La publicité comportementale est devenue un élément standard du marketing numérique ; la possibilité de suivre et de cibler des publics spécifiques a permis d'augmenter les taux d'engagement et de conversion.
Mais la dépendance de la publicité comportementale à l'égard des techniques de suivi soulève des inquiétudes quant au respect de la vie privée de la part des consommateurs et des autorités de régulation.
Le Conseil européen de la protection des données a même interdit les pratiques de Meta en matière de publicité comportementale, rappelant aux entreprises qu'en l'absence de contrôles appropriés, ces pratiques ont une incidence sur la confidentialité des données.
Ci-dessous, j'explique comment fonctionne la publicité comportementale et comment les annonceurs et les spécialistes du marketing peuvent s'appuyer sur cette technique en toute conformité, et nous entendons l'avis d'un expert du secteur sur le sujet.
Qu'est-ce que la publicité comportementale ?
La publicité comportementale, également appelée publicité comportementale en ligne (OBA) ou publicité basée sur les centres d'intérêt, s'appuie sur le comportement en ligne d'une personne pour diffuser des publicités ciblées et adapter les messages marketing.
La publicité comportementale s'appuie sur des technologies de suivi des sites web, telles que les cookies et les balises web, pour collecter des informations sur l'historique de navigation, les recherches et l'activité du site web d'une personne.
Les types d'informations les plus courants collectés sur les utilisateurs à des fins de publicité comportementale sont les suivants :
- Adresse IP
- Requêtes de recherche
- Données de localisation
- Sites web visités
- Heure de la visite
- Activité du site web (clics, pages visitées, événements liés à la pression d'une touche, événements liés à un capteur de mouvement, position de défilement, options de partage en ligne)
- Type de navigateur et paramètres
- Type d'appareil et paramètres
Publicité comportementale et inférences
La publicité comportementale s'appuie également sur des inférences, un terme décrivant la dérivation d'informations à partir d'autres sources.
Par exemple, si je cherche dans mon navigateur "Pour qui voter lors de l'élection présidentielle américaine de 2024", on peut en déduire que je suis citoyen américain.
Les inférences jouent un rôle important dans la publicité comportementale, car elles permettent de comprendre en profondeur le comportement en ligne.
Des recherches menées dès 2012 ont démontré l'aptitude des grands annonceurs à déduire avec précision des informations sur les intérêts, les préférences et même l'état émotionnel de leurs utilisateurs à l'égard de la publicité. Depuis, la disponibilité croissante des données et de la puissance de calcul n'a fait qu'accroître cette capacité.
Bien que les données d'inférence ne soient pas collectées en tant que telles, elles sont considérées comme des informations personnelles par les réglementations relatives à la protection de la vie privée, telles que la CCPA et le RGPD.
Suivi inter-contexte
Une spécificité importante de la publicité comportementale est qu'elle s'appuie sur le suivi inter-contexte, c'est-à-dire le suivi des activités en ligne des utilisateurs sur les sites web, les plateformes ou les appareils.
Avec les déductions, il permet aux annonceurs et aux spécialistes du marketing de créer un profil complet du comportement en ligne d'un utilisateur.
Le suivi inter-contexte implique généralement l'utilisation de :
- Cookies
- Balises web
- L'empreinte digitale de l'appareil (c'est-à-dire l'utilisation des paramètres de l'appareil de l'utilisateur et des informations du navigateur pour l'identifier)
Bien qu'il puisse présenter des avantages en termes d'expérience utilisateur et de pertinence des annonces, le suivi inter-contexte soulève également des préoccupations en matière de confidentialité des données en raison du caractère intrusif de ces techniques.
Les efforts visant à améliorer la protection de la vie privée en ligne et à limiter le suivi inter-contexte ont conduit à des modifications de la réglementation, les derniers amendements de l'ACPR à la CCPA conférant aux consommateurs des droits de refus de la publicité comportementale inter-contexte.
En 2018, le RGPD l'UE a ajouté aux exigences de la directive ePrivacy de s'appliquer au traitement des données personnelles par les cookies et à tout traitement de données personnelles, incluant ainsi toutes les formes de publicité comportementale cross-context.
Éditeurs, annonceurs et fournisseurs de réseaux publicitaires
La publicité comportementale est rendue possible grâce à un réseau complexe de différents acteurs que l'on peut résumer comme suit :
- Les annonceurs : Entités cherchant à promouvoir leurs produits ou services auprès de publics cibles spécifiques.
