Pixels de suivi dans les emails : comment se conformer à la recommandation de la CNIL ?

Le 14 avril 2026, la CNIL a publié une recommandation relative aux pixels de suivi utilisés dans les emails. Ce qu’il faut retenir, c’est que les pixels, qui vous permettent de savoir si vos destinataires ouvrent vos emails, sont désormais soumis, pour la plupart des usages marketing, au consentement préalable. Exactement comme les cookies.

Les organisations disposent de trois mois pour informer leurs bases existantes et permettre aux destinataires de s’opposer au suivi. Ce délai expire le 14 juillet 2026. La CNIL a annoncé des contrôles à compter de cette date.

Si vous envoyez des newsletters, des campagnes de prospection ou des scénarios automatisés, vous êtes concerné. Ajoutons : y compris en B2B.

Pas de panique pour autant. La mise en conformité est un chantier tout à fait raisonnable quand il est bien cadré. C’est même, on va le voir, une excellente occasion de nettoyer votre base et de fiabiliser le pilotage de vos campagnes. Dans cet article, nous décortiquons ce que dit la recommandation, la méthode pour vous mettre en règle dans les temps et des exemples concrets de formulaires, de footers et d’emails de sollicitation du consentement.

L’essentiel à retenir

• Le pixel de suivi est désormais traité comme un cookie. Son utilisation à des fins marketing (mesurer les ouvertures pour optimiser vos campagnes, personnaliser, profiler) requiert le consentement préalable, libre et éclairé du destinataire.
• Deux grandes familles d’usages restent exemptées de consentement :
  • Les mesures de sécurité liées à l’authentification.
  • La mesure de délivrabilité strictement limitée au nettoyage de vos listes (identifier les inactifs pour adapter la fréquence ou arrêter les envois).
• Le B2B est concerné dès lors que l’adresse email est nominative.
• Pour vos bases existantes, pas de re-consentement rétroactif imposé : une information claire avec faculté d’opposition, envoyée avant le 14 juillet 2026, permet de poursuivre le suivi des contacts qui ne s’y opposent pas. C’est le régime transitoire prévu par le texte.
• Pour toute nouvelle collecte de consentement, le silence vaut refus. Deux régimes cohabitent donc, et le sort des contacts au statut « inconnu » devient l’arbitrage central de votre mise en conformité.
• La CNIL a annoncé des contrôles à compter de la mi-juillet 2026, à l’expiration de la période de transition.
• Le volume d’ouvertures mesurables va baisser, mécaniquement, puisque seuls les contacts suivis resteront mesurés.

Ce que dit la recommandation CNIL sur les pixels de suivi

Un pixel de suivi, concrètement, c’est quoi ?

Un pixel de suivi est une image minuscule, le plus souvent d’un pixel sur un pixel, transparente, insérée dans le corps d’un email. Contrairement aux visuels classiques de vos newsletters, cette image n’est pas embarquée dans le message, elle est hébergée sur un serveur distant, avec une URL individualisée par destinataire.

Quand le destinataire ouvre l’email, son client de messagerie télécharge l’image. Cette requête informe le serveur que l’email a été ouvert, à quel moment, depuis quelle adresse IP et sur quel type de terminal. Le tout sans que le destinataire ne voie quoi que ce soit.

C’est le mécanisme qui permet de tracker les ouvertures depuis le début des années 2000…

Le pixel d’ouverture rejoint le régime des cookies

La CNIL ne sort pas cette position de nulle part. Le Comité européen de la protection des données (CEPD) avait déjà précisé, dans ses lignes directrices 2/2023, que les pixels insérés dans les emails relèvent de l’article 5.3 de la directive ePrivacy, transposé en France à l’article 82 de la loi Informatique et Libertés. C’est le même fondement juridique que celui qui encadre les cookies et autres traceurs web depuis 2020.

Le raisonnement est le suivant : l’inclusion d’un pixel dans un email revient à instruire le terminal du destinataire de renvoyer des informations le concernant (identifiant du pixel, adresse IP, etc.). C’est une opération de lecture sur le terminal qui, comme toute opération de ce type, requiert par principe le consentement préalable.

La conséquence est lourde pour le marché car jusqu’ici la plupart des expéditeurs trackaient les ouvertures sans rien demander à personne, en s’appuyant au mieux sur un intérêt légitime jamais vraiment validé. La recommandation de la CNIL fait sauter cette zone grise.

