Vous avez décidé de lancer une campagne de publicité digitale pour votre PME. Vous avez compris Google Ads, Meta Ads et LinkedIn Ads. Vous savez comment gérer votre budget et optimiser vos annonces. Mais il y a une question que beaucoup de dirigeants de PME oublient ou remettent à plus tard : suis-je conforme avec la loi ? Plus spécifiquement, respecte-je le RGPD et les législations françaises qui régissent la publicité digitale ? Cette question, souvent négligée parmi les erreurs de publicité digitale qui font perdre de l’argent, n’est pas une formalité administrative. En France, la non-conformité aux règles de protection des données expose votre PME à des amendes substantielles, des poursuites judiciaires et une perte de confiance du client. La CNIL, l’autorité française de protection des données, a infligé des millions d’euros d’amendes ces dernières années, et ces amendes touchent aussi les PME.

Chez Propuls’Lead, nous intégrons la conformité RGPD dès le départ dans notre approche publicité digitale pour PME, car elle n’est pas un obstacle à la publicité efficace ; c’est un fondamental pour bâtir une stratégie publicitaire durable et de confiance. Cette étude vise à vous expliquer les principales règles que vous devez respecter, ce que cela signifie en pratique, et comment vous adapter en 2026 alors que le paysage réglementaire change.

Le RGPD : le fondement légal de la protection des données

Le RGPD, ou Règlement général sur la protection des données, est la loi qui régit le traitement des données personnelles en Europe et en France. Une donnée personnelle est toute information qui identifie ou peut identifier un individu : son nom, son adresse email, son adresse IP, son numéro de téléphone, ses cookies de suivi. Chaque fois que vous collectez une donnée personnelle, utilisez une donnée personnelle ou stockez une donnée personnelle à des fins publicitaires, vous êtes soumis au RGPD.

Le RGPD s’applique à toutes les entreprises, indépendamment de leur taille, qui collectent ou traitent des données personnelles de résidents dans l’Union européenne. Une PME française qui lance une campagne Google Ads est immédiatement soumise au RGPD dès qu’elle utilise le pixel de suivi de Google pour mesurer les actions des visiteurs sur son site web.

Le principe fondateur du RGPD est simple mais contraignant : vous ne devez jamais collecter ou utiliser les données personnelles sans une base légale. Il existe plusieurs bases légales possibles, mais pour la publicité digitale ciblée, la seule base légale fiable est le consentement explicite. Cela signifie que vous devez obtenir le consentement libre, spécifique, éclairé et univoque de chaque personne avant de pouvoir la suivre ou la cibler avec de la publicité personnalisée.

Le consentement aux cookies : la règle de base

Le consentement aux cookies est la première exigence concrète. Chaque fois qu’un visiteur arrive sur votre site web, vous devez lui présenter un bandeau de consentement aux cookies. Ce bandeau doit clairement expliquer quels cookies vous allez placer sur son appareil, à quelles fins, et pendant combien de temps. Le visiteur doit ensuite exprimer son consentement de manière explicite et positive, typiquement en cliquant sur un bouton « Accepter » ou « Refuser ».

Un point clé que beaucoup de PME ignorent : le défaut d’action ne vaut pas acceptation. Un visiteur qui ignore simplement le bandeau de cookies n’a pas donné son consentement. Vous ne pouvez pas placer de cookies publicitaires ou de suivi sur cet appareil. Le visiteur doit cliquer sur un bouton pour accepter, ou vous devez respecter son silence.

En France, la CNIL va plus loin : elle exige que le bouton « Refuser » soit aussi visible et facilement accessible que le bouton « Accepter ». Beaucoup de sites web proposent un gros bouton bleu « Tout accepter » et un petit lien gris « Tout refuser ». C’est illégal en France. Les deux boutons doivent avoir le même poids visuel. Cette exigence semble simple, mais elle change significativement la structure de votre bandeau de consentement.

Les types de cookies et leurs règles

Pas tous les cookies sont traités de la même manière par la loi. Les cookies strictement nécessaires au fonctionnement technique de votre site web, par exemple les cookies de session qui maintiennent votre connexion à un formulaire, ne nécessitent pas de consentement. Vous pouvez les placer sans demander.

Tous les autres cookies nécessitent le consentement. Cela inclut les cookies analytiques qui mesurent l’audience de votre site web avec Google Analytics, les cookies publicitaires qui permettent à Google et Meta de vous afficher des annonces retargeting, et les cookies de réseaux sociaux qui permettent aux boutons « Partager sur Facebook » de fonctionner. Chez Propuls’Lead, nous configurons nos sites clients pour que seuls les cookies strictement nécessaires se chargent tant que l’utilisateur n’a pas donné son consentement.

