Pixels espions dans les e-mails : que prévoit la CNIL dans son projet de recommandation ?

12/06/2025

Pourquoi la CNIL s'intéresse aux « pixels de suivi » dans les courriels ?

De plus en plus d’e-mails contiennent des traceurs invisibles appelés pixels de suivi ou pixels espions. Ces mini-images (1x1 pixel) permettent à l’expéditeur de savoir si un e-mail a été ouvert, quand, sur quel appareil, etc.

Problème : ces pixels sont insérés sans que les destinataires s’en rendent compte et permettent de collecter des données personnelles, souvent à des fins marketing.

Face à cela, la CNIL a lancé une consultation publique sur un projet de recommandation destiné à mieux encadrer leur usage, protéger la vie privée et clarifier les obligations des professionnels.

Qu’est-ce qu’un pixel espion, concrètement ?

Un pixel espion est une petite image intégrée dans un e-mail, hébergée sur un serveur distant. Lorsqu’un destinataire ouvre le message, une requête est envoyée à ce serveur, ce qui permet de :

• savoir que l’e-mail a été ouvert,
• récupérer l’adresse IP du destinataire,
• connaître le terminal utilisé, l’heure d’ouverture, etc.

Ces données sont précieuses pour les services marketing… mais elles relèvent du champ de la protection des données personnelles.

Ce que prévoit la CNIL : les grandes lignes

1. Le consentement devient (encore plus) central

La CNIL rappelle que l’usage de pixels dans les e-mails est soumis à l’article 82 de la loi Informatique et Libertés (transposition de la directive ePrivacy). Cela implique :

✅ Le recueil d’un consentement clair et éclairé avant de placer des pixels pour :

• mesurer individuellement le taux d’ouverture,
• personnaliser les campagnes,
• créer des profils,
• détecter des comportements suspects (fraude, automates…).

🚫 Aucun pixel espion ne doit être activé sans accord explicite du destinataire.

2. Quelques cas exemptés de consentement

La CNIL admet que le consentement n’est pas requis lorsque :

• le pixel est utilisé uniquement pour sécuriser l’ouverture d’un lien (ex : mot de passe),
• les statistiques sont globales et anonymes (pas de suivi individuel).

⚠️ Dans tous les cas, les traitements ultérieurs (exploitation des données collectées) doivent aussi respecter le RGPD.

Qui est concerné par ces règles ?

La CNIL identifie plusieurs acteurs :

• L’expéditeur du courriel (entreprise, association…) : responsable du traitement,
• Le prestataire d’emailing : souvent sous-traitant, sauf s’il utilise les données à ses propres fins (co-responsabilité),
• Le fournisseur de la technologie de traçage : également concerné s’il utilise les données collectées,
• Le fournisseur de messagerie : pas responsable, mais peut techniquement bloquer les pixels.

Comment se conformer ? Ce que la CNIL recommande

💬 Informer clairement

Avant tout consentement, l’utilisateur doit être informé :

• des finalités précises (ex. : suivi des ouvertures, personnalisation…),
• des entreprises qui utiliseront les données,
• de la possibilité de retirer son accord à tout moment.

💡 Exemple de formulation conseillée :

« Nous utilisons des traceurs pour savoir si vous ouvrez nos courriels, à quelle heure, et sur quel terminal, afin d’en améliorer le contenu. »

🔐 Recueillir un consentement valable

Recueillir le consentement au moment de la collecte de l’adresse e-mail (ex : formulaire).

Sinon, envoyer un premier message sans pixel, proposant de consentir via un lien dédié.

Attention : Le consentement ne peut pas être implicite ou groupé pour plusieurs usages non liés.

↩ Permettre le retrait du consentement

Chaque e-mail contenant un pixel doit inclure un lien de retrait, facile d’accès.

Le retrait doit être effectif immédiatement, même pour les e-mails déjà envoyés.

📁 Conserver la preuve

Les entreprises doivent pouvoir prouver que le consentement a bien été recueilli, quand, comment et pour quelles finalités.

Consultation publique jusqu’au 24 juillet 2025 📆 

La CNIL invite tous les acteurs concernés (entreprises, prestataires, citoyens…) à donner leur avis sur ce projet avant le 24 juillet 2025. Un questionnaire spécifique est proposé pour évaluer les impacts économiques et techniques de ces futures règles.

👉 Voir le projet de recommandation (PDF)

En résumé : ce qu’il faut retenir

• Les pixels espions sont des traceurs soumis à la loi ePrivacy.
• Leur usage dans les e-mails nécessite un consentement explicite, sauf rares exceptions.
• La CNIL veut clarifier les règles pour aider les professionnels à se mettre en conformité.
• Le retrait du consentement doit être aussi simple que son acceptation.
• Un cadre contractuel clair est requis pour les acteurs impliqués (emailing, tech…).

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus