Le 20 janvier 2022, il a été découvert que la page[1] d’inscription à la newsletter du site de la CNIL intégrait deux polices de caractères[2]. Ces polices étaient téléchargées automatiquement, lors du chargement initial de la page, depuis les serveurs de Google via le service (gratuit) Google Fonts.

Il a également constaté que cette page était activement utilisée, puisque la CNIL en faisait la promotion sur les réseaux sociaux[3].

La CNIL a été alertée. Quinze jours après le signalement, les polices Google Fonts ont été retirées de la page d’inscription.

Chronologie des événements :

  • le 20/01/2022, il a été constaté que la CNIL utilise des polices de caractères Google Fonts sur la page d’inscription à la lettre d’information.
  • le 04/02/2022, un message a été envoyé au Délégué à la Protection des données (DPO) de la CNIL pour l’alerter.
  • le 04/02/2022, un e-mail a été reçu du DPO de la CNIL pour indiquer que le message avait été transmis aux équipes concernées.
  • le 09/02/2022, il a été constaté que la CNIL avait retiré les polices Google Fonts de la page d’inscription.

Notes et références

  1. La page d’inscription à la newsletter de la CNIL est accessible à l’adresse : forms.information.cnil.fr/....
  2. Les deux polices de caractères chargées étaient : Lato avec une épaisseur de caractères 300 et Lato avec une épaisseur de caractères 400.
  3. La CNIL a notamment fait la promotion de sa page d’inscription sur Twitter le 20 janvier 2022 (source : twitter.com/CNIL).