IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un site Web condamné à une amende par un tribunal allemand pour avoir divulgué l'adresse IP d'un visiteur via Google Fonts,
Le propriétaire du site risque une peine de prison en cas de récidive

Le , par Bill Fassinou

292PARTAGES

6  0 
Un tribunal régional de Munich, en Allemagne, a condamné un opérateur de site Web à payer 100 euros de dommages et intérêts pour avoir transféré les données personnelles d'un utilisateur - en l'occurrence, son adresse IP - à Google via la bibliothèque de polices du géant de la recherche sans le consentement de la personne concernée. Le tribunal a déclaré que le site n'avait aucune raison légitime de partager l'adresse IP de la victime, concluant que cette divulgation est en violation du règlement général européen sur la protection des données (RGPD), entrée en vigueur le 25 mai 2018.

La décision a été rendue par la troisième chambre civile du Landgericht München, à Munich, le 20 janvier dernier. Selon le tribunal, lorsque le plaignant a visité le site Web, la page a fait en sorte que le navigateur de l'utilisateur récupère une police de caractères de Google Fonts afin de l'utiliser pour certains textes, processus durant lequel l'adresse IP du néophyte a été divulguée à Google. Ce type de liaison à chaud est normal avec Google Fonts ; le problème ici est que le visiteur n'a apparemment pas donné son accord pour que son adresse IP soit partagée. Le site Web aurait pu éviter ce drame en hébergeant lui-même la police, si possible.



Le tribunal considère que la divulgation non autorisée de l'adresse IP du plaignant par le site Web non nommé à Google constitue une violation du droit à la vie privée de l'utilisateur. « La divulgation non autorisée de l'adresse IP du plaignant par le défendeur à Google constitue une violation du droit général de la personnalité sous la forme du droit à l'autodétermination informationnelle conformément au § 823 Para. 1 BGB. Le droit à l'autodétermination informationnelle comprend le droit de la personne de divulguer et de déterminer l'utilisation de ses données personnelles », indique l'arrêt.

L'arrêt estime que les adresses IP représentent des données personnelles parce qu'il est théoriquement possible d'identifier la personne associée à une adresse IP, et qu'il importe peu que le site Web ou Google l'ait effectivement fait. « Le défendeur a violé le droit à l'autodétermination informationnelle du plaignant en transmettant l'adresse IP dynamique à Google lorsque le plaignant a accédé au site Web du défendeur », ajoute l'arrêt. Ainsi, le tribunal ordonne au site Web de cesser de fournir des adresses IP à Google et menace l'exploitant d'une amende de 250 000 euros pour chaque nouvelle violation.

Ce dernier risque également une peine de prison pouvant aller jusqu'à six mois, en cas de poursuite de l'utilisation abusive de Google Fonts. Pour rappel, Google Fonts est une bibliothèque de services d'intégration de polices de Google, qui permet aux développeurs d'ajouter des polices à leurs applications Android et à leurs sites Web en référençant simplement une feuille de style. En janvier 2022, Google Fonts est un référentiel de 1 358 familles de polices et est utilisé par plus de 50,1 millions de sites Web. Les polices Google Fonts peuvent être hébergées par les utilisateurs eux-mêmes afin d'éviter d'enfreindre les règles de l'UE.

L'arrêt cite explicitement cette possibilité pour affirmer que l'utilisation des polices Google Fonts hébergées par Google n'est pas défendable au regard de la loi. En vertu du RGPD, les points de données tels que les adresses IP, les identifiants publicitaires et les cookies sont comptabilisés comme des données personnelles identifiables, ce qui oblige les entreprises à demander la permission explicite des utilisateurs avant de traiter ces informations. Enfin, le tribunal a exhorté l'exploitant du site à partager avec la partie concernée des informations sur le type de données à caractère personnel qu'elle stocke et qui sont traitées.

La décision du tribunal allemand fait écho à deux autres décisions récentes. L'une d'elles a été rendue au début du mois par l'autorité autrichienne de protection des données, qui a jugé que l'utilisation de Google Analytics - un service gratuit permettant d'analyser l'audience d'un site Web qui est utilisé par une grande partie du marché mondial - par le site Web axé sur la santé NetDoktor violait le RGPD en exportant les données des visiteurs vers les serveurs de Google aux États-Unis. L'autorité autrichienne a estimé que ce faisant, le site ouvre la porte à une surveillance potentielle par les services de renseignement américains.

