Pixels espions dans vos emails : la CNIL appelle à mieux informer les destinataires

Chaque fois que vous ouvrez un email commercial ou une newsletter, une image invisible — un pixel de suivi — peut signaler à l'expéditeur que vous l'avez lu, depuis quel appareil, à quelle heure et depuis quel endroit. La CNIL vient de publier un article de sensibilisation à destination des destinataires de courriels, leur expliquant ce que sont ces traceurs, quels sont leurs droits, et pourquoi les organisations qui envoient des emails ont des obligations strictes en matière de consentement. Un rappel bienvenu, quelques jours après la publication des recommandations officielles de la CNIL sur les pixels de suivi dans les emails.

Ce qui s'est passé

Le 14 avril 2026, la CNIL a mis en ligne un article pédagogique intitulé « Pixels de suivi dans les courriers électroniques : vous devez être mieux informés ». Contrairement à ses recommandations techniques publiées simultanément à destination des professionnels, cette publication s'adresse directement aux destinataires d'emails — particuliers, salariés, clients — pour leur donner les clés de compréhension sur un outil de surveillance discret mais très répandu.

La CNIL y explique comment fonctionnent ces images invisibles (1×1 pixel, souvent transparentes), quelles informations elles collectent — date et heure d'ouverture, type d'appareil, système d'exploitation, adresse IP — et à quoi elles servent en pratique : améliorer les taux d'ouverture, déclencher des relances automatiques, affiner le profilage marketing.

Pourquoi c'est important — les obligations RGPD et ePrivacy

Les pixels de suivi ne sont pas de simples outils marketing anodins. Dès lors qu'ils collectent des données personnelles — et c'est presque toujours le cas — ils entrent dans le champ du RGPD et de la Directive ePrivacy, transposée en droit français à l'article 82 de la loi Informatique et Libertés.

Concrètement, cela signifie que le dépôt ou la lecture d'un traceur dans un email nécessite, dans la grande majorité des cas, le consentement préalable et explicite du destinataire. Ce n'est pas une option : c'est une obligation légale. La CNIL distingue deux catégories de pixels :

• Les pixels exemptés de consentement : ceux utilisés uniquement pour vérifier la délivrabilité d'un email (savoir si le message a bien été reçu sans profilage). Ces traceurs ne nécessitent pas de consentement, à condition que leurs finalités soient strictement limitées.
• Les pixels nécessitant un consentement : tous ceux ayant une finalité comportementale, marketing ou analytique. C'est la grande majorité des pixels utilisés dans les outils d'emailing commerciaux (Mailchimp, Brevo, HubSpot, etc.). Ici, le consentement doit être recueilli avant l'envoi du premier email contenant ce type de traceur.

Pour les organisations, cela suppose de revoir la façon dont elles gèrent le consentement pour leurs campagnes email. Le simple fait d'avoir une case cochée lors de l'inscription à une newsletter peut ne pas suffire si elle ne mentionnait pas explicitement l'utilisation de pixels de suivi. C'est pourquoi une lecture attentive de ce que signifie le consentement explicite sous le RGPD est indispensable avant d'auditer ses pratiques.

Ce que ça change pour les organisations — actions concrètes

La publication de cet article de sensibilisation — adossée aux recommandations officielles — envoie un signal clair : la CNIL ne vise plus seulement les professionnels dans son action pédagogique. En éduquant les destinataires sur leurs droits, elle les rend de facto plus susceptibles d'exercer leurs droits d'accès, d'opposition ou de retrait de consentement.

Pour les équipes marketing et les DPO, voici ce qui s'impose désormais en priorité :

• Auditer les outils d'emailing utilisés : identifier quels pixels sont intégrés par défaut, avec quelles finalités et quelles données sont transmises à des tiers.
• Vérifier que le formulaire de consentement est granulaire : si vous collectez des abonnés pour une newsletter, le consentement doit distinguer l'envoi d'emails de l'utilisation de traceurs comportementaux.
• Mettre à jour la politique de confidentialité pour mentionner explicitement l'utilisation de pixels de suivi, leur nature, et les droits des destinataires. Notre guide sur la conformité RGPD des newsletters détaille ces étapes.
• Proposer un mécanisme de désabonnement fonctionnel qui inclut le droit de s'opposer au tracking, pas seulement aux emails eux-mêmes.

Pour les organisations qui utilisent des outils comme Mailchimp, Brevo ou HubSpot, la question se pose également du statut du prestataire : est-il sous-traitant ou responsable conjoint ? La réponse conditionne qui doit recueillir le consentement et comment. Pour aller plus loin sur la gestion des traceurs, notre guide sur les outils de gestion de cookies et consentement peut aider à structurer cette réflexion.

Ce que Leto pense de cette décision

La CNIL fait le bon choix en s'adressant directement aux utilisateurs. Pendant des années, le débat sur les traceurs a été essentiellement technique et réservé aux professionnels. Or, sans pression des destinataires informés, beaucoup d'organisations n'ont pas d'incitation à se mettre en conformité. En éduquant le grand public, la CNIL crée une pression de marché plus efficace que n'importe quelle sanction isolée. C'est une stratégie de régulation intelligente — et une invitation pour les équipes marketing à ne pas attendre une mise en demeure pour agir.

Sources : CNIL — Pixels de suivi dans les courriers électroniques : vous devez être mieux informés · Article 82, loi Informatique et Libertés