Recommandation CNIL sur les pixels de suivi dans les emails : ce qui change et les questions en suspens

INTRODUCTION

La CNIL a publié le 14 avril 2026 sa recommandation officielle sur les pixels de tracking dans les courriers électroniques (délibération n° 2026-042 du 12 mars 2026). Pour les professionnels de l'email, ce texte ne tombe pas du ciel : il s'inscrit dans la continuité directe de la recommandation cookies de 2020 et des lignes directrices du CEPD publiées en octobre 2024. La logique est la même : tout mécanisme qui lit passivement des informations sur le terminal d'un utilisateur est soumis à l'article 82 de la loi Informatique et Libertés. Les pixels d'email n'échappent pas à cette règle.

Pour les expéditeurs qui ont déjà sérieusement travaillé leur conformité RGPD, l'impact immédiat est limité. Les bases légales, les politiques de confidentialité, les contrats avec les ESPs… tout cela est déjà en place. Ce que la recommandation apporte, c'est une clarification bienvenue sur les cas d'exemption, notamment pour la délivrabilité. Mais cette clarification soulève aussi des questions techniques auxquelles le texte ne répond pas, et un dispositif transitoire dont l'exécution risque de produire des effets inverses à ceux recherchés.

CE QUE LA RECOMMANDATION CHANGE CONCRÈTEMENT

Le principe est simple : un pixel de suivi dans un email nécessite en principe le consentement préalable du destinataire, sauf dans deux cas exemptés :

• les mesures de sécurité liées à l'authentification
• la mesure de délivrabilité pour le nettoyage des inactifs, uniquement sur les emails transactionnels ou les emails pour lesquels un consentement à la réception a été recueilli.

Ce qui nécessite le consentement : la mesure de performance des campagnes, le profilage cross-canal, et la détection de fraude.

La bonne nouvelle pour l'industrie : la CNIL a explicitement reconnu, après consultation publique, que le nettoyage des inactifs est une pratique légitime exemptée de consentement. C'est une victoire pour les expéditeurs responsables qui font de la délivrabilité sérieuse. Elle a également défini clairement ce qu'est un email transactionnel (confirmations de commande, alertes de compte, réinitialisations de mot de passe, etc…), ce qui donne un cadre exploitable.

La contrainte : pour l'usage exempté, seule la date (sans l'heure) de la dernière ouverture peut être conservée. Les historiques complets d'ouverture individuels ne sont plus compatibles avec cette finalité de délivrabilité.

COMMENT SE METTRE EN CONFORMITE ?

Pour toutes les adresses abonnées avant la parution de ces recommandations officielles, il suffira d’informer les utilisateurs concernés de l’utilisation d’un pixel de tracking dans les emails et d’offrir une possibilité d’Opt-Out.

En cas d’Opt-Out, il ne sera désormais plus possible de traquer que les ouvertures, sauf dans le cadre de l’exemption de délivrabilité à des fins de nettoyage des inactifs.

Pour tous les nouveaux abonnements, il va être nécessaire de mettre à jour au plus vite les formulaires de collecte afin de recueillir un consentement dédié à ce fameux pixel de tracking.

Bref, ça semble très simple, mais il reste des questions !

TROIS QUESTIONS QUE LE TEXTE LAISSE EN SUSPENS…

L'exemption délivrabilité sans détection des NHI (Non Human Interactions) est inapplicable

C'est le point le plus critique.

Apple Mail Privacy Protection charge les pixels pour l'ensemble des utilisateurs Apple Mail sans action humaine… Cette fonctionnalité s’appliquant sur environ 15 millions de devices en France ! Les services/plateformes B2B comme Proofpoint, Mimecast ou encore Cisco SEG en font de même. Sans filtrage des Non Human Interactions, un contact inactif depuis X mois verra sa dernière ouverture mise à jour à chaque envoi. Les bases ne seront jamais nettoyées, et la recommandation produira exactement l'inverse de son objectif.

