Retour au blogSécurité

Pixel espion dans les e-mails : la CNIL muscle les règles RGPD en 2026

CZSyn
11 juillet 2026
5 min

Depuis le 12 mars 2026, la CNIL encadre les pixels espions dans les e-mails marketing : ce qui change pour les PME et comment rester conforme au RGPD.

Une enveloppe e-mail affichée sur un écran d'ordinateur dans un bureau sombre, avec un point lumineux mettant en évidence un pixel de suivi invisible
Ce qu'il faut retenir.
  1. Le 12 mars 2026, la CNIL a adopté une recommandation qui rattache les pixels de suivi dans les e-mails à l'article 82 de la loi Informatique et Libertés, sur le même principe que les cookies.
  2. Le consentement au tracking doit désormais être recueilli avant l'envoi, dès la collecte de l'adresse e-mail : refuser doit être aussi simple qu'accepter, et l'absence de réponse vaut refus.
  3. Pour les PME qui envoient des newsletters ou des relances commerciales, cela implique de séparer le consentement au tracking de celui à la newsletter et de documenter chaque accord recueilli.

Résumé généré par IA

Le 12 mars 2026, la CNIL a adopté une recommandation qui rattache les pixels espions glissés dans les e-mails à l'article 82 de la loi Informatique et Libertés, le même texte qui encadre déjà les cookies. Conséquence immédiate : plusieurs organisations françaises, dont la RATP et des agences de communication, ont commencé à prévenir leurs destinataires qu'un pixel invisible suit l'ouverture de leurs messages.

Cette annonce mérite qu'on s'y arrête, surtout si votre entreprise envoie des newsletters, des relances commerciales ou des communiqués de presse. On décrypte ce que le pixel de tracking fait réellement, ce que la CNIL impose désormais, et comment une PME française peut se mettre en conformité sans abandonner ses statistiques d'ouverture.

Un pixel de suivi, en trois lignes

Rappel utile pour ceux qui découvrent le sujet : un pixel de tracking est une image invisible, souvent d'un pixel sur un pixel, intégrée au corps d'un e-mail. Quand le logiciel de messagerie charge cette image distante, il prévient l'expéditeur. Ce dernier peut alors savoir qu'un message a été ouvert, à quelle date, depuis quelle adresse IP, et parfois quel type d'appareil a servi à la lecture.

Pris isolément, un signal de ce genre paraît anodin. Répété sur plusieurs campagnes, il permet de mesurer la régularité des consultations, les horaires de lecture ou l'engagement envers certains messages. Le pixel devient un outil d'analyse comportementale, d'autant plus discret que le destinataire ne clique sur rien pour le déclencher.

Ce que la recommandation du 12 mars 2026 change concrètement

Jusqu'ici, la pratique restait largement invisible : les pixels s'inséraient dans les templates d'envoi sans qu'aucune mention particulière n'informe le lecteur. La recommandation de la CNIL pose un principe clair : un accord préalable devient nécessaire dès lors que le suivi sert à évaluer une campagne, adapter des contenus, construire des profils ou repérer des comportements considérés comme frauduleux.

Le point le plus structurant concerne le moment où ce consentement doit être recueilli. Prévenir le destinataire après l'avoir déjà inscrit dans un dispositif de mesure ne suffit pas. Le consentement doit être demandé avant le déclenchement du traceur, idéalement au moment même où l'adresse e-mail est collectée, par exemple lors de l'inscription à une newsletter.

Consentement, opposition, rétention : les nouvelles règles

  • Un choix réel. Refuser ne peut pas demander plus d'efforts qu'accepter, et une absence de réponse doit être interprétée comme un refus, jamais comme une autorisation tacite.
  • Un retrait facile. Un lien d'opposition accessible depuis chaque message, en pied de courriel ou via une page dédiée, comme le propose la RATP pour sa base de relations presse.
  • Une responsabilité assumée par l'expéditeur. Une entreprise ne peut pas se contenter d'invoquer son contrat avec une plateforme d'envoi. Elle doit pouvoir démontrer que chaque destinataire a valablement accepté le suivi.

