Google Fonts et RGPD en 2026 : pourquoi héberger vos polices localement

C'est l'un des problèmes de conformité les plus répandus et les plus méconnus. Une immense majorité de sites chargent leurs polices d'écriture directement depuis les serveurs de Google Fonts. Or, ce simple chargement transmet l'adresse IP de chaque visiteur à Google, aux États-Unis, sans consentement. Un tribunal allemand a déjà condamné un site pour ce motif, et la pratique est dans le viseur des autorités européennes. Bonne nouvelle : la correction est rapide et gratuite.

Le problème en une phrase

Quand votre page utilise une police via une balise du type fonts.googleapis.com, le navigateur du visiteur contacte directement les serveurs de Google pour télécharger la police. Lors de cette requête, il transmet automatiquement :

• l'adresse IP du visiteur (une donnée personnelle au sens du RGPD) ;
• des métadonnées techniques (navigateur, page consultée).

Ce transfert se produit avant tout consentement, dès le chargement de la page, et constitue de surcroît un transfert de données vers les États-Unis (voir notre guide sur les transferts hors UE).

La jurisprudence : l'affaire du tribunal de Munich

En 2022, le tribunal régional de Munich a condamné l'éditeur d'un site web à verser des dommages-intérêts à un visiteur, au motif que le chargement de Google Fonts depuis les serveurs de Google avait transmis son adresse IP sans base légale ni consentement. La décision a fait grand bruit et déclenché une vague de mises en demeure en Allemagne, certaines abusives.

Si la situation française n'est pas identique, le raisonnement juridique s'applique : l'adresse IP est une donnée personnelle, et son transfert non consenti à un tiers américain est une non-conformité. La CNIL classe d'ailleurs ce type de chargement parmi les traceurs et requêtes à surveiller.

La solution : héberger les polices localement

La parade est simple et améliore aussi la performance de votre site : au lieu de charger les polices depuis Google, vous les hébergez sur votre propre serveur. Plus aucune requête ne part vers Google, donc plus aucune transmission d'IP.

Méthode générale (tous sites)

1. Téléchargez les fichiers de la police (formats .woff2 de préférence) — l'outil google-webfonts-helper permet de récupérer les fichiers et le CSS correspondant.
2. Placez les fichiers sur votre serveur (dossier /fonts).
3. Déclarez la police dans votre CSS avec une règle @font-face pointant vers vos fichiers locaux.
4. Supprimez tout appel à fonts.googleapis.com et fonts.gstatic.com.

Sur WordPress

De nombreux thèmes chargent Google Fonts à distance. Selon votre thème :

• une option « héberger les polices localement » existe parfois dans les réglages du thème ou via un plugin d'optimisation ;
• sinon, un plugin dédié télécharge les polices et réécrit les appels automatiquement.

Voyez aussi notre guide RGPD WordPress. Sur une boutique, le principe est identique — voir RGPD WooCommerce et RGPD PrestaShop.

Sur les constructeurs (Wix, Squarespace, Shopify)

Sur les plateformes hébergées, vous avez moins de contrôle. Beaucoup ont migré vers un hébergement conforme, mais vérifiez : utilisez les polices proposées nativement par la plateforme plutôt que d'injecter du code appelant Google Fonts. Voir RGPD Wix et RGPD Shopify.

Le même problème touche d'autres ressources Google

Google Fonts n'est que l'exemple le plus connu. Le même raisonnement vaut pour toute ressource chargée depuis un serveur tiers avant consentement :

• Google Maps intégré (iframe) → charge des scripts et transmet l'IP ;
• reCAPTCHA → dépose des cookies et contacte Google ;
• vidéos YouTube intégrées → utilisez le mode « confidentialité avancée » (youtube-nocookie.com) et idéalement un chargement au clic ;
• CDN de bibliothèques (jQuery, Bootstrap depuis un CDN tiers).

La bonne pratique générale : héberger localement ou charger au clic / après consentement tout ce qui peut transmettre des données à un tiers.

Comment savoir si vous êtes concerné

Ouvrez votre site, puis les outils développeur du navigateur (onglet Réseau) et regardez si des requêtes partent vers fonts.googleapis.com ou fonts.gstatic.com dès le chargement. Si oui, vos polices ne sont pas hébergées localement.

Plus simple : notre scanner gratuit détecte les requêtes et trackers tiers chargés avant consentement, dont Google Fonts. Complétez avec notre guide des cookies tiers.

Conclusion

Héberger Google Fonts localement est l'une des corrections RGPD au meilleur rapport effort/risque : quelques minutes de travail suppriment un transfert d'adresse IP non consenti vers les États-Unis, déjà sanctionné en Europe — tout en accélérant votre site. C'est typiquement le genre de détail technique que la CNIL et les plaignants repèrent facilement.

Vérifiez en une minute si vos polices fuient vers Google avec un scan gratuit, et passez en revue l'ensemble de votre site avec notre checklist de conformité RGPD.