des données à des fins étrangères à la sécurité, et son interface « sélectionnez les vélos » agace autant les humains qu’elle laisse passer les bots dopés à l’IA. Résultat : un outil censé protéger votre site finit par freiner vos conversions tout en exposant votre conformité RGPD.

Bonne nouvelle, les alternatives à reCAPTCHA sont matures, gratuites pour la plupart des usages, intégrables en quelques heures sur WordPress ou PrestaShop, et invisibles pour vos visiteurs. Cloudflare Turnstile, Friendly Captcha, hCaptcha, Altcha : chacune a sa logique, ses limites, son coût et son niveau de conformité. On fait le point pour vous aider à choisir, à intégrer, et à mesurer ce que vous gagnez côté formulaires.

Pourquoi reCAPTCHA n’est plus une option neutre

Le reCAPTCHA de Google a deux problèmes structurels. Le premier est juridique : le service dépose des cookies et collecte des données de comportement (mouvements de souris, empreinte navigateur, IP, contexte de navigation) qui partent vers des serveurs aux États-Unis. Tant que ces opérations ne se limitent pas à la sécurisation stricte du site, l’article 82 de la loi Informatique et Libertés impose le recueil du consentement préalable de l’internaute. Et c’est précisément ce que la CNIL reproche au mécanisme.

En mars 2023, la formation restreinte de la CNIL a sanctionné la société Cityscoot à hauteur de 125 000 euros, dont 25 000 euros spécifiquement pour l’usage de reCAPTCHA sans consentement préalable, sur ses procédures de création de compte, de connexion et de mot de passe oublié. La CNIL a explicitement écarté l’argument de « finalité unique de sécurisation », en rappelant que Google exploite les données pour ses propres traitements analytiques. Ce n’est pas un cas isolé : d’autres décisions vont dans le même sens et le risque est désormais clairement balisé.

La taxe performance

Le sujet est souvent sous-estimé, et pourtant il pèse lourd. reCAPTCHA charge un bundle JavaScript qui dépasse plusieurs centaines de kilo-octets, distribué depuis les domaines google.com/recaptcha et gstatic.com. Dès qu’un visiteur arrive sur une page qui contient le widget, le navigateur déclenche plusieurs requêtes externes, exécute le script principal, puis des sous-modules selon la langue et le contexte. Sur reCAPTCHA v3, le script tourne en arrière-plan sur toutes les pages du site, pas seulement sur celles qui contiennent un formulaire.

Le résultat est mesurable dans n’importe quel audit PageSpeed Insights : temps d’exécution JavaScript allongé, ressources tierces nombreuses, et impact direct sur le Largest Contentful Paint et l’Interaction to Next Paint. Sur un site déjà bien optimisé, reCAPTCHA peut à lui seul faire chuter le score mobile de 10 à 20 points. Les alternatives modernes pèsent typiquement trois à dix fois moins lourd. Cloudflare Turnstile et Friendly Captcha tournent autour de quelques dizaines de kilo-octets, sans requêtes vers des CDN publicitaires, et leur chargement peut être différé sans casser la soumission. Vous récupérez de la performance et un meilleur score Core Web Vitals dans la foulée. On a détaillé ce sujet plus largement dans notre article sur la vitesse de chargement de votre site.

Le coût caché côté expérience utilisateur

Au-delà du juridique, il y a la mécanique du formulaire. Une grille d’images « cliquez sur les passages piétons » ajoute 5 à 30 secondes de friction sur une action que l’utilisateur considère comme une corvée. Cette friction se traduit par des abandons, particulièrement sur mobile et particulièrement sur les formulaires de devis, de contact ou de création de compte. Les éditeurs de captchas invisibles avancent des baisses de conversion à deux chiffres liées aux captchas visuels traditionnels, et même si ces chiffres dépendent du contexte, la tendance est confirmée par tous les tests de terrain.

Et pendant ce temps, les bots récents s’en sortent très bien : les solveurs alimentés par des modèles de vision passent les défis d’images aussi vite que les humains, parfois mieux. Vous payez donc une taxe UX sur vos vrais visiteurs pour une protection qui devient cosmétique. Le sujet rejoint d’ailleurs celui plus large de la conformité d’un site, qu’on a déjà détaillé dans notre guide RGPD pour les sites web.

Lire aussi  PME industrielles : les 5 erreurs digitales qui plombent votre chiffre d’affaires

Les alternatives sérieuses en 2026

Quatre solutions concentrent l’essentiel du marché : Cloudflare Turnstile, Friendly Captcha, hCaptcha et Altcha. Chacune repose sur une logique différente, et c’est ce qui doit guider votre choix.

