Conformité RGPD
DPO externalisé

Pixels de suivi : ce que la recommandation de la CNIL change pour vos campagnes marketing

Lola Noël
DPO externalisée certifiée CIPP-E
July 17, 2026
9 min

Si vous envoyez des emails marketing, des newsletters ou de simples campagnes relationnelles, vous utilisez presque certainement des pixels de suivi et souvent sans le savoir.

Ce sont eux qui alimentent vos taux d'ouverture, vos scénarios d'automation, votre nettoyage de base et une bonne partie de votre reporting.

Le 12 mars 2026, la CNIL a adopté une recommandation relative aux pixels de suivi dans les courriers électroniques, publiée en avril, dont l'échéance de mise en conformité était fixée au 14 juillet 2026. Cette date est désormais derrière nous : la conformité n'est plus un chantier « à prévoir », c'est un sujet sur lequel votre organisation est attendue maintenant.

Chez DataTreat, nous accompagnons depuis plusieurs semaines des annonceurs, des e-commerçants et des acteurs du recrutement sur ce sujet. Cet article fait le point, sans jargon inutile sur ce que dit vraiment la recommandation, ce qui change pour vos différentes campagnes, et comment vous mettre en conformité sans casser votre performance marketing.

Un pixel, c'est quoi, au juste ?

Un pixel de suivi (ou pixel de tracking) est une image invisible, minuscule, insérée dans un email. Elle n'est pas contenue dans le message : elle est hébergée sur un serveur distant. Quand votre destinataire ouvre l'email, sa messagerie va chercher cette image et c'est cet appel réseau qui permet à l'expéditeur de savoir que le courriel a été ouvert, quand, et depuis quel appareil.

Techniquement, cet affichage revient à lire une information sur le terminal de la personne. Et c'est exactement ce point qui fait entrer les pixels dans le champ de l'article 82 de la loi « Informatique et Libertés », le même article qui encadre les cookies.

La formule à retenir est simple : un pixel de suivi obéit à la même logique qu'un cookie. Dès qu'un traceur est concerné par l'article 82, la question devient systématiquement la même : ai-je besoin du consentement de la personne, ou suis-je exempté ?

Le principe : consentement par défaut, exemptions par exception

La règle est facile à énoncer : l'insertion d'un pixel de suivi nécessite le consentement préalable du destinataire, sauf si le pixel poursuit exclusivement une finalité exemptée.

Tout se joue donc sur la finalité, le « pourquoi » du pixel. Ce n'est pas la technologie qui déclenche l'obligation, c'est l'usage que vous faites de la donnée.

Ce qui exige un consentement

Le consentement préalable s'impose pour l'essentiel des usages marketing :

  • L'analyse du taux d'ouverture à des fins d'optimisation des campagnes : personnaliser le contenu, ajuster la fréquence ou le canal (email, SMS, push). C'est le cas le plus courant et il est soumis au consentement.
  • La construction de profils pour cibler la personne dans d'autres contextes (sites web, applications, autres canaux). Ce qu'on appelle le ciblage cross-canal.
  • La détection de fraudes (ouvertures inhabituelles ou massives, comportements de bots).
  • Les mesures de délivrabilité dès lors qu'elles dépassent une gestion strictement technique.

Ce qui peut être exempté

À l'inverse, deux catégories d'usages peuvent échapper au consentement, à condition que le pixel serve exclusivement à cela :

  • La sécurisation de l'authentification de l'utilisateur.
  • La mesure individuelle du taux d'ouverture à des fins de délivrabilité stricte : identifier les inactifs, nettoyer les listes, ajuster la fréquence ou le canal, démontrer le respect d'une obligation légale;

Une limite importante : les emails transactionnels (bienvenue, confirmation de commande, facture, réinitialisation de mot de passe, notification de livraison) en sont exemptés. Cependant, un email promotionnel n'entre jamais dans le champ de l'exemption.

Le piège n°1 : le pixel a sa propre vie juridique

C'est le point que la plupart des équipes marketing découvrent  et celui qui coûte le plus cher quand on se trompe.

Le régime des pixels est autonome de celui applicable à l'email lui-même. Un message peut parfaitement être adressé sans consentement, à des clients existants, dans un cadre transactionnel, ou en prospection B2B, sans que cela permette pour autant d'y intégrer des dispositifs de suivi.

Autrement dit : avoir le droit d'envoyer un email ne donne pas le droit d'en mesurer l'ouverture n'importe comment. Ce sont deux questions distinctes. La bonne question n'est jamais « ai-je le droit d'envoyer ce message ? », mais « ai-je le droit de mesurer son ouverture de cette manière, pour cette finalité ? ».

Le piège n°2 : vous restez responsable, même quand un tiers opère les pixels

Beaucoup d'expéditeurs pensent se protéger en déléguant le tracking à leur routeur ou à un prestataire spécialisé. C'est une erreur de raisonnement.

L'expéditeur reste responsable du traitement des données issues des pixels utilisés dans ses courriels, y compris lorsque ces pixels sont fournis et opérés par des tiers, dès lors qu'il en accepte contractuellement l'intégration. En pratique, il partage la responsabilité des opérations de lecture ou d'écriture réalisées par ces tiers, on parle alors souvent de responsabilité conjointe.

La conséquence est concrète : une clause dans un contrat ne vous exonère pas. Si votre prestataire est défaillant, c'est votre responsabilité qui est engagé.

