Pixels de suivi dans les e-mails : fin de la tolérance de la CNIL le 14 juillet

tolérance CNIL pixel de suivi @clesdudigitalLe délai de tolérance fixé par la CNIL pour mettre en conformité le pixel de suivi, l’un des traceurs les plus discrets du marketing digital, est expiré.

Carrefour l’a fait avant quasiment tout le monde, ou presque. Début juillet, l’enseigne a adressé à sa base clients un e-mail expliquant, noir sur blanc, pourquoi elle glisse des pixels invisibles dans ses newsletters promotionnelles. Un geste de transparence suivi par les e-commerçants qui n’a rien d’un hasard de calendrier. Pour les sites, le compte à rebours s’est achevé le 14 juillet

Le principe tient en une ligne de code. Une image minuscule, souvent réduite à la taille d’un seul pixel et totalement transparente, est insérée dans le corps d’un e-mail. Elle n’est pas stockée dans le message, mais hébergée sur un serveur distant, avec une adresse individualisée propre à chaque destinataire. Dès l’ouverture du courriel, la messagerie va chercher cette image sans rien demander à l’utilisateur, ce qui suffit à prévenir l’expéditeur que le message a été lu, à quelle heure, depuis quel type d’appareil et parfois depuis quelle zone géographique approximative, déduite de l’adresse IP.
La technique n’a rien de neuf : les équipes marketing l’exploitent depuis plus de 20 ans pour mesurer qui ouvre leurs campagnes. Mais son usage s’est généralisé avec la montée en puissance des plateformes d’envoi automatisé, capables d’expédier des dizaines de milliers de messages et d’enclencher des scénarios de relance sans intervention humaine. Plus les campagnes se multiplient, plus la tentation de tout mesurer grandit, et les plaintes reçues par la CNIL ont suivi la même trajectoire ces dernières années.

Un consentement préalable du destinataire

Adoptée au printemps, après une concertation avec les professionnels et une consultation publique menée en 2025, la recommandation de la CNIL fait basculer les pixels de suivi dans les e-mails sous le même régime que les cookies web, celui de l’article 82 de la loi Informatique et Libertés, qui transpose la directive européenne ePrivacy. La Commission s’appuie notamment sur les lignes directrices publiées en 2024 par le Comité européen de la protection des données, qui confirment que ce texte s’applique bien à ce type de traceur.

Pratiquement, tout usage à visée commerciale requiert désormais un consentement préalable, libre, spécifique et éclairé du destinataire. Cela concerne l’analyse du taux d’ouverture pour ajuster le contenu, la fréquence ou le canal d’une campagne, la constitution de profils pour re-cibler un internaute sur d’autres supports, ou encore la détection de comportements automatisés suspects. Seules deux exceptions échappent à cette exigence : les mesures de sécurité liées à l’authentification, par exemple pour vérifier qu’un code de connexion est ouvert depuis un terminal connu, et la mesure d’ouverture strictement limitée au nettoyage des bases de contacts inactifs, à des fins de délivrabilité. Cette dernière tolérance reste étroitement encadrée par le principe de minimisation : seule la date de dernière ouverture, sans l’heure, peut être conservée, et elle doit être écrasée à chaque nouvelle consultation du message. Ces deux exemptions ne jouent en outre que pour les courriels répondant à une demande expresse du destinataire, à commencer par les e-mails dits transactionnels, comme une confirmation de commande, une facture ou une alerte de sécurité, à condition que le pixel qu’ils embarquent serve uniquement à vérifier la bonne réception du message.

Des responsabilités partagées

La recommandation détaille aussi la répartition des responsabilités entre acteurs. Un point important pour les équipes retail qui multiplient les prestataires d’emailing et les solutions de tracking tierces. L’expéditeur, c’est-à-dire la marque qui décide de la campagne, reste responsable du traitement même lorsqu’il sous-traite la pose technique du pixel. Il devient en principe coresponsable des opérations réalisées par les tiers qu’il accepte contractuellement. Un principe que la CNIL rapproche d’une jurisprudence déjà connue des équipes juridiques du e-commerce, dont les décisions du Conseil d’Etat et de la Cour de justice européenne qui avaient posé la notion d’intérêt mutuel entre partenaires commerciaux.

