Vous envoyez une newsletter et vous regardez fièrement votre taux d'ouverture ? Ce chiffre repose presque toujours sur un mouchard invisible glissé dans vos e-mails, et depuis 2026, la CNIL encadre sérieusement cette pratique que la quasi-totalité des expéditeurs utilisent sans y penser.
Le 12 mars 2026, la CNIL a adopté une recommandation, publiée le 14 avril, qui comble un vide juridique longtemps exploité par les équipes marketing : celui des pixels de suivi dans les courriers électroniques. Ces images d'un pixel sur un pixel, transparentes et invisibles, se chargent à l'ouverture d'un e-mail et signalent à l'expéditeur que son message a été lu, quand, et parfois depuis quel appareil.
La pratique n'est pas nouvelle, mais sa croissance, portée par le marketing automation et l'emailing B2B, a généré un nombre croissant de plaintes. La CNIL a donc fixé une ligne claire entre ce qui est permis sans consentement et ce qui l'exige. Si vous gérez une liste de diffusion, que vous soyez une PME, une association, une agence ou un freelance, cet article vous concerne directement.
Un mouchard invisible dans chaque e-mail
Commençons par le concret. Un pixel de suivi est une minuscule image, généralement un carré transparent d'un pixel de côté, insérée dans le corps d'un e-mail. Contrairement à une image classique intégrée au message, elle est hébergée sur un serveur distant.
Quand le destinataire ouvre l'e-mail, son logiciel de messagerie va chercher cette image sur le serveur. Ce simple chargement suffit à confirmer l'ouverture à l'expéditeur, avec parfois l'heure, le type d'appareil et l'adresse IP. C'est ainsi que sont calculés les fameux taux d'ouverture qui pilotent les stratégies d'emailing.
Bon à savoir : la boîte e-mail est considérée comme un espace privé, intime même. Contrairement à la navigation web où l'on s'attend à être suivi, beaucoup de personnes vivent l'ouverture d'un e-mail comme un acte personnel. C'est précisément ce qui a motivé la CNIL à intervenir avec une recommandation dédiée.
Sur le plan juridique, la position de la CNIL est nette : insérer un pixel de suivi constitue une opération de lecture sur le terminal du destinataire. À ce titre, cette pratique relève de l'article 82 de la loi Informatique et Libertés, le même texte qui encadre les cookies. La conséquence est lourde de sens : le pixel suit désormais la même logique de consentement que les traceurs web.
Le principe : consentement requis
Voici le cœur de la recommandation. Pour la plupart des usages marketing d'un pixel, vous devez obtenir le consentement préalable, libre, spécifique, éclairé et univoque du destinataire. La CNIL identifie précisément les finalités concernées.
- Mesurer l'ouverture pour optimiser vos campagnes : personnaliser le contenu, adapter la fréquence d'envoi ou le canal de communication.
- Constituer des profils de destinataires : selon leurs préférences et centres d'intérêt, pour du ciblage dans d'autres contextes que l'e-mail.
- Détecter et analyser les suspicions de fraude : dès lors que cela passe par le suivi individuel.
- Mesurer la délivrabilité hors des cas exemptés : toute mesure individuelle qui sort du cadre strict de l'exemption.
Autrement dit, dès que la donnée d'ouverture sert à améliorer vos performances, à profiler ou à cibler, le consentement est obligatoire. Et ce consentement doit être distinct de celui que vous avez éventuellement recueilli pour l'envoi de la newsletter elle-même.
Attention : accepter de recevoir vos e-mails n'équivaut pas à consentir au suivi. La CNIL sépare nettement les deux régimes. Une personne peut s'être abonnée à votre newsletter sans avoir consenti au pixel qui mesure ses ouvertures. Il vous faut alors un consentement spécifique au suivi.
Les exemptions : ce que vous pouvez encore faire sans consentement
La CNIL n'a pas interdit tous les pixels, et c'est l'aspect pragmatique de sa position. Certaines finalités, jugées peu intrusives ou nécessaires, échappent au consentement. Mais elles sont strictement encadrées.