Cloudflare Turnstile

Turnstile est la réponse de Cloudflare au reCAPTCHA. Le widget est invisible dans la majorité des cas : il lance en arrière-plan une série de challenges JavaScript non interactifs (mesure de l’environnement navigateur, signaux comportementaux, fingerprint léger) et délivre un token de validation que votre serveur vérifie via une API. Pas d’image à sélectionner, pas de case à cocher dans la plupart des cas.

Côté tarif, Turnstile est gratuit pour la quasi-totalité des sites, y compris ceux qui ne sont pas hébergés derrière Cloudflare. C’est probablement la solution avec la barrière d’entrée la plus faible. Côté conformité, Cloudflare présente Turnstile comme respectueux de la vie privée et sans cookies de tracking publicitaire ; reste que Cloudflare est une société américaine, et que la politique de confidentialité reste générique. Pour un site B2B classique, le risque RGPD est faible mais pas nul. Pour un acteur santé ou public, on peut préférer une solution européenne.

Friendly Captcha

Friendly Captcha est édité en Allemagne et hébergé exclusivement dans l’Union européenne. Sa logique est différente : le navigateur du visiteur résout en arrière-plan une preuve de travail cryptographique (proof of work), pendant qu’il remplit le formulaire. Aucune donnée comportementale n’est collectée, aucun cookie n’est posé. Le résultat : un widget conforme RGPD by design, sans consentement requis dans la plupart des cas, et utilisable même sur des sites très sensibles à la confidentialité.

Le contrepoint : la preuve de travail consomme un peu de CPU côté client, ce qui peut être perceptible sur des terminaux très anciens ou bas de gamme. Et la version gratuite est limitée ; pour les sites à fort trafic, il faut basculer sur un abonnement payant. Une solution à privilégier dès que vous avez un enjeu fort de conformité européenne ou un public lecteur du RGPD.

hCaptcha

hCaptcha est l’option la plus proche, dans le ressenti utilisateur, du reCAPTCHA historique. Les challenges sont des grilles d’images, parfois plus ludiques (chiens souriants, gâteaux). Côté éditeur, le modèle est intéressant : hCaptcha rémunère les sites qui affichent ses challenges, en monétisant le labellisation des images.

Le problème, c’est que hCaptcha pose des cookies et collecte des signaux. La conformité RGPD n’est pas automatique : il faut recueillir le consentement, exactement comme pour reCAPTCHA. C’est donc une bascule utile si vous cherchez à sortir de l’écosystème Google sans changer radicalement votre logique de captcha visuel, mais pas si votre objectif est de supprimer le consentement et la friction.

Altcha

Altcha est la solution open source de la bande. Elle repose elle aussi sur une preuve de travail côté navigateur, et peut être totalement auto-hébergée. Aucune requête vers un tiers, aucun partage de données, aucune dépendance à un éditeur externe. C’est la solution qui pousse le plus loin la logique de confidentialité.

En contrepartie, Altcha demande de gérer soi-même son hébergement et sa configuration, et la communauté est plus petite que celle des solutions SaaS. C’est l’option des équipes techniques, des sites institutionnels qui exigent zéro dépendance externe, et des acteurs européens qui veulent maîtriser entièrement leur stack.

Comparatif : laquelle choisir selon votre contexte

Pour aider à arbitrer, voici les caractéristiques clés des quatre options sur les critères qui comptent dans la vraie vie : conformité, expérience utilisateur, intégration, coût et hébergement.

Critère Cloudflare Turnstile Friendly Captcha hCaptcha Altcha
Logique Challenges JS invisibles Preuve de travail Défis visuels Preuve de travail
Friction utilisateur Quasi nulle Quasi nulle Forte (images) Quasi nulle
Cookies Non publicitaires Aucun Oui Aucun
RGPD sans consentement Probable Oui par conception Non Oui
Hébergement États-Unis (CDN global) UE États-Unis Auto-hébergé
Coût d’entrée Gratuit Gratuit (volume limité) Gratuit Gratuit
Niveau technique Faible Faible Faible Moyen à élevé
Cible type Sites BtoB, e-commerce Sites santé, public, sensibles Sites globaux peu sensibles Institutionnels, tech, sites souverains
Lire aussi  Ne dépendez plus de Google Analytics : découvrez les meilleures alternatives validées par la CNIL

La logique de décision tient en quelques règles simples :

  • Vous voulez sortir de reCAPTCHA vite et sans réfléchir : Cloudflare Turnstile.
  • Vous avez un enjeu fort de conformité européenne : Friendly Captcha.
  • Vous tenez à garder un défi visuel : hCaptcha (mais avec gestion du consentement).
  • Vous voulez zéro dépendance externe : Altcha auto-hébergé.

