Carrefour est en train d'informer ses clients de l'utilisation de pixels de suivi dans ses e-mails promotionnels. Une démarche transparente qui colle à la nouvelle recommandation de la CNIL sur ces traceurs parfaitement invisibles.

Carrefour informe ses clients de l'utilisation de pixels de suivi dans ses e-mails. © BalkansCat / Shutterstock
Carrefour informe ses clients de l'utilisation de pixels de suivi dans ses e-mails. © BalkansCat / Shutterstock

Invisibles à l'œil nu mais très efficaces pour ceux qui les utilisent, les pixels de suivi permettent de savoir si un e-mail a été ouvert, quand, et parfois depuis quel appareil. Depuis le 14 avril 2026, la CNIL encadre strictement leur usage et impose aux entreprises d'informer leurs clients avant le 14 juillet. Carrefour vient justement de s'y plier, avec un e-mail limpide envoyé ce lundi 6 juillet, qui mérite qu'on s'y attarde d'un peu plus près.

Mais c'est quoi au fait, un pixel de suivi ?

Un pixel de suivi, c'est quoi au juste ? On parle d'une image si minuscule, souvent de la taille d'un seul pixel, invisible à l'œil nu, glissée dans le corps d'un e-mail et hébergée non pas dans le message lui-même, mais sur un serveur distant. Dès que vous ouvrez le courriel, votre logiciel de messagerie va chercher cette image sans vous prévenir, ce qui suffit à signaler à l'expéditeur que vous l'avez consulté, un peu comme un accusé de réception que vous n'auriez jamais coché. Ce mouchard peut renseigner l'heure d'ouverture, le type d'appareil utilisé et même une localisation approximative déduite de votre adresse IP, mais il ne donne en revanche aucun accès au contenu de vos e-mails.

La pratique n'est pas nouvelle, mais elle a pris de l'ampleur avec l'essor du marketing automatisé, au point de faire grimper le nombre de plaintes et de signalements reçus par la CNIL. Le 14 avril 2026, par exemple, l'autorité a publié sa recommandation finale sur le sujet : les pixels de suivi relèvent désormais du même régime que les cookies, et nécessitent donc, dans la plupart des cas, un consentement préalable, libre, spécifique, éclairé et univoque de la part du destinataire.

Autre précision utile, c'est l'expéditeur du courriel, c'est-à-dire l'entreprise qui décide de l'envoi, qui reste responsable du bon usage de ces traceurs, même lorsqu'elle en confie la gestion technique à un prestataire. Passé le 14 juillet 2026, date à laquelle s'achève la période de mise en conformité, la CNIL a prévenu qu'elle mènerait des contrôles, avec des sanctions à la clé pour les entreprises encore hors des clous.

Tout n'est pas soumis à cette règle pour autant. Deux familles d'usages restent exemptées de consentement, à savoir les mesures de sécurité liées à l'authentification (vérifier, par exemple, qu'un code de connexion a bien été ouvert depuis un terminal connu), et la mesure individuelle du taux d'ouverture strictement limitée à la délivrabilité, c'est-à-dire au nettoyage des bases de contacts inactifs. Cette seconde exemption ne vaut que pour les e-mails dits transactionnels, comme une confirmation de commande ou une alerte de livraison, ou pour ceux envoyés à des destinataires ayant déjà donné leur accord. Dès qu'il s'agit de personnaliser du contenu ou de cibler un profil, l'accord devient en revanche obligatoire. Et même dans les cas exemptés, la CNIL impose que seule la date du jour de la dernière ouverture soit conservée, sans l'heure précise, et qu'elle doit être écrasée à chaque nouvelle consultation.

Aperçu du mail de Carrefour. © Alexandre Boero / Clubic
Aperçu du mail de Carrefour. © Alexandre Boero / Clubic

Carrefour joue (presque) la carte de la transparence

C'est donc dans ce contexte que Carrefour a adressé, ce lundi 6 juillet, un e-mail à ses clients pour les informer de l'utilisation de pixels dans ses envois de bons plans et de promos, soit à une petite semaine de l'échéance du 14 juillet. Le message détaille noir sur blanc les deux objectifs poursuivis, qui sont de mesurer les performances des campagnes en adaptant leur contenu ou leur fréquence, et de cibler les destinataires sur d'autres canaux en fonction de leurs habitudes de lecture. Deux liens figurent en tête du courriel, l'un vers les modalités du droit d'opposition, l'autre vers une version consultable en ligne, de quoi vérifier l'information sans avoir à fouiller dans des mentions légales indigestes.

Pour comprendre pourquoi un simple bouton d'opposition suffit ici, il faut savoir que ce fonctionnement en opt-out n'est légalement possible que pour des adresses déjà collectées avant la publication de la recommandation, le 14 avril 2026, une situation qui semble bien être celle du destinataire de cet envoi. Pour toute nouvelle adresse récoltée à partir de maintenant, la règle est plus stricte, puisque le silence de l'internaute vaudra refus, et non plus acceptation tacite. Sur ce coup-là, Carrefour profite donc d'un régime transitoire prévu par la CNIL elle-même, qui lui évite d'avoir à faire re-cocher une case à l'ensemble de sa base de contacts avant l'échéance du 14 juillet.

Il faut par ailleurs saluer l'effort de clarté de l'enseigne française, car la formulation employée par l'enseigne reprend, quasiment mot pour mot, les exemples que la CNIL propose elle-même dans sa recommandation pour la création de profils et le ciblage cross-canal. Un choix qui a le mérite de coller à la lettre du texte plutôt que de se réfugier derrière un jargon juridique illisible noyé dans des mentions légales.

Un bémol tout de même : le bouton unique « Je m'oppose » regroupe plusieurs choses à la fois, la mesure d'audience, le profilage publicitaire cross-canal, et l'abonnement aux promos lui-même, sans possibilité de les dissocier. Or, la CNIL n'autorise ce type de consentement groupé que pour des finalités qu'elle qualifie de « connexes », à l'image de la personnalisation d'une prospection à laquelle on a déjà consenti. Le ciblage publicitaire sur d'autres sites ou applications semble, lui, s'éloigner un peu de cette logique, même si le texte ne l'interdit pas non plus formellement dans le cadre du régime transitoire applicable ici.