Le cas du « Real Time Bidding »: concilier marketing et RGPD

Ces dernières années, la massification des outils du numérique a accru la collecte et le partage des données des usagers du Web. Pour s’étendre et s’affermir, le secteur de l’économie numérique s’est nourri et continue constamment de se nourrir de flux de données. Si ces activités numériques ont eu des effets positifs comme une meilleure compréhension des besoins des consommateurs, grâce, notamment, à un ciblage plus performant. Aujourd’hui, il n’est plus possible d’ignorer un mécontentement lié à cette forme d’intrusion de la vie privée. En témoigne la sanction de 40 millions d’euros infligée par la Commission Nationale de l’Informatique et des Libertés (CNIL) le 15 juin 2023 à l’encontre de l’un des spécialistes du re-ciblage publicitaire. 

En effet, à la base du ciblage publicitaire, se trouve l’exploitation des données à caractère personnel des internautes. À des fins de « retargeting » de la personne concernée ou d’adaptation de la stratégie commerciale. Afin soit d’anticiper ou créer un nouveau besoin.  De ce fait, plus la collecte est diversifiée et volumineuse, plus la valeur marchande du profil de l’internaute est haute.    

  • Pour cerner les enjeux de protection des données, encore faut-il comprendre le fonctionnement du RTB (Real Time Bidding).   

Le ciblage publicitaire peut se diviser en trois grandes étapes :  

    1. La collecte massive des données des internautes via plusieurs outils (cookies, pixels et autres traceurs),  
    2. Le data mining, ou forage des données en français, consistant à analyser les données via différentes perspectives afin de dégager une nouvelle information pertinente. Plus précisément, il s’agit de corréler des informations liées aux comportements des utilisateurs, dans le but d’identifier des patterns et de classer les utilisateurs du Web en profil type.  
    3. Enfin, la prise de décision. Les données issues des analyses vont être envoyées à des intermédiaires (dont le rôle est de faciliter les opérations d’achat des espaces publicitaires pour les annonceurs) pour finalement, générer un « appel d’offre ». Ainsi, la valeur attribuée à ces données va être enchérie entre les différents annonceurs. Celui dont le prix est le plus élevé remporte l’emplacement publicitaire.  On parle ainsi de Real Time Bidding 

À savoir, ce mécanisme est d’une rapidité déconcertante… moins de quelques secondes entre la collecte et la prise de décision. C’est édifiant ! 

Real time bidding

  • Quelle application du RGPD ?  

Qui dit données personnelles, dit application du RGPD. 

La méthode couramment employée implique l’utilisation des cookies et autres formes de traceurs.  

Notamment, le système du « cookie matching » qui « permet de faire coïncider les identifiants publicitaires d’un même utilisateur entre différents réseaux publicitaires » (CNIL). Autrement dit, de manière synthétique, il s’agit d’une méthode de profilage des utilisateurs du Web à travers l’ensemble du Web. Ce système est notamment utilisé dans le cadre du « retargeting » à savoir la publicité ciblée de l’utilisateur afin de connaître précisément les produits et services pour lesquels il a exprimé un intérêt.  

Effectivement, les traceurs étant présents sur de nombreux sites Web, le profilage de l’utilisateur s’en retrouve plus qu’affiné…… Et c’est problématique ! Ce n’est pas inexacte que d’affirmer qu’une majorité des « surfeurs » méconnait ces techniques de marketing et l’étendue des connaissances dont disposent les industries publicitaires.  

  • Les 5 grands principes à respecter pour une bonne conformité :  

          1. Une information complète des utilisateurs. Plus précisément, en cohérence avec les attendus de la Règlementation sur la protection des données à caractère personnel ;  
          2. Un recueil du consentement conforme ;  
          3. Une collecte de cookies et autres traceurs répondant aux recommandations de la réglementation et de la CNIL ;  
          4. La mise en œuvre, au besoin, d’une Analyse d’impact à la protection des données (AIPD). AIPD : collecte à large échelle, profilage, données sensibles ;  
          5.  La mise en œuvre de mesures techniques et organisationnelles. Telles que : la sécurité du stockage, la minimisation des données collectées, la limitation des durées de conservation, etc.  

Pour en savoir plus, contactez les équipes de SRC Solution !

À consulter : Étude de l’ICCL Mass data breach of Europe and US data (iccl.ie) 

 

Marie Ganci – Juriste / Consultante Protection des Données (RGPD)