- Les éditeurs : Opérateurs de contenu ou de services en ligne où des sociétés tierces collectent et utilisent des données personnelles à des fins de publicité numérique ou de personnalisation.
- Les fournisseurs de réseaux publicitaires : En tant que principaux facilitateurs de la publicité comportementale, ils établissent des connexions entre les éditeurs et les annonceurs en sélectionnant les publicités à afficher sur le site web d'un éditeur.
En termes simples, les éditeurs possèdent des sites web et génèrent des revenus en vendant des espaces publicitaires sur leurs plateformes en ligne.
En général, la sélection des annonces se fait par le biais d'un système d'enchères appelé Real-Time Bidding, qui utilise les informations suivantes pour déterminer quelle annonce est la plus susceptible d'aboutir à une conversion (c'est-à-dire à un clic) :
- Exigences des annonceurs en matière de ciblage de l'audience
- Caractéristiques de l'espace publicitaire des éditeurs
- Le comportement en ligne de l'utilisateur
Le processus de diffusion des publicités par les réseaux publicitaires fonctionne de la manière suivante :
- Première étape : Un éditeur alloue de l'espace pour afficher des publicités sur son site et délègue les tâches publicitaires restantes à un ou plusieurs fournisseurs de réseaux publicitaires.
- Deuxième étape : Ces fournisseurs de réseaux sont chargés de sélectionner et de distribuer les publicités aux éditeurs de la manière la plus efficace possible. Plus le réseau publicitaire est important, plus il dispose de ressources pour surveiller les utilisateurs et "tracer" leur comportement.
- Troisième étape : L'annonceur négocie généralement avec un ou plusieurs réseaux publicitaires et ne connaît pas nécessairement l'identité de tous les éditeurs qui diffusent ses publicités.
Publicité comportementale et publicité contextuelle
Par opposition à la publicité comportementale, la publicité contextuelle est une approche qui propose des publicités en rapport avec le contenu qu'un utilisateur est en train de consommer ou avec le contexte d'une page web.
Vous trouverez un exemple de publicité contextuelle dans la capture d'écran ci-dessous de la page d'évaluation G2 deTermly.
La page Termly reviews de G2 diffuse des publicités pour des produits similaires à Termly, ce qui nous permet de déduire que la publicité est basée sur le contexte de la page, et non sur le comportement de l'utilisateur.
Cependant, la démonstration de la publicité comportementale est un peu plus technique, car elle est essentiellement l'opposé de la publicité contextuelle.
Pour cet exemple, j'ai mis en place un "faux" comportement en ligne pour essayer de générer des publicités spécifiques en établissant ma connexion VPN en Espagne et en utilisant mon moteur de recherche pour rechercher des actualités sportives.
Ensuite, j'ai visité la page d'accueil du Time Magazine et j'ai reçu une publicité en espagnol sur la célèbre équipe de football de Madrid.
La capture d'écran ci-dessous montre l'annonce qui m'a été présentée.
Nous pouvons en déduire qu'au moins ma localisation et mes recherches récentes ont été utilisées pour me présenter cette annonce.
La publicité comportementale est-elle conforme aux lois sur la protection de la vie privée ?
Vous pouvez utiliser la publicité comportementale d'une manière qui respecte les lois sur la protection de la vie privée, à condition de communiquer correctement avec vos utilisateurs et de leur offrir les choix appropriés.
Dans l'Union européenne
Examinons tout d'abord les principales lois sur la confidentialité des données de l'Union européenne (UE) et voyons ce qu'elles disent sur l'exécution légale de la publicité comportementale.
Le RGPD
Dans la mesure où la publicité comportementale implique la collecte et l'utilisation de données à caractère personnel, le règlement général sur la protection des données (RGPD) comprend plusieurs dispositions relatives à la publicité comportementale.
Les entreprises qui souhaitent utiliser la publicité comportementale doivent se conformer aux lignes directrices suivantes RGPD :
- Article 6 : le traitement des données à caractère personnel n'est licite que s'il répond à l'une des bases juridiques définies par le RGPD, mais, dans une affaire impliquant Meta, le Comité européen de la protection des données (CEPD) a décidé que "l'intérêt légitime" et "l'exécution d'un contrat" ne pouvaient être utilisés comme base juridique pour la publicité comportementale, laissant le "consentement" comme base la plus probable, qui doit respecter toutes les conditions décrites à l'article 7.
