Le paysage des identifiants universels en 2026

La catégorie des identifiants universels s'est considérablement consolidée depuis son pic de 2021, mais plusieurs plateformes majeures restent en production active.

RampID et le graphe LiveRamp

Le RampID de LiveRamp est l'identifiant universel le plus largement déployé dans l'écosystème programmatique d'approvisionnement majeur. RampID résout un identifiant individuel dérivé de l'e-mail haché et des PII connexes, avec un graphe persistant qui relie les appareils, les sessions et l'exposition multiplateforme.

ID5

ID5 offre un identifiant probabiliste et déterministe qui peut fonctionner sans entrée directe d'e-mail haché, ce qui lui confère des caractéristiques de consentement différentes des alternatives basées sur l'e-mail. Il est largement intégré parmi les SSP, DSP et fournisseurs de mesure.

UID2 et EUID

L'Unified ID 2.0 de The Trade Desk est basé sur des adresses e-mail hachées et salées avec un mécanisme de consentement explicite et un calendrier de rotation régulier. La variante européenne EUID a été conçue spécifiquement pour un déploiement conforme au GDPR avec un modèle de hachage sur site.

Extensions first-party et graphes de partenariat

Au-delà des identifiants universels nommés, la plupart des grands éditeurs maintiennent leur propre identifiant first-party qui se connecte à un ou plusieurs graphes d'identifiants universels via des accords de partenariat. Ces accords sont là où surgissent de nombreuses questions sur la chaîne de consentement.

Le fonctionnement réel de la chaîne de consentement

Un identifiant universel dépend d'un graphe d'e-mails hachés, et le graphe dépend de l'état de consentement de la collecte d'e-mails originale. Cette chaîne est là où réside la plupart de la fragilité de conformité.

Le point de collecte original

Un utilisateur s'inscrit à une newsletter, crée un compte, saisit son e-mail pour une offre promotionnelle, ou fournit de toute autre manière son adresse e-mail à un éditeur, un annonceur ou un autre collecteur de données. À ce point de collecte original, une notice de confidentialité décrit comment l'e-mail sera utilisé et — de manière critique — s'il peut être partagé avec des partenaires de résolution d'identité à des fins publicitaires.

Le hachage et la transmission

L'e-mail est haché (généralement SHA-256) et transmis à un partenaire d'identifiant universel. L'e-mail haché devient un nœud dans le graphe d'identité, et le graphe relie cet e-mail haché à d'autres expositions et interactions.

L'utilisation publicitaire

Lorsque l'utilisateur apparaît ultérieurement dans l'inventaire d'un éditeur, le partenaire d'identifiant universel résout l'e-mail haché (via une recherche dans le graphe) et émet un identifiant éligible à la publicité. Cet identifiant est transmis dans les demandes d'enchères, utilisé dans le ciblage d'audience et appliqué dans la mesure.

La question du renouvellement du consentement

Le consentement n'est pas un événement unique. Le GDPR, le LGPD et la plupart des cadres modernes exigent que le consentement soit actuel, révocable et spécifique. Si la collecte d'e-mails originale a eu lieu sous une notice de confidentialité qui ne décrivait pas clairement l'utilisation publicitaire, ou si l'utilisateur a retiré son consentement, ou si la juridiction attend un re-consentement explicite après une période — l'entrée d'identifiant universel peut ne plus être légalement traitable même si le graphe technique continue à la résoudre.

Où réside réellement la fragilité de 2026

Plusieurs modes de défaillance spécifiques ont attiré l'attention des autorités coercitives jusqu'en 2025 et au début 2026.

Langage de notice originale insuffisant

Une défaillance courante est que l'e-mail a été collecté à l'origine sous une notice de confidentialité décrivant une utilisation marketing générale, mais ne divulguant pas spécifiquement le partage avec des partenaires de résolution d'identité ni l'utilisation ultérieure dans la publicité programmatique. Les régulateurs ont constamment constaté que ce niveau de divulgation est insuffisant pour le traitement en aval des identifiants universels.

Graphes obsolètes

Les graphes d'identifiants universels accumulent des entrées sur plusieurs années. Beaucoup d'entrées dans les graphes de 2026 ont été créées il y a des années sous des notices de consentement qui ne répondraient pas aux normes actuelles. La discipline de maintenance des graphes consistant à supprimer les entrées obsolètes et à revalider le consentement a été inégale dans l'industrie.