Qui est concerné et qui est responsable de quoi ?

Le premier réflexe à éviter, c’est de penser que la conformité est l’affaire de votre plateforme d’emailing. C’est faux.

L’expéditeur du courriel (c’est-à-dire…vous), l’organisation qui décide de l’envoi, est responsable du traitement. Vous décidez de recourir à une solution qui utilise des pixels, vous en déterminez les finalités. Le fait de sous-traiter l’envoi à un prestataire (Brevo, Mailchimp, HubSpot, Salesforce Marketing Cloud ou tout autre) ne vous exonère de rien : le prestataire agit en sous-traitant, selon vos instructions.

Le schéma se complique quand le prestataire exploite aussi les données des pixels pour ses propres finalités, par exemple pour améliorer sa solution ou la délivrabilité globale de sa plateforme. Dans ce cas, une coresponsabilité peut être retenue, avec une répartition contractuelle claire des obligations (article 26 du RGPD).

2 précisions :

• Le B2B est concerné. Dès lors que l’adresse est nominative ([email protected]), les données collectées par le pixel sont des données personnelles. Le régime dérogatoire de la prospection B2B ne s’étend pas aux traceurs.
• Le régime du pixel est indépendant du régime de l’email qui le contient. Un email que vous pouvez légalement envoyer sans consentement (confirmation de commande, prospection B2B en rapport avec la profession du destinataire) peut très bien contenir un pixel qui, lui, exige un consentement.

Consentement ou exemption : la ligne de partage

Tout l’intérêt opérationnel de la recommandation tient dans cette ligne de partage entre les usages soumis au consentement et ceux qui en sont exemptés.

Voici un tableau de synthèse de ce qu’il faut savoir :

Un point mérite d’être souligné, car peu de commentaires l’ont relevé : la version finale est plus souple que le projet soumis à consultation en 2025. La CNIL a étendu l’exemption de délivrabilité de la mesure globale à la mesure individuelle du taux d’ouverture. Vous pouvez donc continuer à repérer contact par contact les adresses inactives et nettoyer vos listes sans recueillir de consentement. À condition de vous en tenir strictement à cet usage : dès que la donnée d’ouverture alimente une segmentation, un scoring ou un scénario d’automation, vous repassez sous le régime du consentement.

Attention toutefois, l’exemption obéit à une double condition cumulative :

• Elle porte d’une part sur la finalité du pixel (sécurité ou délivrabilité strictement limitée au nettoyage).
• D’autre part sur la nature de l’email, qui doit avoir été demandé par le destinataire ou se rattacher à un service qu’il a demandé.

Les emails transactionnels (confirmation de commande, notification d’expédition, réinitialisation de mot de passe, rappel de rendez-vous) remplissent cette seconde condition, mais elle ne suffit pas : un pixel à visée marketing inséré dans un email transactionnel reste soumis au consentement. C’est toujours la finalité du pixel qui commande, jamais le type d’email qui le contient.

Le calendrier de la CNIL

La recommandation a été publiée le 14 avril 2026. Pour les adresses déjà collectées, les opérations de suivi peuvent continuer pendant trois mois, sous réserve d’envoyer une information claire aux destinataires leur permettant de s’opposer au suivi pour les emails futurs.

Ce délai expire le 14 juillet 2026. Au-delà, la CNIL a annoncé des contrôles.

Notez bien la mécanique : pour le stock existant, la CNIL n’impose pas de re-consentement massif. Une information avec droit d’opposition suffit.

Précisons la portée de cette souplesse car elle est peut être mal comprise. Elle vaut pour les adresses déjà collectées, au titre du régime transitoire prévu par le texte (section 7 de la recommandation). Pour toute nouvelle collecte de consentement, en revanche, le droit commun s’applique : le consentement procède d’un acte positif et l’absence de réponse vaut refus.

Deux régimes cohabitent donc dans votre base et cette cohabitation est au cœur de l’arbitrage stratégique que nous détaillons plus bas.

C’est une approche pragmatique…et critiquable : une base peu engagée se retrouvera mécaniquement « non opposée », simplement parce que l’email d’information n’aura pas été lu. Soyons honnêtes, la conformité minimale est à la portée de tout le monde. La vraie question est de savoir où vous placez le curseur entre ce minimum réglementaire et une démarche de consentement explicite, plus exigeante mais plus solide. Nous y revenons dans la partie méthodologique de cet article.

