Vectaury, Singlespot, Fidzup, Teemo... La pub géolocalisée s'est-elle perdue ?

Identifier les magasins dans lesquels se rendent les consommateurs, s'en servir pour leur adresser une publicité drive-to-store, en dégager un ROI. Bref, offrir aux enseignes physiques les mêmes avantages qu'ont les e-commerçants en ligne. C'est la proposition de valeur des acteurs de la publicité mobile géolocalisée, comme l'expliquait Thomas Opoczynski, CEO de Singlespot, sur la scène du MMA Forum début décembre 2018 : "La donnée de géolocalisation en dit beaucoup sur vous. Se rendre dans un magasin est un acte fort et engageant, et c'est ce qui fait la valeur de cette donnée aux yeux des retailers"... Et de la Cnil !

Depuis le 25 mai 2018, les solutions du secteur se sont heurtées à l'entrée en vigueur du règlement européen sur la protection des données (RGPD) et aux premiers coups de semonce de la Cnil : le gendarme de l'informatique et des libertés a successivement mis en demeure publiquement Teemo et Fidzup en juillet 2018, puis Singlespot et, enfin, Vectaury, fin octobre et début novembre. Les mises en demeure de tous les acteurs ont été levées, dont celle de Vectaury, le 26 février 2019.

Pour comprendre pourquoi, revenons en août 2017. L'enquête de Numerama sur Teemo, qui a révélé que la Cnil ciblait déjà les solutions basées sur les SDK, a été suivie de la création du collectif Exodus Privacy. Ce dernier recense les SDK actifs dans chaque application et a donné une forte publicité à cette méthode de recueil de la géolocalisation. Si la mise en application du RGPD est une montagne, la Cnil a commencé par la voie d'accès la plus visible.

Shérif, fais-moi peur

"Nous n'avons pas eu la même lecture du texte que la Cnil, analyse Olivier Magnan-Saurin, CEO de Fidzup. Nous ne pensions pas être directement responsables du traitement des données [cf. chapitre IV - articles 24 à 29 du RGPD, NDLR]. À ce titre, nous devons donc imposer plus que suggérer à nos partenaires la nouvelle Consent Management Platform (CMP), que nous avons co-construit avec la Cnil, et les auditer pour nous assurer du respect de la réglementation... Mais, désormais, nous pouvons dire que nous avons effectué en quelque sorte notre rite de passage !"

La Cnil indique ainsi que la collecte des données de géolocalisation, via un SDK de tracking placé dans une application tierce, est légale... pour peu que le recueil du consentement se fasse en accord avec le RGPD et que la conservation n'excède pas "six mois pour les données qualifiées, soit les visites en magasin, et un mois pour le reste", précisait Thomas Opoczynski au MMA Forum. Mais le fait de se concentrer exclusivement sur les enchères programmatiques, comme l'a annoncé Admoove (AdUX) en février 2018, ne garantit pas d'être RGPD compliant, loin de là ! C'est ce qu'a prouvé la mise en demeure de Vectaury, qui utilise les deux méthodes. "Dans tous les cas, les personnes doivent être clairement informées de la finalité de l'utilisation de leurs données, avant même qu'elles puissent dire oui ou non. Et cela vaut depuis bien avant le RGPD, qui n'ajoute que la nécessité de la traçabilité du consentement. Il faut alors remonter toute la chaîne de transmission pour s'assurer que le recueil du consentement s'est fait dans la légalité", souligne Mathias Moulin, directeur de la protection des droits et sanctions de la Cnil.

Or, une grande partie des CMP mises en place par les "primo-récoltants" ne sont pas aussi strictes que celle de Fidzup validée par la Cnil. En outre, les réponses apportées par les acteurs du program­matique, à savoir l'utilisation du Transparency & Consent Framework de l'IAB et du Consent String, une série de chiffres incorporée aux bid requests et censée indiquer s'il y a consentement ou non, sont jugées en l'état insuffisantes par la Cnil. Par ailleurs, celle-ci met en cause la pratique du bid listening par Vectaury : "Si vous ne remportez pas l'enchère, vous ne pouvez pas conserver la donnée de géolocalisation et, faute de consentement, vous êtes encore moins légitime à l'utiliser en dehors de son usage initial", ajoute le protecteur des droits. Pour lever sa mise en demeure, Vectaury a d'ailleurs dû mettre en place une CMP validée par la CNIL et limiter l'utilisation des données issues du programmatiques aux seules données dont la solution est capable de vérifier la validité du recueil du consentement.

