La CNIL a rendu publique mi-avril une recommandation visant à clarifier l’usage des pixels de suivi, avec ou sans consentement du destinataire.
Les pixels de suivi, aussi appelés pixels espions ou encore pixels de tracking, permettent de tracer l’ouverture d’un mail à l’insu du destinataire. Ils attestent de la délivrabilité du mail et sont utilisés dans les opérations d’e-mailing. Ils peuvent permettre de connaitre la date et l’heure d’ouverture, le device utilisé et même la localisation du destinataire.
Donnant accès à des données personnelles, ils sont par principe soumis au consentement du destinataire et plus globalement aux règles posées par le RGPD. C’est ce que rappelle la CNIL dans sa recommandation rendue publique le 14 avril 2026 et intitulée « Recommandation relative aux pixels de suivi dans les courriers électroniques.» Cette recommandation cible les expéditeurs, les prestataires de services d’envoi des emailings, les prestataires de service de location des listes de diffusion, les fournisseurs de technologies de suivi et les fournisseurs de services de messagerie.
La dite-recommandation pose le principe d’un consentement obligatoire dès-lors que ces pixels de suivi sont utilisés à des fins publicitaires, commerciales ou marketing, comme mesurer les performances d’une campagne de spamming ou encore en améliorer l’efficacité, ou créer des profils de destinataires ainsi que détecter et analyser les suspicions de fraude. La CNIL précise que, conformément au RGPD, le consentement donné doit alors être libre, spécifique, éclairé et univoque et qu’il peut être retiré à tout moment. Elle stipule également que les finalités des traceurs doivent être présentées aux destinataires de manière intelligible, dans un langage adapté et clair.
Mais la recommandation identifie également des hypothèses dans lesquelles des pixels de suivi peuvent être utilisés sans consentement préalable. En voici les principales :
- Le courriel est rattaché à un service demandé par le destinataire ou le courriel est « transactionnel» c’est-à-dire répond à une demande d’information venant de l’utilisateur
- Le pixel concourant à l’authentification du destinataire
- Le pixel visant à faciliter la gestion des listes de diffusion, notamment identifier les destinataires inactifs ou encore d’adapter au destinataire des canaux de communication alternatifs pour le destinataire qui n’ouvre pas ses mails
- Le pixel qui sert à prouver la transmission d’une information lorsque cette preuve est nécessaire.
A noter que dans ces hypothèses seules les informations qui répondent à l’objectif peuvent être collectées.
Cette recommandation sera applicable le 14 juillet 2026.
