Publicité en ligne : comment assurer sa conformité au RGPD et au Droit français

04/09/2025

Introduction : Monétiser son site tout en respectant les règles

La monétisation publicitaire d’un site web (médias en ligne, site d’entreprise, blog, etc.) doit se faire dans le respect strict des droits des internautes. Entre le RGPD (Règlement général sur la protection des données) et la directive ePrivacy, les recommandations de la CNIL en France, sans oublier le droit français de la consommation, les obligations sont nombreuses.

➡️ Ne pas s’y conformer expose à des sanctions lourdes (la CNIL a très récemment infligé des amendes de plusieurs millions d’euros aux contrevenants).

L’objectif de ce guide est de détailler, étape par étape, comment implémenter tous types de publicités en ligne (display, programmatique, native, ciblée ou non) de manière juridiquement conforme et respectueuse des droits des utilisateurs. Nous verrons le cadre légal, les mesures concrètes à prendre (bandeau cookies/CMP, preuves du consentement, conservation, gestion des partenaires, transparence…), ainsi que des astuces pratiques et erreurs à éviter.

À retenir : Le cadre juridique de la publicité en ligne implique quatre piliers principaux :

• Le RGPD, qui impose une base légale (souvent le consentement) pour le traitement des données personnelles à des fins publicitaires et des obligations de transparence et de droits des personnes.
• La directive ePrivacy (transposée en France à l’article 82 de la loi Informatique et Libertés), qui exige le consentement préalable de l’utilisateur avant tout dépôt de cookies ou traceurs non strictement nécessaires.
• Les lignes directrices et recommandations de la CNIL, qui précisent les modalités pratiques d’un recueil de consentement valable (ex. bannières cookies conformes, possibilité de tout refuser aussi simplement que d’accepter, preuve du consentement, etc.).
• Le droit français de la consommation, notamment l’article 20 de la loi pour la Confiance dans l’Économie Numérique et le Code de la consommation, qui imposent que toute publicité soit clairement identifiée comme telle et ne se confonde pas avec le contenu éditorial.

Recueillir un consentement valide : obligations RGPD et ePrivacy

Avant de charger la moindre publicité ciblée ou d’activer un traceur, le consentement explicite de l’utilisateur est requis (sauf cas d’exemption, voir plus loin). Le consentement doit être libre, éclairé, spécifique et univoque selon le RGPD. Concrètement, cela signifie :

• Pas de consentement implicite : l’utilisateur doit poser un acte positif clair pour accepter les cookies/traceurs publicitaires (par exemple cliquer sur « J’accepte » dans le bandeau cookies). Continuer à naviguer ou faire défiler la page ne peut plus être interprété comme un consentement valable. Si l’utilisateur ne consent pas explicitement, aucun cookie ou traceur non essentiel ne doit être déposé sur son terminal.

• Facilité d’opter pour le refus : refuser les traceurs doit être aussi facile que les accepter. La CNIL insiste sur le fait qu’un utilisateur doit pouvoir dire non en un clic tout comme il peut tout accepter en un clic. En pratique, le bandeau de consentement devrait comporter un bouton « Tout refuser » aussi visible que le bouton « Tout accepter ».
• Choix réellement libre : le consentement ne doit pas être forcé. Par exemple, interdire l’accès au site en cas de refus des cookies (« cookie wall ») est vivement déconseillé par la CNIL, sauf alternative équivalente proposée à l’utilisateur. Ce dernier doit pouvoir naviguer sur le site même s’il refuse la publicité ciblée – quitte à ce que le site lui présente alors des publicités non ciblées ou contextuelles.
• Information préalable complète : avant de consentir, l’internaute doit être clairement informé des finalités des traceurs (ex. personnalisation des publicités, mesure d’audience, etc.) et des conséquences d’un choix positif ou négatif. Il doit également pouvoir connaître l’identité de tous les acteurs (partenaires tiers) qui utiliseront des cookies/traceurs soumis à consentement. En pratique, le bandeau ou le module de consentement doit indiquer (directement ou via un lien « En savoir plus ») la liste des partenaires publicitaires et les finalités de chacun, ou au minimum les catégories de partenaires avec un lien vers la liste exhaustive.
• Droit de retrait à tout moment : donner son consentement n’est pas irrévocable. L’utilisateur doit pouvoir le retirer aussi facilement qu’il l’a donné. Cela implique de mettre à disposition à tout moment un moyen clair de changer ses préférences (par exemple une icône ou un lien « Gérer mes cookies » présent sur toutes les pages, renvoyant vers le panneau de réglage du consentement). Si un utilisateur retire son consentement, le site doit cesser tout traitement publicitaire basé sur le consentement et supprimer/désactiver les traceurs concernés.

