Retargeting et RGPD : regles pour le reciblage publicitaire

Le retargeting (ou reciblage publicitaire) consiste a diffuser des publicites ciblees a des utilisateurs ayant deja visite un site web ou interagi avec un contenu, afin de les inciter a revenir et a convertir. Cette technique repose integralement sur le suivi du comportement de navigation des internautes, via des cookies, des pixels de suivi ou des identifiants publicitaires. Elle se situe au coeur des tensions entre l’efficacite marketing et la protection des donnees personnelles. Le RGPD et la directive ePrivacy imposent un cadre strict que tout annonceur utilisant le retargeting doit maitriser.

Fonctionnement technique du retargeting

Le retargeting par cookies tiers

Le modele historique du retargeting repose sur les cookies tiers. Lorsqu’un utilisateur visite un site e-commerce, un pixel de suivi (Facebook Pixel, Google Ads remarketing tag, Criteo loader) depose un cookie tiers sur le terminal de l’utilisateur. Ce cookie contient un identifiant unique qui permet de reconnaitre l’utilisateur lorsqu’il navigue sur d’autres sites integrant des encarts publicitaires du meme reseau. Le systeme publicitaire associe l’identifiant du cookie aux pages visitees sur le site d’origine et diffuse des publicites personnalisees en consequence.

Ce modele est en declin en raison de la disparition des cookies tiers dans les navigateurs (blocage par defaut dans Safari et Firefox, restriction progressive dans Chrome) et des exigences de consentement de plus en plus strictes. Les taux de consentement pour les cookies publicitaires variant entre 30 % et 60 % selon les secteurs, la portee du retargeting par cookies tiers s’est considerablement reduite.

Le retargeting par audiences personnalisees

Les plateformes publicitaires proposent des mecanismes de retargeting bases sur des listes de contacts. L’annonceur telecharge une liste d’adresses email ou de numeros de telephone vers la plateforme (Facebook Custom Audiences, Google Customer Match, LinkedIn Matched Audiences), qui les fait correspondre avec les comptes de ses utilisateurs. Les publicites sont ensuite diffusees aux utilisateurs identifies.

Ce mecanisme ne repose pas sur des cookies tiers mais implique le partage de donnees personnelles avec la plateforme publicitaire, ce qui souleve des questions specifiques de base legale et de transfert. Pour les enjeux propres a LinkedIn Ads et au RGPD, consultez notre analyse dediee.

Le retargeting server-side

Le retargeting server-side utilise les API de conversion des plateformes (Facebook Conversions API, Google Ads Enhanced Conversions) pour transmettre les evenements de conversion depuis le serveur de l’annonceur vers la plateforme publicitaire, sans recourir a des cookies cote client. Ce modele, souvent mis en oeuvre via le server-side tracking, offre une meilleure fiabilite technique mais ne modifie pas les obligations juridiques.

Bases legales et consentement

Le consentement pour le depot de traceurs

L’article 82 de la loi Informatique et Libertes (transposition de l’article 5.3 de la directive ePrivacy) impose le consentement prealable pour tout depot de traceur non strictement necessaire au fonctionnement du site. Les pixels de retargeting (Facebook Pixel, Google Ads tag, Criteo) sont des traceurs publicitaires qui ne beneficient d’aucune exemption. Ils ne peuvent etre deployes qu’apres consentement explicite de l’utilisateur pour la categorie “publicite” ou “ciblage publicitaire” via une CMP conforme.

La CNIL a rappele a de multiples reprises que le consentement pour les cookies publicitaires doit etre specifique, eclaire et libre. L’utilisateur doit comprendre que ses donnees de navigation seront utilisees pour lui diffuser de la publicite ciblee sur d’autres sites ou plateformes. Le bandeau de consentement doit mentionner cette finalite de maniere comprehensible. L’acceptation globale de “tous les cookies” est valide si l’utilisateur a eu la possibilite de refuser et d’accepter par categorie, avec une presentation equilibree des choix sans dark patterns.

