Retargeting et RGPD : règles pour le reciblage publicitaire

Retargeting et RGPD : règles pour le reciblage publicitaire

Le retargeting (ou reciblage publicitaire) consiste à diffuser des publicités ciblées à des utilisateurs ayant déjà visité un site web ou interagi avec un contenu, afin de les inciter a revenir et a convertir. Cette technique repose intégralement sur le suivi du comportement de navigation des internautes, via des cookies, des pixels de suivi ou des identifiants publicitaires. Elle se situé au coeur des tensions entre l’efficacité marketing et la protection des données personnelles. Le RGPD et la directive ePrivacy imposent un cadre strict que tout annonceur utilisant le retargeting doit maîtriser.

Fonctionnement technique du retargeting

Le retargeting par cookies tiers

Le modèle historique du retargeting repose sur les cookies tiers. Lorsqu’un utilisateur visité un site e-commerce, un pixel de suivi (Facebook Pixel, Google Ads remarketing tag, Criteo loader) déposé un cookie tiers sur le terminal de l’utilisateur. Ce cookie contient un identifiant unique qui permet de reconnaître l’utilisateur lorsqu’il navigue sur d’autres sites intégrant des encarts publicitaires du même réseau. Le système publicitaire associé l’identifiant du cookie aux pages visitées sur le site d’origine et diffusé des publicités personnalisées en conséquence.

Ce modèle est en declin en raison de la disparition des cookies tiers dans les navigateurs (blocage par défaut dans Safari et Firefox, restriction progressive dans Chrome) et des exigences de consentement de plus en plus strictes. Les taux de consentement pour les cookies publicitaires variant entré 30 % et 60 % selon les secteurs, la portée du retargeting par cookies tiers s’est considérablement reduite.

Le retargeting par audiences personnalisées

Les plateformes publicitaires proposent des mécanismes de retargeting bases sur des listes de contacts. L’annonceur téléchargé une liste d’adressés email ou de numéros de téléphone vers la plateforme (Facebook Custom Audiences, Google Customer Match, LinkedIn Matched Audiences), qui les fait correspondre avec les comptes de ses utilisateurs. Les publicités sont ensuite diffusées aux utilisateurs identifiés.

Ce mécanisme ne repose pas sur des cookies tiers mais implique le partagé de données personnelles avec la plateforme publicitaire, ce qui soulevé des questions spécifiques de base légale et de transfert. Pour les enjeux propres a LinkedIn Ads et au RGPD, consultez notre analyse dédiée.

Le retargeting server-side

Le retargeting server-side utilise les API de conversion des plateformes (Facebook Conversions API, Google Ads Enhanced Conversions) pour transmettre les évènements de conversion depuis le serveur de l’annonceur vers la plateforme publicitaire, sans recourir à des cookies cote client. Ce modèle, souvent mis en oeuvre via le server-side tracking, offre une meilleure fiabilité technique mais ne modifie pas les obligations juridiques.

Bases légales et consentement

Le consentement pour le dépôt de traçeurs

L’article 82 de la loi Informatique et Libertés (transposition de l’article 5.3 de la directive ePrivacy) impose le consentement préalable pour tout dépôt de traceur non strictement nécessaire au fonctionnement du site. Les pixels de retargeting (Facebook Pixel, Google Ads tag, Criteo) sont des traçeurs publicitaires qui ne bénéficient d’aucune exemption. Ils ne peuvent être déployés qu’après consentement explicité de l’utilisateur pour la catégorie “publicité” ou “ciblage publicitaire” via une CMP conforme.

La CNIL a rappelé a de multiples reprises que le consentement pour les cookies publicitaires doit être spécifique, éclairé et libre. L’utilisateur doit comprendre que ses données de navigation seront utilisées pour lui diffuser de la publicité ciblée sur d’autres sites ou plateformes. Le bandeau de consentement doit mentionner cette finalité de manière compréhensible. L’acceptation globale de “tous les cookies” est validé si l’utilisateur a eu la possibilité de refuser et d’accepter par catégorie, avec une présentation équilibrée des choix sans dark patterns.

