LinkedIn Ads et RGPD : ciblage conforme

LinkedIn est devenu un canal publicitaire incontournable pour le marketing B2B. Avec plus de 28 millions de membres en France, la plateforme offre des capacites de ciblage particulierement fines : fonction professionnelle, secteur d’activite, taille d’entreprise, competences, groupes. Toutefois, ces capacites reposent sur le traitement de donnees personnelles a grande echelle, ce qui souleve des questions de conformite au RGPD que tout annonceur doit maitriser. Cet article analyse les obligations juridiques, les configurations necessaires et les bonnes pratiques pour utiliser LinkedIn Ads en conformite.

Qualification des acteurs : qui est responsable de quoi ?

Le role de l’annonceur

L’entreprise qui cree et diffuse des campagnes publicitaires sur LinkedIn agit en qualite de responsable de traitement au sens de l’article 4, paragraphe 7 du RGPD. C’est elle qui determine les finalites (promouvoir ses produits, generer des leads, accroitre sa notoriete) et les moyens essentiels du traitement (choix du canal, criteres de ciblage, budget, contenu des annonces). A ce titre, l’annonceur assume l’ensemble des obligations prevues par le RGPD : information des personnes, respect des bases legales, exercice des droits, securite des donnees.

Le role de LinkedIn

La qualification de LinkedIn varie selon les fonctionnalites utilisees. Pour le ciblage base sur les donnees de profil des membres (criteres sociodemographiques et professionnels), LinkedIn agit en qualite de responsable conjoint du traitement avec l’annonceur. LinkedIn a mis en place un accord de responsabilite conjointe accessible dans ses conditions d’utilisation de la plateforme publicitaire, conformement a l’article 26 du RGPD.

Pour les fonctionnalites impliquant le depot de traceurs sur le site de l’annonceur (LinkedIn Insight Tag), la qualification est plus nuancee. L’annonceur est responsable du recueil du consentement sur son propre site, tandis que LinkedIn traite les donnees collectees selon ses propres finalites (amelioration des services, mesure d’audience). Cette dualite implique des obligations distinctes pour chaque partie.

Implications pratiques

Cette qualification de responsabilite conjointe signifie que l’annonceur ne peut pas se contenter de delocaliser sa responsabilite sur LinkedIn. Il doit verifier que les traitements operes via la plateforme sont conformes, informer les personnes concernees de l’utilisation de LinkedIn Ads dans sa politique de confidentialite et, le cas echeant, recueillir les consentements necessaires. Pour les principes generaux de la prospection commerciale et du RGPD, consultez notre guide dedie.

Les bases legales du ciblage LinkedIn

Ciblage par criteres de profil

Le ciblage standard de LinkedIn Ads (par fonction, secteur, localisation, competences) repose sur les donnees que les membres ont eux-memes fournies lors de la creation de leur profil. La base legale invoquee par LinkedIn est l’interet legitime (article 6.1.f du RGPD), tant de LinkedIn que de l’annonceur, a diffuser et recevoir des publicites pertinentes. LinkedIn considere que ses membres s’attendent raisonnablement a recevoir des publicites ciblees dans le cadre de l’utilisation d’un reseau professionnel gratuit.

Toutefois, cette qualification n’est pas exempte de risque. Le test de mise en balance des interets doit demontrer que les droits et libertes des personnes concernees ne prevalent pas. L’annonceur doit verifier que ses criteres de ciblage ne creent pas de discrimination illicite, n’utilisent pas de categories de donnees sensibles (opinions politiques, appartenance syndicale, donnees de sante) et respectent le principe de proportionnalite.

Matched Audiences : listes de contacts

La fonctionnalite Matched Audiences permet a l’annonceur de telecharger une liste d’adresses email ou de noms d’entreprises pour cibler ou exclure des audiences specifiques. Ce traitement souleve des enjeux particuliers.

L’annonceur doit disposer d’une base legale valide pour le traitement initial des adresses email (consentement, interet legitime prealablement documente). Il doit egalement disposer d’une base legale pour la transmission de ces donnees a LinkedIn et pour la finalite de ciblage publicitaire. Le consentement est la base legale la plus securisante pour les audiences de type “Customer Match”. L’interet legitime peut etre invoque si les contacts sont des clients existants et que le ciblage publicitaire est proportionnee, mais un test de mise en balance documente est indispensable.

Avant de telecharger une liste, l’annonceur doit s’assurer que sa politique de confidentialite mentionne explicitement le partage de donnees avec des plateformes publicitaires a des fins de ciblage. Pour la collecte conforme de leads, consultez notre article sur la lead generation et le RGPD.

LinkedIn Insight Tag et consentement

Le LinkedIn Insight Tag est un extrait de code JavaScript installe sur le site de l’annonceur pour mesurer les conversions, creer des audiences de retargeting et analyser les donnees demographiques des visiteurs. Ce traceur depose des cookies sur le terminal de l’utilisateur.

L’article 82 de la loi Informatique et Libertes (transposition de l’article 5.3 de la directive ePrivacy) impose le consentement prealable pour tout depot de traceur non essentiel. L’Insight Tag n’etant pas strictement necessaire au fonctionnement du site, son activation est subordonnee au recueil prealable du consentement de l’utilisateur via une CMP conforme. Le script ne doit se declencher qu’apres acceptation explicite par l’utilisateur de la categorie “publicite” ou “mesure d’audience tierce”.

La CNIL a rappele dans ses recommandations sur les cookies que le consentement doit etre recueilli avant tout depot, et que l’absence de reponse de l’utilisateur ne vaut pas acceptation. La configuration technique du tag doit donc etre conditionnee au signal de consentement delivre par la CMP, idealement via Google Tag Manager ou un equivalent.

Transferts de donnees hors UE

Le probleme des transferts vers les Etats-Unis

LinkedIn Corporation est une societe americaine filiale de Microsoft. Les donnees collectees via LinkedIn Ads transitent par des serveurs situes aux Etats-Unis. Depuis l’adoption du EU-US Data Privacy Framework en juillet 2023, les transferts de donnees vers les entreprises americaines certifiees sous ce cadre beneficient d’une decision d’adequation de la Commission europeenne. LinkedIn (Microsoft) est certifie sous le Data Privacy Framework.

Toutefois, cette decision d’adequation pourrait etre remise en cause par la Cour de justice de l’Union europeenne, comme ce fut le cas pour le Privacy Shield en 2020 (arret Schrems II). L’annonceur doit suivre l’evolution de ce cadre juridique et documenter les garanties supplementaires le cas echeant. La Commission europeenne publie regulierement des mises a jour sur les decisions d’adequation.

Mesures de precaution

Independamment de la decision d’adequation, l’annonceur doit documenter dans son registre des traitements les transferts de donnees lies a LinkedIn Ads, informer les personnes concernees de ces transferts dans sa politique de confidentialite, et etre en mesure de mettre en oeuvre des mesures supplementaires (clauses contractuelles types, chiffrement) si la decision d’adequation venait a etre invalidee.

Configuration conforme de LinkedIn Ads

Parametres de confidentialite du Campaign Manager

Le LinkedIn Campaign Manager offre plusieurs parametres impactant la conformite. L’annonceur doit activer l’option de restriction du traitement des donnees si elle est disponible dans sa juridiction. Il doit configurer les parametres d’audience pour exclure les categories sensibles et verifier que les rapports d’audience ne permettent pas de reidentifier des individus (LinkedIn impose une taille minimale d’audience de 300 membres).

Integration avec la CMP

L’Insight Tag doit etre deploye de maniere conditionnelle. La configuration recommandee consiste a utiliser un gestionnaire de tags qui ne declenche le script LinkedIn qu’apres reception du signal de consentement positif. Si l’utilisateur refuse les cookies publicitaires, le tag ne doit pas se charger et aucune donnee ne doit etre transmise a LinkedIn. Il convient de tester regulierement que cette configuration fonctionne correctement, notamment apres les mises a jour de la CMP ou du gestionnaire de tags.

