jeu de devinettes sur le logo bleu et blanc

| Publié :

| Temps de lecture :

3 minutes

| Auteur :

| Les polices de Google jugées non conformes au GDPR

  1. RGPD : ce que vous devez savoir
  2. WordPress 4.9.6 : Prêt pour le GDPR
  3. Les polices de Google et le problème du GDPR
  4. Google Fonts pour WordPress en auto-hébergement
  5. Google reCAPTCHA et la conformité au GDPR

Nous avons vu avec Google ReCaptcha que la gestion de l’API de Google pour le GDPR et d’autres lois sur la protection de la vie privée est délicate et que, pour la plupart, elle n’est pas encore gérée de la bonne manière.

Polices Google. Comment cela fonctionne-t-il ?

L’API Google Fonts demande et télécharge des fichiers de polices et des ressources CSS afin de fournir les polices correctes lors de la visite d’une page web. Ces actifs seront stockés dans la mémoire cache du navigateur et mis à jour si nécessaire. Différents domaines peuvent partager les mêmes actifs lorsque les actifs du cache du navigateur correspondent. Selon les propres termes de Google :

Les fichiers de polices eux-mêmes sont mis en cache pendant un an, ce qui a pour effet cumulatif de rendre l’ensemble du web plus rapide : Lorsque des millions de sites web renvoient tous aux mêmes polices, celles-ci sont mises en cache après la visite du premier site web et apparaissent instantanément sur tous les autres sites visités par la suite. Nous mettons parfois à jour les fichiers de polices afin de réduire leur taille, d’augmenter la couverture des langues et d’améliorer la qualité de leur conception. Il en résulte que les visiteurs du site web envoient très peu de requêtes à Google : Nous ne voyons qu’une seule demande CSS par famille de polices, par jour et par navigateur.

Pour les utilisateurs de WordPress, c’est le moyen le plus simple d’ajouter les polices Google qu’ils préfèrent.

Une demande d’API Google

Lorsque le visiteur de fonts.com, par exemple, n’a pas encore mis en cache les polices nécessaires à l’affichage correct de la page, une demande est adressée au serveur de Google afin d’obtenir les ressources et les fichiers corrects à stocker dans le navigateur et de charger les polices Google requises.

Et c’est là que les choses se compliquent : la demande d’API envoie-t-elle des données à caractère personnel, conformément au GDPR ? Quelles questions devons-nous poser pour savoir si nous devons prendre des mesures ?

Les données personnelles stockées sont au moins l’adresse IP du visiteur du site web. Et oui, il s’agit bien de données personnelles au sens du GDPR, puisqu’il s’agit d’un identifiant personnel unique.

En tant que propriétaire du site web qui a mis en œuvre l’API de Google : Devez-vous demander l’autorisation ou le consentement du visiteur du site web avant d’envoyer une requête au serveur Google ?

Voici la déclaration de confidentialité de Google concernant les polices de caractères Google Fonts :

L’API Google Fonts est conçue pour limiter la collecte, le stockage et l’utilisation des données de l’utilisateur final à ce qui est nécessaire pour servir les polices de manière efficace.

Cette déclaration vague suggère le stockage de données personnelles (adresse IP) après que la demande a été faite, qu’elle soit limitée ou non. Le consentement est donc nécessaire ! Cela signifie que le site web ne peut pas charger les polices de Google à partir des serveurs de Google sans avoir obtenu au préalable le consentement de l’utilisateur : le site web doit bloquer Google Fonts, demander le consentement de l’utilisateur et enfin, après avoir obtenu le consentement de l’utilisateur, charger les polices.

Polices de caractères Google et GDPR

Conséquences du blocage des polices de caractères de Google avant le consentement de l’utilisateur

Le blocage de l’API Google Fonts avant que le consentement ne soit donné signifie que la page web ne s’affiche correctement (avec les polices correctes) que si l’une des conditions suivantes est remplie :

  • Le cache du visiteur du site web contient déjà les fichiers de polices et les fichiers CSS demandés par la feuille de style de la page web.
  • Le visiteur du site web a donné son accord au préalable et la demande est faite.

Il ne s’affichera pas correctement si le cache est vide et :

  • Le consentement n’est pas encore donné.
  • Les paramètres de confidentialité du navigateur refusent le consentement par défaut.

La troisième possibilité est que vous ne demandiez pas le consentement pour les polices Google et que vous les chargiez quand même, ce qui signifie que vous n’êtes pas totalement conforme au GDPR.

Cela signifie que votre site peut s’afficher sans les polices que vous avez soigneusement sélectionnées. Mais il y a toujours un moyen d’être à l’épreuve du GDPR et de servir correctement votre page web.

Des solutions qui répondent à la fois à vos besoins et au GDPR

La réponse est évidente : l’auto-hébergement de vos polices Google Fonts.

Il existe de nombreuses façons d’auto-héberger vos polices Google Fonts, soit en les configurant vous-même, soit en installant un plugin pour les gérer correctement. Lisez notre article sur l’auto-hébergement des polices Google Fonts pour savoir comment procéder.

Cet article a été publié à l’origine sur Complianz.io, notre partenaire en matière de conformité GDPR et Cookie.