Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/LinkedIn Ads et RGPD : analyse de conformité 2026
RGPD

LinkedIn Ads et RGPD : analyse de conformité 2026

LinkedIn Ads est-il conforme au RGPD ? Analyse du DPA, des transferts, de la responsabilité conjointe et configuration recommandée.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202613 min de lecture
Sommaire
  1. Qualification juridique : responsabilité conjointe, pas sous-traitance
  2. Analyse de l’accord de responsabilité conjointe
  3. Transferts internationaux et évaluation d’impact du transfert
  4. Securite informatique
  5. Configuration recommandée pour la conformité RGPD
  6. Points d’attention spécifiques
  7. FAQ

LinkedIn Ads est la plateforme publicitaire de référence pour le B2B en Europe. Les capacités de ciblage professionnel de LinkedIn – fonction, secteur, séniorité, entreprise – sont sans équivalent sur le marché. Mais cette précision repose sur un traitement massif de données personnelles, et la qualification juridique de ce traitement est fondamentalement différente de ce que la plupart des annonceurs imaginent.

L’erreur la plus répandue est de considérer LinkedIn comme un simple prestataire technique qui exécute vos campagnes. En réalité, LinkedIn est un responsable conjoint du traitement avec vous, au sens de l’article 26 du RGPD. Cette qualification change tout : les obligations contractuelles, la répartition des responsabilités, et les risques juridiques ne sont pas ceux d’une relation de sous-traitance classique.

Ce guide analyse la conformité RGPD de LinkedIn Ads sous l’angle du DPA, des transferts internationaux, de la sécurité et de la configuration opérationnelle. Pour les aspects liés à la stratégie de ciblage et aux bases légales du marketing, consultez notre article sur LinkedIn Ads et le RGPD. Pour une vue d’ensemble des outils, consultez le guide RGPD par outil.

Qualification juridique : responsabilité conjointe, pas sous-traitance

Pourquoi LinkedIn n’est pas un sous-traitant

Lorsque vous lancez une campagne LinkedIn Ads, vous ne confiez pas simplement à LinkedIn l’exécution d’un traitement selon vos instructions. Vous et LinkedIn déterminez conjointement les finalités et les moyens du traitement. Vous choisissez les critères de ciblage, le budget et le contenu créatif. LinkedIn détermine l’algorithme de diffusion, les mécanismes d’enchère, le matching des profils, et exploite les données collectées pour ses propres finalités (amélioration de la plateforme, reporting agrégé, optimisation de l’expérience publicitaire).

Cette co-détermination des finalités et des moyens est le critère de l’article 26 du RGPD, qui définit la responsabilité conjointe. La CJUE a confirmé cette approche dans l’arrêt Fashion ID (C-40/17, 29 juillet 2019) : l’opérateur d’un site web qui intègre un module social (bouton “J’aime” Facebook, dans cette affaire) est responsable conjoint avec le réseau social pour la collecte et la transmission des données, même s’il n’a pas accès aux données traitées en aval par le réseau.

LinkedIn Corporation reconnaît d’ailleurs cette qualification dans ses propres conditions. Le LinkedIn Ads Agreement prévoit un accord de responsabilité conjointe, et non un contrat de sous-traitance au sens de l’article 28.

Consequences pratiques de la responsabilité conjointe

La distinction est essentielle pour trois raisons :

  1. Obligation d’accord Article 26. Vous devez conclure un accord avec LinkedIn qui définit de manière transparente les rôles et responsabilités respectifs, notamment pour l’exercice des droits des personnes concernées. Les conditions de LinkedIn Ads incluent cet accord, mais vous devez vérifier qu’il est effectivement signé et archivé.

  2. Responsabilité solidaire. En cas de violation, les personnes concernées peuvent exercer leurs droits à l’encontre de l’un ou l’autre des responsables conjoints (art. 26(3)). Si LinkedIn commet une infraction dans le cadre de vos campagnes, vous pouvez être tenu pour responsable vis-à-vis des personnes concernées.

  3. Information des personnes. Vous devez informer les personnes de la responsabilité conjointe et leur fournir les grandes lignes de l’accord (art. 26(2)). Votre politique de confidentialité doit être mise à jour en conséquence.

