Google Fonts viole le RGPD

Samedi 29 mai

Enfonçons une porte grande ouverte : les GAFAM violent totalement le règlement européen sur la protection des données personnelles (RGPD). Et un récent article, important, de la Quadrature nous rappelle avec force détails que ceci se fait avec la complicité totale des « autorités de protection des données » (les régulateurs nationaux) et des États.

Parlons un instant de Google Fonts, qui n’est pas la pire des saloperies quand on le compare à tout le reste (Analytics, etc.).

Il existe un « débat » qui dure depuis… plusieurs années dans un fil de discussion au milieu du Web, entre développeurs/designers pour savoir si Google Fonts respecte ou non le RGPD. On y lit beaucoup de mauvaises choses, entre déni confortable et pensée magique.

Via ce « service », Google collecte des données personnelles sur les gens sans leur consentement explicite. Un problème qui ne peut même pas être contourné avec les fenêtres modales infernales qui arrachent le « consentement » des gens sous la torture car, techniquement, la collecte de données s’opère avant même que lesdites fenêtres modales soient affichées. C’est pas de bol.

« Ouiiimais, pourraient objecter certains, le consentement n’est qu’une des bases légales possibles pour se conformer au RGPD. Il y en a d’autres »

Certes. Mais qui correspondent à des cas si spécifiques que, en pratique, c’est via le « consentement » que tout le monde attaque (d’où les fenêtres-modales-of-the-death). Même le critère de l’impératif technique absolu (ce n’est pas le terme juridique, je reformule de mémoire) ne s’applique absolument pas ici. Votre site pourra parfaitement fonctionner même si les polices de caractères provenant de Google ne se chargent pas. Si, si, je vous assure.

Un peu de droit

Histoire d’en rajouter une couche, et en prenant comme postulat extrêmement naïf que Google Fonts ne collecterait que des adresses IP, ça coincerait aussi. L’adresse IP est considérée comme une donnée à caractère personnel. Et ça ne date d’ailleurs pas du RGPD : dans son arrêt C‑582/14 (« Patrick Breyer contre République fédérale d’Allemagne ») du 19 octobre 2016 (la mise en application effective du RGPD date de fin mai 2018), la Cour de justice de l’Union européenne (CJUE) mentionne au point 20 que :

Selon cette juridiction d’appel, une adresse IP dynamique, en combinaison avec la date de la session de consultation à laquelle elle se rapporte, constitue, lorsque l’utilisateur du site Internet considéré a révélé son identité pendant cette session, une donnée à caractère personnel, parce que l’opérateur de ce site peut identifier cet utilisateur en croisant son nom avec l’adresse IP de son ordinateur.

Cet arrêt ajoute à son point 25 que :

Le Bundesgerichtshof (Cour fédérale de justice) fait état de la controverse doctrinale relative à la question de savoir si, pour déterminer si une personne est identifiable, il convient de se fonder sur un critère « objectif » ou sur un critère « relatif ». L’application d’un critère « objectif » aurait pour conséquence que des données telles que les adresses IP en cause au principal pourraient être considérées, au terme des sessions de consultation des sites Internet considérés, comme revêtant un caractère personnel même si seul un tiers est en mesure de déterminer l’identité de la personne concernée, ce tiers étant, en l’occurrence, le fournisseur d’accès à Internet de M. Breyer qui a conservé des données supplémentaires permettant l’identification de celui-ci au moyen desdites adresses IP. Selon un critère « relatif », de telles données pourraient être considérées comme étant à caractère personnel à l’égard d’un organisme, tel que le fournisseur d’accès à Internet de M. Breyer, car elles permettent l’identification précise de l’utilisateur […], mais comme ne revêtant pas un tel caractère à l’égard d’un autre organisme, tel que l’opérateur des sites Internet consultés par M. Breyer, étant donné que cet opérateur ne disposerait pas, dans l’hypothèse où M. Breyer n’a pas révélé son identité au cours des sessions de consultation de ces sites, des informations nécessaires à son identification sans effort démesuré.

Je trouve plutôt rigolo le terme de « controverse doctrinale » pour qualifier ce qui me semble relever d’une évidence technique très concrète : à partir du moment où il existe, quelque part, des fichiers de logs qui indiquent que telle adresse IP dynamique était attribuée, à tel moment, à tel abonné à une connexion Internet, alors cette IP est de facto une donnée à caractère personnel. Et ce même si ces logs ne sont accessibles (théoriquement…) que par le fournisseur d’accès à Internet.

On peut faire, il me semble, un parallèle avec des plaques d’immatriculation de véhicules. Même si vous ignorez que le connard conduisant la voiture immatriculée 1-ABC-123 (et qui vient de griller le feu rouge alors que vous vous apprêtiez à traverser la route) se nomme Jean-René Trouducul, les fichiers de la Direction pour l'immatriculation des véhicules font explicitement le lien entre ces deux informations. Et ces fichiers sont accessibles, notamment, par la police, ce qui leur permettra d’identifier monsieur Trouducul et de lui infliger une amende de quatre mille euros pour infraction routière du 3e degré, ainsi que de lui retirer définitivement son permis de conduire. Non, je déconne : je n’ai jamais vu le moindre criminel être condamné pour ça. On est en Belgique ici, hein, pas dans un pays civilisé.

