Qu’est-ce qu’un pixel de suivi ?
Un pixel de suivi est une image de taille minimale, généralement un carré d’un pixel, souvent transparent, insérée dans le corps d’un email. Contrairement aux images classiques, elle n’est pas intégrée au message : elle est hébergée sur un serveur distant. Son URL contient des paramètres individualisés, propres à chaque destinataire.
Le mécanisme est simple : à l’ouverture de l’email, le client de messagerie (Outlook, Gmail, Apple Mail…) effectue automatiquement une requête vers ce serveur pour charger l’image. Cette requête transmet, sans aucune action volontaire du destinataire, un ensemble d’informations : le fait que l’email a été ouvert, la date et l’heure d’ouverture, l’adresse IP, les caractéristiques du terminal utilisé. Le destinataire ne voit rien puisque le pixel est invisible, mais l’expéditeur sait que le message a été ouvert, quand, et dans quel contexte.
Cette technique est massivement utilisée dans l’emailing commercial, mais aussi dans les emails transactionnels (confirmations de commande, notifications de compte, réinitialisations de mot de passe). Elle permet aux expéditeurs de mesurer les taux d’ouverture, d’adapter leurs campagnes, de segmenter leurs bases de destinataires, voire de construire des profils comportementaux exploitables sur d’autres canaux.
Le cadre juridique : l’article 5 de la directive e-privacy s’applique.
L’article 82 de la loi Informatique et Libertés, qui transpose l’article 5, paragraphe 3, de la directive 2002/58/CE dite « ePrivacy », soumet au consentement préalable de l’utilisateur toute opération de lecture ou d’écriture sur son terminal sauf si cette opération a pour finalité exclusive de permettre une communication électronique, ou est strictement nécessaire à un service expressément demandé par l’utilisateur.
Le chargement d’un pixel de suivi constitue une telle opération : il déclenche une écriture dans la mémoire du terminal et une lecture d’informations transmises via la requête. Le Comité européen de la protection des données (CEPD) l’a expressément confirmé dans ses lignes directrices 2/2023, version 2.0, adoptée le 7 octobre 2024, consacrées au champ d’application technique de cette disposition. Le principe juridique n’est donc pas nouveau. Mais depuis les premières recommandations de la CNIL sur les cookies en 2013, puis ses lignes directrices et sa recommandation de 2020, l’attention s’était concentrée sur les traceurs déployés dans l’environnement web. Les autres contextes techniques tels que les pixels dans les emails, SDK d’applications mobiles, fingerprinting, relevaient du même cadre légal mais n’avaient fait l’objet d’aucune position claire des autorités réglementaires. L’email posait en outre une difficulté spécifique : sur un site web, un bandeau peut être affiché avant le dépôt du traceur ; dans un email, le pixel se déclenche à l’ouverture, avant toute possibilité d’interaction avec le destinataire. C’est ce casse-tête pratique, autant que le principe, que la recommandation vient traiter.
Positions de la CNIL et des autres acteurs.
La CNIL est la première autorité de protection des données en Europe à produire un cadre aussi détaillé sur les pixels de suivi dans les emails. Aucune autre autorité nationale n’a adopté de recommandation équivalente à ce jour, bien que le fondement juridique soit commun à l’ensemble des États membres.
Cette position de précurseur fait écho à celle que la CNIL avait déjà adoptée sur les cookies en 2020, et suscite des réactions contrastées dans le secteur. Les professionnels de l’emailing et du marketing digital pointent l’absence d’outils de conformité adaptés car il n’existe pas à ce jour de plateforme de gestion du consentement (CMP) conçue pour l’environnement email et cela engendre selon eux un risque d’un décalage concurrentiel avec les entreprises opérant depuis d’autres États membres où ces exigences ne sont pas formalisées.
La recommandation a toutefois été élaborée après une concertation avec les représentants des professions concernées et de la société civile, et a fait l’objet d’une consultation publique du 12 juin au 24 juillet 2025. Elle n’est ni réglementaire ni exhaustive : elle vise à accompagner les professionnels dans leur mise en conformité.
Démarchage commercial et tracking : deux régimes distincts.
C’est sans doute le point le plus structurant. La recommandation confirme que le régime juridique des pixels est autonome par rapport à celui de l’emailing.
Concrètement : une entreprise peut envoyer un email de prospection à ses clients existants sans consentement, au titre du soft opt-in prévu par l’article L.34-5 du Code des postes et des communications électroniques (CPCE). Mais les pixels insérés dans ce même email relèvent, eux, de l’article 82, et nécessitent un consentement distinct, sauf à entrer dans le champ des exemptions.
La CNIL trace ici une ligne claire :
Nécessitent le consentement : la mesure d’ouverture à des fins d’optimisation des campagnes (personnalisation du contenu, adaptation de la fréquence ou du canal), la création de profils pour du ciblage cross-canal, et la détection de fraude.
Sont exemptées : la mesure d’ouverture limitée au strict nécessaire pour la délivrabilité (nettoyage des bases d’inactifs), les mesures de sécurité participant à l’authentification, et la conservation d’une trace d’ouverture contribuant à démontrer le respect d’une obligation légale de transmission d’information.
Pour bénéficier de l’exemption délivrabilité, le principe de minimisation au sens de l’article 5.1.b) du RGPD impose de ne conserver que la date du jour de la dernière ouverture (sans l’heure) écrasée à chaque nouvelle consultation.
Sur la responsabilité, la CNIL retient que l’expéditeur est responsable de traitement, y compris pour les pixels déposés par des tiers dans ses emails, par analogie avec la décision du Conseil d’État « Éditions Croque Futur » du 6 juin 2018 (n° 412589) et dans la logique de l’arrêt Fashion ID de la CJUE du 29 juillet 2019 (aff. C-40/17) sur la co-responsabilité fondée sur un intérêt mutuel au sens de l’article 26 du RGPD.
Ce que les professionnels doivent mettre en place.
La recommandation dessine un cadre opérationnel précis. Le consentement doit être recueilli de préférence au moment de la collecte de l’adresse email, en intégrant au formulaire une information synthétique sur les finalités des pixels avec un lien vers une information détaillée. À défaut, un email sans pixel peut être envoyé avec un lien vers une interface de recueil des choix (le lien traçant utilisé à cette fin étant exempté de consentement en tant que mesure de sécurité).
Le consentement doit être spécifique par finalité, conformément au considérant 43 du RGPD. Un consentement unique est admis lorsque les finalités sont connexes. Par exemple, un consentement couvrant à la fois la prospection personnalisée et les pixels contribuant à cette personnalisation. En revanche, la publicité display et la prospection commerciale sont des finalités distinctes qui exigent des consentements séparés.
L’inactivité du destinataire vaut refus. Un lien de retrait du consentement doit figurer dans le pied de page de chaque email, permettant le retrait sans action supplémentaire. La CNIL recommande de ne pas resolliciter un destinataire ayant refusé pendant une durée de six mois.
La preuve du consentement doit être conservée de manière individualisée. Lorsque le consentement est recueilli par un tiers, une clause contractuelle ne suffit pas : le responsable de traitement doit disposer des éléments de preuve effectifs et prévoir des mécanismes d’audit.
Pour les bases existantes, les entreprises disposent d’un délai de trois mois à compter de la publication de la recommandation pour informer les destinataires et leur offrir un mécanisme d’opposition aux opérations de suivi pour les emails futurs.
Soyez le premier à commenter