
Si vous envoyez des emails marketing, des newsletters ou de simples campagnes relationnelles, vous utilisez presque certainement des pixels de suivi et souvent sans le savoir.
Ce sont eux qui alimentent vos taux d'ouverture, vos scénarios d'automation, votre nettoyage de base et une bonne partie de votre reporting.
Le 12 mars 2026, la CNIL a adopté une recommandation relative aux pixels de suivi dans les courriers électroniques, publiée en avril, dont l'échéance de mise en conformité était fixée au 14 juillet 2026. Cette date est désormais derrière nous : la conformité n'est plus un chantier « à prévoir », c'est un sujet sur lequel votre organisation est attendue maintenant.
Chez DataTreat, nous accompagnons depuis plusieurs semaines des annonceurs, des e-commerçants et des acteurs du recrutement sur ce sujet. Cet article fait le point, sans jargon inutile sur ce que dit vraiment la recommandation, ce qui change pour vos différentes campagnes, et comment vous mettre en conformité sans casser votre performance marketing.
Un pixel de suivi (ou pixel de tracking) est une image invisible, minuscule, insérée dans un email. Elle n'est pas contenue dans le message : elle est hébergée sur un serveur distant. Quand votre destinataire ouvre l'email, sa messagerie va chercher cette image et c'est cet appel réseau qui permet à l'expéditeur de savoir que le courriel a été ouvert, quand, et depuis quel appareil.
Techniquement, cet affichage revient à lire une information sur le terminal de la personne. Et c'est exactement ce point qui fait entrer les pixels dans le champ de l'article 82 de la loi « Informatique et Libertés », le même article qui encadre les cookies.
La formule à retenir est simple : un pixel de suivi obéit à la même logique qu'un cookie. Dès qu'un traceur est concerné par l'article 82, la question devient systématiquement la même : ai-je besoin du consentement de la personne, ou suis-je exempté ?
La règle est facile à énoncer : l'insertion d'un pixel de suivi nécessite le consentement préalable du destinataire, sauf si le pixel poursuit exclusivement une finalité exemptée.
Tout se joue donc sur la finalité, le « pourquoi » du pixel. Ce n'est pas la technologie qui déclenche l'obligation, c'est l'usage que vous faites de la donnée.
Le consentement préalable s'impose pour l'essentiel des usages marketing :
À l'inverse, deux catégories d'usages peuvent échapper au consentement, à condition que le pixel serve exclusivement à cela :
Une limite importante : les emails transactionnels (bienvenue, confirmation de commande, facture, réinitialisation de mot de passe, notification de livraison) en sont exemptés. Cependant, un email promotionnel n'entre jamais dans le champ de l'exemption.
C'est le point que la plupart des équipes marketing découvrent et celui qui coûte le plus cher quand on se trompe.
Le régime des pixels est autonome de celui applicable à l'email lui-même. Un message peut parfaitement être adressé sans consentement, à des clients existants, dans un cadre transactionnel, ou en prospection B2B, sans que cela permette pour autant d'y intégrer des dispositifs de suivi.
Autrement dit : avoir le droit d'envoyer un email ne donne pas le droit d'en mesurer l'ouverture n'importe comment. Ce sont deux questions distinctes. La bonne question n'est jamais « ai-je le droit d'envoyer ce message ? », mais « ai-je le droit de mesurer son ouverture de cette manière, pour cette finalité ? ».
Beaucoup d'expéditeurs pensent se protéger en déléguant le tracking à leur routeur ou à un prestataire spécialisé. C'est une erreur de raisonnement.
L'expéditeur reste responsable du traitement des données issues des pixels utilisés dans ses courriels, y compris lorsque ces pixels sont fournis et opérés par des tiers, dès lors qu'il en accepte contractuellement l'intégration. En pratique, il partage la responsabilité des opérations de lecture ou d'écriture réalisées par ces tiers, on parle alors souvent de responsabilité conjointe.
La conséquence est concrète : une clause dans un contrat ne vous exonère pas. Si votre prestataire est défaillant, c'est votre responsabilité qui est engagé.
Quand le consentement est requis, il doit être libre, spécifique, éclairé et univoque et ce sont les mêmes standards que pour les cookies.