Bonnes pratiques – Bandeau cookies/CMP :

Pour obtenir un consentement conforme, utilisez une CMP (Consent Management Platform) ou un bandeau cookies configuré de manière à respecter les règles suivantes :

• Présentez une première couche concise indiquant les finalités principales (ex. « Publicité personnalisée », « Mesure d’audience ») avec des boutons clairs « Accepter » et « Refuser » immédiatement visibles.
• Offrez un bouton d’options personnalisées (« Paramétrer ») permettant à l’utilisateur de consentir ou non par finalité et d’accéder à la liste complète des partenaires.
• Ne pré-cochez aucune case : par défaut, tant que l’utilisateur n’a pas donné son accord, on considère qu’il a refusé.
• Rédigez les informations dans un langage simple et compréhensible (évitez le jargon légal ou technique), afin que l’utilisateur comprenne à quoi il consent.
• Veillez à ce qu’aucun cookie non essentiel ne se déclenche avant le consentement : cela peut nécessiter de paramétrer vos scripts publicitaires pour qu’ils attendent le signal de consentement de la CMP (souvent via le Framework TCF de l’IAB ou via des solutions de tag management).
• Si possible, proposez une alternative sans suivi pour les utilisateurs qui refusent (par ex., des publicités contextuelles non ciblées, qui n’utilisent pas de données personnelles).

⚙️ Choisir et paramétrer une CMP (Consent Management Platform)

Pour gérer efficacement le recueil de consentement sur votre site, l’utilisation d’une CMP est fortement recommandée. Une CMP est un outil qui affiche le bandeau de consentement, collecte les choix de l’utilisateur et les communique à vos partenaires publicitaires. Voici comment procéder :

1. Choix de la CMP : Optez pour une CMP conforme aux standards actuels. Beaucoup de CMP sont compatibles avec le Transparency & Consent Framework (TCF) de l’IAB, un standard qui permet de transmettre les signaux de consentement à l’écosystème publicitaire. Assurez-vous que la CMP est certifiée ou approuvée par les grands acteurs du marché.
2. Paramétrage du bandeau : Personnalisez les textes pour qu’ils reflètent vos traitements. Incluez une description claire des finalités (« Nous utilisons des cookies pour la personnalisation des annonces et la mesure d’audience… ») et mentionnez explicitement les tiers impliqués (ex. « [Liste partielle]… voir la liste complète de nos partenaires publicitaires »). Activez l’option affichant un bouton « Tout refuser » en plus du bouton « Tout accepter ». Configurez également la CMP pour qu’un clic sur le bouton de fermeture ou l’absence d’action de l’utilisateur ne déclenche aucun consentement par défaut – en pratique, cela doit être traité comme un refus (la CNIL considère qu’ignorer le bandeau équivaut à ne pas consentir).
3. Intégration technique : Insérez le code de la CMP sur votre site, idéalement le plus haut possible dans le code HTML, afin que la bannière apparaisse dès l’arrivée de l’utilisateur sur le site. Paramétrez vos tags publicitaires (Google AdSense, SSP, régies, etc.) pour qu’ils soient conditionnés au consentement. Par exemple, si vous utilisez Google AdSense sans CMP, configurez-le en mode « limité » pour qu’il ne dépose que des annonces non personnalisées tant que l’utilisateur n’a pas consenti au tracking.
4. Tests et déploiement : Avant la mise en production, testez votre CMP sur différents scénarios. Vérifiez que refuser bloque bien les cookies (par exemple en utilisant le mode développeur ou des outils comme la CookieViz de la CNIL pour visualiser les traceurs). Testez également le retrait du consentement : si l’utilisateur a accepté puis change d’avis via le panneau de gestion, aucun nouveau traceur ne doit être posé et les traceurs existants à finalité pub doivent être désactivés. Corrigez tout comportement non conforme avant d’ouvrir aux visiteurs.

⚠️ Erreurs fréquentes à éviter :

• Bandeau incomplet ou trompeur : présenter un bandeau qui n’affiche que « Accepter » sans option équivalente de refus, ou qui masque le refus dans un sous-menu caché, est interdit. De même, un bandeau qui ne mentionne pas clairement pourquoi on utilise des cookies (par ex., omettre d’indiquer la finalité publicitaire) est non conforme.
• Consentement forcé : bloquer l’accès au site tant que l’utilisateur n’a pas cliqué sur « J’accepte » (sans lui donner la possibilité de refuser tout en continuant à naviguer) revient à forcer la main de l’internaute. Un tel consentement n’est pas libre et pourrait être invalidé en cas de contrôle.
• Cookies déposés avant consentement : il s’agit d’un cas de violation plutôt courant. Par exemple, la CNIL a sanctionné le célèbre site e-commerce SHEIN car ce dernier déposait des cookies publicitaires dès l’arrivée sur le site, avant toute action de l’utilisateur. Assurez-vous qu’aucun script de tracking publicitaire ne s’exécute tant que la CMP n’a pas obtenu un accord explicite.
• Ne pas respecter le refus ou le retrait : il est illégal de continuer à tracer un utilisateur qui a cliqué « Tout refuser » ou qui a retiré son consentement. La sanction du site SHEIN précédemment mentionnée est, par exemple, également intervenue car, malgré le refus de l’utilisateur, de nouveaux traceurs étaient quand même déposés et les cookies précédemment déposés continuaient de fonctionner. C’est un manquement manifeste : toute action de refus doit entraîner l’arrêt immédiat du tracking publicitaire.
• Liste de partenaires incomplète : omettre de lister tous les tiers qui vont collecter des données via votre site est considéré comme un défaut de transparence. Utilisez la fonctionnalité de votre CMP pour afficher la liste exhaustive des partenaires et tenez-la à jour (retirez ceux avec qui vous ne travaillez plus).
• Configurer des durées excessives : paramétrer des cookies publicitaires avec une durée de vie de plusieurs années, ou conserver indéfiniment les données de navigation, est contraire au principe de minimisation. Les recommandations actuelles limitent la durée de vie des cookies de suivi à 13 mois maximum, et la conservation des données collectées via ces cookies à 25 mois maximum. Au-delà, un nouveau consentement devrait être requis si vous souhaitez continuer à profiler l’utilisateur.

Preuve du consentement et gestion des traces

Le RGPD impose une obligation d’accountability (responsabilisation) : vous devez être en mesure de démontrer que vous avez obtenu un consentement valide de vos utilisateurs pour traiter leurs données à des fins publicitaires. Cela implique de mettre en place des mécanismes de journalisation et de conservation des preuves, tout en respectant des durées raisonnables.