Ajoutons qu’il n’existe pas, à la date de publication de cet article (12 juin 2026), de plateforme de gestion du consentement conçue pour l’environnement email. Les éditeurs d’emailing adaptent leurs roadmaps, à des rythmes très variables. La conformité reposera donc d’abord sur votre organisation, vos formulaires et vos process.

Le taux d’ouverture, une métrique déjà cassée (le contexte Apple)

Replaçons cette recommandation dans son contexte.

Depuis iOS 15, lancé en septembre 2021, le Mail Privacy Protection d’Apple pré-charge automatiquement les images et les pixels à la réception du message, que le destinataire ouvre l’email ou non, si bien que les taux d’ouverture des destinataires sur Apple Mail sont artificiellement gonflés depuis bientôt cinq ans. Une part significative de vos « ouvreurs » n’a jamais ouvert vos emails.

Le taux d’ouverture était donc déjà une métrique dégradée et la CNIL, par cette recommandation, achève ce qu’Apple avait commencé.

C’est l’angle sous lequel nous vous invitons à aborder ce chantier : non pas comme la perte d’un indicateur fiable (il ne l’était plus), mais comme l’occasion de basculer votre pilotage vers des signaux plus robustes : les clics, les conversions, les données first-party déclaratives.

Comment se mettre en conformité ? Nos conseils

Le réflexe naturel face à ce genre d’annonce consiste à chercher la solution dans sa plateforme d’emailing. Disons-le tout de suite, c’est le mauvais point de départ. La première décision n’est pas un paramétrage, mais un arbitrage stratégique à faire, un arbitrage qui conditionne tout le reste. Sur ce chantier comme sur les autres, tout doit partir d’une phase de cadrage.

La décision structurante : que faire des contacts au statut « inconnu » ?

Une fois la conformité en place, votre base se répartira de fait en trois statuts :

• Les contacts qui ont consenti au suivi.
• Ceux qui l’ont refusé.
• Le stock des « inconnus », qui regroupe en réalité deux populations distinctes : les contacts historiques informés qui ne se sont pas opposés au suivi et les contacts sollicités pour leur consentement mais restés silencieux.

Ce troisième groupe sera, au moins au début, de très loin le plus gros.

La question qui fâche : appliquez-vous le tracking par défaut sur ces inconnus ou non ?

Juridiquement, les deux populations ne sont pas dans la même situation :

• Pour les contacts sollicités restés silencieux, la réponse est nette : l’inactivité s’analyse comme un refus, pas de tracking.
• Pour le stock historique informé et non opposé, la lettre du régime transitoire autorise la poursuite du suivi, mais c’est la lecture la plus offensive du texte. La posture prudente consiste à désactiver le suivi marketing sur l’ensemble du segment.

Cette décision ne se réduit toutefois pas à un raisonnement juridique, elle engage votre tolérance au risque réglementaire, le coût opérationnel d’une collecte proactive de consentement et la dépendance de vos workflows à la donnée d’ouverture. Par exemple, une entreprise dont les scénarios de relance reposent massivement sur les ouvertures ne vivra pas cette transition comme un e-commerçant qui pilote au clic.

Certains contextes imposent d’office une posture stricte. Nous pensons par exemple au B2C santé, aux services financiers et, plus globalement, à tous les clients exposés à des régulateurs exigeants. Pour les autres, c’est un curseur à placer entre la conformité minimale (information du stock existant et droit d’opposition = ce que la CNIL exige) et une démarche de consentement explicite généralisée, plus coûteuse à court terme mais qui produit une donnée d’engagement incontestable.

Cette décision doit être prise par la direction, avec le métier et le juridique autour de la table, et documentée avec sa justification. Sans décideur nommé, elle traînera…alors même que le 14 juillet arrive vite…

Phase 1 : Auditer et Trancher (…avant le 14 juillet)

La phase de préparation tient en une poignée d’actions concrètes :