La seconde a été rendue en décembre de l'année dernière, lorsqu'un autre tribunal allemand a estimé que le programme CookieBot d'un gestionnaire de consentement danois partageait des adresses IP européennes avec la société américaine Akamai, en violation de la législation européenne sur les données. Selon les critiques, ces arrêts relatifs à la confidentialité des données compliquent la manière dont les sites Web et les applications peuvent intégrer des contenus ou des services hébergés à distance en exigeant un objectif légitime pour le faire si des données personnelles sont transférées ou un consentement légal.

Ils reflèteraient les conséquences de la décision prise par la Cour de justice de l'UE en 2020 d'annuler les accords de protection des données du Privacy Shield qui permettaient jusqu'alors aux entreprises américaines d'échanger des données avec des partenaires européens en vertu de "clauses contractuelles types". Cet arrêt est connu sous le nom de Schrems II, car il trouve son origine dans la plainte déposée en 2011 par le militant autrichien de la protection de la vie privée Max Schrems contre Facebook en Irlande.

Source : Décision du tribunal

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la décision du tribunal de Munich ?
Le défendeur mérite-t-il l'amende de 100 euros qui lui a été infligée ?
Les décisions de ce type compliquent-elle l'utilisation de CDN (Content Delivery Network) dans l'UE ?

Voir aussi

Trois ans après son lancement le RGPD est-il le nouveau modèle économique de la conformité ? Par Jean-Pierre Boushira, VP South, Benelux and Nordics chez Veritas Technologies

La Grande-Bretagne veut s'éloigner d'un copier-coller du RGPD tandis qu'elle modifie ses règles de confidentialité post-Brexit, qui seraient basées sur « le bon sens, pas sur des cases à cocher »

Baromètre RGPD : la mise en conformité non finalisée pour 1/3 des entreprises françaises, trois ans après son entrée en application, d'après KPMG

Comment le RGPD est-il mis en application un mois après son entrée en vigueur ? Un tour d'horizon des solutions adoptées par les sites américains

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de archqt
Membre expérimenté https://www.developpez.com
Le 01/02/2022 à 21:03
Cela veut donc dire que sur une page web on ne peut pas télécharger jQuery ou d'autres bibliothèques via le lien direct de la bibliothèque ?
6  0 
Avatar de defZero
Membre extrêmement actif https://www.developpez.com
Le 01/02/2022 à 22:58
Cela veut donc dire que sur une page web on ne peut pas télécharger jQuery ou d'autres bibliothèques via le lien direct de la bibliothèque ?
@archqt
Si, mais tu est obligé d'avoir la permission explicite du client pour cela.

En gros, désormais, il est obligatoire, soit de fournir tous les contenues en local (et encore des scripts/css/html templates tiers peuvent très bien faire fuité des donnés, donc ça devient "touchy", soit faire un listing exhaustif de toutes les tiers parties et d'en demander explicitement l'autorisation du transfert de donner au client ET de refuser (HTTP 403 parce qu'une redirection fera forcement fuiter des donnés ) le client qui ne serait pas disposer.

C'est juste la merde pour les SI, mais nos dirigeants s'en foutent apparemment (sauf pour l'Arcom qui demande pas pour crawler les IP ) .
6  0 
Avatar de frfancha
Membre éprouvé https://www.developpez.com
Le 02/02/2022 à 8:22
Citation Envoyé par archqt Voir le message
Cela veut donc dire que sur une page web on ne peut pas télécharger jQuery ou d'autres bibliothèques via le lien direct de la bibliothèque ?
De toute façon avoir une dépendance essentielle obtenue par un lien externe duquel on a pas la maîtrise est dangereux, en dehors de toute considération rgpd.
Héberger soi même la version exacte de jquery qu'on utilise et qui passe les tests de notre site est nettement préférable.
5  0 
Avatar de sanderbe
Membre averti https://www.developpez.com
Le 02/02/2022 à 22:08
Bonsoir

Un tribunal régional de Munich, en Allemagne, a condamné un opérateur de site Web à payer 100 euros de dommages et intérêts pour avoir transféré les données personnelles d'un utilisateur - en l'occurrence, son adresse IP - à Google via la bibliothèque de polices du géant de la recherche sans le consentement de la personne concernée.

Quel est votre avis sur le sujet ?
Mais "lol" j'ai envie de dire ... Facebook est connu pour avoir ce type de pratique ou alors détournée ... Comment croyez vous qu'ils arrivent à a suivre même des "non membres" ?

Que pensez-vous de la décision du tribunal de Munich ?
Les menaces et sanctions vont à l'encontre du petit ... pas du gros ? Le petit site se plante , le gros site aspire et seul le petit est responsable ? L’hôpital se fout de la charité ma parole . Dans l'histoire Google est tout autant responsable que le petit site ... car ils ont accès à l'ip sans en avoir le droit ...

Le défendeur mérite-t-il l'amende de 100 euros qui lui a été infligée ?
Sur la forme "oui" car il y a violation du rgpd

Sur le fond "non" car c'est un pataquese pour pas grand chose ... Il y a a mon sens d'autre futilité bien plus urgente à régler !
4  0 
Avatar de Cromoly
Futur Membre du Club https://www.developpez.com
Le 02/02/2022 à 5:26
Techniquement, le site n'a rien divulgué, il a seulement indiqué où se trouve la police. C'est le plaignant qui l'a partagé
lui-même et aurait pu très bien bloquer les serveurs de Google de son côté.
6  3 
Avatar de robertledoux
Membre averti https://www.developpez.com
Le 02/02/2022 à 11:03
Citation Envoyé par frfancha Voir le message
De toute façon avoir une dépendance essentielle obtenue par un lien externe duquel on a pas la maîtrise est dangereux, en dehors de toute considération rgpd.
Héberger soi même la version exacte de jquery qu'on utilise et qui passe les tests de notre site est nettement préférable.
On a pas tous les moyens d'avoir un CDN privatif ou un Netscaler.

Ce qui me tracasse dans cette histoire, que dis la loi si on est hébergé par Google Cloud ou Amazon ou encore Microsoft ? on partage aussi l'IP du client a son insu ?
2  0 
Avatar de bigbear67
Nouveau membre du Club https://www.developpez.com
Le 03/02/2022 à 9:16
Bon, dorénavant on va devoir faire du préchargement en local et fini les librairies distantes.
la vitesse de certains sites va prendre une claque monumentale.
encore des updates et des failles à surveillé en plus .
2  0 
Avatar de Dave Hiock
Membre averti https://www.developpez.com
Le 03/02/2022 à 11:54
\ô/
Citation Envoyé par TotoParis
Question : on a vraiment besoin des polices de caractères de Google pour faire un site web ???
dans ce cas est-il besoin du CSS tout simplement ?

Le cosmétique fait vendre mais pas que !
2  0 
Avatar de dikafrato
Membre du Club https://www.developpez.com
Le 03/02/2022 à 13:05
Ça deviens complètement marteau entre internet et les tribunaux.
C'est grosse blague! Et elle est même pas drôle
2  0 
Avatar de walfrat
Membre chevronné https://www.developpez.com
Le 07/02/2022 à 9:49
Techniquement, le site n'a rien divulgué, il a seulement indiqué où se trouve la police. C'est le plaignant qui l'a partagé
lui-même et aurait pu très bien bloquer les serveurs de Google de son côté.
Non, le client n'a pas demandé a chargé Google Fonts.

Bien que je sois surpris de cette conclusion, je pense qu'il faut également ajouter un autre élément important quand on charge des scripts depuis une page web : le header HTTP "referer" (de mémoire).

Celui-ci contient l'URL à partir duquel on charge le scripts. Cela permet donc en charger innocemment une font de savoir que tu te trouves sur un site www.xyz.xy.

Pour moi c'est là qu'est le vrai problème de RGPD, pas l'IP.


Mais les plusieurs centaines de Go de tuiles OpenStreetMap (ou autre) si on affiche une carte ???
Ben c'est simple : tu désactives la carto si l'utilisateur ne donne pas son consentement.
2  0