Après avoir gommé la branche gaming de ses résultats financiers, NVIDIA semble vouloir rappeler qu’elle a toujours un peu d’intérêt pour les joueurs. Pour ce faire, l’entreprise n’a pas décidé de revoir le prix de ses GeForce à la baisse... [Tout lire]
Conçue comme un identifiant publicitaire alternatif aux cookies tiers, la technologie Utiq apparait aujourd’hui au niveau des bandeaux de consentement de nombreux médias et sites de marque. Bien qu’elle soit présentée comme un « simple » identifiant, son fonctionnement diffère radicalement de celui des cookies, notamment parce qu’elle crée un identifiant unique associé à la connexion à Internet. Quels sont les enjeux techniques et réglementaires associés à son fonctionnement, et comment se protéger d’éventuelles dérives ? Next fait le point.
Mise à jour, mardi 2 juin, 16 heures :
Contactée par Next, la direction d’Utiq nous a fourni différents éléments d’explication qui complètent et éclairent certains aspects du fonctionnement de cette technologie publicitaire. Elle défend dans le même temps le bien-fondé de son approche, et cherche à relativiser les craintes exprimées par les internautes quant au respect de leur vie privée.
Sur le Network Signal et les zones d’ombre associées : l’un des principaux reproches adressés à Utiq concerne le flou relatif qui entoure l’identifiant unique généré à partir de la connexion Internet de l’utilisateur, et la façon dont tous les appareils exploitant une même connexion peuvent être réconciliés au sein d’un même profil publicitaire.
« Une fois que le consentement utilisateur est établi, on récupère l’adresse IP de l’internaute et on l’associe aux plages d’adresses IP que nous ont fournies les opérateurs. Ensuite, un appel est émis vers l’opérateur, à qui on transmet cette adresse IP. De son côté, il associe cette adresse IP à un contrat d’utilisateur, et va simplement générer une valeur unique associée à ce contrat. Il va ensuite transformer cette valeur, par la méthode de son choix, hashing ou tokenisation par exemple, avant de la renvoyer à Utiq », explique Julien Delhommeau, COO d’Utiq.
Utiq déclenche ensuite, à partir de cette valeur retournée par l’opérateur, la création de son propre identifiant principal, le Consentpass, stocké sous forme de cookie sur le terminal de l’utilisateur. Tous les appareils sur lesquels le consentement à Utiq est donné au sein d’un même réseau local (Wi-Fi domestique par exemple) reçoivent donc la même valeur.
Sur le consentement par terminaux : ce fonctionnement ne signifie cependant pas que tous les appareils du foyer sont suivis dès qu’un consentement a été donné. « Si je suis en Wi-Fi sur mon ordinateur et que je consens à Utiq sur un site précis, l’identifiant associé à ma connexion va être généré, et cet identifiant sera stocké sur mon navigateur pour ce domaine-là. Mais si je passe sur mon téléphone, ou si ma femme se rend à la même adresse, le site ne la connait pas. On va donc à nouveau lui proposer le consentement. Si elle accepte, le processus est relancé et dans ce cas, on aboutit au même Consentpass, ce qui signifie que là, l’éditeur sera en mesure d’associer nos deux visites », décrit Julien Delhommeau.
Passer en navigation privée ou vider les cookies de son navigateur permet donc de réinitialiser le consentement au niveau de l’appareil concerné, contrairement à ce que nous écrivions vendredi, même si l’avertissement de la CNIL laisse entendre un risque à ce niveau.
Le fonctionnement d’Utiq offre cependant une forme de traçabilité qui n’existait pas avec les cookies tiers en cas de nouveau consentement. « Avec les cookies d’avant, le cookie était régénéré avec une valeur aléatoire jusqu’à la prochaine suppression. Dans le cas d’Utiq, si vous consentez à nouveau, vous êtes ré-identifié, puisqu’on va retomber sur le même identifiant de connexion, le profil reprend donc là où on l’avait laissé avant suppression », admet notre interlocuteur.
Sur les promesses de pseudonymat : Utiq réaffirme qu’aucune donnée liée au compte utilisateur chez l’opérateur n’est intégrée à son identifiant. Interrogée par nos soins sur les possibilités de croisement entre l’identifiant Utiq et d’autres sources de données à des fins de profilage plus avancé pouvant aboutir à une compromission du pseudonymat, l’entreprise ne nie pas le phénomène, mais elle estime que sa technologie protège au final mieux la vie privée de l’internaute que les cookies publicitaires traditionnels, stockés en clair.
Ce serait même la raison d’être des identifiants en cascade (Marktechpass, Adtechpass etc.) que nous décrivions dans notre article initial. « Nos identifiants sont envoyés chiffrés, avec un rafraichissement toutes les dix minutes pour l’Adtechpass, et il n’y a qu’une dizaine d’acteurs de l’adtech triés sur le volet qui sont capables de le déchiffrer pour faire la réconciliation entre les audiences de l’éditeur et celles de l’annonceur », affirme Julien Delhommeau.
Sur le consentement éclairé : Utiq est-elle consciente que le flou de certains des messages d’avertissement et la relative opacité de sa documentation technique participent à la suspicion des internautes ? Sur ce point, l’entreprise fait valoir qu’elle exige de ses éditeurs et partenaires une mention explicite de la technologie sur les bandeaux de consentement, souvent assortie d’une page d’information dédiée, et que cette pilule a déjà du mal à passer. Et rappelle sa plateforme centralisée de gestion du consentement, avec l’option de blocage pour un an, qui dépasse les exigences réglementaires. « Ce n’est pas une fonctionnalité obligatoire au regard du RGPD, c’est vraiment quelque chose qu’on apporte en plus pour donner du contrôle », estime le COO.