• Auditez votre base par source d’alimentation : formulaires, imports, API, CRM. C’est là que vit le consentement récupérable à faible coût. Vos champs RGPD existants (opt-in marketing, préférences déclarées) peuvent servir de point de départ pour pré-qualifier le statut probable de chaque segment, en gardant à l’esprit qu’un opt-in email ne vaut pas consentement au pixel.
• Cartographiez les workflows dépendants de la donnée d’ouverture : segmentations sur critère d’engagement, scorings, triggers d’automation, règles de pression commerciale. Chiffrez l’impact selon plusieurs hypothèses (40 %, 60 %, 80 % de la base restant  » inconnue »). Cet exercice objective la discussion stratégique évoquée plus haut.
• Envoyez l’information obligatoire à vos bases existantes, avec un mécanisme d’opposition simple. C’est le socle réglementaire de la période de transition.
• Mettez à jour vos formulaires et vos footers (nous détaillons les contenus dans la partie suivante).
• Formez vos équipes CRM et marketing aux nouveaux statuts de consentement et à leurs conséquences sur les métriques. Un volume d’ouvertures qui chute de moitié sans explication, c’est une cellule de crise inutile un lundi matin.

C’est aussi le bon moment pour traiter un sujet trop longtemps repoussé : la qualité de votre base. Une base remplie de contacts dormants et de doublons rendra la transition plus pénible et plus risquée. Notre article sur le nettoyage d’une base de données clients détaille la démarche.

Phase 2 : maximiser le consentement pendant la transition

Cette période de transition est le moment de recueillir un maximum de consentements, en priorisant par la valeur.

Nous vous conseillons de segmenter votre base en fonction de l’engagement. Vos contacts actifs (ouvertures et clics récents) représentent un fort enjeu et un fort potentiel de consentement : ciblez-les en premier, avec un email dédié et une page de confirmation sans friction. Les contacts moyennement actifs viennent ensuite. Quant aux dormants de longue date, posez-vous la vraie question : faut-il solliciter leur consentement ou simplement les sortir de la base ? Dans la plupart des cas, le nettoyage est la meilleure réponse…

Une relance unique sur les non-répondants à fort enjeu peut se justifier. Pas davantage car au-delà de deux sollicitations, vous basculez dans la sur-pression, c’est contre-productif et mal perçu. Si le sujet de l’équilibre entre sollicitation et lassitude vous concerne au-delà de ce chantier, notre guide sur la gestion de la pression marketing creuse la question.

Pendant toute cette phase, monitorez de près deux indicateurs :

• Le volume de révocations, en ayant à l’esprit qu’un pic signale une communication mal comprise.
• L’évolution des taux d’ouverture mesurés.

Phase 3 : ancrer le consentement dans la durée

La conformité ponctuelle ne suffit pas car sans dispositif pérenne, le stock « inconnu » se reconstitue à chaque nouveau contact entrant.

Nos deux conseils à ce sujet :

• Intégrez la collecte du consentement pixel à chaque point d’entrée : formulaires d’inscription, parcours d’onboarding, process d’import. La CNIL recommande d’ailleurs explicitement de recueillir ce consentement au moment de la collecte de l’adresse email, c’est le moment où le lien entre l’adresse fournie et l’usage des traceurs est le plus compréhensible pour la personne.
• Adaptez ensuite vos tableaux de bord. Les métriques d’ouverture doivent être calculées sur la base consentante uniquement, avec un indicateur de couverture affiché à côté (le pourcentage de contacts disposant d’un consentement actif). Sans ce taux de couverture, vos équipes compareront des choux et des carottes d’un mois sur l’autre.

Deux compléments :

• Nommez un owner de la conformité pixel, avec un traitement périodique du stock « inconnu » résiduel, par exemple trimestriel.
• Organisez la preuve du consentement : vous devez pouvoir démontrer à tout moment qui a consenti, quand et dans quelles conditions (cf. article 7.1 du RGPD). Attention si un tiers collecte des adresses pour votre compte : une clause contractuelle lui imposant de recueillir un consentement valide ne vous exonère nullement de votre responsabilité s’il est défaillant. Vous devez exiger la transmission des éléments de preuve.

Formulaires, footers, emails de sollicitation : des exemples concrets

La recommandation de la CNIL fournit des formulations types, finalité par finalité, dans sa section consacrée à l’information des personnes (section « 4. Information et consentement »). Les exemples qui suivent s’en inspirent directement. Vous devez bien entendu les adapter à votre ton de marque, mais conservez leur substance : nommer clairement la finalité (ce que le pixel permet de savoir) et indiquer la possibilité de revenir sur son choix.

