Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.

Google Font API

Que fait Google Font API ?

Google Font API est un service de typographie web gratuit de Google qui distribue plus de 1 400 familles de polices open-source via un CDN mondial. Chaque requête de police transmet l'adresse IP du visiteur aux serveurs Google aux États-Unis, soulevant des obligations RGPD et ePrivacy. Un tribunal allemand a jugé en 2022 que le chargement de Google Fonts sans consentement viole le RGPD. Les propriétaires de sites peuvent se conformer en hébergeant les polices localement ou en les chargeant uniquement après avoir obtenu le consentement explicite.

Qu'est-ce que l'API Google Fonts ?

L'API Google Fonts est un service de typographie web gratuit de Google LLC donnant accès à plus de 1 400 familles de polices open-source via un CDN mondial. Les développeurs web intègrent un lien de feuille de style vers fonts.googleapis.com, et le navigateur télécharge les fichiers de polices depuis fonts.gstatic.com. Le service prend en charge les polices variables, la définition de sous-ensembles et les paramètres d'optimisation de l'affichage qui minimisent les décalages de mise en page. Sa facilité d'intégration en a fait l'une des ressources tierces les plus déployées sur le web, présente sur des centaines de millions de sites.

Quelles données collecte l'API Google Fonts ?

L'API Google Fonts ne dépose pas de cookies dans le navigateur. Chaque requête de police transmet néanmoins des métadonnées aux serveurs de Google : l'adresse IP du visiteur, la famille et la graisse de police demandées, le user-agent du navigateur, le référent HTTP et un horodatage. Au sens du RGPD, les adresses IP sont des données à caractère personnel pouvant permettre d'identifier des individus. Google affirme ne pas les conserver de façon permanente, mais la transmission elle-même suffit à déclencher les obligations européennes de protection des données, comme la CJUE l'a confirmé à plusieurs reprises.

Implications RGPD et ePrivacy

En janvier 2022, le Landgericht München I (réf. 3 O 17493/20) a jugé que l'intégration de Google Fonts sans consentement violait l'article 6 du RGPD, car elle entraînait un transfert inutile de l'IP du visiteur vers les États-Unis, condamnant le responsable à 100 EUR de dommages et intérêts. Cet arrêt est devenu une référence pour les autorités de contrôle européennes. En Allemagne, le TTDSG exige que le chargement de toute ressource tierce transmettant des données identifiantes soit soumis au consentement ou à une exemption de stricte nécessité.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Exigences de consentement

Le consentement doit être obtenu avant que le navigateur effectue la moindre requête vers fonts.googleapis.com ou fonts.gstatic.com. Les deux requêtes doivent être bloquées jusqu'à l'acceptation via une plateforme de gestion du consentement. L'approche la plus simple est de définir une pile de polices système en CSS et de n'injecter les Google Fonts qu'après l'obtention du consentement. L'intérêt légitime est juridiquement risqué au regard de l'arrêt de Munich. Le consentement doit être libre, spécifique, éclairé et non ambigu conformément à l'article 7 du RGPD.

Transferts de données hors de l'UE

Toutes les requêtes Google Fonts sont acheminées vers l'infrastructure de Google aux États-Unis. Google s'appuie sur les clauses contractuelles types dans le cadre du mécanisme UE-États-Unis pour légitimer ces transferts. Plusieurs autorités européennes de protection des données ont toutefois mis en cause certains transferts Google. Les propriétaires de sites souhaitant une maîtrise totale de la résidence des données devraient opter pour l'hébergement local des polices, qui élimine entièrement la requête tierce et supprime tout risque de transfert.

Étapes pratiques pour la mise en conformité

Option 1 : hébergez les polices sur votre propre serveur, sans aucune requête vers Google. Option 2 : chargement conditionnel au consentement en bloquant par défaut toutes les requêtes vers fonts.googleapis.com et en injectant la feuille de style uniquement après l'obtention du consentement. Option 3 : remplacez Google Fonts par un CDN respectueux de la vie privée comme Bunny Fonts, qui reproduit le même catalogue sans journalisation des IP. Dans tous les cas, mettez à jour votre politique de cookies et votre avis de confidentialité pour refléter fidèlement votre stratégie de chargement des polices.

Categorie de consentement RGPD

Essentiel

Les sites web utilisant Google Font API doivent obtenir le consentement des utilisateurs conformement au RGPD.

Base legaleConsent (Art. 6(1)(a) GDPR). Legitimate interest is legally risky following the January 2022 LG Munich ruling (3 O 17493/20), which found external Google Fonts loading unlawful without consent.

