Pixels de suivi dans les emails : la Cnil demande une mise en conformité sous trois mois
On ne dit pas pixel espion mais pixel de suivi
La Cnil vient de publier une recommandation en forme de piqure de rappel ou de clarification à destination des professionnels de l’email marketing : l’intégration aux courriers électroniques d’un pixel de suivi, ou pixel de tracking, obéit à des règles strictes et ne peut se faire sans consentement préalable que pour des finalités bien précises. Les acteurs concernés ont en théorie trois mois pour obtenir le consentement de leurs destinataires, ou mettre un terme aux pratiques litigieuses.
Omniprésents sur le Web français, les bandeaux de consentement dédiés aux cookies et aux outils de suivi publicitaires sont entrés dans les mœurs, mais saviez-vous qu’ils ont un équivalent nettement plus discret dans votre messagerie électronique ?
Pour identifier les interactions du destinataire avec leurs envois, les professionnels de l’email marketing ont recours à ce que l’on appelle un pixel de suivi, ou pixel de tracking : une image invisible à l’œil nu associée à un identifiant unique, hébergée sur un serveur distant, et intégrée dans le corps de l’email.
Intérêt de la manœuvre ? Lorsque votre client de messagerie interprète le code de l’email pour vous l’afficher, le pixel en question est appelé depuis le serveur. En consultant ses logs, l’émetteur (ou son prestataire) peut ainsi savoir si vous avez ouvert l’email.
Selon les cas, il peut aussi en profiter pour collecter d’autres informations, comme la date et l’heure d’ouverture, l’adresse IP utilisée, le client de messagerie employé, etc. Des données qui peuvent ensuite être mises à profit pour optimiser l’envoi de campagnes, personnaliser les messages ou travailler le ciblage publicitaire.
Couramment utilisé dans le monde de l’email, le pixel de suivi publicitaire a également été employé sur le Web : pendant longtemps, c’est par exemple un « pixel Facebook » qui servait aux sites média pour connecter leur audience aux outils publicitaires de Meta. Depuis, le pixel a été supplanté par d’autres dispositifs, mais la logique sous-jacente est restée. Et d’un point de vue réglementaire, elle soulève un problème identique, que l’on soit sur le Web ou dans le corps d’un email, selon la Cnil.
Cette dernière estime en effet que dans les deux cas, la transmission d’information et leur collecte constituent « une opération de lecture sur le terminal de l’utilisateur », qui tombe donc sous le coup de l’article 82 de la loi Informatique et Libertés.
Or, c’est précisément cet article 82 qui a contribué à l’émergence des bandeaux de consentement liés aux cookies sur le Web, puisque c’est lui qui impose, sauf exception, de recueillir le consentement de l’utilisateur final avant toute opération d’écriture ou de lecture sur son terminal.
Une recommandation bien tardive
Les professionnels de l’email ont bien intégré la problématique du désabonnement, en partie à cause des pressions et sanctions de la Cnil, mais côté consentement, force est de constater que le sujet est totalement ignoré, alors que la loi française, le RGPD et les dernières lignes directrices européennes font consensus sur le sujet.
Pour combler cette lacune, la Cnil a donc lancé un double processus de consultation (publique et sectorielle) en juin 2025, à l’issue duquel l’Autorité a, enfin, formulé sa recommandation formelle sur le sujet.
Commentaires (28)
Modifié le 15 avril à 18h57
Sinon, techniquement, est-ce que bloquer le chargement des images externes dans un mail bloque systématiquement l'appel au tracker ?
Quid de la solution de Gmail qui il y a bien longtemps avait mis en place un système pour charger les images sur la base du pool d'images déjà chargés par d'autres, si j'ai bien compris, i.e. sans appel par destinataire du mail ?
Le 16 avril à 00h31
D'ailleurs quel outil de messagerie charge encore les images distantes de nos jours ?
Sauf que justement, le pixel n'est pas le même (l'url est différente) à chaque courriel.
Le 16 avril à 07h36
Le 16 avril à 09h54
Cette notion est dans le RGPD et non par dans la directive ePrivacy qui est concernée ici (et citée par l'article). C'est d'ailleurs pour cela que le texte légal est la loi informatique et liberté, en particulier l'article 82 (lui aussi cité) qui est le résultat de la transcription cette directive dans le droit français et non pas le RGPD.
D'autre part, l'intérêt légitime comme motif de traitement de données personnelles est très rarement retenu par la CNIL ou ses homologues de l'UE. Il faut que l'intérêt légitime avancé soit en relation directe avec le service mis en œuvre pour l'usager, ce qui est rarement le cas : partager des données avec des centaines de partenaires faisant de la publicité n'a rien à voir avec le service que peut rendre un site d'information en ligne ou un réseau social.
Quant à l'aspect boite noire, des traitements, c'est faux. les organismes de contrôles (CNIL et autres) ont les moyens d'auditer ces traitements y compris sur place et ne s'en privent pas. Donc, oui, là aussi, tu te trompes.
Les juges, par contre, interviennent rarement sur ces sujets parce qu'ils sont rarement sollicités, mais rien n'empêche qu'ils mandatent un expert si cela est nécessaire. Je pense qu'il il vaut probablement mieux d'abord "porter plainte" auprès de la CNIL puis après porter plainte devant la justice avec le résultat des investigations de la CNIL et demander des dommages et intérêts ou une condamnation pénale si besoin.
Le 16 avril à 17h17
Je parle d'intérêt légitime, peut-être pas au sens de la définition légale du terme, mais au sens de quelles sont les finalités acceptables de telle ou telle collecte de données. Là vraisemblablement, la CNIL s'engage à définir par elle même quels sont ces intérêts.
Par exemple détecter l'ouverture ou non d'un Email afin d'ajuster les fréquences d'envoi. Et bien, je considère que cet intérêt n'est pas légitime, qu'il va à l'encontre de l'intérêt du citoyen qui peut désormais simplement se désabonner d'un flux Email. Je reconnais qu'il peut y avoir un intérêt environnemental afin que les boîtes mails ne soient pas majoritairement constituées de messages non lus, mais ça doit rester la responsabilité de l'individu.
En tout cas, je suis heureux d'apprendre que la CNIL fait l'analyse de traitement EFFECTIF, ne se fonde pas uniquement sur ce qui est déclaré par le DPO, et qu'elle a la force du droit et les compétences internes pour le faire, même sur du code propriétaire. J'imagine que c'est loin d'être systématique tout de même étant donnés les effectifs (dans les 300 ETP ici) comparés au nombre de dossiers.
Le 15 avril à 20h52
Mais il s'agit là pour moi d'un acte de piratage car il s'agit d'insérer un acteur au milieu et si la cible d'origine apparaît bien dans le message d'origine, le lien n'y mène plus. J'aimerai que cela soit également épinglé.
Les utilisateurs de ces service par ailleurs devenus incontournables pour n'importe quelle association ou société, ne sont pas conscients de ce qui se passe techniquement quand on clique sur l'option de détection d'ouverture d'un publipostage.
Le 15 avril à 21h01
Le 15 avril à 20h59
Le 15 avril à 21h04
Le 16 avril à 08h11
Le 16 avril à 08h38
Le 21 avril à 23h15
Le 15 avril à 21h56
Le 16 avril à 08h17
Le 16 avril à 10h32
Les mails de me fournisseurs m'indiquant qu'un doc est disponible sur mon compte en ligne me conviennent bien. Je pense en outre que c'est la traduction d'une obligation légale.
Le 16 avril à 12h15
*: attention hein, je suis totalement contre le fait que des curieux regardent tout ce qui se passe sur internet, et je me rend bien compte qu'on va pas pouvoir tous les empêcher, mais je fait confiance à mon FAI pour ne pas mettre son nez partout.
Le 16 avril à 11h43
Le 16 avril à 10h09
Modifié le 16 avril à 11h42
Le 17 avril à 20h14
Le 16 avril à 11h45
Ils avaient fait un bon résumé de tout les problèmes liés aux pixels traçant et pourquoi un pixel traçant ne pourra jamais être compatible avec le RGPD (notamment, l'impossibilité de retirer le consentement, car on ne peut pas retirer le pixel une fois que le mail est envoyé).
Le 16 avril à 12h40
Le 16 avril à 13h16
Cependant, une adresse mail de type nom.prenom@example.com est en elle-même une donnée personnelle puisqu'elle comporte les nom et prénom de la personne. Et à ce titre, tu peux demander que tes données personnelles ne soient pas utilisées pour envoyer des offres commerciales.
Le 16 avril à 13h33
Je me permets une remarque : un professionnel est une personne physique. C'est l'entreprise qui est une personne morale (exclue du champ d'application). Sauf le cas des autoentrepreneurs / EI dont la personne est confondue avec celle de l'entrepreneur.
Dans le cas présent, c'est une EI.
Le 16 avril à 23h38
suivi de:
Confirmation d'une commande: consentement tacite ou nécessaire pour les pixels de suivi?
Le 17 avril à 10h17
Le consentement es tacite pour l'envoi de l'e-mail, pas pour le pixel. C'est d'ailleurs précisé un peu plus bas dans l'article :Du point de vue du RGPD ou de la loi du 6 janvier 78 (pour la transcription de la directive ePrivacy), le consentement tacite n'existe pas,et d'ailleurs, cela ne figure pas dans la page de présentation de la CNIL pas plus que dans le PDF contenant ses recommandations. J'ai l'impression que c'est l'auteur de l'article qui a introduit cette notion maladroite parce que trompeuse.
La Cnil distingue les finalités où le consentement est nécessaire de celles qui peuvent être exemptées de consentement.
@AlexandreLaurent pour info.
Le 20 avril à 11h49
Le 20 avril à 12h01
C'est toujours agréable que les remarques soient prises en compte.
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?