logo-minted

La Cnil qui sanctionne et le marché pub qui s'en tamponne : tout sauf une surprise

Le 07/03/2022
par Nicolas Jaimes
  • Les Cnil autrichienne et française ont annoncé que les transferts de données réalisés par Google Analytics vers les Etats-Unis étaient illégaux.
  • Leur homologue belge, l’APD, a, elle, remis en cause la gestion par l'IAB Europe du TCF, le framework de transmission du consentement des internautes.
  • Des annonces qui ont choqué le marché de la publicité... sans pour autant que les choses bougent vraiment, les acteurs changeant d'outils analytics étant très rares et ceux qui font de même pour le cloud US, encore plus. Eléments d'explications.

En 2020, ce fut le Covid. En 2021, les nouvelles règles de la Cnil en matière de cookies, qu’il a fallu déployer (avec douleur). Et en 2022 ? “Encore plus d’emmerdes !” Ce dirigeant de média ne mâche pas ses mots. “On pensait vraiment avoir mangé notre pain noir l’année dernière. Il s’avère que les mois à venir pourraient être encore pires.” Notre dirigeant mécontent fait ici allusion au fait que les Cnil autrichienne et française ont annoncé que les transferts de données réalisés par Google Analytics vers les Etats-Unis étaient illégaux depuis l’invalidation du Privacy Shield quand leur homologue belge, l’APD, sanctionnait, dans le même temps, l'IAB Europe pour sa gestion du framework de transmission du  consentement des internautes (TCF). Forcément un séisme alors que Google Analytics équipe la grande majorité des sites Web et que le TCF est devenu indispensable au bon fonctionnement du marché de la publicité ciblée.

Si la décision de l’APD a surpris le marché, on ne peut pas en dire autant de celle de la Cnil française. “On s’y attendait parce que l’autorité autrichienne avait pris une décision similaire, quelques semaines plus tôt, en concertation avec ses homologues”, explique Adrien Hug Korda, data protection officer de Jellyfish. Certains annonceurs, pas toujours au fait des menaces qui planent sur leur secteur, ont néanmoins été pris de court. “On a reçu une vague d’appels paniqués le matin de l’annonce de la Cnil”, confirme le DGA de l’agence Values.media, Emmanuel Crego. “Beaucoup nous ont contacté complètement affolés parce que leur DPO leur disaient de couper Google Analytics en urgence”, témoigne un autre patron d’agence. L’ont-ils fait ? “Non, on leur a déconseillé d’écouter ces zélotes de la privacy qui sont décorrélés du business.” 

“On prend tous au sérieux les remontées de la Cnil mais je ne les vois pas sérieusement contacter 80% des éditeurs de sites en France pour leur demander d’arrêter Analytics"

Le propos peut surprendre. Il illustre pourtant bien l’état d’esprit d’un marché qui est choqué par la décision de la Cnil française… mais ne se sent pas vraiment concerné à titre personnel. “On prend tous au sérieux les remontées de la Cnil mais je ne les vois pas sérieusement contacter 80% des éditeurs de sites en France pour leur demander d’arrêter Analytics”, explique un autre patron de média. Il est vrai que le gendarme des données personnelles, qui dispose de moyens limités, ne peut pas taper à tout va. Le non-respect par la plupart des grandes plateformes américaines de ses nouvelles règles en matière de cookies l’a bien illustré. La Cnil, qui s’est auto-saisie, a mis près de 10 mois à sanctionner Google et Facebook. Le délai est encore plus long lorsqu’il s’agit de traiter le dépôt d’une plainte par un tiers. L’association NOYB, à l’origine de la plainte qui a amené la Cnil à se prononcer sur le cas Google Analytics début février, avait déposé plainte… en août 2020

Alors, en attendant d’hypothétiques sanctions, on privilégie le statu-quo… Beaucoup se contentent pour l’instant de regarder le coût de la dizaine d’outils concurrents qui ont été exemptés par la Cnil d’obtention du consentement de l’internaute pour le traquer. D’autres se sont lancés un double plan de tagging de leur page, avec Google Analytics d’un côté, une autre solution européenne de l’autre, sans pour autant se résoudre à faire la bascule complètement. “Changer d’outil de web analyse, c’est, à l’échelle des grands groupes, des centaines de milliers, voire des millions d’euros, de déploiement”, rappelle un patron d'agence. C’est aussi faire une croix sur l’historique, qu’il s’agisse des audiences collectées ou des compétences développées par les collaborateurs. Et c’est surtout quelque chose qui prend du temps…“Une migration de solution analytics, c’est un projet de 6 à 9 mois”, prévient le CTO de Values.media, Olivier Lavecot, qui déconseille donc “toute décision précipitée”.

