Pixels de suivi dans les courriels : décryptage de la recommandation CNIL du 12 mars 2026
Délibération n° 2026-042 du 12 mars 2026 de la CNIL
La CNIL a adopté, le 12 mars 2026, une recommandation visant à clarifier le cadre juridique applicable aux pixels de suivi insérés dans les courriers électroniques et à accompagner les acteurs dans leur mise en conformité. Le texte, publié le 14 avril 2026, a été élaboré à la suite d’une concertation avec les représentants des professions concernées et de la société civile, et a fait l’objet d’une consultation publique du 12 juin au 24 juillet 2025.
Si le texte vient combler un vide en encadrant une pratique jusqu’ici peu documentée par l’autorité, il laisse subsister plusieurs zones d’ombre – tant sur la qualification technique retenue que sur les frontières entre les usages soumis au consentement et ceux qui en sont exemptés – dont les professionnels devront tenir compte dans leur démarche de mise en conformité.
Une pratique répandue au cœur de la relation numérique
Les pixels de suivi – ou « tracking pixels » – consistent en de très petites images hébergées sur des serveurs distants, dont le chargement par le client de messagerie permet de collecter des informations relatives à l’ouverture du message par le destinataire (adresse IP, date de consultation, identifiant unique, etc.).
Si ces outils répondent à des finalités variées (mesure de performance, amélioration de la délivrabilité, personnalisation des contenus), leur utilisation dans la messagerie électronique soulève des enjeux spécifiques selon la CNIL, qui rappelle que la boîte mail constitue un espace personnel, accessible après authentification, dans lequel les utilisateurs ont des attentes fortes en matière de confidentialité. L’autorité indique avoir constaté une augmentation des plaintes et signalements relatifs à ces dispositifs.
L’application du cadre « ePrivacy » aux pixels de suivi
La recommandation s’inscrit dans le prolongement des lignes directrices 2/2023 du CEPD relatives à l’article 5(3) de la directive « ePrivacy », transposé en droit français à l’article 82 de la loi « informatique et libertés ». La CNIL considère que l’utilisation de pixels de suivi engendre des opérations de lecture d’informations sur le terminal de l’utilisateur et relève donc pleinement du régime applicable aux « cookies et autres traceurs ».
Cette qualification, bien que conforme à la position du CEPD, n’est pas exempte de discussion doctrinale. Techniquement, le pixel provoque l’envoi d’une requête HTTP par le terminal vers un serveur distant : c’est le serveur qui reçoit des métadonnées (adresse IP, user-agent), lesquelles ne sont pas, à proprement parler, des informations « stockées » dans le terminal au sens classique du terme. La recommandation se borne à renvoyer à la position du CEPD sans approfondir la justification de cette assimilation, pourtant fondatrice de l’ensemble du dispositif.
Elle emporte pourtant des conséquences importantes : l’utilisation de tels dispositifs est en principe subordonnée au recueil préalable du consentement de l’utilisateur, sauf exceptions limitativement prévues.
La responsabilité des différents acteurs
L’expéditeur du courriel – entendu comme l’acteur ayant décidé l’envoi, qu’il en soit techniquement l’auteur ou non – est considéré par la CNIL comme responsable du traitement dès lors qu’il détermine les finalités et les moyens liés à l’utilisation des pixels, y compris en cas de recours à un prestataire technique d’emailing (agissant en principe en qualité de sous-traitant).
La CNIL note que des situations de responsabilité conjointe peuvent toutefois exister lorsque des tiers exploitent les données collectées pour leurs propres finalités, imposant une répartition des obligations sous la forme d’un accord de coresponsabilité conformément à l’article 26 du RGPD.
Enfin, le fournisseur de service de messagerie est expressément exclu de toute responsabilité dès lors qu’il n’utilise pas les données générées par le pixel. On relèvera toutefois que cette exclusion pourrait mériter d’être nuancée : certains fournisseurs analysent le contenu des courriels, y compris les ressources distantes, pour leurs propres finalités (filtrage anti-spam, amélioration de services), ce que la recommandation ne discute pas.
Le principe : un consentement préalable dans la majorité des cas
Selon la CNIL, le consentement est requis notamment pour :
- L’analyse du taux d’ouverture des courriels pour mesurer et optimiser les performances des campagnes (personnalisation du contenu, adaptation de la fréquence d’envoi ou du canal de communication).
- La constitution de profils des destinataires au regard de leurs préférences et centres d’intérêt à des fins de ciblage dans d’autres contextes que les courriels.
- La détection et l’analyse de suspicions de fraude.
- La mesure individuelle du taux d’ouverture à des fins de délivrabilité, lorsqu’elle est réalisée en dehors des cas exemptés visés ci-après.
La plupart des usages marketing des pixels entrent ainsi dans le champ du consentement préalable.
Des exemptions strictement encadrées
À l’inverse, certaines finalités peuvent bénéficier d’une exemption, sous réserve de respecter des conditions strictes.
Sont notamment visées :
- Les mesures de sécurité participant à l’authentification des utilisateurs ;
- La mesure individuelle du taux d’ouverture à des fins de délivrabilité, à condition qu’elle soit strictement limitée à la gestion des listes de diffusion (exclusion des destinataires inactifs, adaptation de la fréquence d’envoi).
La frontière entre les mesures de délivrabilité exemptées et celles soumises au consentement constitue l’un des points les plus délicats de la recommandation. La différence repose sur l’usage fait des données – adapter la fréquence ou nettoyer les bases d’un côté, optimiser les performances des campagnes de l’autre –, mais ces objectifs se recoupent largement en pratique, ce qui pourrait être source d’insécurité juridique.