Niveau de risquemedium

Reglementations applicablesGDPR, ePrivacy Directive, TTDSG (Germany)

Considerations AIPD

Une AIPD doit évaluer : (1) la nécessité du transfert vers les États-Unis alors que l'hébergement local est une alternative disponible, (2) la légalité de l'intérêt légitime vs le consentement suite à l'arrêt LG Munich 2022, (3) les implications de la TTDSG pour les visiteurs allemands, (4) l'adéquation des clauses contractuelles types pour la protection des données des résidents européens.

Exemple de texte de consentement

J'accepte que les polices soient chargées depuis les serveurs de Google. Cela transfère mon adresse IP aux États-Unis. Je peux retirer mon consentement à tout moment via les paramètres de cookies.

Details techniques

Methode de suiviCDN request (no browser cookies), visitor IP address logged server-side on every font load

Localisation des serveursUnited States (Google LLC)

Suivi sans cookie disponibleOui

Donnees transferees hors UEVisitor IP address and browser metadata transmitted to Google servers in the United States on every font request. Transfer covered by Standard Contractual Clauses under the EU-US Data Privacy Framework.

Domaines tiers contactes

fonts.googleapis.comfonts.googleapis.comfonts.gstatic.comfonts.gstatic.com

Cookies deposes

Nom	Type	Duree	Finalite
No cookies	none	n/a	Google Fonts does not set cookies on the visitor browser. The privacy concern is the connection to fonts.googleapis.com and fonts.gstatic.com, which transmits the IP address to Google in the United States. The German Munich court ruling of January 2022 considers this a personal data transfer that requires consent or a self hosted alternative.

Google Font API est un service essentiel, mais la transparence compte. Gerez tous vos consentements avec FlowConsent.

Commencer gratuitement Scanner votre site

Questions frequentes

Google Fonts dépose-t-il des cookies sur les navigateurs des visiteurs ?

Google Fonts ne dépose pas de cookies directement. Cependant, lorsque votre site charge des polices depuis les serveurs de Google, l'adresse IP et les informations du navigateur du visiteur sont transmises à Google. Il s'agit d'un traitement de données personnelles au sens du RGPD, même en l'absence de cookies.

Un consentement est-il requis avant de charger Google Fonts ?

Oui. Conformément au RGPD et à la décision du tribunal régional de Munich de 2022, le chargement de Google Fonts via un CDN externe sans consentement est illicite. Vous devez soit obtenir un consentement préalable via une CMP, soit héberger les polices sur votre propre serveur.

Quelles données personnelles Google Fonts collecte-t-il ?

Lorsque les polices sont chargées depuis le CDN de Google, l'adresse IP, le user-agent du navigateur et l'URL du référent du visiteur sont envoyés aux serveurs de Google aux États-Unis. Les adresses IP sont considérées comme des données personnelles au sens du RGPD, ce qui en fait une activité de traitement à déclarer.

Google Fonts transfère-t-il des données vers les États-Unis ?

Oui. Les serveurs Google hébergeant la Font API sont situés aux États-Unis. Ce transfert est soumis au chapitre V du RGPD. Google s'appuie sur les Clauses Contractuelles Types et son Addendum de Traitement des Données pour légitimer ces transferts, mais des mesures supplémentaires doivent être évaluées.

Quel était l'arrêt du tribunal de Munich de 2022 sur Google Fonts ?

En janvier 2022, le tribunal régional de Munich (LG München I, Az. 3 O 17493/20) a jugé que l'intégration de Google Fonts via un CDN externe sans consentement viole le RGPD en divulguant les adresses IP des visiteurs à Google aux États-Unis. Le tribunal a accordé 100 EUR de dommages et a exigé que l'opérateur héberge les polices lui-même ou obtienne un consentement.

Comment utiliser Google Fonts de manière conforme au RGPD ?

L'approche la plus sûre consiste à télécharger les fichiers de polices et à les héberger sur votre propre domaine, ce qui élimine tout transfert de données vers Google. Vous pouvez également charger Google Fonts uniquement après avoir obtenu un consentement valide via une CMP conforme, en bloquant la requête externe jusqu'à l'accord de l'utilisateur.

Existe-t-il des alternatives respectueuses de la vie privée à Google Fonts ?

Oui. Bunny Fonts est une alternative conforme au RGPD hébergée dans l'UE qui reproduit la bibliothèque Google Fonts sans envoyer de données à Google. Vous pouvez également utiliser des polices système ou des polices open source auto-hébergées, ce qui élimine tout transfert vers des tiers.

Google Fonts doit-il être mentionné dans ma politique de confidentialité ?

Oui. Même si Google Fonts ne dépose pas de cookies, votre politique de confidentialité doit signaler le traitement des adresses IP et le transfert de données vers les États-Unis. Listez Google Font API comme service tiers, décrivez les données transmises, la base légale utilisée et les garanties appliquées aux transferts vers les États-Unis.

Conformite RGPD — Essayer FlowConsent

Plan gratuit · Installation 10 min