Google Fonts WordPress : charger ses polices localement (LPD 2026)

J’ai refait le site d’un cabinet dentaire à Lausanne en 2024. Beau site, bon contenu, hébergement solide. Pendant l’audit technique, on a repéré quelque chose d’anodin en apparence : chaque page chargeait trois polices Google Fonts directement depuis fonts.googleapis.com. Rien de visible pour le visiteur. Mais dans les logs réseau, l’adresse IP de chaque patient qui visitait le site partait sur les serveurs de Google aux États-Unis. Sans consentement. Sans mention dans la politique de confidentialité. Un cabinet médical, soumis au secret professionnel, qui transfère des données personnelles hors Suisse sans base légale. Bref. Ce problème, je le retrouve sur à peu près la moitié des sites WordPress qu’on audite.

Il y a une solution simple. Mais d’abord, il faut comprendre exactement ce qui se passe : parce que la plupart des tutoriels sur les Google Fonts WordPress passent complètement à côté de la dimension légale. Et pour une PME romande qui veut choisir la bonne solution pour son site web, ce détail compte au même titre que le design ou la vitesse.

Ce que fait vraiment votre site quand il charge Google Fonts

Quand un visiteur ouvre votre site WordPress, son navigateur lit le code HTML de la page. S’il y trouve une balise du type <link href="https://www.vldesign.ch/wp-content/litespeed/localres/aHR0cHM6Ly9mb250cy5nb29nbGVhcGlzLmNvbQ==/css2?family=Roboto">, il envoie immédiatement une requête aux serveurs de Google pour télécharger cette police. Cette requête contient automatiquement l’adresse IP du visiteur, le navigateur utilisé, et l’heure de la visite. Google reçoit donc ces données personnelles : sans que le visiteur l’ait consenti, sans que vous l’ayez décidé, simplement parce que c’est la mécanique du web.

Ce mécanisme existe depuis que Google Fonts a été lancé. Pendant longtemps, personne n’y prêtait attention. C’est un tribunal de Munich qui a changé la donne en janvier 2022, en condamnant un site web à 100 € d’amende pour avoir transmis l’adresse IP d’un visiteur à Google via Google Fonts, sans base légale valide selon le RGPD. Ce précédent a été suivi de décisions similaires en Autriche et aux Pays-Bas. En Suisse, la LPD révisée : entrée en vigueur le 1er septembre 2023 : pose le même cadre : le transfert de données personnelles vers un pays sans protection adéquate (les États-Unis en font partie) nécessite une base légale explicite.

D’ailleurs, il y a une deuxième raison de localiser ses polices, indépendante du droit : la performance. Une requête DNS externe vers fonts.googleapis.com ajoute de la latence au chargement de la page. Une police hébergée localement, sur le même serveur que le reste du site, charge plus vite. C’est un point que les outils Core Web Vitals signalent d’ailleurs explicitement sous l’item « Éliminer les ressources bloquant le rendu ».

LPD suisse : ce que ça change concrètement pour vous

Honnêtement, le risque d’une amende pour une PME romande qui charge des Google Fonts via CDN n’est pas immédiat. Le PFPDT (Préposé fédéral à la protection des données) n’a pas lancé de campagne de contrôle ciblée sur ce point. Mais ce n’est pas ça la vraie question.

La vraie question est celle-ci : votre politique de confidentialité mentionne-t-elle le transfert de données vers Google via les polices ? Presque jamais. Si un client, un concurrent ou un avocat voulait vous mettre en difficulté sur ce point, il aurait un argument légal valide. Pour certains secteurs : médical, juridique, fiduciaire, thérapeutique : la sensibilité est encore plus forte parce que les visiteurs de ces sites ont une attente légitime de discrétion. Ce n’est pas un problème à régler « un jour ». C’est un problème à régler ce soir, en dix minutes.

Un diagnostic technique complet de votre site identifie systématiquement les ressources externes chargées sans base légale : Google Fonts, mais aussi Google Analytics, les pixels de réseaux sociaux, et les CDN de scripts tiers.

Méthode 1 : LiteSpeed Cache : automatique, zéro code

Si votre site tourne sur un hébergeur LiteSpeed (Infomaniak, o2switch, et la majorité des hébergeurs suisses sérieux), vous avez probablement déjà le plugin LiteSpeed Cache installé. C’est la méthode la plus simple : et celle qu’on utilise sur tous les projets qu’on livre chez VLdesign.

Dans le tableau de bord WordPress, allez dans LiteSpeed Cache > Optimisation de page > CSS. Cherchez l’option intitulée « Récupérer les polices Google localement » (ou « Localiser les fichiers CSS Google »). Activez-la. Videz le cache. C’est terminé. LiteSpeed télécharge automatiquement les fichiers de polices sur votre propre serveur et met à jour les balises dans votre code HTML. Plus aucune requête vers fonts.googleapis.com. L’adresse IP de vos visiteurs ne quitte plus votre hébergeur.

Vérification rapide après activation : ouvrez votre site dans un onglet privé, ouvrez les outils de développement (F12), allez dans l’onglet Réseau et filtrez sur « Fonts ». Si toutes les polices chargent depuis votre propre domaine et plus depuis fonts.gstatic.com ou fonts.googleapis.com, c’est bon.

Méthode 2 : plugin dédié : pour tous les hébergeurs

Si vous n’utilisez pas LiteSpeed Cache, le plugin OMGF (Optimize My Google Fonts) fait exactement la même chose de façon indépendante. Il télécharge les fichiers de polices Google sur votre serveur et remplace toutes les références dans votre code par des URLs locales.

Installation : Extensions > Ajouter > chercher « OMGF » > Installer > Activer. Le plugin scanne automatiquement vos pages pour détecter les polices Google chargées depuis l’extérieur. Un clic sur « Optimiser » dans les paramètres du plugin les télécharge localement. Aucune configuration complexe. La version gratuite couvre l’usage standard.

Deux précautions : vérifiez après installation que les polices s’affichent toujours correctement sur mobile et tablette. Et si vous mettez à jour votre thème ou changez de polices, relancez l’optimisation : le plugin ne met pas à jour automatiquement quand vos polices changent.

Méthode 3 : en dur dans le thème : pour les développeurs

Pour les projets où on contrôle le code du thème, on peut gérer les polices directement sans plugin. C’est la méthode la plus propre sur le long terme : pas de dépendance à un plugin tiers, pas de risque de casse lors d’une mise à jour.

Le processus en quatre étapes : aller sur fonts.google.com et sélectionner les variantes nécessaires (ne charger que les graisses utilisées : pas toute la famille). Télécharger les fichiers via l’outil google-webfonts-helper (site tiers qui génère les fichiers .woff2 et le CSS correspondant). Placer les fichiers dans le dossier du thème enfant, dans un sous-dossier fonts/. Déclarer les polices dans le CSS avec la règle @font-face en pointant vers vos fichiers locaux. C’est tout.

Important : travailler dans un thème enfant, jamais dans le thème parent. Une mise à jour du thème écrase les modifications dans le thème parent. Le thème enfant préserve vos personnalisations. C’est la base, mais c’est l’erreur que je vois le plus souvent chez les clients qui ont « bricolé » eux-mêmes.

Kadence et Divi : la gestion native des polices locales

Du coup, si votre site utilise Kadence ou Divi, vous avez une option supplémentaire que les guides génériques n’évoquent pas. Ces deux constructeurs ont intégré la gestion des polices locales nativement.

Avec Kadence (le thème qu’on utilise par défaut sur nos projets depuis 2022), allez dans Kadence > Design > Typographie. Chaque sélecteur de police propose une option « Polices locales Google ». En activant cette option, Kadence télécharge et héberge lui-même les fichiers de polices. La mise à jour reste automatique si vous changez de police dans l’interface.

Avec Divi, l’option se trouve dans Theme Options > General > Google Fonts avec la case « Improve Google Fonts Load Time » : qui dans les versions récentes inclut la localisation automatique. Moins transparent que Kadence sur ce que ça fait exactement, mais le résultat est le même.

Si votre site a été conçu par une agence ou un freelance et que vous ne savez pas quel thème il utilise, c’est exactement le type de point que couvre un accompagnement de prise en main de votre site WordPress.

Ce que j’observe depuis 25 ans sur les sites romands

Justement. En auditant des dizaines de sites WordPress romands, le schéma est toujours le même : le site a été créé par quelqu’un qui savait ce qu’il faisait sur le fond : bon design, contenu correct, hébergement sérieux. Mais les petits détails techniques qui s’accumulent, comme le chargement des polices depuis des CDN externes, personne ne les a jamais vérifiés après la mise en ligne.

