Pixel de suivi dans les emailings : alerte générale suite à la recommandation de la CNIL !

Par Gabrielle S. le 30/04/2026

Temps de lecture : 5 min

Vous avez jusqu’au 14 juillet.

Le 14 avril, la CNIL a publié une “Recommandation relative aux pixels de suivi dans les courriers électroniques”, un document clarifiant des dispositions du RGPD autour des pixels de suivi intégrés dans certains courriels.

Ces images de 1 sur 1 pixel se chargent à l’ouverture de ces mails, et envoient automatiquement à l’expéditeur l’information de cette ouverture. Grâce à eux, l’expéditeur peut savoir combien de personnes ont ouvert son courriel, à quel moment (date et heure), sur quel type d’appareil, et la localisation approximative de ce dernier en fonction de l’adresse IP. Ces pixels de suivi ne donnent pas d’autres informations que celles concernant l’ouverture du mail.

Les auteurs de la plupart des newsletters utilisent ce genre d’outil entre autres pour connaître leur taux d’ouverture, pour s’assurer que telle information importante est bien passée, ou encore pour déterminer quels numéros sont plus ouverts que les autres (et donc quels sujets font plus cliquer).

Cette pratique est encadrée par le RGPD pour protéger la vie privée des utilisateurs, car la loi considère aujourd’hui que les données de tracking recueillies par ces pixels sont des données personnelles. Ce ne sont pas des cookies, mais comme eux, pour collecter ces données, il leur faut légalement avoir le consentement explicite et systématique des destinataires du mail. Et il s’est avéré que certains expéditeurs commerciaux ne le demandaient pas forcément. Beaucoup, mêmes, mésinterprêtent le RGPD depuis 2018.

S’en étant rendue compte, la CNIL vise aujourd’hui à éclaircir la loi aux expéditeurs (privés et publics), et sensibiliser les destinataires souvent peu courant de l’utilisation massive de ces pixels de suivi. La Recommandation du 14 avril s’adresse aussi aux prestataires techniques qui contribuent à mener à bien les campagnes d’emailings. Pour consulter le texte complet, c’est ici. Et pour une analyse juridique plus précise, nous vous recommandons cet article décryptage par les experts de BadSender.

Un consentement obligatoire dans la plupart des cas

Tout d’abord, le consentement du destinataire à l’utilisation du pixel de suivi est obligatoire si son adresse-mail est collectée à des fins publicitaires ou commerciales. Cela inclut les cas où l’expéditeur compte utiliser les données collectées par le pixel pour : 

“mesurer et optimiser les performance des campagnes en personnalisant le contenu des messages ou en adaptant la fréquence d’envoi ou le canal de communication”

“créer des profils de destinataires afin de les cibler dans d’autres contextes que les courriels (sur des sites web, des applications mobiles ou via d’autres canaux de communication)”.

Mais le consentement est aussi obligatoire à la collecte de données en vue de “détecter et analyser les suspicions de fraude”, notamment dans le cas où des ouvertures inhabituelles ou massives de mails indiqueraient potentiellement l’usage de bot (dans le cadre d’un jeu concours par exemple). Lutter contre la fraude semble ici, pour la CNIL, contrevenir aux obligations de protection des données privées.

Si vous êtes expéditeur, vous bénéficiez encore de quelques mois, jusqu’au 14 juillet en principe, pour adapter vos pratiques à la législation (en vigueur depuis 2018 tout de même). Vous devez également informer les destinataires déjà présents sur vos listes de diffusion avant la publication de la Recommandation de votre utilisation de ces pixels, avec possibilité pour eux de se rétracter facilement. Ces informations doivent être “toujours être accessibles, compréhensibles et (…) présentée au bon moment”.

Deux exemptions notables

Cette approche progressive et quelque peu indulgente de la CNIL doit son adoption aux conclusions qu’elle a tiré de la consultation publique survenue en juin 2025 autour de cette Recommandation. La prise en considération des remarques et préoccupations du grand public et du milieu professionnel pendant cette consultation a mené à d’autres évolutions du texte initial, dont deux majeures.

Premièrement, le consentement requis normalement à la mise en œuvre du pixel de suivi n’est pas nécessaire si l’expéditeur l’utilise pour sécuriser l’authentification du destinataire. Imaginons qu’un expéditeur envoie à ce dernier un mail contenant des informations sensibles qui le concernent. En déterminant l’appareil de connexion, par exemple, le pixel de suivi peut contribuer à confirmer le fait que l’utilisateur qui ouvre le courriel est bien le destinataire visé.

Deuxièmement, le consentement de l’utilisateur n’est pas non plus obligatoire si l’expéditeur utilise le pixel de suvi pour mesurer le taux d’ouverture des courriels “à des fins de délivrabilité”, mais dans des conditions déterminées. La CNIL explique dans sa Recommandation que “le responsable du traitement devra démontrer que les opérations effectuées ont vocation à se limiter à ce qui est strictement nécessaire pour adapter la fréquence ou arrêter l’envoi des courriels aux destinataires dits « inactifs » (nettoyage des bases).” Il est donc permis que le pixel de suivi serve, sans consentement, à faciliter la gestion des listes de diffusion des emailings, dans la mesure où l’expéditeur vise à les réduire, ou à optimiser la fréquence de ses emailings.

Le RGPD accepte aussi d’autres objectifs et circonstances affiliées :

– adapter au destinataire des canaux de communication alternatifs s’il n’ouvre pas les mails (SMS, push, etc.),

– si les données sont légalement obligatoirement collectées pour prouver de la transmission d’une information. Il existe des lois qui obligent l’envoi de courriels par des structures spécifiques, et les données qu’un pixel de suivi peut collecter contribuent à démontrer qu’ils ont effectivement été envoyés et ouverts.

Mais dans le cadre de ces exemptions de demande de consentement, la date seule d’ouverture peut être collectée par l’expéditeur, et non l’heure ou l’historique du destinataire.

La CNIL répète d’autre part que seules les informations utiles à l’objectif recherché doivent être collectées”. Par exemple, pour une administration qui souhaite simplement s’assurer que sa campagne d’emailings de prévention a bien été ouverte, l’heure ou la localisation de cette ouverture ne seront dans l’idéal pas collectées.

News Scan Book

1

2

3

4

5

Précédent Suivant