Depuis septembre 2021, Apple Mail pré-charge automatiquement les images de vos emails dès leur réception, pixel de suivi compris. Le taux d’ouverture que vos équipes marketing consultent chaque matin est donc, en partie, une fiction. La CNIL a publié le 14 avril 2026 sa recommandation définitive sur les pixels de suivi dans les courriels (délibération n° 2026-042 du 12 mars 2026). Elle encadre ce que les professionnels savaient déjà : mesurer l’ouverture individuelle d’un email sans consentement explicite n’est pas conforme. La vraie question est de comprendre pourquoi dépendre d’une métrique déjà corrompue.
Ce que la CNIL interdit et ce qu’elle autorise encore
La recommandation s’appuie sur l’article 82 de la loi Informatique et Libertés pour assimiler le pixel de suivi aux cookies. Toute collecte d’information liée à l’ouverture d’un email au niveau individuel requiert désormais un consentement préalable, libre, spécifique et éclairé. Cela couvre le suivi des ouvertures pour optimiser les campagnes, la constitution de profils comportementaux à des fins de ciblage et la personnalisation de contenu basée sur l’activité d’ouverture individuelle.
Ce qui reste autorisé sans consentement se limite à 2 cas stricts. D’abord, la mesure de délivrabilité individuelle sur des emails transactionnels : le pixel peut identifier qu’un message a bien atteint la boîte de réception, uniquement pour maintenir la réputation d’expéditeur et nettoyer les listes d’adresses inactives. Ensuite, les mesures de sécurité (authentification et protection des comptes) restent exemptées. Hors de ces 2 cas, le consentement est obligatoire.
Pourquoi le taux d’ouverture était déjà biaisé avant cette recommandation
La mesure d’ouverture individuelle par pixel était techniquement compromise bien avant mars 2026. Avec le lancement d’iOS 15 en septembre 2021, Apple a déployé le Mail Privacy Protection (MPP) : ses serveurs proxy pré-chargent automatiquement les images et les pixels à la réception du message, indépendamment de toute action de l’utilisateur. Les taux d’ouverture pour les destinataires sur Apple Mail se sont gonflés artificiellement. Une étude Omeda a observé un bond de 22% à 29% de taux d’ouverture unique juste après le déploiement iOS 15, sans que le comportement réel des lecteurs ait changé.
« Nearly two out of three marketers say open rates are the primary metric used to measure email marketing performance, but Apple’s privacy changes have killed open-rate accuracy. » — Litmus, Email Marketing Report 2022
Résultat concret : 2 tiers des marketeurs utilisaient comme KPI principal une donnée faussée depuis plus de 4 ans au moment où la CNIL publie sa recommandation. L’encadrement juridique arrive après la dégradation technique, pas avant. Ce décalage change la façon dont il faut lire cette recommandation : ce n’est pas la destruction d’un outil, c’est la formalisation d’un état de fait.
Les emails transactionnels : où se situe vraiment la frontière ?
La recommandation distingue deux grandes catégories d’emails. Les emails marketing et promotionnels (newsletters, offres commerciales, campagnes de réactivation) nécessitent un consentement explicite pour tout pixel de suivi individuel. Les emails transactionnels bénéficient d’une exemption partielle : confirmation de commande, alerte de compte, notification d’expédition, réinitialisation de mot de passe, alerte de sécurité.
Mais l’exemption transactionnelle est strictement limitée à la délivrabilité : vérifier que le message est arrivé à destination. Elle ne couvre pas l’exploitation du comportement d’ouverture à des fins de segmentation ou de personnalisation, même sur un email transactionnel. Une entreprise qui utilise l’ouverture d’un email de confirmation de commande pour déclencher une relance commerciale sort du périmètre de l’exemption.
Comment recueillir le consentement selon la recommandation CNIL
La CNIL recommande de collecter le consentement au moment de la saisie de l’adresse email, point d’entrée naturel dans la relation. Le formulaire d’inscription doit intégrer une information claire sur l’utilisation de pixels de suivi et les finalités poursuivies, sous forme d’une case à cocher non pré-cochée. Si cette collecte au moment de l’inscription est impossible, il faut envoyer un premier email sans pixel contenant un lien vers une interface de gestion des préférences, avec une action positive explicite de l’utilisateur.
