Google Fonts et RGPD : êtes-vous en infraction sans le savoir ?

Le responsable d’un site internet a été condamné par un tribunal allemand parce qu’il avait utilisé une police Google Fonts, ce qui a rendu son site non-conforme au RGPD.

Si vous avez intégré une police Google Fonts sur votre site, vous pouvez risquer la dilvugation non autorisée de données à caractère personnel transmises, et l’addition peut vite devenir salée.

Cet article vise à clarifier vos obligations légales en tant que gestionnaire de sites internet, concepteur ou développeur web lorsque vous utilisez une police Google Fonts, et à vous informer sur les risques RGPD liés à cette intégration, tout en vous donnant des solutions pratiques et faciles à mettre en place.

Comprendre Google Fonts et son fonctionnement

Google Fonts est un service de polices d’écriture open source proposé gratuitement par Google, et qui permet aux développeurs de choisir parmi près de 1 800 styles pour la conception d’un site internet.

Comment Google Fonts charge les polices ?

Son intégration est simple en téléchargeant le(s) fichier(s) de polices d’écriture soit en local, soit en ligne via un CDN (Content Delivery Network ou réseau de diffusion de contenu).

En téléchargement local, la police Google Fonts est hébergée directement sur le serveur de votre site internet. À l’arrivée d’un utilisateur sur le site, la police d’écriture s’affiche en récupérant un fichier depuis ce serveur.

En revanche, un réseau CDN est un réseau de serveurs répartis dans différentes régions du monde afin de charger du contenu depuis le serveur le plus proche de l’utilisateur pour améliorer son expérience.

Google Fonts en ligne utilise son propre CDN pour distribuer les polices de manière plus rapide. Dès qu’un visiteur charge une page du site, ce dernier envoie une requête externe (call API) vers les serveurs Google. Google récupère l’adresse IP du visiteur pour déterminer sa localisation géographique et sélectionner le serveur le plus proche de celui-ci afin de lui retourner le fichier de police.

Pourquoi Google Fonts pose un problème au regard du RGPD ?

L’utilisation d’une police Google Fonts en téléchargement local ne pose aucun problème au niveau RGPD à condition que le site internet soit hébergé sur un serveur européen. Ce n’est que si votre site est hébergé sur un serveur en dehors de l’Union européenne (UE) et de l’Espace économique européen (EEE), que vous devez vous assurer que ce pays présente des garanties de protection suffisante pour le transfert des données personnelles.

La technique du chargement de Google Fonts en ligne via un CDN, en revanche, nécessite plus de précautions pour respecter les exigences du RGPD.

En effet, l’adresse IP de chaque utilisateur est automatiquement collectée, stockée et transmise aux serveurs de Google, lesquels sont situés aux Etats-Unis. Cette collecte de données à l’origine technique permet également à Google d’analyser la provenance des utilisateurs, de tracer leur localisation ou de la recouper avec diverses données émanant de ses services (Google maps, Google Analytics, Gmail, Youtube, Google Ads, Google Play, etc.). Ces utilisations sont strictement encadrées par le RGPD, de même que le transfert de données personnelles aux Etats-Unis.

Bien que le transfert des données aux Etats-Unis ne soit pas systématique à chaque connexion de l’internaute (paramétrage possible limité seulement aux centres de données européens, fichier mis en cache en Europe), le serveur d’origine de Google demeure localisé aux Etats-Unis, ce qui induit que des transferts puissent se produire lors de la requête initiale avant la mise en cache, ou lors de la synchronisation des données ou de la mise à jour des fichiers (ajout ou modification du fichier).

L’adresse IP est une donnée à caractère personnel selon le RGPD

Une adresse IP est une série de chiffres et/ou de lettres, assignées par les fournisseurs d’accès à internet (FAI) pour identifier chaque appareil connecté à internet via le serveur du FAI. Elle peut être statique (identique à chaque connexion) ou dynamique (changeante au gré des connexions).

S’il est aisément concevable qu’une adresse IP statique puisse rendre une personne identifiable, l’exercice est moins évident avec une adresse IP dynamique.

Néanmoins, les adresses IP, qu’elles soient statiques ou dynamiques, ont bien été reconnues par la Cour de Justice de l’Union Européenne (par exemple, arrêt du 19 octobre 2016, C-582/14, Patrick Breyer c/ Bundesrespublik Deutschland) comme des données personnelles selon le RGPD car, même si elles ne permettent pas à elles seules d’identifier une personne, elles peuvent rendre une personne identifiable lorsqu’elles sont croisées avec d’autres informations (date et heure de connexion, adresse email, etc.).

En réalité, il importe peu que l’opérateur d’un site internet ait concrètement le pouvoir d’associer l’adresse IP au visiteur, il suffit qu’il en ait théoriquement la possibilité.

Google Fonts et la protection des données personnelles

L’adresse IP étant une donnée personnelle, le RGPD impose que tout traitement de ces données repose sur une base légale telle que le consentement libre, spécifique, éclairé et univoque de l’utilisateur (article 6 du RGPD). 

