LinkedIn Insight Tag et RGPD : conformité B2B 2026
LinkedIn Insight Tag et RGPD : consentement obligatoire en B2B, matched audiences, co-responsabilité CJUE, données transmises et CMP conforme.
LinkedIn Insight Tag et RGPD : conformité B2B 2026
L’essentiel. Le LinkedIn Insight Tag est un traceur publicitaire soumis au consentement préalable, exactement comme les traceurs grand public. Le fait qu’il serve une stratégie B2B ne le fait pas échapper au RGPD : les personnes ciblées restent des personnes physiques identifiées ou identifiables. Vous êtes co-responsable de traitement avec LinkedIn pour la collecte sur votre site (jurisprudence Wirtschaftsakademie et Fashion ID). Le tag ne doit se déclencher qu’après consentement recueilli via une CMP conforme, et votre information doit nommer LinkedIn (groupe Microsoft), décrire les données transmises et l’existence de la co-responsabilité.
Dans ma pratique de conseil auprès d’entreprises B2B — éditeurs de logiciels, cabinets, sociétés de services — le LinkedIn Insight Tag est presque systématiquement présent, et presque systématiquement mal encadré. La croyance dominante des équipes marketing est que « le B2B, ce n’est pas de la donnée personnelle », donc que le RGPD ne s’appliquerait pas. C’est une erreur d’analyse lourde de conséquences. Le décideur que vous reciblez sur LinkedIn est une personne physique : son adresse professionnelle, son poste, son entreprise, son comportement de navigation sont des données personnelles. Le LinkedIn Insight Tag traite donc des données personnelles, et toutes les obligations du RGPD et de la directive ePrivacy s’appliquent.
Cet article détaille le régime applicable : la nature du traceur et les données transmises, les fonctionnalités matched audiences et conversion tracking, le régime du consentement en contexte B2B, la co-responsabilité avec LinkedIn, et la configuration d’une chaîne de collecte conforme.
Ce qu’est le LinkedIn Insight Tag
Fonctionnement technique
Le LinkedIn Insight Tag est un fragment de code JavaScript (le Insight Tag ou balise de suivi) inséré sur les pages d’un site web. Lorsqu’il se déclenche, il dépose des cookies (notamment li_sugr, bcookie, lidc, UserMatchHistory) et transmet à LinkedIn des informations sur la visite. LinkedIn — filiale du groupe Microsoft — exploite ces données pour trois usages principaux : le suivi des conversions publicitaires (conversion tracking), le reciblage des visiteurs sur la plateforme LinkedIn (retargeting B2B), et la constitution d’audiences (matched audiences et audiences similaires).
Les données transmises à LinkedIn
| Donnée transmise | Nature | Caractère personnel |
|---|---|---|
| Adresse IP | Automatique | Donnée personnelle |
| Identifiants cookies LinkedIn | Automatique | Identifiants en ligne, données personnelles |
| URL de la page visitée | Automatique | Peut révéler l’intérêt professionnel |
| Horodatage et référent | Automatique | Donnée personnelle |
| Caractéristiques du terminal / navigateur | Automatique | Contribue au fingerprinting |
| Évènements de conversion | Configuré | Comportement du prospect |
| Attributs professionnels (via corrélation LinkedIn) | Dérivé | Poste, secteur, entreprise |
La particularité de LinkedIn tient à sa capacité de corrélation : lorsque le visiteur est connecté à son compte LinkedIn, la plateforme peut rattacher la visite à un profil professionnel identifié et enrichir le ciblage avec des attributs (fonction, taille d’entreprise, secteur). C’est précisément ce qui fait la valeur marketing de l’outil — et son intensité en matière de traitement de données personnelles.
Le mythe du « B2B hors RGPD »
Pourquoi le B2B relève pleinement du RGPD
Le RGPD ne distingue pas selon que le traitement vise un particulier ou un professionnel. Son champ d’application, défini à l’article 2 et à l’article 4(1), couvre toute information se rapportant à une personne physique identifiée ou identifiable. Un directeur des achats, un DSI, un dirigeant de PME sont des personnes physiques. Leurs adresses email professionnelles nominatives (prenom.nom@entreprise.fr), leur navigation, leur poste sont des données personnelles. Le LinkedIn Insight Tag traite donc des données personnelles, sans exception liée au caractère professionnel de la cible.
La seule spécificité B2B reconnue en droit français concerne la prospection commerciale par email : la CNIL admet, pour l’envoi de messages à une adresse professionnelle nominative, un régime d’information et d’opposition (opt-out) au lieu du consentement préalable, à condition que la sollicitation soit en rapport avec la profession de la personne. Mais cette souplesse concerne l’envoi de courriels — elle ne s’étend pas aux traceurs publicitaires. Pour les cookies et pixels, le régime est identique en B2B et en B2C : consentement préalable de l’article 82 de la loi Informatique et Libertés.