Le prestataire d’envoi de courriels agit en général comme sous-traitant, sauf s’il réutilise les données issues des pixels pour ses propres besoins, par exemple pour améliorer la délivrabilité globale de ses infrastructures, auquel cas il peut basculer vers une coresponsabilité. Même logique pour un fournisseur de technologie de suivi tiers, distinct du routeur d’e-mails. Le fournisseur de messagerie, lui, échappe à toute qualification particulière tant qu’il n’exploite pas ces données à son compte, même s’il peut techniquement bloquer le chargement automatique des images.

L’annonce des premiers contrôles

Pour les adresses déjà collectées avant la publication de la recommandation, la CNIL n’a pas exigé de recueil de consentement rétroactif massif. Elle a laissé un délai de trois mois pour informer clairement les destinataires et leur permettre de s’opposer simplement à ces opérations pour l’avenir. Ce délai arrive à échéance ce 14 juillet, date à laquelle l’autorité a prévenu qu’elle engagerait ses premiers contrôles. D’où la vague d’e-mails de transparence envoyés ces derniers jours par de nombreuses enseignes, sur le modèle de celui de Carrefour, qui propose deux liens distincts, l’un pour s’opposer au pixel, l’autre pour accéder à une version en ligne du message.

Sur le terrain, la CNIL recommande de privilégier le recueil du consentement dès la collecte de l’adresse e-mail, en intégrant une information synthétique sur les traceurs directement dans le formulaire, avec un lien vers le détail des finalités. Lorsque ce recueil concomitant n’est pas possible, notamment quand l’adresse a été collectée par un tiers ou à l’oral, un e-mail dédié, dépourvu de tout pixel soumis à consentement, peut solliciter le choix du destinataire, à condition de renvoyer vers une page nécessitant une action positive plutôt qu’un simple préchargement automatique. Le retrait du consentement, lui, doit rester aussi simple que son octroi : un lien unique par destinataire, placé en pied de page de chaque courriel, est la modalité privilégiée par la Commission. Et la preuve de ce consentement doit pouvoir être produite à tout moment, une simple clause contractuelle avec un prestataire ne suffisant pas à l’établir en cas de contrôle.

Un indicateur marketing déjà fragilisé par les messageries

L’ironie du calendrier, c’est que cette mise en conformité intervient au moment où le fameux taux d’ouverture, longtemps considéré comme la boussole des campagnes e-mail, perd déjà une bonne partie de sa fiabilité. Lorsqu’un utilisateur active la protection de la confidentialité du courrier sur Apple Mail, l’application précharge automatiquement toutes les images d’un message, pixel espion compris, dès sa réception, via un serveur relais qui masque au passage l’adresse IP réelle du destinataire. Un message peut ainsi apparaître comme ouvert alors que personne ne l’a réellement consulté. Gmail et Yahoo appliquent des mécanismes de préchargement comparables depuis leurs propres serveurs.

Pour les équipes retail et e-commerce, l’enjeu dépasse donc la seule conformité juridique. Il s’agit de repenser une partie de la mesure de performance des campagnes, en la couplant à d’autres signaux, comme les clics ou les conversions, moins sensibles à ces effets de bord techniques. La bascule imposée par la CNIL agit ainsi comme un révélateur : la donnée d’ouverture individuelle, longtemps collectée par défaut sans grande discussion, devient un actif qu’il faut désormais justifier, tracer et documenter, finalité par finalité, prestataire par prestataire. Reste une question que la recommandation ne tranche pas complètement : celle de la lisibilité, pour le grand public, d’une nouvelle vague de sollicitations de consentement qui vient s’ajouter à celles déjà connues sur le web. Entre bandeaux cookies, CMP et désormais e-mails dédiés aux pixels, le risque d’une fatigue du consentement, déjà documenté sur les sites internet, pourrait bien se rejouer dans les boîtes de réception.

Je souhaite lire les prochains articles des Clés du Digital, JE M’INSCRIS A LA NEWSLETTER

Je suis une Agence de RP  👉 Je commande le PDF de l'article

 

Je suis abonné(e) Premium à l’année, Les Clés du Digital m’offrent des PDF sans frais. Pour les commander c’est ici.

Les informations recueillies font l’objet d’un traitement informatique destiné à la gestion des abonnements. Ce fichier a été déclaré à la CNIL sous le N°2093633v0. Conformément à la loi « informatique et libertés » du 6 janvier 1978, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent. Si vous souhaitez exercer ce droit et obtenir communication des informations vous concernant, veuillez vous adresser à Les Clés Du Digital SAS – 38 rue des Epinettes 75017 Paris – Tél : +33 9 83 94 57 24 – E-mail : abonnements@lesclesdudigital.fr

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*