La GDPR signe-t-elle la fin de l’âge d’or de la publicité en ligne ?

En 5 ans, les techniques d’achat programmatique ont connu une progression spectaculaire, elles représentent déjà plus de la moitié des budgets. Ce succès repose sur l’exploitation de données personnelles à des fins de ciblage publicitaire. Une exploitation industrielle, à grande échelle, avec tous les abus que nous lui connaissons maintenant. Les choses devraient changer avec la prochaine rentrée en vigueur de la GDPR, un ensemble de règles fixées par l’Union européenne pour protéger ses citoyens et mettre un terme à cette grande braderie de la publicité automatisée. Est-ce la fin d’une époque ? Oui. Est-ce la fin du monde (publicitaire) ? Non, bien au contraire, cela permettra d’assainir le marché.

Qu’est-ce que la GDPR ?

La GDPR était indiscutable LE sujet de discussion de la dernière édition de Dmexco. Si les acteurs de la publicité en ligne commencent à s’exciter autour de sa prochaine mise en application, les annonceurs n’ont pas spécialement l’air de s’en inquiéter… ce qui est très inquiétant (GDPR : L’inquiétant retard des entreprises françaises) !

En clair, la GDPR (“General Data Protection Regulation“), ou RGPD en français (“Règlement Général sur la Protection des Données“), est un ensemble de règles sur l’exploitation des données personnelles des citoyens européens. En discussion depuis de nombreuses années, ce cadre juridique a été adopté en avril 2016 par le Parlement européen et entrera en application le 25 mai 2018.

Donc, non, ce ne sont pas des propositions de loi que des lobbyistes vont pouvoir enterrer, c’est une règlementation qui vise à cadrer la collecte, la sécurisation, et l’exploitation des données personnelles. Nous n’en entendons pas beaucoup parler dans les médias grands publics, et pourtant, cela va avoir des répercussions gigantesques sur l’industrie publicitaire et plus généralement sur le web.

Un bon indicateur de l’impact de la GDPR est le nombre impressionnant de cabinets d’audit, cabinets d’avocats, fournisseurs de solutions, prestataires de formation et autres “spécialistes” qui s’emparent du sujet pour en faire commerce. Il faut dire que ledit sujet n’est pas simple à comprendre (GDPR : il est encore temps de vous mettre en conformité) et que ce cadre n’est que le premier étage de la fusée, car il va aussi falloir compter avec la ePrivacy Directive (European Commission proposal will kill 3rd party cookies).

Quelles sont les obligations ?

Pour vous la faire courte, avec la GDPR, toutes les sociétés souhaitant exploiter des données d’internautes européens devront préciser :

• qui collecte ces données et qui est le représentant légal ;
• pourquoi ces données sont-elles collectées (ce à quoi elles vont servir) ;
• quel est l’intérêt légitime de la collecte de ces données (pourquoi elles ne peuvent pas faire autrement) ;
• depuis quand et où ces données seront-elles stockées, pendant combien de temps et avec quels moyens de sécurisation ;
• avec quelles autres sociétés ces données seront partagées et dans quels pays ;
• quels sont les processus de transformation ou de traitement de ces données si elles sont exploitées de façon automatisée (ex : achat programmatique, personnalisation…) ;
• comment les internautes peuvent accéder à leurs données, les modifier, les exporter ou les supprimer.

J’insiste sur deux aspects particulièrement contraignants : toutes les sociétés impliquées dans la chaine publicitaire sont concernées (impossible de se cacher derrière une agence ou un prestataire pour dire “Ha mais je ne savais pas” – Risks to brands under new EU regulations) ; nécessité de justifier de la collecte de données personnelles de manière simple et explicite (le fameux intérêt légitime qui devra être mieux argumenté un peu mieux que “Nous collections vos données pour améliorer votre expérience“).

La GDPR définit donc un cadre juridique strict pour tout ce qui touche aux données personnelles (de la collecte à l’exploitation en passant par la conservation et la portabilité) et ne s’applique pas qu’aux sociétés européennes, mais à n’importe qu’elle société souhaitant interagir avec des citoyens européens.

L’impact sur le secteur publicitaire va être énorme, mais pas que, car cette nouvelle réglementation va également toucher tous les acteurs du marketing en ligne, mais également tous les éditeurs de contenus et services numériques. Les pénalités en cas de non-respect de ces règles peuvent s’élever jusqu’à 4% du C.A. global, soit plus de 2 MM€ pour des géants comme P&G ou Unilever.