Le consentement pour le traitement RGPD

Au-delà du consentement ePrivacy pour le dépôt du traceur, le traitement de données personnelles à des fins de retargeting nécessité une base légale au titre de l’article 6 du RGPD. Le consentement (article 6.1.a) est la base la plus adaptée car il couvre simultanément l’exigence ePrivacy et l’exigence RGPD. L’intérêt légitime (article 6.1.f) est théoriquement invocable pour le traitement RGPD, mais il est difficile à défendre pour le retargeting qui implique un suivi comportemental intrusif. Le CEPD a souligné que l’intérêt légitime ne peut généralement pas servir de base légale pour le profilage publicitaire à grande échelle.

Le cas des audiences personnalisées

Le televersement de listes de contacts vers une plateforme publicitaire implique un partagé de données personnelles avec un tiers. La base légale de ce partagé ne peut être le consentement initialement donne pour une autre finalité (par exemple, la relation commerciale). Un consentement spécifique pour la finalité de ciblage publicitaire via des plateformes tierces est nécessaire, ou, a défaut, un intérêt légitime préalablement documenté avec un test de mise en balance démontrant que les droits des personnes ne prévalent pas. La politique de confidentialité doit mentionner explicitement ce partagé.

Obligations de transparence

Information préalable

L’article 13 du RGPD impose une information complète lors de la collecte des données. En matière de retargeting, l’utilisateur doit être informe que ses données de navigation seront utilisées pour lui diffuser des publicités personnalisées, de l’identité des plateformes publicitaires destinataires (Google, Meta, Criteo, etc.), des mécanismes de transfert hors UE le cas échéant, de la durée de conservation des données de retargeting, et de son droit de s’opposer et de retirer son consentement.

Cette information doit figurer dans la politique de confidentialité du site et être synthetisee dans le bandeau de cookies. La CNIL exigé que l’information soit hierarchisee : une première couche synthétique immédiatement visible, renvoyant vers une information complète.

Droit d’opposition et retrait du consentement

L’utilisateur doit pouvoir retirer son consentement au retargeting aussi simplement qu’il l’a donne (article 7.3 du RGPD). Concrètement, la CMP doit permettre à l’utilisateur de modifier ses préférences de cookies à tout moment, via un lien permanent accessible sur toutes les pages du site. Lors du retrait du consentement, les cookies de retargeting doivent être supprimés et aucune donnée ne doit plus être transmise aux plateformes publicitaires.

Indépendamment du consentement cookies, l’utilisateur dispose d’un droit d’opposition au traitement à des fins de prospection directe (article 21.2 du RGPD), qui est un droit absolu ne nécessitant pas de motif. L’annonceur doit prévoir un mécanisme d’exercice de ce droit et y donner suite sans délai.

Configuration technique conforme

Intégration avec la CMP et le gestionnaire de tags

Les pixels de retargeting doivent être déployés via un gestionnaire de tags (Google Tag Manager ou équivalent) configure pour ne déclencher les balises publicitaires qu’après réception du signal de consentement positif pour la catégorie “publicité”. Le pixel ne doit pas se charger, même partiellement, avant le consentement. En cas de refus, aucune donnée ne doit être transmise à la plateforme publicitaire.

La configuration doit également gérer le retrait du consentement : si l’utilisateur modifie ses préférences en cours de session, les pixels de retargeting doivent cesser de se déclencher immédiatement.

Durées de conservation des audiences

Les listes de retargeting ont une durée de vie maximale configurable dans les plateformes publicitaires. Google Ads limite la durée des listes de remarketing à 540 jours maximum. Facebook Custom Audiences conservé les listes jusqu’à suppression manuelle par l’annonceur.

Le principe de limitation de la conservation (article 5.1.e du RGPD) impose de définir et de respecter des durées proportionnées. Une durée de 30 à 90 jours est généralement suffisante pour le retargeting site. Les listes non exploitées doivent être supprimées. Les audiences doivent être régulièrement nettoyées pour exclure les utilisateurs ayant retiré leur consentement ou exercé leur droit d’opposition.

Exclusion des audiences sensibles

Le retargeting ne doit pas cibler des audiences basées sur des données sensibles (article 9 du RGPD). Les pages relatives à la santé, aux opinions politiques, à l’orientation sexuelle, aux convictions religieuses ou à l’appartenance syndicale ne doivent pas être utilisées comme critères de création d’audiences de retargeting. Par exemple, un site de pharmacie en ligne ne doit pas créer une audience de retargeting basée sur la consultation de pages de produits spécifiques révélant un état de santé.

Les évolutions du retargeting post-cookies

Privacy Sandbox et Topics API

Google propose la Topics API dans le cadre de son Privacy Sandbox comme alternative aux cookies tiers. Ce mécanisme classe les intérêts de l’utilisateur en catégories thématiques (topics) déterminées localement par le navigateur, sans identifiant cross-site. Les topics sont partagés avec les sites et les annonceurs pour permettre un ciblage par centré d’intérêt sans suivi individuel.

La conformité de la Topics API avec le RGPD et la directive ePrivacy fait débat. L’accès aux centres d’intérêt de l’utilisateur constitue un accès aux informations du terminal au sens de l’article 5.3 de la directive ePrivacy, potentiellement soumis à consentement. La CNIL et le CEPD suivent attentivement ces développements.

Le retargeting contextuel

Le retargeting contextuel consiste à diffuser des publicités en fonction du contenu de la page consultée plutôt que du comportement passe de l’utilisateur. Cette approche ne nécessité pas de traçeurs ni de données personnelles. Elle constitue une alternative conforme par conception, bien que moins performante en termes de taux de conversion que le retargeting comportemental.

Les salles blanches de données (data clean rooms)

Les data clean rooms (Google Ads Data Hub, Meta Advanced Analytics) permettent de croiser les données de l’annonceur avec les données de la plateforme dans un environnement sécurisé, sans extraction de données individuelles. Les résultats sont agrégés et ne permettent pas l’identification d’individus. Cette approche peut constituer une alternative plus respectueuse de la vie privée pour l’analyse de performance des campagnes, mais les conditions de traitement des données au sein de la clean room doivent être vérifiées. Pour les enjeux de lead génération et RGPD, les clean rooms offrent des perspectives intéressantes.

FAQ

Le retargeting est-il légal sans consentement en B2B ?

Non. Le retargeting par cookies ou pixels de suivi nécessité le consentement préalable de l’utilisateur au titre de la directive ePrivacy, indépendamment du caractère B2B ou B2C de la relation. Le fait que le visiteur soit un professionnel ne dispense pas du consentement pour le dépôt de traçeurs publicitaires. En revanche, le retargeting par listes de contacts B2B (Customer Match) peut potentiellement s’appuyer sur l’intérêt légitime, mais un test de mise en balance documenté est indispensable et la politique de confidentialité doit mentionner cette pratique.

Combien de temps peut-on conserver une audience de retargeting ?

La durée de conservation doit être proportionnée à la finalité. Pour le retargeting site (visiteurs du site), une durée de 30 à 90 jours est généralement suffisante et proportionnée. Au-delà, la pertinence du reciblage diminue et le traitement devient disproportionné. Pour les audiences basées sur des listes de clients, la durée de conservation est liée à la durée de la relation commerciale. Les listes doivent être régulièrement mises à jour pour supprimer les contacts ayant retiré leur consentement, exercé leur droit d’opposition, ou dont la relation commerciale a pris fin depuis plus de trois ans.

Comment mesurer l’efficacité du retargeting sans violer le RGPD ?

La mesure d’efficacité du retargeting (attribution, ROAS, conversions) est possible dans le respect du RGPD. Les rapports agrégés fournis par les plateformes publicitaires ne contiennent pas de données personnelles individuelles et peuvent être exploités librement. Les tests A/B et les analysés de lift (incrementalite) permettent d’évaluer l’impact réel du retargeting sans traitement supplémentaire de données personnelles. Pour la configuration conforme de votre outil de mesure, consultez notre guide sur GA4 et le RGPD. Les API de conversion server-side offrent une mesure fiable tout en permettant le filtrage des données avant transmission, conformément aux principes de l’email marketing RGPD.