Pixels de suivi dans les emails : la CNIL clarifie les règles du jeu
Le 14 avril 2026, la CNIL publie ses recommandations finales sur les pixels de suivi dans les emails — ces images invisibles qui enregistrent chaque ouverture de message. Un vide juridique longtemps exploité par les équipes marketing, que la régulateur vient enfin combler.
Ce qui s'est passé
À l'issue d'une consultation publique, la Commission nationale de l'informatique et des libertés (CNIL) a publié le 14 avril 2026 la version finale de ses recommandations sur les pixels de suivi dans les courriers électroniques. Ce texte vient compléter les lignes directrices du Comité européen de la protection des données (CEPD) ainsi que la recommandation « cookies et autres traceurs » déjà en vigueur.
Un pixel de suivi — parfois appelé « pixel espion » ou tracking pixel — est une image de 1 pixel sur 1 pixel, invisible à l'œil nu, intégrée dans un email. Lorsqu'un destinataire ouvre le message, son client de messagerie charge l'image depuis un serveur distant. Ce chargement suffit à confirmer à l'expéditeur que l'email a bien été ouvert, à quelle heure, depuis quel appareil, et parfois depuis quelle adresse IP. La pratique est ancienne, mais elle connaît une forte croissance portée par les outils de marketing automation et d'emailing B2B — ce qui a valu à la CNIL de recevoir un nombre croissant de plaintes à son sujet.
Pourquoi c'est important — le cadre RGPD en jeu
La boîte email est un espace privé. Contrairement à la navigation web où l'internaute peut s'attendre à être tracé dès qu'il visite un site, l'ouverture d'un email est un acte que beaucoup considèrent comme relevant de leur sphère intime. C'est précisément pour cette raison que la CNIL a jugé nécessaire d'intervenir avec une recommandation dédiée.
Sur le plan juridique, les pixels de suivi tombent sous le coup de l'article 82 de la loi Informatique et Libertés, qui transpose la directive ePrivacy. Ce texte encadre le dépôt et la lecture des traceurs sur un terminal, et soumet la plupart d'entre eux à l'obtention préalable du consentement de l'utilisateur. Les emails ne font pas exception à cette règle.
La recommandation s'inscrit dans une réflexion plus large sur l'importance du consentement explicite dans le RGPD : pour être valide, le consentement doit être libre, spécifique, éclairé et univoque. Recueillir ce consentement pour un pixel de suivi dans un email soulève des questions pratiques complexes — la CNIL y répond enfin.
Ce que la recommandation change pour les organisations
La recommandation CNIL articule trois grandes clarifications opérationnelles.
1. Savoir qui est responsable. La recommandation aide les acteurs à identifier leur rôle — responsable de traitement ou sous-traitant — dans la chaîne d'utilisation des pixels. Un expéditeur qui utilise un outil d'emailing tiers (Mailchimp, Brevo, HubSpot, etc.) partage généralement cette responsabilité avec son prestataire. Clarifier ce point est indispensable pour déterminer qui doit recueillir le consentement et qui doit répondre aux demandes des personnes concernées.
2. Distinguer les pixels soumis au consentement de ceux qui en sont exemptés. Tous les pixels ne nécessitent pas le même traitement. La CNIL précise que les pixels utilisés uniquement à des fins de mesure de délivrabilité (savoir si l'email a bien été reçu) peuvent bénéficier d'une exemption de consentement, à condition de ne pas être combinés à d'autres données. En revanche, les pixels qui alimentent des profils comportementaux ou servent à personnaliser des campagnes marketing nécessitent un consentement explicite et préalable. Si vous envoyez des newsletters en conformité avec le RGPD, vous devrez revoir la nature des traceurs embarqués dans vos envois.
3. Encadrer le recueil, le retrait et la preuve du consentement. La CNIL détaille les modalités pratiques : le consentement doit être recueilli avant l'insertion du pixel dans l'email, et le destinataire doit pouvoir le retirer aussi facilement qu'il l'a accordé. La charge de la preuve repose sur l'expéditeur — il doit être en mesure de démontrer qu'il a bien obtenu un consentement valide. Cette exigence renforce l'importance d'un outil de gestion des consentements (CMP) capable de tracer ces preuves de manière fiable.
En pratique, les organisations concernées devront auditer leurs outils d'emailing, identifier les pixels actifs, qualifier leur finalité et mettre à jour leur politique de cookies et de traceurs pour y intégrer explicitement les pixels d'email.
Ce que Leto pense de cette décision
Cette recommandation était attendue. Le pixel de suivi dans l'email est l'un des angles morts de la conformité RGPD : presque toutes les entreprises en utilisent, très peu l'ont intégré dans leur registre des traitements ou leur politique de confidentialité. La CNIL comble un vide réglementaire réel.
Ce qui est notable, c'est l'approche pragmatique retenue : plutôt que d'interdire tous les pixels, la CNIL préserve les usages légitimes (délivrabilité) tout en resserrant le cadre autour des usages comportementaux. C'est une position équilibrée. Pour les équipes marketing et les DPO, le message est clair : les prochains mois devront être mis à profit pour auditer les pratiques et mettre en conformité les outils d'emailing. Ne pas agir expose les organisations à des mises en demeure, voire à des sanctions — la CNIL a montré ces derniers mois qu'elle sanctionne la négligence documentée.
Sources : Recommandation CNIL — Pixels de suivi dans les courriers électroniques (14 avril 2026) · Article CNIL — Vous devez être mieux informés
