Pixels de suivi : les nouvelles règles de la CNIL

Projet de recommandation de la CNIL concernant les pixels de suivi dans les courriers électroniques 

C’est le sujet impactant du moment : La CNIL souhaite encadrer l’utilisation des pixels de suivi dans les emails (images invisibles permettant de détecter l’ouverture, le moment, l’appareil, etc.). Ces dispositifs relèvent de la législation sur les traceurs (article 82 de la loi Informatique et Libertés) et du RGPD, au même titre que les cookies. 

Nous avons répondu à la consultation publique lancée cet été au sein d’un Collège de routeurs emails membres de Signal Spam et nous étions présents à l’EMDay qui se tenait la semaine dernière à Biarritz pour la très attendue intervention de la CNIL sur le sujet. 

Avant de revenir sur ce qui a été dit lors de cette dernière, rappelons ce que la recommandation initiale distingue : 

• Un consentement clair, spécifique, éclairé et explicite requis pour l’analyse et la mesure individuelle du taux d’ouverture 

• Des exceptions au consentement pour les pixels utilisés exclusivement à des fins techniques (sécurité, authentification) ou pour la mesure du taux global d’ouvertures des emails, sans identification possible 

Et ce qu’elle précise en termes de modalités pratiques : 

• Informer clairement le destinataire sur les finalités et les acteurs impliqués 

• Recueillir le consentement au moment de la collecte de l’adresse électronique ou via un premier message sans pixel incorporé 

• Inclure un lien de retrait dans chaque email, avec un potentiel effet immédiat même sur les messages déjà envoyés 

• Pouvoir démontrer (en tant que responsable de traitement) à tout moment que les utilisateurs ont donné leur consentement 

Que doit-on retenir de l’intervention de la CNIL à l’EMDay 2025 : 

La CNIL est là pour apporter des éclaircissements, elle ne fait pas la loi et précise en conséquence qu’il ne faut pas attendre ses recommandations pour respecter cette règle sur le consentement au tracking de l’ouverture. 

En effet, cette obligation existe en réalité déjà depuis 2018 et l’arrivée RGPD. 

• La CNIL va fournir début 2026 un nouveau projet de recommandation, s’appuyant sur les retours collectés lors de la consultation publique et qui devrait revenir sur des points sensibles tels que : 

• La rétroactivité du consentement, un sujet particulièrement complexe ; 

• Le mode de collecte de ce dernier, même si notre recommandation tend déjà vers un consentement univoque et spécifique, au même titre que l’opt-in. 

• C’est le secteur du BtoB qui risque d’être le plus impacté, puisqu’il est désormais concerné par ce consentement, là où il ne l’est pas encore pour les emails commerciaux qui fonctionne sur le principe de l’opt-out. 

Concrètement, quels seront les impacts pour nos clients expéditeurs/annonceurs : 

• Obligation de recueillir un consentement explicite en amont de tout envoi via un formulaire ou centre de préférences. 

• Réduction de la capacité à mesurer l’efficacité individuelle des campagnes 

• Complexification des workflows et de la gestion des données : collecte, stockage, traçabilité et retrait du consentement. 

• Complexification du contexte juridique et technique 

En attendant le nouveau projet de recommandation, il est déjà possible – voire nécessaire – pour les annonceurs de se mettre en conformité en s’appuyant sur les outils natifs de notre solution, conçus pour répondre aux futures exigences de la CNIL. 

Chez NP6, la conformité réglementaire et la protection des données personnelles ne sont pas de simples obligations : elles sont intégrées dès la conception de nos fonctionnalités et sont ajustées tout au long de la vie du produit. La gestion du consentement au tracking des pixels d’ouverture et des clics fait partie de nos capacités natives, permettant à nos clients d’anticiper l’encadrement prévu par la CNIL. 

1. Gestion granulaire du consentement 

• Gestion séparée du consentement pour les ouvertures et les clics. 

• Paramétrage flexible : un seul champ de consentement ou deux champs distincts selon la stratégie du client. 

• Anonymisation automatique des données de réactivité (ouverture, clic) pour les contacts n’ayant pas donné leur accord, tout en conservant la pertinence statistique globale. 

2. Paramétrage au niveau de chaque envoi 

• Pour chaque campagne email, l’expéditeur peut choisir d’appliquer ou non l’anonymisation en fonction du consentement enregistré. 

• Possibilité de ne pas appliquer la prise en compte du consentement pour certaines communications non couvertes par le périmètre de la CNIL (ex. campagnes BtoB). 

• Cette souplesse permet de combiner respect des préférences utilisateurs et suivi marketing pertinent dans le cadre légal. 

3. Respect des exceptions prévues par le RGPD 

• Maintien automatique du tracking non anonymisé uniquement pour les cas légitimes : gestion des désabonnements, traitement des demandes via formulaire, affichage correct des pages miroir … 

• Conformité aux exceptions techniques prévues par la CNIL, tout en assurant la traçabilité nécessaire. 

4. Traçabilité et preuve du consentement 

• Le consentement est stocké et traçable dans la fiche contact, ce qui permet de démontrer à tout moment qu’il a été recueilli conformément au RGPD. 

• Cette architecture facilite la réponse à toute demande d’audit ou de contrôle. 

En intégrant dès aujourd’hui ces mécanismes de gestion du consentement, les annonceurs peuvent continuer à analyser leurs performances globales tout en respectant la vie privée de leurs contacts. Résultat : une longueur d’avance pour s’adapter aux évolutions du cadre légal et préserver la confiance de leurs audiences.