Sorti en salles le 25 mai, et toujours en tête d’affiche, ce thriller au scénario controversé fait polémique chez plus d’un annonceur. Attention spoiler!

Eh oui, le Grand, le Terrible 25 mai tant redouté des annonceurs est passé! Deux mois après la mise en place effective du nouveau RGPD, quels sont les premiers insight, les premières victimes et les plus belles cabrioles?

 

CONSTAT

Adeptes des campagnes Display vous l’aurez sûrement constaté, les performances des plans pilotés au trafic ou au lead ont considérablement chuté.

On observe en effet une baisse drastique des taux d’arrivée (autour de 1%) sur les sites conformes RGPD : Le pixel de visite n’est appelé que s’il y a consentement de l’internaute au préalable (acceptation du bandeau de cookie). Difficile donc de tracker les visites générées par l’annonce publicitaire. On retrouve cette même problématique pour les leads : Pour remonter les données, il faut que l’utilisateur accepte les cookies. Pour peu que l’annonceur impose le refresh de la page pour prendre en compte le consentement, le trackage devient impossible.

Il en va de même pour les campagnes de retargeting. Impossible de ré-adresser un bassin d’audience s’il n’a pas accepté le cookie de retargeting.

Criteo, leader du secteur retargeting, arrive à passer outre les mailles du filet grâces à des algorithmes utilisant des données techniques ou pseudonymisées ne nécessitant pas l’opt-in, à l’inverse des données dites sensibles. Pour les données qui nécessitent justement l’acceptation de cookie, il joue sur les failles du règlement en considérant que le consentement de l’internaute est acquis, dès lors qu’il poursuit sa visite après exposition du bandeau d’acceptation de cookie; et ce, même s’il n’a pas donné son accord explicite.

Les acteurs de la publicité digitale ont donc aujourd’hui le choix de jouer sur ce flou juridique, mettre à jour leurs benchmark ou optimiser sur d’autres indicateurs.

 

VICTIMOLOGIE

Et la première sanction post RGPD est attribuée à… Optical Center! A peine 2 semaines après la mise en place effective du nouveau RGPD, l’annonceur écope d’une amende de 250 000€ pour “fuite de données conséquente” : Lors de cette fuite, les internautes pouvaient accéder aux factures des autres clients ainsi qu’à d’autres données sensibles (santé, carte de sécurité sociale etc). La sanction reste indulgente, l’annonceur n’a pas écopé de la peine maximale prévue par le RGPD, car cette faille de sécurité datait de 2017.

Côté agence, le groupe de communication français Publicis accuse un recul de son activité au deuxième trimestre, s’expliquant en partie par l’impact sur son business du règlement européen sur la protection des données personnelles. Son application aurait occasionné des coûts importants. « Chacun des contrats que l’on a avec les éditeurs a été revu en prisme du RGPD. Cela prend du temps, cela coûte de l’argent et cela a créé des délais » explique Arthur Sadoun, le président du directoire de Publicis.

Les régies Fidzup et Teemo viennent d’ailleurs d’être mises en demeure par la CNIL, après des vérifications ayant permis de relever que le consentement des données n’étaient pas recueilli comme la loi l’exige. Face à ces manquements constatés, la présidente de la CNIL Isabelle Falque Pierrotin, a décidé de mettre en demeure les sociétés Fidzup et Teemo à se conformer à la loi RGPD dans un délai de 3 mois.

Maximilian Schrems, activiste autrichien militant pour les libertés en ligne a quant à lui lancé les premières plaintes contre les géants du Web en attaquant Google, Instagram, Whatsapp et Facebook (Via Noyb.eu, une organisation qu’il a fondée), pour avoir “forcé leurs utilisateurs à accepter leurs nouvelles politiques de confidentialité”. Les plaintes ont été déposées dans 4 pays différents : France (Google), Autriche (Facebook), Belgique (Instagram), Allemagne (WhatsApp).

Pour rappel le RGPD peut sanctionner jusqu’à 4% du CA mondial. Théoriquement Google encourt dont jusqu’à 3,7 milliards d’euros d’amende et Facebook 1,3 milliard.

 

FOCUS SUR NOS AMIS DU SOCIAL

En effet, on peut se demander comment les plateformes sociales (dont leur coeur de métier est tout de même la collecte et l’exploitation de la data) ont réagi face aux nouvelles normes du RGPD?

Facebook : Les datas des utilisateurs hors Union Européenne ont été rapatriées de l’Irlande au siège de la plateforme, à Menlo Park aux USA. Les utilisateurs de l’Union Européenne doivent quant à eux obligatoirement accepter la nouvelle politique d’utilisation des données. En cas de refus, le compte sera tout simplement supprimé.

Twitter : Tout les comptes des utilisateurs de -16 ans ont été bloqués car considérés comme trop jeunes pour accepter les nouvelles conditions. Pour débloquer leurs comptes, il leur faut donc l’accord de leurs parents, qui doivent valider l’utilisation des données de leurs enfants et également fournir des infos sur leur propre identité. Ce qui permet au passage une double-collecte de data.

De manière générale, pour éviter tout impact sur les formats qui favorisent le retargeting (Facebook Pixel, Twitter Pixel, etc), les plateformes sociales se dédouanent de toute responsabilité. A l’image de la FAQ Twitter qui indique que : “Twitter est le contrôleur des données qu’il reçoit via le pixel Twitter et les partenaires de suivi des conversions sur les applications mobiles. Twitter exige des annonceurs qu’ils mettent en place des mécanismes de préavis et de consentement en lien avec leur utilisation de ce programme, comme décrit dans les Conditions relatives au programme de suivi des conversions”.

En définitive pas vraiment de répercussion au niveau de ces acteurs. A voir maintenant s’ils seront seront épargnés ou sanctionnés pour leurs pratiques ambigües, suite au procès intenté par Maximilian Schrems.

Attention donc à pas négliger la bonne mise en place du RGPD au sein de vos entreprises afin d’éviter de lourdes sanctions!

D’ailleurs et vous, le RGPD ça vous inspire quoi?