Depuis 2023, quatre grands opérateurs télécoms européens déploient discrètement Utiq, un identifiant publicitaire intégré directement dans la connexion internet des utilisateurs. Selon Cryptoast, ce système contourne les bloqueurs de cookies classiques et s’impose déjà comme une alternative massive au pistage traditionnel, avec 75 millions d’identifiants actifs en Europe, dont 40 millions en France.
Ce qu’il faut retenir
- Utiq, déployé par Orange, Vodafone, Deutsche Telekom et Telefónica, remplace progressivement les cookies tiers, jugés trop faciles à bloquer.
- L’identifiant « Network Signal » est généré via la connexion internet, rendant inefficaces les outils comme uBlock Origin ou la navigation privée.
- En février 2026, 36 opérateurs, 330 éditeurs et 75 millions d’identifiants étaient déjà recensés, dont 40 millions en France.
- Le consentement demandé via des bandeaux similaires à ceux des cookies ne garantit pas une transparence réelle, selon Cryptoast.
- Les autorités comme la CNIL ou le BfDI allemand s’interrogent sur la compatibilité de ce système avec le RGPD.
Un outil conçu pour contourner les limites des cookies tiers
Depuis plus de vingt ans, les cookies tiers ont servi de colonne vertébrale au pistage publicitaire en ligne. Ils permettent aux annonceurs de suivre les utilisateurs d’un site à l’autre, d’analyser leurs comportements et de personnaliser les publicités. Cependant, leur efficacité s’est érodée avec l’arrivée des bloqueurs de traqueurs comme uBlock Origin ou des protections intégrées aux navigateurs, à l’image de l’Intelligent Tracking Prevention (ITP) de Safari. Résultat : ces outils ont réduit la fiabilité des cookies tiers, fragilisant notamment le modèle économique des médias en ligne, incapables de rivaliser avec les géants comme Google ou Meta.
C’est dans ce contexte qu’est né TrustPid, un identifiant publicitaire développé en 2022 par les mêmes opérateurs télécoms. Après des tests non consentis en Espagne et en Allemagne, le projet avait été suspendu. Renommé Utiq en 2023, il se présente désormais comme une solution « privacy first », mais cache derrière son discours une réalité plus complexe : un système de pistage ancré dans la connexion réseau, échappant aux garde-fous traditionnels.
Comment fonctionne Utiq ? Un mécanisme invisible et persistant
Le fonctionnement d’Utiq repose sur quatre étapes clés. Lorsqu’un utilisateur visite un site partenaire, son adresse IP est transmise à la plateforme. Utiq interroge alors l’opérateur télécom pour vérifier l’authenticité de la ligne. Un identifiant persistant, baptisé « Network Signal », est ensuite généré. Celui-ci est utilisé pour créer un token marketing, transmis aux annonceurs afin de cibler l’utilisateur. Contrairement aux cookies, cet identifiant ne réside pas dans le navigateur, mais dans la connexion elle-même. Effacer l’historique, utiliser une session privée ou changer d’appareil ne change donc rien à son efficacité.
Pour éviter d’être détecté, Utiq exploite une faille technique : les sites partenaires lui attribuent un alias sur un sous-domaine, faisant passer ses requêtes de pistage pour des requêtes légitimes. Résultat, les outils de blocage comme AdGuard ou uBlock Origin deviennent inopérants. Autre problème de taille : le Network Signal reste une « boîte noire ». Ni les utilisateurs ni même la CNIL, selon Cryptoast, ne savent exactement quelles données y sont stockées. Impossible, dans ces conditions, d’accorder un consentement « libre et éclairé ».
Un réseau en expansion rapide, mais des zones d’ombre persistantes
En février 2026, Utiq revendiquait 36 opérateurs partenaires, 330 éditeurs et près de 75 millions d’identifiants actifs, dont 40 millions en France. Orange, Vodafone, Deutsche Telekom et Telefónica en sont les principaux actionnaires, mais le réseau s’étend rapidement à d’autres acteurs européens. L’objectif affiché est de créer une alternative européenne aux identifiants des GAFAM, permettant aux opérateurs télécoms de capter une part de la valeur du pistage publicitaire, dont ils ont longtemps été exclus.
Pourtant, ce modèle soulève des questions majeures. D’abord, le profilage n’est pas réduit, il est simplement déplacé : des acteurs comme les navigateurs ne contrôlent plus l’identifiant, mais les opérateurs télécoms. Ensuite, la pseudonymisation n’est pas garantie. Comme le souligne le BfDI allemand, chargé de la protection des données, les opérateurs occupent une « position de confiance particulière ». Il existe un risque réel de relier ces identifiants pseudonymisés à une identité réelle, notamment via d’autres comptes numériques ou des données personnelles. Enfin, le système repose sur une confiance aveugle dans les opérateurs, alors que leur historique en matière de protection des données n’est pas exempt de critiques.
Comment se protéger ? Les solutions limitées face à un système opaque
Face à Utiq, les méthodes traditionnelles de protection de la vie privée deviennent inefficaces. Effacer les cookies, utiliser un navigateur privé ou changer de terminal ne change rien à l’identifiant généré. Pour limiter son exposition, plusieurs pistes existent, mais aucune n’est parfaite. La première consiste à refuser systématiquement le consentement lorsque le bandeau Utiq apparaît. Ces pop-ups, volontairement similaires aux demandes de cookies, rendent la distinction difficile pour l’utilisateur.
Une autre solution consiste à utiliser un VPN, soit au niveau de l’appareil, soit directement sur le routeur, afin de masquer l’adresse IP et brouiller l’identification. Sur Firefox, l’extension « cnameAliasList » permet de détecter et bloquer les traqueurs utilisant l’enregistrement CNAME, une technique exploitée par Utiq. Enfin, il est possible de révoquer son consentement via le portail dédié d’Utiq, mais cette démarche reste méconnue et peu intuitive pour la majorité des utilisateurs.
— Trois points à retenir pour limiter l’impact d’Utiq :
- Un consentement accordé sur un site partenaire s’applique potentiellement à l’ensemble du réseau Utiq, y compris aux autres sites du même groupe.
- Tous les appareils connectés à une même ligne internet partagent le même identifiant réseau.
- Révoquer son consentement nécessite une démarche spécifique sur le portail d’Utiq, et non via les paramètres du navigateur.
Réactions et prises de position : des autorités en alerte
Pour l’instant, les régulateurs européens adoptent une position prudente. Le BfDI allemand a été le premier à réagir publiquement, soulignant que les opérateurs télécoms occupent une « position de confiance particulière ». L’autorité a également mis en garde contre le risque de reliage des identifiants pseudonymisés à des données personnelles, notamment via d’autres comptes numériques. En France, la CNIL n’a pas encore pris position officiellement, mais plusieurs associations de défense des droits numériques ont déjà alerté sur les dangers d’un système aussi opaque.
Côté opérateurs, Utiq se présente comme une solution « transparente et respectueuse de la vie privée ». Dans un communiqué, Orange a indiqué que le système reposait sur un « consentement explicite » et que l’identifiant « Network Signal » était « strictement pseudonymisé ». Pourtant, comme le relève Cryptoast, la réalité est bien plus floue : ni les utilisateurs ni les régulateurs ne disposent de garanties suffisantes sur la manière dont ces données sont exploitées.
Un VPN peut masquer l’adresse IP et brouiller l’identification, mais il ne supprime pas l’identifiant « Network Signal » généré par Utiq. Il limite simplement l’accès à certaines données, sans empêcher totalement le pistage via la connexion internet.
Contrairement à un cookie, qui réside dans le navigateur et peut être effacé, l’identifiant Utiq est ancré dans la connexion internet. Il persiste même en navigation privée ou après un changement d’appareil, rendant les outils comme uBlock Origin inefficaces.
