Ce que fait réellement la résolution d'identité

La résolution d'identité est la couche entre les sources de données de l'éditeur et les outils de mesure et de personnalisation de l'éditeur. Elle prend les entrées — cookies propriétaires, identifiants de session côté serveur, adresses e-mail hachées provenant des sessions authentifiées, identifiants publicitaires mobiles provenant de l'application de l'éditeur, identifiants d'appareils de téléviseurs connectés, et une constellation de signaux probabilistes tels que l'adresse IP, le user-agent et l'empreinte comportementale — et produit une sortie : un identifiant interne stable qui représente un seul consommateur sur toutes les surfaces exploitées par l'éditeur.

La correspondance déterministe

La voie la plus simple est la correspondance déterministe : lorsque le consommateur se connecte sur deux surfaces, l'éditeur sait que les deux appareils appartiennent à la même personne et fusionne leur graphe d'identifiants en conséquence. Les abonnés à la newsletter, les lecteurs enregistrés et les abonnés payants produisent naturellement une correspondance déterministe. Les données sont fiables, la base légale est claire (l'éditeur a une relation directe) et les décisions de consentement prises sur une surface peuvent se propager à l'autre sans suppositions probabilistes.

La correspondance probabiliste

La voie plus difficile est la correspondance probabiliste : déduire que deux appareils appartiennent à la même personne sans lien authentifié. Les signaux sont la co-occurrence d'adresses IP, la similarité comportementale, les modèles d'heures de la journée, le regroupement géographique et des modèles propriétaires qui combinent tous les éléments précédents. La correspondance probabiliste offre aux éditeurs une couverture bien plus large — la plupart des lecteurs sont déconnectés lors de la plupart de leurs visites — mais la base légale est beaucoup plus faible, et les régulateurs européens se sont montrés de plus en plus actifs pour s'opposer aux couches d'identité probabilistes qui fonctionnent sans consentement explicite.

Les graphes d'identité fournis par les fournisseurs

La troisième voie consiste à acheter ou à licencier un graphe d'identité auprès d'un fournisseur — LiveRamp, ID5, Unified ID 2.0 de The Trade Desk, ou l'un des nombreux fournisseurs plus modestes. Le fournisseur maintient le graphe, l'éditeur fournit des identifiants hachés, et le fournisseur retourne un identifiant recoupé que l'éditeur peut utiliser en aval. La posture juridique est ici mitigée : elle dépend entièrement des origines des données propres du fournisseur et des conditions contractuelles, et les actions répressives de l'UE en 2025 contre plusieurs grands fournisseurs d'identité ont rendu les éditeurs plus prudents quant aux graphes qu'ils intègrent.

La question du consentement soulevée par la résolution multi-appareils

La question difficile que pose la résolution d'identité est de savoir si l'acte de correspondance lui-même requiert un consentement, indépendamment de la publicité ou de la personnalisation en aval alimentées par l'identifiant recoupé.

La correspondance elle-même

En vertu du GDPR, la résolution d'identité est un traitement de données à caractère personnel. La base légale requise dépend de la finalité : pour la prévention de la fraude ou le fonctionnement de base du service, les intérêts légitimes peuvent parfois s'appliquer ; pour la publicité, la personnalisation ou l'extension d'audience, le consentement est requis. L'ePrivacy ajoute une couche séparée pour tout cookie ou identifiant d'appareil lu sur l'appareil de l'utilisateur, et le cookie ou l'identifiant lu nécessite un consentement quelle que soit l'utilisation que l'éditeur en fait ensuite.

La propagation du consentement

La question plus intéressante est de savoir comment la décision de consentement prise sur un appareil se propage à l'autre. Si un lecteur refuse les cookies publicitaires sur l'ordinateur portable et que l'identifiant de l'ordinateur portable est relié à celui du téléphone par correspondance déterministe d'e-mail, le téléphone doit-il respecter le refus de l'ordinateur lors de la prochaine visite ? Les recommandations publiées de l'European Data Protection Board sont claires : la réponse est oui — les décisions de consentement sont attachées à la personne concernée, pas à l'appareil, et un graphe d'identité recoupé qui permet à l'éditeur de reconnaître la personne concernée est aussi un graphe qui l'oblige à respecter ses décisions.

La voie de rétractation

La rétractation doit également se propager. Un lecteur qui se connecte aux paramètres de son compte sur l'ordinateur portable et clique sur « tout refuser » doit voir le même état reflété lorsqu'il ouvre l'application sur son téléphone, même si la session de l'application est anonyme et utilise un cookie différent. Le CMP et la couche d'identité doivent partager l'état, et la propagation doit être quasi en temps réel — une rétractation honorée une semaine plus tard ne l'est pas vraiment.

Le schéma architectural

Le CMP et la pile d'identité multi-appareils comportent un nombre restreint d'éléments reproductibles qui se sont stabilisés chez les éditeurs matures d'ici 2026.

La source de vérité unique

L'état du consentement réside dans un service de consentement appartenant à l'éditeur, et non dans la base de données du fournisseur de CMP. Le service est indexé sur l'identifiant résolu, non sur le cookie qui a déclenché la dernière décision de consentement, et chaque service aval sensible au consentement lit depuis cette source unique. Le CMP alimente le service à chaque modification du consentement, et le service fournit une API en temps réel que la pile publicitaire et la couche de personnalisation peuvent appeler à chaque chargement de page et à chaque événement.

