Landgericht München, 3. Zivilkammer, 3 O 17493/​20 vom 20.01.2022

À la créa­tion d’un site web, l’un des choix (le plus diffi­cile ?) est celui du style des polices d’écritures. Presque imman­qua­ble­ment, cette quête de caractère(s) passera par la biblio­thèque Google Fonts. Il s’agit d’un service d’hébergement gratuit de polices d’écritures pour le web proposé par Google. Il contient plus de 1’300 polices de carac­tères sous licences libres et est utilisé par plus de 50 millions de proprié­taires de sites web dans le monde.

Chaque page web visi­tée consiste en des fichiers : images, scripts, feuille de style et… des polices de carac­tères ! Lorsqu’un fichier est requis, l’adresse IP de l’appareil est parta­gée avec le serveur héber­geant le fichier, pour que celui-ci soit ache­miné à la bonne adresse et puisse être visua­lisé par le visi­teur du site web.

Lors de l’intégration d’une police prove­nant de la biblio­thèque Google Fonts, deux options s’offrent au déve­lop­peur du site : (i) héber­ger loca­le­ment la police ou (ii) l’héberger sur les serveurs Google. Cette deuxième option signi­fie qu’à chaque visite de la page web compor­tant des polices Google Fonts, le navi­ga­teur du visi­teur établira une connexion aux serveurs de Google et l’adresse IP de son ordi­na­teur sera instan­ta­né­ment parta­gée. Google utilise ces données à des fins analytiques.

À la suite d’une demande de droit d’accès selon l’art. 15 RGPD, le Landgericht de Munich a été saisi pour tran­cher la ques­tion du trai­te­ment de données par un site web recou­rant à des polices d’écritures héber­gées sur Google Fonts.

Le plai­gnant a visité le site web en ques­tion à de multiples reprises. Au cours de ses visites, son adresse IP a été systé­ma­ti­que­ment trans­fé­rée à Google. Le consen­te­ment préa­lable du visi­teur n’avait pas été obtenu. Le défen­deur, respon­sable du trai­te­ment, rétor­quait que son utili­sa­tion des services de Google Fonts avait pour base son inté­rêt légi­time au trai­te­ment de données selon l’art. 6 par. 1 let. f RGPD.

Pour tran­cher la ques­tion, le Landgericht de Munich constate, tout d’abord, que l’adresse IP trans­mise à Google consti­tue bien une donnée person­nelle au sens des art. 3 al. 1 de la Bundesdatenschutzgesetz alle­mande et 4 ch. 1 RGPD.

Se basant sur l’arrêt de la Cour de justice de l’Union euro­péenne Breyer c. Bundesrepublik Deutschland (Affaire C‑582/​14,  consid. 49), le Landgericht de Munich rappelle que l’adresse IP consti­tue bien une donnée person­nelle, car l’exploitant du site dispo­sait de moyens légaux qui pouvaient être mis en œuvre pour déter­mi­ner, avec l’aide de tiers, la personne concer­née par les adresses IP enregistrées.

Pour le Landgericht de Munich, qui suit l’approche abso­lue de la réiden­ti­fi­ca­tion, il suffit que le défen­deur ait la possi­bi­lité abstraite d’identifier les personnes derrière l’adresse IP. La ques­tion de savoir si le défen­deur ou Google ont concrè­te­ment la possi­bi­lité d’associer l’adresse IP au plai­gnant n’est pas importante.

Le Landgericht de Munich constate ensuite que, selon les art. 823 par. 1 et 1004 du Code civil alle­mand du 2 janvier 2002 (Bürgerliches Gesetzbuch ; BGB), le plai­gnant était en droit de deman­der au respon­sable du site web de s’abstenir de trans­fé­rer son adresse IP à Google et de deman­der la répa­ra­tion du dommage.

Le Landgericht de Munich relève que la trans­mis­sion non auto­ri­sée de l’adresse IP du plai­gnant consti­tue une viola­tion du droit à la vie privée sous sa forme de droit à l’autodétermination infor­ma­tion­nelle en droit alle­mand. Il explique que ce droit comprend le droit de l’individu de déci­der de la divul­ga­tion et de l’utilisation de ses propres données personnelles.

Par consé­quent, le Landgericht de Munich conclut que le droit a été touché au moment où son adresse IP a été trans­mise à Google lors de la visite du site web en question.

En l’occurrence, cette trans­mis­sion ne repose sur aucune base légale et n’est pas fondée sur le consen­te­ment du plai­gnant confor­mé­ment à l’art. 6 par. 1 let. a RGPD. Il conclut donc à une ingé­rence inadmissible.

De surcroit, l’intérêt légi­time n’est pas invo­cable dans le cas d’espèce. Pour rappel, l’intérêt légi­time de l’art. 6 par. 1 let. f RGPD en tant que base légale doit réunir trois condi­tions. Il faut (i) un inté­rêt légi­time, (ii) que le trai­te­ment soit néces­saire et (iii) que la balance des inté­rêts des personnes concer­nées vis-à-vis des inté­rêts au trai­te­ment de données ne soit pas déséqui­li­brée au détri­ment des personnes concernées.

La condi­tion de néces­sité n’est pas remplie, car la police d’écriture prove­nant de Google Fonts aurait pu être utili­sée sans trans­mis­sion de l’adresse IP. Le respon­sable du site web aurait en effet pu l’héberger et éviter un trai­te­ment de données supplé­men­taire. L’intérêt légi­time du respon­sable du trai­te­ment ne peut donc être invoqué.

Le Tribunal soulève à juste titre que ce n’est pas à la personne concer­née de proté­ger elle-même son adresse IP, en la chif­frant au moyen d’un VPN par exemple. Une telle exigence irait à l’encontre de la ratio legis des règles de protec­tion des données qui cherchent à proté­ger les personnes concer­nées dans l’exercice de leurs droits et liber­tés et non les obli­ger à se proté­ger elles-mêmes.

Le Landgericht de Munich justi­fie son arrêt en admet­tant la présomp­tion de fait d’un risque de réci­dive, dès lors que les droits sont atteints de manière illi­cite. Il ajoute qu’un tel risque ne saurait être écarté du simple fait que le site web ait entre-temps aban­donné le trans­fert des adresses IP des visi­teurs aux serveurs Google. Pour le Tribunal muni­chois, « seule une décla­ra­tion d’abstention punis­sable péna­le­ment » serait à même de garan­tir à la personne concer­née que le respon­sable du site ne repro­duira pas l’atteinte.

Finalement, concer­nant la répa­ra­tion d’un dommage subi, le Landgericht de Munich explique que la notion de « dommage » de l’art. 82 par. 1 RGPD doit être, comprise de manière large et corres­pondre aux objec­tifs du RGPD, à savoir la préven­tion et la sanc­tion de viola­tions des règles de protec­tion des données (consi­dé­rant 143 RGPD). Il laisse toute­fois ouverte la ques­tion du seuil à dépas­ser par une telle viola­tion pour l’octroi de pres­ta­tions en répa­ra­tion du dommage.

Un tel seuil a été dépassé en l’espèce. L’adresse IP a été trans­féré plus d’une fois à Google sans que la personne concer­née n’ait eu un quel­conque contrôle sur ce trans­fert. De surcroit, ces données ont été trans­fé­rées aux États-Unis, qui ne dispose pas d’un niveau de protec­tion adéquat (cf. swiss​pri​vacy​.law/17).

Compte tenu de la gravité de l’atteinte, le Landgericht de Munich a ordonné la cessa­tion du trans­fert et condamné le respon­sable du trai­te­ment à payer EUR 100 en répa­ra­tion du dommage au visi­teur du site avec une peine menace de EUR 250’000 ou jusqu’à 6 mois d’emprisonnement pour toute nouvelle violation.

À notre avis, il ne serait pas appro­prié de parer à ce problème en soumet­tant les polices Google Fonts au consen­te­ment. Dès lors que celui-ci doit être donné de manière libre, cela restrein­drait consi­dé­ra­ble­ment l’accès et la présen­ta­tion du site. Seul l’hébergement en local des polices d’écritures nous semble conforme au RGPD.

Finalement, cette déci­sion doit être rela­ti­vi­sée dès lors qu’elle a été rendue à l’encontre du proprié­taire du site web, et non de Google, desti­na­taire des adresses IP. Le Landgericht de Munich a fait ici le choix du symbo­lique. Il démontre qu’il est néces­saire d’avoir une atten­tion accrue au moment de conce­voir un site web et de s’assurer de la confor­mité des outils auxquels on recourt.