Pixel de suivi email : le consentement (CNIL 2026)
Recommandation CNIL du 12 mars 2026 : les pixels de suivi dans les emails exigent le consentement du destinataire. Règles, exemptions et échéances.
L’essentiel. Depuis la délibération n° 2026-042 du 12 mars 2026, publiée le 14 avril 2026, la CNIL qualifie le pixel de suivi inséré dans un courriel de traceur au sens de l’article 82 de la loi Informatique et Libertés. Concrètement, un pixel qui mesure l’ouverture ou les clics à des fins marketing, statistiques ou de profilage suppose le consentement préalable du destinataire, exactement comme un cookie. Deux usages restent exemptés, dont la mesure individuelle de la délivrabilité pour purger les inactifs. Pour les adresses collectées avant le 14 avril 2026, la CNIL a laissé trois mois pour informer les destinataires et leur permettre de s’opposer — soit jusqu’au 14 juillet 2026.
Le pixel de suivi est longtemps resté un angle mort de la conformité. La plupart des routeurs d’emailing l’activent par défaut pour mesurer les taux d’ouverture, sans que personne ne s’interroge sur sa base légale. La recommandation de la CNIL adoptée le 12 mars 2026 met fin à cette zone grise : le pixel n’est pas un simple outil technique, c’est un traceur, et son régime est désormais aligné sur celui des cookies. Voici ce que cela change, et ce qu’il faut faire.
Qu’est-ce qu’un pixel de suivi dans un email ?
Le pixel de suivi — aussi appelé « pixel espion » ou tracking pixel — est une image réduite à un seul point (1 pixel sur 1 pixel), invisible pour le lecteur, insérée dans le corps d’un courriel. Son nom de fichier contient un identifiant propre à chaque destinataire.
Le mécanisme est simple : lorsque le lecteur ouvre l’email, sa messagerie télécharge l’image depuis le serveur de l’expéditeur. Ce chargement, horodaté et rattaché à l’identifiant, permet de savoir qui a ouvert le message, quand, combien de fois, et parfois avec quel appareil. Couplé à des liens tracés, il révèle aussi les clics.
Cette technique alimente la plupart des indicateurs d’une campagne : taux d’ouverture, segmentation par engagement, relances des non-ouvreurs, scoring comportemental. C’est précisément parce qu’elle donne accès au comportement de lecture — dans un espace aussi personnel que la boîte de réception — que la CNIL a choisi de l’encadrer, après avoir constaté une hausse des plaintes sur le sujet.
Pourquoi le consentement devient la règle
Le fondement : l’article 82 de la loi Informatique et Libertés
Le raisonnement de la CNIL repose sur un texte antérieur au RGPD : l’article 82 de la loi Informatique et Libertés, qui transpose en droit français la directive 2002/58/CE dite ePrivacy. Cet article soumet au consentement préalable toute action consistant à accéder à des informations déjà stockées dans l’équipement terminal d’un utilisateur, ou à y inscrire des informations.
Or le chargement d’un pixel provoque bien un accès au terminal du destinataire et à des informations qui s’y trouvent. La recommandation s’inscrit dans le prolongement des lignes directrices 2/2023 du Comité européen de la protection des données sur le champ d’application technique de la directive ePrivacy, qui avaient déjà retenu une lecture large de la notion de traceur. Le pixel entre donc dans le même régime que les cookies et autres traceurs.
Conséquence pratique : la logique n’est plus celle de l’intérêt légitime, souvent invoquée pour les statistiques d’audience, mais celle du consentement préalable de l’article 82. C’est un changement de base juridique, pas une simple recommandation de bonne pratique.
Un consentement qui doit répondre aux critères du RGPD
Le consentement exigé n’est pas un accord de façade. Il doit satisfaire les quatre qualités posées par l’article 4(11) du RGPD : libre, spécifique, éclairé et univoque. Un destinataire doit donc comprendre qu’un pixel mesure l’ouverture de ses messages, à quelles fins, et pouvoir accepter par un acte positif — sans case pré-cochée, sans consentement présumé du simple fait de l’inscription à une newsletter. C’est la même exigence que celle applicable au consentement RGPD en général.
