Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 9 avril 2026
Accueil/RGPD/LinkedIn Ads et RGPD : analyse de conformite 2026
RGPD

LinkedIn Ads et RGPD : analyse de conformite 2026

LinkedIn Ads est-il conforme au RGPD ? Analyse du DPA, des transferts, de la responsabilite conjointe et configuration recommandee.

Par Thiebaut DevergrannePublie le 9 avril 2026Mis a jour le 9 avril 202612 min de lecture
Sommaire
  1. Qualification juridique : responsabilite conjointe, pas sous-traitance
  2. Analyse de l’accord de responsabilite conjointe
  3. Transferts internationaux et evaluation d’impact du transfert
  4. Securite informatique
  5. Configuration recommandee pour la conformite RGPD
  6. Points d’attention specifiques
  7. FAQ

LinkedIn Ads est la plateforme publicitaire de reference pour le B2B en Europe. Les capacites de ciblage professionnel de LinkedIn – fonction, secteur, seniorite, entreprise – sont sans equivalent sur le marche. Mais cette precision repose sur un traitement massif de donnees personnelles, et la qualification juridique de ce traitement est fondamentalement differente de ce que la plupart des annonceurs imaginent.

L’erreur la plus repandue est de considerer LinkedIn comme un simple prestataire technique qui execute vos campagnes. En realite, LinkedIn est un responsable conjoint du traitement avec vous, au sens de l’article 26 du RGPD. Cette qualification change tout : les obligations contractuelles, la repartition des responsabilites, et les risques juridiques ne sont pas ceux d’une relation de sous-traitance classique.

Ce guide analyse la conformite RGPD de LinkedIn Ads sous l’angle du DPA, des transferts internationaux, de la securite et de la configuration operationnelle. Pour les aspects lies a la strategie de ciblage et aux bases legales du marketing, consultez notre article sur LinkedIn Ads et le RGPD. Pour une vue d’ensemble des outils, consultez le guide RGPD par outil.

Qualification juridique : responsabilite conjointe, pas sous-traitance

Pourquoi LinkedIn n’est pas un sous-traitant

Lorsque vous lancez une campagne LinkedIn Ads, vous ne confiez pas simplement a LinkedIn l’execution d’un traitement selon vos instructions. Vous et LinkedIn determinez conjointement les finalites et les moyens du traitement. Vous choisissez les criteres de ciblage, le budget et le contenu creatif. LinkedIn determine l’algorithme de diffusion, les mecanismes d’enchere, le matching des profils, et exploite les donnees collectees pour ses propres finalites (amelioration de la plateforme, reporting agrege, optimisation de l’experience publicitaire).

Cette co-determination des finalites et des moyens est le critere de l’article 26 du RGPD, qui definit la responsabilite conjointe. La CJUE a confirme cette approche dans l’arret Fashion ID (C-40/17, 29 juillet 2019) : l’operateur d’un site web qui integre un module social (bouton “J’aime” Facebook, dans cette affaire) est responsable conjoint avec le reseau social pour la collecte et la transmission des donnees, meme s’il n’a pas acces aux donnees traitees en aval par le reseau.

LinkedIn Corporation reconnait d’ailleurs cette qualification dans ses propres conditions. Le LinkedIn Ads Agreement prevoit un accord de responsabilite conjointe, et non un contrat de sous-traitance au sens de l’article 28.

Consequences pratiques de la responsabilite conjointe

La distinction est essentielle pour trois raisons :

  1. Obligation d’accord Article 26. Vous devez conclure un accord avec LinkedIn qui definit de maniere transparente les roles et responsabilites respectifs, notamment pour l’exercice des droits des personnes concernees. Les conditions de LinkedIn Ads incluent cet accord, mais vous devez verifier qu’il est effectivement signe et archiver.

  2. Responsabilite solidaire. En cas de violation, les personnes concernees peuvent exercer leurs droits a l’encontre de l’un ou l’autre des responsables conjoints (art. 26(3)). Si LinkedIn commet une infraction dans le cadre de vos campagnes, vous pouvez etre tenu pour responsable vis-a-vis des personnes concernees.

  3. Information des personnes. Vous devez informer les personnes de la responsabilite conjointe et leur fournir les grandes lignes de l’accord (art. 26(2)). Votre politique de confidentialite doit etre mise a jour en consequence.

