IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Conception Web Discussion :

Un site Web condamné à une amende par un tribunal allemand pour avoir divulgué l'adresse IP d'un visiteur


Sujet :

Conception Web

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    juin 2016
    Messages
    2 395
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 2 395
    Points : 47 263
    Points
    47 263
    Par défaut Un site Web condamné à une amende par un tribunal allemand pour avoir divulgué l'adresse IP d'un visiteur
    Un site Web condamné à une amende par un tribunal allemand pour avoir divulgué l'adresse IP d'un visiteur via Google Fonts
    le propriétaire du site risque une peine de prison en cas de récidive

    Un tribunal régional de Munich, en Allemagne, a condamné un opérateur de site Web à payer 100 euros de dommages et intérêts pour avoir transféré les données personnelles d'un utilisateur - en l'occurrence, son adresse IP - à Google via la bibliothèque de polices du géant de la recherche sans le consentement de la personne concernée. Le tribunal a déclaré que le site n'avait aucune raison légitime de partager l'adresse IP de la victime, concluant que cette divulgation est en violation du règlement général européen sur la protection des données (RGPD), entrée en vigueur le 25 mai 2018.

    La décision a été rendue par la troisième chambre civile du Landgericht München, à Munich, le 20 janvier dernier. Selon le tribunal, lorsque le plaignant a visité le site Web, la page a fait en sorte que le navigateur de l'utilisateur récupère une police de caractères de Google Fonts afin de l'utiliser pour certains textes, processus durant lequel l'adresse IP du néophyte a été divulguée à Google. Ce type de liaison à chaud est normal avec Google Fonts ; le problème ici est que le visiteur n'a apparemment pas donné son accord pour que son adresse IP soit partagée. Le site Web aurait pu éviter ce drame en hébergeant lui-même la police, si possible.

    Nom : Anna-March-Blog.jpg
Affichages : 97563
Taille : 98,7 Ko

    Le tribunal considère que la divulgation non autorisée de l'adresse IP du plaignant par le site Web non nommé à Google constitue une violation du droit à la vie privée de l'utilisateur. « La divulgation non autorisée de l'adresse IP du plaignant par le défendeur à Google constitue une violation du droit général de la personnalité sous la forme du droit à l'autodétermination informationnelle conformément au § 823 Para. 1 BGB. Le droit à l'autodétermination informationnelle comprend le droit de la personne de divulguer et de déterminer l'utilisation de ses données personnelles », indique l'arrêt.

    L'arrêt estime que les adresses IP représentent des données personnelles parce qu'il est théoriquement possible d'identifier la personne associée à une adresse IP, et qu'il importe peu que le site Web ou Google l'ait effectivement fait. « Le défendeur a violé le droit à l'autodétermination informationnelle du plaignant en transmettant l'adresse IP dynamique à Google lorsque le plaignant a accédé au site Web du défendeur », ajoute l'arrêt. Ainsi, le tribunal ordonne au site Web de cesser de fournir des adresses IP à Google et menace l'exploitant d'une amende de 250 000 euros pour chaque nouvelle violation.

    Ce dernier risque également une peine de prison pouvant aller jusqu'à six mois, en cas de poursuite de l'utilisation abusive de Google Fonts. Pour rappel, Google Fonts est une bibliothèque de services d'intégration de polices de Google, qui permet aux développeurs d'ajouter des polices à leurs applications Android et à leurs sites Web en référençant simplement une feuille de style. En janvier 2022, Google Fonts est un référentiel de 1 358 familles de polices et est utilisé par plus de 50,1 millions de sites Web. Les polices Google Fonts peuvent être hébergées par les utilisateurs eux-mêmes afin d'éviter d'enfreindre les règles de l'UE.

