Pixels de suivi dans les emails : le Garante italien donne 6 mois aux organisations pour se conformer

13/5/26
👈 les autres actualités

Trois semaines après la CNIL, c'est au tour du Garante italien de boucler la boucle européenne sur le suivi par pixel dans les emails. Avec la Délibération n° 284 publiée au Journal officiel italien le 29 avril 2026, l'autorité fixe un calendrier de mise en conformité de six mois et envoie un signal clair aux équipes marketing : le pixel n'est plus une simple métrique technique, c'est un traceur à part entière soumis à consentement.

Ce qui s'est passé

Le 17 avril 2026, le Garante per la protezione dei dati personali a adopté la Délibération n° 284, des lignes directrices sur l'usage des tracking pixels dans les emails marketing. Le texte a été officiellement publié à la Gazzetta Ufficiale italienne le 29 avril 2026, point de départ d'une période de transition de six mois pour les bases d'adresses constituées avant cette date.

Le Garante s'appuie sur l'article 122 du Code italien de la vie privée — équivalent transalpin de la disposition issue de la directive ePrivacy qui régit, en France, le dépôt de traceurs. La règle est la même que celle posée par la CNIL : un pixel n'est licite que si le destinataire en a été informé en amont et a explicitement consenti, sauf à entrer dans le périmètre étroit d'une exemption.

Les pixels visés sont ceux que tout responsable de traitement utilise au quotidien : mesure du taux d'ouverture, déclenchement de workflows d'email marketing automation, scoring comportemental, mesure de performance des campagnes promotionnelles. Pour le Garante, dès lors qu'il y a évaluation comportementale ou analyse de performance, le consentement est requis.

Pourquoi c'est important

Cette deuxième salve européenne en moins d'un mois confirme une tendance lourde : les autorités de protection des données n'attendent plus la révision de la directive ePrivacy pour aligner leurs doctrines sur les traceurs off-web. Après la recommandation de la CNIL sur les pixels espions dans les emails, le Garante précise très concrètement quels usages échappent au consentement — et la liste est courte.

Trois cas d'usage seulement sont identifiés comme dispensés de consentement par l'autorité italienne :

D'abord, la mesure d'audience strictement nécessaire à la délivrabilité et à la lutte anti-spam. Encore faut-il que les pixels soient « standardisés » (non individualisés) et que les données techniques associées — adresse IP, informations client — soient anonymisées. Ensuite, l'aide à la sécurisation de l'authentification de l'utilisateur. Enfin, les communications légalement obligatoires (notifications bancaires impératives, alertes de sécurité, etc.). Toute autre finalité — y compris le simple suivi du taux d'ouverture global d'une newsletter promotionnelle — bascule sur le terrain du consentement.

Le Garante valide par ailleurs une pratique attendue par les équipes growth : le consentement groupé avec l'inscription à des communications promotionnelles est acceptable, à condition que la formulation soit « neutre, claire et non coercitive ». En d'autres termes, l'utilisateur doit comprendre qu'il accepte deux choses distinctes : recevoir des emails et être pisté à l'ouverture.

Ce que ça change pour les organisations

Pour les organisations qui exploitent l'Italie comme marché — ou qui adressent des destinataires italiens via leurs tools de marketing automation — l'horloge tourne. Les bases collectées avant le 29 avril 2026 bénéficient de six mois pour rattraper la conformité, à deux conditions cumulatives : informer les destinataires « à la première interaction significative » et leur fournir un mécanisme de retrait de consentement réellement fonctionnel. Pour les bases postérieures, la conformité doit être immédiate.

Concrètement, le Garante exige une icône ou un lien standardisé en pied de chaque email renvoyant vers une interface de gestion des préférences. Cette interface doit permettre un retrait granulaire : soit révoquer tous les consentements (et donc cesser de recevoir des emails), soit retirer uniquement le consentement aux pixels (et continuer à recevoir des emails sans tracking). Cette granularité est nouvelle : la plupart des outils du marché aujourd'hui ne dissocient pas les deux.

Pour les DPO et les équipes CRM, l'audit à mener est triple : cartographier les outils d'emailing qui injectent des pixels (Mailchimp, HubSpot, Brevo, Klaviyo, Salesforce Marketing Cloud, etc.), vérifier la base juridique appliquée par défaut dans chacun, et auditer la conformité globale du dispositif emailing au RGPD. Le sujet rejoint l'enjeu plus large du consentement explicite tel que défini à l'article 4(11) du RGPD : libre, spécifique, éclairé et univoque.

Les équipes qui utilisent des solutions d'analytics auto-hébergées comme Matomo disposent d'un avantage : la possibilité de désactiver finement les pixels comportementaux tout en conservant la mesure technique d'audience. Pour les autres, la mise en conformité passera par une renégociation des paramétrages par défaut avec les éditeurs.

Ce que Leto pense de cette décision

Le Garante apporte un niveau de précision opérationnel que la recommandation française n'avait que partiellement atteint. Là où la CNIL ciblait surtout la sensibilisation du grand public, le Garante donne aux équipes conformité une grille de lecture utilisable telle quelle. La distinction entre pixels standardisés (anonymisés, agrégés, dédiés à la délivrabilité) et pixels comportementaux est l'apport le plus utile : elle permet enfin de séparer ce qui relève de la maintenance technique d'un canal d'envoi de ce qui relève de l'analyse marketing.

Pour autant, l'exigence d'un retrait granulaire pixel par pixel anticipe une réalité technique que peu d'outils SaaS supportent aujourd'hui. C'est probablement là que se logera le bras de fer 2026 : les éditeurs d'email service providers devront mettre à jour leurs interfaces, ou leurs clients se retrouveront en non-conformité de fait, faute de levier produit. À six mois de l'échéance italienne, il est temps d'écrire à son éditeur pour exiger cette granularité — et de documenter la demande, au cas où.

Sources : Inside Privacy — Italian DPA Publishes Guidelines on Email Tracking Pixels · Garante per la protezione dei dati personali

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026