L'index de consentement de la couche d'identité

La couche de résolution d'identité maintient un index bidirectionnel : chaque identifiant d'appareil est mappé sur une identité résolue, et chaque identité résolue est mappée en retour sur l'ensemble des identifiants d'appareils qu'elle a touchés. Lorsqu'une modification de consentement survient sur un appareil quelconque, l'index permet à l'éditeur de répercuter la modification sur chaque autre appareil utilisé par la même identité, avec un délai de refroidissement approprié et une journalisation de la propagation.

Interface de consentement par surface

L'interface de consentement sur chaque appareil doit refléter l'état multi-appareils. Un lecteur ayant consenti sur l'ordinateur portable ne devrait pas voir une nouvelle bannière sur le téléphone si la correspondance d'identité a réussi. Un lecteur jamais vu auparavant doit voir la bannière avec les paramètres par défaut de refus. Le CMP doit pouvoir lire l'état de la couche d'identité et afficher l'interface en conséquence — ce qui constitue une véritable intégration technique, mais un investissement ponctuel.

Les cas particuliers

Plusieurs surfaces et contextes génèrent des cas limites que l'architecture doit traiter explicitement.

Télévisions connectées et applications OTT

Le contexte du téléviseur connecté et des applications OTT est particulier car l'appareil est souvent partagé au sein d'un foyer — plusieurs personnes utilisent le même téléviseur, mais une seule d'entre elles possède le compte de l'application de l'éditeur sur son téléphone. La correspondance déterministe du téléphone au téléviseur est peu fiable, et la correspondance probabiliste sur un appareil partagé au sein du foyer crée une confusion de consentement. Le schéma conforme consiste à traiter l'application TV comme une surface non authentifiée par défaut, à afficher sa propre bannière de consentement au premier lancement, et à ne recouper avec un compte connu que lorsque l'utilisateur effectue une action de liaison explicite.

Navigation en mode incognito ou privé

Une session incognito rejette par définition la résolution d'identité. Le CMP doit traiter la session comme un tout nouveau visiteur à chaque fois, afficher la bannière avec les paramètres par défaut de refus, et ne pas tenter de recouper la session avec un identifiant connu, même si l'adresse IP et le comportement produiraient autrement une correspondance probabiliste. L'utilisateur a signalé qu'il souhaitait un cloisonnement, et l'éditeur respecte ce signal.

Surfaces dédiées aux enfants

Toute surface dont l'audience peut inclure des mineurs — sections de contenu pour enfants, applications à orientation familiale, comptes ayant déclaré un âge inférieur à dix-huit ans — doit par défaut n'effectuer aucune résolution d'identité et les paramètres de consentement par défaut doivent être réglés sur le refus pour la publicité et la personnalisation. L'interdiction de ciblage des mineurs prévue par le DSA et les restrictions de la COPPA aux États-Unis sont absolues et supplantent toute propagation multi-appareils depuis le compte adulte d'un membre du foyer.

Les erreurs multi-appareils courantes qui génèrent des constats

Les déploiements multi-appareils qui génèrent des constats réglementaires échouent selon des schémas que les décisions d'exécution de l'UE ont précisés. Le graphe d'identité probabiliste fonctionne sans porte de consentement explicite, en partant du principe que la correspondance probabiliste est en dessous du seuil du GDPR — une position qui n'a pas résisté aux décisions récentes. La voie de rétractation sur un appareil met une semaine à se propager à l'autre via un processus par lots, laissant une fenêtre pendant laquelle les souhaits de l'utilisateur ne sont pas respectés. L'intégration du graphe d'identité du fournisseur est mise en production sans analyse d'impact sur la protection des données (DPIA) et sans clauses contractuelles étendant la base légale de l'éditeur au traitement du fournisseur. L'application pour téléviseur connecté effectue une correspondance déterministe avec le compte téléphonique principal du foyer sans aucune action explicite de l'utilisateur, important la décision de consentement d'un utilisateur sur un autre. Le CMP affiche une bannière qui ne reflète pas l'état multi-appareils, frustrant les lecteurs récurrents qui ont déjà consenti sur une surface différente et générant les constats de fatigue du consentement que l'EDPB poursuit depuis 2025.

En conclusion

Le consentement multi-appareils n'est ni un problème technologique ni un problème juridique — c'est le point de convergence des deux. La couche de résolution d'identité que les éditeurs ont construite pour faire fonctionner l'extension d'audience et le plafonnement de fréquence crée également l'obligation de rendre le consentement et la rétractation cohérents d'une surface à l'autre. L'architecture est établie d'ici 2026 : un service de consentement appartenant à l'éditeur indexé sur l'identité résolue, un index bidirectionnel dans la couche d'identité, une propagation quasi en temps réel, une interface de consentement par surface reflétant l'état multi-appareils, et un traitement explicite pour les cas limites de partage au sein du foyer, du mode incognito et des mineurs. Rien de tout cela n'est une prouesse technique extraordinaire. Tout cela est opérationnellement précis. Les éditeurs qui l'ont construit lors du cycle de dépréciation des cookies tiers fonctionnent désormais proprement entre téléphones, ordinateurs et téléviseurs ; les éditeurs qui ont traité le multi-appareils comme une mise à niveau de mesure sans la couche de consentement passent 2026 à expliquer à l'EDPB pourquoi la rétractation d'un lecteur sur l'ordinateur portable n'a pas atteint le téléviseur connecté avant le mardi suivant.