    L'arrêt cite explicitement cette possibilité pour affirmer que l'utilisation des polices Google Fonts hébergées par Google n'est pas défendable au regard de la loi. En vertu du RGPD, les points de données tels que les adresses IP, les identifiants publicitaires et les cookies sont comptabilisés comme des données personnelles identifiables, ce qui oblige les entreprises à demander la permission explicite des utilisateurs avant de traiter ces informations. Enfin, le tribunal a exhorté l'exploitant du site à partager avec la partie concernée des informations sur le type de données à caractère personnel qu'elle stocke et qui sont traitées.

    La décision du tribunal allemand fait écho à deux autres décisions récentes. L'une d'elles a été rendue au début du mois par l'autorité autrichienne de protection des données, qui a jugé que l'utilisation de Google Analytics - un service gratuit permettant d'analyser l'audience d'un site Web qui est utilisé par une grande partie du marché mondial - par le site Web axé sur la santé NetDoktor violait le RGPD en exportant les données des visiteurs vers les serveurs de Google aux États-Unis. L'autorité autrichienne a estimé que ce faisant, le site ouvre la porte à une surveillance potentielle par les services de renseignement américains.

    La seconde a été rendue en décembre de l'année dernière, lorsqu'un autre tribunal allemand a estimé que le programme CookieBot d'un gestionnaire de consentement danois partageait des adresses IP européennes avec la société américaine Akamai, en violation de la législation européenne sur les données. Selon les critiques, ces arrêts relatifs à la confidentialité des données compliquent la manière dont les sites Web et les applications peuvent intégrer des contenus ou des services hébergés à distance en exigeant un objectif légitime pour le faire si des données personnelles sont transférées ou un consentement légal.

    Ils reflèteraient les conséquences de la décision prise par la Cour de justice de l'UE en 2020 d'annuler les accords de protection des données du Privacy Shield qui permettaient jusqu'alors aux entreprises américaines d'échanger des données avec des partenaires européens en vertu de "clauses contractuelles types". Cet arrêt est connu sous le nom de Schrems II, car il trouve son origine dans la plainte déposée en 2011 par le militant autrichien de la protection de la vie privée Max Schrems contre Facebook en Irlande.

    Source : Décision du tribunal

    Et vous ?

    Quel est votre avis sur le sujet ?
    Que pensez-vous de la décision du tribunal de Munich ?
    Le défendeur mérite-t-il l'amende de 100 euros qui lui a été infligée ?
    Les décisions de ce type compliquent-elle l'utilisation de CDN (Content Delivery Network) dans l'UE ?

    Voir aussi

    Trois ans après son lancement le RGPD est-il le nouveau modèle économique de la conformité ? Par Jean-Pierre Boushira, VP South, Benelux and Nordics chez Veritas Technologies

    La Grande-Bretagne veut s'éloigner d'un copier-coller du RGPD tandis qu'elle modifie ses règles de confidentialité post-Brexit, qui seraient basées sur « le bon sens, pas sur des cases à cocher »

    Baromètre RGPD : la mise en conformité non finalisée pour 1/3 des entreprises françaises, trois ans après son entrée en application, d'après KPMG

    Comment le RGPD est-il mis en application un mois après son entrée en vigueur ? Un tour d'horizon des solutions adoptées par les sites américains
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre expérimenté
    Profil pro
    retraité
    Inscrit en
    décembre 2010
    Messages
    629
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : décembre 2010
    Messages : 629
    Points : 1 700
    Points
    1 700
    Par défaut
    Cela veut donc dire que sur une page web on ne peut pas télécharger jQuery ou d'autres bibliothèques via le lien direct de la bibliothèque ?

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Technicien de maintenance / Developpeur PHP
    Inscrit en
    mai 2015
    Messages
    388
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Technicien de maintenance / Developpeur PHP
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : mai 2015
    Messages : 388
    Points : 1 424
    Points
    1 424
    Par défaut
    Cela veut donc dire que sur une page web on ne peut pas télécharger jQuery ou d'autres bibliothèques via le lien direct de la bibliothèque ?
    @archqt
    Si, mais tu est obligé d'avoir la permission explicite du client pour cela.