Oui ça va faire mal, très mal pour certains, mais le législateur européen ne prend personne en traitre dans la mesure où ce cadre juridique est en préparation depuis 2012. La majeure partie des acteurs de l’internet sont complètement largués, tandis que certains sont en avance, à l’image de Google avec son site dédié à la Privacy et le tableau de bord MyAccount accessible à tous ses utilisateurs: Google redesigns its privacy and security dashboard.

Pourquoi la GDPR ?

J’espère ne rien vous apprendre en disant que le secteur publicitaire a engendré ces dernières années un monstre qu’il ne parvient plus à contrôler. Toutes ces pratiques d’achat automatisé, de retargeting, de personnalisation individuelle… ont fini par alerter le législateur. Mais avant cela, les internautes se plaignaient déjà de nombreux abus, tandis que les annonceurs dénonçaient le manque de transparence. L’entrée en vigueur de la GDPR tombe à pic pour réguler un secteur qui aurait fini par s’effondrer sur lui-même (Sauvons le marché de la publicité en ligne : tuons les bannières !). J’ai toujours pensé qu’au même titre que les bulles immobilières et financières se sont effondrées, il y a un gros risque d’effondrement de la bulle publicitaire. Grâce à la GDPR, nous allons éviter la catastrophe, du moins je l’espère…

Les signaux annonciateurs d’une catastrophe étaient nombreux :

• progression fulgurante de l’installation de bloqueurs de bannières (Survey shows US ad-blocking usage is 40 percent on laptops, 15 percent on mobile), puis intégration native de bloqueurs de bannière dans les navigateurs (Google’s Chrome ad blocker coming to both PC and mobile within 6 months’ et Advertisers are furious with Apple for new tracking restrictions in Safari 11) ;
• manque de transparence dans l’évaluation de la performance des campagnes (Facebook audience inflation a global issue) ;
• persistance de nombreuses techniques de fraude (One in five ad-serving websites is visited exclusively by fraud bots)…

Bref, Il y a un risque avéré de catastrophe à l’échelle de tout un secteur d’activité. Il fallait bien qu’une autorité de régulation intervienne, et ça a été l’Union européenne.

Vous noterez que les travaux de l’UE relatifs à la confidentialité ne se limitent pas à la GDPR, ils ont commencé il y a plus de 15 ans avec la ePrivacy Regulation : nous passons ainsi d’une directive datant de 2002 (mais révisée en 2009) à une régulation qui va venir élargir le champ de régulation de la GDPR : The new EU ePrivacy Regulation: what you need to know et Difference between GDPR and ePrivacy regulation.

Et la CNIL dans tout ça ?

Cette règlementation européenne vient compléter (perturber ?) des textes plus anciens qui tentent également de définir un cadre pour protéger les internautes. Il y a ainsi la directive européenne dite du “paquet télécom” remontant à 2011 qui stipule que les internautes doivent être informés et donner leur consentement préalablement à l’insertion de traceurs (Cookies & traceurs : que dit la loi ?). Cette ordonnance venait déjà à l’époque compléter la Loi Informatique et Libertés.

Il y a surtout les travaux du G29, le groupe de travail des “CNIL européennes”, qui sont directement impliquées dans la rédaction des textes, tout en veillant à intégrer les contraintes de l’accord USA-UE du Bouclier de confidentialité (cf. le compte-rendu de la Plénière du G29 d’avril 2017).

Tout ceci peut vous sembler bien complexe. Retenez simplement que la CNIL est là pour défendre les intérêts des internautes et professionnels français et qu’elle propose à ce sujet une méthodologie en 6 étapes pour les accompagner dans leur mise en conformité vis-à-vis de la GDPR : Comment se préparer au règlement européen sur la protection des données ?

Quel impact cela va-t-il avoir sur les pratiques publicitaires ?

Aujourd’hui, quand vous visitez un site web, utilisez un service en ligne ou une application mobile, l’éditeur collecte tout un tas de données sur votre profil et votre comportement. Des données qui sont monétisées (third party) ou partagées (second party) entre d’innombrables prestataires à des fins publicitaires. Pour bien appréhender l’ampleur de ce trafic, je vous recommande le remarquable dossier publié par Numerama : Comment les apps Figaro, L’Équipe ou Closer participent au pistage de 10 millions de Français.

Entendons-nous bien : je ne fais en aucun cas le procès de la publicité en ligne, mais celui du commerce sauvage (non réglementé) des données personnelles. Ce micmac des données a enflé au fil des années pour atteindre des proportions dantesques et complètement échapper à tout contrôle tant le nombre d’intermédiaires et solutions technologiques est important.

