Discussion :

[Bill Fassinou]

Un site Web condamné à une amende par un tribunal allemand pour avoir divulgué l'adresse IP d'un visiteur via Google Fonts
le propriétaire du site risque une peine de prison en cas de récidive

Un tribunal régional de Munich, en Allemagne, a condamné un opérateur de site Web à payer 100 euros de dommages et intérêts pour avoir transféré les données personnelles d'un utilisateur - en l'occurrence, son adresse IP - à Google via la bibliothèque de polices du géant de la recherche sans le consentement de la personne concernée. Le tribunal a déclaré que le site n'avait aucune raison légitime de partager l'adresse IP de la victime, concluant que cette divulgation est en violation du règlement général européen sur la protection des données (RGPD), entrée en vigueur le 25 mai 2018.

La décision a été rendue par la troisième chambre civile du Landgericht München, à Munich, le 20 janvier dernier. Selon le tribunal, lorsque le plaignant a visité le site Web, la page a fait en sorte que le navigateur de l'utilisateur récupère une police de caractères de Google Fonts afin de l'utiliser pour certains textes, processus durant lequel l'adresse IP du néophyte a été divulguée à Google. Ce type de liaison à chaud est normal avec Google Fonts ; le problème ici est que le visiteur n'a apparemment pas donné son accord pour que son adresse IP soit partagée. Le site Web aurait pu éviter ce drame en hébergeant lui-même la police, si possible.

Le tribunal considère que la divulgation non autorisée de l'adresse IP du plaignant par le site Web non nommé à Google constitue une violation du droit à la vie privée de l'utilisateur. « La divulgation non autorisée de l'adresse IP du plaignant par le défendeur à Google constitue une violation du droit général de la personnalité sous la forme du droit à l'autodétermination informationnelle conformément au § 823 Para. 1 BGB. Le droit à l'autodétermination informationnelle comprend le droit de la personne de divulguer et de déterminer l'utilisation de ses données personnelles », indique l'arrêt.

L'arrêt estime que les adresses IP représentent des données personnelles parce qu'il est théoriquement possible d'identifier la personne associée à une adresse IP, et qu'il importe peu que le site Web ou Google l'ait effectivement fait. « Le défendeur a violé le droit à l'autodétermination informationnelle du plaignant en transmettant l'adresse IP dynamique à Google lorsque le plaignant a accédé au site Web du défendeur », ajoute l'arrêt. Ainsi, le tribunal ordonne au site Web de cesser de fournir des adresses IP à Google et menace l'exploitant d'une amende de 250 000 euros pour chaque nouvelle violation.

Ce dernier risque également une peine de prison pouvant aller jusqu'à six mois, en cas de poursuite de l'utilisation abusive de Google Fonts. Pour rappel, Google Fonts est une bibliothèque de services d'intégration de polices de Google, qui permet aux développeurs d'ajouter des polices à leurs applications Android et à leurs sites Web en référençant simplement une feuille de style. En janvier 2022, Google Fonts est un référentiel de 1 358 familles de polices et est utilisé par plus de 50,1 millions de sites Web. Les polices Google Fonts peuvent être hébergées par les utilisateurs eux-mêmes afin d'éviter d'enfreindre les règles de l'UE.

L'arrêt cite explicitement cette possibilité pour affirmer que l'utilisation des polices Google Fonts hébergées par Google n'est pas défendable au regard de la loi. En vertu du RGPD, les points de données tels que les adresses IP, les identifiants publicitaires et les cookies sont comptabilisés comme des données personnelles identifiables, ce qui oblige les entreprises à demander la permission explicite des utilisateurs avant de traiter ces informations. Enfin, le tribunal a exhorté l'exploitant du site à partager avec la partie concernée des informations sur le type de données à caractère personnel qu'elle stocke et qui sont traitées.

La décision du tribunal allemand fait écho à deux autres décisions récentes. L'une d'elles a été rendue au début du mois par l'autorité autrichienne de protection des données, qui a jugé que l'utilisation de Google Analytics - un service gratuit permettant d'analyser l'audience d'un site Web qui est utilisé par une grande partie du marché mondial - par le site Web axé sur la santé NetDoktor violait le RGPD en exportant les données des visiteurs vers les serveurs de Google aux États-Unis. L'autorité autrichienne a estimé que ce faisant, le site ouvre la porte à une surveillance potentielle par les services de renseignement américains.

La seconde a été rendue en décembre de l'année dernière, lorsqu'un autre tribunal allemand a estimé que le programme CookieBot d'un gestionnaire de consentement danois partageait des adresses IP européennes avec la société américaine Akamai, en violation de la législation européenne sur les données. Selon les critiques, ces arrêts relatifs à la confidentialité des données compliquent la manière dont les sites Web et les applications peuvent intégrer des contenus ou des services hébergés à distance en exigeant un objectif légitime pour le faire si des données personnelles sont transférées ou un consentement légal.

