Tu mesures tes taux d’ouverture depuis des années. Tu ouvres ta plateforme d’emailing le lendemain de chaque campagne, tu regardes le chiffre, tu hoches la tête, tu décides de la suite. Et là, tranquillement, la CNIL débarque et te dit que cette mesure — celle sur laquelle tu pilotes tout — est probablement illicite. Pas dans une zone grise. Illicite.

Je préparais tranquillement ma reprise. Et voilà-t-y pas que la CNIL déboule dans notre univers comme un chien dans un jeu de quilles. Sauf qu’à y regarder de plus près, le chien, il était annoncé. Depuis longtemps. Et ceux qui ont suivi ce blog s’en souviennent.

Reposons le contexte pour ceux qui ont raté le train, et pour ceux qui ne savaient même pas qu’il y avait une gare.

Le pixel de tracking, c’est quoi au juste ?

Dans chaque email HTML que tu reçois ou que tu envoies, il y a de grandes chances qu’il y ait une image invisible, un carré d’un pixel sur un pixel, hébergée sur un serveur distant. Quand ton client de messagerie affiche l’email, il va chercher cette image sur ce serveur. Cette requête transporte des informations : qui tu es, quand tu as ouvert, depuis quel appareil. Le serveur enregistre tout ça. Et c’est ainsi que ta plateforme d’emailing sait que tu as ouvert le message de lundi à 9h37 depuis un iPhone.

Élégant, discret, quasi universel depuis vingt ans. Et officiellement, depuis le 12 mars 2026, traité par la CNIL exactement comme un cookie web.

Ce que dit la recommandation

La CNIL a rendu sa délibération après une consultation publique lancée en juin 2025. Le document fait onze pages. Lire les onze pages des recommandations de la CNIL, c’est comme manger une tête de veau en plein cagnard : tu te dis que c’est pas le truc le plus digeste que t’aie connu. Alors voilà ce que ça dit en vrai.

Le principe est simple : le pixel de tracking dans un email, c’est un traceur au sens de l’article 82 de la loi Informatique & Libertés. Exactement comme un cookie. Et un traceur, ça nécessite le consentement préalable du destinataire, sauf dans des cas très précis.

Ces cas précis, la CNIL les liste. Deux usages sont exemptés de consentement : les pixels servant à sécuriser une authentification (tu sais, le code à usage unique qu’on t’envoie par email pour vérifier que c’est bien toi avant de te laisser accéder à ton compte), et les pixels utilisés uniquement pour mesurer la délivrabilité au sens strictement littéral du terme. C’est-à-dire : identifier les destinataires qui n’ouvrent plus rien depuis longtemps, pour nettoyer ta base et arrêter de leur envoyer des emails. Rien d’autre.

Les margoulins vont être déçus : la CNIL a visiblement tiré les leçons de ce qui s’est passé avec les cookies, quand certains acteurs avaient transformé le concept d’“intérêt légitime” en fourre-tout commode pour y glisser à peu près n’importe quel traitement. Le même réflexe allait se reproduire ici. La CNIL a verrouillé la porte d’avance : seule la date de la dernière ouverture, à la journée et sans l’heure, peut être conservée, et elle doit être écrasée à chaque nouvelle ouverture. Pas d’historique. Pas d’heure précise. Pas de cumul. Si ton outil fait plus que ça, tu es hors cadre.

Tout le reste nécessite un consentement explicite. Mesurer les performances de tes campagnes, personnaliser le contenu, adapter la fréquence, créer des profils, piloter ta stratégie cross-canal : tout ça, consentement requis.

Deux consentements séparés, d’ailleurs. Ton abonné a accepté de recevoir tes emails. Il n’a pas pour autant accepté que tu le surveilles.