- Articles 13 et 14 : les entreprises doivent fournir aux individus des informations claires et transparentes sur la manière dont elles utilisent les données à caractère personnel à des fins de publicité comportementale et informer les individus des finalités du traitement et de leurs droits en la matière.
- Articles 15 à 21 : les personnes disposent d'une série de droits, notamment le droit d'accéder aux données à caractère personnel, de rectifier les inexactitudes, de demander l'effacement des données à caractère personnel et de s'opposer au traitement de leurs données à des fins de prospection directe, ce qui inclut la publicité comportementale dans la mesure où elle conduit à la prospection directe.
- Article 22 : les personnes concernées ont le droit de ne pas être soumises à une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques à leur égard ou qui les affecte de manière significative de façon similaire ; étant donné que la publicité comportementale implique souvent le profilage de personnes sur la base de leur comportement en ligne, les dispositions de l'article 22 s'appliquent.
Il est important de noter que les principes de l'article 5 du RGPD sur le traitement des données personnelles s'appliquent à la publicité comportementale, y compris :
- Minimisation des données
- Limitation de l'objet
- Sécurité
Les organisations qui font de la publicité comportementale au sein de l'Union européenne ou qui ciblent les résidents de l'UE doivent se conformer aux exigences du RGPD afin de garantir l'utilisation légale des données personnelles à des fins publicitaires.
La directive "vie privée et communications électroniques
Une autre réglementation de l'UE s'applique à la publicité comportementale : la directive "vie privée et communications électroniques" de 2002, qui porte sur la protection de la vie privée dans le cadre des communications électroniques.
Plus précisément, l 'article 5, paragraphe 3, exige qu'une entreprise obtienne un consentement éclairé pour stocker légalement des informations ou pour accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur.
Comme c'est précisément ainsi que fonctionnent les cookies, la directive "vie privée et communications électroniques" est connue sous le nom de " loi sur les cookies".
À cet égard, elle s'applique à la publicité comportementale, car certains cookies suivent les utilisateurs en ligne et utilisent ces informations pour diffuser des publicités ciblées.
Aux États-Unis
Voyons maintenant ce que les lois sur la protection des données des États américains disent de la publicité comportementale.
L'ACCP de la Californie
Le California Consumer Privacy Act(CCPA), tel qu'amendé par le California Privacy Rights Act(CPRA), définit la publicité comportementale cross-context dans la section 1798.140. (k) comme suit :
Le ciblage de la publicité vers un consommateur sur la base des informations personnelles de ce dernier obtenues à partir de son activité au sein d'entreprises, de sites web de marques distinctes, d'applications ou de services, autres que l'entreprise, le site web de marque distincte, l'application ou le service avec lequel le consommateur interagit intentionnellement".
En outre, la définition de l'information personnelle de la CCPA inclut :
... des déductions tirées de l'une quelconque des informations identifiées dans la présente sous-section pour créer un profil sur un consommateur reflétant les préférences, caractéristiques, tendances psychologiques, prédispositions, comportements, attitudes, intelligence, capacités et aptitudes de ce dernier".
Comme nous l'avons vu plus haut, les données d'inférence sont essentielles dans la publicité comportementale car elles permettent de comprendre le comportement d'un utilisateur même avec peu d'informations.
Bien que la CCPA ne contienne pas de disposition spécifique traitant explicitement de la publicité comportementale, elle comprend plusieurs lignes directrices relatives à la collecte et à l'utilisation d'informations personnelles à des fins de publicité comportementale :
- Section 1798.110 et 1798.115: les entreprises doivent fournir aux consommateurs un avis sur les catégories d'informations personnelles qu'elles collectent, divulguent, vendent ou partagent, les raisons pour lesquelles elles utilisent ces informations et les catégories de tiers auxquels les informations personnelles sont divulguées, vendues ou partagées, y compris les informations relatives à la publicité comportementale.
- Section 1798.120: Les consommateurs ont le droit de refuser la vente et le partage de leurs informations personnelles, ce qui peut inclure le refus de la publicité comportementale.
