Google Fonts est-il conforme au RGPD ?
Présentation
Google Fonts est un service d’hébergement gratuit de polices de caractère conçu en 2010.
À l’instant où nous rédigeons ces lignes, ce service propose 1.451 familles de polices de caractères vectorielles, toutes open source. Ce qui signifie que leurs auteurs accordent à tous le droit de les utiliser, de les étudier, de les modifier, de les distribuer et ce, quel que soit l’utilisateur, le support (digital, papier, …) et la finalité (logo, site, vitrine, affiches, etc.).
Pour les appliquer sur votre site, un simple appel de la police sur une adresse fixe fera l’affaire, en précisant la graisse souhaitée (épaisseur du trait) et les éventuelles variantes (gras, italiques, etc,). Rien de plus. Pour les personne familières avec les balises HTML et le code CSS, tout est clairement détaillé sur cette page.
Quant aux utilisateurs d’un éditeur de contenu (CMS) qui ont appliqué un modèle de site (template) acheté sur le web, sachez que Google Fonts est très souvent utilisé pour embellir ce site. Ce qui, nous allons le découvrir, pourrait vous causer quelques soucis.
Du point de vue RGPD, puis-je utiliser Google Fonts ?
L’utilisation des polices de caractère de Google n’enfreint pas le règlement général pour la protection des données (RGPD).
Par contre, c’est la manière de les charger qui peut vous mettre à l’amende. Car Google propose deux manières de les utiliser, soit en téléchargeant les polices pour les stocker sur votre site (ou tout serveur vous garantissant la non exploitation des données), soit en chargeant celles-ci depuis domaines “fonts.googleapis.com” ou “fonts.gstatic.com”.
Notez que lorsque ces polices sont appelées sur les serveurs de Google, il y a de facto transmission de l’adresse IP de l’internaute (le lecteur). C’est le propre du protocole HTTP, c’est valable pour tout fichier chargé dans votre navigateur. Rien d’anormal donc si ce n’est que Google stocke et exploite ces adresses IP à ses fins (relier une IP avec du contenu grâce à une police de caractère, c’est plutôt malin).
Et c’est là que le RGDP intervient ! Comme le législateur a établi que l’adresse IP d’un internaute (qu’elle soit fixe ou non) constitue une information personnelle identifiable (que l’on peut relier à un individu), sa transmission vers un service tiers doit être préalablement consentie par l’internaute [1].
Le règlement général pour la protection des données n’est donc pas qu’une affaire de cookies.
Et c’est sur cette base que le tribunal de grande instance (Landgericht) de Munich a condamné un site allemand à 100 EUR d’amende pour ne pas avoir respecté la réglementation. Arrêt du 19.01.2022, Az. 3 O 17493/20. Pointant du doigt la paresses des techniciens car des deux solutions proposées par Google (installation locale ou utilisation de leur API), l’option choisie fut celle qui protégeait le moins les internautes [2].
Conclusion
Si vous êtes propriétaire d’un site, vous êtes responsable du traitement des données (data processor en anglais). Cela implique des devoirs dont celui de vous assurer que vos sous-traitants se conforment aux prescriptions du RGPD.
Cela s’étend à tout ce qui constitue votre site ; polices de caractères, images, librairies, etc. Soyez vigilants.
Comment tester mon site ?
Depuis votre navigateur, vous pouvez “inspecter” votre site pour afficher le trafic réseau, ce qui vous permettra de visualiser l’absence ou la présence des domaines “fonts.googleapis.com” et “fonts.gstatic.com”.
Si vous n’êtes pas familier avec ces options, vous pouvez également scanner votre site depuis ces services :
- Si vous souhaitez plus d’exemples de données à caractère personnel, nous vous invitons à lire cet article sur Europa, le site de la Commission Européenne : « À quoi correspondent les données à caractère personnel? »
- Si vous souhaitez plus de détails sur l’arrêt du tribunal de grande instance de Munich, nous vous invitons à lire l’article de David Dias Matos du 21 mars 2022 ; Google Fonts : quand la police enfreint le RGPD