Pixels de suivi : les 12 questions-réponses pour se rendre conforme
La Cnil a publié mi-avril ses recommandations sur les pixels de suivi dans les courriers électroniques. Ces exigences impactent directement de très nombreuses entreprises ayant recours à cette méthode pour, entre autres, personnaliser leur stratégie d’envoi d’emails sur la base de l’analyse de leur taux d’ouverture. Qui est concerné, comment se rendre conforme et quelles précautions prendre pour éviter les amendes ? Vous trouverez ici les recommandations collectées par le Journal du Net auprès de Me Etienne Drouard (Hogan Lovells), du Geste et de Me Alexandra Iteanu, responsable du pôle data et RGPD chez Iteanu Avocats.
1. Qui est concerné ?
Toutes les entreprises se servant des pixels de suivi à de fins d’analyse individuelle, segmentée et personnalisée des taux d’ouverture de leurs courriers électroniques sont tenues d’obtenir un consentement spécifique de leurs destinataires. Les cas d’usage concernés sont la mesure et l’optimisation des performances des campagnes d’emailing (personnalisation des contenus, adaptation de la fréquence…), la segmentation des audiences en fonction de leur taux d’ouverture, la détection de la fraude et la mesure individuelle à de fins de délivrabilité (hors exemption).
"Il est indispensable de revoir les contrats avec ses sous-traitants d’emailing. Beaucoup insèrent des pixels pour leurs propres besoins (amélioration de la délivrabilité, pertinence de leurs listes....) ce qui crée une coresponsabilité de traitement au sens de l’article 26 du RGPD. Une clause de simple garantie ne suffit pas : le contrat doit organiser concrètement la remontée des preuves de consentement et prévoir des audits réguliers", précise Me Alexandra Iteanu.
D’où l’importance, selon l’avocate, de réaliser une cartographie précise des pixels utilisés, de leur émetteur et de leur finalité."C’est cette cartographie qui permet de distinguer les pixels exemptés de consentement de ceux qui y sont soumis, de rédiger une information conforme et, le jour venu, de documenter la conformité face à un contrôle de la Cnil."
2. L’opt-in aux newsletters ou aux prospections commerciales suffit-il ?
Non, car la Cnil considère que l’expéditeur doit obtenir de la part de ses destinataires un consentement spécifique à l’inclusion de pixels de suivi dans ses courriers électroniques. Ce dernier doit par conséquent a priori être distinct du consentement à recevoir pour des prospections commerciales. L’inscription volontaire aux newsletters ou aux communications d’une entreprise ne suffit pas non plus. Ceci étant, des questions se posent sur la notion de "finalités connexes", proposée par la Cnil, comme la collecte des pixels et "la prospection expressément présentée comme personnalisée", qui pourrait simplifier la collecte du consentement, mais qui reste floue. Le Geste va faire remonter à la Cnil toutes les questions qui restent encore en suspens pour clarification ultérieure.
3. Les communications de prospection BtoB sont-elles également concernées ?
Oui. Les pixels de suivi (à des fins d’analyse individuelle, segmentée et personnalisée du taux d’ouverture) nécessitent un consentement même lorsque le courriel sous-jacent peut être légalement envoyé sans consentement, cas, par exemple, de la prospection commerciale B2B, autorisée sans consentement préalable (opt-in) du destinataire.
4. Est-ce obligatoire ?
Oui : les entreprises non-conformes risquent des amendes allant jusqu’à 4% du chiffre d’affaires mondial consolidé. Les responsables du traitement doivent être en mesure de démontrer la preuve du consentement, directement et pour chaque personne concernée. Les entreprises ne peuvent se fonder exclusivement sur les engagements contractuels des prestataires de services pour recueillir le consentement en leur nom.
5. Dans quels cas les entreprises ne sont-elles pas tenues d’obtenir ce consentement ?
Tout d’abord, si l’usage des données collectées par les pixels est uniquement statistique pour le calcul d’un taux global de délivrabilité, alors l’utilisation de ces derniers est exempte de consentement. En dehors du traitement agrégé et global, les seules exemptions à la collecte du consentement concernent les situations où l’information individuelle de réception et d’ouverture d’un courrier électronique est nécessaire pour des raisons d’obligations contractuelles, légales, transactionnelles, voire sécuritaires comme pour la vérification d’une connexion ou la confirmation d’une commande. Dans ce cas, l’entreprise ne pourra rien faire du pixel à part constater la réception du message. Aucune autre déduction ne peut en être tirée.
6. A partir de quand faut-il se conformer à cette obligation ?
Les recommandations de la Cnil ont un effet immédiat pour toute nouvelle adresse e-mail collectée, et ce depuis le 15 avril sauf si une exemption s’applique. Depuis cette date, les entreprises sont tenues de demander à tout nouveau lecteur ou client de consentir à la présence d’un pixel dans les messages qu’ils recevront.
Pour les adresses email collectées avant le 14 avril, les entreprises auront jusqu’au 14 juillet pour expliquer aux personnes ce qu’est un pixel de suivi et leur permettre de s’y opposer. Dans ce cas, elles sont tenues d’informer clairement leurs destinataires sur les pratiques relatives aux pixels et de les contacter explicitement par courriel afin de leur demander s’ils souhaitent s’opposer au suivi par pixel et retirer leur consentement à tout suivi ultérieur. La question de savoir si cette information peut être insérée au pied d’une communication éditoriale ou d’un email commercial n’est pas tranchée. Pour les personnes que les entreprises n’auront pas réussi à avertir avant le 15 juillet, l’intégration d’un pixel sera soumise au consentement pour tout message ultérieur sauf si une exemption s’applique.
