Non contente de faire des ravages sur les comptes d’exploitation des entreprises, et singulièrement de celles du spectacle vivant et de l’événementiel, particulièrement impactées, la crise du Covid-19 coïncide avec une mutation cruciale des pratiques de communication digitale. En effet, à peine le nouveau règlement européen en matière de protection de la vie privée (plus ou moins) assimilé par les entreprises, la CNIL (Commission Nationale de l’Informatique et des Libertés) a édicté de nouvelles recommandations portant sur l’usage des traceurs publicitaires utilisés sur internet, plus familièrement baptisés « cookies ». Ces « recommandations » à vocation très obligatoire vont avoir des répercussions très directes sur les entreprises du spectacle et de la culture, qui commençaient tant bien que mal à appréhender le potentiel et les spécificités de la publicité digitale.
Des tendances de fond majeures
Sur un plan général, la crise sanitaire que nous traversons a au moins deux conséquences significatives sur le marché du spectacle et de l’événementiel dans le domaine de la data.
D’une part, elle rend encore plus évidente la valeur ajoutée des données propriétaires, que ce soit pour annuler ou reprogrammer un événement auprès des acheteurs de billets ou leur proposer des contenus ou événements de substitution en ligne, voire leur demander de faire don du montant de leur réservation à l’organisateur de l’événement. A cette occasion, certains producteurs ou lieux culturels se sont d’ailleurs rendu compte que les liens avec leurs spectateurs sont pour le moins ténus par rapport à celui dont jouissent certaines marques avec leurs clients dans d’autres secteurs économiques. Ce déficit existe aussi par rapport aux grands établissements culturels qui ont su aborder très tôt la gestion de la relation client et se sont équipés d’outils de CRM (Customer Relationship Management) pour favoriser l’engagement de leurs publics et la fidélisation de leurs audiences.
D’autre part, elle a renforcé la sensibilisation des internautes à la protection de leur vie privée. Cette tendance avait déjà été attisée par les excès du marketing digital depuis le début des années 2000. Elle a été renforcée par l’arrivée du RGPD, le Règlement Général sur la Protection des Données, initialement voté au Parlement européen et au Conseil de l’Union européenne le 27 avril 2016. Ce texte, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, a été ensuite transposé dans la loi française le 20 juin 2018… tout en étant entré en vigueur le 25 mai 2018. La crise sanitaire a exacerbé ce phénomène, comme on l’a constaté lors de la mise en place de l’application de traçage StopCovid par le gouvernement français au printemps de cette année.
Ces deux paramètres jouent de façon opposée sur la capacité des professionnels de la culture et du spectacle d’utiliser les techniques de communication digitale déjà en place dans de nombreuses autres activités économiques.
Les grands principes de la loi RGPD
A ce stade, il n’est sans doute pas inutile de rappeler les grands principes qui sous-tendent ce RGPD, qui complète la loi Informatique et Libertés et comporte pas moins de 99 articles… Deux principes majeurs s’appliquent aux données dont dispose directement un professionnel du spectacle ou de l’événementiel :
- D’une part, les données recueillies doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, et leur utilisation dépend évidemment du consentement explicite des internautes concernés.
- D’autre part, elles peuvent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Autrement dit, on ne peut recueillir que les données directement utiles par rapport au but recherché et on ne peut les garder que tant que leur objet initial reste valide, et ce dans certaines limites.
Ces deux principes induisent leur lot de contraintes. Ainsi, les entreprises détenant des données de leurs clients ou partenaires doivent faire une déclaration portant sur l’usage qui en sera fait. La société responsable du traitement doit être identifiée. Elle devra répondre de toutes les actions entreprises avec ces données et sera confrontée aux litiges qui en découleront éventuellement. Elle doit également nommer un Délégué à la protection des données, interne ou externe. Celui-ci doit d’une part informer et conseiller l’organisation qui l’a nommé, et d’autre part contrôler l’application des textes légaux et des règles internes en matière de données personnelles, en lien avec la CNIL.
