Invisibles mais bien réels, les pixels de suivi nichés dans vos e-mails, qui sont de vrais traceurs, sont désormais strictement encadrés. À compter du 14 juillet 2026, la CNIL exige un consentement préalable du destinataire, sauf exceptions.

Beaucoup d'e-mails contiennent un pixel espion, la CNIL fixe enfin des règles. © Koupei Studio / Shutterstock
Beaucoup d'e-mails contiennent un pixel espion, la CNIL fixe enfin des règles. © Koupei Studio / Shutterstock

Le pixel de suivi, un traceur invisible glissé dans vos e-mails, s'apprête à changer de statut, puisque nous approchons du terme, de ce 14 juillet à partir duquel il faudra que chaque structure qui envoie un courrier électronique ait recueilli le consentement de son destinataire. La Commission nationale de l'informatique et des libertés (CNIL) encadre strictement son usage. Dès que vous ouvrez un e-mail publicitaire, cette image minuscule prévient discrètement l'expéditeur que vous venez de le lire, sans que vous en ayez la moindre conscience.

L'autorité de protection des données met de l'ordre dans cette pratique très répandue dans le marketing par e-mail. Ne vous étonnez donc pas si vous recevez ces jours-ci un message vous invitant à donner votre consentement pour ces fameux pixels de suivi. Mais le système mérite qu'on s'y attarde un peu plus, pour comprendre dans le détail de quoi il s'agit.

C'est quoi, un pixel de suivi dans un e-mail ?

Un pixel de suivi est une image minuscule, souvent réduite à la taille d'un seul pixel et totalement transparente, glissée dans le corps d'un e-mail. Contrairement aux photos ou illustrations classiques d'une newsletter, elle n'est pas stockée dans le message lui-même, mais elle est hébergée sur un serveur distant, avec une adresse unique propre à chaque destinataire.

Dès que vous ouvrez le courrier électronique, votre messagerie va chercher cette image sans vous demander votre avis, ce qui suffit à prévenir l'expéditeur que vous avez consulté son message. On y apprend l'heure d'ouverture, parfois le type d'appareil utilisé, voire une localisation approximative. Une sorte d'accusé de réception que personne n'a jamais coché.

La technique n'est pas nouvelle. Les professionnels du marketing l'utilisent même depuis plus de vingt ans pour savoir qui ouvre leurs e-mails. Mais son usage a véritablement décollé avec l'essor des outils d'envoi automatisé, capables d'expédier des milliers de messages et d'enchaîner les relances tout seuls, sans qu'un humain n'intervienne. Plus une entreprise multiplie les campagnes, plus elle a intérêt à savoir combien de destinataires les ouvrent, à quel moment, et sur quel type d'appareil, pour ajuster son contenu ou vérifier que ses messages arrivent bien en boîte de réception plutôt qu'en spam. Ces usages se sont multipliés à mesure que l'automatisation progressait, et les plaintes adressées à la CNIL ont suivi la même courbe.

Ce que change vraiment la nouvelle règle CNIL

Le 14 avril 2026, au terme d'une consultation lancée un an auparavant auprès des professionnels, des associations et du grand public, la CNIL a publié sa recommandation finale. Le gendarme des données a expliqué que les pixels de suivi basculent désormais sous le même régime que les cookies, celui de l'article 82 de la loi Informatique et Libertés. Autrement dit, un consentement préalable, libre et éclairé devient obligatoire pour la grande majorité des usages marketing.

Mais attention, la CNIL prévoit deux grandes exemptions. Les besoins de sécurité liés à l'authentification, et la mesure de délivrabilité, strictement cantonnée au nettoyage des bases de contacts inactifs, sont mis à part. La dernière exception doit permettre aux entreprises de repérer qui n'ouvre plus jamais leurs messages pour arrêter de les solliciter et préserver la réputation de leurs serveurs d'envoi, sans pour autant les autoriser à exploiter cette donnée à d'autres fins. Les e-mails transactionnels, comme une confirmation de commande, un avis d'expédition, une facture ou une alerte de sécurité, profitent de ce cadre plus souple, mais uniquement tant que le pixel qu'ils embarquent sert à vérifier la bonne réception du message, jamais à des fins marketing. Autre nuance, recevoir un e-mail et être suivi à son ouverture répondent à deux logiques différentes, l'une n'emportant pas automatiquement l'autre, sauf si la prospection est explicitement présentée comme personnalisée, auquel cas un seul et même consentement peut couvrir les deux.

Quid des adresses déjà collectées avant la publication du texte ? Ici, la CNIL n'impose aucun re-consentement massif. Elle demande simplement, dans un délai de trois mois, d'informer clairement les destinataires et de leur offrir une possibilité d'opposition simple. Ce délai s'achève précisément le 14 juillet 2026, date à partir de laquelle l'autorité a prévenu qu'elle lancerait ses contrôles. En attendant, elle a promis d'accompagner les professionnels à l'aide de webinaires dédiés, histoire de ne pas les lâcher dans la nature.

Autre élément de la recommandation à connaître, la responsabilité retombe sur l'expéditeur, c'est-à-dire l'entreprise qui décide de l'envoi, même lorsqu'elle confie la pose technique du pixel à un prestataire d'emailing tiers. Il est donc impossible de se défausser sur son outil de routage en cas de contrôle. Et ce cadre ne fait aucune distinction entre les particuliers et professionnels. Dès lors qu'elle vise une adresse nominative, la prospection B2B doit elle aussi respecter les mêmes règles de consentement pour ses pixels.

Le taux d'ouverture, un indicateur de moins en moins fiable

De nombreuses enseignes ont pris les devants il y a déjà plusieurs jours. Clubic vous informait il y a quelques jours que l'enseigne Carrefour a adressé à ses clients un e-mail qui joue la carte de la transparence sur l'usage qu'elle fait de ces pixels dans ses campagnes de bons plans. Carrefour dit avoir besoin de ces pixels pour mesurer la performance des campagnes, pour ajuster leur contenu ou leur fréquence ; de l'autre, pour mieux cibler ses clients sur d'autres canaux en fonction de leurs habitudes de lecture. Deux liens permettent d'aller plus loin sans s'enliser dans des mentions légales interminables : l'un pour s'opposer au suivi, l'autre pour consulter une version en ligne du message.

Le mail envoyé par Carrefour à ses clients. © Alexandre Boero / Clubic
Le mail envoyé par Carrefour à ses clients. © Alexandre Boero / Clubic

Reste que la fiabilité de ces indicateurs est de plus en plus remise en cause, et pas seulement pour des raisons juridiques. Lorsqu'un utilisateur active la protection de la confidentialité du courrier sur Apple Mail, l'application télécharge automatiquement toutes les images d'un e-mail, pixels espions compris, dès sa réception et non à son ouverture, via un serveur relais qui masque au passage l'adresse IP réelle du destinataire. Du coup, un message peut être comptabilisé comme « ouvert » alors que personne ne l'a jamais réellement regardé. Gmail et Yahoo appliquent des systèmes de préchargement comparables depuis leurs propres serveurs, si bien que le sacro-saint taux d'ouverture, longtemps roi des indicateurs marketing, n'est plus l'indicateur fiable qu'il était.

Passé le 14 juillet, les entreprises encore hors des clous s'exposeront à des contrôles, avec des sanctions prévues pour les plus récalcitrantes. La CNIL exige d'ailleurs qu'elles puissent prouver, documents à l'appui, que ce fameux consentement a bien été recueilli dans les règles : un bouton pré-coché ou une clause noyée au fin fond des CGU ne suffira plus à faire illusion. De votre côté, gardez un œil sur vos prochains e-mails promotionnels. Un lien pour couper court au tracking devrait commencer à s'y inviter un peu partout, discret mais bien réel, comme une petite revanche sur ces pixels qui vous observaient sans jamais se présenter.