Or détecter qu'une ouverture est humaine ou non repose sur les mêmes signaux que la "détection de fraude" soumise, elle, au consentement. Le filtrage des NHI doit être explicitement reconnu comme nécessaire à la finalité délivrabilité exemptée. Sans cette clarification, l'exemption est une coquille vide…

Il faut ajouter à cela l’effet pervers de cette absence de détection des NHI : elle va permettre aux expéditeurs mal-intentionnés de conserver le pixel de tracking des ouvertures sans que cela n'entraîne aucun nettoyage d’inactifs… Cet objectif ne servant alors plus que d’excuse à la conservation du tracking sans consentement. 

On entend déjà ces mauvais acteurs contacter les opérateurs en justifiant leurs mauvaises pratiques par : “C’est pas ma faute, c’est la CNIL qui me l’a imposé !”

L'information par email ne garantit rien

Le dispositif transitoire impose d'informer les bases existantes dans les trois mois via un email. La preuve de conformité opposable en cas de contrôle sera une simple réponse SMTP avec le code 250 : le mail a été accepté ! 

Sauf que le Mailbox Provider n’a aucune obligation de délivrer le mail au destinataire, ni même de le mettre en boîte de réception, il peut parfaitement arriver en Spam ! De même, le destinataire n'a aucune obligation d'ouvrir cet email. 

In fine, l'expéditeur cochera la case "informé" alors que potentiellement le destinataire n’aura jamais rien su de tout cela. 

C'est une conformité formelle, pas une protection réelle.

Le délai de trois mois est un risque pour l’ensemble de l’écosystème

Ce délai ne s'applique pas qu'aux expéditeurs français, il concerne tous les expéditeurs ayant des contacts résidant en France et par conséquent les mastodontes mondiaux tels que Booking, Netflix, Apple, Google, et des milliers d'autres. 

Contrairement aux périodes de soldes, qui parviennent déjà à saturer les infrastructures des opérateurs lors des très gros pics, il va falloir s’attendre à des milliards de mails hors-cycle, non planifiés, qui vont arriver simultanément chez tous les opérateurs. 

On peut faire un calcul très simple : si on considère qu’en France chaque utilisateur a 3 abonnements numériques actifs, 5 abonnements à une newsletter et 50 comptes sur des sites e-commerce, cela veut dire que chaque utilisateur, dans les 3 prochains mois, devrait recevoir environ 58 emails uniquement pour les informer du pixel de tracking. En ajoutant qu’il y a en France environ 150 millions d’adresses (actives ou non…), cela veut dire que ces campagnes vont générer sur les 3 prochains mois près de 7,5 milliards de mails ! 

Le résultat prévisible : throttling, filtrage, dégradation durable des réputations des domaines et des IPs, y compris pour les emails transactionnels légitimes. 

Tout cela pour obtenir un simple SMTP 250 dans les logs. Et on ne compte même pas les retry qui vont être générés à cause du throttling !

CONCLUSION

Cette recommandation est une étape logique dans la construction du cadre réglementaire autour des traceurs, mais elle n’est pas une révolution. Pour les acteurs qui ont déjà sérieusement travaillé leur conformité, l'adaptation est limitée. La reconnaissance explicite de l'exemption délivrabilité est même une avancée.

Mais les incohérences techniques soulevées ici ne sont pas des détails. Elles touchent au cœur de la délivrabilité. La CNIL a annoncé des webinaires d'accompagnement dans les prochains mois. Il faut espérer qu’elle en profitera pour apporter des réponses à tous ces points qui restent en suspens… Le plus rapidement possible pour éviter le rush pendant les soldes qui commencent dans moins de 2 mois.

Chez Postmastery, nous suivons de près l'évolution de ce cadre réglementaire et ses implications pour les ESPs et les expéditeurs à fort volume. N'hésitez pas à nous contacter si vous souhaitez anticiper les impacts sur vos programmes email.