Sur les projets qu’on livre aujourd’hui, la liste de contrôle avant mise en ligne inclut systématiquement : zéro ressource externe non déclarée dans la politique de confidentialité, polices locales confirmées dans les outils réseau, score Core Web Vitals mesuré après optimisation. Ce n’est pas de la paranoïa légale. C’est ce qu’on attend d’un site web professionnel en 2026 en Suisse romande.

La question que j’entends parfois : « mais Google offre bien un opt-out pour les données ? » Oui, Google propose des mécanismes pour limiter la collecte. Non, ce n’est pas suffisant au sens de la LPD suisse. La base légale du transfert doit être documentée côté responsable du traitement : c’est-à-dire vous, le propriétaire du site. « Google dit que c’est OK » n’est pas une base légale. C’est un problème que je vois régulièrement dans les politiques de confidentialité de sites romands : elles mentionnent Google Analytics, parfois les cookies, jamais les Google Fonts.

Pour les PME de l’agglomération lausannoise qui opèrent dans des secteurs réglementés : santé, finance, droit : la localisation des polices fait partie d’une mise en conformité LPD plus large que VLdesign accompagne depuis la révision de septembre 2023.

Un site entièrement revu : typographie, performance, conformité LPD, SEO : c’est aussi ce que couvre une refonte technique et graphique complète. Pas seulement un relooking : une mise aux normes 2026.

Questions fréquentes sur Google Fonts et la LPD

Google Fonts est-il gratuit sur WordPress ?

Oui, les polices Google Fonts sont gratuites et open-source. Vous pouvez les utiliser librement, y compris en les hébergeant localement sur votre propre serveur : c’est même la méthode recommandée. La licence Open Font License (OFL) l’autorise explicitement.

Pourquoi Google Fonts pose-t-il un problème avec la LPD suisse ?

Quand votre site charge les polices depuis les serveurs Google, l’adresse IP de chaque visiteur est transmise à Google (serveurs aux États-Unis) sans consentement explicite. Depuis la révision de la LPD suisse en septembre 2023, ce type de transfert de données personnelles vers des pays sans protection adéquate nécessite une base légale documentée. La solution est de charger les polices depuis votre propre serveur : aucune donnée ne quitte votre hébergeur.

Localiser ses polices Google ralentit-il le site ?

Non, c’est l’inverse. Charger les polices localement élimine une requête DNS externe vers les serveurs Google, ce qui réduit la latence de chargement. Les outils comme PageSpeed Insights signalent d’ailleurs « Éliminer les ressources bloquant le rendu » quand des polices externes sont détectées. Sur les projets qu’on livre, la localisation des polices améliore systématiquement le score LCP (Largest Contentful Paint).

Dois-je modifier ma politique de confidentialité après localisation des polices ?

Si votre politique mentionnait « nous utilisons Google Fonts (transfert vers Google) » et que vous êtes passé en local, oui : supprimez ou mettez à jour ce paragraphe. Si votre politique ne mentionnait pas du tout Google Fonts (cas le plus fréquent), la localisation des polices simplifie la situation : il n’y a plus de transfert à déclarer. Dans les deux cas, une vérification complète de la politique de confidentialité s’impose si vous ne l’avez pas mise à jour depuis septembre 2023.

Comment installer une police Google Fonts sur WordPress ?

Trois chemins, du plus simple au plus technique. Si LiteSpeed Cache tourne déjà sur ton site, l’option « Localize Resources » télécharge la police choisie et la sert depuis ton domaine. Zéro code. Pour les autres hébergeurs, un plugin type OMGF (Optimize My Google Fonts) fait pareil en un clic. Pour les développeurs : télécharger le fichier woff2 sur fonts.google.com, l’héberger dans /wp-content/uploads/fonts/, puis déclarer la @font-face dans le CSS du thème. Sur les mandats que je gère depuis 2020, huit fois sur dix c’est la première méthode qui suffit.

Pourquoi utiliser une police Google Fonts plutôt qu’une police système ?

Deux raisons. D’abord l’identité visuelle : la bibliothèque Google Fonts (Poppins, Montserrat, Roboto, Open Sans, Inter et 1 800 autres familles) couvre des registres que les polices système (Arial, Times, Helvetica) ne touchent pas. Ensuite la cohérence : une police Google Fonts s’affiche pareil sur Windows, macOS, Android, iOS. Avec une police système, le rendu varie d’un OS à l’autre. Le piège classique : empiler 15 familles différentes alourdit le site. J’ai vu un site PME romand passer de 2,8 secondes à 1,4 seconde de LCP rien qu’en retirant 12 polices inutiles. Deux à trois familles, jamais plus.