La CNIL a adopté le 12 mars 2026 une Recommandation relative aux pixels de suivi dans les courriers électroniques.
Un pixel est un traceur permettant « d’obtenir une information relative à la consultation d’un courriel par un utilisateur déterminé ou dans un contexte déterminé ». Leur utilisation implique, dans la majorité des cas, le recueil préalable du consentement des destinataires.
Au regard de cette recommandation, plusieurs actions concrètes doivent être mises en œuvre :
1. Identifier précisément vos usages des pixels
Vous devez lister les finalités des pixels (mesure d’ouverture, personnalisation, ciblage, etc.) afin de déterminer si un consentement est nécessaire (ex : analyse du taux d’ouverture pour optimiser les performances ou personnaliser le contenu) ou si vous pouvez en être exempté (ex. délivrabilité strictement nécessaire).
2. Mettre en place un recueil de consentement conforme
- Organiser le recueil du consentement « préalable, libre, spécifique et éclairé » pour les usages non exemptés, dès la collecte de l’adresse email (formulaire d’inscription),
- À défaut, adresser un email sans pixel permettant de recueillir ce consentement ultérieurement.
3. Fournir une information claire et transparente
- Comme pour les cookies, vous devez expliquer de manière compréhensible les finalités des pixels (ex. mesure d’audience, personnalisation),
- La politique de confidentialité doit intégrer ce sujet et y mentionner les acteurs impliqués (prestataires emailing, partenaires éventuels).
4. Gérer le retrait du consentement
- Intégrer un lien simple de retrait dans chaque email et garantir que le retrait soit aussi facile que l’acceptation,
- S’assurer de l’effectivité du retrait pour les envois futurs.
6. Assurer la traçabilité et la preuve du consentement
- Conserver une preuve individualisée du consentement,
- Encadrer contractuellement les obligations des prestataires.
Pour les personnes déjà en base, la CNIL indique : « les opérations de lecture ou d’écriture peuvent continuer à être mises en oeuvre, sous réserve de l’envoi d’une information claire et accessible aux destinataires dans un délai qui ne saurait, en principe, excéder 3 mois à compter de la publication de la recommandation. Cette information doit permettre à ces destinataires, dans l’hypothèse où leur consentement n’aurait pas été recueilli conformément aux modalités explicitées dans la présente recommandation, d’être mis en capacité de s’opposer à de telles opérations pour les courriels futurs. »
La deadline est donc au 12 juin 2026.
La dernière action sera de compléter votre registre des traitements RGPD.
Le Cabinet est à votre disposiiton pour vous accompagner dans cette nouvelle étape de votre conformité.
Charlotte GALICHET