Voir les titres Ne plus voir les titres
- Un mouchard invisible glissé dans vos courriels
- Le cadre juridique : l’article 82 s’applique aux emails
- Ce que les entreprises doivent mettre en place
- Consentement ou exemption : une frontière à tracer
- Un calendrier serré et des bases existantes à traiter
- Des sanctions qui peuvent atteindre des sommes considérables
- Une mise en conformité qui déborde le seul cadre juridique
Beaucoup d’entreprises l’ont appris ces derniers jours, souvent par un courriel les alertant sur le sujet lui-même : les pixels de suivi glissés dans leurs emails ne pourront bientôt plus fonctionner sans précaution. Un pixel de suivi est une image minuscule et invisible, généralement d’un pixel sur un pixel, hébergée sur un serveur distant et insérée dans un message pour signaler qu’il a été ouvert.
Avec sa recommandation publiée le 14 avril 2026, la Commission nationale de l’informatique et des libertés étend à la boîte mail la bataille du consentement engagée de longue date sur les cookies. Elle devient ainsi la première autorité européenne à cadrer aussi précisément cette pratique, et fixe une échéance de mise en conformité au 14 juillet 2026.
Que doivent concrètement faire les entreprises, et que risquent celles qui laisseraient tourner leurs pixels comme avant ?
Un mouchard invisible glissé dans vos courriels
Le principe technique est d’une simplicité redoutable. À l’ouverture du message, le logiciel de messagerie du destinataire, qu’il s’agisse d’Outlook, de Gmail ou d’Apple Mail, charge automatiquement l’image depuis le serveur distant. Cette requête transmet, sans la moindre action volontaire du destinataire, le fait que l’email a été ouvert, la date et l’heure, l’adresse IP et les caractéristiques du terminal utilisé.
Les usages sont variés et souvent invisibles pour la personne visée. Les pixels servent à mesurer les taux d’ouverture, à segmenter les bases, à personnaliser les relances, à évaluer la délivrabilité des envois, parfois à construire des profils comportementaux réutilisables sur d’autres canaux. Cette généralisation silencieuse explique en partie la hausse des plaintes reçues par la CNIL sur ce terrain.
Le cadre juridique : l’article 82 s’applique aux emails
La recommandation ne crée pas un droit nouveau, elle applique un texte existant. L’article 82 de la loi Informatique et Libertés, qui transpose la directive ePrivacy, soumet au consentement préalable toute lecture ou écriture d’informations sur le terminal d’un utilisateur, sauf exemptions strictement définies. Or le chargement d’un pixel constitue précisément une telle opération sur le terminal du destinataire.
Le Comité européen de la protection des données avait déjà confirmé ce rattachement dans ses lignes directrices 2/2023, adoptées le 7 octobre 2024. La CNIL prolonge cette lecture avec sa délibération n° 2026-042 du 12 mars 2026, en tenant compte d’une difficulté propre à l’email : à la différence d’un site web, où un bandeau s’affiche avant tout dépôt de traceur, le pixel se déclenche dès l’ouverture, avant toute interaction possible. Ce cadre rejoint la logique de la mise en conformité à un autre règlement européen, où l’anticipation fait toute la différence.
Ce que les entreprises doivent mettre en place
La recommandation dessine un cadre opérationnel précis, que les responsables marketing et juridiques doivent traduire en mesures concrètes. Les principales obligations à intégrer dès maintenant touchent à la fois la collecte, la preuve et le retrait du consentement :
- recueillir le consentement de préférence au moment de la collecte de l’adresse, avec une information claire sur les finalités des pixels ;
- obtenir un consentement spécifique par finalité, la prospection personnalisée et la publicité display constituant des finalités distinctes ;
- insérer dans chaque email un lien de retrait accessible sans action supplémentaire, l’inactivité du destinataire valant refus ;
- conserver une preuve individualisée du consentement, y compris lorsqu’il est recueilli par un prestataire tiers ;
- s’abstenir de resolliciter pendant six mois une personne ayant refusé le suivi.