En résumé, les mises en demeure publique envoient plusieurs signaux à l'ensemble de l'écosystème publicitaire :

1- La Cnil n'a pas les moyens d'auditer l'ensemble des acteurs et de rendre une décision unanime et définitive, d'où les différentes vagues de mises en demeure.

2- Les acteurs qui n'ont pas encore été audités doivent s'assurer, dès à présent, qu'ils sont dans la légalité.

3- La prochaine fois, la Cnil ira plus loin que la mise en demeure publique : elle sanctionnera. Et cela dès cette année. La récente amende de 50 millions ­d'euros infligée à Google - qui a fait appel - montre que tous les acteurs sont sanctionnables, même s'ils n'ont pas leur siège social en France. Et cela ne concerne pas uniquement les solutions technologiques : "Il y a partage de la responsabilité sur une partie du traitement avec les annonceurs et les éditeurs", avance Mathias Moulin. Les acteurs du programmatique pourraient donc voir leur reach baisser en 2019.

À la recherche des nouveaux reachs

"La levée de la mise en demeure de la Cnil permet désormais à tous de se projeter dans un cadre clair et transparent", se réjouit Benoît Grouchko, cofondateur de Teemo. Mais ces décisions ont eu un coût, qui peut compromettre l'avenir de ces solutions ou les obliger à changer de modèle. Certains ont dû licencier. Tous ont dû supprimer l'ensemble des data de géolocalisation récoltées dans l'illégalité. Et sous la pression de la mise en demeure publique, ils ont dû accepter des CMP beaucoup plus strictes, qui vont limiter le taux d'opt-in et, donc, rendre plus difficile la reconstitution des bases.

Ainsi, dans la CMP présentée par Fidzup, tous les usages sont décochés par défaut et il y a trois possibilités : "tout accepter", "tout refuser" ou "enregistrer mes choix", ce qui revient à tout refuser si tout est décoché ! Forcément, le taux d'opt-in sera plus faible qu'auparavant. Mais ce n'est pas le seul risque qui pèse sur ces solutions : "S4M [acteur généraliste de la publicité mobile, NDLR] est arrivé plus tard sur ce marché. Nous aurions pu lancer notre SDK, mais nous avons été alertés par une décision d'Apple en 2017. Avant, en installant une application sur iPhone, vous pouviez autoriser ou non l'accès à la géolocalisation. Avec iOS 11, Apple ajoute une nuance : vous pouvez autoriser l'accès à l'utilisation de l'app, ou tout le temps. C'est un signal clair, confirmé par le retrait momentané des applications embarquant des SDK de tracking de l'AppStore au printemps 2018", constate Nicolas Rieul, CMO de S4M, reprenant des éléments évoqués par Numerama en août 2017. Au-delà des mobinautes déjà clients d'une enseigne, le reach utile des solutions de géolocalisation en continu est, ainsi, de plus en plus limité !

En septembre 2018, seulement 16 % des smartphones en France tournaient sous iOS 11. Si de telles mesures venaient à se généraliser, l'avantage des SDK passant par des applications tierces - la fréquence de la collecte - serait sérieusement remis en cause. D'autant que, selon un acteur interrogé, seuls 10 à 15 % des identifiants en base étaient réellement géolocalisés en continu, avant les mises en demeure. "L'impact des nouvelles CMP est réel, mais moins fort que ce que l'on pouvait craindre, assurait Thomas Opoczynski au MMA Forum. C'est maintenant à nous d'aller chercher plus de partenariats pour compenser cette baisse de reach [ ... ]", commentait alors le CEO de Singlespot.

"Il faut distinguer le nombre de smartphones équipés d'une application qui embarque le SDK, ceux pour lesquels il y a un opt-in à la géolocalisation et ceux qui donnent accès à cette donnée même quand l'app ne tourne pas, détaille Olivier Magnan-Saurin. Le taux d'opt-in de la CMP de Fidzup dépasse les 50 %. Personne ne pourra plus viser les 100 % de mobinautes français. L'idée n'est plus de privilégier le nombre, mais la représentativité de l'ensemble du territoire français, pour pouvoir extrapoler et aller sur un modèle de panel."

À deux, on mesure mieux ?

Là où Fidzup mesure les visites grâce au déploiement de ses boxes Wi-Fi en magasin, Teemo et Singlespot se basent uniquement sur les données envoyées par le location service des téléphones, tandis que S4M se présente comme une plateforme et a noué des partenariats avec des mesureurs tels AdSquare, Factual et Kairos Fire, qui utilisent la donnée GPS et la technologie beacon/Bluetooth. Des acteurs qui, eux aussi, sont soumis aux contraintes fixées par le RGPD : "Il faut informer et recueillir le consentement, sauf à ce qu'il y ait anonymisation à brefs délais, qui permet un passage à une démarche d'information/opposition", rappelle Mathias Moulin. "Le GPS seul a ses limites : si vous ne bougez pas de manière significative, soit au moins 100 mètres, les données de géolocalisation ne sont pas mises à jour, note Olivier Magnan-Saurin. Les dispositifs en magasin sont plus précis, il faut être à côté et avoir le Wi-Fi ou le Bluetooth activé, ce qui est le cas dans au moins 80 % des cas pour le premier." Nicolas Rieul le rejoint : "Nous faisons le choix de nous associer avec des mesureurs tiers pour mixer les technologies, et éviter d'être juge et partie."

Teemo, comme Singlespot, met en avant le fait de pouvoir paramétrer le GPS du smartphone via son SDK et d'utiliser une méthode polygonale, soit le traçage à la main des contours des magasins sur une carte pour gagner en précision : "Nous récoltons des points de géolocalisation dans des intervalles de temps suffisamment proches pour reconstruire l'ensemble du parcours. Nous croisons ces données avec notre carte des magasins pour savoir à quelle heure le mobile entre et sort de la zone. Passé cinq minutes, nous comptons une visite." Reste qu'avec une précision revendiquée d'une dizaine de mètres, les visites ne sont mesurées que de façon approximative "pour les magasins de moins de 500 m2 ou qui sont dans des malls à étages", observe Benoît Grouchko, qui avoue envisager l'enrichissement de son mix-technologique, malgré le coût de déploiement des dispositifs in store.

De son côté, Singlespot s'est rapproché de Kairos en 2018, comme Capital Data, une filiale du groupe HighCo, qui gère, entre autres, des campagnes mobile-to-store pour le compte de Franprix depuis deux ans. "La technologie GPS est insuffisamment précise, mais cela pourrait évoluer. Il ne faut pas s'interdire telle ou telle technologie. Pour notre part, nous mesurons d'abord nos performances on line avec Adloox, via des KPI comme le nombre d'impressions ou le taux de clics. Ensuite, nous mesurons la visite en magasin avec Kairos. Et, enfin, nous mesurons la vente pour les porteurs de cartes, grâce aux données de caisse de l'enseigne", mentionne Nicolas Cassar, son CMO. Il alerte, cependant, sur l'importance de mesurer les visites incrémentales dans ce type de campagne : "Trop d'acteurs revendiquent des visites de personnes qui seraient venues dans tous les cas. Quand je vois des uplifts à deux ou trois chiffres, je me méfie. Et il faut aller au-delà du POC pour obtenir des résultats significatifs. Dans le cas de Franprix, nous mesurons jusqu'à la vente incrémentale : en deux ans, nous revendiquons une hausse de 5 %, dans un contexte de distribution alimentaire." Une problématique que S4M, qui s'est associé à 3W.relevanC (Groupe Casino), veut adresser en temps réel, tandis que Teemo s'est rapproché de l'onboarder américain Liveramp avec, à terme, l'ambition de mener des campagnes pour les marques comme pour les enseignes.

Et si ces dernières sont un peu perdues, elles disposent d'une dernière solution : fondée en 2016, Ad4Store se propose d'implémenter sa CMP et son SDK de tracking sur la propre application du retailer, puis de cibler les clients de l'enseigne ou leurs jumeaux statistiques, "dans le respect du RGPD", revendique Olivier Michel, l'un des quatre fondateurs, dont un a été formé directement par la Cnil. La solution s'est associée à Connecthings, un acteur de la smart city qui équipe en beacons les transports en commun. "La moitié des smartphones ont leur Bluetooth activé désormais ! Nous utilisons les beacons et la triangulation GPS pour le ciblage, et extrapolons pour la mesure. Mais seuls les retailers ont accès à la donnée. Ils peuvent l'activer en programmatique ou via des pushs notifications. Imaginons qu'une enseigne de cosmétiques utilise notre solution. Une personne qui dispose de l'app de l'enseigne et de l'app de la RATP, et qui attend son bus depuis cinq minutes à côté d'un magasin par -5 °C, pourrait recevoir une notification avec une offre pour un baume à lèvres !" De quoi se frotter les mains.

Nb : Selon nos informations, non confirmées par Thomas Opoczynski, qui n'a pas répondu à nos sollicitations, Singlespot aurait, en 2019, décidé d'arrêter son activité média drive-to-store.

Pour aller plus loin :

- RGPD : Comment obtenir le consentement explicite ?

- Comment faire de la publicité digitale à l'heure du RGPD ?

- Le consentement, la bête noire des marques