7. Que se passe-t-il si la personne ne réagit pas avant le 14 juillet ?
Pour les adresses email collectées avant le 14 avril 2026, le responsable de traitement dispose d’un délai de trois mois, soit jusqu’au 14 juillet 2026 pour transmettre une information claire aux destinataires et en leur donnant la capacité de s’opposer pour les courriels futurs (mécanisme d’opt-out)."La recommandation n’est pas claire sur le cas où le destinataire ne s’opposerait pas explicitement à ce traitement, et resterait silencieux. La Cnil précise uniquement que ces destinataires doivent être ‘mis en capacité de s’opposer à de telles opérations pour les courriels futurs’, mais ne rend pas explicite qu'un consentement soit obligatoire. Dans le doute, et pour éviter toute recherche de responsabilité, nous recommandons : 1. de conserver précieusement l’envoi de ce courriel d'information ; 2. d’envoyer un courriel dédié, sans pixels soumis à consentement, invitant à exprimer ses choix via un lien traçant redirigeant vers une page nécessitant une action positive", conseille Me Alexandra Iteanu.
8. La collecte du consentement peut-elle se faire dans la newsletter envoyée ?
"La recommandation ne prohibe pas le recueil au sein même d’une communication commerciale ou d’une newsletter, bien que cela soit encadré très précisément au point 4.2 de la recommandation. Le courriel qui sollicitera le recueil du consentement ne devra pas contenir de dispositif de suivi soumis au consentement, et devra délivrer une information claire et complète, afin de permettre aux destinataires d'opérer un choix ‘libre et éclairé’. Par ailleurs, la Cnil souligne expressément que la sollicitation ne doit pas exercer une pression disproportionnée ni gêner la lecture des courriels. Le refus doit être aussi simple que l'acceptation", explique Me Alexandra Iteanu.
9. Comment obtenir le consentement ?
Le plus simple est d’intégrer la demande de consentement aux pixels directement dans le formulaire de collecte de l’adresse email, soit via une case dédiée, ou un libellé court inspiré des exemples proposés par la Cnil. Pour que ce consentement soit valable, le destinataire doit réagir positivement, par exemple en cliquant sur un lien permettant de valider son acceptation. C’est l’option privilégiée par la Cnil. "Le consentement peut également être obtenu via un e-mail sans traceur exigeant une action positive claire ou via des plateformes de gestion du consentement (PGC) dédiées aux finalités spécifiques des pixels et qui ne sont pas de simples PGC de cookies", précise le cabinet Hogan Lovells. L’inaction de l’utilisateur peut être considérée comme un refus.
La Cnil insiste sur le fait que les destinataires doivent clairement comprendre quelle adresse e-mail est concernée par la collecte du consentement aux pixels de suivi et que ce dernier s’applique à tous les appareils utilisés pour accéder à cette boîte de réception.
10. Comment permettre de retirer ce consentement ?
Les responsables du traitement des données doivent inclure un lien de retrait personnalisé dans le pied de page de chaque courriel, redirigeant vers une page permettant aux destinataires de retirer leur consentement immédiatement, sans avoir à saisir leur adresse électronique ni à effectuer d’étapes d’authentification supplémentaires.
"Après le retrait du consentement, les responsables du traitement doivent s’assurer que les pixels de suivi cessent de fonctionner, y compris dans les courriels précédemment envoyés et susceptibles d’être rouverts. Vu qu’il est matériellement impossible de supprimer les pixels des e-mails une fois le message envoyé, la neutralisation des flux HTML générés par les pixels après le retrait du consentement semble être la seule solution envisageable (côté serveur) à explorer dans les trois prochains mois, voire plus tard. En cas de retrait du consentement, tout prestataire technologique utilisé par l’expéditeur (pour déposer le pixel, pour calculer des scores d’appétence, etc.) devra être en mesure de supprimer toutes les données recueillies jusque-là", conseille le cabinet Hogan Lovells.
11. Combien de temps vaut un consentement aux pixels de suivi ?
"La recommandation ne fixe pas explicitement de durée de conservation de ce consentement au pixel de suivi. Elle recommande simplement, comme bonne pratique, que le responsable de traitement renouvelle le recueil ‘à des intervalles appropriés’ tenant compte du contexte. Comme indicateur, nous avons les lignes directrices "cookies et autres traceurs" du 17 septembre 2020 (délibérations n° 2020-091 et 2020-092) à laquelle fait explicitement mention la recommandation pixel, qui peuvent être une aide selon le contexte. Ce qui est important, quelle que soit la durée fixée, est de pouvoir la justifier en interne en documentant ce choix, et de l'appliquer", recommande Me Iteanu.
12. La preuve du consentement doit-elle être "gardée" pendant 5 ans ?
La recommandation ne fixe aucune durée précise pour la conservation de la preuve du consentement. Son point 6 rappelle uniquement l'obligation issue de l'article 7.1 du RGPD : être en mesure de démontrer à tout moment que l'utilisateur a consenti, de manière individualisée, avec la trace des conditions dans lesquelles ce consentement a été obtenu.
"Dans des cas comme celui-là, lorsqu'aucune durée fixe n’est précisée, il est d’usage de fixer à 5 ans la conservation de la preuve, puisque cette durée correspond à la prescription légale en droit français (article 2224 du code civil). Il est cependant possible de fixer une durée plus courte, certains acteurs souhaitent s’aligner sur la durée de conservation de l’adresse électronique elle-même (3 ans après le dernier contact pour la prospection). Ce qui compte est que cette durée fixe soit justifiable, et respectée en pratique", conclut Alexandra Iteanu.