La distinction entre prospection email et traçage
Cette confusion est source de nombreux manquements. Le tableau suivant clarifie :
| Traitement B2B | Régime applicable | Base |
|---|---|---|
| Email de prospection à une adresse professionnelle nominative | Information + droit d’opposition (opt-out) | Doctrine CNIL prospection B2B |
| Dépôt d’un cookie / déclenchement de l’Insight Tag | Consentement préalable | Art. 82 LIL / art. 5.3 ePrivacy |
| Constitution d’audiences de reciblage | Consentement + base légale RGPD | Art. 6(1)(a) RGPD |
Pour approfondir la logique opt-in/opt-out, consultez notre guide opt-in / opt-out RGPD. La règle à retenir : un traceur publicitaire exige toujours le consentement, quel que soit le public visé.
Cadre légal du consentement
L’article 82 de la loi Informatique et Libertés
Comme tout traceur publicitaire, le LinkedIn Insight Tag relève de l’article 82 de la loi Informatique et Libertés, transposant l’article 5.3 de la directive ePrivacy (directive 2002/58/CE). Le consentement préalable est obligatoire, et aucune exception ne s’applique : ni la mesure d’audience anonyme, ni la nécessité technique. Le tag poursuit une finalité publicitaire et de reciblage qui suppose le recueil du consentement.
Ce consentement doit être libre, spécifique, éclairé et univoque (article 4(11) et article 7 du RGPD). La simple poursuite de la navigation, une case pré-cochée ou un bandeau déséquilibré (accepter en un clic, refuser en trois) ne constituent pas un consentement valable. La CNIL applique ces exigences aux traceurs de réseaux sociaux professionnels comme aux autres.
La base légale RGPD du traitement
Le consentement ePrivacy autorise le dépôt du traceur ; le traitement des données qui en résulte doit reposer sur une base légale RGPD. Pour un traceur publicitaire, cette base est le consentement (article 6(1)(a)). L’intérêt légitime ne peut être invoqué pour un traçage publicitaire intrusif : le test de mise en balance ne saurait faire prévaloir l’intérêt commercial de l’annonceur sur les droits et libertés de la personne suivie à travers plusieurs sites et plateformes.
Transferts hors Union européenne
LinkedIn appartient au groupe Microsoft et traite des données aux États-Unis. Les transferts sont encadrés par le Data Privacy Framework (décision d’adéquation de la Commission européenne de juillet 2023), auquel Microsoft est certifié selon la documentation consultée en juillet 2026. Ce point doit figurer dans votre registre des activités de traitement et dans votre information. La solidité juridique de ce cadre restant susceptible de contestation devant les juridictions européennes, il convient d’en assurer une veille.
La co-responsabilité avec LinkedIn
La jurisprudence Wirtschaftsakademie et Fashion ID
Deux arrêts de la Cour de justice de l’Union européenne fondent la co-responsabilité. Dans l’arrêt Wirtschaftsakademie Schleswig-Holstein (CJUE, 5 juin 2018, affaire C-210/16), la Cour a jugé que l’administrateur d’une page « fan » hébergée sur Facebook est co-responsable de traitement avec la plateforme, parce qu’il contribue à déterminer les finalités et les moyens du traitement des données des visiteurs. Dans l’arrêt Fashion ID (CJUE, 29 juillet 2019, affaire C-40/17), la Cour a étendu ce raisonnement à l’exploitant d’un site intégrant un module social tiers, co-responsable pour la phase de collecte et de transmission des données.
Ces deux décisions s’appliquent directement au LinkedIn Insight Tag. En l’installant, vous déterminez conjointement avec LinkedIn les moyens et une partie des finalités de la collecte réalisée sur votre site. Vous êtes donc co-responsable de traitement pour cette phase.
Les obligations qui en découlent
L’article 26 du RGPD impose aux responsables conjoints un accord définissant leurs obligations respectives. LinkedIn met à disposition un addendum de responsabilité conjointe. La co-responsabilité entraîne pour vous :
- Une information transparente : nommer LinkedIn (LinkedIn Ireland Unlimited Company, groupe Microsoft), décrire les données transmises, les finalités et la co-responsabilité dans votre politique de confidentialité.
- Le recueil valable du consentement : en tant qu’éditeur, vous recueillez le consentement pour la relation conjointe.
- Une exposition directe au risque : un prospect peut exercer ses droits auprès de vous, et la CNIL peut vous sanctionner pour la collecte non conforme, indépendamment de LinkedIn.
