Depuis 2010, les typographies Google Fonts sont disponibles gratuitement
Quand le web a commencé, étaient utilisées uniquement des typographies (fonts) qui pouvaient être lues dans les navigateurs et disponibles dans les systèmes d’exploitation des ordinateurs. Elles étaient à peu près au nombre de 5 à 10 (Times, Courrier, Arial, Cambria, Comic sans, Tahoma, … ) le web design était à l’âge de pierre !
Depuis 2010, Google a démarré un service d’hébergement gratuit de typographies (Google fonts) qui permet à tous les développeurs d’appeler une typographie (ou plusieurs) et des icones dans son site pour le rendre plus agréable, efficace et ergonomique à consulter comme on le faisait depuis toujours dans les créations print. Ces typographies sont gratuites et disponibles en open source.
Google recommande depuis le début de charger en temps réel ces fonts grâce à leur API, donc depuis leurs serveurs : garants de légèreté, rapidité, souplesse et efficacité.
Si la mise à disposition par Google de ces typographies a permis un incontestable progrès en matière de web design, il s’avère à l’usage qu’il est préférable de procéder autrement qu’en faisant des appels aux serveurs de Google à la fois en termes de RGPD et bien souvent en termes de performance.
Pourquoi les Google fonts ne sont pas conformes au RGPD?
Quand on appelle une typographie dans un site Internet, le navigateur fait une requête qui charge les caractères en question, soit depuis le serveur de Google, soit depuis le serveur de votre site Internet.
Quand la requête est faite sur le serveur de votre site Internet où on a stocké les typographies, il n’y a pas de problème, la requête est « locale ».
Quand la requête est faite sur le serveur de Google, Google remonte l’adresse IP de la personne qui est en train de naviguer, l’URL de la page consultée et les en-tête http qui permettent aux serveurs d’échanger des données telles que la date, le navigateur, le type de codage etc… Ces données, si elles sont enregistrées et analysées, peuvent potentiellement donner des indications personnelles.
Google ne s’en cache d’ailleurs pas du tout mais se défend de se servir de ces données : « Pour plus de clarté, Google n’utilise pas les informations collectées par Google Fonts pour créer des profils d’utilisateurs finaux ou à des fins publicitaires ciblées. »
La problématique qui se pose par rapport au RGPD est la suivante : l’adresse IP est considérée comme un donnée personnelle et Google n’a pas demandé à récolter cette donnée personnelle comme l’exige le règlement. L’installation des Google fonts par l’API Google ne serait donc pas conforme au RGPD.
C’est ainsi qu’un propriétaire de site Internet a été condamné en Allemagne en 2022 pour ne pas avoir chargé les typographies Google sur son serveur mais pour avoir fait appel à l’API de Google.
Que faire pour rendre conforme les Google fonts au RGPD ?
En France pour l’instant, la CNIL n’a rien publié concernant les Google fonts sur son site. Donc le sujet n’est pas encore officiellement dans le collimateur des autorités françaises. Toutefois, il faut se méfier parce qu’il est fort probable que si quelqu’un lui pose la question, la CNIL jugera, comme les autorités allemandes, que recueillir une adresse IP sans autorisation n’est pas conforme au RGPD.
Donc : Nous vous conseillons, même si il n’y a pas d’urgence, de charger les Google fonts sur votre serveur pour la conformité au RGPD. Il est probable en bonus que ça permette une meilleure performance en rapidité et donc en économie de ressources selon votre site et votre hébergement.
Vous pouvez vérifier que votre site Internet appelle des Google fonts avec l’outil Fonts Plug-in .