Loin du cataclysme annoncé... pour les GAFA.
Le RGPD, en vigueur depuis le 25 mai 2018, a-t-il été le Big Bang annoncé pour le secteur de la publicité en ligne ? Le risque d’une réduction drastique de la data disponible laissait craindre une remise en cause de l’activité de tous les acteurs de cette industrie publicitaire jusqu’alors en nette croissance.
Un an après la mise en application de ce règlement européen, nous avons interrogé différents intervenants pour dresser le bilan de l’année passée pour l’écosystème et les consommateurs. Et si la catastrophe semble avoir été évitée, quelques perspectives inattendues ont émergé depuis…
L’heure est donc venue de fêter le 1er anniversaire du RGPD, et cela en bonne compagnie. Prenez place !
Le secteur de la publicité en ligne a-t-il souffert de l’entrée en vigueur du RGPD ?
Le 25 mai dernier, le RGPD (Règlement général sur la protection des données) est venu bousculer une industrie bien rodée. Désormais, toute entreprise souhaitant récolter, traiter ou exploiter de la donnée doit se soumettre à plusieurs règles sous peine de sanctions. Dans une industrie où la publicité ciblée est reine, l’une d’elles en particulier a eu des conséquences sur tout le secteur : celle exigeant le « consentement éclairé » de l’internaute pour recueillir ses données. À cette période, le scandale Cambridge Analytica est sur toutes les lèvres, “cela a aussi permis de renforcer la prise de conscience de la nécessité de ce règlement”, estime Blandine Multrier directrice générale de 3W.relevanC. Une prise de conscience qui s’est généralisée, des internautes, à l’industrie jusqu’aux politiques. “Il y a eu une période de tensions au cours de laquelle annonceurs, agences, adtech et éditeurs ont dû s’adapter à cette nouvelle donne, explique quant à lui Erik-Marie Bion VP France de Verizon Media (ex-Oath). Aujourd’hui, tout fonctionne à nouveau de manière relativement pérenne avec quelques changements parmi lesquels le fait que la donnée est un peu plus rare, mais aussi plus qualitative”.
Pour Étienne Drouard, avocat au sein du cabinet K&L Gates et ancien membre de la CNIL, cette obligation de consentement a entraîné un changement de rapport de forces sur le marché : “Un certain nombre de publishers et d’annonceurs se sont vus poser des exigences nouvelles par des acteurs intermédiaires – une preuve de consentement nominative – pour que leur soient transmises des données.”
Par ailleurs, d’autres acteurs ont fait l’objet d’une mise en demeure publique de la CNIL – dont les plaintes ont augmenté cette année-là – pour modifier leur bannière de consentement relève Etienne Drouard. Mais “pour s’en sortir, ils ont fait des promesses à la CNIL qu’ils sont les seuls à avoir fait. Cela a généré deux effets : certaines sociétés mises en demeure affirment qu’elles se portent bien, mais licencient à tour de bras, et d’autres se rendent compte qu’en appliquant les exigences de la CNIL, elles pourraient perdre entre 25 et 70% du volume de données qu’elles collectent jusqu’à présent.”
Dans le viseur de la CNIL notamment, les acteurs qui traitaient de la data géolocalisée. Eux “ont particulièrement souffert”, relève Blandine Multrier. Ce que confirme Benoît Grouchko, fondateur et CEO de Teemo pour qui l’année 2018 “a été très compliquée”. “A part pour quelques entreprises très ciblées comme la nôtre, il n’y a pas eu de gros impacts business, mais plutôt des impacts opérationnels (DPO, process, bannière, etc.).” A la suite de la mise en application du RGPD, Teemo a fait l’objet d’une mise en demeure publique (avec l’application FIDZUP) en juillet 2018 avant que celle-ci ne soit levée trois mois après par la CNIL. L’autorité livrant ainsi son interprétation du texte pour le secteur de la publicité ciblée géolocalisée. Une manière de “faire passer le message avec un maximum d’impact et sensibiliser l’écosystème”. Cela ne s’est pas fait sans “quelques turbulences” puisque certains acteurs étrangers se sont retirés temporairement du marché ou ont revu leur positionnement. Teemo subi un “gros trou d’air côté business”, notamment dans sa relation avec les clients : “la plupart ont mis en pause” en attendant que le problème soit réglé.
Présenté comme une arme censée limiter l’influence des GAFA, le RGPD leur a paradoxalement permis de renforcer leur position. Les petits acteurs de l’écosystème n’ont pas autant de moyen pour se mettre en conformité et risquent une amende. Google et Facebook, dont les services sont utilisés par des milliards d’utilisateurs à travers le monde et en Europe, obtiennent plus facilement le consentement des internautes que des startups à la visibilité moindre, ou inconnues du grand public.
