Après Google Analytics, les autorités s’attaquent-elles à Google Fonts ?

Il y a quelques jours, nous avons publié un article afin de développer les récentes polémiques autour de l’outil de mesure d’audience Google Analytics. Très récemment, le tribunal régional de Munich a ouvert un débat similaire autour de l’outil Google Fonts, qui permet aux développeurs d’intégrer très rapidement et facilement des polices de caractère sur des sites internet. A ce jour, près de 54 millions de sites internet utiliseraient Google Fonts. Néanmoins, cela n’est pas sans contrepartie : Google peut récolter l’adresse IP des utilisateurs du site internet utilisant Google Fonts sans leur consentement.

Dans sa décision, le tribunal allemand rappelle que l’adresse IP est une donnée à caractère personnel dans la mesure où l’exploitant du site web dispose de moyens légaux qui pourraient être utilisés pour identifier la personne concernée. Il s’agit d’une position partagée par les Etats-Membres, et qui a notamment été affirmée par la Cour de cassation (Cas. soc., 25.11.2020, n°17-19.523) .
Le tribunal allemand a condamné le responsable du site à payer 100€ au demandeur, en considérant que le traitement violait le RGPD dans la mesure où :

  • « L’intérêt légitime revendiqué par le responsable du traitement était inapplicable dans la mesure où « Google Fonts peut également être utilisé sans qu’une connexion à un serveur Google ne soit établie, et que l’adresse IP de l’utilisateur du Site Web soit transmise à Google », d’autant que le webmestre a « perdu le contrôle sur les données personnelles au profit de Google  » ;
  • « L’adresse IP [des utilisateurs] a incontestablement été transmise à un serveur de Google aux États-Unis, bien qu’un niveau approprié de protection des données n’y soit pas garanti ».

Une collecte PLUS INTRUSIVE QU’IL N’Y PARAIT


Dans un premier temps, la collecte d’une adresse IP sur un site ne semble pas présenter de risque particulier : c’est d’ailleurs une pratique extrêmement fréquente, utilisée notamment pour bloquer de potentiels attaquants. Néanmoins, Google a une force de frappe telle que cette simple adresse IP lui permet la réalisation de traitements bien plus intrusifs que ce que pourrait réaliser un éditeur ordinaire . En outre, le géant américain n’informe pas correctement les internautes que les sites utilisant Google Fonts vont lui permettre de récupérer cette donnée, ni de la manière dont elle est utilisée.
Effectivement, par le biais cet outil pouvant sembler anodin, Google a la capacité de suivre les sites internet que vous visitez à la trace en récupérant votre adresse IP sur chacun des sites qui utilisent Google Fonts (ou ses autres outils collectant cette même donnée!). Cette possibilité de tracer les utilisateurs inclut la visite de sites religieux, politiques, mais également de santé : en utilisant l’outil uBlock, nous avons par exemple trouvé que le cookie Google Fonts est automatiquement déposé lorsque nous visitons le site Doctolib, comme le montre la copie d’écran ci-dessous. Cette seule information ne permet pas, en soi, de déduire la nature ni la gravité du potentiel mal affectant l’internaute, mais il n’y a plus qu’un pas à franchir.

UNE DONNÉE RÉCUPÉRÉE ET TRANSFÉRÉE SANS LE CONSENTEMENT DE L’UTILISATEUR


Très souvent, les éditeurs de sites internet identifient très bien les problématiques liées aux cookies déposés par Google Analytics. Néanmoins, tel n’est pas le cas avec le cookie Google Fonts, qui est automatiquement déposé sur de très nombreux sites utilisant cette solution. Pourtant, ce cookie ne semble pas si essentiel au bon fonctionnement du site : celui-ci serait peut être moins esthétique s’il était dénué des polices de caractère ajoutées, mais il n’en reste pas moins fonctionnel. En outre, la collecte de données personnelles telle que l’adresse IP n’est pas utile pour modifier la police de caractère d’un site internet. En conséquence, à notre sens, le cookie Google Fonts ne peut généralement pas être analysé comme « strictement nécessaire » au fonctionnement du site, et devrait dès lors être soumis au consentement préalable de l’utilisateur.
Une exception pourrait bénéficier aux créateurs de sites web qui n’ont pas une vocation fonctionnelle mais plutôt artistique, dont l’esthétique est l’objet même. Il faut néanmoins constater qu’il ne s’agit pas là de la majorité des sites web. En outre, admettre que le cookie est « strictement nécessaire » au fonctionnement du site ne règle pas la grande difficulté liée à l’absence de maîtrise sur la collecte ou sur les modalités de transfert de la donnée vers les Etats-Unis, qui est pointée par le tribunal allemand.

LE PROBLÈME DÉSORMAIS RÉCURRENT DU TRANSFERT DE DONNÉES personnelles VERS LES ETATS-UNIS


L’adresse IP collectée par Google Fonts est transférée sur les serveurs de Google, aux Etats-Unis, ce qui engendre les mêmes problématiques que pour Google Analytics : en l’absence de décision d’adéquation, ce type de transfert est difficile à mettre en œuvre de manière conforme, ce qui est particulièrement le cas pour les Etats-Unis du fait de leurs lois en matière de renseignements (Cloud Act, FIS Act, …). Dans notre précédent article en rapport avec Google Analytics, nous montrions qu’il est fort probable que le célèbre outil de mesure d’audience soit interdit dans un certain nombre d’Etats-Membres précisément du fait de transferts hors Union Européenne : ce sujet pourrait s’étendre à Google Fonts.

Les autorités de protection des données (APD) vont-elles être saisies de ce nouveau sujet ? L’affaire est également à suivre de près ! Vu la simplicité avec laquelle il est possible d’auto-héberger ses polices de caractère, nous vous recommandons de préférer cette solution, qui est par ailleurs bien plus respectueuse de la vie privée des utilisateurs de votre site.

Mise à jour du 10/02/2022 : La cnil interdit l’utilisation de google analytics, et étant sa solution aux autres outils réalisant des transferts de données hors Union


Il n’a suffit que de quelques jours après la publication de notre article pour que la CNIL prenne position quant à l’utilisation de Google Analytics. La Commission a suivi la décision de son homologue autrichien, estimant que même si « Google a adopté des mesures supplémentaires pour encadrer les transferts de données« , ce n’est toujours pas suffisant à garantir la conformité des transferts de données au RGPD dans la mesure où elles ne permettent pas d’ « exclure la possibilité d’accès des services de renseignements américains aux données ».
Une analyse plus complète sur cette décision est disponible ici.

Retour haut de page