Pixels espions dans les emails : le Garante italien aligne sa doctrine sur la CNIL et impose le consentement
Le 17 avril 2026, l'autorité italienne de protection des données (le « Garante ») a adopté la Provision n° 284 fixant ses lignes directrices sur l'usage des pixels de suivi dans les emails. Sa doctrine, publiée au Journal officiel le 29 avril, s'aligne sur la position française et impose à toute organisation européenne d'auditer ses outils d'emailing avant l'automne.
Ce qui s'est passé
Le Garante place le pixel de suivi sur le même terrain juridique que les cookies. Concrètement, son usage est considéré comme une forme d'accès au terminal du destinataire et relève donc de l'article 122 du Code italien de la vie privée — transposition de la directive ePrivacy. La règle de principe : consentement préalable, libre, spécifique et éclairé, sauf à entrer dans l'une des trois exemptions limitativement énumérées.
L'autorité italienne dresse une cartographie pratique de ces exceptions. Ne nécessitent pas de consentement les pixels strictement destinés (i) à une mesure d'audience standardisée et anonymisée visant à améliorer la délivrabilité ou à lutter contre le spam, (ii) à la sécurisation de l'authentification (activation de compte, changement de mot de passe), et (iii) à l'envoi de communications légalement obligatoires (notifications bancaires, alertes de violation de données). À l'inverse, dès qu'un pixel sert à analyser le comportement individuel d'un destinataire pour mesurer la performance d'une campagne promotionnelle, le consentement redevient obligatoire.
Pour les bases email collectées avant la publication, le Garante accorde une période transitoire de six mois à compter du 29 avril 2026 — soit jusqu'au 29 octobre 2026 — à la condition expresse que les destinataires soient informés à la première occasion utile et qu'un mécanisme de retrait du consentement soit immédiatement disponible. Pour toute collecte postérieure, la mise en conformité est exigée sans délai.
Pourquoi c'est important pour les DPO
Cette doctrine consolide un mouvement européen amorcé en mars par la CNIL, dont la recommandation de sensibilisation sur les pixels de suivi avait déjà appelé à un meilleur encadrement. Le Garante va plus loin en formalisant un cadre opérationnel : il prend explicitement position sur le périmètre des exemptions, sur les modalités du consentement et sur l'architecture du retrait.
Le second enjeu tient à la portée territoriale. La directive ePrivacy s'applique au destinataire, indépendamment du lieu d'établissement de l'émetteur. Une entreprise française ou belge qui envoie des newsletters à des destinataires italiens devra appliquer la doctrine du Garante. Pour des groupes B2C ou B2B paneuropéens, cela signifie aligner les paramètres techniques des outils d'emailing (HubSpot, Salesforce Marketing Cloud, Brevo, Mailchimp) sur le standard le plus strict — c'est-à-dire, en pratique, le combiné italo-français.
Enfin, le Garante rappelle que la base juridique impose une preuve documentée. Or, l'article 7 du RGPD impose au responsable de traitement de démontrer le caractère libre, spécifique, éclairé et univoque du consentement — exigence qui s'applique aussi bien au consentement « emailing » qu'au consentement « pixel » lorsqu'ils sont distincts.
Ce que ça change pour les organisations
Les chantiers prioritaires se dégagent en cinq actions concrètes pour un DPO :
1. Auditer les outils d'emailing. Identifier les pixels par défaut activés par l'outil (ouverture, clics, géolocalisation, device fingerprinting) et distinguer ceux strictement nécessaires des pixels comportementaux. Le guide Leto sur la conformité RGPD des newsletters détaille la méthode d'inventaire et les six étapes à mettre en œuvre.
2. Repenser le formulaire de collecte. Le Garante admet la combinaison du consentement « réception » et du consentement « pixel » dans une seule demande, à condition que la formulation soit neutre, claire et non coercitive. Notre guide pratique sur le formulaire de consentement conforme propose des modèles validés par la CNIL.
3. Documenter la base légale et la preuve. Conserver l'horodatage du consentement, l'IP source, la version du formulaire affiché et le périmètre exact des finalités acceptées. Cette traçabilité est désormais le premier élément demandé en contrôle.
4. Déployer un retrait granulaire. Le Garante exige un mécanisme permettant de retirer le consentement aux pixels sans se désinscrire de la newsletter — et inversement. Concrètement, cela implique un centre de préférences avec deux toggles distincts, accessible depuis le pied de page de chaque email via une icône ou un lien standardisé.
5. Mettre à jour la politique de confidentialité. Préciser quels pixels sont utilisés, à quelles fins, sur quelle base légale, et quelle durée de conservation s'applique aux données collectées (taux d'ouverture, géolocalisation, device). Sur les outils analytics adjacents, le guide Matomo et RGPD rappelle utilement les conditions de l'exemption « mesure d'audience anonymisée ».
Ce que Leto pense de cette décision
L'alignement Garante–CNIL signe la fin d'une zone grise de quinze ans pendant laquelle les pixels de suivi étaient en pratique déployés sans consentement, sous couvert d'« amélioration de service ». La décision italienne n'invente rien — elle applique au pixel le raisonnement déjà retenu pour les cookies — mais elle clôt le débat sur la qualification juridique. Pour les directions marketing, c'est un signal sans ambiguïté : l'open rate gratuit est terminé. Pour les DPO, c'est un levier de gouvernance attendu, et un argument de plus pour faire évoluer les pratiques marketing internes vers une mesure plus respectueuse — et juridiquement défendable. La fenêtre de six mois est suffisante pour basculer, à condition de commencer aujourd'hui.
Sources :