Le consentement pour le traitement RGPD

Au-dela du consentement ePrivacy pour le depot du traceur, le traitement de donnees personnelles a des fins de retargeting necessite une base legale au titre de l’article 6 du RGPD. Le consentement (article 6.1.a) est la base la plus adaptee car il couvre simultanement l’exigence ePrivacy et l’exigence RGPD. L’interet legitime (article 6.1.f) est theoriquement invocable pour le traitement RGPD, mais il est difficile a defendre pour le retargeting qui implique un suivi comportemental intrusif. Le CEPD a souligne que l’interet legitime ne peut generalement pas servir de base legale pour le profilage publicitaire a grande echelle.

Le cas des audiences personnalisees

Le televersement de listes de contacts vers une plateforme publicitaire implique un partage de donnees personnelles avec un tiers. La base legale de ce partage ne peut etre le consentement initialement donne pour une autre finalite (par exemple, la relation commerciale). Un consentement specifique pour la finalite de ciblage publicitaire via des plateformes tierces est necessaire, ou, a defaut, un interet legitime prealablement documente avec un test de mise en balance demontrant que les droits des personnes ne prevalent pas. La politique de confidentialite doit mentionner explicitement ce partage.

Obligations de transparence

Information prealable

L’article 13 du RGPD impose une information complete lors de la collecte des donnees. En matiere de retargeting, l’utilisateur doit etre informe que ses donnees de navigation seront utilisees pour lui diffuser des publicites personnalisees, de l’identite des plateformes publicitaires destinataires (Google, Meta, Criteo, etc.), des mecanismes de transfert hors UE le cas echeant, de la duree de conservation des donnees de retargeting, et de son droit de s’opposer et de retirer son consentement.

Cette information doit figurer dans la politique de confidentialite du site et etre synthetisee dans le bandeau de cookies. La CNIL exige que l’information soit hierarchisee : une premiere couche synthetique immediatement visible, renvoyant vers une information complete.

Droit d’opposition et retrait du consentement

L’utilisateur doit pouvoir retirer son consentement au retargeting aussi simplement qu’il l’a donne (article 7.3 du RGPD). Concretement, la CMP doit permettre a l’utilisateur de modifier ses preferences de cookies a tout moment, via un lien permanent accessible sur toutes les pages du site. Lors du retrait du consentement, les cookies de retargeting doivent etre supprimes et aucune donnee ne doit plus etre transmise aux plateformes publicitaires.

Independamment du consentement cookies, l’utilisateur dispose d’un droit d’opposition au traitement a des fins de prospection directe (article 21.2 du RGPD), qui est un droit absolu ne necessitant pas de motif. L’annonceur doit prevoir un mecanisme d’exercice de ce droit et y donner suite sans delai.

Configuration technique conforme

Integration avec la CMP et le gestionnaire de tags

Les pixels de retargeting doivent etre deployes via un gestionnaire de tags (Google Tag Manager ou equivalent) configure pour ne declencher les balises publicitaires qu’apres reception du signal de consentement positif pour la categorie “publicite”. Le pixel ne doit pas se charger, meme partiellement, avant le consentement. En cas de refus, aucune donnee ne doit etre transmise a la plateforme publicitaire.

La configuration doit egalement gerer le retrait du consentement : si l’utilisateur modifie ses preferences en cours de session, les pixels de retargeting doivent cesser de se declencher immediatement.

Durees de conservation des audiences

Les listes de retargeting ont une duree de vie maximale configurable dans les plateformes publicitaires. Google Ads limite la duree des listes de remarketing a 540 jours maximum. Facebook Custom Audiences conserve les listes jusqu’a suppression manuelle par l’annonceur.

Le principe de limitation de la conservation (article 5.1.e du RGPD) impose de definir et de respecter des durees proportionnees. Une duree de 30 a 90 jours est generalement suffisante pour le retargeting site. Les listes non exploitees doivent etre supprimees. Les audiences doivent etre regulierement nettoyees pour exclure les utilisateurs ayant retire leur consentement ou exerce leur droit d’opposition.