Intégrer un captcha moderne sur WordPress

C’est le cas le plus simple. L’écosystème WordPress propose des plugins gratuits qui couvrent les principaux formulaires (Contact Form 7, WPForms, Gravity Forms, le checkout WooCommerce, la connexion native, les commentaires).

Pour Cloudflare Turnstile, deux options : utiliser l’intégration native de Contact Form 7 dans la section Intégrations du back-office, ou installer un plugin dédié type « Simple CAPTCHA Alternative with Cloudflare Turnstile ». Vous récupérez côté Cloudflare une site key et une secret key, vous les collez dans la configuration du plugin, vous cochez les formulaires concernés, et le tour est joué. Comptez 30 minutes pour un site standard, plus le temps de tester chaque formulaire critique.

Friendly Captcha propose aussi un plugin WordPress officiel, avec la même logique de clés. Altcha n’a pas de plugin maintenu côté WordPress aujourd’hui : il faut soit l’intégrer manuellement via un snippet et un hook PHP, soit passer par un développeur. La mécanique d’intégration s’inscrit dans une logique plus large d’optimisation du site, qu’on aborde par exemple dans notre article sur la vitesse de chargement et la performance.

Trois précautions à connaître :

  • Tester systématiquement la compatibilité avec les plugins de cache et d’optimisation JS (WP Rocket, LiteSpeed Cache) qui peuvent retarder le widget.
  • Vérifier le comportement avec les plugins de paiement WooCommerce, qui consomment parfois le token à la pré-validation et cassent la soumission finale.
  • Activer le mode « fallback » qui laisse passer la soumission si le service captcha est temporairement indisponible.

Intégrer un captcha moderne sur PrestaShop

PrestaShop est un peu moins bien outillé que WordPress, mais l’offre s’est étoffée. Plusieurs modules PrestaShop existent pour Cloudflare Turnstile (notamment sur Addons), avec une couverture des formulaires sensibles : contact, création de compte, connexion, mot de passe oublié, et parfois le tunnel de commande. L’installation suit le même schéma : site key et secret key dans la config du module, activation par type de formulaire, test.

Pour Friendly Captcha, hCaptcha et Altcha, l’offre native PrestaShop est plus mince. La solution propre consiste à développer un petit module override qui intercepte les hooks actionFrontControllerSetMedia, displayFooter et la validation côté contrôleur. Ce n’est pas complexe pour un développeur PrestaShop, mais ça reste du sur-mesure. Le sujet rejoint nos retours d’expérience sur la sécurisation des boutiques PrestaShop, qu’on a abordés dans notre comparatif PrestaShop vs WooCommerce et dans l’anatomie d’une cyberattaque sur un module e-commerce.

Points de vigilance spécifiques au e-commerce :

  • Le checkout est sensible. Un faux positif sur Turnstile peut bloquer une commande prête à être validée. Toujours prévoir un fallback et un message d’erreur clair.
  • Les modules de paiement (PayPal, Stripe, Adyen) effectuent des validations AJAX qui peuvent consommer le token captcha. Tester chaque scénario.
  • Multi-boutique : vérifier que le module gère bien des clés différentes par boutique.

Intégrer un captcha moderne sur une SPA ou via API

Pour les sites en React, Vue, Svelte, ou les frontends consommant une API REST, l’intégration est plus directe mais demande un peu de discipline. La logique est la même pour les quatre solutions :

  1. Charger le SDK côté client (CDN ou package npm).
  2. Monter le widget sur le composant de formulaire avec votre site key publique.
  3. Récupérer le token au moment de la soumission.
  4. Transmettre le token à votre API.
  5. Côté serveur, appeler l’endpoint de vérification de l’éditeur avec votre secret key et le token, vérifier la réponse (succès, hostname, timestamp).
  6. Ne traiter la soumission que si la validation est OK.
Lire aussi  Un outil innovant d'analyse des points faibles de votre site internet

Trois règles d’or à respecter :

  • Toujours vérifier le token côté serveur. Un captcha qui ne fait que de la validation front est inutile : un bot peut sauter le widget.
  • Vérifier le hostname retourné par l’API : c’est ce qui garantit que le token n’a pas été émis pour un autre site.
  • Limiter la durée de vie du token côté backend : les tokens sont à usage unique et expirent en quelques minutes.

