Enjeux et solutions face au blocage des identifiants publicitaires

Il a fallu 15 ans aux professionnels du web pour mettre en place l’infrastructure technique permettant de délivrer le bon message à la bonne personne au bon moment et au bon endroit. Des investissements colossaux (qui se chiffrent en dizaines de milliards de $) qui bénéficient surtout aux GAFAM du fait d’un cadre légal contraignant (ex : RGPD, directive ePrivacy). Si l’UE travaille d’arrache-pied pour rééquilibrer le marché (ex : DMA, DAS…), les big tech oeuvrent également pour consolider leur position dominante, notamment à travers le blocage des identifiants publicitaires. Une situation très inconfortable pour les annonceurs qui se retrouvent coincés entre deux feux, et qui n’ont d’autre salut que de réinternaliser les opérations publicitaires en s’appuyant sur des données gérées en interne grâce à des outils spécifiques (Customer Data Platform et Data Clean Room).

Si vous suivez ce blog régulièrement, alors vous savez déjà que j’affectionne particulièrement le sujet du marketing et de la publicité en ligne, car ce sont ces pratiques qui ont financé le web tel que nous le connaissons (How 20 years of Google’s AdSense changed the internet). Problème : toutes ces pratiques sont aujourd’hui remises en cause par le blocage des identifiants publicitaires. Le sujet n’est pas nouveau, j’ai déjà eu de nombreuses occasions de vous en parler, et c’est à chaque fois un casse-tête, car les pratiques sont de plus en plus techniques et jargonneuses. Nous en arrivons à avoir des discussions comme : “C’est clair que la meilleure alternative aux DMP dans un contexte de programmatic cookieless, c’est une CDP couplée à une DCR pour faire du retargeting reposant sur un modèle hybride avec des données déterministes user-centric mais également probabilistes, donc cohort-based“. Oui je sais, c’est du charabia pour 99,999% de la population et probablement pour 99% des professionnels du numérique. 😵‍💫

Il n’empêche que c’est un sujet de première importance, surtout si vous voulez faire du in-store programmatic digital display (The rise of In-store retail media and the role of programmatic advertising). Et merde, je recommence à jargonner ! 🤦🏻

Bref, le sujet est vraiment compliqué et force est de constater que les annonceurs participent peu aux discussions, car les pratiques et contraintes sont vraiment complexes à appréhender, et car les solutions sont très techniques, à la limite du compréhensible pour un non-informaticien. Pourtant la situation est réellement critique.

Désolé, mais vous avez perdu l’usage d’un oeil

On estime que les sites et services en ligne touchés par le blocage des identifiants publicitaires représentent plus de la moitié des supports numériques utilisés par les annonceurs dans le cadre de leurs opérations publicitaires. Bloquer l’accès aux identifiants publicitaires, c’est vous priver de la moitié de vos capacités de ciblage et de personnalisation. Bon OK, j’avoue que l’analogie avec l’oeil crevé est très limite, car on peut continuer à voir même avec un seul oeil, mais elle correspond à une réalité dont peu comprennent les implications réelles ou s’en soucient.

Pour bien mesurer l’ampleur de l’impact du blocage des identifiants publicitaires, je vous propose d’étudier en détails les résultats de cette étude commandée par Adobe : Les marques dépendantes des cookies tiers accumulent du retard, au péril de leur activité sur le long terme. Menée récemment par le cabinet Advanis auprès de 2.667 responsables du marketing dans huit pays (États-Unis, UK, Allemagne, France, Australie, Nouvelle-Zélande, Japon et Inde) et couvrant près de 400 marques françaises, on y apprend entre autres choses que 79 % des responsables marketing sont toujours fortement tributaires des cookies tiers.

Le blocage des cookies tiers est-il réellement pénalisant ? Oui très, mais pour vous démontrer à quel point c’est pénalisant, j’ai besoin de récapituler certaines explications.