    En gros, désormais, il est obligatoire, soit de fournir tous les contenues en local (et encore des scripts/css/html templates tiers peuvent très bien faire fuité des donnés, donc ça devient "touchy"), soit faire un listing exhaustif de toutes les tiers parties et d'en demander explicitement l'autorisation du transfert de donner au client ET de refuser (HTTP 403 parce qu'une redirection fera forcement fuiter des donnés ) le client qui ne serait pas disposer.

    C'est juste la merde pour les SI, mais nos dirigeants s'en foutent apparemment (sauf pour l'Arcom qui demande pas pour crawler les IP ) .

  4. #4
    Futur Membre du Club
    Profil pro
    Inscrit en
    mars 2010
    Messages
    1
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : mars 2010
    Messages : 1
    Points : 5
    Points
    5
    Par défaut
    Techniquement, le site n'a rien divulgué, il a seulement indiqué où se trouve la police. C'est le plaignant qui l'a partagé
    lui-même et aurait pu très bien bloquer les serveurs de Google de son côté.

  5. #5
    Membre éprouvé
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    506
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : novembre 2009
    Messages : 506
    Points : 1 169
    Points
    1 169
    Par défaut
    Citation Envoyé par archqt Voir le message
    Cela veut donc dire que sur une page web on ne peut pas télécharger jQuery ou d'autres bibliothèques via le lien direct de la bibliothèque ?
    De toute façon avoir une dépendance essentielle obtenue par un lien externe duquel on a pas la maîtrise est dangereux, en dehors de toute considération rgpd.
    Héberger soi même la version exacte de jquery qu'on utilise et qui passe les tests de notre site est nettement préférable.

  6. #6
    Membre averti
    Profil pro
    Inscrit en
    mars 2009
    Messages
    90
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2009
    Messages : 90
    Points : 304
    Points
    304
    Par défaut
    Citation Envoyé par frfancha Voir le message
    De toute façon avoir une dépendance essentielle obtenue par un lien externe duquel on a pas la maîtrise est dangereux, en dehors de toute considération rgpd.
    Héberger soi même la version exacte de jquery qu'on utilise et qui passe les tests de notre site est nettement préférable.
    On a pas tous les moyens d'avoir un CDN privatif ou un Netscaler.

    Ce qui me tracasse dans cette histoire, que dis la loi si on est hébergé par Google Cloud ou Amazon ou encore Microsoft ? on partage aussi l'IP du client a son insu ?

  7. #7
    Membre éprouvé
    Homme Profil pro
    retraité
    Inscrit en
    septembre 2014
    Messages
    427
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : septembre 2014
    Messages : 427
    Points : 1 049
    Points
    1 049
    Par défaut
    Citation Envoyé par Cromoly Voir le message
    Techniquement, le site n'a rien divulgué, il a seulement indiqué où se trouve la police. C'est le plaignant qui l'a partagé
    lui-même et aurait pu très bien bloquer les serveurs de Google de son côté.
    Non mais vous déconnez ou quoi ? C'est de la faute du plaignant ? Il n'avait qu'à savoir que des polices de caractères allaient se télécharger depuis Google, et qu'en plus il devait les bloquer ? Mais plus c'est gros, plus ça passe, ce genre d'ineptie...Vous devriez bosser pour le gouvernement Castex, vous avez de l'avenir dans les bobards les plus énormes.

    Citation Envoyé par frfancha Voir le message
    De toute façon avoir une dépendance essentielle obtenue par un lien externe duquel on a pas la maîtrise est dangereux, en dehors de toute considération rgpd.
    Héberger soi même la version exacte de jquery qu'on utilise et qui passe les tests de notre site est nettement préférable.
    D'autant que si leurs serveurs tombent, ou son infectés, merci la merde à l'échelle mondiale...