Ils reflèteraient les conséquences de la décision prise par la Cour de justice de l'UE en 2020 d'annuler les accords de protection des données du Privacy Shield qui permettaient jusqu'alors aux entreprises américaines d'échanger des données avec des partenaires européens en vertu de "clauses contractuelles types". Cet arrêt est connu sous le nom de Schrems II, car il trouve son origine dans la plainte déposée en 2011 par le militant autrichien de la protection de la vie privée Max Schrems contre Facebook en Irlande.

Source : Décision du tribunal

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la décision du tribunal de Munich ?
Le défendeur mérite-t-il l'amende de 100 euros qui lui a été infligée ?
Les décisions de ce type compliquent-elle l'utilisation de CDN (Content Delivery Network) dans l'UE ?

Voir aussi

Trois ans après son lancement le RGPD est-il le nouveau modèle économique de la conformité ? Par Jean-Pierre Boushira, VP South, Benelux and Nordics chez Veritas Technologies

La Grande-Bretagne veut s'éloigner d'un copier-coller du RGPD tandis qu'elle modifie ses règles de confidentialité post-Brexit, qui seraient basées sur « le bon sens, pas sur des cases à cocher »

Baromètre RGPD : la mise en conformité non finalisée pour 1/3 des entreprises françaises, trois ans après son entrée en application, d'après KPMG

Comment le RGPD est-il mis en application un mois après son entrée en vigueur ? Un tour d'horizon des solutions adoptées par les sites américains

[archqt]

Cela veut donc dire que sur une page web on ne peut pas télécharger jQuery ou d'autres bibliothèques via le lien direct de la bibliothèque ?

[defZero]

Cela veut donc dire que sur une page web on ne peut pas télécharger jQuery ou d'autres bibliothèques via le lien direct de la bibliothèque ?

@archqt

Si, mais tu est obligé d'avoir la permission explicite du client pour cela.

En gros, désormais, il est obligatoire, soit de fournir tous les contenues en local (et encore des scripts/css/html templates tiers peuvent très bien faire fuité des donnés, donc ça devient "touchy"), soit faire un listing exhaustif de toutes les tiers parties et d'en demander explicitement l'autorisation du transfert de donner au client ET de refuser (HTTP 403 parce qu'une redirection fera forcement fuiter des donnés ) le client qui ne serait pas disposer.

C'est juste la merde pour les SI, mais nos dirigeants s'en foutent apparemment (sauf pour l'Arcom qui demande pas pour crawler les IP ) .

[Cromoly]

Techniquement, le site n'a rien divulgué, il a seulement indiqué où se trouve la police. C'est le plaignant qui l'a partagé
lui-même et aurait pu très bien bloquer les serveurs de Google de son côté.

[frfancha]

Cela veut donc dire que sur une page web on ne peut pas télécharger jQuery ou d'autres bibliothèques via le lien direct de la bibliothèque ?

De toute façon avoir une dépendance essentielle obtenue par un lien externe duquel on a pas la maîtrise est dangereux, en dehors de toute considération rgpd.
Héberger soi même la version exacte de jquery qu'on utilise et qui passe les tests de notre site est nettement préférable.

[robertledoux]

De toute façon avoir une dépendance essentielle obtenue par un lien externe duquel on a pas la maîtrise est dangereux, en dehors de toute considération rgpd.
Héberger soi même la version exacte de jquery qu'on utilise et qui passe les tests de notre site est nettement préférable.

On a pas tous les moyens d'avoir un CDN privatif ou un Netscaler.

Ce qui me tracasse dans cette histoire, que dis la loi si on est hébergé par Google Cloud ou Amazon ou encore Microsoft ? on partage aussi l'IP du client a son insu ?

[TotoParis]

Techniquement, le site n'a rien divulgué, il a seulement indiqué où se trouve la police. C'est le plaignant qui l'a partagé
lui-même et aurait pu très bien bloquer les serveurs de Google de son côté.

Non mais vous déconnez ou quoi ? C'est de la faute du plaignant ? Il n'avait qu'à savoir que des polices de caractères allaient se télécharger depuis Google, et qu'en plus il devait les bloquer ? Mais plus c'est gros, plus ça passe, ce genre d'ineptie...Vous devriez bosser pour le gouvernement Castex, vous avez de l'avenir dans les bobards les plus énormes.

De toute façon avoir une dépendance essentielle obtenue par un lien externe duquel on a pas la maîtrise est dangereux, en dehors de toute considération rgpd.
Héberger soi même la version exacte de jquery qu'on utilise et qui passe les tests de notre site est nettement préférable.

D'autant que si leurs serveurs tombent, ou son infectés, merci la merde à l'échelle mondiale...