Et soudain, Apple et Google décident de verrouiller le marché publicitaire

Comme mentionné plus haut, la publicité est la principale source de revenus des éditeurs de contenus et services en ligne. Pas de publicité, pas de contenus et services gratuits. De ce fait, la vitalité du marché publicitaire conditionne les ressources disponibles pour créer de nouveaux contenus et services. Le problème est que quel que soit le terminal utilisé, les sociétés fournissant aux internautes et mobinautes les outils pour accéder aux contenus et services en ligne ont (quasiment) tout pouvoir sur ce qu’ils font avec. Pour faire simple : une poignée d’éditeurs de logiciels contrôlent l’accès aux milliards d’internautes, en l’occurrence, les éditeurs des systèmes d’exploitation et des places de marché d’applications qui leur sont associées (Microsoft et Apple sur les ordinateurs, Google et Apple sur les smartphones) ainsi que les éditeurs de navigateurs (Google, Apple, Mozilla, Microsoft…).

Comme vous pouvez le constater, si l’on met de côté Microsoft et Mozilla dont les navigateurs représentent moins de 18% de parts de marché, la quasi-totalité de l’audience (+ de 80%) est contrôlée par Google et Apple. De ce fait, ce sont eux qui fixent les règles du jeu : L’hégémonie des GAFA leur permet de majorer la taxe numérique.

En théorie, il faut aussi intégrer à l’équation des acteurs majeurs de la publicité en ligne comme Meta ou Amazon (Le duel des GAFA pour contrôler le marché de la publicité numérique), car la clé de ce marché repose dans la richesse des données servant à faire le profilage et le ciblage des utilisateurs ainsi que la mesure des publicités (La bataille de la publicité se gagnera grâce à la data). Comme vous pouvez l’imaginer, Meta et Amazon disposent d’une quantité phénoménale de données permettant de faire des campagnes publicitaires parfaitement ciblées et personnalisées. Le problème est que dès que l’on sort des environnements numériques contrôlés par Amazon ou Meta (sites web ou applications comme Facebook, Instagram…), l’accès aux identifiants publicitaires est de plus en plus restreint par Google et Apple, aussi bien sur les ordinateurs que les smartphones : La domination des big tech s’illustre à travers l’analyse d’audience.

Est-ce un abus de position dominante ? Pas tout à fait dans la mesure où personne ne vous force à utiliser un smartphone ou un navigateur de chez Google ou Apple. Il existe effectivement une concurrence, notamment dans les navigateurs, mais elle est elle aussi contraignante, notamment le navigateur Firefox de Mozilla qui bloque les cookies tiers depuis 2018 à l’aide de son programme de Enhanced Tracking Protection. Entre les restrictions imposées par les big tech et celles qui découlent des nouvelles règlementations (RGPD, ePrivacy, DMA…), les pratiques de publicité en ligne sont complètement bouleversées.

Tout ceci n’est pas arrivé du jour au lendemain, mais 2023 risque bien d’être le point culminant de cette stratégie d’enfermement menée de main de maître par Apple et Google (avec l’aide indirecte de l’UE).

Des contraintes auxquelles personne ne peut échapper

Le fait que ces restrictions ont été introduites au fur et à mesure explique très certainement la faible réaction des annonceurs qui se sont laissés endormir et qui se retrouvent maintenant dans une situation très inconfortable. Ainsi, toujours selon l’étude d’Adobe :

• 39% des responsables marketing / communication déclarent que les environnements dans lesquels les cookies tiers ne fonctionnent pas représentent au moins la moitié de leur marché potentiel ;
• Plus des 3/4 des responsables pensent que la fin des cookies tiers va pénaliser leur entreprise, dont 1/4 s’attend à d’importants préjudices ;
• 38 % des responsables consacrent au moins la moitié de leurs budgets marketing aux activations basées sur les cookies et 56 % prévoient d’augmenter leurs dépenses dans les activations dépendantes des cookies cette année ;
• 44 % des responsables estiment ne pas avoir accès aux ressources nécessaires pour adapter leur stratégie ;
• Seul 1 annonceur sur deux prépare activement un avenir sans cookies ou en fait une priorité.

