Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Samedi 11 juillet 2026
Marketing Digital

LinkedIn Insight Tag et RGPD : conformité B2B 2026

LinkedIn Insight Tag et RGPD : consentement obligatoire en B2B, matched audiences, co-responsabilité CJUE, données transmises et CMP conforme.

LinkedIn Insight Tag et RGPD : conformité B2B 2026

L’essentiel. Le LinkedIn Insight Tag est un traceur publicitaire soumis au consentement préalable, exactement comme les traceurs grand public. Le fait qu’il serve une stratégie B2B ne le fait pas échapper au RGPD : les personnes ciblées restent des personnes physiques identifiées ou identifiables. Vous êtes co-responsable de traitement avec LinkedIn pour la collecte sur votre site (jurisprudence Wirtschaftsakademie et Fashion ID). Le tag ne doit se déclencher qu’après consentement recueilli via une CMP conforme, et votre information doit nommer LinkedIn (groupe Microsoft), décrire les données transmises et l’existence de la co-responsabilité.

Dans ma pratique de conseil auprès d’entreprises B2B — éditeurs de logiciels, cabinets, sociétés de services — le LinkedIn Insight Tag est presque systématiquement présent, et presque systématiquement mal encadré. La croyance dominante des équipes marketing est que « le B2B, ce n’est pas de la donnée personnelle », donc que le RGPD ne s’appliquerait pas. C’est une erreur d’analyse lourde de conséquences. Le décideur que vous reciblez sur LinkedIn est une personne physique : son adresse professionnelle, son poste, son entreprise, son comportement de navigation sont des données personnelles. Le LinkedIn Insight Tag traite donc des données personnelles, et toutes les obligations du RGPD et de la directive ePrivacy s’appliquent.

Cet article détaille le régime applicable : la nature du traceur et les données transmises, les fonctionnalités matched audiences et conversion tracking, le régime du consentement en contexte B2B, la co-responsabilité avec LinkedIn, et la configuration d’une chaîne de collecte conforme.

Ce qu’est le LinkedIn Insight Tag

Fonctionnement technique

Le LinkedIn Insight Tag est un fragment de code JavaScript (le Insight Tag ou balise de suivi) inséré sur les pages d’un site web. Lorsqu’il se déclenche, il dépose des cookies (notamment li_sugr, bcookie, lidc, UserMatchHistory) et transmet à LinkedIn des informations sur la visite. LinkedIn — filiale du groupe Microsoft — exploite ces données pour trois usages principaux : le suivi des conversions publicitaires (conversion tracking), le reciblage des visiteurs sur la plateforme LinkedIn (retargeting B2B), et la constitution d’audiences (matched audiences et audiences similaires).

Les données transmises à LinkedIn

Donnée transmise Nature Caractère personnel
Adresse IP Automatique Donnée personnelle
Identifiants cookies LinkedIn Automatique Identifiants en ligne, données personnelles
URL de la page visitée Automatique Peut révéler l’intérêt professionnel
Horodatage et référent Automatique Donnée personnelle
Caractéristiques du terminal / navigateur Automatique Contribue au fingerprinting
Évènements de conversion Configuré Comportement du prospect
Attributs professionnels (via corrélation LinkedIn) Dérivé Poste, secteur, entreprise

La particularité de LinkedIn tient à sa capacité de corrélation : lorsque le visiteur est connecté à son compte LinkedIn, la plateforme peut rattacher la visite à un profil professionnel identifié et enrichir le ciblage avec des attributs (fonction, taille d’entreprise, secteur). C’est précisément ce qui fait la valeur marketing de l’outil — et son intensité en matière de traitement de données personnelles.

Le mythe du « B2B hors RGPD »

Pourquoi le B2B relève pleinement du RGPD

Le RGPD ne distingue pas selon que le traitement vise un particulier ou un professionnel. Son champ d’application, défini à l’article 2 et à l’article 4(1), couvre toute information se rapportant à une personne physique identifiée ou identifiable. Un directeur des achats, un DSI, un dirigeant de PME sont des personnes physiques. Leurs adresses email professionnelles nominatives (prenom.nom@entreprise.fr), leur navigation, leur poste sont des données personnelles. Le LinkedIn Insight Tag traite donc des données personnelles, sans exception liée au caractère professionnel de la cible.

La seule spécificité B2B reconnue en droit français concerne la prospection commerciale par email : la CNIL admet, pour l’envoi de messages à une adresse professionnelle nominative, un régime d’information et d’opposition (opt-out) au lieu du consentement préalable, à condition que la sollicitation soit en rapport avec la profession de la personne. Mais cette souplesse concerne l’envoi de courriels — elle ne s’étend pas aux traceurs publicitaires. Pour les cookies et pixels, le régime est identique en B2B et en B2C : consentement préalable de l’article 82 de la loi Informatique et Libertés.