Exclusion des audiences sensibles

Le retargeting ne doit pas cibler des audiences basees sur des donnees sensibles (article 9 du RGPD). Les pages relatives a la sante, aux opinions politiques, a l’orientation sexuelle, aux convictions religieuses ou a l’appartenance syndicale ne doivent pas etre utilisees comme criteres de creation d’audiences de retargeting. Par exemple, un site de pharmacie en ligne ne doit pas creer une audience de retargeting basee sur la consultation de pages de produits specifiques revelant un etat de sante.

Les evolutions du retargeting post-cookies

Privacy Sandbox et Topics API

Google propose la Topics API dans le cadre de son Privacy Sandbox comme alternative aux cookies tiers. Ce mecanisme classe les interets de l’utilisateur en categories thematiques (topics) determinees localement par le navigateur, sans identifiant cross-site. Les topics sont partages avec les sites et les annonceurs pour permettre un ciblage par centre d’interet sans suivi individuel.

La conformite de la Topics API avec le RGPD et la directive ePrivacy fait debat. L’acces aux centres d’interet de l’utilisateur constitue un acces aux informations du terminal au sens de l’article 5.3 de la directive ePrivacy, potentiellement soumis a consentement. La CNIL et le CEPD suivent attentivement ces developpements.

Le retargeting contextuel

Le retargeting contextuel consiste a diffuser des publicites en fonction du contenu de la page consultee plutot que du comportement passe de l’utilisateur. Cette approche ne necessite pas de traceurs ni de donnees personnelles. Elle constitue une alternative conforme par conception, bien que moins performante en termes de taux de conversion que le retargeting comportemental.

Les salles blanches de donnees (data clean rooms)

Les data clean rooms (Google Ads Data Hub, Meta Advanced Analytics) permettent de croiser les donnees de l’annonceur avec les donnees de la plateforme dans un environnement securise, sans extraction de donnees individuelles. Les resultats sont agreges et ne permettent pas l’identification d’individus. Cette approche peut constituer une alternative plus respectueuse de la vie privee pour l’analyse de performance des campagnes, mais les conditions de traitement des donnees au sein de la clean room doivent etre verifiees. Pour les enjeux de lead generation et RGPD, les clean rooms offrent des perspectives interessantes.

FAQ

Le retargeting est-il legal sans consentement en B2B ?

Non. Le retargeting par cookies ou pixels de suivi necessite le consentement prealable de l’utilisateur au titre de la directive ePrivacy, independamment du caractere B2B ou B2C de la relation. Le fait que le visiteur soit un professionnel ne dispense pas du consentement pour le depot de traceurs publicitaires. En revanche, le retargeting par listes de contacts B2B (Customer Match) peut potentiellement s’appuyer sur l’interet legitime, mais un test de mise en balance documente est indispensable et la politique de confidentialite doit mentionner cette pratique.

Combien de temps peut-on conserver une audience de retargeting ?

La duree de conservation doit etre proportionnee a la finalite. Pour le retargeting site (visiteurs du site), une duree de 30 a 90 jours est generalement suffisante et proportionnee. Au-dela, la pertinence du reciblage diminue et le traitement devient disproportionne. Pour les audiences basees sur des listes de clients, la duree de conservation est liee a la duree de la relation commerciale. Les listes doivent etre regulierement mises a jour pour supprimer les contacts ayant retire leur consentement, exerce leur droit d’opposition, ou dont la relation commerciale a pris fin depuis plus de trois ans.

Comment mesurer l’efficacite du retargeting sans violer le RGPD ?

La mesure d’efficacite du retargeting (attribution, ROAS, conversions) est possible dans le respect du RGPD. Les rapports agreges fournis par les plateformes publicitaires ne contiennent pas de donnees personnelles individuelles et peuvent etre exploites librement. Les tests A/B et les analyses de lift (incrementalite) permettent d’evaluer l’impact reel du retargeting sans traitement supplementaire de donnees personnelles. Pour la configuration conforme de votre outil de mesure, consultez notre guide sur GA4 et le RGPD. Les API de conversion server-side offrent une mesure fiable tout en permettant le filtrage des donnees avant transmission, conformement aux principes de l’email marketing RGPD.