La CNIL s'attaque aux pixels espions cachés dans les e-mails
Certains mails contiennent des pixels de suivi, des traceurs invisibles qui peuvent collecter des informations sur vos habitudes numériques. La CNIL vient de publier ses recommandations officielles pour encadrer cette pratique.
Invisible à l’œil nu, le pixel de suivi incorporé dans les e-mails est un moyen très efficace pour les entreprises de pister les habitudes de lecture de leurs cibles. Si cette pratique de traçage est loin d'être nouvelle, elle s'est cependant particulièrement développée au cours des dernières années.
À tel point que la Commission nationale de l'informatique et des libertés (CNIL) a décidé, en juin 2025, de réaliser une grande consultation publique afin de clarifier le cadre juridique applicable à cette technique et les obligations qui en découlent pour les organismes concernés. Elle a publié ses recommandations finales le mardi 14 avril 2026.
Pixels de suivi : la technique des traceurs invisibles
Un pixel de suivi, aussi appelé "pixel espion" ou "pixel de tracking", est une image d'un pixel sur un pixel intégrée dans un e-mail. Il est tellement minuscule qu'il en est invisible pour le destinataire. Lorsqu'un message est ouvert, ce pixel se charge automatiquement depuis un serveur distant et transmet diverses informations techniques comme l'adresse IP, le type d'appareil utilisé, la localisation approximative, l'heure d'ouverture ou encore un identifiant unique associé au destinataire. Le tout peut se faire à l'insu de l'internaute.
Ce mécanisme permet aux entreprises et organisations qui y ont recours de savoir si un e-mail a été lu, quand, et parfois par qui. Tout cela leur permet de savoir si le message a bien été ouvert, mais aussi de mesurer l'efficacité de leurs campagnes et de personnaliser leurs communications en s'adaptant aux comportements observés.
Longtemps cantonnée à des usages marketing relativement discrets, cette technologie s'est largement diffusée ces dernières années. Et, si elle peut paraître relativement inoffensive, elle permet un suivi individualisé dans un espace considéré par la CNIL comme un espace personnel "destiné à la consultation de contenus privés" : la boîte mail. Et, étant donné le nombre de plaintes reçues, le gendarme du numérique a décidé de s'intéresser à cette pratique.
Pixels de suivi dans les courriers électroniques
— CNIL (@CNIL) April 14, 2026
La CNIL publie la version finale de ses recommandations. Professionnels, quelles sont vos obligations ? https://t.co/gTt4MNFc6P
Particuliers, quels sont vos droits ? https://t.co/grsBuXgyyx pic.twitter.com/P1nbidUtkm
Aussi, la CNIL a engagé en juin 2025 une consultation publique, qui était ouverte aux entreprises, aux associations et aux citoyens, afin de préciser le cadre applicable et d'élaborer une recommandation spécifique. L'objectif est double : clarifier les obligations juridiques pour les acteurs du numérique et renforcer la protection des utilisateurs. La version définitive de sa recommandation a donc été publiée le 14 avril 2026.
Pixels de suivi : les recommandations de la CNIL
La recommandation concerne l'ensemble des acteurs impliqués dans l'envoi d'e-mails : entreprises, administrations, associations, mais aussi prestataires techniques et plateformes d'emailing. Même lorsqu'une organisation n'installe pas directement le pixel, elle peut être tenue responsable si elle en tire bénéfice.
Sur le plan juridique, les pixels de suivi sont assimilés à des traceurs, comme le stipule la loi Informatique et Libertés. Leur utilisation implique donc, en principe, le recueil préalable du consentement de l'utilisateur, qui doit être libre, spécifique, éclairé et univoque. Concrètement, cela signifie que les destinataires doivent être informés de manière claire avant toute collecte de données, et qu'ils doivent pouvoir accepter ou refuser facilement ce suivi. Cela peut être fait dès la collecte de leur adresse e-mail par exemple, en proposant un premier message sans traceur ou en intégrant un mécanisme simple de retrait du consentement dans chaque courriel.
La recommandation de la CNIL précise les cas dans lesquels le consentement sera nécessaire et ceux qui en sont exemptés. Ainsi, dans certains cas très limités, un pixel de suivi peut être utilisé sans consentement s'il est strictement nécessaire à une finalité technique légitime, comme vérifier l'ouverture du message et maintenir la qualité d'une liste d'envois.
Attention, les données collectées doivent être minimales et proportionnées : il ne s'agit pas de suivre précisément le comportement d'un individu, mais simplement de vérifier si un message a été ouvert ou non dans une logique technique. Ensuite, ces données ne peuvent pas être utilisées à d'autres fins, comme le profilage, la personnalisation marketing ou l'analyse comportementale détaillée. Enfin, même sans consentement, une information claire doit être fournie à l'utilisateur sur l'existence de ce traitement.
La CNIL est consciente que les entreprises ne vont pas pouvoir changer leurs habitudes du jour au lendemain. Aussi, pour les bases de contacts déjà constituées, un délai de mise en conformité est prévu pour informer leurs destinataires de la présence de pixels de suivi dans leurs courriels et leur indiquer clairement comment s'y opposer. Des webinaires vont être organisés pour aider les professionnels à intégrer ces nouvelles exigences. À l'issue de cette phase d'adaptation, l'autorité pourra engager des contrôles et, en cas de manquements, envisager des sanctions.