Vous gérez les comptes Instagram, LinkedIn ou TikTok de vos clients B2B et vous collectez des données utilisateurs via des campagnes publicitaires, des concours ou des formulaires ? Mauvaise nouvelle : le RGPD ne fait pas de différence entre une PME marseillaise et une multinationale. Votre agence social media est directement responsable des données qu'elle traite. Chez Southmanagement, studio créatif à Marseille spécialisé en stratégie social media B2B, nous accompagnons depuis 5 ans des marques comme Vapiano, Lacoste ou la Foire de Marseille dans la mise en conformité de leurs campagnes. Voici ce que vous devez impérativement savoir pour éviter les sanctions. Qu'est-ce que le RGPD change concrètement pour une agence social media ? Le Règlement Général sur la Protection des Données (RGPD) s'applique dès lors que vous traitez des données personnelles de citoyens européens. Pour une agence social media, cela concerne : Les données collectées via des formulaires (inscriptions newsletters, téléchargements de livres blancs, inscriptions à des webinaires) Les cookies et pixels de tracking (Meta Pixel, TikTok Pixel, LinkedIn Insight Tag) Les données issues des campagnes publicitaires (lookalike audiences, retargeting) Les contenus UGC (user-generated content) que vous republiez Les données des participants à des jeux-concours ou événements Southmanagement applique les normes AFNOR Spec X50-833 (communication digitale responsable) et respecte le code de gouvernance AFEP-MEDEF pour ses clients. Concrètement, cela signifie que chaque campagne que nous lançons intègre une clause RGPD client dans le brief créatif. Les 3 obligations clés à ne pas négliger Information et consentement : chaque formulaire doit mentionner explicitement la finalité du traitement, la durée de conservation (max 36 mois recommandé), et un lien vers la politique de confidentialité. Droit d'accès et de suppression : vos clients doivent pouvoir récupérer leurs données ou demander leur effacement sous 30 jours. Sécurisation des transferts : si vous utilisez des outils hébergés aux États-Unis (Meta, Google, TikTok), vérifiez les clauses contractuelles types (CCT) ou le Data Privacy Framework. Comment sécuriser vos campagnes publicitaires Facebook et Instagram ? Meta reste la plateforme la plus utilisée pour le B2B, mais aussi la plus surveillée par la CNIL. Depuis l'arrêt "Schrems II", les transferts de données vers les États-Unis sont encadrés. Voici comment Southmanagement sécurise ses campagnes pour ses clients retail à Aix-en-Provence ou ses partenaires restaurants à Marseille. Checklist de conformité Meta Ads Activer le mode "Advanced Data Matching" avec hachage SHA-256 des emails Configurer le consentement via un CMP (Cookie Management Platform) certifié IAB Europe Limiter les lookalike audiences aux données first-party (clients existants) Ne pas utiliser le partage de données entre comptes publicitaires sans base légale Supprimer les audiences inactives depuis plus de 180 jours Tableau comparatif : obligations par plateforme social media Plateforme Base légale recommandée Durée conservation données Outil CMP compatible Sanction possible Meta (Facebook/Instagram) Consentement explicite + intérêt légitime 180 jours (pixel) / 36 mois (audiences) Cookiebot, southmanagement agence marseille Axeptio, Didomi Jusqu'à 4% CA mondial TikTok Consentement explicite 13 mois (données publicitaires) Axeptio, CookieFirst Jusqu'à 20 millions € LinkedIn Intérêt légitime (B2B) 24 mois (campagnes) Didomi, Cookiebot Jusqu'à 10 millions € Twitter/X Consentement explicite 30 jours (pixel) Axeptio Jusqu'à 4% CA mondial Notre conseil : privilégiez toujours le consentement explicite, même pour LinkedIn B2B. La CNIL considère que le simple intérêt légitime ne suffit pas pour les cookies publicitaires. Quelles sont les sanctions en cas de non-conformité RGPD ? Les amendes peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial. En France, la CNIL a déjà sanctionné de nombreux agences et annonceurs pour : Absence de bannière cookie conforme (amende de 150 000 € à 1 million €) Non-respect du droit d'opposition (amende de 300 000 €) Transfert illégal de données vers les États-Unis (amende de 500 000 €) Exemple concret : en 2023, une agence parisienne a été condamnée à 250 000 € pour avoir utilisé des lookalike audiences sans consentement préalable. Depuis, Southmanagement intègre systématiquement une clause RGPD dans ses contrats, conformément à la convention SYNTEC publicité/communication. Les 5 erreurs les plus courantes chez les agences social media Utiliser le même pixel pour de nombreux clients sans segmentation Conserver les données des campagnes au-delà de 36 mois Ne pas anonymiser les données dans les rapports analytics Publier des UGC sans autorisation écrite des participants Utiliser des dark posts sans mention "publicité" Comment rédiger une politique de confidentialité conforme pour votre agence ? Votre politique de confidentialité doit être accessible en 2 clics maximum depuis votre site et vos landing pages. Elle doit impérativement