Autres États
Comme la Californie, d'autres États américains ont inclus dans leurs lois sur la protection de la vie privée des dispositions applicables à la publicité comportementale.
Plus précisément, les lois sur la protection de la vie privée en vigueur qui donnent aux consommateurs le droit de refuser le profilage et la publicité ciblée sont les suivantes :
- Loi de Virginie sur la protection des données des consommateurs(VCDPA)
- Loi du Connecticut sur la protection des données(CTDPA)
- Loi sur la protection de la vie privée du Colorado(CPA)
Les lois de ces États prévoient également des exigences en matière de notification qui s'appliqueraient à une entreprise pratiquant la publicité comportementale.
D'autres États, comme le Texas, l'Utah, le Montana et l'Iowa, ont également signé récemment des lois sur la protection de la vie privée contenant des dispositions applicables à la publicité comportementale.
Bien qu'elles ne soient pas encore entrées en vigueur, il convient de s'y préparer si votre entreprise opère dans ces États ou atteint les seuils légaux qui y sont fixés.
L'importance de l'obtention du consentement du consommateur
Comme vous l'avez appris en lisant les lois sur la protection de la vie privée, il est essentiel d'obtenir le consentement du consommateur si vous voulez mettre en œuvre légalement la publicité comportementale.
Ken LaMance, avocat et directeur juridique de LegalMatch, l'a souligné lors de notre entretien : "l'obtention et la gestion du consentement sont essentielles pour instaurer la confiance, atténuer les risques juridiques et garantir le succès à long terme".
LeMance ajoute : "En obtenant un consentement explicite, les entreprises peuvent faire preuve de transparence et de responsabilité, ce qui favorise la confiance des clients. Cette confiance peut conduire à une plus grande fidélité des clients, à une réputation positive de la marque et, en fin de compte, à une augmentation des revenus.
Selon des statistiques récentes sur la confidentialité des données, plus les clients font confiance à votre entreprise, plus ils sont enclins à partager des données avec vous, notamment à des fins de publicité comportementale.
"La gestion des consentements n'est plus un avantage, c'est une nécessité pour les entreprises qui opèrent en ligne aujourd'hui. - Ken LaMance, avocat et directeur juridique, LegalMatch
"J'insisterais sur les avantages à long terme pour les propriétaires d'entreprises qui hésitent peut-être à adopter la gestion des consentements", déclare M. LeMance.
"Investir dans une stratégie solide de gestion des consentements peut protéger votre entreprise, préserver la vie privée de vos clients et vous donner la réputation d'une organisation digne de confiance et responsable. N'oubliez pas que la confidentialité des données n'est pas seulement une obligation légale ; c'est un impératif stratégique."
"Le consentement n'est pas seulement une question de conformité, c'est aussi une question de respect des choix de vos clients. Chez Experro, nous pensons que la confiance est la base de toute expérience numérique, et la gestion du consentement est essentielle pour gagner et maintenir cette confiance", Jayesh Mori, PDG d'Experro.
Développements récents
Examinons maintenant quelques développements récents concernant les lois sur la protection de la vie privée et leur impact sur la publicité comportementale.
La métapublicité et la publicité comportementale dans l'UE
Les activités de publicité comportementale de Meta dans l'UE et l'Espace économique européen (EEE) ont récemment fait l'objet d'une interdiction par le Comité européen de protection des données (CEPD), la principale autorité de protection des données en Europe.
Si les querelles de Meta avec la protection de la vie privée dans l'UE ne sont pas nouvelles, il s'agit très probablement d'un tournant pour la publicité comportementale.
Pour comprendre cette décision, voyons comment la situation en est arrivée là.
2018 - 2022
Les problèmes de Meta avec les autorités de régulation de l'UE/EEE remontent à 2018, lorsqu'une association de consommateurs dans le domaine de la vie privée appelée NOYB ("None of your business") a déposé deux plaintes auprès des autorités européennes chargées de la protection de la vie privée.
Les plaintes portaient sur le fait que Meta, par l'intermédiaire de Facebook et d'Instagram, s'appuyait sur ses conditions de service pour utiliser les données personnelles à des fins de publicité comportementale, et non sur le consentement.
Les régulateurs européens de la protection des données étaient divisés sur la question de savoir s'il s'agissait d'une violation du RGPD et, après plusieurs années, l'EDPB a réglé le différend.
En décembre 2022, l'EDPB a confirmé que Meta ne pouvait pas s'appuyer sur des contrats avec ses utilisateurs pour utiliser leurs données personnelles à des fins de publicité comportementale.
2023
Peu après, en janvier 2023, l'autorité irlandaise de protection des données (responsable des activités de Meta dans l'UE) a infligé une amende de 390 millions d'euros à l'entreprise, lui donnant trois mois pour mettre ses activités en conformité avec le RGPD et la décision de l'EDPB.
Afin de ne plus s'appuyer sur les contrats sans avoir à demander le consentement pour la publicité comportementale, Meta a annoncé en mars 2023 qu'elle s'appuierait plutôt sur l'intérêt légitime.
L'intérêt légitime est une base légale pour le traitement des données à caractère personnel en vertu du RGPD, ce qui donne aux entreprises la possibilité d'utiliser les données lorsqu'il n'y a pas d'autre moyen d'atteindre l'objectif souhaité, tant que les intérêts et les droits des personnes ne prévalent pas sur la collecte des données.
Plusieurs régulateurs de l'UE ont critiqué ce changement et, en juillet 2023, la Cour de justice de l'Union européenne (CJUE) a jugé que Meta avait enfreint le RGPD en commettant un "abus de position dominante".
L'autorité norvégienne de protection des données, Datastylnet, a été la première à agir sur la base de cette décision et a annoncé une interdiction de trois mois de la publicité comportementale de Meta en Norvège, du 4 août au 3 novembre 2023.
Enfin, le 27 octobre 2023, l'interdiction a atteint un niveau bien plus conséquent pour la Meta lorsque l'EDPB l'a étendue de manière permanente à l'ensemble de l'UE/EEE.
Meta a été contraint d'adopter une approche fondée sur le consentement et a lancé en novembre une version payante et sans publicité de Facebook et d'Instagram pour ses utilisateurs de l'UE, au prix de 9,99 euros par mois.
La capture d'écran ci-dessous, publiée par un utilisateur de Reddit dans r/askIreland, montre à quoi ressemblait la fenêtre contextuelle pour les utilisateurs de l'UE.
La loi européenne sur l'IA
Les institutions européennes espèrent finaliser dans les prochains mois une autre évolution réglementaire importante susceptible d'avoir un impact sur la publicité comportementale : la loi sur l'intelligence artificielle de l'Union européenne(loi sur l'IA de l'UE).
La loi européenne sur l'intelligence artificielle est un règlement officiel proposé par la Commission européenne pour réglementer et créer un cadre juridique pour l'utilisation de l'intelligence artificielle.
Elle définit plusieurs niveaux de risques associés à l'IA et exige que les entreprises utilisant des systèmes d'IA prennent des mesures appropriées en fonction de ces niveaux de risque.
Avec le développement de l'IA pour analyser des modèles et faire des prédictions sur de vastes ensembles de données, il n'est pas surprenant que l'une de ses nombreuses applications ait été la publicité ciblée.
Des géants de la technologie comme Google, Meta et Amazon ont intégré des fonctions d'IA dans leurs plateformes publicitaires.
Bien qu'il soit trop tôt pour en connaître les détails, l'entrée en vigueur de la loi européenne sur l'IA ajouterait de nouvelles exigences aux entreprises qui utilisent l'IA pour la publicité comportementale :
- Notifier aux utilisateurs qu'ils interagissent avec un système d'IA, par exemple lorsque l'IA générative crée des publicités ciblées.
- Fournir aux utilisateurs des informations transparentes sur la conception, le développement, l'utilisation prévue, les caractéristiques, les capacités et les limites d'un système d'IA.
- Permettre une supervision humaine grâce à des outils d'interface, soit intégrés au système d'IA, soit pouvant être mis en œuvre par l'utilisateur.
Résumé
L'évolution de la publicité comportementale, poussée par les réseaux sociaux et stimulée par l'apparition de l'IA, a attiré l'attention du public et des régulateurs.
Pour naviguer dans ce paysage, les entreprises doivent comprendre les mécanismes de la publicité comportementale et adopter des pratiques conformes aux réglementations en matière de confidentialité des données.
Trouver un équilibre entre des stratégies publicitaires efficaces et le respect de la vie privée et du consentement des personnes est une obligation légale et une considération fondamentale pour la réputation d'une entreprise.