Categories de donnees traitees

Dans le cadre de LinkedIn Ads, les donnees traitees comprennent :

  • Donnees de profil des membres (exploitees pour le ciblage) : nom, fonction, entreprise, secteur, localisation, competences, formation
  • Donnees de comportement publicitaire : impressions, clics, conversions, interactions avec les annonces
  • Donnees de l’Insight Tag : pages visitees, adresse IP, identifiants de cookie, donnees de conversion
  • Donnees des Matched Audiences : listes d’emails ou d’identifiants fournis par l’annonceur pour le ciblage personnalise
  • Donnees du Conversions API : evenements de conversion transmis cote serveur

Analyse de l’accord de responsabilite conjointe

L’accord de responsabilite conjointe de LinkedIn Ads (Pages Joint Controller Addendum et Ads Joint Controller Addendum) definit la repartition des obligations entre l’annonceur et LinkedIn. Voici l’analyse au regard de l’article 26 du RGPD.

Exigence Art. 26 Couverture LinkedIn Evaluation
Definition transparente des roles L’accord distingue les responsabilites de l’annonceur (collecte, base legale, information) et de LinkedIn (traitement technique, securite de la plateforme) Conforme
Repartition de l’exercice des droits LinkedIn s’engage a traiter les demandes de droits des membres LinkedIn (acces, suppression). L’annonceur gere les demandes concernant ses propres bases de donnees Conforme
Information des personnes (art. 26(2)) Les grandes lignes de l’accord doivent etre mises a disposition des personnes. LinkedIn renvoie a sa politique de confidentialite Partiellement conforme – l’annonceur doit completer dans sa propre politique
Point de contact pour les personnes LinkedIn designe un point de contact via son centre de confidentialite. L’annonceur doit designer son propre point de contact Conforme
Responsabilite solidaire (art. 26(3)) Reconnue implicitement par les conditions generales Conforme

Point d’attention majeur : l’accord de LinkedIn est un document standard, non negociable pour la majorite des annonceurs. Vous n’avez aucune marge de negociation sur les conditions. Cela ne vous exonere pas de votre obligation de verifier que l’accord repond aux exigences de l’article 26 et de documenter votre evaluation.

Transferts internationaux et evaluation d’impact du transfert

Structure juridique et localisation

LinkedIn Corporation est une filiale de Microsoft, dont le siege est a Sunnyvale, Californie (Etats-Unis). LinkedIn Ireland Unlimited Company est l’entite europeenne responsable du traitement des donnees des membres de l’EEE. Les centres de donnees principaux pour l’Europe sont situes a Dublin (Irlande).

Malgre la presence de datacenters europeens, des transferts de donnees vers les Etats-Unis interviennent dans le cadre du fonctionnement de la plateforme publicitaire (acces par le personnel technique americain, services d’infrastructure, traitement des donnees publicitaires).

Mecanismes de transfert

LinkedIn (via Microsoft) s’appuie sur deux mecanismes :

  1. EU-US Data Privacy Framework (DPF). Microsoft Corporation est certifie au DPF. La decision d’adequation de la Commission europeenne du 10 juillet 2023 couvre ces transferts.

  2. Clauses contractuelles types (CCT). Le contrat LinkedIn integre les CCT 2021 comme mecanisme subsidiaire, en cas d’invalidation du DPF.

Elements de TIA

L’evaluation d’impact du transfert doit prendre en compte :

  • Cadre juridique americain : section 702 du FISA et Executive Order 12333, attenues par l’EO 14086 et le mecanisme de recours du DPF.
  • Nature des donnees : les donnees publicitaires LinkedIn sont principalement des donnees professionnelles (fonction, secteur), dont la sensibilite est generalement moderee. Cependant, les Matched Audiences peuvent inclure des adresses email personnelles.
  • Mesures supplementaires : chiffrement en transit et au repos, infrastructure Microsoft Azure avec certifications multiples, engagement contractuel de contestation des demandes gouvernementales excessives.
  • Specificite de la responsabilite conjointe : contrairement a une relation de sous-traitance ou vous gardez la maitrise, ici LinkedIn traite les donnees pour ses propres finalites. Vous avez un controle limite sur ce qui se passe apres la transmission des donnees a LinkedIn.

Cette derniere specificite est le point le plus delicat du transfert dans le contexte LinkedIn Ads : une fois vos donnees (listes Matched Audiences, donnees Insight Tag) transmises a LinkedIn, vous n’avez plus de controle effectif sur leur traitement par LinkedIn pour ses propres finalites.

Securite informatique

Infrastructure Microsoft

LinkedIn beneficie de l’infrastructure de securite de Microsoft, l’une des plus robustes du marche :

  • SOC 2 Type II : audit independant des controles de securite
  • ISO 27001 : certification du systeme de management de la securite de l’information
  • ISO 27018 : protection des donnees personnelles dans le cloud
  • Chiffrement en transit : TLS 1.2+
  • Chiffrement au repos : AES-256
  • Infrastructure Azure : centres de donnees certifies avec controles physiques, redondance et surveillance continue

Mesures specifiques a la plateforme publicitaire

  • Hachage des Matched Audiences : les listes d’emails televersees sont hachees (SHA-256) avant le matching, puis supprimees apres le processus de correspondance.
  • Taille minimale d’audience : LinkedIn impose un seuil de 300 membres pour l’affichage des rapports, empechant la reidentification individuelle.
  • Controles d’acces : les campagnes et les comptes sont isoles par organisation.

Limites

Contrairement a une relation de sous-traitance ou vous pouvez imposer des mesures de securite specifiques via le contrat (art. 28(3)©), la responsabilite conjointe signifie que vous dependez des mesures de securite decidees par LinkedIn. Vous ne pouvez pas exiger d’audit sur site, ni imposer un chiffrement supplementaire. C’est une asymetrie inherente a la relation avec les grandes plateformes publicitaires.

Configuration recommandee pour la conformite RGPD

  1. Archiver l’accord de responsabilite conjointe. Telechargez et conservez une copie de l’accord art. 26 de LinkedIn (Joint Controller Addendum). Integrez-le a votre dossier de conformite.

  2. Mettre a jour votre politique de confidentialite. Ajoutez une mention specifique sur la responsabilite conjointe avec LinkedIn pour les campagnes publicitaires, les categories de donnees partagees, et les droits des personnes. Renvoyez vers la politique de confidentialite de LinkedIn.

  3. Conditionner l’Insight Tag au consentement. Deployez l’Insight Tag via un gestionnaire de tags (Google Tag Manager ou equivalent) conditionne au signal de consentement positif de votre CMP pour la categorie “publicite”. Ne chargez jamais le script avant l’acceptation. Verifiez cette configuration regulierement. Consultez notre guide sur les cookies et le RGPD.

  4. Documenter la base legale des Matched Audiences. Si vous televersez des listes de contacts, documentez la base legale pour la transmission des donnees a LinkedIn (consentement ou interet legitime avec test de mise en balance). Le consentement est la base la plus securisante.

  5. Configurer les parametres de confidentialite du Campaign Manager. Activez les restrictions de traitement des donnees si disponibles. Excluez les categories sensibles de ciblage. Limitez les donnees collectees au strict necessaire.

  6. Documenter dans le registre. Ajoutez LinkedIn Ads a votre registre des traitements : finalite, base legale, categories de donnees, responsabilite conjointe, transferts hors UE, mesures de securite.

  7. Prevoir une strategie de sortie. Documentez la procedure de suppression de vos donnees (Matched Audiences, Insight Tag) en cas de cessation d’utilisation de LinkedIn Ads ou d’invalidation du DPF.

Points d’attention specifiques

L’arret CJUE Meta (C-252/21) et ses implications pour LinkedIn

L’arret de la CJUE du 4 juillet 2023 concernant Meta a statue que les plateformes de reseaux sociaux ne peuvent pas se fonder sur la “necessite contractuelle” (art. 6(1)(b)) pour le ciblage publicitaire comportemental. Bien que cet arret visait Meta, le raisonnement s’applique par analogie a LinkedIn. La CJUE a egalement encadre strictement le recours a l’interet legitime pour la publicite comportementale, exigeant une mise en balance rigoureuse et documentee.

Pour les annonceurs, cela signifie que la base legale du ciblage avance sur LinkedIn (au-dela du ciblage par criteres de profil de base) merite une analyse prudente, en particulier pour les audiences comportementales et le retargeting.