Bref : une plaque d’immatriculation peut donc être considérée comme une donnée à caractère personnel, même si vous ne disposez pas de toutes les pièces de puzzle nécessaires à retrouver l’identité qui se trouve derrière. Il suffit que le lien existe quelque part.

Au passage, ceci explique aussi en partie pourquoi les bases de données « pseudonymisées » (au lieu d’anonymisées) sont une vaste escroquerie, et pourquoi leur usage provoque encore et toujours des drames, les personnes figurant dedans pouvant toujours être ré-identifiées d’une manière ou d’une autre.

L’arrêt de la CJUE cité ci-dessus est… un peu long et technique. Et Patrick Breyer est un type épatant qui, étant accessoirement docteur en droit, s’est déjà souvent retrouvé face à des cours et autres tribunaux (dont cinq fois, jusqu’ici, à la CJUE). Mais le bonhomme sait aussi se montrer très synthétique. Aussi, quand j’ai eu l’occasion de lui demander un jour de vive voix si mon interprétation de l’incompatibilité de Google Fonts avec le droit européen lui semblait correcte, il m’a répondu (en anglais) :

Yep.

Synthétique, vous dis-je.

C’est avant tout une question politique

Pour en revenir au fil de discussion mentionné plus haut, j’y suis intervenu trois fois depuis 2018. Et je me rends compte, en relisant ces interventions, qu’il n’est franchement pas question de technique, ni même vraiment de droit…

Mi-2018 :

Thanks for the information, didn’t know about ‘CLOUD Act’. As I understand it, we indeed have two legislations colliding with each other (the GDPR, trying to guarantee that data protection levels won’t be compromised in any way, and the CLOUD Act, which basically pretends that laws from the whole world (except the USA) simply don’t exist…).

Are you aware of any other legal opinion (except the one you referenced) about this issue? Because if it gets confirmed that, because of this US law, not any US-based companies could technically be GDPR compliant, the hosting of fonts would immediately become the least important of our problems…

2020 :

You said: “And the question is rather if the GDPR is meaningfull. Two years and still collecting of data as ever.”

Using a lack of enforcement (of the law) as an argument to question the relevance of that law seems to be quite a questionable way of framing the issue. Especially when considering that, according to the separation of powers (which is still supposed to be a very central principle of democratic countries), the people writing the laws and the people doing the enforcement are supposed to be entirely different groups.

Traffic code is mostly not enforced in my city. Does that mean it’s OK for someone to pretend these rules do no exist, and then start to explicitly threaten or injure pedestrians/cyclists/motorcyclists with his shiny new car? I don’t think so.

I think XXX is right. As long as you cannot ensure a service respects both the law and the trust of people, the best (and safest) thing to do is not to use it as all.

Cette année :

It is one thing to say that any person’s IP will be exposed when using the Web (well, except in the many different scenarios where they could use Tor, a VPN, etc.).

It is another thing to consider that, given that, it’s OK to use any ‘service’ that is actively recording those IP addresses (and, in Google’s case, even mining them like precious gold).

I used to tell lawmakers a lot that, from a technical perspective, the Web works in a very different way than what they think of when creating rules. As a result, some specifics of those rules might look quite bizarre or hard to implement.
Nevertheless, when Lawrence Lessig wrote Code is Law more than twenty years ago, he didn’t mean that actual rules made by human should surrender to the (current) technical aspects of the (current) state of the world. Quite the opposite.

Human-made laws are about goals and objectives, not specific details. And it is a matter of deciding what kind of world we want to live in. Technical aspects then might have to be adapted or reshaped in some cases.

The goal of the GDPR is to protect people’s privacy (and also try to hinder spying crimes committed by the USA against the rest of the planet, but that’s another story). That’s the objective to keep in mind, that is the goal. It is a matter of not considering that, since IPs are exposed by default, it is OK to use whatever third party we like. Google is actively and knowingly violating the law, and fully intends to continue doing so, so I think it is both our legal and professional duty not to use their ‘services’ (Google Fonts in this case, but this applies to others as well) and to even strongly discourage other developers from using them as well, in order to protect both their users and their company.

Forcément, une discussion qui s’étale sur des années, ça peut se mettre à tourner philosophie.

Mais, plus sérieusement, on en revient aux fondamentaux : les questions techniques sont éminemment politiques.

Ah, et Google Fonts, c’est de la merde. Si vous voulez utiliser une police de caractères qui en provient, téléchargez les fichiers et hébergez-les vous-mêmes. Ne soyez pas comme Google. Don’t be evil.