RGPD : un an plus tard, l'adtech navigue toujours à vue
Le 25 mai 2018 entrait en vigueur le règlement général sur la protection des données personnelles (RGPD). Un texte chargé d'harmoniser la protection de la vie privée des internautes en Europe mais aussi une source d'inquiétude pour les annonceurs et leurs partenaires médias, les données de ciblage leur étant devenues indispensables avec l'essor du programmatique. "Le RGPD, c'est un peu l'équivalent du bug de l'an 2000 pour le monde de l'adtech", résume Rémi Cackel, global head of data chez Teads. Un constat partagé par Etienne Drouard, associé au sein du cabinet K&L Gates, qui estime que "le marché de la publicité est l'un des secteurs économiques les plus touchés par l'entrée en vigueur du RGPD".
"Les volumes d'inventaires proposés sont aujourd'hui identiques à ce qu'ils étaient il y a un an"
De fait, tout a plutôt mal commencé, Google décidant la veille de la mise en place du RGPD de couper ses investissements vers la plupart des réseaux pubs opérant en Europe. A la clé, une chute drastique du nombre d'impressions accessibles aux acheteurs. La principale inquiétude du marché - devoir faire face à une baisse de l'inventaire proposé en programmatique faute d'obtenir le consentement des internautes - s'est donc matérialisée dès les premières heures du RGPD. Mais une fois le couac Google digéré, les choses sont vites revenues à la normale. "Les volumes d'inventaires proposés sont aujourd'hui identiques à ce qu'ils étaient il y a un an", assure Dominique Latourelle, head of RTB chez iProspect France.
Rien d'illogique : le marché pub a rapidement su s'adapter, avec d'une part l'apparition de consent management platforms (CMP), qui permettent de récolter le consentement des internautes (l'américain Quantcast est le leader de ce marché avec près du tiers des installations), et d'autre part la mise en place d'un framework de transmission du consentement (TCF), à l'initiative de l'IAB Europe. Près de 75% des sites membres du réseau Teads ont par exemple installé une CMP en France. Le ratio est de 64% en Europe. Bonne nouvelle pour le marché pub, à peine 5% des internautes refusent que leur donnée soit collectée à des fins de ciblage, selon Teads. Sans doute parce que la plupart des CMP sont aujourd'hui configurées de façon à obtenir une réponse positive pour tous les paramètres de personnalisation (contenu, pub, services…). Une pratique sur laquelle la Cnil ne s'est pas encore prononcée mais qui risque d'être mise à mal par l'arrivée prochaine du règlement eprivacy.
Malgré cela, tous les acteurs du marché ne recueillent pas un consentement. "Près de 90% du marché opère selon la base légale du consentement explicite, estime Dominique Latourelle. Le reste s'appuie sur l'intérêt légitime." Ces derniers considèrent qu'il n'y a pas besoin de demander son avis à l'internaute, la diffusion d'une publicité adaptée à ses centres d'intérêts ayant une véritable valeur ajoutée pour lui. Ces nuances légales ne sont pas sans poser quelques problèmes… "Nous n'arrivons pas à diffuser des campagnes avec un adserver qui invoque l'intérêt légitime auprès d'un réseau pub qui s'appuie lui sur le consentement explicite", illustre Dominique Latourelle. Google, qui n'a eu de cesse de repousser l'adoption du TCF (et devrait enfin le faire à l'occasion de la sortie de la V2 cet été), fait pour l'instant bande à part.
Si le RGPD n'a pas eu d'impact sur les volumes, en a-t-il eu sur les revenus ? Teads, qui a annoncé des résultats record pour l'année 2018, assure que les CPM n'ont pas bougé. iProspect, lui, refuse d'extrapoler un quelconque effet RGPD, les paramètres étant trop nombreux. "Les CPM ont notamment été boostés par le déploiement du header bidding et le passage du marché au 1st-price", rappelle Dominique Latourelle.
Quel effet pour Facebook et Google ?
Quid des parts de marché ? Plusieurs études suggèrent que Google et Facebook ont renforcé leur hégémonie sur le marché publicitaire. Ces walled gardens ont d'autant moins de mal à obtenir le consentement des internautes que celui-ci est noyé dans des conditions générales d'utilisation. Mais il est difficile, ici encore, d'identifier un véritable effet RGPD, vu le niveau déjà élevé de la part de marché de Facebook et Google, même si celle-ci s'est légèrement accentuée entre 2018 et 2019. Dominique Latourelle assure, lui, ne pas avoir vu de gros changements. Il confesse toutefois passer désormais exclusivement par Google lorsqu'il s'agit de faire du reciblage d'internautes exposés à des campagnes pubs. Le cas de figure le plus courant est le reciblage des internautes qui ont vu 100% d'une publicité vidéo. "Dans ces cas où il n'y a aucune action de l'internaute permettant de s'assurer de son consentement, on ne diffusera que via le DSP de Google, DV360, au sein de l'écosystème Google, pour ne prendre aucun risque." Un peu plus tranché, Etienne Drouard dénonce lui "un certain panurgisme des annonceurs qui se tournent vers les géants pub en se disant que si des sanctions tombent, ils s'abriteront derrière ces derniers."
"Le RGPD a fait beaucoup de mal aux adtechs qui s'appuient sur des SDK et le geofencing pour collecter de la donnée de géolocalisation"
Des sanctions, il y en a eu effectivement. Google n'a pas été épargné, avec une amende de 50 millions d'euros infligée par la Cnil, pour avoir contraint les nouveaux inscrits Android à accepter en bloc plusieurs finalités de traitement de leurs données. Mais c'est surtout le secteur des spécialistes de la donnée de géolocalisation qui a souffert. "Le RGPD a fait beaucoup de mal aux adtechs qui s'appuient sur des SDK et le geofencing pour collecter de la donnée de géolocalisation", confirme Dominique Latourelle. Teemo, Fidzup, Singlespot et Vectaury… La Cnil a mis en demeure publiquement quatre spécialistes de la géolocalisation en l'espace de quatre mois. Des mises en demeure qui ne font pas office de sanction, jure la Cnil, mais qui ont eu un impact économique indéniable. La plupart de ces adtech, qui venaient de lever plusieurs millions d'euros, ont dû mettre leur activité en pause durant quelques mois et repartir de zéro. Toutes ne sont pas encore sorties d'affaires. Etienne Drouard déplore la stratégie de la Cnil sur ce sujet : "Ces mises en demeure n'ont certainement pas apporté de solutions au marché."
Et c'est vrai qu'un an après l'arrivée du RGPD, le marché ne semble pas beaucoup plus avancé. Aucun acteur ne peut s'estimer complètement conforme au RGPD. Comment le pourraient-ils, alors "qu'aucune société n'a encore été officiellement agrémentée pour délivrer des certificats de conformité établis selon une grille de critères objectifs", rappelle Etienne Drouard. Les différentes autorités de régulation européennes en sont encore à discuter des conditions dans lesquelles de tels agréments seront délivrés. Tout ce flou est, selon Etienne Drouard, responsable de la pesanteur qui affecte aujourd'hui le secteur. "La crainte du RGPD a un impact économique : beaucoup d'entreprises ont renoncé à des investissements de peur de ne pas être conformes." Selon le directeur général de Teads France, Geoffroy La Rocca, l'arrivée du RGPD a contraint son groupe "à des investissements financiers et humains importants, quitte à devoir mettre certaines activités en pause." Un passage obligé, explique-t-il, "pour pouvoir accompagner tous nos partenaires éditeurs sur le sujet."
Le spectre eprivacy
L'expertise de Teads ne sera pas de trop en prévision du prochain bouleversement qui s'annonce : le règlement eprivacy. Ce texte, prévu pour 2020, va revoir les règles en matière de collecte du consentement sur le Web. Les éditeurs, qui s'appuient sur les cookies peuvent s'attendre à un certain durcissement. Le mode opératoire des CMP pourrait être revu. La Cnil a lancé une période de concertation avec les associations professionnelles. Les discussions devraient s'étendre jusqu'à fin de l'année. Ses recommandations sont attendues d'ici début 2020. Pour un bis repetita ?