Les modalités pratiques de mise en place du Règlement général de protection de données (RGPD) continuent de susciter des interrogations au sein de l’industrie de la publicité en ligne. Vincent Potier, chief operating officer de Captify, société spécialisée dans la search intelligence, réalise depuis plusieurs semaines une tournée de présentation du règlement auprès de ses clients – les agences média, acheteurs d’inventaires (et donc de données) – mais aussi auprès de ses partenaires éditeurs, fournisseurs de données, premiers maillon de la chaîne. Il partage avec nous ses constats et impressions, notamment la certitude que de nouveaux business émergeront comme conséquence directe de la mise en application de la nouvelle législation européenne.
Vous passez votre temps en ce moment à rencontrer vos clients et partenaires pour parler du RGPD. Quelles conclusions tirez-vous?
En Angleterre, où j’ai déjà rencontré la moitié de mes clients, je présente le nouveau règlement à une centaine d’agences média, des grands groupes aux petites structures indépendantes. Je viendrai également en France et en Allemagne. Je réunis beaucoup de monde à chaque fois, de 20 à 100 professionnels, du media planner jusqu’au directeur général, selon les structures, tous les niveaux sont représentés, tous se sentent concernés. Ils m’expriment un vrai besoin d’échanger sur les spécificités du RGPD pour ce qui est de l’écosystème publicitaire. Les clients de nos clients – les annonceurs – les sollicitent au quotidien sur ce sujet. En parallèle, je me réunis avec les équipes de nos partenaires éditeurs. Ces acteurs nous fournissent la donnée que nous traitons, ils sont les premiers concernés par l’information des internautes et par l’obtention de leur consentement. J’ai pour objectif de me réunir avec nos 100 principaux partenaires éditeurs parmi les dizaines de milliers avec lesquels nous travaillons. J’en ai déjà rencontré une trentaine.
Sont-ils prêts?
Il est impossible à ce jour de ne pas avoir un nombre important de questions sur le RGPD, notamment sur les modalités pratiques d’obtention du consentement des internautes, telle qu’elle est prévue par le règlement. Ce principe est celui qui concerne le plus notre industrie. Nous attendons toujours la publication de l’avis du Groupe de travail «Article 29» sur ce sujet. Du côté des agences, on s’interroge sur les processus et stratégies à adopter pour gérer au mieux les données des annonceurs. Ces derniers sont en haut de la chaîne, ce sont souvent de grosses organisations concernées par le RGPD sur de nombreux aspects (systèmes d’information internes, processus industriels, financiers, sécurité de données, etc.). La complexité de la publicité en ligne ne leur paraît pas forcement une priorité, au milieu de tous les sujets qu’ils ont à traiter. Ils ont des départements juridiques très compétents, ils s’attaquent aux sujets un par un, et quand ils arrivent à la technologie publicitaire, ils sont en bout de chaîne. Dans ce contexte, les départements marketing des annonceurs ne disposent pas encore de toute la clarté nécessaire, et ce d’autant plus que les orientations sur le consentement n’ont toujours pas été publiées. Les agences doivent ainsi pouvoir répondre aux nombreuses questions de leurs clients, qui de surcroît les mettent sous pression pour garantir la conformité de leurs nombreux partenaires de l’écosystème.
Quelles sont les questions qui interpellent les plus les éditeurs, les premiers concernés par le consentement?
Les éditeurs savent parfaitement qu’il leur faudra obtenir le consentement de chaque utilisateur, au moment de leur entrée dans leur site, pour la collecte et le traitement de leurs données par rapport à des finalités qui doivent être clairement précisées. Deux des principes du règlement sont la minimisation des données – il ne faut pas collecter plus des données que ce dont on a besoin – et la limitation des finalités – si l’on collecte des données, il faut que ce soit pour un objectif précis. Les éditeurs s’arrachent les cheveux pour trouver le mécanisme qui leur permettra de répondre à toutes ces obligations sans nuire à l’expérience utilisateur. L’éditeur a besoin des données pour le financement de son activité. Aujourd’hui c’est bien la donnée qui garantit la valeur de l’inventaire en ligne. Un autre point important est l’intervention des partenaires tiers. Dans un monde programmatique, si l’éditeur ne peut pas passer ses données aux SSP ou ad exchanges, il ne peut pas valoriser sa monétisation, car ses données sont complètement intégrées à son inventaire. L’écosystème tout entier fonctionne avec des cookies ou des identifiants utilisateurs, que le RGPD considère comme étant des données personnelles. L’éditeur sera par conséquent obligé de demander à l’utilisateur son consentement pour collecter ses données en son nom propre mais aussi pour les transmettre à des acteurs tiers. Enfin, les éditeurs s’interrogent aussi sur la réaction des internautes : Combien d’entre eux vont refuser ? Combien seront d’accord sur le principe de collecte mais refuseront la transmission de leurs données à des tiers ? Personne n’a de réponses à ces questions, mais une chose est sûre : si le refus devenait généralisé c’est le principe même de l’accès gratuit aux contenus qui sera remis en cause. Si l’on veut échapper à l’abonnement payant il faut accepter la publicité, et la publicité a besoin des données.
