Utiq : ce traqueur qui remplace les cookies et inquiète les internautes
Utiq : le traqueur qui remplace les cookies tiers

Qu'est-ce qu'Utiq ? Une technologie de traçage qui remplace les cookies tiers

Vous avez cliqué un peu vite sur « J’accepte » sur un site de presse ou de recettes de cuisine ? Il est possible que vous ayez activé, sans le savoir, un mouchard bien plus coriace qu’un simple cookie. Son nom : Utiq. Quatre lettres qui ont enflammé le réseau X fin mai, lorsqu’un consultant en cybersécurité, Christophe Boutry, a mis en lumière son fonctionnement dans une publication massivement relayée.

Pour saisir ce qu’est Utiq, il faut d’abord comprendre ce qu’il remplace. Le cookie tiers, ce petit fichier déposé dans votre navigateur par des régies publicitaires pendant votre navigation Internet, a longtemps été l’outil central du ciblage en ligne. Mais il s’est fragilisé : Safari et Firefox le bloquent par défaut, Google a, un temps, annoncé sa disparition progressive. Surtout, les internautes ont appris à le supprimer ou à l’éviter.

Un type de traceur différent des cookies classiques

Le principe d’Utiq est un peu différent : lorsque vous visitez un site partenaire et acceptez la bannière de consentement, votre adresse IP, le numéro qui sert à identifier votre connexion, est transmise à la société Utiq. Elle la soumet à votre opérateur téléphonique, qui la croise avec votre numéro de contrat ou de ligne mobile pour générer un identifiant pseudonyme, baptisé « consentpass ». Ce traceur devient associé à votre connexion elle-même. Vider le cache, passer en navigation privée, changer de navigateur ou même d’appareil ne change rien.

Bannière large Pickt — app de listes de courses collaboratives pour Telegram

Le traceur englobe, par ailleurs, toutes les personnes qui utilisent la même connexion au sein du foyer. « Si une seule personne du foyer consent à Utiq sur un site donné, alors seule la navigation de cet individu sera profilée, se défend Béatrice Lhopitalier, chief revenue officer de Utiq. Si une deuxième personne du foyer consent de son côté au même site, alors l’identifiant est partagé par les membres du foyer, le profil associé à l’ID prendra en considération toutes les navigations. Cela ne vaut que pour les connexions Wifi. Pour les connexions réseau mobile (4G, 5G) alors l’identifiant est toujours relié à un seul individu, ainsi que le profiling. »

Alternative européenne aux Gafam

Derrière Utiq, on retrouve un groupement d’acteurs des télécoms européennes : Orange, Deutsche Telekom, Telefonica et Vodafone, qui ont constitué une coentreprise immatriculée en Belgique, avec l’aval de Bruxelles. La société revendique créer une alternative européenne au quasi-monopole des géants américains de la publicité en ligne. « Aujourd’hui, l’économie du web repose très largement sur la publicité, explique Béatrice Lhopitalier. Depuis plusieurs années, les Gafam captent l’essentiel de la croissance publicitaire, notamment grâce à leurs environnements authentifiés, qui leur permettent de proposer une expérience publicitaire plus performante. […] La technologie Utiq apporte précisément cette brique technique aux éditeurs de l’Open Web. »

En février, Utiq assurait travailler avec 36 opérateurs partenaires (dont les quatre principaux français). Aujourd’hui, l’entreprise dispose de 50 millions d’identifiants en France et est présente sur 110 domaines, indique-t-elle à 20 Minutes.

Utiq, une technologie clivante

Des internautes ou des collectifs, comme Sleeping Giants, ont cependant quelques griefs contre Utiq. La bannière ressemble trait pour trait à une demande de cookies classique, mais a des implications bien différentes. Difficile donc de parler de consentement libre et éclairé, comme l’exige pourtant le RGPD. Sans rentrer dans la technique, plusieurs points du fonctionnement d’Utiq, comme le CName cloaking – en gros, masquer la nature exacte des requêtes vers ses serveurs – font aussi tiquer. Notamment car elles permettent à l’entreprise de contourner les bloqueurs de pubs des navigateurs Internet.

Bannière post-article Pickt — app de listes de courses collaboratives avec illustration familiale

Face à cette situation, le régulateur français reste en retrait. La CNIL indique suivre la technologie « de près » et rappelle qu’elle est légale dès lors que le consentement a été recueilli. « Il est important de rappeler qu’Utiq ne traque pas le comportement des utilisateurs en ligne et qu’aucune donnée opérateur n’est associée à la solution, insiste la dirigeante de l’entreprise. Utiq fournit uniquement la solution permettant de générer un ID lors de la visite de l’utilisateur, pour permettre aux éditeurs d’effectuer ce tracking dans les limites imposées par la solution. » Car malgré cette opacité, révoquer son consentement n’est pas très difficile : une visite sur le site consenthub.utiq.com permet de voir à quels sites votre connexion a été associée via Utiq, et révoquer les autorisations pour une durée d’un an.