Une conséquence constatée auprès de tous les acteurs interrogés, comme Pierre Calmard, CEO de iProspect et directeur général du pôle média & performance de Dentsu Aegis Network France : “Contrairement à l’esprit initial du législateur, ce sont les GAFA qui en ont bénéficié en première instance, et plus globalement les univers logués. Le texte a raté son objectif n°1 : les médias nationaux souffrent le plus du RGPD alors que les GAFA tirent les marrons du feu. C’est un problème pour la pluralité des médias et pour la démocratie.”
« Si vous êtes un petit éditeur et que vous souhaitez faire de la publicité sur votre site web, c’est très difficile de le faire car vous n’avez pas la carrure (suffisante), vous ne disposez pas d’une plateforme de publicité géante, donc vous risquez de vouloir passer par Google, par exemple, ou Facebook« , expliquait récemment le PDG de Snapchat Evan Spiegel.
Sans l’imputer nécessairement au RPGD, Pierre Calmard constate une concentration dans le secteur : « Aujourd’hui, les gros acteurs de l’univers logué et de la tech, très majoritairement américains, ont récupéré toutes les technologies et toutes les plateformes. La concentration, non seulement dans la publicité, mais aussi dans les adtech, est regroupée de plus en plus sur les acteurs américains : Adobe, Salesforce et Google en premier lieu. Les médias sont plus dans une logique de survie aujourd’hui que de développement”.
Dans le même temps, “certains acteurs américains de vente de data ont cessé leur activité en Europe suite au RGPD. Souvent car ils considéraient que le risque associé était plus important que le bénéfice commercial”, relève Blandine Multrier qui évoque notamment le Chicago Tribune dont le site n’est plus accessible en Europe car non conforme au RGPD.
Du côté de Verizon Media, le RGPD était également perçu comme un “risque” pour ses activités en Europe, notamment parce que la firme devait “engager de nouvelles lignes budgétaires (accompagnement juridique et technique, nouveaux outils, etc.) ou encore de monopoliser des ressources humaines sur le chantier de mise en conformité avec le RGPD, explique son vice-président France. Les plus gros acteurs du marché, sans les nommer, ont les ressources pour le faire et en tirer un avantage compétitif”.
Toutefois Erick-Marie Bion note que “les résultats de l’observatoire de l’e-pub du SRI et de l’Udecam pour l’année 2018 révèlent une progression des investissements médias online, même hors du périmètre GAFA.”
Les effets inattendus du RGPD
Le RGPD n’a pas été le tsunami annoncé, mais il n’en a pas moins produit des effets… inattendus. Au bénéfice des GAFA donc, mais pas seulement. Pour Benoit Grouchko, “ce qui aura été très douloureux à court terme pour Teemo, est une bonne chose à moyen terme pour notre marché. Aujourd’hui, il n’y a plus de zone de flou et de polémique d’interprétation puisque la CNIL a expliqué de manière précise ce qu’il fallait faire. C’est très rassurant pour nous et nos partenaires.” Toutefois, le diable se cache dans les détails… et les différences d’interprétation laissées libre par le texte. Si “la convergence de vue générale fonctionne bien, chaque pays fait encore un peu ce qu’il veut, nuance Etienne Drouard. En Autriche par exemple, on admet de pouvoir imposer l’acceptation de cookies lorsque c’est nécessaire au modèle économique d’une entreprise – les fameux “cookies wall” – alors qu’en Allemagne ou en France on estime qu’il est illicite de soumettre la consultation gratuite de contenu à l’acceptation d’une traçabilité”. En revanche, il y a bien une convergence dans les processus sanctions paneuropéens, lorsque plusieurs régulateurs s’unissent pour sanctionner un acteur présent dans plusieurs pays par exemple, mais pas dans l’interprétation du texte. “On peut frapper collectivement, mais penser localement”, précise l’avocat.
Le RGPD aura également eu comme effet d’assainir un peu l’univers de la publicité digitale, “cela a permis de nettoyer pas mal de craintes de la publicité online en termes de brand safety ou de fraudes, avance Pierre Calmard. Certaines ne sont pas liées directement au RGPD, mais ont pu être mieux contrôlées : d’un coup les annonceurs se sont mis à s’intéresser à la réalité des modes de diffusion de la publicité digitale”.