Quels pixels exigent le consentement, lesquels en sont exemptés
Les usages soumis au consentement
Dès qu’un pixel poursuit une finalité de marketing, de mesure statistique ou de profilage, le consentement est requis. Cela couvre les usages les plus courants : analyser les taux d’ouverture pour optimiser une campagne, personnaliser le contenu ou la fréquence des envois en fonction de l’engagement, adapter le canal de communication, ou nourrir un score comportemental. En pratique, c’est l’immense majorité des pixels activés par défaut dans les plateformes d’emailing.
Les deux exemptions
La CNIL a maintenu un espace pour les usages strictement techniques, à la suite de la consultation publique menée en juin 2025 :
La mesure individuelle de la délivrabilité rattachée à un service demandé par le destinataire est exemptée. Elle permet d’identifier les destinataires qui n’ouvrent plus les messages afin de retirer des listes les personnes devenues inactives, et ainsi de préserver la réputation des systèmes d’envoi. L’exemption est toutefois strictement encadrée : les données doivent être limitées au strict nécessaire et ne peuvent servir qu’à mesurer la délivrabilité — jamais à segmenter ou à profiler.
Les pixels de sécurité rattachés à des mécanismes d’authentification restent également hors du champ du consentement, dès lors qu’ils sont nécessaires au service demandé.
Ces exemptions doivent être interprétées de manière restrictive : dès qu’un même pixel sert accessoirement une finalité marketing, il bascule dans le régime du consentement.
Le cas des emails transactionnels
La recommandation précise quels courriels peuvent être considérés comme « rattachés à un service demandé par le destinataire ». Il s’agit des emails dits transactionnels : alertes de compte, notifications d’événements (expédition d’un colis, par exemple), confirmations de commande et factures, rappels et réinitialisations de mot de passe, alertes de sécurité et notifications de violation. S’y ajoutent les courriels pour lesquels le destinataire a explicitement donné son consentement.
La frontière est nette : un email transactionnel peut légitimement embarquer un pixel de délivrabilité ; un email promotionnel, non — sauf consentement.
Bases existantes : l’échéance des trois mois
La CNIL a adopté une approche progressive pour ne pas paralyser les bases de contacts constituées de longue date. Pour les courriels envoyés à des adresses collectées avant la publication de la recommandation (le 14 avril 2026), elle ne réclame pas de recueil rétroactif du consentement. Elle demande, dans un délai de trois mois, d’informer clairement les destinataires de l’usage de pixels et de leur permettre de s’y opposer facilement.
Ce délai de trois mois arrive à échéance le 14 juillet 2026. Passé cette date, une base historique dont les destinataires n’ont été ni informés ni mis en mesure de s’opposer se trouve en situation de non-conformité. Pour les adresses collectées après le 14 avril 2026, en revanche, la logique du consentement préalable s’applique pleinement dès la collecte.
Dans mon expérience de conseil auprès de directions marketing, c’est ce point qui est le plus sous-estimé : beaucoup ont retenu la date de juillet comme un couperet unique, alors qu’elle ne concerne que le stock. Le flux, lui, appelle une refonte des parcours de collecte du consentement.
Qui est responsable ? La répartition des rôles
La recommandation invite chaque acteur à qualifier son rôle au cas par cas. L’entreprise qui décide d’envoyer une campagne et de mesurer son audience agit comme responsable de traitement. Le prestataire technique — routeur, plateforme d’emailing — intervient le plus souvent comme sous-traitant au sens de l’article 28 du RGPD, exécutant les instructions de son client.
Cette qualification a des conséquences concrètes : c’est au responsable de traitement de garantir la validité du consentement et l’information des personnes, et de l’inscrire dans un contrat de sous-traitance conforme. Se retrancher derrière les réglages par défaut de son routeur n’exonère pas de cette responsabilité. C’est typiquement le type de cartographie des traitements et des rôles que des outils comme Legiscope permettent de structurer et de documenter.