L’autorité précise que ces exemptions ne s’appliquent qu’aux courriels sollicités par l’utilisateur ou se rattachant à un service demandé par ce dernier (courriels transactionnels notamment). En outre, en vertu du principe de minimisation, la CNIL recommande de ne conserver que la date de la dernière ouverture à la journée, sans granularité horaire, avec suppression de la date précédente à chaque nouvelle ouverture. Ce degré de prescription technique, inhabituel dans un texte de droit souple, pourrait être discuté : certaines finalités de délivrabilité pourraient justifier un historique plus riche, par exemple pour identifier des tendances de désengagement progressif.
Des modalités de recueil du consentement adaptées à l’environnement e-mail
Pour les professionnels, l’impact principal de ces recommandations réside dans l’obligation d’intégrer de nouveaux mécanismes de recueil du consentement pour les pixels non exemptés.
La CNIL recommande en priorité de recueillir le consentement au moment de la collecte de l’adresse électronique, en intégrant au niveau des formulaires les informations nécessaires au consentement éclairé, avec un renvoi vers une information plus détaillée.
À défaut, le consentement pourrait être sollicité via un courriel dédié, dépourvu de tout dispositif de suivi, contenant un lien vers une interface de gestion des choix – sous réserve que le consentement résulte d’une action positive, que l’utilisateur ne subisse aucune pression excessive, et qu’il puisse refuser aussi simplement qu’accepter. L’inactivité du destinataire doit être analysée comme un refus, et la CNIL recommande de ne pas le solliciter de nouveau pendant au moins six mois.
La CNIL précise également que le consentement doit être spécifique par finalité, sauf dans certains cas limités de finalités connexes (par exemple, prospection personnalisée et pixels associés). L’autorité admet ainsi qu’un consentement unique puisse couvrir la prospection commerciale directe par voie électronique et l’utilisation de pixels de suivi contribuant directement à la personnalisation de cette prospection. On notera toutefois que la notion de « finalités connexes », qui ne figure ni dans le RGPD ni dans les précédentes recommandations de la CNIL, n’est pas définie avec précision, et que l’absence de critères objectifs de connexité pourrait fragiliser la prévisibilité du dispositif.
La CNIL souligne par ailleurs que le régime du consentement aux pixels est indépendant de celui applicable à l’envoi du courriel lui-même : un consentement spécifique aux pixels peut ainsi être requis y compris pour des courriels ne nécessitant pas, en eux-mêmes, le consentement du destinataire (prospection de produits similaires auprès de clients existants, prospection caritative, etc.).
Enfin, l’autorité indique qu’une « attention particulière » est requise en cas de recours à des plateformes de gestion du consentement (CMP). Selon la CNIL, lorsqu’une CMP est utilisée pour collecter un consentement relatif aux pixels, l’utilisateur exprime un choix dans un environnement (site web ou application) dont les effets porteront sur un environnement distinct (sa messagerie). Le responsable de traitement devra veiller à ce que le dispositif ne crée pas de confusion entre traceurs web et traceurs déployés dans les courriels.
Le retrait du consentement : une exigence d’effectivité
La CNIL recommande l’intégration d’un lien traçant dédié dans le pied de page de chaque courriel, permettant un retrait direct du consentement, sans friction inutile ni obligation de renseigner son adresse électronique.
Elle insiste sur l’effectivité du retrait : les pixels ne doivent plus être utilisés dans les envois futurs et des mesures doivent être envisagées pour neutraliser ceux insérés dans les courriels déjà envoyés, notamment lorsque le destinataire ouvre un ancien courriel après le retrait de son consentement. Cette exigence de neutralisation rétroactive, techniquement lourde, a suscité des critiques de la part de l’industrie, qui y voit une obligation disproportionnée au regard des contraintes techniques.
Modalités d’application : une période transitoire de trois mois
La recommandation prévoit un régime transitoire pour les adresses électroniques déjà collectées : les opérations de lecture ou d’écriture peuvent continuer, sous réserve de l’envoi, dans un délai de trois mois à compter de la publication du texte, d’une information claire permettant aux destinataires de s’opposer à ces opérations pour les courriels futurs.
Ce délai relativement court et la formule prudente « en principe » utilisée par la CNIL laissent toutefois subsister une certaine incertitude quant au caractère impératif de cette échéance.
* * *
Les contrôles de la CNIL sont annoncés après l’expiration de la période de transition, soit à compter de mi-juillet 2026.
La recommandation se présente comme une simple explicitation du droit existant. En pratique, le constat est sensiblement différent : l’application de l’article 82 de la loi « informatique et libertés » aux pixels de suivi dans les courriels était un sujet resté largement en suspens, et la quasi-totalité des dispositifs de recueil du consentement déployés à ce jour ne prévoient aucune demande spécifique pour ces technologies. En formalisant cette interprétation et en annonçant des contrôles, la CNIL impose de facto de nouvelles exigences opérationnelles aux acteurs du marché – ce dont l’autorité, qui a assorti sa recommandation d’une période de transition et d’un accompagnement dédié, est pleinement consciente.
Ce durcissement s’inscrit par ailleurs en tension avec les objectifs de réduction de la fatigue du consentement et de simplification des obligations poursuivis notamment par le projet de règlement Omnibus de l’Union européenne, ce qui place la recommandation quelque peu à contrecourant du contexte normatif européen actuel.