Pour "Google Analytics" j'ai trouvé des usages très troublants sur...le Dark Web ! Oui, des sites en ".onion" qui avaient un beau lien vers Google Analytics...
Bien entendu des sites pas fréquentables, hein...On trouve de tout sur le Dark Web, le pire comme le meilleur, mais pour le pire, c'est bien fourni.
Comme quoi regarder le code source de ces sites est bien surprenant parfois...

Question : on a vraiment besoin des polices de caractères de Google pour faire un site web ???

[Invité]

Bonsoir

Un tribunal régional de Munich, en Allemagne, a condamné un opérateur de site Web à payer 100 euros de dommages et intérêts pour avoir transféré les données personnelles d'un utilisateur - en l'occurrence, son adresse IP - à Google via la bibliothèque de polices du géant de la recherche sans le consentement de la personne concernée.

Quel est votre avis sur le sujet ?

Mais "lol" j'ai envie de dire ... Facebook est connu pour avoir ce type de pratique ou alors détournée ... Comment croyez vous qu'ils arrivent à a suivre même des "non membres" ?

Que pensez-vous de la décision du tribunal de Munich ?

Les menaces et sanctions vont à l'encontre du petit ... pas du gros ? Le petit site se plante , le gros site aspire et seul le petit est responsable ? L’hôpital se fout de la charité ma parole . Dans l'histoire Google est tout autant responsable que le petit site ... car ils ont accès à l'ip sans en avoir le droit ...

Le défendeur mérite-t-il l'amende de 100 euros qui lui a été infligée ?

Sur la forme "oui" car il y a violation du rgpd

Sur le fond "non" car c'est un pataquese pour pas grand chose ... Il y a a mon sens d'autre futilité bien plus urgente à régler !

[bigbear67]

Bon, dorénavant on va devoir faire du préchargement en local et fini les librairies distantes.
la vitesse de certains sites va prendre une claque monumentale.
encore des updates et des failles à surveillé en plus .

[Dave Hiock]

\ô/

Question : on a vraiment besoin des polices de caractères de Google pour faire un site web ???

dans ce cas est-il besoin du CSS tout simplement ?

Le cosmétique fait vendre mais pas que !

[dikafrato]

Ça deviens complètement marteau entre internet et les tribunaux.
C'est grosse blague! Et elle est même pas drôle

[fsfactor]

Le tribunal n'a pas demandé au plaignant s'il utilisait Google en moteur de recherche, Gmail, Google Calendar and Co. ou les autres outils des concurrents américains ?

[lohworm]

Alors, les polices ou jQuery ou autre framework en autohébergement, bon admettons, pourquoi pas...

Mais les plusieurs centaines de Go de tuiles OpenStreetMap (ou autre) si on affiche une carte ???

[xiwox]

Une adresse IP sur le net est publique, elle ne peut pas entrer dans le cadre de la GDPR. Elle est indispensable pour recevoir les informations demandées ! Si on ne veux pas que son IP soit diffusée il ne faut pas se connecter à internet. Encore du zèle des tribunaux pour faire semblant de prendre soin des données des utilisateurs et par la même occasion s’en prendre indirectement aux GAFAM. C’est d’une grande tristesse, un coup de bâton dans l’océan qui démontre une méconnaissance des technologies, mais également la faiblesse de l’EU qui n’a jamais su faire émerger un géant de la TECH !! Jalousie ?

[walfrat]

Techniquement, le site n'a rien divulgué, il a seulement indiqué où se trouve la police. C'est le plaignant qui l'a partagé
lui-même et aurait pu très bien bloquer les serveurs de Google de son côté.

Non, le client n'a pas demandé a chargé Google Fonts.

Bien que je sois surpris de cette conclusion, je pense qu'il faut également ajouter un autre élément important quand on charge des scripts depuis une page web : le header HTTP "referer" (de mémoire).

Celui-ci contient l'URL à partir duquel on charge le scripts. Cela permet donc en charger innocemment une font de savoir que tu te trouves sur un site www.xyz.xy.

Pour moi c'est là qu'est le vrai problème de RGPD, pas l'IP.

Mais les plusieurs centaines de Go de tuiles OpenStreetMap (ou autre) si on affiche une carte ???

Ben c'est simple : tu désactives la carto si l'utilisateur ne donne pas son consentement.

[valtena]

Une adresse IP sur le net est publique, elle ne peut pas entrer dans le cadre de la GDPR. Elle est indispensable pour recevoir les informations demandées !

Je t'invite à aller relire le RGPD. Ce règlement porte sur les informations personnelles qu'elles soient publiques ou privées. Et si la divulgation au site est effectivement légitime car techniquement obligatoire, ce n'est pas du tout le cas pour la divulgation à Google.