Pour bien comprendre cette situation et prendre les bonnes décisions, il faut étudier en détail les limitations imposées par Apple et Google.

Commençons par quelques explications sur le blocage des identifiants publicitaires sur smartphone. Autant sur un ordinateur, l’essentiel des interactions en ligne passent par un navigateur, autant sur les smartphones, la très large majorité des interactions passe par les applications mobiles qui n’utilisent pas les cookies. Pour pouvoir identifier les mobinautes, les applications mobiles utilisent les identifiants fournis par le système d’exploitation. sur iPhone, c’est l’UDI (Unique Device Identifier), sur Android, c’est l’UID (User ID). Avec le temps, Apple et Google ont forcé les éditeurs d’applications à ne plus utiliser ces identifiants et à adopter des identifiants spécifiquement dédiés aux usages publicitaires, l’IFA pour iOS (Identifier For Advertisers) et l’AAID pour Android (Android Advertising IDentifier). Depuis la version 14.5 d’iOS, Apple a mis en place une nouvelle politique de confidentialité (ATT pour App Tracking Transparency) forçant les éditeurs à récupérer le consentement explicite des utilisateurs pour pouvoir accéder à l’IDFA : App Tracking Transparency, tout savoir sur le contrôle du suivi publicitaire d’Apple.

Le taux de consentement accordé par les mobinautes est variable selon la catégorie des applications : très élevé pour les jeux mobiles, à peine 25% pour les applications à caractères marchandes. Autant dire que cette restriction d’accès a été un authentique coup de massue dans l’industrie publicitaire, surtout aux États-Unis où l’iPhone représente plus de la moitié du marché. De tous les éditeurs, c’est très certainement Facebook (Meta) qui a été la société la plus touchée, mais ils ont depuis basculé sur un système de ciblage algorithmique qui visiblement produit de bons résultats : Meta Says That its Automated Ad Targeting Tools Have Driven a 32% Increase in ROAS.

Avec les nouvelles versions du système d’exploitation de l’iPhone (iOS 15 et 16), les conditions d’utilisation de l’IDFA s’améliorent, mais ça reste toujours très contraignant pour les annonceurs : How to use the iOS app tracking blocker.

En 2023, c’est au tour de Google de préparer une restriction similaire sur Android (à partir de la version 14 qui est prévue pour août) : Privacy Sandbox on Android. Avec cette solution, le ciblage publicitaire sur Android se fera sur la base de centres d’intérêt stockés en local sur le smartphone et dont l’accès sera encadré pour éviter les abus. Les premiers tests ont commencé pour permettre aux éditeurs de prendre en main les APIs permettant d’exploiter cette Privacy Sandbox : Google launches first Android beta for ad-tracking overhaul.

Là encore, c’est un début de mouvement de panique qui gagne les éditeurs, car il n’y aura pas d’échappatoire : les mobinautes décideront s’ils souhaitent que les applications qu’ils utilisent puissent cibler les publicités ou non. Puisqu’Apple est passé par là avant, il n’y a aucune raison pour que Google fasse marche arrière. Certes, la dernière version d’Android ne représente que 15% des smartphones (les 2/3 exploitent une version entre 10 et 12), mais cette fonctionnalité pourrait être déployée via une mise à jour de sécurité. La question n’est donc pas de savoir si les restrictions vont s’appliquer à Android, mais plutôt quand.

Sur les ordinateurs, la situation est tout aussi préoccupante puisque l’identification des internautes passe par les cookies dont l’accès va également être contraint sur Chrome par un système similaire : Maximize ad relevance without third-party cookies.