Au bon moment. Le consentement doit idéalement être recueilli au moment de la collecte de l'adresse, sur le formulaire d'inscription lui-même. À défaut, il peut être sollicité plus tard, via un email sans pixel de suivi renvoyant vers une page où la personne effectue une action positive. Et un point qui ne souffre aucune ambiguïté : le silence ou l'inactivité sont regardés comme un refus. On ne peut jamais déduire un accord de l'absence de réaction.
Avec la bonne granularité. Le consentement doit pouvoir être donné séparément pour des finalités distinctes et non connexes. Un consentement global unique n'est valable que pour des finalités réellement liées entre elles.
En facilitant le refus et le retrait. Refuser doit être aussi simple qu'accepter, et le retrait possible à tout moment, idéalement via un lien traçant en pied de page de chaque email, sans que la personne ait à ressaisir son adresse. Une absence de nouvelle sollicitation pendant 6 mois après un refus constitue une bonne pratique.
Et surtout, en gardant la preuve. Recueillir le consentement ne suffit pas : vous devez pouvoir le démontrer, personne par personne (date, finalités concernées, mécanisme utilisé).
Pour les adresses déjà collectées, un délai de 3 mois à compter de la publication de la recommandation était prévu pour informer les destinataires de l'existence des pixels et leur permettre de s'opposer pour l'avenir, lorsque le consentement n'avait pas été valablement recueilli.
Ce délai a expiré. Le message est donc clair : la période de tolérance est passée, la mise en conformité est attendue.
La théorie, c'est bien. Voici comment cela se traduit selon vos types d'envois, le cadre que nous utilisons dans nos audits.
Emails transactionnels (confirmation, facture, réinitialisation, notification liée à un service). Le pixel peut être exempté s'il sert uniquement à la délivrabilité ou à la sécurité, avec minimisation stricte. Dès qu'on y ajoute de la mesure de performance ou de la personnalisation marketing, on bascule dans le consentement.
Newsletters et campagnes promotionnelles B2C. Le double verrou s'applique : consentement à l'envoi (opt-in) et consentement au pixel. C'est le cas le plus exposé.
Prospection B2B. L'envoi peut être licite sans consentement, mais le pixel de mesure de performance reste soumis au consentement. Deux options : recueillir ce consentement, ou limiter le pixel à la seule délivrabilité.
Emails à des clients existants (opt-out). C'est le cas d'école de la recommandation : vous avez le droit d'écrire à vos clients pour des produits similaires, mais pas d'y glisser un pixel de mesure marketing sans consentement distinct.
Communications internes (salariés). Sujet sensible : le lien de subordination fragilise la validité d'un consentement salarié. Notre recommandation par défaut : désactiver les pixels de suivi individuels dans les mailings internes, ou se limiter à une mesure strictement agrégée et anonymisée, hors champ de l'article 82.

Soyons honnêtes : sur le papier, ces règles paraissent limpides. En pratique, elles soulèvent des questions concrètes, pas toujours simples à trancher.
Comment recueillir un consentement distinct aux pixels pour des emails envoyés à ses propres clients en opt-out ? Quels outils pour gérer cette granularité de consentement à l'échelle de plusieurs centaines de milliers de contacts ? Comment administrer, et surtout prouver, un consentement individuel à grande échelle sans transformer son CRM en usine à gaz ?
Ce sont exactement ces chantiers-là qu'il vaut mieux anticiper et cela sans attendre le premier contrôle. La bonne nouvelle : bien menée, cette mise en conformité n'est pas qu'une contrainte. C'est aussi l'occasion d'assainir vos bases, de fiabiliser votre reporting et de reconstruire une relation de confiance avec vos destinataires.
Chez DataTreat, nous réalisons un audit express de vos pixels de suivi : cartographie de vos flux, qualification des finalités, plan d'action priorisé et mise en conformité de votre outil d'emailing. En quelques jours, vous savez exactement où vous en êtes et ce qu'il reste à faire.
Parlons-en : https://calendly.com/lola-noel-datatreat/diagnostic-offert
Lisez nos derniers articles et restez informés sur l'IA.