Or, de nombreux opérateurs de sites internet utilisant Google Fonts en ligne via un CDN n’informent pas leurs visiteurs de manière claire que leurs données personnelles sont collectées, stockées et peuvent être transférées aux Etats-Unis.

En outre, ils doivent obligatoirement recueillir, par un acte positif, le consentement de chaque visiteur à la collecte, au stockage et au transfert de leur adresse IP à un tiers, préalablement à l’affichage de la police Google Fonts sur leur site.

Souvent, la majorité des opérateurs utilisant Google Fonts n’est malheureusement pas consciente qu’elle commet des manquements au RGPD.

L’intérêt légitime comme base légale du traitement de données ?

On peut se demander si l’utilisation de Google Fonts via un CDN peut être exempté de consentement de l’utilisateur et se fonder sur l’intérêt légitime dans la mesure où elle est strictement nécessaire à la fourniture technique d’un service demandé par le visiteur : l’affichage des polices d’écriture sur le site internet ayant vocation à faciliter une communication électronique. 

Mais cette justification est mise à mal dès lors qu’il existe un autre moyen d’utiliser Google Fonts plus protecteur de la vie privée. L’hébergement de la police d’écriture en local permet à l’opérateur d’un site internet d’atteindre le même but sans avoir à transmettre l’adresse IP de ses visiteurs. Le traitement de données par l’utilisation de Google Fonts via un CDN n’est donc pas indispensable pour son utilisation.

C’est ainsi qu’un tribunal en Allemagne (Décision du 20 janvier 2022, 3e chambre civile, Landgericht München) a refusé l’intérêt légitime comme base légale du traitement de données et a tout de même condamné le responsable d’un site internet à verser des dommages-intérêts à un internaute pour avoir divulgué, sans son consentement explicite, son adresse IP en utilisant une police hébergée sur Google Fonts.

La possibilité de cacher son adresse IP ne dispense pas de recueillir le consentement du visiteur

S’il est exact que pour éviter le transfert de ses données personnelles aux Etats-Unis, le visiteur a la possibilité de masquer son adresse IP lorsqu’il visite un site internet, soit en recourant à un serveur proxy, soit en utilisant un réseau privé virtuel (VPN), il a été reconnu que ce n’est pas au visiteur d’assurer la protection de ses données personnelles lorsqu’il visite un site internet.

La question du transfert de données personnelles vers les États-Unis

Les serveurs de Google étant situés aux États-Unis, le transfert des données personnelles est autorisé vers ce pays à condition d’avoir un niveau de protection équivalent à celui de l’Union européenne selon le RGPD.

Historiquement, des accords (Safe Harbour, Privacy Shield) avaient permis le transfert légal de données personnelles depuis l’Europe vers les Etats-Unis mais jugés peu protecteurs, ils ont depuis été invalidés par la Cour de justice de l’Union européenne (CJUE) par les arrêts Schrems I en 2015 et Schrems II en 2020. Un nouvel accord, le Data Privacy Framework (DPF) mis en place en 2023, est actuellement en vigueur.

Les Etats-Unis sont aujourd’hui considérés comme un pays en adéquation partielle : 

• les responsables de traitement peuvent transférer des données personnelles uniquement aux destinataires inscrits sur la liste du Département du Commerce des Etats-Unis.
• Pour les autres destinataires, des clauses contractuelles types doivent être mises en place pour éviter les transferts non conformes au RGPD.

La liste établie par le Département du Commerce des États-Unis est mise à jour régulièrement et pour le moment, Google LLC y figure.

Mais l’invalidation de l’accord DPF par la CJUE n’est pas complètement exclue.

Les sanctions en cas de manquements au RGPD

L’absence d’informations, de consentement valide de l’utilisateur, et de base légale constituent des violations du RGPD dont les sanctions financières peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise (le montant le plus élevé étant retenu).

Comment rendre son site conforme au RGPD ?

A l’aide de l’outil pour les développeurs sur Chrome, commencez par vérifier si votre site utilise Google Fonts en local ou via un CDN.

Solutions pour une conformité RGPD avec Google Fonts en local

Si vous téléchargez les polices Google Fonts et les hébergez en local sur un serveur européen, vous évitez les requêtes vers Google à chacune des visites de l’utilisateur.

L’adresse IP de l’utilisateur n’est pas collecté, ni stocké, ni potentiellement transféré vers les serveurs d’origine de Google aux Etats-Unis. Vous n’avez donc pas besoin d’obtenir son consentement dans ce cadre et votre site est en conformité avec le RGPD.

Cette configuration est recommandée pour sa bonne pratique. Autre avantage, elle évite les problèmes de liens cassés et de dépendre de Google Fonts (si une police est supprimée de son catalogue).

L’inconvénient se situerait sur le plan technique : tout dépend de la localisation de l’utilisateur et celle de votre serveur mais plus la distance est grande, plus le temps de latence augmente entraînant un chargement du site plus lent, une potentielle diminution de la performance du site web et de son référencement sur les moteurs de recherche, et une possible augmentation du taux de rebond (le taux de visiteurs d’un site arrivant sur celui-ci et le quittant dans la foulée sans ouvrir une page ou cliquer sur un lien).