Le droit à la portabilité qui permet aux individus de récupérer ses données afin de les stocker ailleurs ou de les transmettre facilement d’un système à un autre, est une autre contrainte forte, mais elle concerne peu l’univers du spectacle.
En cas de doute, toute entreprise peut se référer à la base d’information de la CNIL. Ainsi, celle-ci rappelle la nécessité d’avoir un lien de désabonnement intégré, d’assurer le droit à la limitation du traitement qui permet à un internaute de faire geler l’utilisation de ses données, et plus généralement de permettre à chacun d’en savoir plus sur la gestion de ses données.
En cas d’atteinte à ses données personnelles, chaque individu peut participer à une action de groupe, ou recours collectif, pour obtenir l’arrêt de la violation de ses données et la réparation du préjudice subi. Pour ce faire, il doit s’adresser à une association agréée ou à certains syndicats, qui mettent en œuvre une action de groupe pour les personnes se trouvant dans la même situation. C’est ce qu’a fait l’UFC-Que Choisir fin juin 2019 à l’encontre de Google à Paris pour « mettre fin à l’exploitation insidieuse des données personnelles de ses utilisateurs, particulièrement ceux détenant un équipement Android avec un compte Google ».
Les cookies, pour déguster ciblé
Le recueil de données issues de la navigation entre plusieurs sites ou systèmes vise à obtenir un profilage de l’internaute concerné en vue de lui adresser des publicités mieux ciblées… et mieux rémunérées.
Ce traçage de la navigation de l’internaute est obtenu à partir de cookies déposés par un éditeur, une régie publicitaire ou une société tierce.
Pour mémoire, un cookie est un fichier informatique stocké dans un ordinateur ou un smartphone. Il permet de collecter des données de navigation. Les cookies « first party » sont mis en place par le domaine inscrit dans la barre d’adresse du navigateur, les cookies tiers ou « third party » sont mis en place par l’un des objets de la page provenant d’un domaine différent. Certains sont indispensables, par exemple pour mémoriser les achats de billets de spectacles auprès d’une billetterie ou encore le moyen de paiement utilisé. D’autres n’ont en revanche qu’une fonction de collecte de données personnelles dans le seul but d’envoyer à l’internaute des publicités adressables personnalisées. Celles-ci sont en principe adaptées à ses centres d’intérêt mais aussi, trop souvent hélas, juste associées à des recherches effectuées sur le web, donnant lieu alors à des actions de re-ciblage ou retargeting, généralement très répétitives et intrusives. Cela justifie un cadre protecteur rigoureux, entre autres via l’obligation de demande à l’internaute de son consentement préalable au dépôt du cookie, a fortiori lorsque certaines de ces recherches génèrent des données sensibles, sur la santé par exemple.
Comme on peut le deviner, les cookies sont un formidable outil de monétisation des audiences de l’internet, d’où les batailles entre les éditeurs de sites d’une part, et les plateformes comme Google ou les grands réseaux sociaux comme Facebook d’autre part, qui accaparent la plus grande part des revenus associés.
De manière inattendue, la part des individus donnant leur consentement à l’utilisation de leurs données personnelles s’inscrit en forte hausse depuis la mise en œuvre du RGPD. A vrai dire, tout internaute est constamment confronté à cet enjeu : l’accès à chaque site ou appli est conditionné à l’expression de son accord ou de son refus à partager ses données privées, que ce soit sur un ordinateur ou sur un smartphone. Comme par hasard, le consentement, ou « opt-in », ne nécessite qu’un clic sur une bannière qui apparaît en format pop-in tandis que le paramétrage de son refus entraîne l’internaute dans une série d’étapes de configuration éprouvantes même pour les meilleures volontés… quand le refus ne se traduit pas tout simplement par l’interdiction de l’accès au site, une pratique illégale mais encore assez répandue.
Les grands annonceurs utilisateurs de cookies, et leurs partenaires éditeurs ou prestataires, ont peu à peu peaufiné leur façon d’optimiser le recueil du consentement, en variant le format, les mots, la taille de la police de caractère ou le design, jusqu’à obtenir le meilleur résultat. De guerre lasse, l’internaute clique sur n‘importe quoi pour avoir accès au site qu’il est venu consulter. Tout ceci explique l’augmentation sensible mais artificielle du taux d’opt-in, qui est désormais proche d’un internaute sur deux en moyenne.
Sans même en arriver à cette sophistication, une proportion non négligeable d’entreprises peine encore à se mettre en conformité avec le RGPD, alors qu’il ne leur reste que quelques mois pour s’aligner avec les exigences formulées par la CNIL.
Le gendarme montre son képi…
C’est dans le but de limiter ces excès ou d’accélérer cette mise en conformité que la CNIL a publié, après une concertation houleuse avec les acteurs de la publicité digitale, une recommandation, assortie de lignes directrices, sur la façon de traiter des données personnelles via des cookies. Là encore, deux principes émergent :
- Avant toute acceptation de cookies, l’internaute doit être informé de façon claire et synthétique de l’usage prévu : ciblage, personnalisation du message, géolocalisation, partage d’information avec les réseaux sociaux, etc.
- Le refus doit être aussi simple que l’acceptation, alors qu’aujourd’hui, un seul clic est requis pour cette dernière tandis qu’un refus nécessite plusieurs actions, parfois complexes, ce que le Conseil d’Etat a récemment jugé dissuasif.
Les responsables sont clairement désignés par les directives édictées par la CNIL. Le responsable du traitement est bien entendu l’éditeur du site qui dépose des cookies, par exemple pour personnaliser le contenu éditorial qui sera proposé à l’internaute. Mais les partenaires qui placent des cookies tiers sur les sites en question, par exemple une régie publicitaire, sont soumis aux mêmes obligations, et la conformité de leurs opérations est placée sous le contrôle direct de l’éditeur ou du responsable de traitement.
En aucun cas l’identité de l’entité plaçant les cookies tiers ne doit être masquée, par exemple via une délégation de sous-domaine. C’est pourtant ce qu’ont fait Facebook et Google lorsqu’Apple a installé en 2017 dans son système d’exploitation pour mobile IOS 11 un programme de protection contre le pistage, qui effaçait les cookies au-delà d’une semaine, hormis pour les sites fréquentés régulièrement où ils bénéficiaient d’une durée de vie d’un mois. Cette mesure visait à limiter la possibilité de ses concurrents d’établir des profils précis d’internautes à travers plusieurs sites. En réaction, Facebook et Google avaient proposé aux éditeurs de masquer leurs outils de tracking sous une « marque blanche » qui leur permettait de passer ce filtre de protection. Une opération désormais illégale.
De son côté, Google restreint peu à peu l’accès à a géolocalisation sur Android et envisage de supprimer totalement les cookies tiers d’ici deux ans.
La CNIL évalue le délai raisonnable de mise en conformité des acteurs du secteur à 6 mois. C’est donc à partir de début avril 2021 que les sanctions risquent de commencer à tomber…
Selon toute vraisemblance, ces nouvelles contraintes vont provoquer une rechute brutale des opt-in chez les internautes, et une disparition progressive des cookies tiers, une évolution qui va fortement bouleverser l’écosystème digital. Il deviendra beaucoup plus difficile de maximiser le nombre d’utilisateurs atteints (le « reach« ), mais aussi d’obtenir des profils détaillés des internautes. Des solutions alternatives se profilent, tels les « trust token » qui permettent d’authentifier l’internaute tout en préservant son anonymat, mais on est encore loin d’une généralisation de ce type d’innovation.
Le monde du spectacle vivant et des événements va devoir faire évoluer son approche du marketing digital. D’une part en se concentrant davantage sur ses données propriétaires, plus faciles à gérer, sous la forme de nouveaux modes de fidélisation de ses publics, et d’autre part, dans ses actions de conquête, en se reposant davantage sur la qualité de l’audience que sur sa quantité. Sans oublier la nécessité de privilégier la pertinence du contexte d’exposition au sujet traité plutôt que la répétitivité des messages. Une nette (r)évolution…
