Chaque fois que vous ouvrez un email commercial, il y a de fortes chances qu’une information remonte automatiquement vers l’expéditeur : l’heure exacte de la lecture, le type d’appareil utilisé, parfois la localisation approximative. Ce mécanisme, connu sous le nom de « pixel de suivi », repose sur une image d’1 pixel x 1 pixel, invisible à l’œil nu, intégrée dans le corps du message. Dès son chargement, elle déclenche une requête vers un serveur distant qui enregistre l’événement et les métadonnées associées.
La pratique est ancienne, mais elle s’est tellement banalisée (dans les newsletters, les campagnes de prospection, les séquences de relance automatisées) que la CNIL a fini par recevoir un nombre croissant de plaintes d’utilisateurs qui en ignoraient totalement l’existence.
C’est dans ce contexte que l’autorité a publié, le 14 avril 2026, la version finale de ses recommandations sur les pixels de suivi dans les courriers électroniques, à l’issue d’une consultation publique ouverte en juin 2025. Ce texte mérite une lecture attentive, car il clarifie un régime juridique que beaucoup d’entreprises appliquent encore de façon approximative.
Un double fondement juridique souvent méconnu
La première erreur courante consiste à raisonner sur les pixels de suivi en ne mobilisant que le RGPD. C’est insuffisant. Le cadre juridique applicable repose sur une articulation entre deux textes distincts, que la recommandation de la CNIL vient précisément clarifier.
Le premier est la directive ePrivacy, transposée en droit français à l’article L.34-5 du Code des postes et des communications électroniques. Son article 5(3) soumet à consentement préalable tout accès à des informations stockées sur le terminal d’un utilisateur, ou toute inscription d’informations sur ce terminal. Or, le chargement d’un pixel de suivi constitue précisément un tel accès : il lit des données depuis l’appareil du destinataire au moment de l’ouverture. C’est donc la directive ePrivacy qui s’applique en premier lieu, indépendamment de toute finalité marketing.
Le second est le RGPD, qui prend le relais dès lors que les données ainsi collectées (adresse IP, horodatage, identifiant de l’email) constituent des données à caractère personnel et font l’objet d’un traitement. Les deux régimes se cumulent : obtenir le consentement au sens d’ePrivacy ne dispense pas de respecter les obligations du RGPD sur la base juridique du traitement, l’information des personnes et la durée de conservation.
Consentement ou exemption : une distinction qui ne tolère pas l’approximation
La recommandation distingue deux situations, et cette distinction est au cœur des enjeux pratiques pour les entreprises.
En principe, l’utilisation d’un pixel de suivi requiert le consentement préalable et éclairé du destinataire. Ce consentement doit être libre, spécifique à la finalité poursuivie, et révocable à tout moment via un mécanisme accessible intégré à chaque communication. La case pré-cochée, la mention enfouie dans une politique de confidentialité ou l’acceptation implicite par la simple ouverture du message ne satisfont pas à ces exigences.
Une exemption existe, mais ses conditions sont strictement cumulatives : la finalité doit être purement technique, les données collectées limitées au strict nécessaire, et leur utilisation ne peut en aucun cas alimenter un traitement secondaire – qu’il s’agisse de personnalisation, de profilage comportemental ou de déclenchement de séquences automatisées. Concrètement, la CNIL admet que l’on mesure, sans consentement, la délivrabilité d’un email transactionnel lié à un service expressément demandé, ou que l’on identifie des contacts manifestement inactifs à seule fin de nettoyage des listes. Dès que le pixel sert à autre chose (ex : calculer un simple taux d’ouverture à des fins d’optimisation de campagne), l’exemption cesse de s’appliquer et le régime du consentement reprend ses droits.
Cette frontière est précisément là où réside le risque pour la majorité des entreprises : beaucoup pensent relever de l’exemption technique alors que leurs usages réels (scoring, retargeting, personnalisation du message suivant) les placent sans ambiguïté dans le champ du consentement obligatoire.
Le BtoB n’est pas une zone franche
Une idée reçue mérite d’être dissipée. Certaines équipes marketing considèrent que la prospection BtoB échappe aux contraintes du RGPD et, par extension, à celles de la directive ePrivacy. C’est une confusion qu’il convient de corriger avec précision.
Il est exact que la prospection commerciale BtoB peut, sous certaines conditions, s’appuyer sur l’intérêt légitime comme base juridique au sens du RGPD. Mais cette tolérance relative ne concerne que l’acte d’envoi du message. Elle ne s’étend pas au tracking : dès lors qu’un pixel est intégré dans l’email, les règles ePrivacy s’appliquent sans distinction, qu’il s’agisse d’une adresse générique ou d’une adresse nominative telle que jean.dupont@entreprise.fr. Cette dernière constitue une donnée personnelle au sens du RGPD, et son traitement par le biais d’un pixel de suivi ne bénéficie d’aucune exemption spécifique au contexte professionnel.
Des impacts concrets sur la performance marketing
Au-delà de la dimension juridique, cette recommandation a des conséquences opérationnelles directes que les équipes marketing auraient tort de sous-estimer. Les indicateurs traditionnels sur lesquels repose une grande partie du pilotage des campagnes (taux d’ouverture, heat maps de lecture, séquences de relance conditionnelles) supposent, pour la plupart, un tracking individuel des comportements. Or, c’est précisément ce tracking-là qui nécessite désormais un consentement explicite.
Les entreprises qui ne procèdent pas à une revue de leurs outils s’exposent donc à une double peine : un risque juridique croissant à mesure que la CNIL intensifie ses contrôles dans ce domaine, et une dégradation silencieuse de la qualité de leurs données si les pratiques non conformes conduisent à une invalidation de leur base de contacts. Il est à cet égard significatif que la CNIL ait ces dernières années prononcé des sanctions substantielles contre des acteurs de différents secteurs pour des manquements liés aux traceurs et au défaut de consentement, et qu’elle ait expressément annoncé des contrôles dans les mois suivant la publication de cette recommandation.
Ce que cela impose concrètement
Pour les nouvelles campagnes, la mise en conformité est immédiate : le consentement au tracking doit être recueilli au moment de la collecte de l’adresse, documenté de façon à pouvoir être démontré à tout moment, et assorti d’une possibilité de retrait simple. Pour les bases existantes, la CNIL n’impose pas de recueil rétroactif du consentement, mais exige que les contacts concernés soient informés dans un délai de trois mois.
En pratique, cela implique d’auditer les outils d’emailing en place pour identifier les pixels actifs et leurs finalités réelles, de revoir les mécanismes de collecte du consentement, de mettre à jour les mentions d’information, et de documenter l’ensemble dans le registre des traitements.
Mettre à jour sa conformité : un chantier accessible, à condition de le structurer
Cette recommandation sur les pixels de suivi illustre une réalité plus large : la conformité RGPD n’est pas un état que l’on atteint une fois pour toutes. Elle évolue au rythme des textes, des décisions de la CNIL et des pratiques numériques, et elle exige une mise à jour régulière, méthodique, documentée.
C’est précisément la vocation du guide ID Réflex RGPD : offrir aux professionnels un outil opérationnel pour structurer ou actualiser leur conformité sans se perdre dans la complexité juridique, avec une approche pratique qui va de l’audit initial à la mise en place des procédures. Parce qu’une conformité solide ne se construit pas dans l’urgence d’un contrôle annoncé, mais dans la régularité d’une démarche bien outillée.
Clotilde Biron