D’un sujet purement destiné au service juridique, le RGPD est devenu un enjeu business pour toutes les entreprises estime l’ancien membre de la CNIL, Etienne Drouard : “Le sujet est passé des juristes à la direction générale. C’est au cœur d’enjeux stratégiques pour les entreprises, il en va de leur compétitivité par rapport à des acteurs qui échappent au RGPD, et de leur profitabilité.”
L’utilisateur est-il le grand perdant du RGPD ?
Si l’ambition majeure du RGPD est de protéger les données des internautes, celui-ci a vu son expérience en ligne totalement chamboulée. Pour le meilleur ? Loin s’en faut…
“Les utilisateurs, comme l’entreprise tenue d’appliquer la réglementation, sont face à une injonction paradoxale qui consiste à informer les personnes de 13 points d’information à chaque fois qu’on touche une donnée les concernant« , avance Etienne Drouard. Intégré dans un parcours utilisateur, cette obligation soulève « des enjeux énormes d’arborescence de l’information, de concision et de précision, et génère évidemment une “consent fatigue” (théorisée aux Etats-Unis) » pour l’utilisateur constamment sollicité. D’autant que certains acteurs ont recours en termes de design à des « dark patterns » permettant de rendre moins visibles certaines informations. Comme Google qui impose à l’internaute d’effectuer cinq actions avant d’accéder à l’information relative à la personnalisation des annonces et six en ce qui concerne la géolocalisation. La CNIL a d’ailleurs sanctionné l’ogre de la publicité en ligne d’une amende record de 50 millions d’euros pour “manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.”
Ainsi beaucoup d’internautes cliquent « oui » pour le partage de leurs données, parce que cliquer « non » ou demander « plus d’informations » signifie se perdre dans des méandres de questions et de pages obscures. Dans l’Union européenne, 145 000 plaintes pour violation du texte ont été déposées depuis un an, selon la Commission européenne.
“Face à cette fatigue du consentement, les régulateurs envisagent de simplifier les choses en recueillant ce consentement depuis le navigateur. Comme si le logiciel de navigation était le fruit d’un acteur neutre : il est édité par Google, Apple, Microsoft, Firefox ou Huawei”. Pour l’avocat, cela reviendrait ni plus ni moins à “donner les clés du camion aux géants de l’internet”.
Pour Pierre Calmard, si le RGPD a une valeur d’éducation du marché très large, qui s’étend du consommateur au politique, il juge les CMP “contre-productifs” pour les consommateurs : “Tout le monde passe sa vie à cliquer sur des “J’accepte”, “J’accepte pas” dans tous les sens sans même comprendre, pour l’immense majorité des gens, ce sur quoi ils cliquent et pourquoi ils cliquent.” Il juge ainsi le RGPD nuisible pour “l’économie locale et pour les consommateurs. On donne l’illusion d’un choix à des individus qui ne comprennent pas ce choix. Leur univers visuel n’est pas plus dépollué des publicités non désirées. Pour le consommateur, c’est une nuisance supplémentaire.”
Une déclaration que semble confirmer la dernière étude d’Ogury destinée à comprendre le comportement des consommateurs à l’égard du marketing mobile, de la publicité et du partage des données. En France, 60% des consommateurs ne comprennent pas comment leurs données sont utilisées après avoir lu un formulaire de consentement et des politiques de confidentialité et 47% d’entre eux disent ne pas savoir ce qu’est le RGPD…
En revanche, lorsqu’on leur soumet un choix clair et juste, 7 consommateurs sur 10 dans le monde choisissent de partager leurs données plutôt que de payer pour accéder à un contenu en ligne.
Êtes-vous en conformité ?
Les CPM sont néanmoins incontournables, car obligatoires pour être en conformité avec le règlement. Toutefois, “Personne ne sait s’il est bien conforme, car le régulateur n’a pas précisé les conditions de la conformité, seulement les lignes d’interprétation générales”, explique Etienne Drouard. De même, la certification de la conformité n’existe pas encore, il est donc “impossible pour une entreprise de dire aujourd’hui : Je suis conforme au RGPD. Celui qui le dit est un menteur”, tranche-t-il.
Malgré cette absence de certification de conformité, de nombreux acteurs s’estiment conformes ou se font certifier par des cabinets indépendants. Pour Pierre Calmard, “Dans l’acceptation que l’on en a aujourd’hui, la majorité des acteurs se sont mis en conformité. Même si l’absence de certificat de conformité prouve une fois encore l’absurdité de la loi.”