Vous ne pouvez donc pas vous décharger sur LinkedIn : l’éditeur reste responsable de la phase de collecte qu’il maîtrise.
Matched Audiences et conversion tracking
Le fonctionnement des matched audiences
Les matched audiences de LinkedIn permettent de cibler des audiences selon trois modalités : le reciblage des visiteurs du site (via l’Insight Tag), l’importation de listes de contacts (emails ou identifiants d’entreprise), et le ciblage de comptes (account targeting). Chacune de ces modalités emporte un traitement de données personnelles distinct :
- Le reciblage par l’Insight Tag suppose le consentement aux cookies.
- L’import de listes de contacts suppose une base légale pour la constitution et le partage de la liste — en pratique, le consentement des personnes ou une information et un droit d’opposition compatibles avec la finalité publicitaire, ce qui est délicat lorsque les emails ont été collectés pour un autre objet (principe de finalité).
- Le ciblage de comptes vise des entreprises, mais la diffusion touche in fine des personnes physiques.
L’import de fichiers de contacts vers LinkedIn est le point le plus risqué : réutiliser une base collectée pour la gestion commerciale afin d’alimenter un ciblage publicitaire constitue un traitement ultérieur qui doit être compatible avec la finalité initiale, ou reposer sur une base légale propre. Sans cela, le transfert est illicite.
Le conversion tracking
Le suivi de conversion mesure les actions réalisées sur votre site après un clic publicitaire (téléchargement d’un livre blanc, demande de démonstration, inscription). Il repose sur l’Insight Tag et sur des évènements configurés. Il est donc soumis au consentement au même titre que le reciblage. La tentation de conditionner l’accès à un livre blanc au traçage publicitaire (échange contenu contre données) doit être maniée avec prudence : le consentement doit rester libre, ce que la CNIL apprécie strictement.
Configuration conforme
Bloquer le tag avant consentement
Le principe est identique à celui de tout traceur : aucune requête vers LinkedIn avant le consentement. Le déploiement via Google Tag Manager est fréquent ; la balise Insight Tag doit être associée à un déclencheur conditionnel vérifiant le signal de consentement transmis par la CMP. Le déclenchement sur simple « Page View » sans condition de consentement est le manquement le plus courant.
Le rôle de la CMP
La Consent Management Platform recueille, stocke et transmet le choix de l’internaute, et permet le retrait. Sa configuration est détaillée dans notre guide sur les CMP et la gestion du consentement. Une CMP conforme suppose un choix symétrique (refuser aussi simple qu’accepter), l’absence de cases pré-cochées et le blocage effectif des traceurs avant acceptation. Le bandeau doit également permettre le retrait du consentement à tout moment, aussi facilement qu’il a été donné (article 7.3 du RGPD).
Server-side et Conversions API LinkedIn
À l’instar de Meta, LinkedIn propose une API de conversion (LinkedIn Conversions API) transmettant les évènements de serveur à serveur, dans une logique de tracking côté serveur. Comme pour tout dispositif serveur, déplacer la collecte ne supprime pas l’obligation de consentement : si les données transmises identifient une personne et proviennent, directement ou indirectement, d’informations lues dans son terminal, le RGPD et l’article 82 LIL s’appliquent. L’API de conversion ne peut être alimentée qu’après recueil du consentement.
Erreurs fréquentes et sanctions
| Manquement | Risque | Correction |
|---|---|---|
| Insight Tag déclenché sans consentement (« c’est du B2B ») | Sanction CNIL, exercice de droits | Déclencheur conditionnel lié à la CMP |
| Import de fichier contacts sans base légale compatible | Traitement ultérieur incompatible | Vérifier finalité et base légale |
| Absence de mention de LinkedIn dans la politique de confidentialité | Défaut d’information (art. 13 RGPD) | Nommer LinkedIn/Microsoft, données, finalités |
| Conversions API alimentée sans consentement | Traitement sans base légale | Conditionner l’API au consentement |
| Absence d’accord de co-responsabilité | Manquement à l’art. 26 RGPD | Formaliser l’addendum LinkedIn |
| Retrait du consentement non pris en compte | Manquement à l’art. 7.3 RGPD | Suppression effective des traceurs au retrait |
L’exposition financière est identique à celle des autres traceurs. Les manquements à l’article 82 LIL relèvent du pouvoir répressif national de la CNIL, avec des amendes pouvant atteindre plusieurs dizaines de millions d’euros pour les grands acteurs. Les manquements RGPD (information, base légale, transferts) relèvent de l’article 83, avec un plafond de 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Notre guide sur les sanctions RGPD détaille la méthode de calcul de la CNIL.