Catégories de données traitées

Dans le cadre de LinkedIn Ads, les données traitées comprennent :

  • Données de profil des membres (exploitées pour le ciblage) : nom, fonction, entreprise, secteur, localisation, compétences, formation
  • Données de comportement publicitaire : impressions, clics, conversions, interactions avec les annonces
  • Données de l’Insight Tag : pages visitées, adresse IP, identifiants de cookie, données de conversion
  • Données des Matched Audiences : listes d’emails ou d’identifiants fournis par l’annonceur pour le ciblage personnalisé
  • Données du Conversions API : événements de conversion transmis côté serveur

Analyse de l’accord de responsabilité conjointe

L’accord de responsabilité conjointe de LinkedIn Ads (Pages Joint Controller Addendum et Ads Joint Controller Addendum) définit la répartition des obligations entre l’annonceur et LinkedIn. Voici l’analyse au regard de l’article 26 du RGPD.

Exigence Art. 26 Couverture LinkedIn Evaluation
Définition transparente des rôles L’accord distingue les responsabilités de l’annonceur (collecte, base légale, information) et de LinkedIn (traitement technique, sécurité de la plateforme) Conforme
Répartition de l’exercice des droits LinkedIn s’engage à traiter les demandes de droits des membres LinkedIn (accès, suppression). L’annonceur gère les demandes concernant ses propres bases de données Conforme
Information des personnes (art. 26(2)) Les grandes lignes de l’accord doivent être mises à disposition des personnes. LinkedIn renvoie à sa politique de confidentialité Partiellement conforme – l’annonceur doit compléter dans sa propre politique
Point de contact pour les personnes LinkedIn désigne un point de contact via son centre de confidentialité. L’annonceur doit désigner son propre point de contact Conforme
Responsabilité solidaire (art. 26(3)) Reconnue implicitement par les conditions générales Conforme

Point d’attention majeur : l’accord de LinkedIn est un document standard, non négociable pour la majorité des annonceurs. Vous n’avez aucune marge de négociation sur les conditions. Cela ne vous exonère pas de votre obligation de vérifier que l’accord répond aux exigences de l’article 26 et de documenter votre évaluation.

Transferts internationaux et évaluation d’impact du transfert

Structure juridique et localisation

LinkedIn Corporation est une filiale de Microsoft, dont le siège est à Sunnyvale, Californie (États-Unis). LinkedIn Ireland Unlimited Company est l’entité européenne responsable du traitement des données des membres de l’EEE. Les centres de données principaux pour l’Europe sont situés à Dublin (Irlande).

Malgré la présence de datacenters européens, des transferts de données vers les États-Unis interviennent dans le cadre du fonctionnement de la plateforme publicitaire (accès par le personnel technique américain, services d’infrastructure, traitement des données publicitaires).

Mécanismes de transfert

LinkedIn (via Microsoft) s’appuie sur deux mécanismes :

  1. EU-US Data Privacy Framework (DPF). Microsoft Corporation est certifié au DPF. La décision d’adéquation de la Commission européenne du 10 juillet 2023 couvre ces transferts.

  2. Clauses contractuelles types (CCT). Le contrat LinkedIn intègre les CCT 2021 comme mécanisme subsidiaire, en cas d’invalidation du DPF.

Éléments de TIA

L’évaluation d’impact du transfert doit prendre en compte :

  • Cadre juridique américain : section 702 du FISA et Executive Order 12333, atténués par l’EO 14086 et le mécanisme de recours du DPF.
  • Nature des données : les données publicitaires LinkedIn sont principalement des données professionnelles (fonction, secteur), dont la sensibilité est généralement modérée. Cependant, les Matched Audiences peuvent inclure des adresses email personnelles.
  • Mesures supplémentaires : chiffrement en transit et au repos, infrastructure Microsoft Azure avec certifications multiples, engagement contractuel de contestation des demandes gouvernementales excessives.
  • Spécificité de la responsabilité conjointe : contrairement à une relation de sous-traitance où vous gardez la maîtrise, ici LinkedIn traite les données pour ses propres finalités. Vous avez un contrôle limité sur ce qui se passe après la transmission des données à LinkedIn.

