Utiq, le mouchard ultime, monte en puissance

Coup de tonnerre dans le monde des télécoms : le marché mobile et internet français pourrait bientôt passer de quatre à trois opérateurs. Le protocole d’accord signé début juin entre Altice France et le trio Bouygues Telecom, Free-Iliad et Orange valorise SFR à 20,35 milliards d’euros. La route réglementaire, sociale et financière est encore longue d’ici le second semestre 2027, période envisagée pour le démantèlement de SFR entre ses trois concurrents, mais les enjeux immédiats sont clairs : moins de concurrence, risque de hausse des prix, inquiétudes sociales, mais promesse d’investissements massifs.

Pourtant, l’affaire SFR rouvre aussi une question plus profonde : dans l’économie numérique, l’opérateur n’est plus seulement celui qui vend une carte SIM ou installe une box. Il détient le tuyau, donc un signal que ni Google, ni Meta, ni un éditeur de presse ne possèdent directement : la connexion réseau. Et quand les opérateurs se concentrent, le pouvoir sur les données de connexion se concentre également, un actif stratégique que les opérateurs européens ont justement décidé de monnayer avec Utiq.

En février 2023, la Commission européenne a approuvé sans condition, au titre du règlement sur les concentrations, la création d’une coentreprise entre Deutsche Telekom, Orange, Telefónica et Vodafone. Si Bruxelles a autorisé la création d’Utiq, elle ne l’a toutefois pas imposé aux internautes ni certifié une fois pour toutes chacun de ses usages.

Votre IP = votre identifiant publicitaire

Chaque groupe détient 25 % de la structure, installée en Belgique. Deutsche Telekom présente alors le projet comme l’aboutissement d’une initiative lancée par Vodafone pour développer une solution de publicité numérique compatible avec le RGPD et la directive ePrivacy. Bref, une réponse européenne à un casse-tête mondial : la disparition progressive des cookies tiers et la domination publicitaire des grandes plateformes américaines, qui captent une part importante de la valeur générée par la publicité en ligne. Utiq propose une européanisation du modèle de publicité comportementale, avec les opérateurs comme nouveaux tiers d’identité.

Fin 2025, Utiq revendiquait 70 millions d’utilisateurs sur six marchés européens : Allemagne, Espagne, Autriche, Royaume-Uni, Italie et France. Dans cette dernière, les sources sectorielles et les relevés publics font apparaître de nombreux médias partenaires, dont BFMTV, France.tv, RTL, L’Express, Les Numériques ou Doctissimo. La liste exhaustive n’est pas publique, mais l’ordre de grandeur est clair : Utiq vise le marché publicitaire de masse.

L’entreprise se présente comme une solution « people-first », fondée sur le consentement, la pseudonymisation et la maîtrise par l’utilisateur, mais, pour comprendre en quoi le sujet est sensible, il faut sortir du discours marketing. Le cookie tiers était un badge collé au navigateur : on pouvait le bloquer, le supprimer, l’isoler, changer de navigateur ou ouvrir une fenêtre privée. Utiq déplace une partie du jeu ailleurs, sur la connexion réseau, justement.

Accusations de CNAME cloaking

Selon sa documentation, la solution « consentpass » connecte les opérateurs participants, les éditeurs et les marques via un rapprochement sécurisé du signal de consentement en temps réel. Utiq précise que ces signaux fonctionnent avec une compatibilité « multi-navigateurs et multi-plateformes » et offrent une « adressabilité précise à grande échelle ».

Concrètement, l’internaute arrive sur un site partenaire ; s’il consent à Utiq, le site déclenche l’intégration technique. L’opérateur intervient alors pour produire un signal réseau pseudonymisé. Utiq transforme ce signal en identifiants utilisables par l’écosystème marketing : martechpass pour les usages de marketing, adtechpass pour la publicité programmatique, attributionpass ou conversionpass pour la mesure. Utiq insiste sur le consentement de l’utilisateur et affirme ne pas partager le signal réseau avec ses clients et propose même une solution d’opt out disponible à tout moment.