Lacunes dans les transferts transfrontaliers

La plupart des partenaires d'identifiants universels opèrent à l'échelle mondiale, et la transmission des e-mails hachés constitue un transfert transfrontalier de données personnelles. Le mécanisme de transfert (SCCs, adéquation, BCRs) doit couvrir l'ensemble du flux en aval, et les actions coercitives de 2025 ont examiné si le mécanisme contractuel désigné atteint réellement la réalité du traitement.

Exposition aux données des enfants

Les e-mails collectés auprès de mineurs bénéficient d'une protection spéciale au titre du GDPR-K, du code de conception adapté à l'âge du Royaume-Uni, des dispositions relatives aux enfants de la loi IA de l'UE et de plusieurs autres cadres. Les graphes d'identifiants universels n'ont historiquement pas eu de vérification d'âge robuste, et un sous-ensemble d'entrées de graphe peut concerner des utilisateurs qui étaient mineurs au moment de la collecte.

Inférences sur des catégories sensibles

Les partenaires d'identifiants universels permettent souvent des inférences sur des segments d'audience qui touchent à des catégories sensibles : santé, opinion politique, affiliation religieuse, orientation sexuelle. Le traitement de ces inférences nécessite un consentement explicite au titre du GDPR, et la couche d'inférence ne respecte parfois pas la granularité du consentement.

Le cadre d'audit de l'éditeur

Un éditeur disposant d'identifiants universels dans sa pile de production devrait effectuer un audit structuré selon cinq dimensions.

Dimension 1 : L'enregistrement de consentement source de vérité

Pour chaque e-mail haché que votre organisation contribue aux graphes d'identifiants universels, vous devriez être en mesure de produire l'enregistrement de consentement original : la notice de confidentialité en vigueur au moment de la collecte, l'horodatage, la juridiction et le libellé d'objectif spécifique. Si vous ne pouvez pas produire cet enregistrement, l'entrée n'est pas traitée en toute sécurité selon les règles actuelles.

Dimension 2 : L'examen du langage de la notice

Examinez les notices de confidentialité qui régissaient la collecte originale par rapport aux attentes actuelles des régulateurs en matière de divulgation d'objectifs spécifiques. Les notices qui ne décrivent qu'une utilisation marketing générale sont peu susceptibles de soutenir le traitement en aval des identifiants universels selon les normes de 2026.

Dimension 3 : L'examen contractuel du partenaire de graphe

Examinez vos contrats avec RampID, ID5, UID2, EUID et tout autre partenaire d'identifiant universel pour : l'adéquation des accords de traitement de données, les mécanismes de transfert transfrontalier, l'allocation de la responsabilité conjointe, l'autorisation des sous-traitants, le flux des droits des personnes concernées et les limites de conservation.

Dimension 4 : Le flux de retrait

Vérifiez que lorsqu'un utilisateur retire son consentement au niveau de l'éditeur, le retrait est communiqué aux partenaires d'identifiants universels et l'entrée d'e-mail haché est supprimée ou marquée comme non traitable dans le graphe. C'est souvent le maillon le plus faible de la chaîne.

Dimension 5 : La portée de la juridiction

Examinez si votre utilisation des identifiants universels couvre les juridictions aux exigences plus strictes : l'UE et le Royaume-Uni, la Californie, le Canada, le Brésil, le DPDP Act indien, l'APPI japonais, le PIPA sud-coréen. Chacune a des attentes spécifiques en matière de divulgation et de transfert qui peuvent différer de votre configuration de base.

Les modèles d'implémentation technique qui fonctionnent

Les programmes d'identifiants universels qui ont résisté à l'examen des régulateurs partagent plusieurs modèles techniques.

Transmission d'e-mails hachés conditionnée au consentement

L'e-mail haché n'est transmis aux partenaires d'identifiants universels que lorsque l'utilisateur a donné son consentement affirmatif à des fins publicitaires incluant le partage avec des partenaires de résolution d'identité. Il s'agit d'un accès plus strict que le consentement publicitaire général qui était suffisant en 2022.

