Ciblage publicitaire et protection des données : le consentement de A à Z

Comment obtenir le consentement des utilisateurs pour votre publicité en ligne, en respectant la loi, mais sans mettre en péril vos ventes ? Une question ...
Mis à jour le 6 janvier 2021

Comment obtenir le consentement des utilisateurs pour votre publicité en ligne, en respectant la loi, mais sans mettre en péril vos ventes ? Une question essentielle pour les spécialistes du marketing en 2020. Fin octobre, lors de la Digital Bash Law, une conférence en ligne consacrée au digital, Barbara Nietzer, directrice juridique EMEA de Criteo, et Florian Tannen, associé chez Baker & McKenzie, sont revenus sur leur propre expérience, les défis soulevés par les réglementations et les moyens d’y faire face.

Pour utiliser des cookies sur son site web et ainsi affiner son ciblage publicitaire, une entreprise doit obtenir au préalable le consentement de ses utilisateurs. En Allemagne, cette disposition a été confirmée cet été par la Cour fédérale de justice. Mais concrètement, comment ça se passe ? Et quelles sont les exigences à respecter ? Pour Florian Tannen, « c’est une question sur laquelle toute entreprise doit absolument se pencher. Il ne faut pas en avoir peur. Au contraire, c’est l’occasion de relever un défi et de booster les résultats de votre entreprise. »

Les entreprises jouent le jeu

Barbara Nietzer pose les bases : « l’utilisateur doit accepter explicitement l’utilisation de cookies. De son côté, l’entreprise qui obtient ce consentement doit démontrer que cela a été fait de manière claire ». Pour les autorités comme pour les utilisateurs, le respect des règles est primordial. D’après les observations de Barbara Nietzer, la majorité des entreprises s’y conforment et obtiennent le consentement des utilisateurs. « Le marché respecte bien ses obligations, surtout les retailers. Beaucoup d’entre eux ont fait appel à des plateformes spécialisées pour répondre à ces problématiques et se conformer aux réglementations sur la protection des données ». Une évolution positive, car d’après Florian Tannen, très peu d’entreprises suivent encore l’ancienne méthode, jugée non viable et donc « déconseillée d’un point de vue juridique ».

Une plus grande sécurité juridique

Lorsqu’un utilisateur refuse l’utilisation de cookies, le ciblage publicitaire est forcément limité. Les entreprises ont donc tout intérêt à obtenir son accord. « Selon mon expérience, il est très rare que les utilisateurs ne donnent pas leur consentement. Une entreprise prête à réfléchir à une stratégie, qui teste plusieurs alternatives, finira par trouver une solution qui lui convient et qui convient à ses utilisateurs. Elle obtiendra ainsi un taux de consentement suffisamment élevé, tout en assurant ses arrières au niveau juridique. »

Les défis transfrontaliers

À l’heure actuelle, de nombreuses entreprises font du commerce international. Ce qui soulève d’épineuses questions en matière de protection des données. « Le projet initial était d’uniformiser les règles européennes via le RGPD. Or, cet objectif a échoué, car plus d’une cinquantaine de problématiques ont été portées à l’attention des autorités locales, qui ont des interprétations très différentes de ces questions », déplore Florian Tannen. Barbara Nietzer, quant à elle, semble plus optimiste : « un dialogue semble s’être mis en place entre les autorités nationales de protection des données, dont les avis se recoupent de plus en plus. Ces autorités ont clairement compris que la protection des données était un enjeu européen, et non plus national ».

Le Brexit, toujours en cours à l’heure actuelle, apporte son lot de challenges, car le RGPD ne s’appliquera plus au Royaume-Uni. Selon Florian Tannen, nos collègues ont déjà commencé à se préparer et ont largement transposé les exigences du RGPD dans le droit national. L’objectif était de favoriser autant que possible le partage des données. Si les pays tiers sont évalués par la Commission européenne et que leur législation en matière de protection des données est jugée adéquate, le transfert international de données pourra continuer dans le respect de la confidentialité.

La fin du « Privacy Shield »

Début 2020, le bouclier de protection des données (« Privacy Shield ») a été invalidé par un arrêt de la Cour de justice de l’UE, le Schrems II. « Le Privacy Shield permettait d’envoyer des données personnelles à des destinataires aux États-Unis qui avaient ratifié le Shield. Désormais, ce n’est plus possible », rappelle Florian Tannen. Les entreprises devront donc obéir à de nouvelles exigences pour transférer leurs données à l’international. « C’est essentiel et inévitable. Tout le monde retient son souffle et attend de voir comment évoluera la situation, qui est au point mort. Les entreprises attendent une déclaration claire de la part de l’UE sur la marche à suivre », déclare Barbara Nietzer. L’invalidation de ce bouclier n’est pas un problème pour Criteo, qui s’appuie sur des clauses contractuelles standard. « Mais bien sûr, nous serions ravis d’avoir des directives claires ».

Quid des cookies walls ?

Les cookies walls empêchent l’utilisateur d’accéder à un site web s’il refuse les cookies. D’un pays à l’autre, ce principe suscite des réactions très différentes. En Allemagne, les autorités de protection de données voient ces walls d’un mauvais œil. En France, où se trouve le siège de Criteo, leur utilisation est envisageable sous certaines conditions, comme le souligne Barbara Nietzer : « grâce aux cookies walls, les entreprises ont une meilleure marge de manœuvre et sont plus à même de prendre des décisions stratégiques ».

Le ciblage publicitaire et la protection des données soulèvent des défis juridiques et des obstacles non négligeables. Une seule règle à retenir, en toutes circonstances : aucune entreprise, quelle que soit sa taille, n’échappe au RGPD. Les lois sur la protection des données sont obligatoires et doivent être prises au sérieux par toute entreprise.