Matched Audiences et partage de donnees

Lorsque vous televersez une liste de contacts pour les Matched Audiences, vous effectuez un partage de donnees personnelles avec un responsable conjoint, et non une simple transmission a un sous-traitant. La distinction est fondamentale : vous ne pouvez pas vous appuyer sur un contrat de sous-traitance pour encadrer ce flux. Vous devez disposer d’une base legale pour le partage lui-meme, et votre politique de confidentialite doit informer les personnes de cette transmission.

Conversions API : meme qualification juridique

Le LinkedIn Conversions API (CAPI) permet de transmettre des evenements de conversion cote serveur, sans passer par un cookie. Du point de vue technique, c’est une alternative a l’Insight Tag. Du point de vue juridique, la qualification reste identique : vous partagez des donnees personnelles (email hache, evenements de conversion) avec LinkedIn en tant que responsable conjoint. Le CAPI ne dispense ni du consentement (si un identifiant personnel est transmis), ni de l’information des personnes.

Risque de requalification de la base legale

De nombreux annonceurs B2B utilisent LinkedIn Ads en invoquant l’interet legitime pour l’ensemble de leurs traitements publicitaires. Or, le perimetre de l’interet legitime est plus etroit qu’on ne le pense depuis l’arret C-252/21. Pour le ciblage comportemental, le retargeting et les Matched Audiences, le consentement est la base legale la plus securisante. Documentez votre analyse de base legale pour chaque type de campagne.

FAQ

LinkedIn est-il sous-traitant ou responsable conjoint pour la publicite ?

LinkedIn est un responsable conjoint (art. 26 RGPD) avec l’annonceur pour les campagnes LinkedIn Ads, et non un sous-traitant. C’est LinkedIn lui-meme qui reconnait cette qualification dans ses conditions. LinkedIn determine ses propres finalites de traitement (amelioration de la plateforme, optimisation publicitaire) et ses propres moyens (algorithme de diffusion, matching des profils). L’annonceur doit conclure un accord de responsabilite conjointe au sens de l’article 26, informer les personnes de cette responsabilite conjointe, et documenter sa propre analyse de base legale pour chaque type de campagne. C’est ce type d’evaluation que Legiscope permet d’automatiser.

L’Insight Tag necessite-t-il un consentement prealable ?

Oui. L’Insight Tag depose des cookies publicitaires sur le terminal de l’utilisateur. L’article 82 de la loi Informatique et Libertes et l’article 5(3) de la directive ePrivacy imposent le consentement prealable pour tout traceur non essentiel au fonctionnement du site. Le tag ne doit etre declenche qu’apres acceptation explicite via une CMP conforme. Consultez notre guide cookies et RGPD pour la mise en oeuvre technique.

Peut-on continuer a utiliser LinkedIn Ads apres une invalidation du DPF ?

En cas d’invalidation du Data Privacy Framework (“Schrems III”), les CCT integrees au contrat LinkedIn prendraient le relais comme mecanisme de transfert. Toutefois, la specificite de la responsabilite conjointe complique la situation : contrairement a un sous-traitant dont vous pouvez encadrer le traitement par instructions, LinkedIn traite les donnees pour ses propres finalites. Les mesures supplementaires que vous pouvez imposer sont limitees. Documentez votre TIA des maintenant et surveillez les evolutions du cadre juridique des transferts hors UE.

Comment auditer la conformite de sa configuration LinkedIn Ads ?

Verifiez les points suivants : (1) l’accord de responsabilite conjointe est archive dans votre dossier ; (2) votre politique de confidentialite mentionne la responsabilite conjointe avec LinkedIn ; (3) l’Insight Tag est conditionne au consentement dans votre CMP ; (4) les bases legales sont documentees pour chaque type de campagne ; (5) les Matched Audiences sont couvertes par une base legale valide et mentionnees dans le registre ; (6) la TIA est documentee pour les transferts hors UE. Consultez egalement nos analyses de Meta Ads et RGPD et Google Cloud et RGPD pour une vue comparative.

Automatisez votre conformite RGPD

Legiscope automatise votre audit, registre des traitements, AIPD et suivi des sous-traitants. Gagnez des semaines de travail.

Decouvrir Legiscope →

Articles lies

RGPD

Adobe Sign et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

Asana et RGPD : guide de conformite 2026

9 avril 2026 · 11 min
RGPD

AWS et RGPD : conformite cloud infrastructure

9 avril 2026 · 15 min