Consentement granulaire au niveau des finalités

La CMP expose la participation aux identifiants universels comme une finalité consentable séparément, distincte de la publicité générale. Les utilisateurs peuvent consentir à l'analytique et à la publicité générale sans consentir au partage avec des partenaires de résolution d'identité.

Pipelines de propagation des retraits

Lorsqu'un utilisateur retire son consentement, l'événement de retrait transite vers tous les partenaires d'identifiants universels via des API documentées avec confirmation de conservation. La propagation est journalisée et auditable.

Re-consentement périodique

Pour les listes d'e-mails de longue durée, des campagnes périodiques de re-consentement actualisent l'enregistrement de consentement sous-jacent et élaguent les entrées où les utilisateurs ne répondent pas. Cela est particulièrement important pour les entrées antérieures au libellé actuel de la notice de confidentialité.

Exclusion des données des enfants

Les e-mails hachés des utilisateurs mineurs connus sont exclus de la participation aux identifiants universels, avec vérification de l'âge au point de collecte pour toute liste susceptible de contenir des utilisateurs mineurs.

Contrôle des segments sensibles

Les segments d'audience touchant à des catégories sensibles nécessitent un consentement opt-in explicite distinct du consentement général à la participation aux identifiants universels.

L'alternative de la salle blanche

Une alternative croissante à la résolution d'identité basée sur les identifiants universels est la collaboration en salle blanche où l'éditeur et l'annonceur font correspondre les audiences via un intermédiaire sécurisé pour la vie privée sans échange brut d'identifiants. Les salles blanches sont plus respectueuses de la vie privée par conception, de plus en plus soutenues sur les principales plateformes publicitaires, et souvent mieux adaptées aux campagnes pour audiences sensibles ou verticales réglementées. De nombreux programmes de 2026 utilisent une approche hybride : des identifiants universels pour le segment programmatique ouvert adressable, des salles blanches pour les segments partenaires directs et premium.

La liste de contrôle d'audit 2026

• Les enregistrements de consentement source de vérité sont disponibles pour chaque contribution d'e-mail haché aux graphes d'identifiants universels
• Le libellé de la notice de confidentialité en vigueur au moment de la collecte répond aux attentes des régulateurs de 2026 en matière de divulgation d'objectifs spécifiques
• Les relations contractuelles avec les partenaires d'identifiants universels couvrent le traitement des données, le transfert transfrontalier, la coresponsabilité et la conservation
• Le retrait du consentement est propagé à tous les partenaires d'identifiants universels via des pipelines documentés et auditables
• Les exigences juridictionnelles spécifiques sont traitées pour tous les marchés où l'utilisation des identifiants universels atteint les utilisateurs
• La transmission des e-mails hachés est conditionnée au consentement affirmatif aux finalités publicitaires incluant le partage avec des partenaires de résolution d'identité
• La participation aux identifiants universels est exposée comme une finalité consentable séparément dans la CMP
• Les données des enfants sont exclues des graphes d'identifiants universels avec vérification de l'âge au point de collecte
• Les audiences de segments sensibles nécessitent un opt-in explicite distinct du consentement général aux identifiants universels
• Des campagnes périodiques de re-consentement actualisent l'enregistrement de consentement sous-jacent pour les listes de longue durée
• Des alternatives de salle blanche et de mesure agrégée sont déployées là où la chaîne de consentement des identifiants universels est plus faible que ce que la campagne exige

Les perspectives pour 2026

Les identifiants universels sont une primitive de publicité adressable véritablement utile, et les versions 2026 des principales offres sont mieux conçues, plus conscientes du consentement et plus facilement défendables devant les régulateurs que leurs prédécesseurs de 2021. Mais la chaîne de consentement est toujours là où réside la plupart de la fragilité, et 2026 est l'année où les régulateurs européens et asiatiques testent activement cette fragilité. Les éditeurs qui effectuent un audit rigoureux et maintiennent la discipline de la chaîne de consentement constateront que les identifiants universels restent commercialement viables et opérationnellement durables. Ceux qui traitent l'identifiant universel comme une intégration à mettre en place et oublier portent une dette de conformité susceptible de se manifester sous la forme d'une action coercitive à un moment donné au cours des 18 prochains mois. L'audit n'est pas coûteux par rapport à la valeur commerciale du segment programmatique adressable — et il est nettement moins cher que le travail de remédiation qui suit une constatation d'infraction.