Depuis ce 14 avril 2026, une nouvelle recommandation de la CNIL (n° 2026-042) clarifie les règles applicables aux « pixels de suivi » insérés dans les courriels. Outils de mesure devenus omniprésents, leur usage est désormais soumis à des exigences strictes en matière de consentement et de transparence, indépendamment de la nature du courriel envoyé.
1. Qu’est-ce qu’un pixel de suivi ?
Le pixel de suivi (parfois appelé « pixel espion » ou pixel de « tracking » en anglais) est une méthode de traçage alternative aux traceurs et témoins de connexion (cookies), habituellement mise en œuvre sous la forme d’une image réduite (1 pixel par 1 pixel), intégrée dans un site web ou un courriel et invisible pour l’utilisateur.
Le chargement de cette image, dont le nom contient un identifiant de l’utilisateur, permet de savoir que l’utilisateur tracé a visité une page ou lu un courriel.
2. Un régime de consentement autonome
La CNIL insiste sur un point crucial : le consentement à l’usage de pixels de suivi est distinct du droit d’envoyer le courriel lui-même. Même si vous avez le droit d’envoyer un courriel sans consentement (par exemple pour une confirmation de commande, une prospection caritative ou un courriel transactionnel lié à un contrat), cela ne vous autorise pas à y insérer un pixel de suivi. Pour le suivi, le consentement spécifique reste obligatoire, sauf dans les rares cas d’exemption strictement encadrés par la loi.
3. Le défi de la transparence : attention aux CMP !
Avec l’usage croissant des plateformes de gestion du consentement (CMP), souvent associées au web ou aux applications mobiles, la CNIL met en garde :
- Un consentement éclairé : Si vous utilisez une CMP pour recueillir un choix sur les pixels, l’utilisateur doit impérativement comprendre que son consentement porte sur un environnement différent (son logiciel de messagerie) et sur une adresse électronique précise.
- Clarté : L’utilisateur ne doit pas être induit en erreur en pensant qu’il ne donne son avis que pour le site web qu’il consulte à cet instant.
4. Retrait du consentement : aussi simple que l’acceptation
Le retrait du consentement est un droit fondamental. La CNIL impose une règle d’or : il doit être aussi simple de retirer son consentement que de l’avoir donné.
- Le lien dans le pied de page : Il est recommandé d’intégrer un lien de retrait dans chaque courriel.
- Fluidité technique : Si le lien redirige vers une page web, le retrait doit être immédiat, sans nécessiter que l’utilisateur ne saisisse à nouveau son adresse électronique dans un formulaire.
- Sécurité : L’usage de « liens traçants » pour gérer ce retrait est autorisé et même encouragé pour des raisons de sécurité : cela permet de s’assurer que seul le destinataire légitime accède à sa gestion de préférences, sans risque d’accès abusif.
5. La preuve du consentement : une responsabilité intransférable
Le responsable du traitement doit être capable de prouver, à tout moment, que le consentement a été recueilli valablement (article 7.1 du RGPD).
- Pas de délégation aveugle : Vous ne pouvez pas vous exonérer de cette responsabilité par une simple clause contractuelle avec un tiers ou un prestataire. Si votre prestataire faillit à recueillir le consentement, c’est vous qui restez responsable devant la CNIL.
- Encadrement contractuel : Les contrats avec vos partenaires doivent servir à auditer les mécanismes de recueil, conserver les preuves de valeur probante et définir qui met ces preuves à disposition.
6. Professionnels : trois mois pour vous mettre à jour !
Pour les adresses électroniques déjà collectées avant cette recommandation, la CNIL accorde un délai de grâce de 3 mois :
- Vous pouvez maintenir vos opérations de suivi actuelles pendant ce délai.
- Obligation d’information : Vous devez impérativement envoyer une information claire et accessible aux destinataires.
- Droit d’opposition : Cette information doit leur permettre de s’opposer facilement aux opérations de suivi pour les courriels futurs, si leur consentement initial n’était pas conforme aux nouvelles exigences.
Résumé des obligations pour les professionnels
| Action | Exigence de la CNIL |
|---|---|
| Recueil | Indépendant du consentement à l’envoi du courriel. |
| Retrait | Simple, via un lien dans le pied de page, sans saisie de données. |
| Preuve | Individualisée ; la responsabilité ne peut être déléguée par contrat. |
| Transparence | Clarifier l’usage des CMP si elles sont utilisées pour les pixels. |
| Mise en conformité | Information claire et option d’opposition pour les bases existantes sous 3 mois. |
Les prochaines étapes
La CNIL accompagnera ces prochains mois les acteurs professionnels, notamment à travers des webinaires.
L’objectif est que les professionnels s’approprient au mieux les règles et garanties précisées dans la recommandation et qu’ils puissent mettre en œuvre les mesures nécessaires pour assurer leur respect effectif.
La CNIL veillera ensuite, dans le cadre de ses missions de contrôles à venir, au respect des règles applicables dans ce domaine.
Cette recommandation marque une étape majeure dans la protection de la vie privée au sein des boîtes de réception, souvent perçues comme le dernier espace réellement privé de l’internet. La CNIL rappelle ainsi que l’invisibilité technologique ne dispense pas de la responsabilité légale.