📰 Journaliser les choix utilisateurs

Votre CMP enregistre généralement le choix de l’utilisateur (acceptation, refus, préférences par finalité) dans un cookie ou un objet local (ex. le cookie “euconsent” dans le cadre du TCF). Assurez-vous de conserver ces enregistrements de consentement. La CNIL considère comme bonne pratique de conserver la preuve du consentement et du refus pendant une durée de 6 mois. Conserver également la date/heure du choix et, si possible, une identification pseudonyme de l’utilisateur (par ex. un identifiant de consentement) peut permettre de prouver qu’à un moment T, telle personne avait refusé ou accepté.

📦 Stocker les configurations de consentement

Gardez trace des versions de votre interface de consentement. Idéalement, archivez les différentes versions du code de votre CMP ou prenez des captures d’écran de chaque version du bandeau cookie, avec horodatage. Ainsi, si un contrôle a lieu, vous pourrez montrer quel texte voyait l’utilisateur à la date de son consentement. Certaines CMP offrent un journal d’audit intégré ; sinon, envisagez de mettre en place votre propre log.

🔍 Accès aux preuves en cas de tiers

Si vos publicités passent par des tiers qui collectent le consentement en votre nom, exigez contractuellement et techniquement d’avoir accès à la preuve du consentement. La seule clause contractuelle disant que le partenaire s’en charge ne suffit pas : l’éditeur doit pouvoir obtenir la preuve que l’utilisateur a consenti pour les cookies déposés par ce tiers. Par exemple, si vous utilisez une régie tierce qui gère son propre bandeau, assurez-vous qu’elle vous fournisse les logs de consentement sur demande.

⏱️ Durée de conservation et renouvellement du consentement

Comme évoqué, ne conservez pas les données de consentement au-delà de ce qui est nécessaire. Conserver l’information de refus pendant plusieurs mois évite de solliciter inutilement l’utilisateur à chaque visite. Beaucoup de sites choisissent de reposer la question tous les 6 à 12 mois : cela permet de remettre à jour le consentement, notamment si de nouveaux partenaires ou finalités ont été ajoutés. Attention à ne pas abuser de cette possibilité : redemander trop fréquemment pourrait être perçu comme insistant et nuire à l’expérience utilisateur (la CNIL recommande de ne pas ré-interroger un utilisateur refusant les cookies à chaque visite, mais plutôt d’attendre un certain temps).

Gestion des partenaires publicitaires et partage de données

Dans l’écosystème de la publicité en ligne, de nombreux acteurs peuvent intervenir : régies publicitaires, agences, annonceurs, plateformes d’ad exchanges, sociétés de mesure, etc. En tant qu’éditeur de site, vous êtes responsable de ce qui se passe sur votre site vis-à-vis des utilisateurs. Il est donc essentiel de maîtriser vos partenariats et de vous assurer que chacun respecte les règles.

🗺️ Cartographier et choisir ses partenaires :

Dressez la liste de tous les partenaires susceptibles de collecter des données des utilisateurs via votre site (pose de cookies, lecture de données, etc.). Pour chaque partenaire, vérifiez son rôle (responsable de traitement conjoint, sous-traitant…) et assurez-vous qu’il s’engage contractuellement à respecter le RGPD. Préférez les partenaires qui adhèrent à des standards de conformité (par ex., les vendeurs inscrits au Global Vendor List de l’IAB qui s’engagent à respecter les signaux de consentement). N’hésitez pas à limiter le nombre de tierces parties : plus il y en a, plus la conformité est complexe à gérer et à expliquer aux utilisateurs.

📑 Contrats et responsabilités

Si un partenaire agit en tant que sous-traitant pour vous (traitant des données pour votre compte, comme c’est le cas de certaines régies en régie directe), un contrat de traitement des données conforme à l’article 28 RGPD est obligatoire.

S’il est co-responsable de traitement (cas typique d’un partenaire publicitaire indépendant qui détermine lui-même les moyens et finalités du ciblage publicitaire), vous devriez formaliser les responsabilités de chacun (par exemple, qui informe l’utilisateur, qui gère les demandes de droits). Dans tous les cas, assurez-vous que chacun respecte le consentement utilisateur : un partenaire ne doit pas déposer de cookie sans le signal de consentement, ni réutiliser des données au-delà de ce pour quoi l’utilisateur a consenti.