L’écosystème tout entier fonctionne avec des cookies ou des identifiants utilisateurs.
Que dites-vous à ceux qui affirment que la publicité est tout aussi possible en ligne sans cookies et sans collecte de données?
Je leur dit bien sûr, de la même façon que je peux aussi continuer de prendre le vélo pour aller de Londres à Paris. Plus sérieusement, les données sont un élément essentiel de l’écosystème digital.
Vous évoquez la responsabilité de l’obtention du consentement par l’éditeur. Mais la preuve de ce consentement concerne tous les acteurs de la chaîne, non?
La loi est très claire sur le principe de responsabilité partagée : l’éditeur ne peut pas transmettre les données à un partenaire au nom duquel il n’a pas obtenu de consentement. En tout cas, cette transmission doit être précisée avec les catégories d’acteurs (comme les SSP) qui traiteront cette donnée et pourquoi. L’objectif du législateur est de rendre ce monde intelligible pour le consommateur. Dans l’autre sens, les acteurs tiers devront s’assurer que les éditeurs ont bel et bien obtenu le consentement de l’utilisateur. Il faudra mettre en place des processus, des contrats pour cela.
Les acteurs de l’industrie nous font part de bon nombre de situations assez complexes et qui nécessiteraient un traitement spécifique. Par exemple, quand vous agrégez une donnée d’un utilisateur qui accepte de partager ses données avec l’éditeur A et l’éditeur C mais pas avec l’éditeur B. Et bien d’autres…
Oui en effet, c’est une question. On se demande aussi si chaque éditeur utilisé par un même internaute et travaillant avec les mêmes parties tierces devra demander le consentement systématiquement pour tout le monde. Tout dépendra de l’interprétation de la loi. Une notion qui émerge et dont on entendra beaucoup perler je pense est celle de plateforme de gestion du consentement, qui permettra de traiter en temps réel les demandes de chaque utilisateur et de savoir où il en est par rapport à chaque éditeur et à chaque partie tierce.
Cela exigera beaucoup plus de coopération de la part des acteurs de cette industrie, non?
La conformité au RGPD sans trop de bouleversements pour l’expérience utilisateur sera grandement facilitée par une coopération intense entre les acteurs de l’industrie. Il va falloir créer de standards et de nouveaux mécanismes. Il y aura surement de nouveaux acteurs qui vont émerger pour faciliter la bonne application de la loi. Les plateformes de consent management sont un exemple. De même, on assistera le développement des coopératives de données.
Vous agrégez et vous traitez de grandes quantités de données, le cookie est votre matière première. Attendez-vous à une baisse du volume de données que vous traitez comme conséquence directe de l’entrée en vigueur du règlement?
La seule certitude que j’ai est qu’il est absolument impossible de prévoir comment l’utilisateur va réagir à un changement assez conséquent de son expérience utilisateur, surtout lors des premières semaines de mise en pratique du RGPD. Ceci dit, le consentement ne se passera pas par sessions : une fois qu’il aura été fourni, il restera, sauf si l’utilisateur efface ses cookies. Après une phase d’adaptation, les choses rentreront dans l’ordre. Il ne faut pas s’arrêter à cette crainte de l’impact mais surtout regarder les conséquences positives du règlement sur le long terme : le RGPD vient assainir l’écosystème, on ne peut qu’espérer que ce dernier fonctionne mieux !
Propos recueillis par Luciana Uchôa-Lefebvre