Et le mot “surveiller” n’est pas exagéré. J’avais posé le concept dès décembre 2018 sur ce blog, et développé à l’EMDay en mai 2019 : quand un pixel de tracking collecte non seulement la date d’ouverture mais aussi l’adresse IP, le système d’exploitation, l’appareil, l’heure précise, le lieu probable, un email ordinaire devient un spymail. Un outil de renseignement déguisé en newsletter. C’est précisément ce potentiel de dévoiement que la CNIL vient encadrer, sept ans plus tard.

Ce que ça change pour toi, même si tu n’y as jamais pensé

La recommandation CNIL ne vise pas seulement les grandes entreprises dotées d’une direction juridique et d’un DPO à plein temps. Elle s’applique à toi, à ta PME, à ton association, même si tu ne sais pas ce qu’est un pixel, même si ton outil d’emailing l’a activé sans te demander ton avis, même si tu n’as jamais entendu le mot “tracking” de ta vie. L’ignorance ne protège pas. Dura lex sed lex.

Et la quasi-totalité des plateformes d’emailing du marché active ce tracking par défaut. Sans que tu le demandes. Sans que tes abonnés le sachent.

La bombe silencieuse du BtoB

Tu penses peut-être que le BtoB t’en protège. Que l’opt-out suffit pour la prospection professionnelle, que tu n’es pas vraiment concerné. Détrompe-toi. La recommandation est explicite : dès que l’adresse email est nominative — jean.dupont@entreprise.com — elle correspond à une personne physique identifiable. Les règles s’appliquent. Toute la mécanique des séquences de prospection automatisées avec tracking d’ouverture, les outils qui te signalent que ton prospect a ouvert ton email trois fois en deux heures : tout ça est dans le périmètre. C’est un sujet sur lequel je reviendrai dans un article dédié, parce qu’il mérite son propre développement.

Ce qu’il faut faire maintenant

La CNIL a prévu une clause de transition pour les adresses déjà collectées : tu as en principe trois mois à compter de la publication de la recommandation pour informer clairement tes destinataires de l’existence du pixel et leur permettre de s’y opposer. La version finale de la recommandation a été adoptée le 12 mars 2026 mais c’est la date d’insertion au Journal Officiel qui débute le compte à rebours. Ce délai court depuis le 14 avril 2026. Pour les nouvelles adresses collectées, c’est applicable immédiatement.

Traduction sans fioritures : t’as moins de trois mois pour régulariser l’existant. Pour le reste, c’est maintenant.

Première étape concrète : va vérifier si le tracking est activé par défaut sur ta plateforme. Sur la plupart des outils du marché, c’est une case cochée quelque part dans les paramètres, souvent sans que tu aies jamais eu à y toucher. Si tu ne sais pas où chercher, c’est que tu ne l’as probablement jamais désactivée. 😉

Deuxième étape : tes formulaires d’inscription. Le consentement au pixel doit être distinct du consentement à recevoir tes emails. Deux cases séparées, deux formulations séparées. Les plateformes qui n’ont pas encore prévu ça vont devoir s’adapter.

Un mot avant de conclure sur une donnée qui relativise encore davantage la valeur de tout ça. Depuis septembre 2021, Apple a déployé sa Mail Privacy Protection. En clair : quand tu reçois un email sur un appareil Apple avec le client mail natif, l’image du pixel est préchargée automatiquement par les serveurs d’Apple, avant même que tu ouvres le message. Le pixel se déclenche sans ouverture réelle. Résultat : les taux d’ouverture sur iOS sont gonflés artificiellement depuis près de cinq ans. Ton taux d’ouverture était déjà partiellement fictif. La CNIL vient juste d’y ajouter “et potentiellement illicite”.

Si tu veux commencer par un état des lieux de ta configuration technique globale — SPF, DKIM, DMARC, réputation de domaine, tout ce qui conditionne la vie de tes emails avant même qu’on parle de tracking — c’est ce que couvre l’audit Wefficient. La détection du pixel dans tes emails sortants est en cours d’intégration pour la prochaine version de l’outil. Si tu veux en être, contacte-moi.