Pixels de suivi dans les e-mails : comment se conformer à la recommandation CNIL ?

La CNIL a publié, le 14 avril 2026, sa recommandation sur le consentement aux pixels de suivi dans les e-mails – ces petites images insérées dans les e-mails, qui permettent de savoir quand et comment ils sont consultés. Cette recommandation est vivement critiquée par le secteur et pourrait faire l’objet de recours.

Néanmoins, la mise en conformité s’impose dès à présent pour les annonceurs, éditeurs et leurs prestataires. La CNIL a annoncé des contrôles dans les prochains mois.

Étape 1 : cartographier vos pixels et qualifier les rôles

=> Vos pixels nécessitent-ils un consentement ?

• Les pixels soumis au consentement couvrent l’essentiel des usages marketing :

Mesure d’ouverture à des fins de délivrabilité dès lors qu’elle sort du cadre strict de l’exemption ci-dessous.

Mesure du taux d’ouverture pour évaluer et optimiser la performance des campagnes (ex : ajuster la fréquence d’envoi). Constitution de profils pour cibler sur d’autres canaux (ex : sites web, applications mobiles). Détection de comportements frauduleux (ex : inscriptions massives à un jeu-concours).

• Les pixels exemptés se limitent à deux familles : les mesures de sécurité liées à l’authentification, et la mesure d’ouverture strictement cantonnée à la délivrabilité.

Cette seconde exemption n’est possible que pour des finalités précises (gérer l’inactivité, ajuster la fréquence ou le canal de contact, ou prouver une obligation légale d’information). En contrepartie, la CNIL impose de ne conserver que la date du jour de la dernière ouverture, sans l’heure, en l’écrasant à chaque nouvelle ouverture.

Ces exemptions ne s’appliquent qu’aux e-mails que le destinataire a lui-même sollicités : e-mails transactionnels (ex : confirmation de commande, alerte, facture) ou e-mails marketing pour lesquels il a donné son consentement.

Un piège à éviter : le consentement aux pixels est indépendant de celui requis pour l’envoi de l’e-mail. Un pixel soumis à consentement peut ainsi figurer dans des e-mails qui, eux, n’en requièrent pas – transactionnels, prospection B2B, clients existants.

=> Etes-vous responsable d’obtenir les consentements ?

• Si vous êtes l’expéditeur – entendu comme celui qui décide de l’envoi, même sans en être l’émetteur technique – alors oui. La CNIL vous considère comme responsable des traitements liés aux pixels.

• Si vous êtes un prestataire de l’expéditeur (ex : prestataire d’emailing, fournisseur des pixels de suivi, etc.), vous agissez en principe comme sous-traitants, mais vous pouvez basculer coresponsable avec l’expéditeur selon la CNIL si vous exploitez les données à vos propres fins (ex : amélioration des services) – ce qui impose de formaliser un accord de coresponsabilité.

Étape 2 : repenser vos process de recueil du consentement

=> A quel moment et par quel canal recueillir le consentement ?

La CNIL privilégie un recueil au moment de la collecte de l’adresse e-mail, directement dans le formulaire d’inscription. Concrètement, cela requiert d’ajouter des cases à cocher dans vos formulaires.

Le consentement peut aussi être recueilli via un e-mail dédié, sans pixel, renvoyant vers une page d’action explicite. Cette option s’impose notamment si vous n’avez pas collecté directement les adresses e-mails (ex. : listes achetées auprès de data brokers).

En cas de refus, la CNIL recommande d’attendre six mois avant toute nouvelle sollicitation.

La CNIL admet le recours à une CMP, mais y voit un risque de consentement mal éclairé : la plateforme opère sur votre site tandis que le consentement porte sur un environnement distinct – la messagerie. Cette réserve reste discutable : une CMP bien intégrée au parcours utilisateur peut au contraire offrir un cadre attentionnel et une ergonomie favorables.

=> Combien de cases à cocher ?

En principe, chaque finalité distincte appelle un opt-in spécifique. La CNIL admet deux assouplissements :

• Lorsque les finalités sont « connexes », un seul consentement peut suffire : le consentement à une prospection personnalisée peut couvrir les pixels qui y concourent directement. La notion de connexité, créée de toute pièce par la CNIL, reste toutefois floue. Mieux vaut en faire un usage mesuré.

• Lorsque l’interface de recueil présente deux niveaux d’information : vous pouvez proposer un consentement global au premier niveau, à condition que les finalités y soient clairement exposées et que le second niveau permette à l’utilisateur d’exprimer des choix finalité par finalité.

=>Comment informer les personnes ?

Vous devez présenter chaque finalité par un intitulé court et une brève description (la CNIL donne des exemples), avec un lien vers un niveau plus détaillé — typiquement votre politique de confidentialité. Le destinataire doit également pouvoir identifier l’adresse concernée et comprendre que les pixels seront déployés sur tous les terminaux qu’il utilise pour consulter ses e-mails.

Étape 3 : traiter vos bases existantes dans les trois mois

Pour les adresses déjà collectées, la CNIL vous demande d’adresser aux destinataires un message d’information leur permettant de s’opposer aux opérations futures, à diffuser avant la mi-juillet.

Étape 4 : industrialiser le retrait et la preuve

Chaque e-mail devra comporter un lien de retrait en pied de page, aussi simple d’accès que l’acceptation, sans ressaisie de l’adresse. Le retrait doit être immédiat pour les envois futurs et, dans la mesure du possible, neutraliser les pixels des e-mails déjà envoyés. Cette neutralisation rétroactive, contestée par l’industrie, sera techniquement complexe à mettre en œuvre dans la plupart des cas.

Sur la preuve, vous devez pouvoir justifier à tout moment d’un consentement valide et individualisé : date, version du formulaire, canal, finalités couvertes. Une clause contractuelle ne suffit pas lorsque la collecte a été confiée à un partenaire – des preuves effectives, des audits réguliers et la capacité à suspendre les flux en cas de défaillance sont requis.

* * *

Le chantier doit être engagé sans attendre, les contrôles de la CNIL étant à prévoir dans quelques mois. Sa réussite passera par une collaboration étroite entre juristes et marketeurs pour sécuriser les consentements sans dégrader vos taux de conversion et coûts d’acquisition. La recommandation offre quelques leviers – consentement unique en cas de finalités connexes ou via une interface à deux niveaux – dont l’usage devra rester mesuré et précis.