Des exemptions existent, notamment pour les fonctions liées à la sécurité, à l'authentification ou à la délivrabilité. Elles ne constituent pas un blanc-seing : la collecte doit rester proportionnée. Pour mesurer la délivrabilité, la CNIL recommande par exemple de ne conserver que la date de la dernière ouverture connue, sans enregistrer l'heure précise.

Ce que ça implique pour une PME qui envoie des e-mails

Si votre entreprise utilise une plateforme d'envoi (outil de newsletter, CRM, séquenceur commercial), trois chantiers concrets découlent de cette recommandation.

  • Séparer le consentement au tracking du consentement à la newsletter. Une case à cocher générique pour recevoir des actualités ne couvre pas automatiquement le suivi comportemental. Mieux vaut informer explicitement, au moment de la collecte de l'adresse, que les ouvertures sont mesurées.
  • Ajouter un lien d'opposition visible et fonctionnel en pied de chaque message, distinct du lien de désabonnement classique, pour permettre de refuser le tracking sans renoncer à recevoir les communications.
  • Documenter la preuve du consentement : date, formulaire utilisé, texte affiché au moment de la collecte. En cas de contrôle, c'est l'expéditeur qui devra la produire, pas son prestataire technique.

La source de cette actualité relève d'ailleurs une pratique à éviter : un e-mail qui informe après coup du tracking en cours et propose une opposition sous un délai d'un mois inverse la logique voulue par la CNIL. Le message implicite devient « si vous ne répondez pas, nous continuons de vous suivre », alors que l'absence de réponse doit précisément valoir refus. Une PME qui construit son formulaire de collecte avec ce principe en tête dès le départ s'évite ce genre de correction a posteriori.

Comment un lecteur peut se protéger dès maintenant

En attendant que les pratiques s'harmonisent, plusieurs réflexes restent à la portée de n'importe quel destinataire : vérifier les mentions en pied de courriel, utiliser le lien d'opposition ou de retrait quand il existe, et activer le blocage du chargement automatique des images distantes proposé par de nombreux clients de messagerie. Certaines messageries, comme Proton Mail, alertent directement l'utilisateur lorsqu'un pixel de suivi est détecté dans un message reçu. Ce blocage technique ne remplace pas les obligations légales de l'expéditeur, mais il limite la collecte en pratique.

Notre lecture chez CZSyn

Sur les sites que nous accompagnons, l'emailing reste un canal clé : newsletters, relances de devis, suivi client. Cette recommandation de la CNIL n'interdit rien, elle demande de la transparence et une meilleure architecture de consentement. Concrètement, cela veut dire revoir vos formulaires d'inscription, vos pieds de mail et la manière dont votre outil d'envoi documente les acceptations.

Pour une PME, c'est aussi une occasion. Les entreprises qui jouent la transparence sur leur tracking, à l'image de ce que propose la RATP avec sa page dédiée, envoient un signal de sérieux à leurs lecteurs. À l'inverse, un dispositif d'opposition mal conçu ou un délai de réponse imposé expose à un rappel à l'ordre bien plus coûteux qu'un audit préventif de votre stack d'envoi.

Votre newsletter est-elle vraiment conforme au RGPD ?

Nous auditons vos formulaires de collecte, vos outils d'envoi et vos pieds de mail pour sécuriser votre conformité CNIL. Audit gratuit sous 24h, développement sur-mesure ou dépannage rapide selon vos besoins.

29 AVIS 5/5 · +200 PROJETS LIVRÉS · RÉPONSE EXPRESS

Sources primaires

Un projet en tête ?

Diagnostic gratuit, devis ferme, et un seul interlocuteur du premier appel à la mise en ligne.