Pixels de suivi dans les courriers électroniques : la CNIL publie ses recommandations pour mieux protéger la vie privée

Qu’est-ce qu’un pixel de suivi ?

Le pixel de suivi (parfois appelé « pixel espion » ou pixel de « tracking » en anglais) est une méthode de traçage alternative aux traceurs et témoins de connexion (cookies), habituellement mise en œuvre sous la forme d’une image réduite (1 pixel par 1 pixel), intégrée dans un site web ou un courriel et invisible pour l’utilisateur.

Le chargement de cette image, dont le nom contient un identifiant de l’utilisateur, permet de savoir que l’utilisateur tracé a visité une page ou lu un courriel.

Un recours croissant aux pixels de suivi dans les courriels

L’usage de pixels de suivi dans les courriels n’est pas une pratique nouvelle mais connaît, depuis quelques années, une certaine croissance.

Cette technique est utilisée pour des objectifs variés : personnaliser la communication en fonction de l’intérêt des utilisateurs, mesurer l’audience, améliorer la bonne réception des courriels (aussi appelé la mesure de la « délivrabilité »), etc.

Elle soulève des enjeux particuliers dans le contexte de la messagerie électronique, espace personnel destiné à la consultation de contenus privés.

La CNIL a donc souhaité préciser le cadre juridique de cette pratique, notamment au regard du nombre croissant de plaintes qu’elle a reçues à ce sujet.

Des recommandations pour une meilleure conformité à la règlementation

Des ressources pour tous les acteurs

La recommandation de la CNIL s’adresse à tous les organismes, privés ou publics (entreprises, associations, administrations, collectivités), qui utilisent des pixels de suivi dans les courriels ainsi qu’aux prestataires techniques auxquels ils peuvent avoir recours.

Les objectifs de la recommandation

La recommandation de la CNIL vient compléter les lignes directrices du Comité européen de la protection des données (CEPD) sur les technologies couvertes par la règlementation relative aux traceurs (article 82 de la loi Informatique et Libertés) ainsi que la recommandation « cookies et autres traceurs » de la CNIL. Elle tient compte des spécificités technologiques et opérationnelles liées aux courriels.

Clarifier et encadrer le rôle de chaque acteur.

La recommandation aide les acteurs qui utilisent des pixels de suivi dans les courriels à analyser, au cas par cas, leur rôle et mieux comprendre leurs obligations respectives.

Distinguer les pixels qui nécessitent le consentement de ceux qui en sont exemptés.

La recommandation précise également les cas dans lesquels le consentement sera nécessaire pour l’utilisation de pixels de suivi dans les courriels et ceux qui en sont exemptés, conformément à l’article 82 de la loi Informatique et Libertés.

Éclairer sur les modalités de recueil, de retrait et de preuve du consentement.

La recommandation fournit des conseils concrets pour recueillir un consentement éclairé et libre, afin d’améliorer l’information et le contrôle des personnes sur leurs données. Elle précise également les modalités de retrait du consentement pour que celui-ci soit effectif et rappelle les règles en matière de preuve.

Lire la recommandation

Des recommandations enrichies par une large consultation publique

Des contributions riches d’acteurs variés

Sur le modèle de ses travaux sur les cookies et autres traceurs, la CNIL a conduit une concertation avec les principales associations professionnelles concernées et des associations de la société civile. Celle-ci a permis d’appréhender au mieux les enjeux juridiques, les contraintes techniques des professionnels ainsi que les inquiétudes des personnes concernées.

Le projet de recommandation issu de ces travaux a ensuite été soumis à consultation publique, en juin 2025, pour recueillir les avis de l’ensemble des parties prenantes, qu’elles soient issues du secteur associatif, du grand public ou des milieux professionnels. Par ailleurs, les travaux de la CNIL ont été alimentés par une consultation spécifique aux enjeux économiques.

La CNIL a ainsi reçu des contributions émanant d’acteurs variés de l’écosystème lié aux pixels, par exemple des entreprises les utilisant dans leurs courriels, mais aussi des particuliers, des associations ou d’autres autorités de protection des données.

• Lire la synthèse des contributions à la consultation générale
• Lise la synthèse des contributions à la consultation sur les enjeux économiques

Un projet enrichi par la consultation publique

Les contributions reçues lors de la consultation publique ont permis de faire évoluer la compréhension de la CNIL et d’enrichir sa recommandation.

Ainsi, la CNIL a fait évoluer sa recommandation et apporté plusieurs clarifications :

• La version définitive de la recommandation reconnaît l’existence d’une exemption au consentement pour la mesure individuelle de la délivrabilité des courriels rattachés à un service demandé par le destinataire. Elle permet aux acteurs d’identifier les destinataires qui n’ouvrent plus leurs courriels afin de retirer de leurs listes les personnes devenues inactives, c’est-à-dire celles qui ne souhaitent manifestement plus être sollicitées. L’objectif est de préserver la réputation des systèmes d’envoi en évitant de continuer à solliciter des personnes qui ne semblent plus souhaiter recevoir ces messages. Cette exemption reste toutefois strictement encadrée : les données utilisées doivent être limitées au strict nécessaire et ne peuvent servir qu’à mesurer la délivrabilité des messages.
• La recommandation précise les courriels qui peuvent être rattachés à un service demandé par le destinataire : il s’agit des courriels dits « transactionnels » (alertes de compte, notifications liées à des événements comme l’expédition d’un colis, confirmations de commande et factures d’achat, rappels et réinitialisation de mot de passe, alertes de sécurité et notification de violation, etc.) et de ceux pour lesquels le destinataire a donné son consentement.
• Par ailleurs, la CNIL adopte une approche progressive : pour les courriels envoyés à des adresses collectées avant la publication de la recommandation, il est seulement demandé aux acteurs, dans un délai de trois mois, d’informer clairement les destinataires de l’utilisation de pixels pour les mettre en mesure de s’y opposer facilement s’ils le souhaitent.

Ces évolutions traduisent la volonté de la CNIL de tenir compte des réalités opérationnelles des professionnels tout en assurant un cadre protecteur pour les personnes concernées.

Les prochaines étapes

La CNIL accompagnera ces prochains mois les acteurs professionnels, notamment à travers des webinaires.

L’objectif est que les professionnels s’approprient au mieux les règles et garanties précisées dans la recommandation et qu’ils puissent mettre en œuvre les mesures nécessaires pour assurer leur respect effectif.

La CNIL veillera ensuite, dans le cadre de ses missions de contrôles à venir, au respect des règles applicables dans ce domaine.