Pixels de suivi dans les emails : la CNIL diffuse son webinaire à J-29 de la deadline

15/6/26
👈 les autres actualités

Dans moins d'un mois — le 14 juillet 2026 — les organisations utilisant des pixels de suivi dans leurs emails doivent avoir informé les destinataires de leurs bases historiques. La CNIL vient de mettre en ligne la rediffusion de son webinaire du 28 mai 2026, l'occasion de faire le point sur les obligations avant l'échéance.

Ce que la CNIL a présenté lors du webinaire

Alice Darmon et Benjamin Poilvé, de la CNIL, ont décrypté le cadre issu de la recommandation publiée le 14 avril 2026 à l'issue d'une consultation publique. Trois points structurants ont été abordés.

L'identification des rôles — Responsable de traitement ou sous-traitant ? L'analyse doit se faire au cas par cas selon qui détermine les finalités du traitement. Une plateforme d'emailing qui intègre des pixels pour le compte de ses clients est en principe sous-traitante ; en revanche, si elle utilise les données pour ses propres analyses, elle co-détermine les finalités et devient coresponsable.

La distinction consentement / exemption — Le principe général est clair : les pixels à finalité comportementale (suivi d'ouverture, analyse de clics, scoring d'engagement) requièrent un consentement préalable au titre de l'article 82 de la loi Informatique et Libertés. Deux catégories d'exemption existent néanmoins :

  • La mesure individuelle de délivrabilité : identifier les destinataires inactifs pour nettoyer une liste est exempt de consentement, à condition que les données soient limitées au strict nécessaire et non réutilisées à d'autres fins ;
  • Les pixels strictement techniques liés à l'authentification ou à la sécurisation de la transmission.

Les modalités de recueil du consentement — Le consentement doit être libre, spécifique, éclairé et univoque. Un simple abonnement à une newsletter ne vaut pas consentement au suivi comportemental. L'organisation doit être en mesure de prouver que le consentement a été recueilli et peut être retiré facilement.

Pourquoi c'est important : la deadline du 14 juillet s'approche

La recommandation CNIL impose une obligation d'information rétroactive : les organisations doivent informer les personnes figurant dans leurs bases historiques (abonnés, clients actifs) de l'utilisation de pixels comportementaux avant le 14 juillet 2026. Passé cette date, la CNIL pourra engager des contrôles.

Pour les DPO, cela signifie concrètement : auditer l'ensemble des outils d'emailing utilisés par l'organisation (incluant les outils des équipes commerciales et marketing qui agissent souvent en dehors du radar data), vérifier si des pixels tiers sont chargés, et déclencher une campagne d'information si nécessaire.

Si vous n'avez pas encore cartographié vos pratiques emailing au regard du RGPD, notre guide sur la conformité RGPD des newsletters pose les bases essentielles. Pour le détail des règles issues de la recommandation, notre analyse de la recommandation d'avril 2026 reste la référence.

Ce que ça change pour les organisations : les actions à prioriser

À moins d'un mois de la deadline, voici les actions à mener en priorité :

  • Inventaire des pixels actifs — Recenser tous les pixels intégrés dans vos campagnes, qu'ils proviennent de votre outil d'emailing principal (Mailchimp, Brevo, HubSpot…) ou de scripts tiers intégrés par les équipes commerciales ;
  • Qualification des finalités — Pour chaque pixel, déterminer si sa finalité relève de l'exemption (délivrabilité technique) ou du consentement (comportemental). En cas de doute, le consentement s'impose ;
  • Documentation de la base légale — Mettre à jour le registre des traitements pour refléter la base légale applicable (consentement ou exemption) et les mesures de minimisation ;
  • Information des bases historiques — Avant le 14 juillet, envoyer un email d'information aux abonnés existants si vous utilisez des pixels comportementaux sans avoir recueilli de consentement spécifique.

La question de la preuve du consentement est souvent le talon d'Achille. Les contrôles CNIL post-deadline s'appuieront précisément sur la capacité de l'organisation à démontrer que le consentement existe et peut être retiré. Cela suppose une solution technique de gestion du consentement adaptée, pas un simple case à cocher dans un formulaire d'inscription. Notre article sur le cadre de la recommandation CNIL détaille les exigences précises.

Ce que Leto pense de cette décision

La CNIL fait bien de multiplier les formats de pédagogie — recommandation, webinaire, article de sensibilisation. Mais le problème reste la réalité du terrain : les pixels de suivi sont souvent activés par défaut dans les outils SaaS, sans que les équipes marketing ni les DPO ne réalisent qu'ils collectent des données personnelles. Le webinaire du 28 mai ne changera pas grand chose si les organisations n'ont pas encore identifié l'ampleur de leur exposition. Le 14 juillet approche vite. Si votre registre des traitements ne mentionne pas encore les pixels de suivi, c'est le moment d'agir.

Sources : CNIL — Rediffusion webinaire pixels de suivi (15 juin 2026) · CNIL — Recommandation sur les pixels de suivi dans les courriels (14 avril 2026)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026