Le retrait du consentement doit être aussi simple que son octroi : un lien en pied de page de chaque email, avec effet immédiat. Les organisations doivent également conserver la preuve du consentement collecté (date, version du formulaire, canal) pour tout contrôle CNIL. Selon un consultant ayant participé aux ateliers CNIL, un texte valorisant le contenu plutôt que la collecte de données permet d’atteindre environ 70% de taux d’acceptation lors des campagnes de re-consentement.
Le délai de 3 mois : ce que vous devez faire avant le 14 juillet 2026
Les organisations qui utilisaient des pixels de suivi sans consentement conforme disposent de 3 mois à compter du 14 avril 2026, soit jusqu’au 14 juillet 2026, pour régulariser leurs pratiques sur les bases existantes. Concrètement, cela implique 4 actions.
- Informer les destinataires actuels de l’utilisation de pixels de suivi dans les emails passés et futurs.
- Leur permettre de s’opposer facilement à ce suivi via un mécanisme accessible (lien dédié, centre de préférences).
- Désactiver le tracking individuel pour tous les contacts qui n’ont pas consenti.
- Documenter les preuves de consentement pour les contacts ayant accepté.
Le tracking agrégé (mesure des performances d’une campagne sans identification individuelle) reste autorisé sans consentement. Les outils qui anonymisent les données d’ouverture avant stockage, par segment ou par domaine de messagerie, ne sont pas concernés par l’obligation de consentement. C’est vers ces métriques d’engagement agrégées que les équipes devraient pivoter : taux de clic, conversions, réponses directes.
Ce que la recommandation change réellement pour vos outils
Les principales plateformes d’emailing (Mailchimp, Brevo, ActiveCampaign, HubSpot) intègrent déjà des options de gestion du consentement et de désactivation du tracking individuel. La mise en conformité nécessite une reconfiguration des paramètres de campagne, une mise à jour des formulaires de collecte et une campagne de re-consentement pour les bases existantes. Elle ne nécessite pas de changer d’outil.
La CNIL indique qu’elle organisera des webinaires à destination des professionnels courant 2026 et que des contrôles de conformité seront menés. Les sanctions applicables en cas de manquement s’appuient sur le cadre RGPD : jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros selon le montant le plus élevé, bien que les premières interventions soient généralement des mises en demeure avant toute sanction financière.
Les alternatives au pixel de suivi individuel
Le taux de clic reste la métrique la plus fiable : il n’est pas affecté par Apple MPP, ne requiert pas de pixel invisible et constitue un indicateur direct d’engagement. Les taux de conversion post-email (achats, inscriptions, téléchargements) mesurent l’impact réel des campagnes sans dépendre du comportement d’ouverture. Le taux de réponse sur les campagnes cold email, le taux de désabonnement et les signalements comme spam complètent un tableau de bord d’engagement robuste et juridiquement propre.
La recommandation CNIL n’impose pas de renoncer à mesurer l’efficacité de ses emails. Elle impose de mesurer ce qui se passe réellement et de le faire avec l’accord des personnes concernées. C’est surtout une incitation à moderniser des pratiques de mesure qui étaient déjà obsolètes avant même que la CNIL ne les encadre.
Questions fréquentes sur la recommandation CNIL pixels de suivi
La recommandation CNIL s’applique-t-elle aux emails B2B ?
Oui. La recommandation couvre tous les emails contenant un pixel de suivi individuel, qu’ils soient adressés à des consommateurs (B2C) ou à des professionnels (B2B). L’article 82 de la loi Informatique et Libertés ne distingue pas selon la nature du destinataire. Le secteur B2B n’est pas exempté.
Le taux d’ouverture agrégé d’une campagne reste-t-il accessible sans consentement ?
Oui, à condition que la mesure soit réalisée de manière non identifiable au niveau individuel. Si votre outil agrège les données d’ouverture par domaine, par segment ou par campagne sans stocker d’identifiant lié à une personne physique, aucun consentement n’est requis. La granularité individuelle est le critère déclencheur de l’obligation.
Que se passe-t-il si un destinataire ne répond pas à la campagne de re-consentement ?
L’absence de réponse ne vaut pas consentement. Pour tout destinataire qui n’a pas manifesté son accord avant le 14 juillet 2026, le tracking individuel doit être désactivé. L’adresse peut rester dans la base pour l’envoi d’emails non trackés, mais aucun pixel de suivi individuel ne peut être chargé sans consentement explicite.