#1 La case à cocher en formulaire

Le principe est simple : la case ne doit en aucune manière être pré-cochée. Le libellé dit ce que fait le pixel (et pourquoi) et une information plus détaillée reste accessible en un clic.

Exemple de libellé :

Voici une version plus courte, si l’espace est contraint :

Dans les deux cas, prévoyez un lien « En savoir plus » vers votre politique de tracking, qui détaille les données collectées (ouverture, date et heure, type de terminal) et l’ensemble des terminaux concernés. La personne doit comprendre que son choix s’applique à l’adresse email fournie quel que soit l’appareil sur lequel elle consulte ses messages.

#2 Le footer d’email

La CNIL recommande d’offrir la possibilité de retirer son consentement via un lien dans le pied de page de chaque email. Ce lien doit être individualisé (un lien traçant unique par destinataire, exempté de consentement car il participe à la sécurité de l’utilisateur) et mener à une page où le retrait s’effectue sans action supplémentaire. Concrètement : pas de formulaire où la personne devrait re-saisir son adresse.

Exemple de bloc footer :

Pour des raisons d’ergonomie, pensez à séparer visuellement ce lien du lien de désinscription. Ce sont deux actions distinctes. Un destinataire peut vouloir continuer à recevoir vos emails tout en refusant d’être tracké. Si les deux liens se confondent, vous perdrez des abonnés qui voulaient seulement couper le pixel…

#3 L’email de sollicitation du consentement

Quand le consentement n’a pas été recueilli à la collecte de l’adresse, vous pouvez le solliciter par email.

Quelques règles à respecter :

• Cet email ne doit pas contenir lui-même de pixel soumis à consentement…
• Le lien de choix doit rediriger vers une page exigeant une action positive (cliquer sur un bouton), pour éviter qu’un pré-chargement automatique par certaines messageries ne soit interprété comme un accord.
• Le refus doit être aussi simple que l’acceptation.
• L’absence de réponse vaut refus.

Version pédagogique, adaptée au B2C :

Version directe, qui fonctionne bien en B2B :

Une bonne pratique partagée par la CNIL dans sa recommandation consiste à enregistrer le choix exprimé (y compris le refus) et ne plus solliciter la personne pendant au moins six mois (gestion de la pression).

Les pièges à éviter

• La case pré-cochée et le consentement enfoui. Une mention dans la politique de confidentialité ne vaut pas consentement, pas plus  que l’ouverture du message. Le consentement procède d’un acte positif, point à la ligne.
• Le couplage abusif de finalités. La CNIL admet un consentement unique pour la prospection par email et les pixels qui servent directement cette prospection (personnalisation du contenu, adaptation de la fréquence), à condition que la prospection soit présentée comme personnalisée. En revanche, le profilage destiné à vous cibler sur d’autres canaux est une finalité distincte, qui exige son propre consentement. Ne mélangez pas tout dans une case fourre-tout.
• Recycler sa CMP web telle quelle. Les plateformes de gestion du consentement sont identifiées par le public comme des outils dédiés aux cookies des sites web. La CNIL appelle à une vigilance particulière si vous les utilisez pour les pixels email : la personne doit comprendre que son choix porte sur un autre environnement (sa messagerie) et sur une adresse email précise. En l’état du marché, le formulaire de collecte reste le canal le plus propre.
• Noyer le lien de révocation parmi quinze autres liens de footer. Le retrait doit être aussi simple que l’octroi.
• Harceler le stock « inconnu ». Deux sollicitations maximum, puis on applique la règle par défaut et on passe à autre chose.

Conclusion

Vous l’aurez compris à la lecture de cet article, la conformité pixel n’est pas un sujet d’outil, ni même un pur sujet juridique, mais bien un chantier de gouvernance de la donnée client, qui touche à la qualité de votre base, à la structuration de votre consentement et à la fiabilité de vos indicateurs de pilotage. Le RGPD avait amorcé ce mouvement en 2018, la recommandation de la CNIL le prolonge sur le terrain de l’emailing.

Les entreprises qui traitent ce sujet sérieusement avant la mi-juillet en sortiront avec une base plus propre, un consentement structuré de façon granulaire et des métriques d’engagement enfin fiables, alors que celles qui attendent subiront la baisse des indicateurs sans en comprendre les causes, avec un risque réglementaire en prime.

CRM / Data - Plus de 15 ressources & templates gratuits à télécharger.

Découvrir