Ciblage publicitaire sur les réseaux sociaux: opt-in ou opt-out?
Retour sur la récente décision de la CNIL sanctionnant un retailer d'une amende de 3,5 millions d'euros pour ne pas avoir recueilli correctement le consentement de ses clients.
Affirmer que le ciblage publicitaire sur les réseaux sociaux exige un consentement préalable des personnes ciblées est un raccourci un peu rapide. Ce n’est pas ce qu’est venu dire la CNIL dans sa décision du 30 décembre 2025 qui, au contraire, prend soin de ne pas se prononcer sur ce sujet délicat de la base légale mobilisable pour du ciblage publicitaire sur les réseaux sociaux.
La CNIL rappelle que c’est le retailer qui détermine la base légale sur laquelle il cible ses clients sur les réseaux sociaux et en l’occurrence, le retailer déclarait avoir choisi le consentement.
Dont acte, la CNIL s’attèle donc uniquement à vérifier que ce consentement est collecté conformément aux exigences du RGPD (explicite, spécifique, libre, éclairé).
Malheureusement en l’espèce, la CNIL considère que ce consentement n’est pas valablement recueilli. C’est donc sur la forme de la collecte du consentement que porte la décision de la CNIL et non sur l’obligation de collecter un consentement, celui-ci n’étant pas la seule base légale possible pour du ciblage publicitaire.
Concrètement, le retailer invoquait le consentement recueilli pour la réception d’email (“l’opt in email”) pour justifier de l’utilisation de l’adresse email de ses clients à des fins de ciblage publicitaire sur les réseaux sociaux également. Cela peut sembler logique: sur les réseaux sociaux, c’est bien souvent l’email qui est utilisé comme clé de correspondance pour permettre au réseau social de réidentifier les personnes concernées. Un client qui a consenti à recevoir les nouveautés de son magasin par email consentirait ainsi également à être exposé aux publicités de son magasin lorsqu’il navigue sur un réseau social. C’est d’ailleurs l’un des arguments qui était développé par le retailer : les personnes ayant adhéré au programme de fidélité et ayant consenti à recevoir de la prospection commerciale de la part du retailer pouvaient raisonnablement s’attendre à voir apparaître des publicités pour le retailer sur le réseau social.
Ce n’est cependant pas l'avis de la CNIL, qui considère au contraire que le consentement au ciblage publicitaire sur les réseaux sociaux ne peut être confondu avec l’opt-in email/SMS puisqu'il s’agit de traitements de nature différente: le ciblage sur les réseaux sociaux implique la transmission de données à un tiers (ce qui n’est pas nécessairement le cas de l’emailing/smsing) et l’utilisation d’un canal différent pour l’envoi de messages publicitaires dans un environnement différent.
Partant, le consentement au ciblage sur les réseaux sociaux doit être recueilli de façon distincte du consentement à la prospection par voie électronique.
La CNIL donne un exemple de ce que pourrait revêtir la forme de ce consentement : “une case à cocher sur le formulaire d’adhésion au programme de fidélité mentionnant clairement la finalité de ce traitement et offrant la possibilité aux personnes d’accepter ou non sa mise en oeuvre”.
Cela étant dit, il convient de rappeler que la base légale de l’intérêt légitime (régime “d’opt out”) demeure mobilisable pour réaliser des opérations de ciblage publicitaire.
A ce titre, l’EDPB indique dans ses lignes directrices dédiées au ciblage sur les réseaux sociaux qu’un organisme peut invoquer l’intérêt légitime pour cibler ses clients sur les réseaux sociaux dès lors que les conditions suivantes sont respectées:
a) le client est informé, au moment de la collecte de son adresse électronique, du fait que celle-ci peut être utilisée à des fins de publicité via les médias sociaux pour des produits ou services liés à ceux dont il bénéficie ;
b) la publicité concerne des produits ou services similaires à ceux pour lesquels la personne est déjà cliente, et
c) le client a eu la possibilité de s’opposer avant le traitement, au moment où les données à caractère personnel ont été collectées par l’organisme.
Si ces conditions ne sont pas respectées, alors la base légale du consentement est la plus adéquate.
Cependant, en l’absence d’interface telle qu’un formulaire de collecte des données, ce qui est très souvent le cas des parcours d’achat en magasin où les interactions restent orales, il est complexe de recueillir un consentement dédié au ciblage publicitaire, qui viendrait en plus du consentement collecté pour la réception des nouveautés par email ou SMS. La base légale de l’intérêt légitime est donc particulièrement adaptée au commerce physique, sous réserve de respecter quelques pré-requis:
- Information des personnes au moment de la collecte de leur adresse email (affichage en caisse par exemple) sur la possibilité de l’utiliser pour de la publicité liée aux produits qu’il a déjà achetés,
- Envoi au client, après son passage en caisse, d’un email lui rappelant clairement la finalité de ce traitement et la possibilité de s’y opposer.
Une telle pratique correspond aux attentes raisonnables des consommateurs qui sont désormais conscients qu’en créant un compte client en magasin et en donnant leur adresse email, ils peuvent recevoir de leur magasin des publicités pour ses produits, y compris sur les réseaux sociaux.
Dans un monde où la course au consentement règne, à tel point que nos régulateurs sont même prêts à en confier la collecte aux navigateurs (cf. projet d’Omnibus numérique), il est bon de se rappeler qu’il reste aussi une place pour l’intérêt légitime et le régime d’opt-out, y compris pour lutter contre la fatigue du consentement...