Pixels de tracking dans les emails, les nouvelles règles de la CNIL
Lorsqu’une société envoie des courriels dans le cadre de campagnes d’emailing, il est probable que ceux-ci comportent des pixels de suivi (ou pixels de tracking) lui permettant notamment d’assurer leur bonne réception (ou délivrabilité), mesurer leur audience ou les personnaliser en fonction de l’intérêt des utilisateurs, etc.
S’ils sont très utiles pour le suivi des opérations de communication, ils sont soumis à certaines règles, notamment en matière de recueil de consentement.
Les différentes parties prenantes (expéditeur de l’email, prestataire d’emailing, prestataire de location de listes de diffusion et d’envoi d’emails, fournisseur de la technologie de suivi) doivent veiller au respect de ces règles et recueillir le consentement des destinataires des emails dans les cas où il est requis :
Concrètement, il est nécessaire de fournir une information claire sur le pixel, l’adresse électronique et les terminaux (ordinateur, tablette, téléphone portable) qui seront concernés par celui-ci.
Ce consentement doit par ailleurs être recueilli :
de préférence au moment de la collecte de l’adresse électronique concernée,
ultérieurement, s’il n’a pas pu être recueilli à ce moment - C’est notamment le cas :
Pour pouvoir utiliser des pixels soumis au consentement dans des courriels envoyés à une adresse électronique, lorsque ce consentement n’a pas été recueilli au moment de la collecte de celle-ci.
Lorsque l’adresse électronique est collectée par un tiers sans transmission de la preuve du consentement pour les pixels de suivi.
Lorsque l’adresse électronique est collectée dans des conditions qui rendent difficile le recueil d’un consentement valide pour les pixels de suivi (par exemple, lorsque l’adresse est recueillie à l’oral).
Dans ces cas, il convient d’adresser un email ne contenant lui-même pas de pixel de suivi et qui renvoie vers une page sur laquelle le destinataire pourra cliquer sur un bouton afin d’exprimer son consentement, finalité par finalité (sans couplage entre des finalités non connexes).
Les responsables de traitement qui utilisaient des pixels de tracking avant la publication de la recommandation de la CNIL et qui avaient jusqu’à juillet 2026 pour mettre leurs mécanismes en conformité ont par ailleurs eu la possibilité d’envoyer aux destinataires une information claire et accessible leur permettant de s’opposer à de telles opérations pour les courriels futurs.
Le consentement ne doit en revanche pas être présumé en l’absence d’une action positive claire de la part du destinataire de l’email.
Point d’attention, le recueil par le biais des CMP (consent management platforms) destinées à exercer un choix relatif aux cookies sur les sites internet et applications n’est possible que s’il est particulièrement clair.
Que faire à la suite d’un refus ? La CNIL recommande d’attendre 6 mois avant de solliciter à nouveau la personne.
Et en cas d’acceptation, le consentement doit pouvoir être retiré à tout moment par un lien traçant dans le pied de page de chaque email et le responsable du traitement (en général l’expéditeur de l’email) doit bien penser à en conserver une trace.