Par une délibération du 12 mars 2026 (n°2026-42), la CNIL (Commission Nationale de l’Informatique et des Libertés) a formulé ses recommandations dont l’objectif est de clarifier le cadre juridique applicable aux pixels de suivi insérés dans des emails.
Contexte : intégration de pixels dans des emails
Ces dernières années, le recours à des pixels de suivi invisibles, également désignés sous le terme de « pixels de tracking », intégrés aux emails, s’est considérablement développé.
Ces dispositifs techniques poursuivent plusieurs objectifs, notamment l’amélioration de la délivrabilité des courriels, l’analyse de leur audience ou encore l’adaptation des contenus aux centres d’intérêt / au comportement des destinataires.
Très récemment, la CNIL a adopté une recommandation dont l’objectif est d’aider les professionnels concernés dans leur démarche de mise en conformité (au regard notamment de l’article 82 de la loi « informatique et libertés »), ayant en effet reçu de nombreux signalements et plaintes sur le sujet.
Solution : appliquer le principe du consentement préalable aux pixels de suivi en fonction de leur finalité
1/ Les finalités nécessitant un recueil du consentement
La CNIL rappelle que selon l’article 82 de la loi précitée, le fait d’intégrer des pixels de suivi dans des emails implique de recueillir en amont le consentement libre, spécifique, éclairé et univoque du destinataire, sauf si la finalité est uniquement de permettre ou faciliter la communication par voie électronique ou si l’opération est strictement nécessaire à la fourniture du service de communication à la demande expresse de l’utilisateur.
Il faut donc déterminer ce qui relève ou non des exceptions.
Pour la CNIL, le recueil du consentement est nécessaire lorsque les pixels sont utilisés pour :
- Analyser le taux d’ouverture des emails afin de mesurer et d’optimiser les performances des campagnes d’emailing en personnalisant certaines composantes (ex : fréquence des envois, contenu des messages, etc.).
- Créer des profils de destinataires en fonction des préférences et centres d’intérêts recueillis pour cibler ces derniers via d’autres canaux (ex : sites, applications mobiles).
- Détecter et analyser des suspicions de fraude.
- Faire une mesure individuelle du taux d’ouverture des emails à des fins de délivrabilité (hors ce qui est indiqué au point suivant).
La Commission fournit, par ailleurs dans sa recommandation, des exemples de textes de demandes de consentement pour chaque finalité, idéalement formulés au moment de la collecte de l’adresse email en cause ou, à défaut, dans un email postérieur sans pixel avec un lien intégré.
2/ Les finalités ne nécessitant pas un recueil du consentement
La CNIL liste ensuite les finalités pour lesquelles il lui paraît qu’il n’est pas nécessaire de recueillir, en amont, le consentement des utilisateurs, à savoir pour :
- La mise en œuvre des mesures de sécurité participant à l’authentification des utilisateurs. Donc l’objectif ici est de sécuriser l’authentification et rien d’autre (ex : email reçu avec un code d’authentification dont il faut vérifier qu’il est ouvert sur le bon terminal).
- Faire une mesure individuelle du taux d’ouverture des emails à des fins de délivrabilité mais uniquement lorsque cela permet de revoir la fréquence d’envoi d’emails, voire d’arrêter ces envois lorsque les destinataires sont inactifs.
La Commission reprécise bien que ces exemptions ne concernent que les courriels demandés par leurs destinataires ou se rattachant à un service qu’il a sollicité.
Vous voulez en savoir plus ? Un avocat RGPD du Cabinet est à votre disposition.