L'exemption la plus utile en pratique est celle de la délivrabilité. Elle vous autorise à repérer les adresses qui n'ouvrent plus vos messages pour faire le ménage dans votre base. Mais attention aux conditions : les données ne peuvent servir qu'à cette fin, elles ne concernent que les e-mails transactionnels ou ceux pour lesquels la personne a consenti, et la conservation est minimale.
Bon à savoir : au titre du principe de minimisation de l'article 5 du RGPD, la CNIL recommande de ne conserver que la date du jour de la dernière ouverture, sans l'heure, écrasée à chaque nouvelle consultation. Pas d'historique détaillé, pas d'horodatage précis. C'est cette frugalité qui justifie l'exemption.
La frontière entre délivrabilité exemptée et optimisation soumise au consentement est l'un des points les plus délicats du texte. Nettoyer une base, c'est exempté. Optimiser des performances, c'est soumis au consentement. En pratique, ces objectifs se recoupent, et c'est là que votre vigilance doit se concentrer pour éviter l'insécurité juridique.
Le tableau de référence : consentement ou exemption
Pour vous y retrouver d'un coup d'œil, voici la synthèse des principales finalités, leur régime et le fondement retenu par la CNIL. Gardez cette grille sous la main au moment d'auditer vos campagnes.
| Finalité du pixel | Régime | Conditions / précisions |
|---|---|---|
| Mesure d'ouverture pour optimiser les campagnes | Consentement requis | Personnalisation, fréquence, canal d'envoi |
| Profilage pour ciblage cross-canal | Consentement requis | Constitution de profils selon les centres d'intérêt |
| Détection de fraude par suivi individuel | Consentement requis | Sauf cas particuliers strictement nécessaires |
| Mesure de délivrabilité (nettoyage des inactifs) | Exempté | E-mails transactionnels ou consentis, date du jour sans l'heure |
| Sécurité et authentification de l'utilisateur | Exempté | Finalité exclusive de sécurisation |
| Preuve du respect d'une obligation légale | Conditionnel | Cadre limité à l'obligation concernée |
| Données rendues effectivement anonymes | Hors consentement | Réutilisation possible si anonymisation réelle |
Source : recommandation CNIL n° 2026-042 du 12 mars 2026 relative aux pixels de suivi dans les courriers électroniques. Ce tableau synthétise les grandes lignes, mais chaque situation mérite une analyse au cas par cas, car le régime dépend de l'usage réel que vous faites des données.
Vos pratiques d'emailing sont-elles en règle ?
Pixels, cookies, mentions, consentement : vérifiez en quelques minutes où votre site et vos traitements présentent un risque de non-conformité.
Le piège : vous êtes responsable, pas votre outil
C'est sans doute le point qui surprend le plus, et celui qui expose le plus les agences et les freelances. Beaucoup pensent qu'en utilisant un outil d'emailing tiers, ils transfèrent la responsabilité juridique au prestataire. C'est faux.
La CNIL considère que l'expéditeur, c'est-à-dire l'acteur qui a décidé l'envoi du courriel, est responsable de traitement, y compris lorsqu'il sous-traite à un tiers la gestion technique des pixels. Que ce soit Mailchimp, Brevo, HubSpot ou un autre, le fait que l'outil pose le pixel ne vous affranchit pas de votre obligation de recueillir le consentement et de répondre aux demandes des personnes.
Cette position s'appuie sur une logique déjà éprouvée pour les cookies. Le Conseil d'État a jugé en 2018, dans la décision Éditions Croque Futur, que l'éditeur d'un site autorisant des cookies tiers en est responsable. La CNIL applique le même raisonnement aux pixels : vous avez la maîtrise de vos envois, donc vous portez la responsabilité.
Attention : ce point rejoint la question plus large de la sous-traitance. Choisir un prestataire d'emailing ne vous dispense pas d'encadrer la relation par un contrat conforme à l'article 28 du RGPD et de vérifier que ses réglages de suivi vous permettent de respecter la recommandation. Le réglage par défaut de votre outil n'est pas forcément conforme.
Votre plan d'action en cinq étapes
Concrètement, comment se mettre en conformité sans paralyser vos campagnes ? Voici la marche à suivre, dans l'ordre de priorité.