S’il est exact que l’opérateur ne transmet directement aux annonceurs ni le nom, ni l’adresse postale ou le numéro de téléphone de l’abonné, le vrai problème est plus subtil. En produisant un identifiant publicitaire fondé sur la connexion, l’opérateur devient un acteur actif de la chaîne d’identification. L’identité publicitaire ne repose plus seulement sur le navigateur, elle remonte vers l’infrastructure.

Autre point sensible, l’intégration technique : la documentation Utiq demande aux éditeurs de configurer un sous-domaine, du type utiq.example.com, pointant vers l’infrastructure d’Utiq. C’est ce qui nourrit les accusations de CNAME cloaking sur les réseaux sociaux : le tracker peut apparaître comme une ressource du site visité et non comme une ressource tierce, ce qui complique sa détection par certains bloqueurs. Pour l’utilisateur, une banale bannière peut donc enclencher un système plus profond qu’un cookie classique.

Du pain béni pour la publicité comportementale

Côté entreprises, l’intérêt est évident : les éditeurs cherchent à mieux monétiser leur audience sur le web face à Google, Meta, Amazon ou Apple. Les annonceurs veulent du ciblage, de la mesure, de l’attribution, de la limitation de fréquence, c’est-à-dire éviter de montrer dix fois la même publicité au même individu, mesurer si une campagne a produit une conversion, réconcilier des données dispersées. Les agences et plateformes d’achat média veulent des signaux plus fiables. À ce titre, il est significatif qu’en juin 2026, The Trade Desk et Utiq aient récemment annoncé un partenariat pour la zone Europe, Afrique, Moyen-Orient. Concurrent de Google et autres Facebook Ads, The Trade Desk mise sur des identités numériques solides, telles que celle proposée par l’UE (EUID) pour proposer des services marketing personnalisés et automatisés. Utiq est de cette catégorie.

Une identité fiable, qui suit l’internaute quel que soit son mode de navigation, du pain béni pour la publicité comportementale, un vrai souci pour l’internaute. Plus l’identifiant est fiable pour l’annonceur, moins l’anonymat pratique du visiteur est robuste. Utiq revendique des signaux « multi-navigateurs et multi-plateformes », de quoi miner tous les efforts des utilisateurs qui souhaitent garder la main sur leurs données en vidant leur cache, en changeant de navigateur ou d’appareil.

Mention explicite de la technologie sur les bandeaux de consentement

De plus, si l’identifiant est bien pseudonymisé, l’architecture complexe fait intervenir opérateurs, éditeurs, marques, annonceurs et vendeurs techniques : plus la chaîne est longue, plus le risque de mauvaise compréhension, de corrélation ou de réutilisation augmente. Selon nos confrères de Next, qui ont interrogé des responsables d’Utiq, « l’entreprise ne nie pas le phénomène, mais elle estime que sa technologie protège au final mieux la vie privée de l’internaute que les cookies publicitaires traditionnels, stockés en clair ».

Un flou qui se retrouve au cœur de la promesse d’Utiq : le consentement. Certes, « contactée, la CNIL dit suivre “de près” cette technique et rappelle qu’elle est légale tant que l’internaute a cliqué et donc donné son consentement ». Justement, le point central n’est pas le clic, mais la compréhension des implications de celui-ci. Dans un univers saturé de bandeaux intrusifs (merci le RGPD…), l’utilisateur croit souvent gérer des cookies comme les autres, pas forcément un mécanisme impliquant son opérateur. « L’entreprise fait valoir qu’elle exige de ses éditeurs et partenaires une mention explicite de la technologie sur les bandeaux de consentement, souvent assortie d’une page d’information dédiée », encore une fois selon nos confrères de Next. Dans sa FAQ consacrée à Utiq/TrustPid (l’ancêtre direct d’Utiq, qui fonctionne sur le même principe), la BfDI – équivalent allemand de la CNIL en France – souligne précisément l’importance de l’information et du consentement. Et ce, d’autant que l’utilisateur est cerné : SFR, Free (clients box à ce stade, les clients mobiles suivront), Bouygues et Orange, l’un de ses cofondateurs, participent à Utiq.

