Un tribunal de Munich, en Allemagne, a condamné un propriétaire de site web à une amende pour avoir transféré les données personnelles d’un utilisateur (adresse IP) à Google via la bibliothèque Google Fonts sans le consentement de la personne concernée.
Le tribunal a déclaré que la divulgation non autorisée de données personnelles violait le droit à la vie privée de l’utilisateur.
Conformément au GDPR, tout ce qui permet d’identifier un individu, y compris les adresses IP, les identifiants publicitaires, les cookies et les données de localisation, est considéré comme une DPI.
Toute entreprise collectant ces données doit en informer les utilisateurs et obtenir leur consentement pour les collecter.
Google doit également garantir qu’il ne suit pas, ne stocke pas et n’utilise pas ces données, ce que la Cour reconnaît. Google devrait également avoir le consentement explicite de l’utilisateur pour le faire.
Le jugement se lit comme suit :
Les adresses IP dynamiques représentent des données à caractère personnel pour l’exploitant d’un site web car, dans l’absolu, il dispose des moyens juridiques qui pourraient raisonnablement être utilisés pour, avec l’aide de tiers, à savoir l’autorité compétente et le fournisseur d’accès à Internet, identifier la personne concernée sur la base de l’IP stockée – faire déterminer les adresses…
Google Fonts est une bibliothèque de polices de caractères que de nombreux développeurs utilisent dans des sites web et des applications Android.
Étant donné que toutes les IP, y compris celles attribuées dynamiquement, peuvent être rattachées à une personne réelle en Allemagne, une adresse IP est considérée comme une donnée personnelle.
En raison de la violation du GDPR, il a été ordonné au site web de ne plus intégrer la bibliothèque de polices. Le tribunal a en outre demandé instamment à la société qui gère le site web de divulguer le type de données à caractère personnel qui sont traitées.