La distinction entre prospection email et traçage

Cette confusion est source de nombreux manquements. Le tableau suivant clarifie :

Traitement B2B Régime applicable Base
Email de prospection à une adresse professionnelle nominative Information + droit d’opposition (opt-out) Doctrine CNIL prospection B2B
Dépôt d’un cookie / déclenchement de l’Insight Tag Consentement préalable Art. 82 LIL / art. 5.3 ePrivacy
Constitution d’audiences de reciblage Consentement + base légale RGPD Art. 6(1)(a) RGPD

Pour approfondir la logique opt-in/opt-out, consultez notre guide opt-in / opt-out RGPD. La règle à retenir : un traceur publicitaire exige toujours le consentement, quel que soit le public visé.

Cadre légal du consentement

L’article 82 de la loi Informatique et Libertés

Comme tout traceur publicitaire, le LinkedIn Insight Tag relève de l’article 82 de la loi Informatique et Libertés, transposant l’article 5.3 de la directive ePrivacy (directive 2002/58/CE). Le consentement préalable est obligatoire, et aucune exception ne s’applique : ni la mesure d’audience anonyme, ni la nécessité technique. Le tag poursuit une finalité publicitaire et de reciblage qui suppose le recueil du consentement.

Ce consentement doit être libre, spécifique, éclairé et univoque (article 4(11) et article 7 du RGPD). La simple poursuite de la navigation, une case pré-cochée ou un bandeau déséquilibré (accepter en un clic, refuser en trois) ne constituent pas un consentement valable. La CNIL applique ces exigences aux traceurs de réseaux sociaux professionnels comme aux autres.

La base légale RGPD du traitement

Le consentement ePrivacy autorise le dépôt du traceur ; le traitement des données qui en résulte doit reposer sur une base légale RGPD. Pour un traceur publicitaire, cette base est le consentement (article 6(1)(a)). L’intérêt légitime ne peut être invoqué pour un traçage publicitaire intrusif : le test de mise en balance ne saurait faire prévaloir l’intérêt commercial de l’annonceur sur les droits et libertés de la personne suivie à travers plusieurs sites et plateformes.

Transferts hors Union européenne

LinkedIn appartient au groupe Microsoft et traite des données aux États-Unis. Les transferts sont encadrés par le Data Privacy Framework (décision d’adéquation de la Commission européenne de juillet 2023), auquel Microsoft est certifié selon la documentation consultée en juillet 2026. Ce point doit figurer dans votre registre des activités de traitement et dans votre information. La solidité juridique de ce cadre restant susceptible de contestation devant les juridictions européennes, il convient d’en assurer une veille.

La co-responsabilité avec LinkedIn

La jurisprudence Wirtschaftsakademie et Fashion ID

Deux arrêts de la Cour de justice de l’Union européenne fondent la co-responsabilité. Dans l’arrêt Wirtschaftsakademie Schleswig-Holstein (CJUE, 5 juin 2018, affaire C-210/16), la Cour a jugé que l’administrateur d’une page « fan » hébergée sur Facebook est co-responsable de traitement avec la plateforme, parce qu’il contribue à déterminer les finalités et les moyens du traitement des données des visiteurs. Dans l’arrêt Fashion ID (CJUE, 29 juillet 2019, affaire C-40/17), la Cour a étendu ce raisonnement à l’exploitant d’un site intégrant un module social tiers, co-responsable pour la phase de collecte et de transmission des données.

Ces deux décisions s’appliquent directement au LinkedIn Insight Tag. En l’installant, vous déterminez conjointement avec LinkedIn les moyens et une partie des finalités de la collecte réalisée sur votre site. Vous êtes donc co-responsable de traitement pour cette phase.

Les obligations qui en découlent

L’article 26 du RGPD impose aux responsables conjoints un accord définissant leurs obligations respectives. LinkedIn met à disposition un addendum de responsabilité conjointe. La co-responsabilité entraîne pour vous :

  • Une information transparente : nommer LinkedIn (LinkedIn Ireland Unlimited Company, groupe Microsoft), décrire les données transmises, les finalités et la co-responsabilité dans votre politique de confidentialité.
  • Le recueil valable du consentement : en tant qu’éditeur, vous recueillez le consentement pour la relation conjointe.
  • Une exposition directe au risque : un prospect peut exercer ses droits auprès de vous, et la CNIL peut vous sanctionner pour la collecte non conforme, indépendamment de LinkedIn.