“Une migration de solution analytics, c’est un projet de 6 à 9 mois"

Il faut dire que les enjeux business sont de taille. Les alternatives à Google Analytics sont la plupart du temps tout aussi performantes… mais elles n’ont pas la même interopérabilité avec les suites publicitaires de Google (Google Ad Manager, côté vendeur, Google Ads, côté acheteurs) qui équipent quasiment tous les acteurs du marché. Ces solutions leur permettent, entre autres, de faire du reciblage, de la segmentation d’audience ou du tracking publicitaire. “C’est aussi la raison pour laquelle Google peine à se mettre en conformité, car tout est entremêlé avec sa suite publicitaire”, observe un expert. Compliqué pour l’Américain de proposer une version de Google Analytics qui ne collecte que des données anonymisées, ce qui empêcherait, de facto, les services de renseignements américains d’accéder aux données personnelles d’utilisateurs européens. C’est pourtant techniquement faisable.

“Google offre une fonctionnalité de tagging server side, qui permet d’héberger les données collectées sur un serveur européen, comme OVH, et de les renvoyer encryptées à Google”, explique Pierre Harand, patron France de fifty-five. Mais la parade s’accompagne d’un inconvénient de taille. “On isole Google Analytics du reste de la chaîne de traitement de Google, ce qui compromet certains cas d'usage”, reconnaît cet expert. Par exemple, si l'on ne peut plus faire de reciblage à partir de ses audiences analytics, l'intérêt de la solution diminue beaucoup aux yeux de certains.

“Le problème, ce n’est de toute façon pas Google mais la règlementation américaine”

“Le problème, ce n’est de toute façon pas Google mais la règlementation américaine, qu'il s'agisse de Fisa 702 ou du Cloud Act”, estime un expert de l’adtech, pourtant rarement complaisant avec le géant américain. Fisa 702 est la loi invoquée par la Cnil pour justifier sa décision dans le cas Google Analytics. Le Cloud Act est une loi fédérale promulguée en mars 2018, qui permet au gouvernement américain d’accéder aux données sur les serveurs des sociétés de son pays, quelle que soit leur localisation. Sa seule existence rend donc toutes les solutions américaines (même celles qui stockent leurs données en Europe) incompatibles avec le RGPD. Et elles sont nombreuses… “Le cloud act concerne la plupart des outils digitaux utilisés en Europe”, prévient le cofondateur de Didomi, Romain Gauthier. Les conséquences de la décision de la Cnil ont donc de quoi donner le vertige...

Minted, qui a interrogé une quinzaine d’acteurs de l’écosystème, n’a pourtant pas connaissance d’annonceur ou d’éditeur ayant décidé d’abandonner l’un de ses prestataires cloud américains (Google, Microsoft ou Amazon) pour une solution européenne comme OVH. “On n’a pas de client dans ce cas de figure”, illustre Adrien Hug Korda. Même inertie sur le front du marketing SaaS où les géants du secteur, comme Salesforce ou Oracle, ne sont pas inquiétés. Ils auraient pourtant des raisons de l’être vu que nombre de données personnelles sont stockées ou transitent via ces outils. C’est d’ailleurs ce qu’a estimé une cours de justice allemande en décembre dernier lorsqu’elle a condamné la CMP allemande, Cookiebot, pour l’utilisation d’un CDN américain, Akamai. “Si l'idée est de couper toute sortie de données de l’UE, on va vite se trouver à court de solutions, la plupart étant américaines”, redoute un patron d’adtech.

“Je ne sais pas si le marché ne bouge pas, faute de savoir quoi faire, ou parce qu’il estime qu’une solution sera forcément trouvée”, s’interroge le consultant RGPD, Sébastien Gantou. Une certitude, tout ce petit monde attend de voir quelle sera l’issue du recours déposé par l’IAB Europe le 9 mars et si l’on trouvera un successeur au Privacy Shield. Concernant ce dernier, la tendance est à l'optimisme. “La décision de la Cnil ressemble plus à un bras de fer avec les Etats-Unis qu’autre chose”, estime un connaisseur du marché. C’est une analyse qui reviendra souvent lors de nos entretiens. Les actions coordonnées des Cnil européennes ne seraient finalement qu’un moyen de mettre la pression sur notre voisin d’outre-Atlantique dans le cadre des négociations (un peu trop longues) concernant le successeur du Privacy Shield. “Il y a évidemment un agenda politique derrière tout ça”, ajoute notre expert.

