retour

Pixels de suivi dans les mails : un nouveau cadre juridique

Article IT et données personnelles | 10/07/26 | 11 min. | Florence Chafiol Alexandra Antalis

Plus de 10 mois après sa consultation publique, la CNIL publie la version définitive de ses recommandations concernant l’utilisation des pixels de suivi dans les mails. L’objectif de la recommandation est d’aider les acteurs qui recourent à ces traceurs à mieux comprendre leurs obligations, notamment en matière de recueil du consentement des destinataires de ces mails.

En effet, ces dernières années, de nombreux acteurs utilisaient ces pixels pour évaluer la bonne réception de leurs messages et éviter d’envoyer des messages inutiles ou encore à des fins marketing pour mieux comprendre les habitudes de lecture des destinataires des mails et adapter les contenus et ce, sans que la CNIL ne se soit positionnée à ce sujet. Une telle pratique est désormais encadrée.

Il est important de noter que la recommandation de la CNIL s’applique dès lors qu’un pixel est inséré dans un mail, indépendamment du destinataire et de la nature de la prospection (B2B ou B2C).

Quel délai pour se mettre en conformité avec ce nouveau cadre juridique ?

 

Pour les adresses électroniques déjà collectées, les pixels peuvent continuer à être utilisés (même pour ceux qui nécessitent le recueil du consentement), sous réserve dans un délai maximum de 3 mois à compter de la publication de la recommandation (donc avant le 14 juillet 2026) (i) d’envoyer aux destinataires une information claire et accessible et, (ii) de les mettre en capacité de s’opposer à de telles opérations pour les courriels futurs.

 

Toutefois, lorsque le responsable du traitement est tenu de solliciter un nouveau consentement pour l’utilisation de l’adresse mail (ex : pour la transmission des données à de nouveaux responsables de traitement à des fins de prospection par voie électronique), il devra recueillir un consentement valide pour la mise en œuvre des opérations de lecture ou d’écriture qui ne sont pas exemptées.

 

La CNIL semble, à ce stade, privilégier une démarche de mise en conformité plutôt qu’une approche répressive, en précisant qu’elle aidera, dans les prochains mois, les professionnels à s’approprier les règles et garanties énoncées par la recommandation, afin qu’ils puissent mettre en œuvre les mesures nécessaires à leur respect effectif.

 

 

Plan d’action à déployer :

  • Identifier les pixels utilisés dans les mails.
  • Qualifier les finalités : distinguer les usages soumis à consentement, tels que la mesure d’ouverture ou de clic à des fins d’analyse ou de personnalisation, des usages susceptibles de relever d’une exemption qui, en tout état de cause, demeure strictement encadrée.
  • Traiter la base existante avant l’échéance du 14 juillet 2026 : informer clairement les destinataires déjà en base et leur offrir une modalité simple pour refuser les pixels, sans nécessairement se désabonner des communications.
  • Adapter les nouveaux parcours de collecte : mettre à jour les formulaires, les cases à cocher et les centres de préférences afin de recueillir un choix libre, spécifique et non pré-coché lorsque le consentement est requis.
  • Assurer l’effectivité des choix : prévoir un mécanisme de retrait ou d’opposition simple, accessible depuis chaque mail, et s’assurer que le refus est bien pris en compte.
  • Documenter la conformité : conserver la preuve des choix exprimés, mettre à jour les politiques d’information (aussi bien la politique cookies et traceurs que la politique de protection des données à caractère personnel, vérifier les contrats avec les prestataires et clarifier les responsabilités entre les différents intervenants.
 

*           *           *
 

Un pixel de suivi est un petit fichier invisible, intégré dans un mail qui permet à l’expéditeur de savoir pour chaque destinataire individuel :

  • si le message a été ouvert ;
  • à quel moment (jour, heure) ;
  • sur quel type d’appareil (ordinateur, tablette, téléphone portable, etc.) ;
  • une localisation approximative (pays, région, ville, quartier, etc.) qui peut être déduite de l’adresse IP du destinataire.

 

  1. Pixels qui nécessitent le recueil du consentement


La CNIL estime que l’utilisation des pixels pour les finalités suivantes nécessite le recueil du consentement du destinataire :

  • L’analyse du taux d’ouverture des mails pour mesurer et optimiser les performances des campagnes en personnalisant le contenu des messages ou en adaptant la fréquence d’envoi ou le canal de communication (courriel, SMS, notification push, etc.). Cette finalité inclut les procédés de lutte contre la fraude publicitaire.
  • La création de profils des destinataires au regard des préférences et centres d’intérêt manifestés afin de les cibler dans d’autres contextes que les mails (sur des sites web, des applications mobiles ou via d’autres canaux de communication).
  • La détection et l’analyse de suspicions de fraude, telles que l’identification d'ouvertures inhabituelles ou massives de mails, susceptibles d’indiquer un comportement automatisé (par exemple, inscriptions massives à un jeu concours, tentatives d'exfiltration d’informations, etc.).
  • La mesure individuelle du taux d’ouverture des mails à des fins de délivrabilité lorsqu’elle n’est pas strictement nécessaire pour adapter la fréquence ou arrêter l’envoi des mails aux destinataires dits « inactifs » (nettoyage des bases).