Côté SPA, certaines équipes combinent le captcha avec un honeypot (champ caché que les bots remplissent automatiquement) et un rate limiting par IP. Cette défense en profondeur reste la meilleure pratique en 2026, surtout face aux bots IA capables de tromper les captchas comportementaux légers.

L’impact réel sur les conversions

C’est probablement le point le plus mal documenté du marché. Les éditeurs annoncent des gains de conversion à deux chiffres, les agences avancent leurs propres chiffres, et la vérité dépend en réalité de quatre variables : le type de formulaire, le volume de trafic, le profil des visiteurs, et la version de captcha qu’ils remplaçaient.

Ce qu’on observe de manière constante sur les sites qu’on accompagne :

  • Sur un formulaire de contact B2B, la suppression d’un captcha visuel au profit d’un captcha invisible améliore le taux de complétion, parfois de plusieurs points de pourcentage, principalement sur mobile.
  • Sur un tunnel de commande, l’impact est plus limité parce que les autres frictions (frais, livraison, paiement) pèsent plus lourd, mais on récupère les paniers qui se perdaient sur la dernière étape.
  • Sur un formulaire de devis ou de création de compte, l’effet est franc : moins d’abandons, plus de leads qualifiés. C’est souvent là que le ROI est le plus rapide.

À l’inverse, le volume de spam reçu chute typiquement de manière très visible, sans qu’on ait jamais besoin d’auditer manuellement une grille d’images douteuse. Les équipes commerciales et support gagnent du temps : moins de tickets parasites, moins de fausses pistes, moins d’inscriptions de bots polluant la base CRM.

Un dernier point qui mérite d’être nommé : un captcha invisible respectueux du RGPD vous permet aussi de simplifier votre bandeau cookies. Si vous supprimez reCAPTCHA, vous supprimez une dépendance qui doit être déclarée et consentie. C’est cohérent avec une stratégie plus large de mesure d’audience conforme, que nous détaillons dans notre article sur Consent Mode v2.

Passer à l’action sans casser ce qui marche

La migration d’un site reCAPTCHA vers une alternative moderne se fait en quatre étapes, pas plus. D’abord, recenser tous les formulaires concernés (contact, devis, connexion, mot de passe oublié, création de compte, commentaires, checkout). Ensuite, choisir une solution principale en fonction de votre profil : Turnstile pour la vitesse de mise en œuvre, Friendly Captcha pour la conformité européenne. Puis, déployer en environnement de staging et tester chaque formulaire critique, en particulier les chemins de paiement et de connexion. Enfin, monitorer les soumissions pendant deux à quatre semaines, comparer le volume de spam et le taux de conversion, ajuster si nécessaire.

C’est le genre de chantier où on a vu beaucoup d’erreurs faciles à éviter : un fallback non configuré, une politique de confidentialité jamais mise à jour, un module PrestaShop installé sans test sur la dernière étape du tunnel. Si vous voulez sécuriser cette migration et profiter de l’occasion pour faire un audit plus large de la conformité et de la performance de vos formulaires, nos équipes peuvent vous accompagner depuis notre agence à Reims, Troyes, Ajaccio et Genève. On fait ça pour des PME et des e-commerçants depuis vingt ans, et on dit ce qu’on fait, on fait ce qu’on dit.

Enterrer reCAPTCHA, ce n’est pas un caprice technique. C’est un alignement entre trois choses qui pèsent sur votre site tous les jours : la conformité RGPD, l’expérience de vos utilisateurs, et le ROI de vos formulaires. Les outils sont là, gratuits pour la plupart, intégrables en quelques heures. Reste à choisir le bon et à le déployer proprement.

Résumer ou partager cet article :

Suivez nous sur les réseaux sociaux

Inscrivez vous à notre Newsletter

Pour ne rien manquer de nos derniers conseils et actualités !

Continuer la lecture

Comment se former à la cybersécurité en entreprise
Cybersécurité

Comment se former à la cybersécurité en entreprise

La cybersécurité n'est plus un jargon de niche pour les geeks et les amateurs de technologie. Aujourd'hui, elle est une priorité pour tous les acteurs de l'entreprise, du PDG aux employés. Si votre entreprise n'a pas encore intégré la cybersécurité dans sa stratégie, il est grand temps de le faire. Dans cet article, nous vous guiderons à travers les différentes façons de vous former à la cybersécurité en entreprise.