Ce qu’il faut faire concrètement
Pour aligner ses campagnes sur la recommandation, quelques chantiers prioritaires :
Auditer les pixels réellement actifs dans son outil d’emailing et distinguer, finalité par finalité, ceux qui relèvent du marketing de ceux qui servent la seule délivrabilité. Intégrer une demande de consentement spécifique au suivi d’ouverture au moment de la collecte — dans le formulaire d’inscription, distincte du consentement à la prospection elle-même. Informer les bases existantes avant l’échéance et ouvrir un mécanisme d’opposition simple. Conserver la preuve du consentement, dont la CNIL rappelle qu’elle incombe au responsable de traitement. Enfin, désactiver le pixel par défaut pour les envois vers les destinataires qui n’ont pas consenti, en distinguant nettement flux promotionnel et flux transactionnel.
Ce qu’il faut retenir
- Depuis la délibération n° 2026-042 du 12 mars 2026, le pixel de suivi dans un email est un traceur soumis à l’article 82 de la loi Informatique et Libertés : sa finalité marketing, statistique ou de profilage exige le consentement préalable du destinataire.
- Le consentement doit répondre aux critères de l’article 4(11) du RGPD : libre, spécifique, éclairé et univoque — pas de case pré-cochée, pas de consentement présumé.
- Deux exemptions subsistent, interprétées strictement : la mesure individuelle de la délivrabilité (pour purger les inactifs) et les pixels de sécurité liés à l’authentification.
- Les emails transactionnels (confirmations, factures, alertes de sécurité) peuvent embarquer un pixel de délivrabilité ; les emails promotionnels, non, sauf consentement.
- Pour les bases collectées avant le 14 avril 2026, la CNIL a laissé trois mois — jusqu’au 14 juillet 2026 — pour informer les destinataires et permettre l’opposition. Pour les collectes postérieures, le consentement préalable s’impose dès l’inscription.
FAQ
Le taux d’ouverture d’une newsletter est-il encore mesurable sans consentement ?
Non, plus par défaut. Mesurer l’ouverture à des fins statistiques ou marketing relève désormais du consentement préalable de l’article 82. Seule la mesure individuelle de la délivrabilité, strictement limitée à l’identification et au retrait des destinataires inactifs, reste exemptée. Il faut donc recueillir un consentement spécifique pour continuer à exploiter les taux d’ouverture dans une logique de performance.
Un email transactionnel peut-il contenir un pixel de suivi ?
Oui, dans un cadre limité. Un email transactionnel — confirmation de commande, facture, alerte de sécurité, réinitialisation de mot de passe — est rattaché à un service demandé par le destinataire. Il peut donc embarquer un pixel de mesure de la délivrabilité sans consentement. En revanche, y ajouter un pixel à finalité marketing ou de profilage ferait basculer l’envoi dans le régime du consentement.
Que risque une entreprise qui ne se met pas en conformité ?
Le non-respect de l’article 82 expose aux sanctions de la CNIL, qui peut prononcer des amendes administratives et des injonctions. La CNIL a annoncé accompagner les acteurs par des webinaires avant de veiller au respect des règles dans le cadre de ses contrôles. Le sujet du suivi des courriels ayant généré un nombre croissant de plaintes, il constitue un axe de contrôle probable pour les prochains mois.
Quelle différence avec le pixel Meta ou les cookies d’un site web ?
Le principe juridique est le même — le consentement de l’article 82 — mais le contexte diffère. Sur un site, le consentement se recueille via un bandeau au premier accès ; dans l’email, il doit être obtenu en amont, typiquement lors de la collecte de l’adresse. Les règles applicables au pixel Meta et aux cookies fournissent un cadre de référence utile, que la recommandation adapte aux spécificités de la messagerie.
Vous pilotez des campagnes d’emailing et souhaitez sécuriser vos pratiques ? Recevez chaque semaine nos analyses de conformité — décryptages des recommandations CNIL, modèles et checklists directement exploitables.