Les pixels de suivi dans les emails marketing exigent maintenant un consentement préalable, sauf cas très limités. Je vous résume ce qui change, qui est responsable, quoi faire pour vos bases existantes, et comment éviter de piloter vos campagnes avec des chiffres devenus bancals.
Qu’est-ce qui change avec la CNIL ?
Ce qui change, c’est surtout le regard de la CNIL sur les pixels de suivi dans les emails. Quand un pixel sert à savoir si une personne a ouvert un email, à quel moment, depuis quel appareil, ou pour alimenter des statistiques marketing, la CNIL le traite comme un traceur comparable à un cookie. Donc on sort du petit “outil de mesure discret” qu’on activait par défaut. Oui, le fameux pixel invisible qui voyait tout sans faire de bruit.
La règle devient simple : pour les emails marketing, le consentement préalable devient la base normale. Avant de déposer ou lire ce traceur, il faut que la personne ait dit oui. Pas juste qu’elle n’ait pas dit non. Pour les nouvelles collectes, le silence vaut refus.
Votre martech stack est-elle vraiment utilisée ?
L’ancien réflexe qui consistait à dire “on le fait sur la base de l’intérêt légitime” devient beaucoup plus risqué. L’intérêt légitime, c’est l’idée qu’une entreprise peut traiter certaines données si elle a une bonne raison, sans demander un consentement explicite, tant que ça ne porte pas trop atteinte aux droits des personnes. Là, pour du suivi d’ouverture marketing, la CNIL pousse clairement vers le consentement.
Entre nous, vous avez de la data partout, mais rien de vraiment clair ? Un expert data analytics engineering comme moi peut tout connecter. On attaque quand ?
Autre point important : je ne mélange pas les anciennes bases avec les nouvelles collectes. Les bases déjà constituées bénéficient d’une période transitoire, mais il faut envoyer une information claire aux contacts, avec une vraie possibilité de s’opposer, avant le 14 juillet 2026. À partir de cette date, la CNIL a annoncé des contrôles.
| Situation | Règle à appliquer | Impact opérationnel |
| Emails marketing | Consentement préalable pour les pixels de suivi d’ouverture. | Prévoir une preuve du consentement avant d’activer le tracking. |
| Bases existantes | Information claire et possibilité d’opposition avant le 14 juillet 2026. | Segmenter la base et tracer les oppositions proprement. |
| Nouvelles collectes | Le silence vaut refus. | Pas de pixel marketing tant que la personne n’a pas accepté. |
| Usages exemptés | Possible sans consentement si le traceur est strictement nécessaire au service. | Documenter l’usage, éviter de le mélanger avec du marketing. |
| B2B nominatif | Une adresse professionnelle nominative reste une donnée personnelle. | Ne pas supposer que le B2B échappe aux règles de suivi. |
Comment fonctionne un pixel de suivi ?
Un pixel de suivi, c’est beaucoup moins magique que son nom le laisse penser. C’est une toute petite image invisible, souvent de 1 pixel sur 1 pixel, intégrée dans un email et hébergée sur un serveur distant.
Pourquoi trianguler la mesure marketing ?
Quand vous ouvrez l’email, votre client de messagerie tente d’afficher les images. Dans le lot, il appelle aussi cette mini-image. Et comme l’image est appelée depuis un serveur, ce serveur reçoit une requête. C’est là que le suivi commence.
Le détail important, c’est que l’URL de cette image est individualisée. Elle peut contenir un identifiant lié au destinataire, à la campagne, au message envoyé, ou aux trois à la fois. Par exemple, le serveur ne reçoit pas juste “charge-moi cette image”, il reçoit plutôt “charge-moi l’image associée à l’email envoyé à telle personne dans telle campagne”. Pas besoin de mettre le nom en clair dans l’URL, un identifiant suffit.
Lors de ce chargement, plusieurs informations peuvent remonter :
- Le moment probable de l’ouverture, puisque la requête arrive quand l’image est chargée.
- L’adresse IP, ou parfois celle d’un proxy, c’est-à-dire un serveur intermédiaire.
- Le type de terminal, comme mobile, ordinateur, tablette, selon les informations disponibles.