Pour mémoire, les cookies sont des petits fichiers contenant un identifiant publicitaire (l’équivalent d’un N° de sécu, mais pour la pub). Quand vous visitez un site web, celui-ci dépose son propre cookie pour pouvoir vous identifier à la prochaine visite, mais également les cookies de nombreuses régies publicitaires qui s’en servent pour suivre les internautes de sites en sites et constituer des profils publicitaires selon les contenus et services lus ou utilisés. Les cookies des sites web sont appelés des cookies “first party”, des identifiants internes, tandis que ceux des régies sont appelés des cookies “third party”, des identifiants tiers. Ce sont ces cookies externes qui sont concernés par les blocages, car il faut bien reconnaitre qu’il y a eu des dérives : le profilage des internautes est une activité juteuse dont les éditeurs abusent en déposant parfois près de 200 cookies sur les ordinateurs des visiteurs.

Le blocage des cookies tiers étant déjà actif sur Safari et Firefox depuis plusieurs années, il ne reste plus que Chrome (si l’on met de côté Edge, Opera…) pour lequel il y avait initialement une échéance programmée au 1er janvier 2022, mais qui a été repoussée à 2024.

Les solutions alternatives proposées initialement par Google n’étant pas suffisamment convaincantes, ils ont dû faire marche arrière en 2022, mais tout laisse à penser qu’il n’y aura plus de prolongation avec le nouveau système : Privacy Sandbox for the Web.

Pour votre information, la solution de Google repose sur différentes outils qui seront mis à disposition des éditeurs et annonceurs : Topics (attribution de centres d’intérêt par l’éditeur, donc côté SSP), FLEDGE ( attribution de centres d’intérêt par l’annonceur, donc côté DSP) et Attribution Reporting (pour la mesure des résultats). Dans la mesure où cette solution est très similaire à ce qui se fait sur smartphone, elle émerge naturellement comme le nouveau standard : As Cookies Wane, Retargeting Protocol Fledge Emerges as Privacy Sandbox Favorite et Chrome FLEDGE Update Provides Hope For PPC & SEOs.

Heureusement, il existe des alternatives, mais c’est là où les choses se compliquent.

Des alternatives techniques complexes à comprendre et mettre en oeuvre

Je déplorai en début d’article le peu d’attention apporté par les annonceurs à cette histoire de blocage des identifiants publicitaires, mais à leur décharge, c’est un domaine pointu où les explications sont souvent très techniques. Pour vous en convaincre, il suffit de lire le guide publié par l’IAB et la MMA qui est un florilège d’acronymes et d’anglicismes : Alliance Digitale publie la 3ème édition de son Guide Cookieless & Consentless, rebaptisé Guide de la nouvelle publicité digitale.

Les hésitations de Google, les subtilités des différents cadres légaux ainsi que les explications très (trop ?) techniques fournies par les différents acteurs du paysage publicitaire n’incitent pas réellement à se pencher sur la question. Mais pour vous aider à vous y retrouver, je vous propose une tentative de simplification. 😬

À partir du moment où l’on ne peut plus reconnaitre les internautes à l’aide des cookies tiers, il n’est plus possible d’opérer de campagnes publicitaires comme on le fait depuis une quinzaine d’années avec du ciblage et de la personnalisation individuelle des messages ainsi qu’une mesure très précise. Cependant, plusieurs alternatives existent :

• cibler les campagnes en fonction du support (ex : un constructeur automobile qui va cibler des acheteurs potentiels sur un site dédié à l’automobile) ;
• cibler les campagnes de façon précise, mais pas à u niveau individuel grâce à des segments d’audience (c’est ce que proposera la future Privacy Sandbox de Google Chrome) ;
• cibler les campagnes de façon individuelle à l’aide d’identifiants internes mutualisés entre différents éditeurs (c’est ce qu’on appelle des cookies “second party”) ;
• cibler et personnaliser les campagnes pour chaque utilisateur en mettant en commun les données des uns et des autres, ce qui permet de travailler (presque) comme avant.

