Un tribunal régional de la ville allemande de Munich a condamné un opérateur de site Web à payer 100 € de dommages et intérêts pour avoir transféré les données personnelles d’un utilisateur – c’est-à-dire l’adresse IP – à Google via la bibliothèque Fonts du géant de la recherche sans le consentement de l’individu.
La divulgation non autorisée de l’adresse IP du plaignant par le site Web anonyme à Google constitue une violation des droits à la vie privée de l’utilisateur, a déclaré le tribunal, ajoutant que l’opérateur du site Web pourrait théoriquement combiner les informations recueillies avec d’autres données de tiers pour identifier les « personnes derrière le Adresse IP. »
La violation équivaut à la « perte de contrôle du demandeur sur une donnée personnelle au profit de Google », le lire.
Google Fonts est un service d’incorporation de polices bibliothèque de Google, permettant aux développeurs d’ajouter des polices à leurs applications et sites Web Android simplement en référençant une feuille de style. Depuis janvier 2022, Google Fonts est un référentiel de 1 358 familles de polices.
En vertu du règlement général sur la protection des données (RGPD) de l’Union européenne, les points de données tels que les adresses IP, les identifiants publicitaires et les cookies sont considérés comme des informations personnelles identifiables (PII), ce qui oblige les entreprises opérant dans le pays à demander l’autorisation explicite des utilisateurs avant traiter de telles informations.
En outre, le tribunal a noté que « Google Fonts peut également être utilisé par le défendeur sans qu’une connexion à un serveur Google soit établie et que l’adresse IP de l’utilisateur du site Web soit transmise à Google », obligeant effectivement les sites Web à héberger les polices localement.
En plus d’ordonner au site Web de cesser de divulguer l’adresse IP en intégrant la bibliothèque de polices, le tribunal a également exhorté la société qui gère le site Web à partager avec la partie concernée des informations sur le type de données personnelles qu’elle stocke et est en cours de traitement.
La décision intervient des semaines après que l’autorité autrichienne de protection des données (DSB) gouverné que l’utilisation de Google Analytics par un site Web axé sur la santé appelé NetDoktor viole le règlement GDPR en exportant les données des visiteurs vers les serveurs de Google aux États-Unis, ouvrant ainsi la porte à une surveillance potentielle par les services de renseignement américains.