Un site Web condamné à une amende par un tribunal allemand pour avoir divulgué l'adresse IP d'un visiteur via Google Fonts,

Le propriétaire du site risque une peine de prison en cas de récidive

Un tribunal régional de Munich, en Allemagne, a condamné un opérateur de site Web à payer 100 euros de dommages et intérêts pour avoir transféré les données personnelles d'un utilisateur - en l'occurrence, son adresse IP - à Google via la bibliothèque de polices du géant de la recherche sans le consentement de la personne concernée. Le tribunal a déclaré que le site n'avait aucune raison légitime de partager l'adresse IP de la victime, concluant que cette divulgation est en violation du règlement général européen sur la protection des données (RGPD), entrée en vigueur le 25 mai 2018.

La décision a été rendue par la troisième chambre civile du Landgericht München, à Munich, le 20 janvier dernier. Selon le tribunal, lorsque le plaignant a visité le site Web, la page a fait en sorte que le navigateur de l'utilisateur récupère une police de caractères de Google Fonts afin de l'utiliser pour certains textes, processus durant lequel l'adresse IP du néophyte a été divulguée à Google. Ce type de liaison à chaud est normal avec Google Fonts ; le problème ici est que le visiteur n'a apparemment pas donné son accord pour que son adresse IP soit partagée. Le site Web aurait pu éviter ce drame en hébergeant lui-même la police, si possible.


Le tribunal considère que la divulgation non autorisée de l'adresse IP du plaignant par le site Web non nommé à Google constitue une violation du droit à la vie privée de l'utilisateur. « La divulgation non autorisée de l'adresse IP du plaignant par le défendeur à Google constitue une violation du droit général de la personnalité sous la forme du droit à l'autodétermination informationnelle conformément au § 823 Para. 1 BGB. Le droit à l'autodétermination informationnelle comprend le droit de la personne de divulguer et de déterminer l'utilisation de ses données personnelles », indique l'arrêt.

L'arrêt estime que les adresses IP représentent des données personnelles parce qu'il est théoriquement possible d'identifier la personne associée à une adresse IP, et qu'il importe peu que le site Web ou Google l'ait effectivement fait. « Le défendeur a violé le droit à l'autodétermination informationnelle du plaignant en transmettant l'adresse IP dynamique à Google lorsque le plaignant a accédé au site Web du défendeur », ajoute l'arrêt. Ainsi, le tribunal ordonne au site Web de cesser de fournir des adresses IP à Google et menace l'exploitant d'une amende de 250 000 euros pour chaque nouvelle violation.

Ce dernier risque également une peine de prison pouvant aller jusqu'à six mois, en cas de poursuite de l'utilisation abusive de Google Fonts. Pour rappel, Google Fonts est une bibliothèque de services d'intégration de polices de Google, qui permet aux développeurs d'ajouter des polices à leurs applications Android et à leurs sites Web en référençant simplement une feuille de style. En janvier 2022, Google Fonts est un référentiel de 1 358 familles de polices et est utilisé par plus de 50,1 millions de sites Web. Les polices Google Fonts peuvent être hébergées par les utilisateurs eux-mêmes afin d'éviter d'enfreindre les règles de l'UE.

L'arrêt cite explicitement cette possibilité pour affirmer que l'utilisation des polices Google Fonts hébergées par Google n'est pas défendable au regard de la loi. En vertu du RGPD, les points de données tels que les adresses IP, les identifiants publicitaires et les cookies sont comptabilisés comme des données personnelles identifiables, ce qui oblige les entreprises à demander la permission explicite des utilisateurs avant de traiter ces informations. Enfin, le tribunal a exhorté l'exploitant du site à partager avec la partie concernée des informations sur le type de données à caractère personnel qu'elle stocke et qui sont traitées.

La décision du tribunal allemand fait écho à deux autres décisions récentes. L'une d'elles a été rendue au début du mois par l'autorité autrichienne de protection des données, qui a jugé que l'utilisation de Google Analytics - un service gratuit permettant d'analyser l'audience d'un site Web qui est utilisé par une grande partie du marché mondial - par le site Web axé sur la santé NetDoktor violait le RGPD en exportant les données des visiteurs vers les serveurs de Google aux États-Unis. L'autorité autrichienne a estimé que ce faisant, le site ouvre la porte à une surveillance potentielle par les services de renseignement américains.

La seconde a été rendue en décembre de l'année dernière, lorsqu'un autre tribunal allemand a estimé que le programme CookieBot d'un gestionnaire de consentement danois partageait des adresses IP européennes avec la société américaine Akamai, en violation de la législation européenne sur les données. Selon les critiques, ces arrêts relatifs à la confidentialité des données compliquent la manière dont les sites Web et les applications peuvent intégrer des contenus ou des services hébergés à distance en exigeant un objectif légitime pour le faire si des données personnelles sont transférées ou un consentement légal.

Ils reflèteraient les conséquences de la décision prise par la Cour de justice de l'UE en 2020 d'annuler les accords de protection des données du Privacy Shield qui permettaient jusqu'alors aux entreprises américaines d'échanger des données avec des partenaires européens en vertu de "clauses contractuelles types". Cet arrêt est connu sous le nom de Schrems II, car il trouve son origine dans la plainte déposée en 2011 par le militant autrichien de la protection de la vie privée Max Schrems contre Facebook en Irlande.

Source : Décision du tribunal

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la décision du tribunal de Munich ?
Le défendeur mérite-t-il l'amende de 100 euros qui lui a été infligée ?
Les décisions de ce type compliquent-elle l'utilisation de CDN (Content Delivery Network) dans l'UE ?

Voir aussi

Trois ans après son lancement le RGPD est-il le nouveau modèle économique de la conformité ? Par Jean-Pierre Boushira, VP South, Benelux and Nordics chez Veritas Technologies

La Grande-Bretagne veut s'éloigner d'un copier-coller du RGPD tandis qu'elle modifie ses règles de confidentialité post-Brexit, qui seraient basées sur « le bon sens, pas sur des cases à cocher »

Baromètre RGPD : la mise en conformité non finalisée pour 1/3 des entreprises françaises, trois ans après son entrée en application, d'après KPMG

Comment le RGPD est-il mis en application un mois après son entrée en vigueur ? Un tour d'horizon des solutions adoptées par les sites américains