Ces différentes solutions sont décrites plus en détail ici : 6 Alternatives to Third-Party Cookies and Mobile IDs in AdTech. Si le marché a mis un peu de temps à réagir et à s’organiser, les alternatives proposées sont maintenant plus abouties, avec des solutions mutualisées tout à fait convaincantes :

• Seller Defined Audiences, une initiative qui permet aux éditeurs de segmenter leur audience selon des cohortes utilisant des intitulés génériques reposant sur une taxonomie définie par l’IAB (utilisation d’une nomenclature commune pour fluidifier le marché, l’équivalent des formats standardisés de bannières) ;
• TrustPid, un identifiant publicitaire mobile partagé par différents opérateurs européens (Vodafone, Deutsche Telekom, Orange, Telefónica…) pour pouvoir identifier, donc cibler les mobinautes à partir de leur carte SIM.

Tout ceci est très intéressant, mais ces solutions ne font que transférer les capacités de ciblage / personnalisation / mesure d’un acteur publicitaire à un autre. La clé pour les annonceurs est de pouvoir orchestrer eux-mêmes leurs campagnes à l’aide de leurs propres données. Mais pour cela, ils vont devoir passer par des solutions technologiques complexes.

CDP + DCR > RGPD + DMP + ATT

Comme expliqué plus haut, il n’est plus possible de déléguer la gestion de campagnes publicitaires ciblées à des agences à cause des restrictions d’accès aux identifiants publicitaires externes. En revanche, il est tout à fait possible d’utiliser les identifiants publicitaires internes, mais il faut le faire en respectant les contraintes légales (RGPD, directive ePrivacy, Digital Marketing Act…).

S’il est ainsi facile de collecter des données, il est beaucoup plus délicat de les exploiter dans le cadre de campagnes publicitaires, car cela implique de les partager avec de nombreux intermédiaires, une pratique maintenant encadrée par des lois très strictes avec des amendes très élevées en cas de non conformité. Heureusement, il existe des outils pour pouvoir gérer de façon efficace les données en interne (les Customer Data Platform ou CDP) ainsi que pour mettre en commun ces données avec d’autres de façon sécurisée et anonymisée (les Data Clean Room ou DCR).

Pour mémoire, une CDP est une plateforme technique permettant de collecter toutes les données relatives aux clients d’une société à partir de différentes sources (analyse d’audience, eCommerce, CRM, logiciels de caisse…) et de les nettoyer afin de constituer des profils client unifiés qui seront partagés avec d’autres systèmes selon des règles précises.

À partir du moment où un annonceur dispose d’un système efficace de gestion de la donnée client, il peut l’exploiter de façon sereine (en toute légalité) dans le cadre de campagnes publicitaires. Il peut par exemple anonymiser ces données et les partager avec d’autres acteurs de la chaine de valeur publicitaire au sein de systèmes prévus à cet effet, les Data Clean Rooms.

Pour être plus précis : une Data Clean Room est un environnement informatique permettant de partager les données de différentes parties de manière sécurisée en respectant les contraintes de confidentialité (par l’intermédiaire d’un Data Processing Agreement, un accord de traitement des données : Comment rédiger et négocier son DPA ?). C’est une plateforme d’analyse de données first party, par opposition aux DMP qui gèrent des données third party (celles dont la collecte est rendue très compliquée à cause des limitation d’accès aux identifiants publicitaires).

En synthèse, une CDP est une plateforme “neutre” où il est possible ​​de réconcilier les données d’annonceurs avec celles d’éditeurs et de distributeurs pour faire du ciblage, de la personnalisation et de la mesure individuelle de campagnes publicitaires. Plus d’explications ici :

• Data Clean Room: What It Is & Why It Matters in a Cookieless World
• What Is a Data Clean Room and How Does It Work?
• It’s time to come clean – The complete data clean rooms guide

Comme pour toutes les briques logicielles, il existe différents éditeurs proposant des data clean room :

• Les grandes solutions proposées par les big tech (Google Ads Data Hub, Facebook Advanced Analytics, Amazon Marketing Cloud) ;
• Les solutions alternatives proposées par des éditeurs de premier rang (LiveRamp, AppsFlyer, Snowflake) ;
• Les solutions indépendantes (Merkle, Epsilon, Habu, InfoSum, Decentriq…).