 

  1. Pixels qui ne nécessitent pas le recueil du consentement


La CNIL considère que l’utilisation des pixels pour les finalités suivantes ne nécessite pas le recueil du consentement du destinataire :

  • La mise en œuvre des mesures de sécurité participant à l’authentification de l’utilisateur (ex : s’assurer que le mail contenant un code utilisé dans le cadre du processus d’authentification est bien ouvert sur un terminal connu pour appartenir à l’utilisateur visé).
  • La mesure individuelle du taux d’ouverture des mails à des fins de délivrabilité lorsque cela est strictement nécessaire pour adapter la fréquence ou arrêter l’envoi des mails aux destinataires dits « inactifs ».
 
Ces pixels pourront également être utilisés pour (i) évaluer et adapter le canal de communication pour, le cas échéant, choisir des modalités alternatives de contact et (ii) contribuer à la démonstration du respect d’une obligation légale relative à la transmission d’informations au destinataire (ex : la délivrance des informations requises par des dispositions légales et réglementaires en amont, pendant ou en aval de la contractualisation).

Ces exemptions ne peuvent concerner que les mails demandés par le destinataire ou qui se rattachent à un service demandé par ce dernier (ex : mails de bienvenue, d’alertes de compte, de notifications liées à des événements comme l’expédition d’un colis, confirmations de commande et factures d’achat, de rappels et réinitialisation de mot de passe, de réponses aux demandes envoyées au service client, de rappels de rendez-vous ou de réservations, de notifications de paiement ou encore de mails de notification de violation en lien avec le service demandé).

Par ailleurs, pour ces pixels, la CNIL considère que seule la date (à la journée et sans enregistrer l’heure) de la dernière ouverture connue de mails, mise à jour à chaque nouvelle ouverture avec suppression de la précédente, devrait être conservée.

Concernant la durée de conservation des informations collectées par le biais de ces pixels, la CNIL ne fournit pas d’indication spécifique. Elle précise seulement que « l’absence de sollicitation pendant une durée de 6 mois constitue une bonne pratique de la part des éditeurs », ce qui suggère que le consentement peut être à nouveau demandé à un destinataire qui s’y était opposé, sans nécessairement vouloir dire que le consentement n’est valable que 6 mois. La position ainsi retenue diffère quelque peu de celle applicable aux cookies, la CNIL indiquant clairement, dans sa recommandation sur les cookies, que la conservation des choix des utilisateurs pendant 6 mois constitue une bonne pratique.

Enfin, la CNIL recommande à titre de bonne pratique d’informer les personnes de leur existence afin d’assurer une transparence pleine et entière sur ces opérations au sein de la politique de confidentialité.
 

  1. Modalités de recueil du consentement et information des personnes


La CNIL recommande que le consentement à l’utilisation de pixels de suivi dans les mails soit recueilli au moment de la collecte de l’adresse mail concernée en intégrant, au niveau du formulaire de collecte de l’adresse, les informations nécessaires au recueil d’un consentement éclairé dont une information synthétique sur les finalités des traceurs (des exemples de formulation sont disponibles dans sa recommandation) avec un lien vers une information plus détaillée (ex : la politique « cookies et autres traceurs »).

Lorsque le recueil du consentement ne peut être effectué concomitamment à la collecte de l’adresse mail concernée, le responsable du traitement peut solliciter le consentement de la personne visée par l’envoi d’un message électronique qui ne devra pas contenir de dispositif de suivi soumis au consentement. A cette fin, la CNIL recommande, par exemple, de prévoir dans le mail un lien qui redirige vers une page sur laquelle la personne aura à effectuer une action positive (ex : cliquer sur un bouton) pour confirmer son consentement, à l’instar des mécanismes utilisés pour les liens de désinscription.

La CNIL précise qu’un consentement indépendant et spécifique doit être recueilli pour chaque finalité distincte. En principe, ce consentement spécifique au pixel doit être distinct du consentement à recevoir des prospections commerciales. La CNIL prévoit tout de même une exception en précisant qu’il est en possible de recueillir un consentement unique pour la prospection commerciale directe par voie électronique et pour l’utilisation de pixels de suivi dans les mails de prospection commerciale pour des finalités connexes. Par exemple, lorsque la prospection est expressément présentée comme personnalisée, le consentement à cette prospection et l’utilisation de pixels de suivi contribuant directement à cette personnalisation (par exemple, pour la personnalisation du contenu ou l’adaptation de la fréquence des envois) peuvent être couverts par un consentement unique.

Enfin, le régime du consentement des pixels de suivi est indépendant de celui applicable à l’envoi du mail en question : ainsi le consentement pour des pixels de suivi pourra être nécessaire pour des mails qui ne nécessitent pas, en principe, le consentement des destinataires.

Explorez notre collection de documents PDF et enrichissez vos connaissances dès maintenant !
[[ typeof errors.company === 'string' ? errors.company : errors.company[0] ]]
[[ typeof errors.email === 'string' ? errors.email : errors.email[0] ]]
L'email a été ajouté correctement