Ces exigences supposent un travail conjoint entre équipes techniques, marketing et conformité, bien au-delà d’un simple réglage d’outil. Elles prolongent les bonnes pratiques déjà installées pour recueillir un consentement conforme au RGPD sur le web, transposées cette fois à l’univers de l’emailing.
Consentement ou exemption : une frontière à tracer
Tout l’enjeu tient à cette ligne de partage, car deux régimes juridiques cohabitent dans un même message. Une entreprise peut adresser un email de prospection à ses clients existants sans consentement, au titre du soft opt-in prévu par le Code des postes et des communications électroniques, mais le pixel inséré dans ce même email relève, lui, de l’article 82 et exige un consentement distinct, sauf exemption.
La CNIL reconnaît deux grandes catégories d’exemption. Les courriels transactionnels, comme les confirmations de commande, les factures ou les réinitialisations de mot de passe, se rattachent à un service demandé par le destinataire. La mesure individuelle de la délivrabilité est également admise, à condition de s’en tenir au strict nécessaire : la recommandation impose de ne conserver que la date de la dernière ouverture, sans l’heure, écrasée à chaque nouvelle consultation.
La CNIL se positionne à l’avant-garde des autorités européennes de protection des données en posant sa vision de la ligne de partage entre consentement et exemption.
Charles Thomasse, DPO et Compliance Officer, Village de la Justice, avril 2026.
Un calendrier serré et des bases existantes à traiter
Le compte à rebours est déjà bien avancé. Publiée le 14 avril 2026, la recommandation laisse aux organisations un délai de trois mois, soit jusqu’au 14 juillet 2026 pour se mettre en conformité, avant que la CNIL n’engage ses contrôles sur le sujet. Autant dire que la fenêtre pour choisir et déployer une solution se referme.
Pour les fichiers déjà constitués, l’autorité a retenu une approche progressive plutôt qu’un recueil rétroactif du consentement. Pour les adresses collectées avant la publication, les entreprises doivent, dans ce même délai de trois mois, informer clairement les destinataires de l’usage de pixels et leur offrir un moyen simple de s’y opposer pour les envois futurs. Cette souplesse traduit la volonté de tenir compte des réalités opérationnelles sans renoncer à la protection des personnes.
Des sanctions qui peuvent atteindre des sommes considérables
Le risque n’a rien de théorique. Les manquements à l’article 82 exposent à des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial, selon le montant le plus élevé. La CNIL a déjà montré sa fermeté sur les traceurs en infligeant, fin 2021, 150 millions d’euros à Google et 60 millions à Facebook pour des manquements liés aux cookies.
La responsabilité pèse d’abord sur l’expéditeur, y compris pour les pixels déposés par des prestataires tiers dans ses messages. La recommandation s’appuie sur une jurisprudence désormais installée, de l’arrêt Fashion ID de la Cour de justice de l’Union européenne à la décision Éditions Croque Futur du Conseil d’État, qui consacrent la co-responsabilité du donneur d’ordre. Déléguer l’emailing à une agence ne dilue donc pas l’obligation de conformité.
Une mise en conformité qui déborde le seul cadre juridique
La difficulté n’est pas seulement réglementaire, elle est aussi pratique. Les professionnels du marketing digital soulignent l’absence, à ce jour, de plateforme de gestion du consentement conçue pour l’email, là où les bandeaux cookies sont devenus la norme sur le web. Cette carence nourrit une crainte de décalage concurrentiel avec des acteurs établis dans d’autres États membres, où l’exigence n’est pas encore formalisée.
Reste que l’échéance offre aussi l’occasion d’assainir des bases gonflées de contacts inactifs et de fonder la relation client sur un suivi mieux accepté. Les entreprises qui abordent ce chantier comme une simple contrainte passeront à côté d’un signal plus large, celui d’un consentement en train de s’imposer, canal après canal, comme le socle de toute stratégie de marketing automation durable.