La durée maximale de conservation des données

Une autre exigence que les PME oublient souvent est la durée de conservation des données. Le RGPD exige que vous conserviez les données personnelles que pour le temps nécessaire à la finalité pour laquelle vous les avez collectées. Pour les cookies publicitaires et les données de suivi utilisateur, la CNIL recommande une durée maximale de 13 mois. Après ce délai, vous devez supprimer les données ou recueillir un nouveau consentement.

Pour les données de prospect inactif, la durée maximale recommandée est de trois ans. Si un client ne vous a pas contacté depuis trois ans, vous devez supprimer ses données de votre base de données ou vous devez lui demander un nouveau consentement avant de lui envoyer une prospection.

Ces règles de conservation changent vos pratiques. Vous ne pouvez pas conserver une mailing list infinie et la réutiliser indéfiniment. Vous devez mettre en place un système d’expiration des données et un processus de suppression régulière.

Le pixel de suivi et Google Analytics

Le pixel de suivi de Google Ads et Google Analytics est l’outil fondamental de mesure en publicité digitale, mais il soulève des questions de conformité RGPD. Quand vous installez le pixel de Google, vous autoriserez Google à collecter des données sur les comportements des visiteurs de votre site : quelles pages ils visitent, combien de temps ils passent, quels formulaires ils remplissent, s’ils achètent.

En 2020, la Cour de justice de l’Union européenne a jugé que le transfert de données vers les États-Unis, où Google héberge ses serveurs, ne disposait plus d’une protection adéquate. Cela a créé une zone grise légale. En pratique, beaucoup de PME françaises continuent à utiliser Google Analytics, mais avec des précautions supplémentaires.

Chez Propuls’Lead, nous recommandons de mettre en place Google Analytics 4 avec les fonctionnalités de confidentialité activées, qui réduisent la quantité de données personnelles transmises à Google. Nous recommandons aussi d’anonymiser les adresses IP des utilisateurs, de sorte que Google ne peut pas les identifier individuellement. Nous ajoutons aussi une mention dans la politique de confidentialité expliquant explicitement que les données sont transmises à Google et que les utilisateurs peuvent demander l’accès ou la suppression de leurs données auprès de Google.

La prospection commerciale par email et SMS

Si vous collectez des adresses email ou des numéros de téléphone à travers votre publicité digitale, vous devez respecter des règles spécifiques pour la prospection commerciale. Pour le B2C, c’est-à-dire si vous envoyez de la prospection à des consommateurs individuels, vous devez obtenir leur consentement explicite avant d’envoyer votre premier email publicitaire. Ce consentement doit être donné avant d’envoyer, typiquement en cochant une case lors de la soumission du formulaire.

Pour le B2B, c’est-à-dire si vous envoyez de la prospection à des entreprises ou à des responsables d’entreprise, les règles sont légèrement différentes. Vous pouvez envoyer une prospection commerciale par email à une adresse professionnelle sans consentement préalable, mais vous devez faciliter le désabonnement. Cependant, si vous utilisez les données du dirigeant personnellement, par exemple son email personnel, vous êtes dans une zone grise et il est plus prudent d’obtenir le consentement.

La transparence et la documentation

Le RGPD exige que vous soyez transparents sur vos traitements de données. Cela signifie que vous devez avoir une politique de confidentialité claire qui explique quelles données vous collectez, pourquoi, pendant combien de temps, et qui peut y accéder. Vous devez aussi documenter vos pratiques : quels cookies placez-vous, pourquoi, quels consentements avez-vous collectés.

Chez Propuls’Lead, nous mettions en place une documentation formelle appelée le registre des traitements, qui énumère toutes les données que vous collectez et comment vous les utilisez. Ce registre n’a pas besoin d’être public, mais il doit exister pour votre propre usage interne et pour démontrer votre conformité à la CNIL si elle vous contacte.

Préparation pour 2026 : la fin des cookies tiers

En 2026, le paysage change radicalement. Google élimine progressivement les cookies tiers, les cookies que Google et Meta utilisent pour vous suivre à travers plusieurs sites web. Cette élimination rendra le retargeting traditionnel plus difficile, incitant certaines PME à réévaluer le choix entre SEO et publicité payante, et poussera les annonceurs vers d’autres méthodes de suivi basées sur les données de première partie, c’est-à-dire les données que vous collectez vous-même sur vos visiteurs.

Cette transition signifie que vous allez progressivement devoir compter moins sur les cookies pour le suivi, et plus sur les données que vous collectez directement auprès de vos clients. Cela signifie avoir une base de données bien entretenue, bien structurée, avec les consentements appropriés collectés et documentés.

Chez Propuls’Lead, nous préparons dès maintenant nos clients à cette transition en mettant en place une collecte de données de première partie robuste, complètement conforme au RGPD, qui continuera à fonctionner même après la disparition des cookies tiers.

Publicité digitale et RGPD : les règles à respecter pour faire de la pub en ligne en France