Recueillir le consentement (et pouvoir le prouver)

Quand le consentement est requis, il doit être libre, spécifique, éclairé et univoque et ce sont les mêmes standards que pour les cookies.

Au bon moment. Le consentement doit idéalement être recueilli au moment de la collecte de l'adresse, sur le formulaire d'inscription lui-même. À défaut, il peut être sollicité plus tard, via un email sans pixel de suivi renvoyant vers une page où la personne effectue une action positive. Et un point qui ne souffre aucune ambiguïté : le silence ou l'inactivité sont regardés comme un refus. On ne peut jamais déduire un accord de l'absence de réaction.

Avec la bonne granularité. Le consentement doit pouvoir être donné séparément pour des finalités distinctes et non connexes. Un consentement global unique n'est valable que pour des finalités réellement liées entre elles.

En facilitant le refus et le retrait. Refuser doit être aussi simple qu'accepter, et le retrait possible à tout moment, idéalement via un lien traçant en pied de page de chaque email, sans que la personne ait à ressaisir son adresse. Une absence de nouvelle sollicitation pendant 6 mois après un refus constitue une bonne pratique.

Et surtout, en gardant la preuve. Recueillir le consentement ne suffit pas : vous devez pouvoir le démontrer, personne par personne (date, finalités concernées, mécanisme utilisé).

Un délai, mais pas un blanc-seing

Pour les adresses déjà collectées, un délai de 3 mois à compter de la publication de la recommandation était prévu pour informer les destinataires de l'existence des pixels et leur permettre de s'opposer pour l'avenir, lorsque le consentement n'avait pas été valablement recueilli.

Ce délai a expiré. Le message est donc clair : la période de tolérance est passée, la mise en conformité est attendue.

Ce que ça change concrètement, cas par cas

La théorie, c'est bien. Voici comment cela se traduit selon vos types d'envois, le cadre que nous utilisons dans nos audits.

Emails transactionnels (confirmation, facture, réinitialisation, notification liée à un service). Le pixel peut être exempté s'il sert uniquement à la délivrabilité ou à la sécurité, avec minimisation stricte. Dès qu'on y ajoute de la mesure de performance ou de la personnalisation marketing, on bascule dans le consentement.

Newsletters et campagnes promotionnelles B2C. Le double verrou s'applique : consentement à l'envoi (opt-in) et consentement au pixel. C'est le cas le plus exposé.

Prospection B2B. L'envoi peut être licite sans consentement, mais le pixel de mesure de performance reste soumis au consentement. Deux options : recueillir ce consentement, ou limiter le pixel à la seule délivrabilité.

Emails à des clients existants (opt-out). C'est le cas d'école de la recommandation : vous avez le droit d'écrire à vos clients pour des produits similaires, mais pas d'y glisser un pixel de mesure marketing sans consentement distinct.

Communications internes (salariés). Sujet sensible : le lien de subordination fragilise la validité d'un consentement salarié. Notre recommandation par défaut : désactiver les pixels de suivi individuels dans les mailings internes, ou se limiter à une mesure strictement agrégée et anonymisée, hors champ de l'article 82.

Les vraies questions que ça pose (et pourquoi il ne faut pas les repousser)

Soyons honnêtes : sur le papier, ces règles paraissent limpides. En pratique, elles soulèvent des questions concrètes, pas toujours simples à trancher.

Comment recueillir un consentement distinct aux pixels pour des emails envoyés à ses propres clients en opt-out ? Quels outils pour gérer cette granularité de consentement à l'échelle de plusieurs centaines de milliers de contacts ? Comment administrer, et surtout prouver, un consentement individuel à grande échelle sans transformer son CRM en usine à gaz ?

Ce sont exactement ces chantiers-là qu'il vaut mieux anticiper et cela sans attendre le premier contrôle. La bonne nouvelle : bien menée, cette mise en conformité n'est pas qu'une contrainte. C'est aussi l'occasion d'assainir vos bases, de fiabiliser votre reporting et de reconstruire une relation de confiance avec vos destinataires.

Vous ne savez pas par où commencer ?

Chez DataTreat, nous réalisons un audit express de vos pixels de suivi : cartographie de vos flux, qualification des finalités, plan d'action priorisé et mise en conformité de votre outil d'emailing. En quelques jours, vous savez exactement où vous en êtes et ce qu'il reste à faire.

Parlons-en  : https://calendly.com/lola-noel-datatreat/diagnostic-offert

Vos systèmes IA sont-ils à haut risque ?

Pré-analyse gratuite par nos experts certifiés AIGP — réponse sous 48h.
Demander ma pré-analyse
Tags :
Transparence IA

Continuez votre lecture

Lisez nos derniers articles et restez informés sur l'IA.

Article
Pixels de suivi : ce que la recommandation de la CNIL change pour vos campagnes marketing
Ces dernières semaines, la question qui revient dans presque tous mes échanges clients : « Nos pixels de suivi sont-ils encore conformes ? »
Cas pratique
DPO externalisé ou recrutement interne : quelle solution choisir pour votre entreprise ?
Entre coût, expertise et disponibilité réglementaire, voici les avantages et limites d’un DPO externalisé face à un recrutement interne.
Checklist
Checklist RGPD 2026 : les 12 documents obligatoires à avoir en cas de contrôle CNIL
Registre, mentions légales, contrats, DPIA… découvrez les documents essentiels à préparer avant un contrôle CNIL.