Mesure des conversions sans cookies

LinkedIn propose la fonctionnalite Conversions API, permettant de transmettre les evenements de conversion cote serveur sans recourir a des cookies. Cette approche, dite server-side tracking, ne dispense pas du recueil du consentement si des donnees personnelles sont transmises (adresse email hashee, par exemple), mais elle offre une alternative technique au cookie Insight Tag. L’annonceur doit neanmoins informer les personnes concernees de ce traitement et disposer d’une base legale valide.

Obligations d’information et transparence

Politique de confidentialite

La politique de confidentialite du site de l’annonceur doit mentionner explicitement l’utilisation de LinkedIn Ads, en precisant les finalites (ciblage publicitaire, mesure de conversion, retargeting), les categories de donnees traitees, la base legale retenue, les destinataires (LinkedIn Ireland Unlimited Company, LinkedIn Corporation), les transferts hors UE et les droits des personnes. L’information doit etre accessible, claire et redigee en des termes comprehensibles, conformement a l’article 12 du RGPD.

Droit d’opposition

Les personnes concernees disposent d’un droit d’opposition au traitement fonde sur l’interet legitime (article 21 du RGPD). L’annonceur doit mettre en place un mecanisme permettant aux personnes d’exercer ce droit effectivement. Cela peut passer par le formulaire de contact, une adresse email dediee, ou le DPO. LinkedIn propose egalement des parametres de confidentialite permettant aux membres de limiter le ciblage publicitaire dans les reglages de leur compte. L’annonceur doit mentionner cette possibilite dans son information.

Registre des traitements

L’utilisation de LinkedIn Ads constitue un traitement de donnees personnelles qui doit etre documente dans le registre des traitements prevu a l’article 30 du RGPD. La fiche de traitement doit decrire les finalites, les categories de donnees, les responsabilites conjointes avec LinkedIn, les transferts, les durees de conservation et les mesures de securite. Pour connaitre les regles du retargeting publicitaire et du RGPD, consultez notre analyse dediee.

Risques et sanctions

Sanctions administratives

Le non-respect des obligations liees a la publicite en ligne expose l’annonceur a des sanctions de la CNIL pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Les manquements les plus frequemment sanctionnes concernent le defaut de consentement pour le depot de traceurs, l’insuffisance d’information et l’absence de mecanisme d’opposition effectif. Plusieurs decisions de la CNIL en matiere de publicite ciblee illustrent la severite de l’autorite sur ces sujets.

Risque reputationnel

Les sanctions de la CNIL sont publiques. Une condamnation pour non-conformite des pratiques publicitaires peut deteriorer l’image de marque et la confiance des clients, en particulier dans un contexte B2B ou la credibilite et la protection des donnees sont des arguments commerciaux.

FAQ

Faut-il un consentement specifique pour le ciblage LinkedIn Ads ?

Le ciblage standard par criteres de profil repose sur l’interet legitime dans le cadre de la responsabilite conjointe avec LinkedIn. En revanche, l’Insight Tag et les cookies associes necessitent un consentement prealable via une CMP conforme. Pour les Matched Audiences basees sur des listes de contacts, la base legale depend du contexte de collecte initiale, mais le consentement reste la solution la plus securisante juridiquement.

Peut-on utiliser des listes d’emails clients pour le ciblage LinkedIn sans consentement ?

L’utilisation de listes clients pour les Matched Audiences peut s’appuyer sur l’interet legitime de l’annonceur, a condition qu’un test de mise en balance ait ete realise et documente, que la politique de confidentialite mentionne cette finalite, et que les clients disposent d’un droit d’opposition effectif. Toutefois, le consentement explicite pour la finalite de ciblage publicitaire via des plateformes tierces reste la base legale la plus robuste et recommandee.

Comment auditer la conformite de ses campagnes LinkedIn Ads ?

L’audit de conformite doit verifier plusieurs points : presence de l’Insight Tag dans la CMP avec declenchement conditionnel au consentement, mention de LinkedIn Ads dans la politique de confidentialite, documentation des Matched Audiences dans le registre des traitements, existence d’un accord de responsabilite conjointe avec LinkedIn, test effectif du mecanisme d’opposition, et verification reguliere de la conformite technique via des outils d’analyse des traceurs. Pour un guide complet sur Google Analytics et le RGPD, consultez notre analyse detaillee.