    Pour "Google Analytics" j'ai trouvé des usages très troublants sur...le Dark Web ! Oui, des sites en ".onion" qui avaient un beau lien vers Google Analytics...
    Bien entendu des sites pas fréquentables, hein...On trouve de tout sur le Dark Web, le pire comme le meilleur, mais pour le pire, c'est bien fourni.
    Comme quoi regarder le code source de ces sites est bien surprenant parfois...


    Question : on a vraiment besoin des polices de caractères de Google pour faire un site web ???

  8. #8
    Membre averti
    Homme Profil pro
    Consultant en Business Intelligence
    Inscrit en
    décembre 2021
    Messages
    249
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Consultant en Business Intelligence

    Informations forums :
    Inscription : décembre 2021
    Messages : 249
    Points : 397
    Points
    397
    Par défaut
    Bonsoir

    Un tribunal régional de Munich, en Allemagne, a condamné un opérateur de site Web à payer 100 euros de dommages et intérêts pour avoir transféré les données personnelles d'un utilisateur - en l'occurrence, son adresse IP - à Google via la bibliothèque de polices du géant de la recherche sans le consentement de la personne concernée.

    Quel est votre avis sur le sujet ?
    Mais "lol" j'ai envie de dire ... Facebook est connu pour avoir ce type de pratique ou alors détournée ... Comment croyez vous qu'ils arrivent à a suivre même des "non membres" ?

    Que pensez-vous de la décision du tribunal de Munich ?
    Les menaces et sanctions vont à l'encontre du petit ... pas du gros ? Le petit site se plante , le gros site aspire et seul le petit est responsable ? L’hôpital se fout de la charité ma parole . Dans l'histoire Google est tout autant responsable que le petit site ... car ils ont accès à l'ip sans en avoir le droit ...

    Le défendeur mérite-t-il l'amende de 100 euros qui lui a été infligée ?
    Sur la forme "oui" car il y a violation du rgpd

    Sur le fond "non" car c'est un pataquese pour pas grand chose ... Il y a a mon sens d'autre futilité bien plus urgente à régler !

  9. #9
    Nouveau membre du Club
    Homme Profil pro
    dirigeant
    Inscrit en
    juin 2015
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : dirigeant
    Secteur : Transports

    Informations forums :
    Inscription : juin 2015
    Messages : 10
    Points : 33
    Points
    33
    Par défaut incompréhension total
    Bon, dorénavant on va devoir faire du préchargement en local et fini les librairies distantes.
    la vitesse de certains sites va prendre une claque monumentale.
    encore des updates et des failles à surveillé en plus .

  10. #10
    Membre averti
    Homme Profil pro
    OoW
    Inscrit en
    juin 2019
    Messages
    99
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : Ukraine

    Informations professionnelles :
    Activité : OoW

    Informations forums :
    Inscription : juin 2019
    Messages : 99
    Points : 348
    Points
    348
    Par défaut
    \ô/
    Citation Envoyé par TotoParis
    Question : on a vraiment besoin des polices de caractères de Google pour faire un site web ???
    dans ce cas est-il besoin du CSS tout simplement ?

    Le cosmétique fait vendre mais pas que !

  11. #11
    Membre du Club
    Profil pro
    Inscrit en
    octobre 2008
    Messages
    34
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2008
    Messages : 34
    Points : 63
    Points
    63
    Par défaut Adresse IP divulgué
    Ça deviens complètement marteau entre internet et les tribunaux.
    C'est grosse blague! Et elle est même pas drôle

  12. #12
    Nouveau Candidat au Club
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    décembre 2020
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : Services à domicile

    Informations forums :
    Inscription : décembre 2020
    Messages : 1
    Points : 1
    Points
    1
    Par défaut
    Le tribunal n'a pas demandé au plaignant s'il utilisait Google en moteur de recherche, Gmail, Google Calendar and Co. ou les autres outils des concurrents américains ?