Pour se mettre en conformité avec la CNIL qui lui reprochait un défaut de consentement (le bandeau n’était pas aux normes), Teemo a dû supprimer toutes les données collectées jusque-là puisque le consentement était « vicié », soit les treize derniers mois (la durée de validité du consentement). La société a également mis en place un nouveau bandeau de demande d’autorisation d’utilisation des données personnelles. “Forcément lorsque l’on a le choix entre oui et non, le non l’emporte. Mais nous avons été agréablement surpris par les résultats car le taux de consentement post RGPD monte jusqu’à 80%.”
Si le RGPD est entré en vigueur il y a un an, il a été adopté depuis trois ans maintenant, la CNIL promet donc plus de fermeté à l’avenir sur les manquements constatés estimant que le secteur a eu le temps nécessaire pour se mettre en conformité.
“Des initiatives comme le MOOC de la CNIL, « L’atelier RGPD », accessible en ligne, permettent une vraie formation de tous les acteurs de notre industrie”, estime Blandine Multrier.
De son côté, Laureline L’Honnen-Frossard, responsable des affaires juridiques de l’Union des marques (ex UDA) explique que “L’Union des marques et plusieurs associations professionnelles du secteur ont souhaité engager avec la CNIL une démarche de concertation sur les modalités de mise en œuvre du RGPD dans le secteur de la publicité digitale qui permette d’apporter confiance, visibilité et stabilité nécessaires à sa pérennité et à son développement.”
Les prochaines étapes
Quid de l’An 2 du RGPD ? Après avoir “oscillé entre la peur du texte et puis un sentiment d’apesanteur où l’on attend que des décisions individuelles deviennent peut-être des normes collectives”, cette deuxième année a débuté avec la rencontre entre la nouvelle présidente de la CNIL, Marie-Laure Denis, et toutes les associations professionnelles “pour leur décrire une trajectoire d’évolution de la doctrine”, explique Etienne Drouard. La première année c’est l’effet de sidération, les décisions de sanction et la modification des rapports de forces et la deuxième année les choses se font dans l’ordre avec concertation et chronologie du changement”, prédit-il.
Pour la directrice générale d’3W.relevanC, l’étape d’après RGPD viendra avec le règlement e-privacy “qui va venir compléter le règlement RGPD et encadrer la gestion des cookies et des objets connectés. Ce règlement va être encore plus structurant pour la publicité en ligne et va potentiellement favoriser considérablement les environnements logués”. En premier lieu duquel les GAFA triompheront à nouveau.
Qui dit univers logué, dit données à protéger : “Quand les éditeurs français auront enfin compris que c’est dans leur intérêt, ils aboutiront à une logique de log unique sur l’ensemble des sites média, estime Pierre Calmard. On reviendra à un monde qui sera dépollué de toutes ces demandes : les gens accepteront de fait la publicité ciblée.” Retour à la case départ.
Mais pour le CEO d’iProspect, le débat est ailleurs et se focaliser sur la publicité “n’a pas de sens” : “Le problème ce n’est pas la publicité mais ce que l’on peut faire des données de santé, des données ethniques, toutes les données sensibles qui peuvent mettre en danger la sécurité d’une personne. Se focaliser sur la partie publicitaire est une hérésie, personne n’est jamais mort d’avoir été exposé à une bannière publicitaire. Le vrai sujet n’est pas le RGPD, mais une vraie politique européenne de cybersécurité”, estime-t-il.
Les éditeurs et annonceurs auraient ainsi tout intérêt à protéger leurs données des hackers qu’à réfléchir à la création de leur propre univers logué.
Du côté de Verizon Media, “l’arrivée prochaine de la V2 du Transparency and Consent Framework de l’IAB Europe”, est la prochaine étape pour le marché de la publicité en ligne. “Une mise à jour qui va permettre plus de transparence et de contrôle pour les utilisateurs et les éditeurs. Les finalités de traitement de données personnelles ont notamment été modifiées pour apporter plus de granularité et de clarté« .
Laureline L’Honnen-Frossard précise quant à elle que “L’Union des marques participe également aux démarches positives et propositions déployées pour une publicité plus respectueuse des attentes des utilisateurs et qui prennent en compte les enjeux des marques (par exemple, Initiative Coalition for better ads, Label Digital Adtrust en France, …).”
“Pour protéger la vie privée, il faut aussi admettre que de nombreuses entreprises peuvent avoir nos données, mais qu’elles ne les auront pas toutes ensemble, avance Etienne Drouard. Poser la question du consentement en un seul endroit (le navigateur) c’est simplifier la question et la réponse au profit d’acteurs déjà incontournables. Derrière ce qui peut apparaître comme de l’ergonomie et la simplification résident tous les enjeux de la concurrence économique”.
Dont acte.