Vous ne pouvez donc pas vous décharger sur LinkedIn : l’éditeur reste responsable de la phase de collecte qu’il maîtrise.

Matched Audiences et conversion tracking

Le fonctionnement des matched audiences

Les matched audiences de LinkedIn permettent de cibler des audiences selon trois modalités : le reciblage des visiteurs du site (via l’Insight Tag), l’importation de listes de contacts (emails ou identifiants d’entreprise), et le ciblage de comptes (account targeting). Chacune de ces modalités emporte un traitement de données personnelles distinct :

  • Le reciblage par l’Insight Tag suppose le consentement aux cookies.
  • L’import de listes de contacts suppose une base légale pour la constitution et le partage de la liste — en pratique, le consentement des personnes ou une information et un droit d’opposition compatibles avec la finalité publicitaire, ce qui est délicat lorsque les emails ont été collectés pour un autre objet (principe de finalité).
  • Le ciblage de comptes vise des entreprises, mais la diffusion touche in fine des personnes physiques.

L’import de fichiers de contacts vers LinkedIn est le point le plus risqué : réutiliser une base collectée pour la gestion commerciale afin d’alimenter un ciblage publicitaire constitue un traitement ultérieur qui doit être compatible avec la finalité initiale, ou reposer sur une base légale propre. Sans cela, le transfert est illicite.

Le conversion tracking

Le suivi de conversion mesure les actions réalisées sur votre site après un clic publicitaire (téléchargement d’un livre blanc, demande de démonstration, inscription). Il repose sur l’Insight Tag et sur des évènements configurés. Il est donc soumis au consentement au même titre que le reciblage. La tentation de conditionner l’accès à un livre blanc au traçage publicitaire (échange contenu contre données) doit être maniée avec prudence : le consentement doit rester libre, ce que la CNIL apprécie strictement.

Configuration conforme

Bloquer le tag avant consentement

Le principe est identique à celui de tout traceur : aucune requête vers LinkedIn avant le consentement. Le déploiement via Google Tag Manager est fréquent ; la balise Insight Tag doit être associée à un déclencheur conditionnel vérifiant le signal de consentement transmis par la CMP. Le déclenchement sur simple « Page View » sans condition de consentement est le manquement le plus courant.

Le rôle de la CMP

La Consent Management Platform recueille, stocke et transmet le choix de l’internaute, et permet le retrait. Sa configuration est détaillée dans notre guide sur les CMP et la gestion du consentement. Une CMP conforme suppose un choix symétrique (refuser aussi simple qu’accepter), l’absence de cases pré-cochées et le blocage effectif des traceurs avant acceptation. Le bandeau doit également permettre le retrait du consentement à tout moment, aussi facilement qu’il a été donné (article 7.3 du RGPD).

Server-side et Conversions API LinkedIn

À l’instar de Meta, LinkedIn propose une API de conversion (LinkedIn Conversions API) transmettant les évènements de serveur à serveur, dans une logique de tracking côté serveur. Comme pour tout dispositif serveur, déplacer la collecte ne supprime pas l’obligation de consentement : si les données transmises identifient une personne et proviennent, directement ou indirectement, d’informations lues dans son terminal, le RGPD et l’article 82 LIL s’appliquent. L’API de conversion ne peut être alimentée qu’après recueil du consentement.

Erreurs fréquentes et sanctions

Manquement Risque Correction
Insight Tag déclenché sans consentement (« c’est du B2B ») Sanction CNIL, exercice de droits Déclencheur conditionnel lié à la CMP
Import de fichier contacts sans base légale compatible Traitement ultérieur incompatible Vérifier finalité et base légale
Absence de mention de LinkedIn dans la politique de confidentialité Défaut d’information (art. 13 RGPD) Nommer LinkedIn/Microsoft, données, finalités
Conversions API alimentée sans consentement Traitement sans base légale Conditionner l’API au consentement
Absence d’accord de co-responsabilité Manquement à l’art. 26 RGPD Formaliser l’addendum LinkedIn
Retrait du consentement non pris en compte Manquement à l’art. 7.3 RGPD Suppression effective des traceurs au retrait

L’exposition financière est identique à celle des autres traceurs. Les manquements à l’article 82 LIL relèvent du pouvoir répressif national de la CNIL, avec des amendes pouvant atteindre plusieurs dizaines de millions d’euros pour les grands acteurs. Les manquements RGPD (information, base légale, transferts) relèvent de l’article 83, avec un plafond de 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Notre guide sur les sanctions RGPD détaille la méthode de calcul de la CNIL.