Cartographier les traceurs déployés, documenter la co-responsabilité, tenir à jour le registre et suivre les sous-traitants et co-responsables devient vite ingérable manuellement dès qu’on multiplie les canaux ; un logiciel RGPD permet d’industrialiser l’inventaire des traitements et la production de la documentation de conformité.
Comparaison avec le Pixel Meta
Le LinkedIn Insight Tag et le Pixel Meta obéissent au même régime juridique : consentement préalable, co-responsabilité fondée sur Fashion ID et Wirtschaftsakademie, information transparente, encadrement des transferts. La différence tient au positionnement (B2B professionnel pour LinkedIn, grand public pour Meta) et à la nature des attributs corrélés (fonction et secteur professionnels côté LinkedIn). Une entreprise qui déploie les deux doit appliquer une chaîne de consentement unique et cohérente, pilotée par une seule CMP.
FAQ
Le LinkedIn Insight Tag échappe-t-il au RGPD parce qu’il est B2B ?
Non. Le RGPD s’applique à toute donnée se rapportant à une personne physique identifiée ou identifiable, sans distinction entre contexte professionnel et personnel. Les décideurs ciblés en B2B sont des personnes physiques dont l’adresse professionnelle nominative, le poste et la navigation sont des données personnelles. La souplesse B2B reconnue par la CNIL concerne uniquement la prospection par email (information et opposition), pas les traceurs publicitaires. Pour l’Insight Tag, le consentement préalable de l’article 82 LIL est obligatoire, comme pour n’importe quel cookie publicitaire.
Faut-il un consentement même pour le simple suivi de conversion ?
Oui. Le suivi de conversion repose sur le dépôt de cookies et la transmission de données à LinkedIn. Il poursuit une finalité publicitaire et n’entre dans aucune exception de consentement. Il doit donc être conditionné au recueil du consentement via la CMP, au même titre que le reciblage. Mesurer les conversions issues de campagnes LinkedIn sans consentement expose à une sanction de la CNIL et à une responsabilité au titre de la co-responsabilité de traitement.
Puis-je importer mon fichier de prospects dans LinkedIn pour du ciblage ?
C’est le point le plus délicat. Importer une liste de contacts collectée pour la gestion commerciale afin de l’utiliser en ciblage publicitaire constitue un traitement ultérieur qui doit être compatible avec la finalité initiale (principe de finalité) ou reposer sur une base légale propre. En pratique, une base collectée pour la relation client ne peut pas être réutilisée telle quelle pour un ciblage publicitaire sur LinkedIn sans information adéquate et sans respect du droit d’opposition. Cette réutilisation doit être analysée au cas par cas avant tout import.
Qui est responsable en cas de contrôle : moi ou LinkedIn ?
Les deux, pour des opérations distinctes. En application des arrêts Wirtschaftsakademie et Fashion ID, vous êtes co-responsable avec LinkedIn pour la phase de collecte et de transmission sur votre site. C’est vous qui recueillez le consentement et informez les visiteurs. La CNIL peut vous sanctionner pour un tag déclenché sans consentement, indépendamment de la responsabilité de LinkedIn pour ses propres traitements ultérieurs. Vous ne pouvez pas vous exonérer en renvoyant la responsabilité à LinkedIn pour la phase que vous maîtrisez.
Dois-je citer LinkedIn dans ma politique de confidentialité ?
Oui, au titre des articles 13 et 26 du RGPD. Votre politique de confidentialité doit nommer LinkedIn Ireland Unlimited Company (groupe Microsoft), décrire les catégories de données transmises (identifiants de navigation, adresse IP, évènements de conversion), les finalités (mesure publicitaire, reciblage, audiences), l’existence d’une co-responsabilité de traitement et les transferts hors Union européenne avec leur cadre juridique. Un renvoi vers la politique de confidentialité de LinkedIn complète cette information sans s’y substituer.
Comment vérifier que l’Insight Tag ne se déclenche pas avant consentement ?
Utilisez les outils de développement du navigateur : l’onglet « Réseau » signale toute requête vers linkedin.com, licdn.com ou px.ads.linkedin.com avant l’acceptation du bandeau. L’onglet « Application > Cookies » révèle le dépôt des cookies LinkedIn (li_sugr, bcookie, UserMatchHistory). Testez trois scénarios : refus total (aucune requête vers LinkedIn), acceptation partielle et acceptation totale. Vérifiez également qu’un retrait du consentement suspend effectivement le tag et supprime les cookies. Renouvelez ces tests après chaque modification de la CMP ou du gestionnaire de balises.