Cet inconvénient peut être palié par l’abonnement à un CDN européen (Cloudfare, Bunny CDN, KeyCDN, etc.).

En revanche, l’hébergement de votre site sur un serveur hors EEE vous conduira à vérifier si le transfert des données est autorisé vers ce pays, et le cas échéant, à mettre en place des garanties de protection des données personnelles vers ce pays.

Solutions pour une conformité RGPD avec Google Fonts via un CDN

Si vous chargez les polices directement depuis les serveurs de Google :

il convient :

• d’informer clairement les utilisateurs. Cela inclut des informations sur la finalité du traitement, les données collectées, les destinataires des données et les transferts éventuels hors UE et EEE,

et

• d’obtenir leur consentement valide (leur permettre d’accepter ou de refuser) avant de charger la police Google Font. Ce consentement ne peut pas être présumé par l’utilisation du site.

Si vous utilisez déjà d’autres services de Google comme Google Analytics, Google Tag Manager, Google Ads, Google Maps ou Google reCaptcha, vous avez déjà une politique de confidentialité et de cookies qu’il suffira de mettre à jour :

• en ajoutant dans la liste des parties tiers Google Ireland Limited et Google LLC,
• en détaillant la finalité du traitement, les données collectées et les transferts éventuels hors UE et EEE,
• et en soumettant l’utilisation de Google Fonts au consentement préalable et valide de chaque visiteur.

Le transfert des données personnelles depuis l’UE vers les serveurs de Google aux Etats-Unis est aujourd’hui légalement autorisé mais cela n’a pas toujours été le cas et surtout, ce point n’est définitivement pas acquis.

Par ailleurs, pensez à effectuer une Analyse d’Impact Relative à la Protection des Données (AIPD) pour évaluer les mesures à prendre et écarter les risques de non-conformité au RGPD.

Avantages et inconvénients de l’utilisation de Google Fonts via un CDN

Google Fonts utilise un réseau CDN combiné à une compression maximale des fichiers sous le format WOFF2 (Web Open Font Format 2) pour offrir un avantage concurrentiel : celui de réduire la distance entre le point de présence (PoP) et la localisation de l’utilisateur.

Cela permet de charger plus rapidement des polices d’écriture sur un site internet quelque soit le pays où l’utilisateur se connecte. Les performances du site sont donc améliorées : meilleure expérience utilisateur, réduction du bounce rate et de la latence, amélioration du référencement.

Néanmoins, le consentement de l’utilisateur est obligatoire et si ce dernier refuse de le donner, le site doit rester accessible à l’utilisateur (RGPD oblige) par le truchement d’une police par défaut liée au navigateur de son appareil. Le site perd donc malheureusement de son identité visuelle.

Solutions pour une conformité RGPD en optant pour des alternatives à Google Fonts

De nombreuses alternatives technologiques existent :

Adobe Fonts fonctionne de la même façon que Google Fonts et son serveur d’origine est aussi aux Etats-Unis. Son utilisation est conforme au RGPD à condition d’appliquer les mêmes règles que pour Google Fonts.

De nombreuses bibliothèques de polices d’écriture respectueuses de la vie privée et hébergées uniquement sur des serveurs européens représentent d’excellentes alternatives : Bunny fonts, Fontsource, Libre Fonts, etc.

Une excellente alternative est l’utilisation des polices natives. Il s’agit d’une police préinstallée directement dans le système d’exploitation de l’utilisateur, utilisée pour l’affichage UI (les boutons, les menus, etc.) et qui est donc disponible par défaut sur tous les appareils.

Chaque système d’exploitation possède sa propre police native :

• Segoe UI pour Windows
• San Francisco (SF) pour macOs
• Ubuntu pour Linux
• Roboto pour Android
• Google Sans pour ChromeOS

Pour utiliser la police native, vous pouvez par exemple ajouter la valeur system-ui sur votre fichier CSS :

body {

    font-family: system-ui, -apple-system, BlinkMacSystemFont, Segoe UI, Roboto, sans-serif;

}

Cette technique permet au navigateur de sélectionner automatiquement la police d’écriture native de chaque système. Directement accessible depuis le système d’exploitation de l’utilisateur, la police native s’affiche ainsi instantanément sur l’écran sans nécessiter de téléchargement ou de requête vers un serveur externe. Non seulement elle est conforme au RGPD mais l’expérience utilisateur est fluide et familière.

Le seul inconvénient réside dans le fait que chaque système a sa police native. Par conséquent, cette solution dépend du système de l’utilisateur et la police affichée varie selon l’appareil utilisé. Ce qui n’est pas l’idéal quand vous souhaitez mettre en avant un design ou un branding particulier.

Pour conclure, la façon dont vous utilisez Google Fonts, peut vous exposer à des risques juridiques importants lorsque les exigences du RGPD ne sont pas respectées. Il est essentiel de prendre des mesures proactives pour garantir la transparence, obtenir un consentement valide et éviter les transferts de données personnelles non conformes.