Privacy #6 - Google Fonts

Il y a quelques temps, une étrange affaire est arrivée dans le tribunal régional de Munich : un détenteur d’un site Internet a été condamné à verser 100€ de dommages & intérêts à un usager. Ce dernier a porté plainte contre le site car celui-ci a transmis son adresse IP à Google, via l’intermédiaire de Google Fonts, sans son consentement.

Google Fonts est un service de Google depuis 2010. Son objectif est de mettre à disposition un grand nombre de polices d’écriture, utilisables gratuitement par tout créateur de site Internet.

D’après le site BuiltWith.com, plus de 50 millions de sites utiliseraient Google Fonts. Et ce n’est que la partie connue !

Derrière cette décision, plusieurs questions se posent. Quel est le problème exactement d’une part car en quoi une police d’écriture impacte la vie privée ? Est-ce que tous les sites sont et devraient être concernés par cette décision ? Et enfin, est-ce que d’autres services sont dans le même cas ?

Tout d’abord, petit point sur le fonctionnement de Google Fonts. Le service vous demande tout d’abord de sélectionner la ou les polices à utiliser. Puis vous fournit 2 moyens pour que cela fonctionne sur votre site.

Le premier est par CDN (Content Delivery Network). Vous copiez le code fourni par Google, puis le collez dans votre site à l’endroit indiqué. Lorsque votre site charge, la police est alors récupérée depuis un serveur distant et affichée sur votre site.

Le seconde moyen est de télécharger la police et de copier le code correspondant sur votre site. La police est installée localement sur votre système et sera chargée également lorsque votre site est affiché par un usager.

Concrètement, cela se traduit par une requête, émise depuis votre PC, qui demande le chargement d’une ressource. Ici, une police d’écriture. La ressource est alors mise en cache sur votre support pour économiser des requêtes lors de vos prochaines visites.

Sauf que par nature, votre adresse IP est transmise lors d’une requête. C’est ainsi qu’une requête fonctionne. A la manière d’un courrier postal avec accusé réception, l’adresse de l’expéditeur est connue. C’est ce qui permet au destinataire de la requête de vous renvoyer le résultat.

Depuis la mise en application du Règlement européen sur la Protection des Données (RGPD), l’adresse IP est considérée comme une donnée personnelle. Ce qui veut dire qu’avant d’être transmise à un tiers, vous devez obtenir le consentement de l’usager.

Et vous le devinez, c’est ce qui pose souci ici. L’adresse IP de l’usager a été transmise à Google Fonts, sans son consentement, car le site utilisait le CDN de Google pour afficher ses polices d’écriture.

La décision du tribunal n’est pas sans conséquences car de nombreux systèmes font la même chose. Prenons par exemple jQuery, une librairie de fonctionnalités Javascript utilisée par de très nombreux sites. Est-ce condamnable également ?

En sachant que si on demande le consentement des usagers, et qu’ils le refusent, le site ne marchera pas. Ce sont des outils techniques, et pas seulement visuels, qui fonctionnent de la même façon.

L’usage des CDN s’est démocratisé pour améliorer les performances des sites et centraliser le stockage des ressources.

Au vu de cette décision, que faudrait-il faire pour être en conformité avec la RGPD, et quels sont les impacts attendus ?

La première façon de respecter la loi est de demander le consentement à l’usager pour les outils qui n’empêchent pas le fonctionnent de votre site.

Tout système de tracking peut être désactivé sans impact. Certains outils, comme Matomo, permettent même de collecter des informations sur l’usage de votre site sans collecter de données personnelles.

Pour les autres outils, il faut faire le choix de l’installation locale. C’est le seul moyen de ne pas transmettre une donnée personnelle car les infos ne sortent pas de chez vous.

Il est même envisageable d’allier le meilleur des deux mondes, en demandant le consentement à l’usager d’utiliser tel CDN, et d’utiliser la solution installée localement s’il refuse. Le site fonctionne et on a quand même les bénéfices du CDN pour ceux qui donnent leur accord.

Les CDNs et services comme Google ont permis de simplifier le développement de sites. Avec le recul, on sait que Google a usé de différentes tactiques pour amortir la gratuité de ses services, par la collecte et revente de données personnelles.

Aujourd’hui, de nombreux outils dépendent de services tiers et avertir les usagers n’est pas une mince affaire. C’est toute la chaine et la méthode de développement qu’il faut revoir.

La RGPD est une bonne évolution. Sensibiliser les usagers à la protection de leurs données personnelles est essentiel. Il faut toutefois aussi avoir conscience que cela va se répercuter sur les coûts des développements et infrastructures.

Devoir combiner usage d’un CDN et solution locale demande des ressources à 2 endroits différents, et des maintenances régulières aux deux endroits. C’est efficace, mais onéreux.

Revenir à des sites plus indépendants, plus éthiques et fonctionnant en autarcie, demande de repenser la manière de concevoir des sites web. Cela demande plus de temps et plus de réflexion, c’est une démarche nécessaire pour retrouver la suprématie de nos données.

Sources

Usage de Google Font (anglais) : https://trends.builtwith.com/websitelist/Google-Font-API

Étude de la décision de justice : https://web.developpez.com/actu/330644/Un-site-Web-condamne-a-une-amende-par-un-tribunal-allemand-pour-avoir-divulgue-l-adresse-IP-d-un-visiteur-via-Google-Fonts-le-proprietaire-du-site-risque-une-peine-de-prison-en-cas-de-recidive/

Devoir héberger ses ressources (anglais) : https://decoded.legal/blog/2022/02/google-fonts-an-ip-address-and-the-gdpr-must-i-now-self-host-all-my-web-page-resources