Avec la GDPR, les annonceurs et éditeurs devront expliquer et rassurer. Le problème est que cette régulation va entrer en vigueur après de nombreuses années d’abus et de mauvais traitements des internautes (The 3 biggest challenges in GDPR for online media & advertising). Même si les éditeurs et annonceurs parviennent à formuler des explications claires et légitimes sur l’intérêt de collecter des données personnelles (ce dont je doute fortement), à apporter la preuve des moyens employés pour sécuriser ces données ainsi que pour conserver leur intégrité dans la chaine publicitaire, qui nous dit que les internautes vont donner leur consentement ? À ce sujet, la formulation de la GDPR est parfaitement explicite : les éditeurs ne devront en aucun cas restreindre l’accès à leurs contenus ou services uniquement aux internautes ayant donné leur consentement. Donc non, ne rêvez pas, vous ne pourrez pas leur refaire le coup des bloqueurs de bloqueurs de bannières.

Au sujet de la collecte du consentement, vous trouviez que les bandeaux relatifs aux cookies étaient pénibles ? Ceux qui seront introduits avec la mise en application de la GDPR seront bien pires : Here is what GDPR consent dialogues could look like.

Les éditeurs et annonceurs vont devoir faire preuve d’une incroyable créativité pour pouvoir petit à petit récupérer le consentement de leurs clients / utilisateurs, et pour le conserver. L’enjeu est énorme, car sans ce consentement, ils n’auront plus le droit de collecter, stocker et exploiter les données des internautes. Autant dire que c’est la fin de l’âge d’or de la publicité programmatique, car les internautes ont toutes les raisons de vouloir se venger des mauvais traitements publicitaires dont ils ont été victimes durant de trop nombreuses années : What percentage will consent to tracking for advertising?.

Vous pourriez me dire que cette régulation ne s’applique pas aux données anonymisées, et je vous répondrais que pour être autorisés à collecter et exploiter, les annonceurs devront apporter la preuve de l’étanchéité de leurs bases de données et de leurs outils publicitaires (traduction : prouver que leurs plateformes CRM / marketing internes n’échangent pas de données avec les plateformes publicitaires). Même anonymisées, des donées permettent d’identifier un utilisateur nominativement dans 95% des cas, notamment les données de géolocalisation (Even This Data Guru Is Creeped Out By What Anonymous Location Data Reveals About Us).  De plus, les pratiques s’orientent vers une hyper-personnalisation (“Account-based marekting“) et non vers une intensification du retargeting anonyme.

Quels acteurs seront les plus touchés ?

Très clairement, ceux qui ont le plus à craindre de l’entrée en vigueur de la GDPR sont les marchands de données, ces acteurs de l’ombre qui achètent des données de provenances douteuses (ex : jeux-concours, startups en faillite…), les agrègent et les monétisent. Ils sont inconnus du grand public et n’ont aucune relation directe avec les internautes. Dans ces conditions, je leur souhaite bonne chance pour récupérer les consentements…

Il y a ensuite tous les fournisseurs de solutions de ciblage publicitaire. Eux aussi vont avoir beaucoup de mal à expliquer et justifier la collecte des données personnelles et surtout à rassurer les internautes. Les plus gros poissons comme Criteo ou Weborama disposent de moyens conséquents pour se préparer à l’entrée en vigueur de la GDPR, mais pour les autres acteurs de taille plus modeste, ça va être beaucoup plus compliqué.

Idem pour les agences qui vont devoir être beaucoup plus rigoureuses dans leur exploitation des données, aussi bien pour la création, la personnalisation ou le ciblage des publicités.

La situation est différente pour les éditeurs de contenus et services en ligne, car ils ont un lien direct avec les internautes (nous parlons ici de first party data), et sont létigimes dans la mesure où ce sont eux qui proposent des contenus et services gratuits. Cette GDPR va néanmoins compliquer la tâche des initiatives récentes d’éditeurs de revalorisation de leur inventaire (Les grands médias français se lancent dans la bataille de la data).

Il y a bien évidemment les annonceurs qui vont devoir justifier de la bonne utilisation et conservation des données de leurs clients. Les derniers mois ont été particulièrement alarmants, car il ne s’est pas passé une seule semaine sans que l’on découvre des fuites massives de données. Les amendes risquent de pleuvoir…

Il y a enfin les GAFAMI (Google, Apple, Facebook, Amazon, Microsoft, IBM), mais ceux-ci ont déjà les outils et le savoir-faire (La bataille de la publicité se gagnera grâce à la data). Si la mise en application ne se fera pas sans quelques difficultés (How the GDPR will disrupt Google and Facebook), les GAFAM bénéficient de la confiance des utilisateurs, dans une certaine mesure (Les GAFA ne sont pas nos ennemis), ce qui va faciliter la transition.