- Des éléments techniques du client de messagerie, par exemple le logiciel utilisé ou certaines caractéristiques du navigateur quand c’est du webmail.
Il faut garder un peu d’humilité ici. Une ouverture mesurée n’est jamais une vérité parfaite. Certains outils bloquent les images. D’autres les chargent automatiquement avant même que la personne lise vraiment l’email. Apple Mail Privacy Protection, Gmail et d’autres systèmes passent aussi par des proxys ou masquent une partie des données. On a longtemps fait comme si le taux d’ouverture était propre, alors qu’il a toujours eu un côté météo.
Côté juridique, le sujet sensible n’est pas la taille de l’image. Un pixel reste une image minuscule, oui, mais ce n’est pas ça qui intéresse la CNIL. Le point clé, c’est que ce pixel déclenche une lecture d’information sur le terminal ou via le client de messagerie, avec une finalité de suivi. Et dès qu’on parle de suivi, on entre dans le terrain des règles sur les traceurs, le consentement et l’information des personnes.
Quand faut-il demander le consentement ?
J’applique une règle simple : dès qu’un pixel d’ouverture sert à comprendre, mesurer ou influencer le comportement d’un destinataire, je demande son consentement avant de l’utiliser. Pas après. Pas “quelque part” dans les conditions générales. Avant.
Le consentement est nécessaire pour les finalités marketing, la mesure d’engagement ou l’optimisation commerciale. Ça couvre par exemple le fait de savoir qui ouvre une newsletter, de relancer automatiquement les personnes actives, de scorer un contact, ou de segmenter une base selon les ouvertures. Le consentement doit être préalable, clair, spécifique, éclairé et donné par une action positive. Une case précochée, le silence, ou une phrase vague du type “nous améliorons nos services” ne suffit pas. Oui, c’est tentant. Non, ça ne passe pas.
Le raisonnement vient du régime des traceurs. L’article 5.3 de la directive ePrivacy, repris en France par l’article 82 de la loi Informatique et Libertés, impose le consentement pour lire ou écrire une information sur le terminal d’une personne, sauf exception très limitée. Les lignes directrices 2/2023 du Comité européen de la protection des données confirment cette lecture large. Un pixel d’ouverture dans un email fonctionne comme un traceur : il permet de détecter une interaction depuis le terminal du destinataire. Donc je le traite comme un cookie non essentiel.
Les exemptions existent, mais elles sont étroites. Je les limite à deux cas : les mesures de sécurité liées à l’authentification, et les mesures de délivrabilité strictement limitées au nettoyage technique des listes. Dès qu’on utilise le pixel pour scorer, relancer, segmenter ou mesurer une performance marketing, on sort de l’exemption.
| Usage du pixel | Consentement requis | Commentaire |
| Newsletter marketing avec suivi d’ouverture | Oui | Le pixel mesure l’engagement du destinataire à des fins marketing. |
| Relance automatique après ouverture | Oui | L’ouverture déclenche une action commerciale personnalisée. |
| Scoring d’engagement | Oui | Le pixel sert à évaluer l’intérêt d’un contact. C’est du profilage marketing. |
| Authentification sécurisée | Non, si strictement nécessaire | L’exemption peut jouer si le pixel sert uniquement à une mesure de sécurité liée à l’accès au service. |
| Nettoyage technique de liste | Non, si strictement limité | L’usage doit rester cantonné à la délivrabilité, sans scoring ni segmentation commerciale. |
Qui est responsable de la conformité ?
La réponse courte, c’est que je reste responsable si c’est mon organisation qui décide d’envoyer les emails et de mesurer les ouvertures. Même si j’utilise une plateforme d’emailing très connue, très chère, avec trois badges sécurité et une interface qui brille dans le noir, la conformité ne se transfère pas magiquement au fournisseur.
L’expéditeur, donc l’annonceur ou l’entreprise qui définit la campagne, est en général le responsable du traitement. Ça veut dire qu’il décide pourquoi les données sont collectées, quelles données sont suivies, combien de temps elles sont conservées, et ce qu’on en fait. La plateforme d’emailing peut aider techniquement. Elle peut fournir des réglages, une documentation, des options de désactivation, des journaux de preuve ou des clauses contractuelles. Mais elle ne porte pas automatiquement la conformité à ma place. C’est rarement la phrase qu’on aime entendre, mais c’est celle qui évite les mauvaises surprises.
