Skip to main content
DélivrabilitéRéglementation

Pixel de suivi dans les emails : ce que change la recommandation CNIL 2026

10 min read

Pixel de suivi dans les emails : ce que change la recommandation CNIL 2026

Le 14 avril 2026, la CNIL a publié sa recommandation sur les pixels de suivi des ouvertures dans les emails.

Le pixel de tracking des ouvertures (une image invisible glissée dans les emails qui permet de tracer si un email a été ouvert) bascule, pour la plupart de ses usages marketing, sous le même régime que les cookies : consentement préalable obligatoire.
Si vous disposez déjà d’une base de contacts, vous avez jusqu’au 14 juillet 2026 pour informer ces destinataires et leur permettre de s’opposer au suivi.

Si vous le faites, vous pourrez continuer à utiliser le pixel de tracking des ouvertures sur les contacts qui n’ont pas exprimé de refus.
Passé cette date, il vous faudra recueillir leur consentement explicite avant de continuer, de la même manière que vous allez le faire pour toute nouvelle adresse email collectée.

Ce guide traduit la recommandation de la CNIL et vous donne un plan d’action concret pour être en conformité.

Sommaire

Qu’est-ce qu’un pixel de suivi ?

Un pixel de suivi (ou pixel de d’ouverture, pixel de tracking ou encore « pixel espion ») est une image minuscule et invisible (1×1 pixel) intégrée dans le code HTML d’un email.
Cette image est hébergée sur un serveur distant, avec une URL unique par destinataire.

Lorsque le destinataire ouvre l’email et télécharge les images, une requête part vers ce serveur pour aller chercher l’image à afficher. C’est ce qui permet d’indiquer que le message a été ouvert, à quelle date et heure, combien de fois et depuis quel type d’appareil et depuis quelle zone géographique (via l’adresse IP).
C’est ce mécanisme, utilisé depuis la fin des années 1990, qui permet d’afficher les taux d’ouverture de vos campagnes emailing.

Pourquoi la CNIL s’en préoccupe maintenant

Tout d’abord ce n’est pas une nouvelle règle.
La même règle qui encadre les cookies depuis 2020, à savoir un consentement avant toute lecture ou écriture de données sur l’appareil d’un utilisateur, s’applique aussi aux pixels email.
Le Comité européen de la protection des données (CEPD) l’a confirmé. La recommandation CNIL du 14 avril 2026 ne crée donc rien de nouveau : elle précise comment l’appliquer aux emails.

Pourquoi maintenant ?
Ils e trouve que la CNIL reçoit de plus en plus de plaintes de personnes qui se sentent « espionnées » dans leur boîte mail. Résultat sans doute de campagnes marketing ultra-personnalisées.

Pour quelles finalités le consentement est-il nécessaire et dans quel cas est-on exemptés ?

Voici la classification officielle de la recommandation :

Finalités nécessitant le consentement Finalités exemptées de consentement
Analyse du taux d’ouverture pour optimiser les campagnes
Personnalisation du contenu, adaptation de la fréquence d’envoi ou du canal (email, SMS, push).
Inclut les procédés de fiabilisation de la mesure, comme la lutte contre la fraude publicitaire.		 Mesures de sécurité liées à l’authentification
Par exemple vérifier qu’un email contenant un code de connexion (2FA, réinitialisation de mot de passe) est bien ouvert sur un terminal connu de l’utilisateur.
Création de profils de destinataires (préférences, centres d’intérêt)
Pour les cibler dans d’autres contextes que l’email : sites web, applications, publicité display, autres canaux.		 Mesure individuelle du taux d’ouverture à des fins de délivrabilité
Sous réserve d’une minimisation stricte des données (voir section suivante).
Détection et analyse de suspicions de fraude
Ouvertures massives ou inhabituelles révélant un comportement automatisé (inscriptions frauduleuses à un jeu-concours, tentatives d’exfiltration, etc.).
Mesure individuelle du taux d’ouverture à des fins de délivrabilité
Lorsqu’elle est réalisée en dehors des conditions de minimisation ci-contre.
  • Ces exemptions ne valent que pour les emails expressément demandés : transactionnels, ou pour lesquels un consentement a déjà été donné.
  • Les statistiques globales et anonymisées (taux agrégé, A/B test sur un objet, mesure par domaine de messagerie) restent hors du champ du consentement, si l’anonymisation est effective.

Délivrabilité : la règle « désengager, pas réengager »

L’exemption « délivrabilité » est la plus utile pour les équipes CRM : elle couvre le nettoyage de bases. Sans consentement, vous pouvez :

  • identifier les inactifs pour les retirer de la base
  • réduire la fréquence d’envoi pour ces contacts
  • basculer vers un autre canal (SMS, push) quand l’email ne fonctionne plus.

Contrepartie : seule la date de dernière ouverture (sans l’heure) peut être conservée, écrasée à chaque nouvelle ouverture.

Règle simple à retenir : l’exemption couvre tout ce qui sert à moins solliciter un contact non réactif.
Une campagne de réactivation commerciale, elle, relève du consentement comme toute autre finalité marketing.

Le calendrier : 14 juillet 2026

La recommandation s’applique depuis le 14 avril 2026, avec deux cas selon l’origine de l’adresse :

Adresses déjà collectées avant le 14 avril 2026 : vous pouvez continuer à utiliser le pixel si vous informez vos destinataires et leur donnez un droit d’opposition avant le 14 juillet 2026 (email dédié, preuve d’envoi exigée, ou encart clair dans un email habituel). Ce régime transitoire n’est pas un consentement par silence : il repose sur l’information et le droit d’opposition, pas sur un accord positif.

Adresses collectées après le 14 avril 2026 : le droit commun s’applique immédiatement. Pas de pixel sans consentement, et l’absence de réponse vaut refus.

Qui est responsable du pixel ?

  • L’expéditeur (qui décide de l’envoi) est responsable du traitement, même en sous-traitant l’envoi à une plateforme d’emailing comme Brevo, Klaviyo, Hubspot, etc.
  • Le prestataire d’emailing, le prestataire de location de listes et le fournisseur de technologie de suivi agissent en principe comme sous-traitants.
  • Si un prestataire réutilise les données du pixel pour ses propres besoins (avec votre accord contractuel), il peut devenir co-responsable pour la collecte, sans l’être forcément pour les traitements suivants.

⚠️ À retenir : une clause contractuelle ne suffit pas à prouver que le consentement a réellement été recueilli. Si un partenaire collecte vos adresses, exigez les preuves de consentement, pas seulement une garantie sur papier.

Plan d’action avant le 14 juillet

Étape 1 : Auditez vos usages

Segmentation, scoring, automatisations, nettoyage de bases. Chacun relève-t-il d’une finalité exemptée ou soumise à consentement ?

Étape 2 : Vérifiez votre plateforme d’envoi

Consentement granulaire par finalité, stockage limité à la date de dernière ouverture, pixel différencié selon le consentement.

Étape 3 : Distinguez transactionnel et marketing

Un pixel marketing reste soumis au consentement, même dans un email transactionnel.

Étape 4 : Mettez à jour vos formulaires

Case non pré-cochée, finalités claires. Un consentement unique est possible si la prospection est présentée comme personnalisée.

Étape 5 : Ajoutez un lien de retrait du consentement

En pied de page, distinct de la désinscription, sans ressaisie d’adresse.

Étape 6 : Envoyez votre campagne d’information avant le 14 juillet

Une fois le dispositif de retrait opérationnel, et conservez la preuve de consentement (date, contexte, finalités acceptées).

Exemples concrets

Case à cocher en formulaire

Non pré-cochée :

☐ J'accepte le suivi de l'ouverture de mes emails (pixel de mesure), pour personnaliser
le contenu et la fréquence d'envoi. Modifiable à tout moment.

