Captcha puzzle

À maintes reprises, de nombreux exploitants de sites web européens se sont vu adresser des courriers d’avertissement pour manquement au RGPD. Le cœur du problème, c’est « Google Fonts », un service fourni par Google permettant d’intégrer gratuitement sur les sites web une large sélection de polices de caractères. Des millions de sites web dans le monde utilisent Google Fonts sans avoir la moindre idée des conséquences en termes de protection des données.

L’avertissement est motivé par le transfert non autorisé d’adresses IP d’utilisateurs individuels vers les États-Unis. Lors du chargement des polices, l’appareil de l’utilisateur établit une connexion avec les serveurs de Google et transmet ainsi sa propre adresse IP. Les États-Unis figurant par les pays tiers dangereux au sens du RGPD et les adresses IP étant considérées comme des données personnelles, aucun transfert n’est autorisé sans le consentement explicite de l’utilisateur.

Début 2022, le tribunal de district de Munich a octroyé à des plaignants des dommages-intérêts en raison d’une utilisation de Google Fonts sans consentement. Dans de nombreux cas, les courriers d’avertissement sont fondés sur cette décision. Quant à savoir si la vague de courriers d’avertissement invoquant ce jugement est justifiée et si les exigences devraient être satisfaites, la question reste à trancher. Une chose est sûre en revanche : il faut prendre des mesures sur le plan technique.

Privacy Issues

Vérification de votre propre site web

Pour savoir si votre propre site web est concerné, vous avez la possibilité de rechercher « fonts.googleapis.com » et « fonts.gstatic.com » dans le code source. Le code source d’une page web peut être affiché d’un clic droit suivi de « Afficher le code source de la page » ou en effectuant la combinaison de touches « Ctrl + U ». Si l’un des domaines figure bien dans le code source, il y a de fortes chances que des polices trouvées dans Google Fonts soient utilisées sur le site web. Autre solution, des services gratuits tels que Google Fonts Checker qui peuvent vous indiquer directement si un site web particulier est affecté. Si votre site utilise Google Fonts, vous devez immédiatement bloquer les intégrations concernées et intégrer Google Fonts localement. Google Fonts Checker qui peuvent vous indiquer directement si un site web particulier est affecté. Si votre site utilise Google Fonts, vous devez immédiatement bloquer les intégrations concernées et intégrer Google Fonts localement. 

Même si vous avez déjà reçu un avertissement, il est indispensable de bien vérifier que l’accusation est justifiée dans chacun des cas. Compte tenu du nombre apparemment très élevé de courriers d’avertissement envoyés, on ne peut exclure que des infractions potentielles aient été détectées par l’utilisation des fameux robots d’indexation ou crawlers.

Text captcha

Alternatives à Google Fonts

Le moyen le plus simple d’éviter d’utiliser Google Fonts sur votre propre site web reste encore d’intégrer la police localement. Dans ce cas, aucune connexion n’est établie avec des serveurs externes et l’adresse IP de l’utilisateur n’est donc pas transmise. 

Pour ce faire, il vous suffit de télécharger la police sur le site Google Fonts puis de la rendre disponible directement sur votre propre serveur web. Les polices peuvent à présent être chargées comme à l’accoutumée via une balise dans la zone d’entête de la page web. Tout ce que vous avez à faire est de remplacer l’URL fonts.googleapis.com par l’URL de la police sur votre propre serveur web. Si vous utilisez un système de gestion de contenu (CMS), il est conseillé d’ajouter un plugin Google Fonts Blocker. Concernant WordPress, il y a ce plugin gratuit comme bon exemple : Borlabs Font Blocker.

reCAPTCHA v3

Google Fonts et reCAPTCHA

Même si Google Fonts n’a pas fait l’objet d’une intégration directe sur le site web, les polices n’en sont pas moins chargées par certaines intégrations de Google depuis les serveurs de Google. Ainsi, lorsque reCAPTCHA est utilisé, les polices provenant de Google Fonts sont elles aussi chargées. reCAPTCHA est une solution de Google que les exploitants de sites web utilisent afin de lutter contre les attaques de spam, les bots, etc.

Par conséquent, si reCAPTCHA est utilisé sur un site web, il va également à l’encontre du RGPD, en raison du défaut de consentement explicite de la part de l’utilisateur. Outre l’intégration de Google Fonts par reCAPTCHA, son utilisation se révèle aussi difficile à justifier du point de vue du RGPD.

Par précaution, il vaut donc mieux éviter toute utilisation combinée de Google Fonts et Google reCAPTCHA.

Secure captcha

Alternatives à reCAPTCHA

Friendly Captcha est une alternative à reCAPTCHA conforme au RGPD. Friendly Captcha donne la priorité à la protection de la vie privée des utilisateurs sans recueillir de données à caractère personnel au-delà des fonctionnalités fournies. Conçu par une équipe de développeurs basés dans l’UE, Friendly Captcha peut fonctionner sur les serveurs de fournisseurs européens au sein de l’UE. Cela signifie qu’aucune donnée ne doit être transférée vers des pays tiers.

Friendly Captcha, c’est aussi une solution conviviale pour lutter contre le spam, les attaques de masse et les bots. En aucun cas, les utilisateurs n’ont à résoudre de puzzle manuellement. Les vérifications sont effectuées en arrière-plan de façon totalement automatique et s’appuient sur des puzzles cryptographiques que le navigateur se charge de résoudre. L’intervention de l’utilisateur est ainsi minime et le captcha est accessible aux utilisateurs de tout type.

Si vous voulez essayer Friendly Captcha vous-même, vous pouvez regarder notre live demo. Vous trouverez de plus amples renseignements concernant Friendly Captcha ici.