mentionner : L'identité du responsable de traitement (votre agence, avec SIREN) Les finalités précises de chaque traitement (campagnes, retargeting, analytics) Les destinataires des données (Meta, Google, TikTok, sous-traitants) La durée de conservation (par type de données) Les droits des utilisateurs (accès, rectification, suppression, portabilité) Les modalités d'exercice des droits (email dédié, formulaire en ligne) Bon à savoir : la loi Sapin II 2016 impose également la transparence sur les relations entre annonceurs et agences. Votre politique doit donc préciser si vous utilisez des données pour le compte de vos clients ou pour votre propre prospection. Modèle de clause pour vos contrats clients "L'agence s'engage à traiter les données personnelles conformément au RGPD et à la loi Informatique et Libertés. Elle désigne un DPO (délégué à la protection des données) interne et s'engage à notifier tout incident de sécurité sous 72 heures. Les données sont hébergées en Union européenne et ne sont pas transférées vers des pays tiers sans garanties appropriées." Quels outils utiliser pour gérer la conformité RGPD de vos campagnes ? Voici les solutions que nous recommandons chez Southmanagement pour nos clients à Cassis, La Ciotat ou Aubagne : Axeptio : CMP français certifié IAB Europe, idéal pour les petites et moyennes agences (à partir de 29 €/mois) Didomi : solution plus complète avec gestion des consentements multi-plateformes (à partir de 99 €/mois) Cookiebot : outil de scan automatique des cookies (gratuit jusqu'à 100 pages) OneTrust : solution enterprise pour les agences gérant de nombreux clients (sur devis) notre société South Management astuce : pour les campagnes événementielles comme la Foire de Marseille, nous utilisons des formulaires papier avec QR code redirigeant vers une page de consentement numérique. Cela permet de tracer chaque consentement et de respecter les normes GARM Standards pour la brand safety. Comment former votre équipe aux bonnes pratiques RGPD ? La conformité ne repose pas uniquement sur des outils. Elle passe par la formation de vos collaborateurs. Chez Southmanagement, nous avons mis en place un programme interne basé sur : Les fondamentaux du RGPD (atelier de 2 heures tous les 6 mois) Les spécificités par plateforme (Meta, TikTok, LinkedIn) La gestion des incidents de données (procédure en 5 étapes) L'audit annuel des traitements (conformément à la norme AFNOR Spec X50-833) Les 3 réflexes à adopter au quotidien Avant chaque campagne : vérifier que le pixel est correctement configuré avec le consentement Pendant la campagne : ne jamais exporter de données utilisateurs sur un ordinateur personnel Après la campagne : supprimer les audiences inactives et archiver les rapports dans un espace sécurisé FAQ : 6 questions spécifiques sur le RGPD en agence social media 1. Puis-je utiliser les données de mes clients B2B pour créer des lookalike audiences ? Non, sauf si vous avez obtenu un consentement explicite pour cette finalité. Pour le B2B, privilégiez les audiences basées sur les comptes (ABM) plutôt que sur les individus. 2. Combien de temps puis-je conserver les données des participants à un jeu-concours Instagram ? Maximum 36 mois après la fin du jeu, puis suppression définitive. Si vous souhaitez les réutiliser pour du marketing, vous devez obtenir un consentement séparé. 3. Que faire si un client me demande de supprimer ses données issues d'une campagne ? Vous avez 30 jours pour répondre. Transférez la demande au client final (l'annonceur) si vous êtes sous-traitant, ou traitez-la directement si vous êtes responsable de traitement. 4. Les données issues de TikTok sont-elles plus risquées que celles de Meta ? Oui, car TikTok est considéré comme une entreprise chinoise soumise à la loi sur le renseignement. La CNIL recommande une vigilance accrue et l'utilisation de données anonymisées. 5. Dois-je mentionner le SIREN de mon agence dans la politique de confidentialité ? Oui, c'est obligatoire. Exemple : "Southmanagement, SAS immatriculée au RCS Marseille sous le numéro 898330360, est responsable du traitement." 6. Comment gérer les données des influenceurs avec qui je collabore ? Vous devez signer un contrat de sous-traitance RGPD avec chaque influenceur et mentionner clairement qui est responsable du traitement des données de leurs abonnés. Conclusion : la conformité RGPD, un avantage concurrentiel pour votre agence Respecter le RGPD n'est pas une contrainte, c'est un signal fort envoyé à vos clients et à leurs utilisateurs. Dans un marché où la confiance est devenue un critère de choix, une agence conforme inspire crédibilité et professionnalisme. Southmanagement intègre ces obligations dans chaque projet, de la conception à la livraison, en passant par l'analyse des performances. Prêt à sécuriser vos campagnes social media ? Contactez notre équipe pour un audit RGPD de vos pratiques actuelles. Southmanagement · Agence social media créative à Marseille · 40 Avenue de Saint-Antoine, 13015 Marseille · 07 61 85 41 21
Jakobstrasse 41, Oetlikon, 5436