  13. #13
    Membre du Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    novembre 2013
    Messages
    17
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val d'Oise (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Service public

    Informations forums :
    Inscription : novembre 2013
    Messages : 17
    Points : 57
    Points
    57
    Par défaut
    Alors, les polices ou jQuery ou autre framework en autohébergement, bon admettons, pourquoi pas...

    Mais les plusieurs centaines de Go de tuiles OpenStreetMap (ou autre) si on affiche une carte ???

  14. #14
    Candidat au Club
    Profil pro
    Inscrit en
    novembre 2009
    Messages
    2
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2009
    Messages : 2
    Points : 3
    Points
    3
    Par défaut C’est n’imp
    Une adresse IP sur le net est publique, elle ne peut pas entrer dans le cadre de la GDPR. Elle est indispensable pour recevoir les informations demandées ! Si on ne veux pas que son IP soit diffusée il ne faut pas se connecter à internet. Encore du zèle des tribunaux pour faire semblant de prendre soin des données des utilisateurs et par la même occasion s’en prendre indirectement aux GAFAM. C’est d’une grande tristesse, un coup de bâton dans l’océan qui démontre une méconnaissance des technologies, mais également la faiblesse de l’EU qui n’a jamais su faire émerger un géant de la TECH !! Jalousie ?

  15. #15
    Membre chevronné
    Profil pro
    Inscrit en
    juin 2009
    Messages
    620
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2009
    Messages : 620
    Points : 2 013
    Points
    2 013
    Par défaut
    Techniquement, le site n'a rien divulgué, il a seulement indiqué où se trouve la police. C'est le plaignant qui l'a partagé
    lui-même et aurait pu très bien bloquer les serveurs de Google de son côté.
    Non, le client n'a pas demandé a chargé Google Fonts.

    Bien que je sois surpris de cette conclusion, je pense qu'il faut également ajouter un autre élément important quand on charge des scripts depuis une page web : le header HTTP "referer" (de mémoire).

    Celui-ci contient l'URL à partir duquel on charge le scripts. Cela permet donc en charger innocemment une font de savoir que tu te trouves sur un site www.xyz.xy.

    Pour moi c'est là qu'est le vrai problème de RGPD, pas l'IP.

    Mais les plusieurs centaines de Go de tuiles OpenStreetMap (ou autre) si on affiche une carte ???
    Ben c'est simple : tu désactives la carto si l'utilisateur ne donne pas son consentement.

  16. #16
    Membre confirmé
    Homme Profil pro
    Développeur Web
    Inscrit en
    mai 2013
    Messages
    30
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2013
    Messages : 30
    Points : 624
    Points
    624
    Par défaut
    Citation Envoyé par xiwox Voir le message
    Une adresse IP sur le net est publique, elle ne peut pas entrer dans le cadre de la GDPR. Elle est indispensable pour recevoir les informations demandées !
    Je t'invite à aller relire le RGPD. Ce règlement porte sur les informations personnelles qu'elles soient publiques ou privées. Et si la divulgation au site est effectivement légitime car techniquement obligatoire, ce n'est pas du tout le cas pour la divulgation à Google.

Discussions similaires

  1. Réponses: 1
    Dernier message: 20/09/2021, 17h58
  2. Réponses: 9
    Dernier message: 10/12/2019, 08h07
  3. site web avec une page principale et des icones ?
    Par ricault dans le forum Portails
    Réponses: 3
    Dernier message: 05/06/2007, 09h23
  4. [Site web] Protéger une idée de projet ?
    Par Fabouney dans le forum Juridique
    Réponses: 8
    Dernier message: 12/09/2006, 13h36
  5. [Conception] Collecter les IP des visiteurs d un site web dans une bdd
    Par dakoyaz dans le forum PHP & Base de données
    Réponses: 8
    Dernier message: 07/04/2006, 18h02

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo