Saviez-vous que la majorité des sites web français utilisent Google Fonts en violation du RGPD sans le savoir ? Depuis janvier 2022, une décision majeure du tribunal de Munich (BGH) a établi que charger des polices via le CDN Google (fonts.googleapis.com) sans consentement explicite des visiteurs est illégal en Europe. Cet article explique pourquoi, comment vérifier votre site, et comment vous mettre en conformité simplement.

Décision BGH Munich janvier 2022

Contexte

En janvier 2022, le tribunal allemand de Munich (BGH - Bundesgerichtshof) a condamné un site web allemand pour utilisation de Google Fonts via CDN externe sans consentement préalable des visiteurs. Le site a été condamné à verser 100 € au plaignant (visiteur dont l'IP avait été transmise à Google).

Pourquoi cette décision est importante

  • Premier cas concret de condamnation pour Google Fonts CDN
  • Jurisprudence européenne : applicable en France via RGPD
  • Effet boule de neige : centaines de mises en demeure en 2022-2025
  • CNIL française a confirmé applicabilité en 2023
  • Précédent pour autres CDN tiers (jQuery CDN, Bootstrap CDN, etc.)

Pourquoi Google Fonts CDN est non-conforme

Quand votre site charge une police depuis fonts.googleapis.com :

  1. Le navigateur du visiteur fait une requête vers les serveurs Google
  2. L'adresse IP du visiteur est transmise à Google
  3. Google peut associer cette IP à d'autres données (compte Google, etc.)
  4. Cette transmission constitue un traitement de données personnelles
  5. Article 6 RGPD exige un consentement préalable ou base légale équivalente
  6. Sans consentement = violation RGPD

Comment détecter Google Fonts CDN sur son site

Méthode 1 — Inspecter le code source (rapide)

Sur n'importe quelle page de votre site :

  1. Clic droit → "Afficher le code source de la page" (ou Ctrl+U)
  2. Ctrl+F pour chercher : fonts.googleapis.com
  3. Si présent : non-conforme
  4. Chercher aussi : fonts.gstatic.com (variante)

Méthode 2 — Onglet Network Chrome DevTools

  1. Ouvrir Chrome, charger votre site
  2. F12 → onglet "Network"
  3. Filtrer par "Fonts" (en haut)
  4. Recharger la page (F5)
  5. Si requêtes vers fonts.googleapis.com ou fonts.gstatic.com : non-conforme

Méthode 3 — Outils en ligne

  • sicheres-internet.de/google-fonts : test gratuit, allemand, fiable
  • cookieserve.com : audit cookies + trackers
  • webbkoll.dataskydd.net : audit RGPD complet suédois

Self-hosting : la solution conforme

Pourquoi le self-hosting est la meilleure solution

  • Conformité RGPD : zéro donnée transmise à Google
  • Performance : -100 à -300 ms TTFB (pas de requête externe)
  • Indépendance : pas de dépendance Google
  • Cache navigateur : meilleur cache mutualisé avec autres ressources du site
  • Sécurité : zéro risque de compromission CDN externe

Méthode complète

  1. Identifier les polices utilisées sur votre site (DevTools → Computed → font-family)
  2. Télécharger les fichiers WOFF2 depuis Google Fonts (bouton "Download family" en haut à droite)
  3. Convertir en variable si possible (1 fichier au lieu de 6 graisses)
  4. Placer dans /public/fonts/ de votre site
  5. Déclarer en CSS avec @font-face
  6. Preload la police critique (corps de texte)
  7. Supprimer le lien <link href="fonts.googleapis.com">
  8. Tester que les polices s'affichent correctement

Exemple CSS optimal

@font-face {
  font-family: 'Plus Jakarta Sans';
  src: url('/fonts/PlusJakartaSans-Variable.woff2') format('woff2-variations');
  font-weight: 200 800;
  font-style: normal;
  font-display: swap;
}

body {
  font-family: 'Plus Jakarta Sans', system-ui, sans-serif;
}

Preload police critique (HTML)

<link rel="preload" href="/fonts/PlusJakartaSans-Variable.woff2"
      as="font" type="font/woff2" crossorigin />

Bunny Fonts et autres alternatives

Bunny Fonts (recommandé si self-hosting impossible)

fonts.bunny.net : alternative RGPD-safe à Google Fonts, même catalogue, hébergement EU, zéro cookies, zéro tracking. Drop-in replacement : remplacer "googleapis" par "bunny.net" dans vos liens existants.

  • Gratuit jusqu'à des volumes raisonnables
  • RGPD-conforme par design (pas de transmission IP à Google)
  • Catalogue identique à Google Fonts
  • Performance comparable
  • Migration simple : 1 ligne à modifier

Fontsource (npm)

Polices Google Fonts disponibles en package npm. Installation : npm install @fontsource/inter. Self-hosting automatique au build.

Polices système

Stack système ultra-performant : font-family: system-ui, -apple-system, sans-serif. Zéro téléchargement, rendu instantané. Limitation : aspect varie selon OS.

Adobe Fonts (Typekit)

Solution payante (incluse Adobe Creative Cloud). Catalogue premium. Conformité RGPD à vérifier selon configuration. Plus cher que self-hosting Google Fonts.

Cas spécifiques par CMS

WordPress

Plugin recommandé : OMGF | Optimize My Google Fonts. Télécharge automatiquement les polices Google Fonts utilisées par votre thème et les self-héberge. Compatible avec la plupart des thèmes (Astra, GeneratePress, OceanWP). Configuration : Settings → OMGF → Activer "Auto-detect" + "Replace Google Fonts URL".

Wix / Squarespace

Difficulté : ces plateformes utilisent Google Fonts CDN par défaut sans option simple de self-hosting. Solutions : 1) Utiliser uniquement polices système (workaround partiel), 2) Migrer vers framework moderne (Astro 5) qui permet self-hosting natif. Voir guide migration Astro.

Shopify

Polices Shopify Sans système RGPD-safe par défaut. Si thème custom utilise Google Fonts : modifier le code Liquid pour pointer vers polices self-hébergées dans Assets.

Astro / Next.js / autres frameworks modernes

Self-hosting natif et simple via packages npm (Fontsource, next/font, ou téléchargement WOFF2 manuel). Phare du Web utilise systématiquement self-hosting Plus Jakarta Sans + Fraunces variables.

Sanctions et risques juridiques

Échelle des sanctions

  • Mise en demeure CNIL : 1ʳᵉ étape, gratuite mais à corriger sous 30 jours
  • Amende RGPD : jusqu'à 4 % du CA mondial annuel ou 20 M€ (le plus élevé)
  • Réclamation civile : 100-1500 € par utilisateur traçé selon préjudice prouvé
  • Action collective : associations consommateurs (UFC Que Choisir, etc.)
  • Atteinte réputation : publication décision CNIL, presse

Cas réels 2022-2025 en France

  • Plusieurs centaines de mises en demeure CNIL pour Google Fonts CDN
  • Cabinets d'avocats spécialisés envoient mises en demeure pour clients particuliers
  • 2023 : première condamnation française d'une PME pour 5000 € (RGPD + atteinte vie privée)
  • 2024-2025 : pression accrue avec EAA (European Accessibility Act) qui audit aussi RGPD

Coût conformité vs sanction

Self-hosting polices : 30 minutes à 2 heures de travail (gratuit en interne, 100-300 € HT prestation). Sanction potentielle : 1500 € minimum par utilisateur. Calcul ROI : conformité immédiate dès qu'1 utilisateur ferait réclamation.

Questions fréquentes

La bannière cookie suffit-elle pour Google Fonts ?

Non. Bannière cookie ne couvre que les cookies, pas les transmissions d'IP via requêtes HTTP vers serveurs externes. Pour Google Fonts CDN, il faudrait obtenir consentement avant tout chargement de police - inacceptable UX (FOIT massif). Self-hosting est la seule solution viable.

Mon hébergeur français suffit-il pour conformité RGPD ?

L'hébergeur principal (OVH, Hostinger, IONOS, Netlify EU) est un facteur, mais pas suffisant si votre site charge des ressources externes (Google Fonts, Google Analytics, YouTube, Maps...). Conformité RGPD = audit complet de TOUTES les ressources tierces chargées par votre site.

Phare du Web inclut-il la conformité RGPD ?

Oui systématiquement dans tous les packs : self-hosting fonts, hébergement EU Netlify, bannière CNIL conforme, mentions légales complètes, politique confidentialité, pas de Google Fonts CDN, pas de Google Analytics par défaut (Plausible recommandé). Conformité RGPD by design.

Combien coûte la mise en conformité Google Fonts d'un site existant ?

WordPress avec plugin OMGF : 0-50 € (plugin gratuit + 30 min config). Site custom HTML/CSS : 100-300 € HT (téléchargement, intégration, tests). Refonte complète vers framework moderne RGPD-by-design : 590-2490 € HT (Refonte Express à Premium chez Phare du Web).

Bunny Fonts est-il vraiment 100 % conforme RGPD ?

Oui par design : Bunny.net est société européenne (Slovénie), serveurs EU, zéro cookies, zéro tracking, conforme RGPD natif. Politique de confidentialité explicite. Solution recommandée si self-hosting techniquement impossible.

Conclusion

Depuis janvier 2022, Google Fonts via CDN externe est non-conforme RGPD. Solution simple et efficace : self-héberger les polices WOFF2 sur votre site. Bonus performance (-100 à -300 ms TTFB) en plus de la conformité. Sanctions possibles : 100-1500 € par utilisateur traçé. Mise en conformité 30 min à 2 h, gratuite en interne.

Cet article a été publié le 10 mai 2026 par Julien Debeaume, webmaster freelance à Marzan. Pour aller plus loin : page création de site RGPD-by-design, ou demandez un audit RGPD gratuit sous 24 h.