Un tribunal régional de la ville allemande de Munich a ordonné à un exploitant de site Web de payer 100 € de dommages et intérêts pour avoir transféré les données personnelles d’un utilisateur – c’est-à-dire l’adresse IP – à Google via la bibliothèque Fonts du géant de la recherche sans le consentement de l’individu.
La divulgation non autorisée de l’adresse IP du demandeur par le site Web anonyme à Google constitue une violation des droits à la vie privée de l’utilisateur, a déclaré le tribunal, ajoutant que l’exploitant du site Web pourrait théoriquement combiner les informations recueillies avec d’autres données tierces pour identifier les « personnes derrière l’adresse IP ».
La violation équivaut à la « perte de contrôle du demandeur sur une donnée personnelle à Google », lit-on dans la décision.
Pour rappel, Google Fonts about est une bibliothèque de services d’intégration de polices de Google, permettant aux développeurs d’ajouter des polices à leurs applications et sites Web Android simplement en référençant une feuille de style (CSS).
En janvier 2022, Google Fonts est un référentiel pour 1 358 familles de polices.
En vertu du Règlement général sur la protection des données (RGPD) de l’Union européenne, les points de données tels que les adresses IP, les identifiants publicitaires et les cookies sont comptés comme des informations personnelles identifiables (IPI), ce qui oblige les entreprises opérant dans le pays à demander l’autorisation explicite des utilisateurs avant de traiter ces informations.
En outre, le tribunal allemand a noté que « Google Fonts peut également être utilisé par le défendeur sans qu’une connexion à un serveur Google ne soit établie et que l’adresse IP de l’utilisateur du site Web soit transmise à Google », ce qui oblige les sites Web à héberger les polices localement.
En plus d’ordonner au site Web de cesser de divulguer l’adresse IP en intégrant la bibliothèque de polices, le tribunal a également exhorté la société qui gère le site Web à partager avec la partie concernée des informations sur le type de données personnelles qu’il stocke et qui est en cours de traitement.
La décision intervient quelques semaines après que l’Autorité autrichienne de protection des données (DSB) a statué que l’utilisation de Google Analytics par un site Web axé sur la santé appelé NetDoktor viole le règlement RGPD en exportant les données des visiteurs vers les serveurs de Google aux États-Unis, ouvrant ainsi la porte à une surveillance potentielle par les services de renseignement américains.
Source : Thekackernews