Cartographier les traceurs déployés, documenter la co-responsabilité, tenir à jour le registre et suivre les sous-traitants et co-responsables devient vite ingérable manuellement dès qu’on multiplie les canaux ; un logiciel RGPD permet d’industrialiser l’inventaire des traitements et la production de la documentation de conformité.

Comparaison avec le Pixel Meta

Le LinkedIn Insight Tag et le Pixel Meta obéissent au même régime juridique : consentement préalable, co-responsabilité fondée sur Fashion ID et Wirtschaftsakademie, information transparente, encadrement des transferts. La différence tient au positionnement (B2B professionnel pour LinkedIn, grand public pour Meta) et à la nature des attributs corrélés (fonction et secteur professionnels côté LinkedIn). Une entreprise qui déploie les deux doit appliquer une chaîne de consentement unique et cohérente, pilotée par une seule CMP.

FAQ

Le LinkedIn Insight Tag échappe-t-il au RGPD parce qu’il est B2B ?

Non. Le RGPD s’applique à toute donnée se rapportant à une personne physique identifiée ou identifiable, sans distinction entre contexte professionnel et personnel. Les décideurs ciblés en B2B sont des personnes physiques dont l’adresse professionnelle nominative, le poste et la navigation sont des données personnelles. La souplesse B2B reconnue par la CNIL concerne uniquement la prospection par email (information et opposition), pas les traceurs publicitaires. Pour l’Insight Tag, le consentement préalable de l’article 82 LIL est obligatoire, comme pour n’importe quel cookie publicitaire.

Faut-il un consentement même pour le simple suivi de conversion ?

Oui. Le suivi de conversion repose sur le dépôt de cookies et la transmission de données à LinkedIn. Il poursuit une finalité publicitaire et n’entre dans aucune exception de consentement. Il doit donc être conditionné au recueil du consentement via la CMP, au même titre que le reciblage. Mesurer les conversions issues de campagnes LinkedIn sans consentement expose à une sanction de la CNIL et à une responsabilité au titre de la co-responsabilité de traitement.

Puis-je importer mon fichier de prospects dans LinkedIn pour du ciblage ?

C’est le point le plus délicat. Importer une liste de contacts collectée pour la gestion commerciale afin de l’utiliser en ciblage publicitaire constitue un traitement ultérieur qui doit être compatible avec la finalité initiale (principe de finalité) ou reposer sur une base légale propre. En pratique, une base collectée pour la relation client ne peut pas être réutilisée telle quelle pour un ciblage publicitaire sur LinkedIn sans information adéquate et sans respect du droit d’opposition. Cette réutilisation doit être analysée au cas par cas avant tout import.

Qui est responsable en cas de contrôle : moi ou LinkedIn ?

Les deux, pour des opérations distinctes. En application des arrêts Wirtschaftsakademie et Fashion ID, vous êtes co-responsable avec LinkedIn pour la phase de collecte et de transmission sur votre site. C’est vous qui recueillez le consentement et informez les visiteurs. La CNIL peut vous sanctionner pour un tag déclenché sans consentement, indépendamment de la responsabilité de LinkedIn pour ses propres traitements ultérieurs. Vous ne pouvez pas vous exonérer en renvoyant la responsabilité à LinkedIn pour la phase que vous maîtrisez.

Dois-je citer LinkedIn dans ma politique de confidentialité ?

Oui, au titre des articles 13 et 26 du RGPD. Votre politique de confidentialité doit nommer LinkedIn Ireland Unlimited Company (groupe Microsoft), décrire les catégories de données transmises (identifiants de navigation, adresse IP, évènements de conversion), les finalités (mesure publicitaire, reciblage, audiences), l’existence d’une co-responsabilité de traitement et les transferts hors Union européenne avec leur cadre juridique. Un renvoi vers la politique de confidentialité de LinkedIn complète cette information sans s’y substituer.

Comment vérifier que l’Insight Tag ne se déclenche pas avant consentement ?

Utilisez les outils de développement du navigateur : l’onglet « Réseau » signale toute requête vers linkedin.com, licdn.com ou px.ads.linkedin.com avant l’acceptation du bandeau. L’onglet « Application > Cookies » révèle le dépôt des cookies LinkedIn (li_sugr, bcookie, UserMatchHistory). Testez trois scénarios : refus total (aucune requête vers LinkedIn), acceptation partielle et acceptation totale. Vérifiez également qu’un retrait du consentement suspend effectivement le tag et supprime les cookies. Renouvelez ces tests après chaque modification de la CMP ou du gestionnaire de balises.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →