#4 - NL Cookie Free - Janvier 2022
Les marques FMCG à fond dans la collecte de données 1st
C’est le nouveau refrain du marché depuis que les données 3rd Party sont vouées à l’extinction : il faut absolument tout mettre en œuvre pour amasser autant de données 1st party que possible. Ce que les données tierces ne peuvent plus, les données propriétaires le pourront. Cette proposition d’un apparent bon sens est d’autant plus séduisante qu’elle participe d’une logique de capitalisation, où l’accumulation d’actifs produit des intérêts, par opposition aux données tierces dont on ne dispose que d’un usufruit.
Depuis peu, beaucoup de marques de grande consommation semblent en avoir fait leur mantra et sont passées de l’incantation spirituelle à la pratique, en enchainant les opérations visant à nourrir leur patrimoine Data.
Le schéma général de ces opérations consiste à proposer des éditions spéciales, des goodies, des produits personnalisés etc… via des supports digitaux exclusivement (site e-commerce notamment, où il s’agit alors tout simplement de ventes directes), en échange d’une inscription et du partage de données personnelles.
Oreo, avec son programme Oreo ID de personnalisation de cookies, est une marque particulièrement aguerrie à cette pratique. Elle lance régulièrement des éditions spéciales, par exemple à l’effigie des Pokémon comme en fin d’année dernière, avec un certain succès commercial permettant de couvrir les coûts de collecte. D’autres marques choisissent le créneau des goodies pour attirer le chaland, comme Heinz avec son kit pour costume Halloween ou Budweiser avec des décorations pour … squelettes, Halloween encore.
Dans ce méli-mélo de gimmicks, tout ne se vaut pas. Que penser du dentifrice Tropicana « Le seul à ne pas gâcher le goût d’un verre de jus d’orange Tropicana », que la marque offre en échange d’un follow et d’une adresse email ?
Pourquoi c’est important :
Le lien avec les consommateurs étant détenu par leurs distributeurs, les marques FMCG sont structurellement pauvres en données. Il est naturellement stratégique pour elles de chercher à rentrer en contact direct avec leurs clients, même si par ces opérations elles ne le font qu’avec une portion infime de leur marché, raison pour laquelle celles-ci ont une portée plus marketing que directement commerciale.
Ces données peuvent leur permettre d’approfondir leur connaissance client, et de constituer des audiences « embryonnaires » proliférant en cible de prospection par des techniques de Look Alike. Voici comment une opération ayant généré 1000 inscriptions peut servir les intérêts d’une campagne adressant des millions de prospects.
Bien exécutée, cette stratégie peut servir le business et être un vecteur d’efficacité, mais elle est sujette à certains points d’attention :
· La représentativité des profils d’audience recrutés, si par exemple les opérations ont recueilli une trop forte concentration de consommateurs opportunistes ou déjà acquis à la marque
· La cohérence des audiences de profils similaires créées à partir des données 1P collectées, qui dépend de la configuration des modèles statistiques utilisés, des données personnelles disponibles et exploitées par ces modèles, tout ceci dans un contexte (fin des ID 3rd party) où le croisement de données de différentes origines se complexifie
· L’activation de ces audiences en dehors des grandes plateformes connectées (Google et Facebook), également compromise par la fin des ID 3rd party
· La crédibilité et la légitimité de marques qui aux fins d’une stratégie de collecte de données, pourraient employer des moyens qui compromettent leur image (exemple de Tropicana)
La CNIL aux GAFA : « oui, j’ai autorité pour vous juger »
Marie-Laure Denis, présidente de la CNIL, l’avait énoncé l’année dernière : refuser le dépôt d’un cookie doit être aussi simple que l’accepter, et ce principe vaut pour tout le monde, sites d’éditeurs Français comme grandes plateformes internationales.
Jusqu’à présent, les GAFA étaient considérés comme étant assujettis à un régime juridique particulier par la faveur de la procédure du guichet unique du RGPD. Abritées derrière ce mécanisme, les plateformes se référaient à la norme plus souple des autorités Irlandaises, pays d’établissement de leur siège en Europe.
Nonobstant le cadre de procédure prévu par le RGPD, pourtant communément admis depuis son entrée en vigueur, la CNIL a lancé une opération de contrôle sur les sites de Google et Facebook, conclue par une condamnation pour non-conformité des modalités de recueil de consentement, prononcée le 6 Janvier 2022.
La délibération de la CNIL n’est pas surprenante sur le fond, l’enfreinte à la ligne directrice de la CNIL étant manifeste. Elle est cependant majeure sur la forme, et c’est ce qu’il faut retenir : la CNIL s’est jugée compétente pour contrôler et sanctionner Google et Facebook sur les modalités de consentement.
Pour justifier de sa compétence, la CNIL a fait valoir que la source précise de l’obligation légale trouvait son origine dans la directive Européenne " ePrivacy " de 2002, transposée dans la loi Française " Informatique et Libertés ". Cette directive régit les opérations d’enregistrement de données sur Internet, et déroge ainsi, en tant que loi spécifique, à la loi générale du RGPD, du point de vue de la CNIL.
Par cette décision, Google et Facebook sont sommés de rejoindre la règle commune déjà appliquée sur les sites des éditeurs Français, et devront proposer au même niveau refus et acceptation aux visiteurs qui ne sont pas déjà inscrits et connectés à leur service (ce sont ces seules conditions de navigation qui ont été contrôlées).
Pourquoi c’est important :
La CNIL a réalisé un petit tour de force juridique pour pallier les carences de la procédure Européenne du RGPD, régulièrement décriée pour son incapacité à appliquer le droit de manière égalitaire.
Toutefois rien ne dit que ce jugement en première instance ne fera pas l’objet de recours devant des juridictions qui pourraient contredire l’interprétation (astucieuse) de la CNIL l’ayant conduit à se juger compétente. Une meilleure assise juridique, des règles harmonisées et mieux établies, sont nécessaires pour que la juste application des principes du RGPD ne dépende pas de l’ingéniosité juridique d’autorités comme la CNIL. C’est un des principaux objectifs de la mise à jour de la directive "eprivacy", qui pourrait enfin voir le jour en 2022 après 4 ans d’attente.
Passé l’effet d’annonce, l’impact pour Google et Facebook sera limité aux seuls visiteurs non-inscrits, tandis ce que pour tous les autres, le statut du consentement est stocké dans les paramètres de compte utilisateur et n’a pas à être resollicité, ce qui demeure un avantage substantiel par rapport aux sites dont l’audience est anonyme.
Source : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044840062
Privacy Sandbox : What the FLoC ?!
Au sein du projet Privacy Sandbox, qui vise à instituer des solutions technologiques alternatives aux cookies tiers sur Chrome, la proposition « FLoC » de Google tient une place particulièrement scrutée par le marché de la publicité puisqu’elle a vocation à être le futur système de ciblage de profils d’audience par centre d’intérêt. Concrètement, « FLoC » consiste en la création par Chrome de groupes d’utilisateurs ne contenant plus aucune donnée identifiante, seule une donnée collective de groupe étant accessible (= le centre d’intérêt que partagent les utilisateurs du groupe).
Le système a pu être testé par le marché (principalement des acteurs de l’ad-tech) sur un échantillon d’utilisateurs de chrome durant le premier semestre 2021, expérience au terme de laquelle des observations, critiques et recommandations ont été reçues et analysées par les équipes responsables du projet chez Google. Celles qui ont eu l’écho le plus manifeste concernent les usages détournés que FLoC pourrait induire (fingerptinting, profiling, fuite de données sensibles), en donnant accès à une information sur l’historique de navigation des utilisateurs.
Après étude, Google s’est décidé à revoir sa copie, en modifiant le type de données exploitables par le marché :
· Au lieu de fournir des codes de cohortes (i.e cohort id = 4235), chacun représentant un segment type de comportement de navigation (non explicite), Chrome fournira des thématiques de centres d’intérêt (i.e : topic = Voyage/croisières). Le profil d’audience est de cette manière plus intelligible et facilement exploitable.
· Le nombre de segments utilisateurs différents est réduit de 32 000 à 256. Il y aura donc une taxonomie de 256 thématiques différentes de centre d’intérêt. En réduisant ainsi la précision des données, Chrome limite le potentiel de fingerprinting.
· Un utilisateur pourra être associé à différentes thématiques de centre d’intérêt, et Chrome pourra communiquer des thématiques différentes à deux sites différents pour un même utilisateur, toujours de manière à prévenir une exploitation des données en fingerprinting. Dans la première itération de FLoC, chaque utilisateur était assigné à une cohorte unique.
Pourquoi c’est important :
Les équipes produit en charge du projet chez Chrome doivent concilier deux objectifs contradictoires : la protection de la privacy des utilisateurs, et la réponse aux besoins du marché publicitaire en matière de ciblage. Dans cette nouvelle version de FLoC, Google s’est essentiellement attaché à renforcer la sécurité du système et à donner des gages aux tenants d’une stricte prévention de l’identification et du tracking des utilisateurs.
Ce qui est gagné en sécurité pour les utilisateurs est perdu en précision pour la publicité… La proposition de Google tend à toujours plus s’orienter vers une standardisation des cas d’usage, là où beaucoup de marques ont besoin de développer des stratégies de ciblage adaptées sur mesure à leur mix marketing.
Précisons qu’aucune communication officielle n’a encore été faite par Google, et qu’à ce stade il demeure envisageable que FLoC connaisse de nouvelles itérations au gré des échanges avec le marché, des tests, mais aussi de la collaboration avec les autorités de la concurrence.
Conclusion : les futures règles du jeu sur Chrome sont plus que jamais incertaines…
Source : Intervention de Josh Karlin/Google Chrome
Le newsfeed Facebook, c’est plus la jungle
Fin Novembre 2021, Meta a annoncé la mise en place de paramètres de contrôle de contenu pour les campagnes diffusées sur les newsfeeds Facebook et Instagram. Ces paramètres donnent aux annonceurs la possibilité d’exclure des thématiques de contenu du cadre de diffusion de leurs campagnes sur le newsfeed, exactement comme cela est pratiqué avec un outil de contrôle Brand Safety en programmatique.
Meta a longtemps été réticent à introduire de tels paramètres, considérant que seul le profil d’audience ciblé avait une influence sur les effets d’une campagne. La plateforme a fini par céder devant l’insistance des annonceurs revendiquant des garanties sur l’affichage des publicités dans des contextes appropriés, revendication ayant viré à un boycott spectaculaire en Juillet 2020 (parmi les participants se trouvaient Adidas, Unilever ou encore Coca-Cola), après que Facebook ait refusé de censurer des propos de Donald Trump incitant à la violence et à la haine.
De tels contrôles étaient déjà disponibles sur la plateforme pour les emplacements insérés au sein d’un contenu (vidéos instream, instant articles, audience network), mais sont plus complexes à articuler avec l’architecture d’un feed, où les contenus (publicitaires ou non) sont insérés dynamiquement et selon des critères propres à chaque utilisateur.
Ces nouveaux paramètres seront ouverts à l’ensemble des annonceurs dans le courant du 1er trimestre, et dans un premier temps limités à trois grands ensembles thématiques : actualité politique, débats de société, crimes et tragédies. Ce roll out est une première étape et Meta continue à travailler dans cette direction pour étendre les thématiques couvertes et rendre les contrôles plus précis. Enfin, des partenariats avec des outils d’adverification sont en cours de finalisation pour permettre une mesure par un tiers.
Pourquoi c’est important :
Meta avait déjà commencé à accommoder sa doctrine du planning d’audience à l’évolution du contexte Data avec la création de fonctions de ciblage contextuel sur ses emplacements vidéo instream. Ces derniers ne représentent toutefois qu’une part négligeable de l’inventaire de la plateforme, qui, de par les usages des utilisateurs, reste très concentré sur le newsfeed. Si pour le moment seule la possibilité d’exclure des thématiques est offerte, et non d’en sélectionner positivement, on peut penser que Meta a prévu de développer une fonction de ciblage par le contenu / contexte au sein du newsfeed.
A quelques jours d’intervalle, Meta publiait d’ailleurs une étude menée par ses équipes marketing science selon laquelle le ciblage démographique large générait autant voire plus d’efficacité qu’un ciblage trop précis par centre d’intérêt. Un argumentaire qui vient nourrir l’intérêt d’une nouvelle approche orientée contenu & contexte sur la plateforme.
Source : https://www.facebook.com/business/news/testing-topic-exclusion-controls-for-advertisers
Unified ID : projet ambitieux cherche patron courageux
Remplacer le cookie tiers par l’adresse email de l’utilisateur, tel est le concept au cœur de l’initiative collective et participative Unified ID, lancée par le DSP The Trade Desk en 2020. Le projet a depuis connu une forte adhésion du marché (Criteo, Xandr, Nielsen, Oracle sont membres actifs et contributeurs), et le développement de l’infrastructure technologique est suffisamment avancé pour que de premiers tests en conditions réelles aient été lancés au Canada et aux US.
Néanmoins, l’initiative bute en Europe sur le sujet de la conformité au RGPD, comme plus tôt Google en avait fait l’expérience avec Privacy Sandbox, dont les tests n’ont pu être ouverts en Europe pour cette même raison.
Dans la mesure où des données personnelles sont collectées et exploitées pour une finalité de création et commercialisation de cibles publicitaires, une entité juridique doit être déclarée en tant que responsable de traitement. Le projet se cherche donc un administrateur, qui aura entre autres la responsabilité de la gestion de la base de données centrale vers laquelle seront dirigées toutes les données personnelles collectées, ainsi que la transmission des statuts de consentement.
Cet administrateur ne pouvant être une des parties prenantes directes au projet (un DSP, un SSP, un éditeur média…), dans le souci de garantir l’indépendance de la gouvernance, les regards se sont tournés vers l’IAB, candidat d’autant plus naturel que l’institution a été le principal facilitateur et lieu de convergence du projet.
Problème : l’IAB semble avoir quelques réticences à assumer un tel rôle étant donné les risques associés à ce statut. Si une infraction au RGPD était établie, l’IAB serait en effet légalement responsable.
Prudente, l’institution n’avait déclaré qu’un rôle de sous-traitant des données échangées par son outil de transmission de signaux de consentement en programmatique, le Transparency and Consent Framework (TCF), statut lui permettant de s’affranchir d’obligations importantes (sécurisation des données, audit des sous-traitants…). Elle pourrait bientôt être sanctionnée en Belgique, précisément pour ne pas s’être déclarée en tant que responsable de traitement.
Pourquoi c’est important :
Unified ID est l’un des projets d’alternative au cookie tiers les plus attendus par le marché, car il peut être celui dont la nature et le fonctionnement sont les plus à même de fournir une forme de continuité aux annonceurs :
· Un système et une technologie indépendants, là où Privacy Sandbox est conçu et fabriqué par une entreprise dont certaines activités rentrent en concurrence avec celle des entreprises qui l’utiliseront
· Un moyen qui offre de librement (sous couvert de consentement bien entendu) croiser et manipuler des données, et qui n’est ainsi pas limité à des cas d’usage standardisés comme dans Privacy Sandbox
· Un identifiant déterministe que les navigateurs web et systèmes d’exploitation ne peuvent pas brider, contrairement à une identification par fingerprinting, que Google et Apple prohibent
· Un système universel, ouvert à l’ensemble des éditeurs, qui a vocation à servir les stratégies de planning d’audience en open web, par opposition aux initiatives d’alliances média privées
Sur le marché Européen, il est donc suspendu à l’établissement d’une gouvernance, ce qui retarde considérablement le calendrier initialement prévu. Une fois ceci obtenu, pour que le projet ne reste pas une coquille vide, il faudra que les éditeurs adoptent la solution, et parviennent à obtenir l’inscription et la connexion de leur audience. Pas gagné non plus…