Bloc footer

Distinct du lien de désinscription :

Suivi d'ouverture : cet email contient un pixel pour adapter nos communications.
[Gérer mon consentement]

Email de sollicitation du consentement

Si le consentement n’a pas été recueilli à la collecte. Sans pixel, avec un lien vers une page nécessitant un clic explicite :

Objet : Vos préférences de confidentialité

Nos emails contiennent un pixel de suivi qui nous indique s'ils sont ouverts, pour
adapter nos envois. Acceptez-vous ce suivi ?

[J'accepte]   [Je refuse]

Modifiable à tout moment depuis le lien en bas de nos emails.

💡 Bon à savoir : conservez le choix exprimé (y compris un refus) et ne resollicitez pas avant six mois.

Et après le 14 juillet ?

Pour remettre les choses en perspective : depuis iOS 15 (2021), Apple Mail Privacy Protection précharge les pixels à la réception, indépendamment de toute ouverture réelle. Le taux d’ouverture était donc déjà une métrique dégradée, et le consentement n’y changera rien. La vraie opportunité de cette recommandation : basculer le pilotage de vos campagnes vers des signaux plus robustes (clics, conversions, données déclaratives, first-party).

FAQ Pixel de suivi email CNIL 2026

Le pixel de suivi est-il interdit ?

Non. Il reste utilisable pour la délivrabilité (sous conditions de minimisation), la sécurité/authentification, et pour toute finalité marketing avec consentement.

Dois-je recollecter le consentement de toute ma base existante ?

Non. Une information claire avec possibilité d’opposition, envoyée avant le 14 juillet 2026, suffit pour les adresses collectées avant le 14 avril 2026.

Un email transactionnel peut-il contenir un pixel sans consentement ?

Oui, mais seulement si le pixel sert lui-même une finalité exemptée (sécurité, délivrabilité). Un pixel marketing dans un email transactionnel reste soumis au consentement.

Si un contact s’oppose au suivi, dois-je supprimer les données déjà collectées ?

Non. Vous devez seulement garantir qu’aucun nouveau pixel ne lui est envoyé, et qu’aucune donnée d’un ancien pixel n’est exploitée s’il rouvre un email déjà reçu.

Puis-je continuer à mesurer un taux d’ouverture global sans consentement ?

Oui, si la mesure est réellement anonymisée et non rattachable à un destinataire individuel (taux agrégé, A/B test, etc.).

Que se passe-t-il après le 14 juillet 2026 si je n’ai rien fait ?

Vous perdez le bénéfice du régime transitoire pour votre base pré-14 avril 2026 : il faudra recueillir un consentement explicite, comme pour toute nouvelle collecte.

Mettez votre tracking email en conformité avant le 14 juillet 2026

Vous utilisez des pixels de suivi sans jamais avoir recueilli de consentement explicite ? C’est le cas de l’immense majorité des expéditeurs. Au-delà du 14 juillet 2026, vous perdez le bénéfice du régime transitoire, avec un risque d’exposition juridique et réputationnelle à la clé.

Comment nous pouvons vous aider :

  • Diagnostic de vos pratiques actuelles et de votre exposition réelle.
  • Mise en conformité de vos formulaires, templates et footers.
  • Configuration de votre plateforme d’envoi : consentement, pixels différenciés, preuve de consentement.
  • Plan de campagne d’information avant le 14 juillet, sans casser votre dispositif marketing.

Échangeons 30 minutes pour faire le point sur votre situation et prioriser les actions avant l’échéance.

Source : Recommandation CNIL relative aux pixels de suivi dans les courriers électroniques (14 avril 2026)

Tags:

SPF DKIM DMARC
Délivrabilité

SPF, DKIM, DMARC : testez votre configuration technique

AntonioAntonio4 avril 2026
La poste durcit ses règles anti-spam
Délivrabilité

Délivrabilité email : La Poste impose de nouvelles règles anti-spam

AntonioAntonio22 janvier 2026
Collecte email et génération de leadsDélivrabilité

Achat base de données email : pourquoi un logiciel PRM est plus efficace

AntonioAntonio20 octobre 2025