Né en 2023 d’une alliance entre Orange, Deutsche Telekom, Telefónica et Vodafone, Utiq s’impose discrètement comme l’alternative européenne aux cookies tiers, en s’appuyant sur la connexion réseau elle-même.
Ce qu’est Utiq et pourquoi ce n’est pas un cookie
Pour comprendre Utiq, il faut d’abord comprendre ce qu’il remplace. Les cookies tiers, ces traceurs déposés par des régies publicitaires sur les sites que vous visitez, ont été pendant vingt ans l’instrument central du ciblage comportemental en ligne. Leur érosion progressive, sous l’effet des bloqueurs natifs de Safari et Firefox, puis des restrictions partielles de Chrome, a ouvert une course aux alternatives. Utiq fait partie des réponses. Mais d’une nature radicalement différente de tout ce qui a précédé.
Là où un cookie réside dans le navigateur, peut être effacé, bloqué ou ignoré par un filtre DNS, Utiq opère au niveau de la connexion réseau elle-même. La technologie exploite les métadonnées de la ligne Internet de l’abonné, fixe ou mobile, pour générer un identifiant pseudonymisé, baptisé « consentpass ». Cet identifiant est ancré dans la connexion à Internet, validé par l’opérateur qui la délivre, puis injecté dans les requêtes HTTP sous forme d’en-tête réseau avant même que la requête n’atteigne le site visité.
Cette architecture confère à Utiq une propriété qu’aucun cookie n’a jamais eue : l’identifiant concerne tous les appareils connectés à la même ligne. Smartphone, tablette, ordinateur portable, télévision connectée, l’ensemble du foyer partage le même consentpass. L’extension aux connexions Wi-Fi, lancée mi-octobre 2024 en France, a mécaniquement élargi cette couverture, les deux tiers du temps passé sur le web se faisant depuis un réseau domestique.
La dynamique d’adoption est spectaculaire. En février 2026, Utiq revendiquait 36 opérateurs partenaires dont les quatre principaux français, 330 éditeurs, et près de 75 millions d’identifiants créés sur ses différents marchés, dont 40 millions rien qu’en France. En France, Publicis Media est devenu le premier groupe médias certifié Utiq en mai 2025.
Pour se rendre invisible aux bloqueurs et aux filtres DNS, Utiq recourt au CNAME cloaking : les requêtes vers ses serveurs sont masquées derrière un sous-domaine propre à chaque éditeur partenaire. Un filtrage DNS standard ne suffit pas à les identifier ; seule une inspection des en-têtes HTTP et des certificats TLS le permet. Pour les annonceurs, en revanche, l’attrait est immédiat : un identifiant validé par l’opérateur est déterministe, certain, indépendant du navigateur ou du système d’exploitation. C’est précisément ce qui en fait un actif stratégique de premier ordre, et un sujet de vigilance accrue pour quiconque gère des données ou des infrastructures réseau.
Les réactions du secteur
Utiq se présente volontiers comme une réponse privacy-friendly à la fin des cookies tiers, en mettant en avant le consentement explicite recueilli via les bandeaux présents sur les sites éditeurs partenaires. L’entreprise est immatriculée en Belgique et revendique un dispositif conforme au RGPD, avec un consentement volontaire, clair et informé. Ce discours a convaincu une part significative de l’écosystème médiatique et publicitaire européen, comme en témoigne la liste des éditeurs partenaires, qui réunit de nombreux groupes de presse nationaux de premier plan.
La communauté des chercheurs en sécurité est nettement plus réservée. Une étude arXiv publiée en mai 2024, reposant sur l’analyse automatisée des 100 000 sites les plus populaires dans les trois pays où Utiq était actif, a conclu que 100 % des sites utilisant cette technologie la complétaient avec des méthodes de tracking plus intrusives, notamment le canvas fingerprint et le font fingerprint. Les chercheurs en ont déduit qu’Utiq ne constitue pas une réelle amélioration de la vie privée par rapport aux cookies tiers : il ne s’y substitue pas, il s’y additionne. La même étude a détecté que certains sites déclenchaient ces méthodes complémentaires avant même que le consentement de l’utilisateur soit recueilli.
La question du périmètre du consentement est également posée : un accord donné sur un site partenaire s’applique potentiellement à l’ensemble du réseau Utiq. Par ailleurs, tous les appareils connectés à la même ligne partagent le même identifiant réseau, sans que les autres membres du foyer aient nécessairement consenti individuellement.
Sur le plan réglementaire, le vide est notable. La CNIL n’a à ce jour publié aucune position officielle sur Utiq. Le principe de minimisation des données inscrit dans le RGPD pourrait poser problème : qualifier le suivi publicitaire de « nécessaire » à la fourniture d’un accès Internet reste une justification juridiquement fragile.
