Pixel de suivi : la CNIL publie sa recommandation définitive

Article RGPD Minute RGPD

Invisible à l’œil nu mais omniprésent dans les emails, le pixel de suivi (tracking pixel) fait désormais l’objet d’une recommandation définitive de la CNIL, adoptée le 12 mars 2026. Après une consultation publique menée du 12 juin au 24 juillet 2025, la CNIL a clarifié les règles applicables à ces traceurs spécifiques à l’environnement email. Voici ce que vous devez savoir.

Le pixel de suivi : qu’est-ce que c’est ?

Un pixel de suivi (ou tracking pixel) est un minuscule fichier image de 1 pixel par 1 pixel, inséré dans une page web ou un courriel. Invisible pour l’utilisateur, il est pourtant redoutablement efficace pour suivre ses comportements en ligne, comme l’ouverture d’un email ou la visite d’une page spécifique.

Techniquement, ce pixel est chargé depuis un serveur externe. Lorsque l’image se charge, elle envoie des informations à ce serveur : adresse IP, type de navigateur, heure d’ouverture… Et surtout, un identifiant unique permettant de relier ces données à un utilisateur.

Pixel de suivi : un cookie déguisé ?

Bien qu’il ne soit pas un cookie au sens strict, le pixel de suivi entre dans la catégorie plus large des traceurs. Comme les cookies, il peut être utilisé pour :

Mesurer l’audience d’un site ou d’un message
Suivre le parcours d’un utilisateur
Personnaliser les contenus
Mener des campagnes marketing ciblées

Ce type de traceur est de plus en plus utilisé dans les emails marketing, notamment pour vérifier si un message a été lu ou non, ou pour adapter les relances en fonction du comportement du destinataire.

Conformément à la position du Comité européen de la protection des données (CEPD) et aux dispositions de l’article 82 de la loi « informatique et libertés », la CNIL confirme que les pixels de suivi insérés dans les courriels constituent bien des opérations de lecture sur le terminal de l’utilisateur, soumises à ce titre aux mêmes obligations que les cookies.

Des objectifs marketing… mais avec quelques risques

Si les pixels de suivi peuvent être utiles aux expéditeurs pour optimiser leur communication, ils soulèvent des questions sérieuses en matière de vie privée :

Le destinataire n’est souvent pas informé de leur présence
Ils permettent un suivi discret mais intrusif
Ils sont intégrés dans un espace personnel, la messagerie, souvent perçue comme privée

Résultat : de plus en plus de plaintes sont déposées auprès de la CNIL, qui y voit un enjeu important pour les droits des personnes.

La CNIL publie sa recommandation

Après avoir lancé une consultation publique en juin 2025, la CNIL a adopté sa recommandation définitive le 12 mars 2026. Ce texte, élaboré en concertation avec les professionnels et la société civile, vient compléter la réglementation existante sur les cookies et autres traceurs, en tenant compte des spécificités techniques de l’environnement email.

Quand le consentement est-il obligatoire ?

La CNIL distingue deux catégories d’usages :

Les finalités qui nécessitent le consentement préalable du destinataire

L’analyse du taux d’ouverture pour mesurer et optimiser les performances des campagnes (personnalisation du contenu, adaptation de la fréquence ou du canal de communication).
La création de profils des destinataires pour les cibler dans d’autres contextes que les courriels (sites web, applications mobiles, etc.).
La détection et l’analyse de suspicions de fraude (ouvertures inhabituelles ou automatisées).
La mesure individuelle du taux d’ouverture à des fins de délivrabilité, en dehors des cas d’exemption prévus.

Les finalités exemptées de consentement :

La mesure individuelle du taux d’ouverture à des fins de gestion des listes de diffusion (adaptation de la fréquence, nettoyage des bases d’inactifs), à condition de respecter le principe de minimisation des données (seule la date de la dernière ouverture, sans l’heure, doit être conservée)
Les mesures de sécurité participant à l’authentification de l’utilisateur

Ces exemptions ne s’appliquent qu’aux emails demandés par le destinataire : emails transactionnels (confirmations de commande, alertes de compte, rappels de mot de passe, etc.) ou emails liés à un service auquel il a souscrit.

Comment recueillir le consentement ?

La CNIL recommande de recueillir le consentement au moment de la collecte de l’adresse email, en intégrant une information claire sur les finalités des pixels dans le formulaire d’inscription. Si cela n’est pas possible, un email sans pixel peut être envoyé avec un lien vers une interface de choix, à condition que le clic sur ce lien ne vaille pas consentement automatique (une action positive supplémentaire doit être requise).

Le destinataire doit pouvoir retirer son consentement aussi facilement qu’il l’a donné, via un lien dans le pied de page de chaque email.

Que faire pour les adresses déjà collectées ?

Les organisations qui utilisaient des pixels de suivi sans avoir recueilli un consentement conforme disposent d’un délai de 3 mois à compter de la publication de la recommandation pour informer leurs destinataires et leur permettre de s’opposer à ces traitements pour les emails futurs.