🪧 Liste publique et politique de confidentialité

Publiez sur votre site la liste de vos partenaires publicitaires, par exemple dans votre Politique de Confidentialité ou une page dédiée « Nos partenaires ». Cette liste doit idéalement inclure pour chaque partenaire : son nom légal, son rôle (ex. « Régie publicitaire, responsable de traitement conjoint »), les données qu’il collecte via votre site, et un lien vers sa propre politique de confidentialité.

Cela répond à l’obligation de transparence du RGPD (articles 13-14) et permettra aux utilisateurs d’exercer directement leurs droits auprès de ces partenaires si nécessaire.

👁️‍🗨️ Vérifications et audits

Il est prudent d’auditer périodiquement les pratiques de vos partenaires. Par exemple, si vous constatez qu’un partenaire dépose des cookies même sans consentement, intervenez immédiatement (coupez son script si besoin, et exigez une mise en conformité).

→ Lorsque l’éditeur du site et un tiers déposent tous deux des traceurs, ils engagent leur responsabilité conjointe s’ils déterminent ensemble les finalités du tracking. Vous devez donc être vigilant sur le comportement réel des scripts tiers intégrés à votre site.

Transparence envers les utilisateurs et respect du Code de la consommation

Outre la collecte du consentement, un éditeur doit veiller à la transparence sur la présence de publicité et sur l’utilisation des données, conformément tant au RGPD qu’au droit de la consommation français. Il s’agit d’informer clairement l’internaute et de ne pas l’induire en erreur.

⚖️ Mentions légales et politique de confidentialité

Votre site doit comporter des mentions légales accessibles (c’est une obligation légale en France) ainsi qu’une section sur la protection des données. Indiquez-y quels types de données vous collectez pour la publicité, la base légale (le consentement dans la plupart des cas), la finalité (ciblage publicitaire, personnalisation, etc.), les destinataires ou catégories de destinataires (par ex. « nos partenaires publicitaires »), et rappelez aux utilisateurs leurs droits RGPD (retrait du consentement, droit d’accès, de suppression, etc.).

Une politique de confidentialité ou « politique cookies » dédiée, rédigée dans un langage clair, est fortement recommandée pour détailler ces points.

🎯 Identification des publicités (contenu sponsorisé)

Le Code de la consommation interdit les pratiques commerciales trompeuses, notamment le fait de déguiser une publicité en contenu éditorial sans l’indiquer clairement. Toute publicité en ligne doit pouvoir être identifiée comme telle.

En pratique, cela signifie que les espaces publicitaires sur votre site doivent être visiblement distincts du reste du contenu (par la mise en page, le design), et idéalement accompagnés d’une mention explicite du type « Publicité », « Sponsorisé » ou « En partenariat avec… ».

Si vous publiez des articles sponsorisés (aussi appelés advertorials ou publi-rédactionnels), vous avez l’obligation de l’indiquer. L’article 20 de la loi du 21 juin 2004 (LCEN) est clair : « Toute publicité, sous quelque forme que ce soit, accessible par un service de communication au public en ligne, doit pouvoir être clairement identifiée comme telle. Elle doit rendre clairement identifiable la personne physique ou morale pour le compte de laquelle elle est réalisée ».

En complément, le Code de la consommation précise qu’est trompeur le fait d’utiliser un contenu rédactionnel à des fins de promotion sans l’indiquer clairement au lecteur. Autrement dit, un article financé par un annonceur doit comporter une mention explicite informant le lecteur qu’il s’agit d’une publicité.