Et comme à chaque fois, il n’y a pas de bonne ou mauvaise solution, car tout est question de compromis entre le prix, la simplicité d’utilisation, la richesse fonctionnelle, la compatibilité… À ce sujet, le fait que ces solutions ne soient pas compatibles entre-elles pose un problème, car cela fragmente le marché et donne mécaniquement plus d’importantes aux solutions proposées par les big tech : Marketers seek adaptability amid a fragmented post-cookie landscape. L’organisme international de régulation de la publicité en ligne travaille sur un standard, mais cela semble compliqué de l’imposer à Google ou Meta : IAB Tech Lab Launches Data Clean Room Standards Portfolio For Public Comment.

Est-ce que les data clean room peuvent réellement nous permettre de faire des campagnes publicitaires comme avant, avec le même niveau de précision du ciblage, de la personnalisation et de la mesure ? Oui, en théorie, mais en pratique, la précision des campagnes dépend fortement de la qualité des données disponibles. Ceci ramène donc la responsabilité du côté des annonceurs. Auparavant, ils pouvaient se contenter de sous-traiter les campagnes publicitaires à des tiers qui avaient des tonnes de données tierces à leur disposition, mais ce n’est plus le cas. Il est donc impératif pour les annonceurs de s’outiller pour pouvoir internaliser la gestion, donc la maîtrise des données clients.

À ce sujet, l’étude d’Adobe nous apporte un éclairage sur l’utilité des Customer Data Platform, surtout si elles sont couplées à des Data Clean Room :

• 97 % des responsables marketing dont les entreprises utilisent des CDP font état de résultats positifs (39 % déclarent avoir noué davantage de relations directes avec leurs clients, 31 % notent une plus grande fidélisation et 27 % ont augmenté le nombre et la valeur des transactions réalisées) ;
• presque 1/3 des annonceurs exploitant une CDP bénéficient d’un meilleur retour sur investissement des opérations publicitaires ;
• 40 % des annonceurs qui n’utilisent pas de CDP déclarent avoir des difficultés à diffuser des expériences personnalisées sur tous les canaux.

S’il y a encore quelques années, les DMP (Data Management Platform) étaient au coeur des campagnes publicitaires, les nouvelles règlementations et les restrictions imposées par Apple et Google bouleversent complètement la dynamique du marché. En coupant l’accès aux sources de données tierces (blocage des cookies third party), les big tech font se déplacer le centre de gravité de la publicité vers les données internes et les outils qui permettent de les gérer / exploiter.

On n’est jamais mieux servi que par soi-même

J’espère vous avoir fourni des explications suffisamment claires sur l’évolution des pratiques publicitaires et des contraintes. Il y a plusieurs choses à retenir de tout ceci :

• la position dominante des big tech leur donne les moyens d’action pour renforcer leur domination (et ils ne vont pas se priver de les utiliser) ;
• l’avenir de la publicité en ligne, et plus généralement des activités numériques d’une marque, passe par une reprise de contrôle de leurs données (cf. La rationalisation de votre écosystème numérique passe par des scénarios de conversion) ;
• pour pouvoir rester compétitives, les marques et organisations vont devoir opérer une sérieuse montée en compétences afin de réinternaliser des opérations jusqu’alors sous-traitées (cf. La performance d’une entreprise dépend de sa capacité de traitement des données).

Moralité : face aux restrictions imposées par les big tech et la menace des environnements numériques fermés (ex : Facebook, Amazon… qui fonctionnent en vase clôt d’un point de vue publicitaire), les professionnels s’organisent (éditeurs, annonceurs, fournisseurs de solutions…), mais la courbe d’apprentissage est raide et le chemin vers l’autonomie sera long. Autant vous dire qu’il faut s’y mettre le plus rapidement possible !