Publication initiale, vendredi 29 mai, 9h30 :
Longtemps considérés comme l’outil de référence pour assurer le suivi publicitaire d’un internaute entre différents sites, les cookies tiers sont fragilisés depuis plusieurs années par la multiplication des outils et mesures de blocage, déployées soit par les utilisateurs, soit par les éditeurs de navigateurs et d’OS. En réaction, l’industrie de la publicité planche depuis plusieurs années sur des mécaniques alternatives permettant de croiser les informations de navigation pour afficher à l’internaute des publicités ciblées en fonction de son comportement.
En 2023, plusieurs grands opérateurs européens, dont Orange, Deutsche Telekom ou Vodafone se sont associés au travers d’une coentreprise pour élaborer une solution dédiée, capable de concurrencer les GAFAM sur le terrain de la publicité. Leur grande idée ? Plutôt que d’identifier les internautes par l’intermédiaire de leur navigateur, d’essayer de prolonger la durée de vie des cookies tiers en passant par des redirections, ou d’explorer des méthodes basées sur l’email ou le numéro de téléphone, les FAI se proposent d’exploiter une information exclusive : la connexion à Internet, qu’elle soit fixe ou mobile.
Pour ce faire, ils ont élaboré une série de « différents identifiants marketing sécurisés », capables d’exploiter des informations en lien avec la connexion à Internet utilisée pour « représenter un individu ou un foyer ».
« Pour une connexion internet fixe (ex : Wi-Fi) les identifiants seront assignés au foyer (tous les membres du foyer ayant consentis se verront attribuer les mêmes identifiants) », explique Utiq. Sur mobile, le ciblage gagne en précision puisque les activités marketing seront le plus souvent « basées sur la navigation d’un seul individu ».
Sur AuFeminin, qui exploite Utiq, la technologie est présentée de la façon suivante sur le bandeau de consentement :
« Si vous acceptez et utilisez une connexion internet compatible (mobile ou fixe), nous, Reworld Media, utilisons des identifiants marketing fournis par Utiq pour nos activités numériques, telles que la personnalisation des publicités et du contenu, ainsi que pour l’analyse. Pour créer ces identifiants, Utiq travaille avec votre opérateur télécom. Ce dernier utilise pour cela votre adresse IP, ainsi que des données internes (ex. numéro téléphone), sans jamais les divulguer à Utiq. »
L’activation de cet identifiant est bien sûr conditionnée au consentement de l’utilisateur, comme l’exige le cadre réglementaire.
Testée au travers de premières campagnes publicitaires courant 2024, la technologie qui en découle a depuis fait l’objet d’une adoption massive. Le consortium Utiq (opéré via une entreprise immatriculée en Belgique) revendiquait ainsi, en juin 2025, 26 opérateurs partenaires et, déjà, 55 millions d’identifiants uniques collectés. La dynamique semble s’accélérer : en février dernier, Utiq parlait de 36 opérateurs partenaires (dont les quatre principaux français), 330 éditeurs (voir la liste, qui réunit de nombreux groupes média français de premier plan), et 75 millions d’identifiants créés sur ses différents marchés, dont 40 millions en France.
Du point de vue des acteurs de la publicité, cet identifiant ne manque pas d’intérêt, au moins sur le papier. Un identifiant lié à la connexion à Internet, validé par l’opérateur qui la délivre (sur fixe comme sur mobile) constitue en effet un identifiant déterministe particulièrement solide.
Si un ordinateur exploite ma connexion à Internet résidentielle pour consulter un site, on sait avec un niveau de certitude élevé que la visite est réalisée par moi ou par l’un des membres de mon foyer. Bien sûr, je peux laisser un tiers se connecter à mon Wi-Fi, mais dans les faits, les visites comptabilisées depuis mon IP peuvent être attribuées à ma cellule familiale.
L’autre avantage, particulièrement par rapport aux cookies, réside dans la capacité à consolider les visites émanant de plusieurs appareils distincts. Téléphone, tablette, ordinateur pro ou perso, TV connectée, console de jeux… tous sont associés à la même adresse de connexion, alors que chacun d’entre eux génère ses propres cookies lors des sessions individuelles.
Enfin, cet identifiant « opérateur » résiste aux protections habituelles. Je peux vider le cache de mon navigateur, activer ses protections contre le pistage (régulièrement renforcées sur Firefox ou sur iOS), passer en navigation privée, ou utiliser un logiciel différent pour certaines recherches afin de camoufler mes traces, mais à moins que j’utilise des mécanismes dédiés (proxy ou VPN par exemple), mon adresse IP me suit tout au long de mes usages.
Pour garantir son efficacité, Utiq demande aux sites qui implémentent sa technologie de créer un sous-domaine (sous la forme utiq.marque.com) qui résout vers ses propres serveurs. De cette façon (on parle de CNAME cloaking), le navigateur perçoit une requête émise par le site cible et non par un domaine tierce partie, ce qui contourne les protections du navigateur.
Pour illustrer l’intérêt de la démarche, disons que je cherche à acheter une voiture électrique. Pour ce faire, je me suis informé, depuis mon domicile, sur des médias spécialisés qui distribuent Utiq depuis mon téléphone, et j’ai regardé une émission auto via une application de ma TV exploitant elle aussi Utiq.
Quand le lendemain, j’utilise mon ordinateur pour me rendre sur le site de Renault (l’un des premiers annonceurs à avoir exploité la techno Utiq), ses outils marketing sont capables d’identifier que je suis un acheteur en puissance. Le constructeur va donc pouvoir affiner les messages commerciaux qu’il m’affiche, pour essayer de générer une vente.
Connexion