Utiq, le traceur publicitaire qui ne vous perd jamais de vue
Utiq est un traceur qui remplace les cookies tiers et transmet l’adresse IP de l’utilisateur à la société Utiq lors de la visite d’un site partenaire, générant ainsi un identifiant pseudonyme appelé « consentpass ». En février, Utiq travaillait avec 36 opérateurs partenaires et dispose aujourd’hui de 50 millions d’identifiants en France, étant présent sur 110 domaines.
Vous avez peut-être cliqué rapidement sur « J’accepte » sur un site d’information ou de recettes de cuisine ? Il se pourrait que vous ayez activé, sans le savoir, un traqueur plus intrusif qu’un simple cookie. Son nom est Utiq, un terme qui a suscité de vives discussions sur le réseau X fin mai, lorsque Christophe Boutry, consultant en cybersécurité, a exposé son fonctionnement dans une publication largement relayée.
Pour comprendre ce qu’est Utiq, il est nécessaire de saisir ce qu’il remplace. Le cookie tiers, ce petit fichier enregistré dans votre navigateur par des régies publicitaires lors de votre navigation sur Internet, a longtemps été l’outil principal du ciblage en ligne. Toutefois, il a perdu de son efficacité : Safari et Firefox le bloquent par défaut, et Google a, à un moment donné, annoncé sa disparition progressive. De plus, les internautes ont appris à le supprimer ou à l’éviter.
Le fonctionnement d’Utiq est quelque peu différent : lorsque vous visitez un site partenaire et acceptez la bannière de consentement, votre adresse IP, qui identifie votre connexion, est transmise à la société Utiq. Elle la transmet à votre opérateur téléphonique, qui la croise avec votre numéro de contrat ou de ligne mobile pour générer un identifiant pseudonyme, appelé « consentpass ». Ce traqueur est alors lié à votre connexion. Vider le cache, utiliser la navigation privée, changer de navigateur ou même d’appareil n’affecte pas cela.
Ce traqueur englobe également toutes les personnes utilisant la même connexion dans un foyer. « Si une seule personne du foyer consent à Utiq sur un site donné, alors seule la navigation de cet individu sera profilée », défend Béatrice Lhopitalier, directrice des revenus de Utiq. « Si une deuxième personne du foyer consent également au même site, alors l’identifiant est partagé entre les membres du foyer, et le profil associé à l’ID prend en compte toutes les navigations. Cela ne s’applique qu’aux connexions Wifi. Pour les connexions mobiles (4G, 5G), l’identifiant reste toujours lié à un seul individu, ainsi que le profilage. »
Derrière Utiq se trouve un consortium d’acteurs des télécommunications européens : Orange, Deutsche Telekom, Telefonica et Vodafone, qui ont formé une coentreprise immatriculée en Belgique, avec l’approbation de Bruxelles. La société vise à établir une alternative européenne au quasi-monopole des géants américains de la publicité en ligne. « Aujourd’hui, l’économie du web repose très largement sur la publicité, explique Béatrice Lhopitalier. Depuis plusieurs années, les Gafam captent l’essentiel de la croissance publicitaire, notamment grâce à leurs environnements authentifiés, qui leur permettent de proposer une expérience publicitaire plus performante. […] La technologie Utiq apporte précisément cette brique technique aux éditeurs de l’Open Web. »
En février, Utiq annonçait travailler avec 36 opérateurs partenaires (dont les quatre principaux français). Actuellement, l’entreprise dispose de 50 millions d’identifiants en France et est présente sur 110 domaines, indique-t-elle à 20 Minutes.
Cependant, certains internautes et collectifs, comme Sleeping Giants, expriment des préoccupations à l’égard d’Utiq. La bannière ressemble à une demande de cookies classique, mais ses implications sont très différentes. Il est donc difficile de parler de consentement libre et éclairé, comme l’exige pourtant le RGPD. Sans entrer dans les détails techniques, certains aspects du fonctionnement d’Utiq, comme le CName cloaking — qui consiste à masquer la nature exacte des requêtes vers ses serveurs — suscitent également des inquiétudes, notamment parce qu’ils permettent à l’entreprise de contourner les bloqueurs de publicités des navigateurs.
Dans ce contexte, le régulateur français adopte une position attentiste. La CNIL indique qu’elle suit la technologie « de près » et rappelle qu’elle est légale tant que le consentement a été obtenu. « Il est important de rappeler qu’Utiq ne traque pas le comportement des utilisateurs en ligne et qu’aucune donnée opérateur n’est associée à la solution », insiste la dirigeante de l’entreprise. « Utiq fournit uniquement la solution permettant de générer un ID lors de la visite de l’utilisateur, afin de permettre aux éditeurs de réaliser ce suivi dans les limites imposées par la solution. » Malgré cette opacité, révoquer son consentement est relativement simple : une visite sur le site consenthub.utiq.com permet de vérifier à quels sites votre connexion a été associée via Utiq et de révoquer les autorisations pour une durée d’un an.
