Pixels emails : la CNIL impose le consentement et fixe le 14 juillet 2026 comme deadline d'information
La CNIL a publié le 14 avril 2026 sa recommandation sur les pixels de suivi dans les emails, adoptée le 12 mars 2026. Le régulateur français y consacre une règle simple : sauf exception strictement délimitée, ces traceurs invisibles exigent un consentement préalable des destinataires. Pour les bases d'adresses constituées avant la recommandation, les responsables de traitement ont jusqu'au 14 juillet 2026 pour informer leurs destinataires.
Ce qui s'est passé
La recommandation s'appuie sur l'article 82 de la loi Informatique et Libertés, qui transpose la directive ePrivacy. La CNIL y rappelle que les pixels — ces images insérées dans le HTML d'un email — sont assimilés aux cookies : ils déposent ou lisent des informations sur le terminal du destinataire dès l'ouverture du message. Leur usage relève donc par défaut du régime du consentement préalable, sauf deux exceptions strictement nécessaires : assurer la délivrance technique de l'email ou fournir un service explicitement demandé par le destinataire.
La CNIL liste concrètement les usages qui exigent un consentement : la mesure des taux d'ouverture pour optimiser une campagne publicitaire, la création de profils destinés à du ciblage hors emails, la détection de fraude au comportement automatisé, et tout suivi d'ouvertures individuelles qui ne répondrait pas aux conditions très étroites de la « propreté de base ». À l'inverse, échappent au consentement les pixels qui sécurisent l'authentification, ou ceux qui servent exclusivement à nettoyer une base : ajuster la fréquence d'envoi ou arrêter d'écrire aux destinataires inactifs.
Pourquoi c'est important
La recommandation est la première guidance technique nationale aussi détaillée sur les pixels emails. Elle aligne explicitement leur régime sur celui des cookies — un alignement que la CNIL martèle depuis plusieurs années dans ses communications grand public, notamment dans son article de sensibilisation aux destinataires publié plus tôt cette année. C'est aussi un signal de convergence européenne : quelques semaines plus tard, le Garante italien a publié sa propre doctrine sur les pixels de tracking, dans une logique très proche.
Pour les DPO et les équipes marketing, le texte de la CNIL marque la fin d'une zone grise. Les pratiques courantes — mesure d'ouvertures par défaut, retargeting cross-canal nourri par les comportements emails, scoring d'engagement utilisé pour de la prospection — basculent clairement dans le périmètre du consentement granulaire. Cela impose un travail technique sur les outils d'emailing et un travail juridique sur les formulaires de collecte de consentement, qui devront désormais couvrir explicitement les pixels au moment où l'adresse email est captée.
Ce que ça change pour les organisations
La recommandation détaille un cahier des charges opérationnel exigeant. La CNIL demande d'abord une information en deux couches : un titre court par finalité avec un résumé, puis une description détaillée accessible depuis l'interface principale de consentement. Elle exige une granularité réelle, finalité par finalité ou groupe de finalités liées — un consentement global n'est admis qu'à condition que le destinataire puisse, dans la seconde couche, faire des choix distincts.
La CNIL impose également que le consentement soit recueilli au moment de la collecte de l'adresse email — et non plus tard, comme c'est encore souvent le cas. Lorsque l'adresse a été collectée par un tiers sans consentement valable, le responsable de traitement doit envoyer un email dédié vers une interface de consentement appropriée. Point notable : l'inactivité doit être traitée comme un refus, et il est de bonne pratique de ne pas re-solliciter le destinataire avant six mois.
Sur le retrait, la CNIL exige un mécanisme aussi simple que le lien de désabonnement classique : un lien de désactivation des pixels dans chaque email envoyé. Enfin, le responsable de traitement doit pouvoir démontrer le consentement à tout moment — et la CNIL prévient explicitement qu'une clause contractuelle confiant cette collecte à un tiers ne suffit pas. Il faut une trace, un journal, une preuve transmissible.
Le calendrier est en deux temps. Pour les adresses collectées après la publication, l'application est immédiate. Pour les adresses collectées avant, les organisations doivent avoir informé les destinataires de l'usage des pixels au plus tard le 14 juillet 2026, en leur ouvrant la possibilité de s'y opposer pour la suite. Cela laisse environ deux mois pour cartographier les bases existantes, identifier les destinataires concernés et envoyer une communication conforme.
Pour un DPO, les premières étapes sont identifiables : auditer les outils d'emailing internes et ceux des sous-traitants, lister les finalités réelles des pixels déployés, ajuster les bandeaux de consentement, et préparer une communication d'information ciblée sur les contacts historiques avant juillet. Un audit RGPD ciblé sur l'emailing est un bon point de départ, en miroir du guide sur la conformité des newsletters.
Ce que Leto pense de cette décision
La recommandation comble un manque réel : les pixels emails étaient depuis dix ans un angle mort opérationnel, traités par défaut comme un sous-produit de l'emailing alors qu'ils sont, du point de vue technique, des cookies qui s'ignorent. En ramenant la mesure d'ouverture, le scoring comportemental et le retargeting dans le périmètre du consentement, la CNIL ferme l'écart entre la doctrine européenne sur les traceurs et la pratique réelle des outils d'envoi. La deadline du 14 juillet 2026 est courte mais raisonnable — c'est aussi un signal clair : les contrôles arriveront vite, et la défense « on ne savait pas que ça comptait comme cookie » ne tiendra plus.
Sources : Covington Inside Privacy — CNIL Publishes Recommendation on Email Tracking Pixels (23 avril 2026)
