LinkedIn Ads et RGPD : ciblage conforme

LinkedIn Ads et RGPD : ciblage conforme

LinkedIn est devenu un canal publicitaire incontournable pour le marketing B2B. Avec plus de 28 millions de membres en France, la plateforme offre des capacités de ciblage particulièrement fines : fonction professionnelle, secteur d’activité, taille d’entreprise, compétences, groupes. Toutefois, ces capacités reposent sur le traitement de données personnelles à grande échelle, ce qui soulevé des questions de conformité au RGPD que tout annonceur doit maîtriser. Cet article analyse les obligations juridiques, les configurations nécessaires et les bonnes pratiques pour utiliser LinkedIn Ads en conformité.

Qualification des acteurs : qui est responsable de quoi ?

Le rôle de l’annonceur

L’entreprise qui cree et diffusé des campagnes publicitaires sur LinkedIn agit en qualité de responsable de traitement au sens de l’article 4, paragraphe 7 du RGPD. C’est elle qui détermine les finalités (promouvoir ses produits, générer des leads, accroître sa notoriété) et les moyens essentiels du traitement (choix du canal, critères de ciblage, budget, contenu des annonces). À ce titre, l’annonceur assumé l’ensemble des obligations prévues par le RGPD : information des personnes, respect des bases légales, exercice des droits, sécurité des données.

Le rôle de LinkedIn

La qualification de LinkedIn varie selon les fonctionnalités utilisées. Pour le ciblage base sur les données de profil des membres (critères sociodemographiques et professionnels), LinkedIn agit en qualité de responsable conjoint du traitement avec l’annonceur. LinkedIn a mis en place un accord de responsabilité conjointe accessible dans ses conditions d’utilisation de la plateforme publicitaire, conformément à l’article 26 du RGPD.

Pour les fonctionnalités impliquant le dépôt de traçeurs sur le site de l’annonceur (LinkedIn Insight Tag), la qualification est plus nuancée. L’annonceur est responsable du recueil du consentement sur son propre site, tandis que LinkedIn traité les données collectées selon ses propres finalités (amélioration des services, mesure d’audience). Cette dualite implique des obligations distinctes pour chaque partie.

Implications pratiques

Cette qualification de responsabilité conjointe signifie que l’annonceur ne peut pas se contenter de délocaliser sa responsabilité sur LinkedIn. Il doit vérifier que les traitements opérés via la plateforme sont conformes, informer les personnes concernées de l’utilisation de LinkedIn Ads dans sa politique de confidentialité et, le cas échéant, recueillir les consentements nécessaires. Pour les principes généraux de la prospection commerciale et du RGPD, consultez notre guide dédié.

Les bases légales du ciblage LinkedIn

Ciblage par critères de profil

Le ciblage standard de LinkedIn Ads (par fonction, secteur, localisation, compétences) repose sur les données que les membres ont eux-mêmes fournies lors de la création de leur profil. La base légale invoquée par LinkedIn est l’intérêt légitime (article 6.1.f du RGPD), tant de LinkedIn que de l’annonceur, a diffuser et recevoir des publicités pertinentes. LinkedIn considéré que ses membres s’attendent raisonnablement a recevoir des publicités ciblées dans le cadre de l’utilisation d’un réseau professionnel gratuit.

Toutefois, cette qualification n’est pas exempte de risque. Le test de mise en balance des intérêts doit démontrer que les droits et libertés des personnes concernées ne prévalent pas. L’annonceur doit vérifier que ses critères de ciblage ne creent pas de discrimination illicite, n’utilisent pas de catégories de données sensibles (opinions politiques, appartenance syndicale, données de santé) et respectent le principe de proportionnalité.

Matched Audiences : listes de contacts

La fonctionnalité Matched Audiences permet à l’annonceur de télécharger une liste d’adressés email ou de noms d’entreprises pour cibler ou exclure des audiences spécifiques. Ce traitement soulevé des enjeux particuliers.

L’annonceur doit disposer d’une base légale validé pour le traitement initial des adressés email (consentement, intérêt légitime préalablement documenté). Il doit également disposer d’une base légale pour la transmission de ces données a LinkedIn et pour la finalité de ciblage publicitaire. Le consentement est la base légale la plus sécurisante pour les audiences de type “Customer Match”. L’intérêt légitime peut être invoqué si les contacts sont des clients existants et que le ciblage publicitaire est proportionnée, mais un test de mise en balance documenté est indispensable.

Avant de télécharger une liste, l’annonceur doit s’assurer que sa politique de confidentialité mentionné explicitement le partagé de données avec des plateformes publicitaires à des fins de ciblage. Pour la collecte conforme de leads, consultez notre article sur la lead génération et le RGPD.

LinkedIn Insight Tag et consentement

Le LinkedIn Insight Tag est un extrait de code JavaScript installé sur le site de l’annonceur pour mesurer les conversions, créer des audiences de retargeting et analyser les données démographiques des visiteurs. Ce traceur déposé des cookies sur le terminal de l’utilisateur.

L’article 82 de la loi Informatique et Libertés (transposition de l’article 5.3 de la directive ePrivacy) impose le consentement préalable pour tout dépôt de traceur non essentiel. L’Insight Tag n’étant pas strictement nécessaire au fonctionnement du site, son activation est subordonnée au recueil préalable du consentement de l’utilisateur via une CMP conforme. Le script ne doit se déclencher qu’après acceptation explicité par l’utilisateur de la catégorie “publicité” ou “mesure d’audience tierce”.

La CNIL a rappelé dans ses recommandations sur les cookies que le consentement doit être recueilli avant tout dépôt, et que l’absence de réponse de l’utilisateur ne vaut pas acceptation. La configuration technique du tag doit donc être conditionnée au signal de consentement délivré par la CMP, idéalement via Google Tag Manager ou un équivalent.

Transferts de données hors UE

Le problème des transferts vers les États-Unis

LinkedIn Corporation est une société américaine filiale de Microsoft. Les données collectées via LinkedIn Ads transitent par des serveurs situés aux États-Unis. Depuis l’adoption du EU-US Data Privacy Framework en juillet 2023, les transferts de données vers les entreprises américaines certifiées sous ce cadre bénéficient d’une décision d’adéquation de la Commission européenne. LinkedIn (Microsoft) est certifié sous le Data Privacy Framework.

Toutefois, cette décision d’adéquation pourrait être remise en cause par la Cour de justice de l’Union européenne, comme ce fut le cas pour le Privacy Shield en 2020 (arrêt Schrems II). L’annonceur doit suivre l’évolution de ce cadre juridique et documenter les garanties supplémentaires le cas échéant. La Commission européenne publié régulièrement des mises à jour sur les décisions d’adéquation.

Mesures de précaution

Indépendamment de la décision d’adéquation, l’annonceur doit documenter dans son registre des traitements les transferts de données lies a LinkedIn Ads, informer les personnes concernées de ces transferts dans sa politique de confidentialité, et être en mesure de mettre en oeuvre des mesures supplémentaires (clauses contractuelles types, chiffrement) si la décision d’adéquation venait a être invalidée.

Configuration conforme de LinkedIn Ads

Paramètres de confidentialité du Campaign Manager

Le LinkedIn Campaign Manager offre plusieurs paramètres impactant la conformité. L’annonceur doit activer l’option de restriction du traitement des données si elle est disponible dans sa juridiction. Il doit configurer les paramètres d’audience pour exclure les catégories sensibles et vérifier que les rapports d’audience ne permettent pas de reidentifier des individus (LinkedIn impose une taille minimale d’audience de 300 membres).

Intégration avec la CMP

L’Insight Tag doit être déployé de manière conditionnelle. La configuration recommandée consiste à utiliser un gestionnaire de tags qui ne déclenche le script LinkedIn qu’après réception du signal de consentement positif. Si l’utilisateur refusé les cookies publicitaires, le tag ne doit pas se charger et aucune donnée ne doit être transmise a LinkedIn. Il convient de tester régulièrement que cette configuration fonctionne correctement, notamment après les mises à jour de la CMP ou du gestionnaire de tags.

Mesure des conversions sans cookies

LinkedIn propose la fonctionnalité Conversions API, permettant de transmettre les évènements de conversion cote serveur sans recourir à des cookies. Cette approche, dite server-side tracking, ne dispense pas du recueil du consentement si des données personnelles sont transmises (adressé email hashee, par exemple), mais elle offre une alternative technique au cookie Insight Tag. L’annonceur doit néanmoins informer les personnes concernées de ce traitement et disposer d’une base légale validé.

Obligations d’information et transparence

Politique de confidentialité

La politique de confidentialité du site de l’annonceur doit mentionner explicitement l’utilisation de LinkedIn Ads, en précisant les finalités (ciblage publicitaire, mesure de conversion, retargeting), les catégories de données traitées, la base légale retenue, les destinataires (LinkedIn Ireland Unlimited Company, LinkedIn Corporation), les transferts hors UE et les droits des personnes. L’information doit être accessible, claire et rédigée en des termes compréhensibles, conformément à l’article 12 du RGPD.

Droit d’opposition

Les personnes concernées disposent d’un droit d’opposition au traitement fondé sur l’intérêt légitime (article 21 du RGPD). L’annonceur doit mettre en place un mécanisme permettant aux personnes d’exercer ce droit effectivement. Cela peut passer par le formulaire de contact, une adressé email dédiée, ou le DPO. LinkedIn propose également des paramètres de confidentialité permettant aux membres de limiter le ciblage publicitaire dans les réglages de leur compte. L’annonceur doit mentionner cette possibilité dans son information.

Registre des traitements

L’utilisation de LinkedIn Ads constitue un traitement de données personnelles qui doit être documenté dans le registre des traitements prévu à l’article 30 du RGPD. La fiche de traitement doit décrire les finalités, les catégories de données, les responsabilités conjointes avec LinkedIn, les transferts, les durées de conservation et les mesures de sécurité. Pour connaître les règles du retargeting publicitaire et du RGPD, consultez notre analyse dédiée.

Risques et sanctions

Sanctions administratives

Le non-respect des obligations liées à la publicité en ligne expose l’annonceur à des sanctions de la CNIL pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Les manquements les plus fréquemment sanctionnés concernent le défaut de consentement pour le dépôt de traçeurs, l’insuffisance d’information et l’absence de mécanisme d’opposition effectif. Plusieurs décisions de la CNIL en matière de publicité ciblée illustrent la sévérité de l’autorité sur ces sujets.

Risque réputationnel

Les sanctions de la CNIL sont publiques. Une condamnation pour non-conformité des pratiques publicitaires peut détériorer l’image de marque et la confiance des clients, en particulier dans un contexte B2B ou la crédibilité et la protection des données sont des arguments commerciaux.

FAQ

Faut-il un consentement spécifique pour le ciblage LinkedIn Ads ?

Le ciblage standard par critères de profil repose sur l’intérêt légitime dans le cadre de la responsabilité conjointe avec LinkedIn. En revanche, l’Insight Tag et les cookies associés nécessitent un consentement préalable via une CMP conforme. Pour les Matched Audiences basées sur des listes de contacts, la base légale dépend du contexte de collecte initiale, mais le consentement reste la solution la plus sécurisante juridiquement.

Peut-on utiliser des listes d’emails clients pour le ciblage LinkedIn sans consentement ?

L’utilisation de listes clients pour les Matched Audiences peut s’appuyer sur l’intérêt légitime de l’annonceur, à condition qu’un test de mise en balance ait été réalisé et documenté, que la politique de confidentialité mentionné cette finalité, et que les clients disposent d’un droit d’opposition effectif. Toutefois, le consentement explicité pour la finalité de ciblage publicitaire via des plateformes tierces reste la base légale la plus robuste et recommandée.

Comment auditer la conformité de ses campagnes LinkedIn Ads ?

L’audit de conformité doit vérifier plusieurs points : présence de l’Insight Tag dans la CMP avec déclenchement conditionnel au consentement, mention de LinkedIn Ads dans la politique de confidentialité, documentation des Matched Audiences dans le registre des traitements, existence d’un accord de responsabilité conjointe avec LinkedIn, test effectif du mécanisme d’opposition, et vérification régulière de la conformité technique via des outils d’analyse des traçeurs. Pour un guide complet sur Google Analytics et le RGPD, consultez notre analyse détaillée.