Accès aux comptes Meta et Google Ads clients : ce que dit la loi

Le consultant en marketing digital reçoit, en moyenne dans les trois premiers mois d'une mission, un accès administrateur ou éditeur à un ou plusieurs des outils suivants : Meta Business Manager, Google Ads Manager, Google Analytics, Tag Manager, TikTok Ads, LinkedIn Campaign Manager, Klaviyo, Brevo, Mailchimp, Shopify, HubSpot. Chacun de ces accès donne la main sur des données personnelles de prospects et de clients du client.

Dans la pratique, la formalisation est minimale : un mail "je t'ai ajouté en admin", un échange de mots de passe sur WhatsApp ou Slack, parfois une simple capture d'écran d'un identifiant. Cette informalité est un risque juridique majeur, autant pour la responsabilité civile que pour la conformité RGPD.

Ce que ces accès représentent vraiment

• Des données personnelles d'audiences custom, parfois plusieurs centaines de milliers d'emails clients hashés.
• Des historiques de conversions, paniers, comportements d'achat.
• Des moyens de paiement directement débitables (cartes liées aux comptes Ads).
• Des informations stratégiques (CA, marges, plans de lancement).

L'effet "portefeuille d'accès"

Un consultant établi qui accompagne dix à vingt clients accumule en quelques années un véritable portefeuille d'accès numériques. Ce portefeuille n'apparaît dans aucun document comptable, ne figure dans aucune assurance basique, et n'est pas mentionné dans les conditions générales. Pourtant, en valeur d'usage, il représente l'actif principal du consultant — et la principale source de risque, car la compromission d'un seul accès (typiquement par phishing sur la boîte mail pro) ouvre potentiellement la porte à l'ensemble du portefeuille. C'est précisément le pattern d'attaque le plus courant observé par les CSIRT depuis 2024.

Dès lors que vous traitez des données personnelles pour le compte du client, vous n'êtes pas un simple prestataire : vous êtes sous-traitant au sens du RGPD (article 28). Cette qualification est automatique et ne dépend pas de votre volonté ou de la rédaction de votre devis.

L'article 28 impose un contrat écrit entre le responsable de traitement (le client) et le sous-traitant (vous), avec un contenu minimum : objet du traitement, durée, finalité, type de données, catégories de personnes concernées, obligations et droits du responsable de traitement.

Les huit clauses obligatoires du DPA

1. Traitement uniquement sur instruction documentée du client.
2. Engagement de confidentialité des personnes habilitées à traiter les données.
3. Mesures de sécurité techniques et organisationnelles appropriées (article 32).
4. Conditions de recours à un sous-traitant ultérieur (votre propre VA, votre agence partenaire).
5. Assistance au client pour répondre aux demandes des personnes concernées.
6. Assistance pour les notifications de violation, analyses d'impact, consultations CNIL.
7. Sort des données en fin de prestation : restitution ou suppression certifiée.
8. Mise à disposition des informations nécessaires aux audits.

L'absence de DPA est passible d'une amende administrative jusqu'à 2% du chiffre d'affaires annuel (article 83 RGPD), et engage la responsabilité solidaire du sous-traitant en cas de dommage causé à une personne concernée.

Le DPA RGPD ne suffit pas. Il faut également formaliser le mandat d'exploitation, distinct du cadre données personnelles, pour couvrir les actes effectués au nom du client sur ses comptes publicitaires.

1. Le mandat d'exploitation

Document signé qui autorise le consultant à engager le client sur les plateformes publicitaires : créer des campagnes, valider des CGU, accepter les conditions de paiement, gérer les facturations. Sans mandat écrit, l'engagement contractuel pris au nom du client est juridiquement fragile, et le consultant peut être tenu personnellement responsable de la dette publicitaire.

2. La délégation native via Business Manager / Manager Account

Meta Business Manager et Google Ads Manager (MCC) permettent de relier le compte du client à votre propre structure manager, sans partage de mot de passe. C'est la seule méthode techniquement acceptable. Tout partage d'identifiants directs via mail, Slack, gestionnaire de mots de passe partagé ou capture d'écran constitue une faille de sécurité directement reprochable au consultant en cas d'incident.

