Le 20 janvier 2022, il a été découvert que la page d’inscription à la newsletter du site de la CNIL intégrait deux polices de caractères[1]. Ces polices étaient téléchargées lors du chargement initial de la page, depuis les serveurs de Google, via le service (gratuit) Google Fonts.

Il a également constaté que cette page était activement utilisée, puisque la CNIL en faisait la promotion sur les réseaux sociaux[2].

La CNIL a été alertée. Quinze jours après le signalement, les polices Google Fonts ont été retirées de la page d’inscription.

Chronologie des événements :

  • le 20/01/2022, il a été constaté que la CNIL utilise des polices de caractères Google Fonts sur la page d’inscription à la lettre d’information.
  • le 04/02/2022, un message a été envoyé au Délégué à la Protection des données (DPO) de la CNIL pour l’alerter.
  • le 04/02/2022, un e-mail a été reçu du DPO de la CNIL pour indiquer que le message avait été transmis aux équipes concernées.
  • le 09/02/2022, il a été constaté que la CNIL avait retiré les polices Google Fonts de la page d’inscription.

Notes et références

  1. Les deux polices de caractères chargées étaient : Lato avec une épaisseur de caractères 300 et Lato avec une épaisseur de caractères 400.
  2. La CNIL a notamment fait la promotion de sa page d’inscription à la newsletter sur Twitter le 20 janvier 2022.