Le vrai sujet, c’est de clarifier les rôles avant que tout parte en production. L’équipe marketing peut vouloir mesurer les performances. Le DPO, c’est-à-dire le délégué à la protection des données, doit cadrer la base légale et les droits des personnes. L’équipe data peut récupérer les événements d’ouverture dans un entrepôt de données. Le prestataire CRM ou emailing peut configurer les pixels. Les sous-traitants peuvent héberger, router, enrichir ou analyser les données. Si personne ne sait exactement qui fait quoi, on finit avec un pixel activé “par défaut”, et là, bon courage pour expliquer ça proprement.
Les points à verrouiller sont très concrets. Qui décide des finalités ? Qui active les pixels ? Qui collecte le consentement quand il est nécessaire ? Qui conserve la preuve ? Qui applique les oppositions ? Qui purge les données ? Ces questions doivent être écrites, pas juste supposées en réunion.
Le B2B n’est pas une zone libre. Dès que l’adresse email est nominative, comme prenom.nom@entreprise.com, on traite une donnée personnelle. Le fait de vendre à des professionnels ne transforme pas un suivi individuel en terrain sans règle. Pour les adresses génériques, comme contact@entreprise.com, la situation peut être différente, mais je reste prudent et je documente le scénario.
- Outil d’emailing : Vérifier si le pixel d’ouverture est activé par défaut, configurable par campagne, et désactivable facilement.
- CRM : Vérifier où les ouvertures sont stockées, pendant combien de temps, et qui peut les consulter.
- Formulaires : Vérifier que le consentement ou l’information donnée couvre bien la mesure des ouvertures si elle est utilisée.
- Scénarios automatisés : Vérifier qu’une opposition désactive aussi les relances basées sur l’ouverture ou la non-ouverture.
- Preuves : Vérifier que je peux retrouver qui a consenti, quand, depuis quelle source, et à quelle version du texte.
Que faut-il changer avant juillet 2026 ?
Avant le 14 juillet 2026, je dois revoir toute la chaîne, pas juste ajouter une case dans un formulaire et croiser les doigts. Le sujet, c’est le tracking de bout en bout : formulaires, préférences de consentement, scénarios d’emailing, nettoyage des bases et indicateurs de pilotage.
L’objectif est simple : si un pixel marketing est activé dans un email, je dois savoir sur quelle base je le fais. Et si je ne peux pas le justifier, je le coupe. Pas très glamour, mais plutôt sain.
Concrètement, je traite les sujets dans cet ordre :
- Bases existantes : J’informe clairement les contacts que certains emails peuvent contenir des pixels de suivi, et je leur donne une vraie possibilité d’opposition. Pas un lien planqué en gris clair taille 8.
- Nouvelles collectes : Je demande un consentement explicite avant d’activer les pixels marketing. Explicite veut dire clair, séparé, compréhensible. Pas noyé dans des conditions générales de 18 pages.
- Campagnes : Je désactive les pixels si le consentement n’est pas présent. Le scénario doit gérer ça automatiquement, sinon l’équipe marketing va finir par faire des erreurs, c’est humain.
- Data et reporting : J’arrête de traiter le taux d’ouverture comme un KPI universel. Un KPI, c’est un indicateur clé de performance. Le taux d’ouverture va devenir moins fiable, donc je regarde davantage les clics, les conversions, les réponses, les désabonnements et la qualité de base.
Il faut aussi accepter une baisse mécanique du volume d’ouvertures mesurables. Ça ne veut pas dire que les emails marchent moins bien. Ça veut dire que je vois moins une partie du signal. Moins mesurer, ce n’est pas moins vendre. C’est juste piloter avec des données plus propres, mais moins confortables.
| Chantier | Ce que je vérifie | Décision attendue | Priorité |
| Formulaires | Présence d’un consentement clair pour les pixels marketing. | Ajouter ou modifier les cases de consentement. | Haute |
| CRM | Stockage du consentement, date, source et statut d’opposition. | Créer ou fiabiliser les champs de consentement. | Haute |
| Outil d’emailing | Activation des pixels selon le statut de consentement. | Désactiver le tracking si le consentement manque. | Haute |
| Automatisations | Conditions dans les scénarios et segments. | Ajouter des règles de filtrage. | Haute |
| Documentation juridique | Mentions d’information, preuve et gestion de l’opposition. | Mettre à jour les textes et procédures. | Moyenne |
| Reporting marketing | Poids réel du taux d’ouverture dans les décisions. | Basculer vers clics, conversions, réponses et qualité de base. | Moyenne |
On garde quoi en tête maintenant ?