3. La séparation des moyens de paiement

Idéalement, le moyen de paiement reste lié au compte client, jamais à la structure manager du consultant. Cette séparation protège des deux côtés : le client garde la maîtrise de son débit, le consultant n'a pas à porter une dette publicitaire de plusieurs dizaines de milliers d'euros si le client tarde à payer ses factures.

Voici les trois sinistres les plus fréquents rencontrés par les consultants en marketing digital sur le périmètre accès comptes clients.

Scénario 1 : piratage de votre Business Manager

Un attaquant compromet votre compte Meta (phishing sur votre boîte pro), prend le contrôle de votre Business Manager, et publie des campagnes frauduleuses sur les comptes Ads de cinq de vos clients. Dépense totale : 47 000€ en 36h. Préjudice : remboursement des budgets, perte des comptes (souvent définitivement bannis), notification CNIL si des données ont fui.

Couverture : la garantie Cyber prend en charge l'investigation forensique, la notification aux clients et à la CNIL, et indemnise les pertes financières liées au détournement, dans la limite du plafond contractuel.

Scénario 2 : fuite d'une audience custom

Vous exportez par erreur une audience custom de 280 000 emails clients hashés vers un drive personnel, qui est compromis. Le client invoque une violation de l'article 32 RGPD et notifie la CNIL sous 72h.

Couverture : garantie Cyber (notification, frais d'avocat, sanctions assurables hors amende administrative) cumulée avec la RC Pro pour les dommages immatériels au client (perte de confiance, coût de communication de crise).

Scénario 3 : litige sur la propriété du compte

À la rupture du contrat, le client réclame le transfert complet du Business Manager et du compte Google Ads. Vous estimez que les pixels et audiences construits pendant la mission vous appartiennent. Le client assigne pour restitution forcée et demande des dommages-intérêts.

Couverture : protection juridique professionnelle, qui finance la défense et l'expertise.

Avant chaque nouvelle mission impliquant un accès à des comptes ou des données, vous devriez disposer de quatre documents signés ou validés explicitement.

1. Le contrat de prestation avec périmètre, livrables, durée, conditions financières et clause limitative de responsabilité.
2. Le DPA RGPD annexé au contrat principal, conforme à l'article 28 (modèle CNIL disponible gratuitement).
3. Le mandat d'exploitation précisant les actes autorisés (création de campagnes, validation de CGU, paiement) et les plafonds éventuels.
4. Le registre des accès tenu à jour : qui a accès à quoi, depuis quand, avec quel niveau de privilège, et procédure de révocation en fin de mission.

Ces quatre documents, combinés à une délégation technique native (jamais de mot de passe partagé) et à une couverture RC Pro + Cyber Insurio dédiée aux métiers du numérique, constituent le socle minimum pour exercer sereinement. La cotisation cumulée est inférieure au coût d'une seule heure d'avocat spécialisé.

La procédure d'offboarding, le maillon le plus négligé

Dans 70% des incidents Cyber observés chez les consultants en marketing digital, l'accès compromis correspondait à une mission terminée depuis plusieurs mois, dont l'accès n'avait jamais été révoqué. Le consultant pense raisonnablement que le client a fait le ménage. Le client pense raisonnablement que le consultant a quitté les outils. Personne ne contrôle. Lorsqu'une boîte mail ou un mot de passe historique fuite, ces accès dormants deviennent des portes d'entrée prioritaires pour les attaquants.

La bonne pratique consiste à intégrer au contrat une clause d'offboarding contractuel précisant les obligations réciproques : le client coupe les accès dans les 5 jours ouvrés suivant la fin de mission, le consultant supprime certifiable les exports locaux dans le même délai, et un mail récapitulatif d'offboarding est échangé. En cas d'incident sur un accès non révoqué après cette période, la responsabilité bascule clairement vers la partie défaillante.