🪪 Identifier l’annonceur

Non seulement le caractère publicitaire doit être annoncé, mais le public doit pouvoir identifier qui en est l’initiateur (l’annonceur). La LCEN impose de rendre clairement identifiable la personne pour le compte de qui la pub est réalisée. Dans le cas d’une bannière classique, cela peut être le logo de la marque dans la créa publicitaire. Pour un contenu sponsorisé, indiquez par exemple « Communiqué proposé par [Nom de l’Entreprise] ».

Cette transparence est essentielle pour que l’internaute sache distinguer une recommandation éditoriale indépendante d’un message commercial payé par un tiers.

👌 Bonnes pratiques de présentation

Adoptez une charte cohérente pour signaler les contenus sponsorisés. Par exemple, vous pouvez mettre en place un encadré avec la mention « 💡 Sponsorisé : Cet article a été rédigé en collaboration avec [Annonceur] » en tête d’article, ou un badge « Publicité » sur les vignettes d’articles sponsorisés.

Veillez à ce que la mention soit immédiatement visible et non noyée dans le texte ou seulement en bas de page.

Dans le secteur de la presse, une loi spécifique (loi du 1er août 1986, article 10) oblige même à faire précéder tout article publicitaire d’une mention « Publicité » ou « Communiqué » en en-tête – c’est dire l’importance d’une telle clarté.

📱 Influenceurs et affiliation

Si vous êtes blogueur ou créateur de contenu et que vous monétisez via des liens d’affiliation ou des publications sponsorisées, les mêmes règles de transparence s’appliquent. Par exemple, pour un article de blog contenant des liens affiliés, mentionnez en introduction que l’article contient des liens commerciaux (certains créateurs utilisent des mentions comme « Certains liens de cet article sont affiliés »).

Sur les réseaux sociaux, utilisez des hashtags explicites du type #Publicité ou #Partenariat rémunéré lors de posts sponsorisés. L’idée est que le public sache toujours distinguer une recommandation authentique d’un contenu pour lequel vous êtes rémunéré – c’est une question de confiance et de conformité légale.

🚫 Éviter les pratiques trompeuses

Proscrivez toute technique visant à camoufler de la publicité de façon sournoise. Par exemple, des « articles-partenaires » intégrés dans votre flux de news sans aucune mention, ou des annonces native qui reprennent exactement le style de vos contenus sans signalétique, vous exposent à des accusations de pratique trompeuse. Non seulement c’est illégal, mais en plus cela peut nuire à votre réputation si vos lecteurs se sentent dupés.

À retenir – Récapitulatif conformité publicitaire :

• Consentement et données personnelles : Obtenez un consentement explicite avant tout ciblage publicitaire personnalisé (cookies, profilage) et facilitez le refus. Conservez la preuve du consentement. Respectez le choix de l’utilisateur (pas de traçage en cas de refus) et offrez une transparence totale sur l’utilisation de ses données (finalités, destinataires, durée de conservation).
• Affichage publicitaire et contenus sponsorisés : Séparez clairement pub et contenu éditorial. Tout espace ou contenu sponsorisé doit comporter une mention visible indiquant qu’il s’agit d’une publicité, ainsi que l’identité de l’annonceur. Évitez toute présentation ambiguë susceptible d’induire l’internaute en erreur.
• Obligations légales en France : En appliquant ces principes, vous respectez le RGPD, la directive ePrivacy (transposée à l’art. 82 Loi Informatique & Libertés) et le Code de la consommation. La CNIL fournit des guides et n’hésite pas à sanctionner les manquements (de nombreux sites, petits et grands, ont été mis en demeure ou condamnés depuis 2020 pour non-respect de ces règles). Enfin, n’oubliez pas que la conformité est un processus continu : surveillez l’évolution de la réglementation (par ex. futur règlement ePrivacy, nouvelles directives européennes) et mettez à jour régulièrement vos outils et pratiques en conséquence pour garantir à vos utilisateurs un internet publicitaire éthique et respectueux de leurs droits.

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus