Depuis ce 14 juillet 2026, la CNIL impose aux entreprises de recueillir votre consentement avant d'utiliser des pixels de suivi dans leurs e-mails. Le Monde, Carrefour, Dromadaire ou Voyage Privé ont déjà prévenu leurs abonnés de ce changement de règles.

La CNIL encadre enfin les pixels espions cachés dans vos e-mails. © moo photograph / Shutterstock
La CNIL encadre enfin les pixels espions cachés dans vos e-mails. © moo photograph / Shutterstock

Ce mardi 14 juillet marque l'aboutissement d'un an de travail pour la Commission nationale de l'informatique et des libertés, qui encadre désormais strictement l'usage des pixels de suivi dans les e-mails marketing. Sans votre feu vert, il est en théorie impossible pour une entreprise de savoir si vous avez ouvert son message. Pour les adresses déjà présentes dans leurs fichiers, elle n'a pas exigé de tout recommencer à zéro. La CNIL a simplement demandé, sur trois mois, de prévenir clairement les abonnés et de leur laisser une porte de sortie simple pour refuser ce suivi, d'où la vague de mails explicatifs reçus ces derniers jours. Reste que ce fameux taux d'ouverture, longtemps roi du marketing par e-mail, perd lui-même en fiabilité, car les messageries chargent de plus en plus les images d'un message dès sa réception, ce qui fausse les statistiques avant même qu'un humain ne l'ait lu.

Ce qui change concrètement à partir d'aujourd'hui pour vos mails et les pixels de suivi

Depuis ce mardi, toute entreprise qui glisse un pixel de suivi dans ses e-mails marketing doit avoir recueilli, au préalable, le feu vert de son destinataire. Ce traceur invisible bascule sous le même régime que les cookies. Deux exceptions subsistent toutefois, avec la sécurité liée à l'authentification, et la mesure de délivrabilité, réservée au nettoyage des bases de contacts inactifs. Les e-mails de nature purement transactionnelle (accusé de commande, notification d'expédition, facture ou alerte de sécurité) restent logés à la même enseigne assouplie, à condition que leur pixel se contente de confirmer la bonne délivrance du message, sans jamais glisser vers un usage commercial.

Autre principe intangible, c'est l'expéditeur qui reste dans le viseur de la CNIL, quand bien même la mécanique technique du pixel aurait été déléguée à une agence ou un prestataire de routage, il n'est pas question de s'abriter derrière un sous-traitant en cas de contrôle. La règle, par ailleurs, ne fait pas de cadeau aux professionnels : une adresse B2B nominative se voit appliquer les mêmes exigences de consentement qu'un particulier. Ouvrir un e-mail et être pisté à cette occasion sont en théorie deux choses séparées, mais elles fusionnent en une seule autorisation dès lors que la prospection est présentée comme personnalisée. Un détail qui mérite d'être précisé.

Voici le mail envoyé ces jours-ci par Le Monde au titre des pixels de suivi. © Alexandre Boero / Clubic
Voici le mail envoyé ces jours-ci par Le Monde au titre des pixels de suivi. © Alexandre Boero / Clubic

Dès aujourd'hui, la CNIL a prévenu qu'elle pourrait procéder à des contrôles, et indiqué qu'elle irait vérifier sur pièces les entreprises encore à la traîne, des sanctions étant prévues pour les plus mauvais élèves. Une case cochée d'avance ou une mention perdue au fond de conditions générales interminables ne permettra pas de passer entre les gouttes. Il faudra pouvoir exhiber, documents à l'appui, la preuve d'un consentement réellement recueilli. Consciente que la marche était haute pour certains, l'autorité avait néanmoins promis d'accompagner les professionnels via des webinaires dédiés, en amont de cette échéance.

Les marques jouent déjà le jeu (à leur façon)

Dans vos les boîtes mail, vous avez sans doute pu constater que la mise en conformité a des allures de course contre la montre. Le Monde a dégainé le 13 juillet en fin d'après-midi, avec un mot signé de sa directrice des opérations numériques. Le quotidien y explique se servir de ces pixels pour caler la fréquence de ses envois et affiner sa connaissance des lecteurs, tout en offrant un simple clic pour s'y opposer. Carrefour, de son côté, avait pris les devants quelques jours plus tôt, avec deux liens bien visibles : l'un pour couper le suivi, l'autre pour consulter l'e-mail dans son navigateur.

Dromadaire et Voyage Privé ont emboîté le pas la veille de l'échéance, chacun avec sa propre lettre pédagogique, mais pas tout à fait le même argumentaire. Dromadaire met en avant une utilisation cantonnée à la relation client, avec la promesse que ces données ne sont jamais cédées à des tiers ; Voyage Privé insiste plutôt sur la vérification de la bonne réception des messages et l'arrêt progressif des envois aux abonnés qui n'ouvrent plus leurs communications depuis longtemps.

Un extrait du mail envoyé par Carrefour à ses clients. © Alexandre Boero / Clubic

Reste une nuance à connaître. La plupart de ces messages fonctionnent en opt-out, avec un simple lien pour se désinscrire, plutôt qu'en véritable consentement préalable. De quoi laisser planer un doute sur la conformité réelle de certaines pratiques, pile le jour où la CNIL sort le sifflet. Et même en cas de consentement dans les règles, l'indicateur est teinté d'une certaine fragilité, car chez les internautes ayant activé la protection de la confidentialité sur Apple Mail, l'application va chercher toutes les images du message dès sa réception, pixel compris, sans attendre une hypothétique ouverture. Gmail et Yahoo appliquent des mécanismes comparables depuis leurs propres serveurs, si bien qu'un e-mail peut être compté comme lu alors que personne ne l'a jamais vraiment regardé.