Les pixels de suivi dans les emails ne sont plus un petit détail technique planqué dans l’outil d’emailing. Dès qu’ils servent au marketing, ils demandent un vrai consentement préalable. Les bases existantes ont une fenêtre de transition, les nouvelles collectes doivent être propres dès le départ, et les exemptions restent très limitées. Le plus gros chantier, à mon avis, c’est moins la case à cocher que le pilotage. Il faut accepter que le taux d’ouverture devienne incomplet et reconstruire des indicateurs plus fiables. Le bénéfice pour vous, c’est simple, moins de risque CNIL et une data marketing plus saine.
FAQ
- Un pixel de suivi email demande-t-il toujours un consentement ?
Pour un usage marketing, oui, le consentement préalable est requis. Les seules exceptions restent très limitées, notamment certaines mesures de sécurité liées à l’authentification et certaines mesures de délivrabilité strictement limitées au nettoyage des listes. - Le B2B est-il concerné par les pixels d’ouverture ?
Oui, dès que l’adresse email est nominative, par exemple prenom.nom@entreprise.com. Le contexte professionnel ne suffit pas à sortir du cadre des traceurs quand on suit le comportement d’une personne identifiable. - Que faire avec une base email déjà existante ?
Il faut informer clairement les contacts et leur donner une possibilité d’opposition avant le 14 juillet 2026. Après cette date, la CNIL prévoit des contrôles. Le mieux est de documenter l’envoi, les choix proposés et la manière dont les oppositions sont appliquées. - Peut-on considérer le silence comme un accord ?
Non. Pour les nouvelles collectes, le silence vaut refus. Si la personne ne donne pas une action positive claire pour le suivi marketing par pixel, le pixel ne doit pas être activé pour cette finalité. - Quel impact sur les statistiques d’emailing ?
Le volume d’ouvertures mesurables va mécaniquement baisser. Ça ne veut pas dire que vos emails sont moins lus ou que vos campagnes performent moins. Ça veut dire qu’une partie du signal disparaît. Il faut donc piloter davantage avec les clics, conversions, réponses, désabonnements et la qualité réelle de la base.
A propos de l’auteur
Je suis Franck Scandolera, expert et formateur en tracking avancé server-side, Analytics Engineering, automatisation No/Low Code avec n8n, intégration de l’IA en entreprise et SEO/GEO. J’accompagne des équipes marketing, data et digitales sur leurs sujets de mesure, conformité et automatisation, avec des références comme Logis Hôtel, Yelloh Village, BazarChic, la Fédération Française de Football ou Texdecor. Je dirige l’agence webAnalyste et l’organisme Formations Analytics. Si vous voulez remettre votre tracking email, votre analytics ou vos automatisations au propre, contactez-moi, je peux vous aider.
⭐ Data Analyst, Analytics Engineer et expert dans l’automatisation IA ⭐
Ref clients : Logis Hôtel, Yelloh Village, BazarChic, Fédération Football Français, Texdecor…
Mon terrain de jeu :
Data Analyst & Analytics engineering : tracking propre RGPD, entrepôt de données (GTM server, BigQuery…), modèles (dbt/Dataform), dashboards décisionnels (Looker, SQL, Python).
Automatisation IA des taches Data, Marketing, RH, compta etc : conception de workflows intelligents robustes (n8n, Make, App Script, scraping) connectés aux API de vos outils et LLM (OpenAI, Mistral, Claude…).
Engineering IA pour créer des applications et agent IA sur mesure : intégration de LLM (OpenAI, Mistral…), RAG, assistants métier, génération de documents complexes, APIs, backends Node.js/Python.