RETOUR AUX ACTUALITÉS
Data-&-Cyber
  • Merav Griguer

Alerte Actualité RGPD – Avril 2026

La CNIL a publié la version finale de sa recommandation relative aux pixels de suivi dans les emails. Elle y précise le cadre applicable afin d’aider les acteurs à mieux comprendre leurs obligations et assurer le respect des droits des personnes concernées.

1. Contexte 

Le pixel de suivi est une méthode de traçage alternative aux traceurs et témoins de connexion (cookies), habituellement mise en œuvre sous la forme d’une image réduite intégrée dans un site web ou un courriel et invisible pour l’utilisateur.

Le chargement de cette image, dont le nom contient un identifiant de l’utilisateur, permet de savoir que l’utilisateur tracé a visité une page ou lu un courriel.

Cette technique est utilisée pour des objectifs variés : personnaliser la communication en fonction de l’intérêt des utilisateurs, mesurer l’audience, améliorer la bonne réception des courriels (aussi appelé la mesure de la « délivrabilité »), etc. Elle soulève des enjeux particuliers dans le contexte de la messagerie électronique, espace personnel destiné à la consultation de contenus privés.

La CNIL a souhaité préciser le cadre juridique de cette pratique, notamment au regard du nombre croissant de plaintes qu’elle a reçues à ce sujet.

La présente recommandation de la CNIL s’adresse à tous les organismes, privés ou publics (entreprises, associations, administrations, collectivités), qui utilisent des pixels de suivi dans les emails ainsi qu’aux prestataires techniques auxquels ils peuvent avoir recours.

2. Apports clés de la recommandation 

La recommandation de la CNIL vient compléter les lignes directrices du Comité européen de la protection des données (CEPD) sur les technologies couvertes par la règlementation relative aux traceurs (article 82 de la loi Informatique et Libertés – LIL) ainsi que sa propre recommandation « cookies et autres traceurs »  publiée le 29 septembre 2020.

Elle tient compte des spécificités technologiques et opérationnelles liées aux emails.

1. Clarification et encadrement du rôle de chaque acteur

La recommandation aide les acteurs qui utilisent des pixels de suivi dans les emails à analyser, au cas par cas, leur rôle et mieux comprendre leurs obligations respectives.

La recommandation de la CNIL s’applique à l’ensemble des acteurs impliqués dans l’utilisation de pixels de suivi dans les emails, chacun devant déterminer précisément son rôle au regard du RGPD :

  • L’expéditeur de l’email est en principe le responsable du traitement, dès lors qu’il décide du recours aux pixels et en fixe les finalités et les moyens, y compris lorsqu’il fait appel à des prestataires (par exemple, des routeurs ou solutions tierces). Il peut également être considéré comme co-responsable avec des tiers lorsque ceux-ci interviennent dans les opérations de suivi qu’il a acceptées, notamment si le prestataire réutilise les données issues des pixels pour ses propres finalités (amélioration de service, scoring, enrichissement de bases…), ce qui impose alors un accord de responsabilité conjointe encadrant la répartition des obligations respectives, notamment en matière d’information des personnes concernées et de respect de leurs droits, conformément à l’article 26 du RGPD.
  • Les prestataires du service de location de listes de diffusion et d’envoi de courriels et les fournisseurs de technologies de suivi suivent une logique similaire : ils sont sous-traitants s’ils agissent uniquement pour le compte de l’expéditeur et peuvent être co-responsables s’ils réutilisent les données pour leurs propres objectifs.
  • Les fournisseurs de service de messagerie, bien qu’essentiels au fonctionnement des e-mails, ne sont en principe ni responsables de traitement ni sous-traitants dès lors qu’ils n’exploitent pas les données issues des pixels, même s’ils peuvent en limiter techniquement le fonctionnement.

2. Distinction entre les pixels qui nécessitent le consentement de ceux qui en sont exemptés  

La recommandation précise également les cas dans lesquels le consentement sera nécessaire pour l’utilisation de pixels de suivi dans les courriels et ceux qui en sont exemptés, conformément à l’article 82 de la LIL.

  • Les finalités qui nécessitent le consentement du destinataire

La CNIL rappelle que l’insertion de pixels de suivi dans les emails nécessite en principe le consentement préalable de l’utilisateur, conformément aux dispositions de l’article 82 de la LIL, sauf si ces opérations :

    • ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou ;
    • sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

La CNIL estime que l’utilisation des pixels pour les finalités suivantes nécessite le recueil du consentement du destinataire :

    • L’analyse du taux d’ouverture des emails pour mesurer et optimiser les performances des campagnes.
    • La création de profils des destinataires au regard des préférences et centres d’intérêt manifestés afin de les cibler dans d’autres contextes que les courriels.
    • La détection et l’analyse de suspicions de fraude.
    • La mesure individuelle du taux d’ouverture des courriels à des fins de délivrabilité.

 

  • Les finalités exemptées du recueil du consentement

Au regard de l’article 82 de la LIL, la CNIL considère que certains pixels peuvent être exemptés de consentement lorsqu’ils sont utilisés exclusivement pour les finalités suivantes :

    • La mise en œuvre de mesures de sécurité participant à l’authentification de l’utilisateur, par exemple pour vérifier que l’email contenant un code d’authentification est bien ouvert sur un terminal connu de l’utilisateur.
    • La mesure individuelle du taux d’ouverture des emails à des fins de délivrabilité, à condition que le responsable démontre que les opérations sont limitées à ce qui est indispensable pour gérer la qualité de la liste (adapter la fréquence ou cesser les envois vers les destinataires « inactifs »).

Sous cette même réserve de stricte nécessité, ces pixels peuvent aussi servir à (i) choisir un autre canal de communication plus adapté et (ii) contribuer à prouver le respect d’obligations légales d’information (en conservant, par exemple, une trace de l’ouverture de courriels pré‑ ou post‑contractuels imposés par la réglementation).

La CNIL précise qu’une logique de minimisation doit s’appliquer, en recommandant de ne conserver que la date de dernière ouverture, sans l’heure, et en remplaçant cette donnée à chaque nouvelle ouverture.

Elle indique enfin que les données issues des pixels peuvent être réutilisées sans consentement uniquement si elles ont été effectivement anonymisées, le processus d’anonymisation restant lui-même soumis au RGPD.

Ainsi, la CNIL a fait évoluer sa recommandation :

  • Elle reconnaît l’existence d’une exemption au consentement pour la mesure individuelle de la délivrabilité des emails rattachés à un service demandé par le destinataire.
  • Elle permet aux acteurs d’identifier les destinataires qui n’ouvrent plus leurs emails afin de retirer de leurs listes les personnes devenues inactives, c’est-à-dire celles qui ne souhaitent manifestement plus être sollicitées. Cette exemption reste toutefois strictement encadrée : les données utilisées doivent être limitées au strict nécessaire et ne peuvent servir qu’à mesurer la délivrabilité des messages
  • Elle soumet au consentement des personnes concernées le dépôt de pixels dans des emails alors même que l’envoi desdits emails pouvait reposer sur l’opt-out.

3. Précisions sur les modalités de recueil, de retrait et de preuve du consentement

La recommandation fournit des conseils concrets pour recueillir un consentement libre et éclairé afin d’améliorer l’information et le contrôle des personnes sur leurs données. Elle précise également les modalités de retrait du consentement pour que celui-ci soit effectif et rappelle les règles en matière de preuve.

Il est recommandé de recueillir le consentement dès la collecte de l’adresse email afin d’assurer un lien direct et compréhensible entre la donnée fournie et l’usage de traceurs. À défaut, le consentement doit être sollicité ultérieurement via un email dépourvu de pixels, renvoyant vers une action positive (ex : clic) excluant tout consentement implicite. L’absence de réponse vaut refus.

Le consentement doit être libre et spécifique : il ne peut pas couvrir globalement plusieurs finalités distinctes, sauf lorsqu’elles sont étroitement liées. L’utilisateur doit pouvoir accepter ou refuser aussi simplement, sans pression ni mécanisme incitatif.

Enfin, les responsables de traitement doivent être en mesure de prouver le consentement (mécanisme de traçabilité, clauses précises avec les loueurs de bases et routeurs, conservation et audit des preuves), une simple déclaration contractuelle d’un tiers affirmant avoir recueilli un consentement valable étant jugée insuffisante.

Ainsi, la CNIL a fait évoluer sa recommandation :

  • Elle reconnaît l’existence d’une exemption au consentement pour la mesure individuelle de la délivrabilité des emails rattachés à un service demandé par le destinataire.
  • Elle permet aux acteurs d’identifier les destinataires qui n’ouvrent plus leurs emails afin de retirer de leurs listes les personnes devenues inactives, c’est-à-dire celles qui ne souhaitent manifestement plus être sollicitées. Cette exemption reste toutefois strictement encadrée : les données utilisées doivent être limitées au strict nécessaire et ne peuvent servir qu’à mesurer la délivrabilité des messages.
  • Elle soumet au consentement des personnes concernées le dépôt de pixels dans des emails alors même que l’envoi desdits emails pouvait reposer sur l’opt-out.

 

Concrètement : Pour les emails envoyés à des adresses collectées avant la publication de la recommandation, il est demandé aux acteurs, dans un délai de 3 mois, d’informer clairement les destinataires de l’utilisation de pixels pour les mettre en mesure de s’y opposer facilement s’ils le souhaitent.

Toutefois, lorsque le responsable du traitement est tenu de solliciter un nouveau consentement pour l’utilisation de l’email (ex : pour la transmission des données à de nouveaux responsables de traitement à des fins de prospection par voie électronique), il serait nécessaire de recueillir un consentement valide pour la mise en œuvre des opérations de lecture ou d’écriture qui ne sont pas exemptées de consentement.

visuel

Merav Griguer

Associée
  • Actualités, Newsletters
Offres de reprise – 13 avril 2026

L’équipe Restructuring de Franklin vous adresse sa dernière veille sectorielle de cibles en difficulté pouvant être reprises (...)

immeuble-franklin
  • Actualités, Communiqués de Presse
Franklin conseille AFC Promotion dans l’adoption de son plan de redressement en classes de parties affectées

La Cour d’appel de Pau a confirmé, par un arrêt du 2 avril 2026, le jugement du (...)

  • Actualités, Newsletters
Offres de reprise – 7 avril 2026

L’équipe Restructuring de Franklin vous adresse sa dernière veille sectorielle de cibles en difficulté pouvant être reprises (...)

immeuble-franklin
  • Actualités, Communiqués de Presse
Franklin annonce la nomination de Fanny Attal en qualité d’Of Counsel, au sein de l’équipe Restructuring – Entreprises en difficultés – Distressed M&A

Franklin a le plaisir d’annoncer la nomination de Fanny Attal en qualité d’Of Counsel au sein de (...)