Est-ce vraiment la catastrophe annoncée ?

Oui je sais, le thème de la fin de la publicité est un sujet récurrent, c’est même un business pour certains (Book Review: “The End of Advertising”). Mais là quand même, il serait suicidaire de minimiser l’impact de la GDPR. En synthèse : plus rien ne sera comme avant. La RGPD signe-t-elle pour autant l’arrêt de mort de la publicité en ligne ? Non clairement pas, pour la simple et bonne raison que les acteurs du web (éditeurs, agences, annonceurs…) ont su prospérer sans l’achat programmatique. Les détracteurs de la LCEN (Loi pour La Confiance dans l’Economie Numérique) passée en 2003 annonçaient la mort des solutions d’email marketing. Jusqu’à preuve du contraire, tout s’est bien passé pour eux.

N’allez cependant pas croire que la GDPR va forcer le marché à revenir à des logiques publicitaires de media planning, elle va simplement cadrer les pratiques et neutraliser les amateurs et charlatans. Ce cadre juridique est donc une excellente nouvelle pour la profession, il va permettre de réguler ce “Far West numérique” qui de toute façon mettait en péril tout le secteur.

Dans tous les cas de figure, je vous incite à relativiser la GDPR, car à partir du moment où les internautes ont recours à un bloqueur de bannière, la sanction est bien pire (pas de bannière = pas de revenus).

Au final, ce sont bel et bien les utilisateurs qui décident et choisissent la solution la plus confortable pour eux. Dernièrement, ils ont décidé que c’était Facebook. Peut-être bien que la GDPR va permettre d’inverser la vapeur et de réduire la main mise des GAFA sur le web…

Mais le pire dans tout ça, c’est que peu de monde se soucie des contraintes techniques. Le consentement est aujourd’hui matérialisé par un cookie, sauf que ce cookie est rattaché à un navigateur, il ne peut être déplacé d’un terminal à un autre (ordinateur, tablette, smartphone…). De plus, les navigateurs modernes proposent maintenant des modes “Do not track” et gèrent eux-même les cookies (leur autorisation et leur durée de conservation). Que se passe-t-il quand un même utilisateur consulte un site à partir de deux terminaux / navigateurs avec des paramètres de confidentialité différents ? La réponse n’est pas simple… surtout pour les acteurs locaux. Elle ne se pose pas pour les GAFA qui bénéficient d’une session persistente (les utilisateurs sont logés et universellement reconnus sur les différents terminaux qu’ils utilisent).

Tout ceci sera discuté lors du prochain sommet numérique qui se tiendra en fin de semaine en Estonie (Tallinn Digital Summit 2017), de même qu’à la CNIL qui vient tout juste de lancer une consultation publique.

Croyez-le ou non, mais tout le monde va y gagner

Dans la mesure où le règlement a été accepté et voté, il est inutile de poser le pour et le contre. En revanche, ce que nous pouvons faire, c’est voir le verre à moitié plein et nous réjouir des conséquences positives de la GDPR :

• des internautes enfin respectés qui vont cesser de subir les pratiques très douteuses de certains publicitaires, et ainsi pouvoir rebâtir une confiance avec les acteurs qui le méritent (annonceurs, éditeurs…) ;
• les fournisseurs de solutions honnêtes et légitimes qui seront protégés contre une concurrence déloyale (les amateurs et charlatans qui proposent tout et n’importe quoi) ;
• les éditeurs qui vont voir leur inventaire revalorisé grâce à un retour en grâce du media planning au détriment de l’audience planning (qui de toute façon commençait à montrer ses limites) ;
• les annonceurs et agences qui n’auront d’autre choix que d’abandonner des pratiques publicitaires qui échappaient à leur contrôle et se concentrer sur des campagnes plus créatives (donc, faire un boulot plus intéressant).

En synthèse : plus de respect, plus d’élégance, plus de créativité, plus d’humains et moins de machines. Je sais que j’ai tendance à pécher par optimisme, mais c’est plutôt une bonne nouvelle, non ? Le fait que ce règlement soit appliqué au niveau européen permettra en plus d’harmoniser les pratiques et d’éviter les exceptions.

Dans tous les cas de figure, je suis persuadé que cette GDPR va avoir un impact positif, notamment en forçant les annonceurs à s’organiser (recrutement d’un Chief Data Officer) et à s’outiller (à minima une Customer Data Platform) pour professionnaliser leurs usages des données personnelles.