Auditez vos envois
Identifiez quels e-mails contiennent des pixels de suivi, ce qu'ils mesurent, et à quelle finalité servent les données. Vérifiez les réglages de votre outil d'emailing.
Qualifiez chaque usage
Pour chaque finalité, déterminez si elle relève du consentement ou d'une exemption, en vous appuyant sur le tableau de référence ci-dessus.
Recueillez le consentement au bon moment
La CNIL recommande de le recueillir dès la collecte de l'adresse, avec une information claire sur les finalités du pixel. Évitez le pré-chargement involontaire du lien de consentement.
Permettez un retrait simple
Le retrait du consentement doit être aussi facile que son recueil, et effectif : les pixels concernés ne doivent plus se déclencher sur les envois suivants.
Informez vos bases existantes
Pas de re-consentement rétroactif imposé, mais une obligation d'informer clairement vos contacts actuels et de leur permettre de s'opposer facilement pour l'avenir.
Sur le volet documentaire, pensez à intégrer les pixels dans votre registre des traitements et dans votre politique de confidentialité, deux oublis quasi systématiques. Une politique de confidentialité conforme doit mentionner l'usage de ces traceurs et leurs finalités. C'est un angle mort que la CNIL pourra pointer en cas de contrôle.
Ce sujet s'inscrit dans la continuité directe de vos obligations sur l'envoi d'e-mails marketing. Si vous gérez une liste de diffusion, notre guide sur la newsletter et le RGPD complète utilement cette recommandation, car le consentement à l'envoi et le consentement au suivi forment désormais deux exigences à traiter ensemble.
Questions fréquentes
Un pixel de suivi dans un e-mail nécessite-t-il un consentement ?
En principe oui. La CNIL considère que le chargement d'un pixel de suivi est une opération de lecture sur le terminal du destinataire, soumise à l'article 82 de la loi Informatique et Libertés. Le consentement préalable est donc requis, sauf si l'usage entre dans l'une des exemptions strictement encadrées, comme la mesure de délivrabilité.
Mesurer le taux d'ouverture de ma newsletter est-il interdit sans consentement ?
Pas interdit, mais encadré. Si vous mesurez l'ouverture pour optimiser vos campagnes, personnaliser le contenu ou adapter la fréquence, le consentement est requis. Une exemption existe uniquement pour la mesure de délivrabilité, c'est-à-dire nettoyer votre base des contacts inactifs, et seulement pour des e-mails transactionnels ou consentis, avec une conservation minimale des données.
Suis-je responsable si c'est mon outil d'emailing qui pose le pixel ?
Oui. La CNIL considère que l'expéditeur, celui qui décide de l'envoi, est responsable de traitement, y compris lorsqu'un prestataire comme un outil d'emailing gère techniquement les pixels. Vous ne pouvez pas vous décharger de cette responsabilité sur votre fournisseur.
Dois-je redemander le consentement à toute ma base existante ?
La CNIL n'impose pas de recueillir à nouveau le consentement de manière rétroactive sur les bases déjà constituées. En revanche, elle demande d'informer clairement les destinataires existants de l'usage des pixels et de leur permettre de s'y opposer facilement pour les envois futurs.
Accepter de recevoir une newsletter vaut-il consentement au suivi ?
Non. La CNIL distingue clairement les deux. Le consentement à recevoir un e-mail est indépendant du consentement au suivi par pixel. Si la finalité du pixel ne relève pas d'une exemption, un consentement distinct et spécifique au suivi est nécessaire.
La recommandation de la CNIL est-elle obligatoire ?
Une recommandation n'a pas la force contraignante d'une loi, mais elle éclaire la façon dont la CNIL interprète l'article 82 et contrôlera les pratiques. S'en écarter vous expose à devoir justifier votre conformité par d'autres moyens. En cas de contrôle, suivre la recommandation est la position la plus sûre.
Recevez la checklist de conformité RGPD (12 points)
La liste complète des éléments à vérifier sur votre site, point par point, pour vous mettre en conformité. Envoi immédiat par e-mail.
Jérémy Pierre
Expert en conformité RGPD, Jérémy accompagne les sites et agences dans la mise en conformité de leurs traitements de données depuis le lancement de RGPDKit.