Aucun profilage, vraiment ?

Si ce dernier n’est pas une surveillance d’État et si le rachat de SFR n’en fait pas une machine policière, le troisième danger est la surveillance commerciale de masse. Un identifiant publicitaire robuste combiné aux données des éditeurs, aux logins, au fingerprinting, aux outils de mesure et aux données de conversion, peut contribuer à cartographier des centres d’intérêt très sensibles : politique, santé, religion, sexualité, situation financière, consommation, habitudes domestiques. Si les responsables d’Utiq se défendent de tout profilage des utilisateurs, il n’en reste pas moins que leur suivi se fait dorénavant au niveau de l’infrastructure et reste exploitable pour de telles pratiques par des acteurs tiers.

C’est du moins ce que soulignait l’EDRi, un consortium d’ONG et de professionnels consacré aux droits digitaux, à propos de TrustPid. L’une des premières études académiques sur Utiq montre d’ailleurs que les entreprises utilisatrices « complètent ce système d’identification par des méthodes plus intrusives, telles que l’empreinte numérique canvas ou de la police sans pour autant apporter une réelle amélioration de la confidentialité par rapport aux cookies tiers que Utiq remplace ».

Un climat de navigation plutôt anxiogène qui peut pousser à l’autocensure. Un internaute qui pense que sa consultation de sites politiques, médicaux, religieux ou militants peut être associée, même sous pseudonyme, à sa connexion opérateur ne lit plus exactement de la même façon.

Refuser, bloquer, masquer, le triptyque confidentialité

Comment s’en prémunir ? D’abord en refusant. Ne pas cliquer mécaniquement sur « tout accepter », chercher Utiq dans les préférences publicitaires, vérifier les partenaires listés par les plateformes de contenus. Ensuite, en révoquant : Utiq indique que les utilisateurs peuvent gérer ou retirer leurs consentements via le consenthub et sa documentation précise que cette désactivation empêche la génération des tokens martechpass ou adtechpass. Dans la pratique, il faut penser mobile et fixe séparément, car la connexion mobile et la box domestique relèvent de contextes différents.

La défense technique consiste ensuite à bloquer et masquer. Bloquer, avec uBlock Origin, Pi-hole, NextDNS, AdGuard DNS ou des listes filtrant les domaines Utiq connus. Masquer, avec un VPN, pour empêcher ou compliquer le rapprochement entre son adresse IP réelle et son opérateur. Un VPN ne supprime pas les logins ni le fingerprinting, mais il coupe une partie du lien réseau qui fait la force d’Utiq. Enfin, compartimenter : un navigateur pour les usages sensibles, pas de comptes connectés inutiles, séparation entre navigations personnelle, professionnelle, politique ou santé. Bref, de l’hygiène numérique de base.

Le rachat de SFR ne bouleverse pas la place d’Utiq sur le marché du suivi publicitaire, mais il remet en lumière ce sujet central : la vie privée ne dépend pas que d’un bouton « accepter » ou « refuser », mais aussi de la structure du marché, du nombre d’acteurs qui contrôlent l’accès et de la couche technique où se fabrique l’identifiant. Quand le tracking se jouait dans le navigateur, supprimer ses cookies pouvait sembler suffisant. Si l’identification publicitaire remonte vers le réseau, la question se déplace aussi : qui tient la ligne et que peut-il en faire ? Reste que « si c’est gratuit, c’est toi le produit » et que la publicité demeure la principale source de revenus de sites dont le public rechigne à payer le service à son juste prix.