Cette dernière spécificité est le point le plus délicat du transfert dans le contexte LinkedIn Ads : une fois vos données (listes Matched Audiences, données Insight Tag) transmises à LinkedIn, vous n’avez plus de contrôle effectif sur leur traitement par LinkedIn pour ses propres finalités.

Securite informatique

Infrastructure Microsoft

LinkedIn bénéficie de l’infrastructure de sécurité de Microsoft, l’une des plus robustes du marché :

  • SOC 2 Type II : audit indépendant des contrôles de sécurité
  • ISO 27001 : certification du système de management de la sécurité de l’information
  • ISO 27018 : protection des données personnelles dans le cloud
  • Chiffrement en transit : TLS 1.2+
  • Chiffrement au repos : AES-256
  • Infrastructure Azure : centres de données certifiés avec contrôles physiques, redondance et surveillance continue

Mesures spécifiques à la plateforme publicitaire

  • Hachage des Matched Audiences : les listes d’emails téléversées sont hachées (SHA-256) avant le matching, puis supprimées après le processus de correspondance.
  • Taille minimale d’audience : LinkedIn impose un seuil de 300 membres pour l’affichage des rapports, empêchant la réidentification individuelle.
  • Contrôles d’accès : les campagnes et les comptes sont isolés par organisation.

Limites

Contrairement à une relation de sous-traitance où vous pouvez imposer des mesures de sécurité spécifiques via le contrat (art. 28(3)©), la responsabilité conjointe signifie que vous dépendez des mesures de sécurité décidées par LinkedIn. Vous ne pouvez pas exiger d’audit sur site, ni imposer un chiffrement supplémentaire. C’est une asymétrie inhérente à la relation avec les grandes plateformes publicitaires.

Configuration recommandée pour la conformité RGPD

  1. Archiver l’accord de responsabilité conjointe. Téléchargez et conservez une copie de l’accord art. 26 de LinkedIn (Joint Controller Addendum). Intégrez-le à votre dossier de conformité.

  2. Mettre à jour votre politique de confidentialité. Ajoutez une mention spécifique sur la responsabilité conjointe avec LinkedIn pour les campagnes publicitaires, les catégories de données partagées, et les droits des personnes. Renvoyez vers la politique de confidentialité de LinkedIn.

  3. Conditionner l’Insight Tag au consentement. Déployez l’Insight Tag via un gestionnaire de tags (Google Tag Manager ou équivalent) conditionné au signal de consentement positif de votre CMP pour la catégorie “publicité”. Ne chargez jamais le script avant l’acceptation. Vérifiez cette configuration régulièrement. Consultez notre guide sur les cookies et le RGPD.

  4. Documenter la base légale des Matched Audiences. Si vous téléversez des listes de contacts, documentez la base légale pour la transmission des données à LinkedIn (consentement ou intérêt légitime avec test de mise en balance). Le consentement est la base la plus sécurisante.

  5. Configurer les paramètres de confidentialité du Campaign Manager. Activez les restrictions de traitement des données si disponibles. Excluez les catégories sensibles de ciblage. Limitez les données collectées au strict nécessaire.

  6. Documenter dans le registre. Ajoutez LinkedIn Ads à votre registre des traitements : finalité, base légale, catégories de données, responsabilité conjointe, transferts hors UE, mesures de sécurité.

  7. Prévoir une stratégie de sortie. Documentez la procédure de suppression de vos données (Matched Audiences, Insight Tag) en cas de cessation d’utilisation de LinkedIn Ads ou d’invalidation du DPF.

Points d’attention spécifiques

L’arrêt CJUE Meta (C-252/21) et ses implications pour LinkedIn

L’arrêt de la CJUE du 4 juillet 2023 concernant Meta a statué que les plateformes de réseaux sociaux ne peuvent pas se fonder sur la “nécessité contractuelle” (art. 6(1)(b)) pour le ciblage publicitaire comportemental. Bien que cet arrêt visait Meta, le raisonnement s’applique par analogie à LinkedIn. La CJUE a également encadré strictement le recours à l’intérêt légitime pour la publicité comportementale, exigeant une mise en balance rigoureuse et documentée.

Pour les annonceurs, cela signifie que la base légale du ciblage avancé sur LinkedIn (au-delà du ciblage par critères de profil de base) mérite une analyse prudente, en particulier pour les audiences comportementales et le retargeting.

Matched Audiences et partage de donnees

Lorsque vous téléversez une liste de contacts pour les Matched Audiences, vous effectuez un partage de données personnelles avec un responsable conjoint, et non une simple transmission à un sous-traitant. La distinction est fondamentale : vous ne pouvez pas vous appuyer sur un contrat de sous-traitance pour encadrer ce flux. Vous devez disposer d’une base légale pour le partage lui-même, et votre politique de confidentialité doit informer les personnes de cette transmission.

Conversions API : meme qualification juridique

Le LinkedIn Conversions API (CAPI) permet de transmettre des événements de conversion côté serveur, sans passer par un cookie. Du point de vue technique, c’est une alternative à l’Insight Tag. Du point de vue juridique, la qualification reste identique : vous partagez des données personnelles (email haché, événements de conversion) avec LinkedIn en tant que responsable conjoint. Le CAPI ne dispense ni du consentement (si un identifiant personnel est transmis), ni de l’information des personnes.

Risque de requalification de la base legale

De nombreux annonceurs B2B utilisent LinkedIn Ads en invoquant l’intérêt légitime pour l’ensemble de leurs traitements publicitaires. Or, le périmètre de l’intérêt légitime est plus étroit qu’on ne le pense depuis l’arrêt C-252/21. Pour le ciblage comportemental, le retargeting et les Matched Audiences, le consentement est la base légale la plus sécurisante. Documentez votre analyse de base légale pour chaque type de campagne.

Les leads générés via LinkedIn Ads alimentent généralement un CRM comme HubSpot ou Salesforce – documentez ce flux de données dans votre registre des traitements.

FAQ

LinkedIn est-il sous-traitant ou responsable conjoint pour la publicite ?

LinkedIn est un responsable conjoint (art. 26 RGPD) avec l’annonceur pour les campagnes LinkedIn Ads, et non un sous-traitant. C’est LinkedIn lui-même qui reconnaît cette qualification dans ses conditions. LinkedIn détermine ses propres finalités de traitement (amélioration de la plateforme, optimisation publicitaire) et ses propres moyens (algorithme de diffusion, matching des profils). L’annonceur doit conclure un accord de responsabilité conjointe au sens de l’article 26, informer les personnes de cette responsabilité conjointe, et documenter sa propre analyse de base légale pour chaque type de campagne. C’est ce type d’évaluation que Legiscope permet d’automatiser.

L’Insight Tag necessite-t-il un consentement prealable ?

Oui. L’Insight Tag dépose des cookies publicitaires sur le terminal de l’utilisateur. L’article 82 de la loi Informatique et Libertés et l’article 5(3) de la directive ePrivacy imposent le consentement préalable pour tout traceur non essentiel au fonctionnement du site. Le tag ne doit être déclenché qu’après acceptation explicite via une CMP conforme. Consultez notre guide cookies et RGPD pour la mise en oeuvre technique.

Peut-on continuer a utiliser LinkedIn Ads apres une invalidation du DPF ?

En cas d’invalidation du Data Privacy Framework (“Schrems III”), les CCT intégrées au contrat LinkedIn prendraient le relais comme mécanisme de transfert. Toutefois, la spécificité de la responsabilité conjointe complique la situation : contrairement à un sous-traitant dont vous pouvez encadrer le traitement par instructions, LinkedIn traite les données pour ses propres finalités. Les mesures supplémentaires que vous pouvez imposer sont limitées. Documentez votre TIA dès maintenant et surveillez les évolutions du cadre juridique des transferts hors UE.

Comment auditer la conformité de sa configuration LinkedIn Ads ?

Vérifiez les points suivants : (1) l’accord de responsabilité conjointe est archivé dans votre dossier ; (2) votre politique de confidentialité mentionne la responsabilité conjointe avec LinkedIn ; (3) l’Insight Tag est conditionné au consentement dans votre CMP ; (4) les bases légales sont documentées pour chaque type de campagne ; (5) les Matched Audiences sont couvertes par une base légale valide et mentionnées dans le registre ; (6) la TIA est documentée pour les transferts hors UE. Consultez également nos analyses de Meta Ads et RGPD et Google Cloud et RGPD pour une vue comparative.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformité 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformité cloud infrastructure

9 avril 2026 · 16 min