“Il est en tout cas temps de trouver un successeur au Privacy Shield pour mettre un terme à cette situation d’instabilité phénoménale, où tout le monde est potentiellement dans l’illégalité”, estime Romain Gauthier. Cela risque néanmoins de prendre du temps à en croire Margrethe Vestager. La Commissaire européenne à la concurrence a confirmé qu’il s’agissait d’une de ses “grandes priorités” mais que la tâche était “loin d’être facile”. Rappelons tout de même que la Cours de justice européenne a invalidé ce régime de transfert des données en juillet 2020. L’ingérence des services de surveillance américains est fondamentalement incompatible avec le RGPD. Difficile, à part si le gouvernement américain lâche du lest là-dessus, d’imaginer une issue positive.

"Si jamais on devait faire l’objet d’une sanction de la Cnil, je pense que l’on porterait l’affaire devant le Conseil d’Etat”

En attendant, certains envisagent toutes les possibilités. “Si jamais on devait faire l’objet d’une sanction de la Cnil, je pense que l’on porterait l’affaire devant le Conseil d’Etat”, prévient un patron de site. Ce serait, à l’écouter, le seul moyen de créer une jurisprudence (ce que ne permet pas la décision d’une autorité comme la Cnil). Ce serait aussi “le seul moyen de savoir si le raisonnement de la Cnil tient vraiment la route.” Et d’espérer que l’annonceur mis en cause par la Cnil début février, en prenne conscience. 

à lire aussi
Fin des cookies tiers : les revenus Prebid des éditeurs français chutent d’au moins 50% sur Chrome
  • Quel est l’impact de la disparition des cookies tiers de Chrome ?
  • C’est pour répondre à cette question que Pubstack a mesuré l’évolution des revenus d'une soixantaine d'éditeurs et de 10 000 sites pour les 1% de leurs utilisateurs pour lesquels Chrome a retiré les cookies tiers en début d’année. 
Florence Bréban et Nicolas Trannoy (Alliance Digitale) : “La prochaine étape de notre groupe de travail, c’est le sujet de l’incrémentalité de l’e-retail media.”
  • Florence Bréban, cofondatrice de Datagram, et Nicolas Trannoy, directeur marketing et innovation de Lucky Cart, nous dévoilent les contours du référentiel de la mesure e-retail media mis sur pied par l'Alliance Digitale.
  • Ils nous expliquent pourquoi ce référentiel est important, quels ont été les défis à relever au moment de s’y atteler et, surtout, pourquoi ce n’est qu’un début. 
Exclu : Deutsche Telekom investit dans l'adtech Equativ
  • Deutsche Telekom investit dans l'adtech française qui pourra l'aider à optimiser les investissements publicitaires digitaux de certaines de ses filiales et les revenus CTV et segmentées d'autres.
  • Un partenariat qui permet à Equativ d'asseoir un peu plus sa crédibilité face aux géants américains de sa catégorie. 
Romain Rossignol (Doohyoulike) : "Les écrans DOOH vont profiter de la faible qualité de certains inventaires vidéo vendus sur l'Open Web"

  • Minted a rencontré le chief revenue officer du réseau publicitaire DOOH spécialisé dans l’indoor (proximité alimentaire, salles de sports et campus étudiants). 

  • L’occasion de revenir sur notre article évoquant les débuts balbutiants du programmatique DOOH et de tordre le cou à certaines idées reçues concernant un média encore mal connu des acheteurs digitaux. 

GIGO, le nouveau paradigme des agences média ?
  • Comment la démocratisation de l'IA, générative ou pas, impacte le rôle des agences médias. C'est l'objet de cette chronique tenue par Erwan Lohezic, associé chez 3qtz. Moins de valeur ajoutée dans le déploiement des campagnes mais de vraies opportunités dans la gestion de l'amont et de l'aval, assure notre expert. 
ID5 lève 20 millions de dollars pour consolider le déploiement de son ID partagé
  • Le leader mondial de l'identification à des fins de ciblage publicitaire, ID5, vient d'officialiser une levée de 20 millions de dollars auprès de S4S Venture et Transunion. 
  • Deux acteurs qui, au delà de leur argent, apporte également un pouvoir d'évangélisation du marché qui doit permettre à ID5, qui revendique être présent dans 50% des enchères publicitaires digitales, de consolider sa position.
Territoires digitaux par 366 : l’impact carbone de la publicité digitale
  • Une fois par mois, Territoires digitaux par 366 s'intéresse à une thématique structurante du marché de la publicité digitale.
  • On commence cette série par le sujet de l'impact carbone de la publicité digitale.
MTA ou MMM, par quoi passer pour mesurer la performance de vos campagnes ?

  • Qu'est-ce qui différencie le MTA du MMM ? Quand aurez-vous intérêt à un modèle d'attribution multi-touch et quand aurez-vous plutôt intérêt à vous tourner vers le marketing mix modeling ? Minted vous donne les clés pour comprendre ces deux outils de mesure très en vogue.