Autant lever tout de suite le malentendu, parce qu’il circule beaucoup depuis le printemps. La CNIL n’interdit pas le pixel de suivi. Elle ne vous empêche pas non plus de prospecter en B-to-B. Ce qu’elle encadre, c’est votre capacité à savoir que Paul Martin a ouvert votre campagne à 14h32 depuis un iPhone.
La nuance a l’air mince. Elle change pourtant tout dans la façon d’aborder le sujet. Voici ce que dit le texte, ce que vous perdez concrètement dans vos statistiques, et les trois choses à faire avant le 14 juillet.
Le pixel est un traceur, et il l’était déjà
La recommandation part d’un constat juridique simple. Le pixel de suivi, cette image invisible d’un pixel sur un pixel insérée dans le corps d’un email, est un traceur au sens de l’article 82 de la loi Informatique et Libertés. Le même article qui régit les cookies. Il impose un consentement libre, spécifique, éclairé et univoque avant tout accès ou inscription d’informations sur le terminal de l’internaute.
Ce n’est donc pas un texte nouveau. La CNIL applique au courriel un cadre qui existait déjà, en tenant compte de ses spécificités. Elle précise, elle n’invente pas. Ce qui explique d’ailleurs pourquoi la période transitoire est aussi courte : personne ne découvre le principe, seulement son application.
Le périmètre est large. Tous les organismes, privés comme publics, entreprises, associations, administrations, ainsi que leurs prestataires. Votre routeur est concerné au même titre que vous.
Ce qui exige un consentement, ce qui en est dispensé
C’est le cœur pratique du texte, et la partie que la plupart des articles publiés ces derniers mois ont survolée.
| Finalité | Régime |
|---|---|
| Mesurer et optimiser la performance d’une campagne (analyse des ouvertures) | Consentement requis |
| Personnaliser le contenu ou la fréquence d’envoi selon le comportement d’ouverture | Consentement requis |
| Adapter le canal de communication selon l’engagement du destinataire | Consentement requis |
| Mesurer individuellement la délivrabilité pour retirer les adresses inactives | Exempté |
| Emails transactionnels : confirmation de commande, alerte de compte, notification d’expédition, réinitialisation de mot de passe | Exempté |
| Mesures de sécurité participant à l’authentification de l’utilisateur | Exempté |
L’exemption liée à la délivrabilité mérite qu’on s’y arrête. Elle n’existait pas dans le projet soumis à consultation publique, elle a été introduite dans la version finale. Elle autorise à conserver une trace individuelle de la dernière ouverture, à la seule fin d’identifier les adresses mortes et de les sortir de vos listes. Une mesure d’hygiène, pas une mesure de performance. La frontière est ténue et c’est précisément là que votre analyse devra être documentée.
Et puis il y a le point que presque tout le monde rate : le tracking des clics n’est pas concerné. Un clic est une action volontaire du destinataire, pas un dépôt d’information réalisé à son insu. Vos taux de clics, vos liens de redirection, votre attribution des conversions, rien de tout cela ne change. Gardez cette phrase en tête, elle va servir plus loin.
L’exception B-to-B ne vous dispense de rien
Voilà l’erreur qui va coûter cher à beaucoup d’entreprises.
L’article L.34-5 du Code des postes et des communications électroniques autorise la prospection par email vers une adresse professionnelle sans opt-in préalable, pour peu que le message soit en rapport avec la fonction de la personne démarchée. C’est le fondement de la prospection B-to-B en France. Il reste valable, il n’a pas bougé d’un millimètre.
Sauf que cette exception porte sur l’envoi. Elle ne dit strictement rien du traceur. La CNIL a confirmé la distinction dans sa recommandation, et il faut la prendre au sérieux : pouvoir écrire à un prospect ne vous donne aucun droit de mesurer nominativement son ouverture.
Traduction opérationnelle. Sur un fichier de prospection à froid, vous continuez d’envoyer exactement comme avant. Mais vous ne mesurez qu’en agrégé anonyme. Même logique pour les fichiers achetés auprès de tiers, qui basculent en non-consentants par défaut.
Ce que vous perdez vraiment dans vos statistiques
La question que tout le monde se pose. Voici la réponse, sans dramatiser.
Ce qui ne change pas : les volumes envoyés, le taux d’ouverture agrégé, les NPAI et les bounces, le taux de clics, le taux de conversion, les désabonnements.
Ce qui devient réservé aux contacts consentants : la liste nominative des ouvreurs, les courbes d’ouverture heure par heure, la répartition par appareil et par client de messagerie, la segmentation de relance ouvreurs contre non-ouvreurs, et le lead scoring assis sur l’ouverture.
Ce qui reste pour les non-consentants : un comptage agrégé anonyme, sans aucun identifiant.
Maintenant, la vraie question. Est-ce si grave ?
Franchement, non. Et pour une raison qu’on répète depuis des années chez Ediware : le taux d’ouverture était déjà largement fictif. Apple Mail Privacy Protection précharge les images depuis 2021 et déclenche des ouvertures fantômes en masse. Les robots de sécurité des messageries d’entreprise ouvrent et cliquent avant même que le destinataire ait vu le message. Nous avions consacré un article entier à ce sujet, parce que le phénomène fausse les statistiques de tout le monde et que peu d’annonceurs en mesurent l’ampleur. Vous pouvez le relire ici : robots cliqueurs et fausses ouvertures.
La recommandation CNIL ne casse pas une métrique fiable. Elle accélère la sortie d’une métrique qui l’était de moins en moins. Les équipes qui pilotaient déjà au clic et à la conversion ne perdront presque rien. Les autres vont devoir apprendre, et c’est plutôt une bonne nouvelle déguisée en contrainte.
Un cas mérite votre attention immédiate : si votre lead scoring attribue des points à l’ouverture, il faut le rebaser sur le clic. Sans quoi vos scores vont s’effondrer mécaniquement sur toute la partie non-consentante de votre base, et vos commerciaux vont recevoir des listes de prospects « froids » qui ne le sont pas.
Les trois actions à mener, et l’échéance du 14 juillet
La recommandation a été publiée le 14 avril 2026. La période transitoire court sur trois mois. Faites le calcul : 14 juillet 2026.
1. Constituez votre registre de consentement. Par import CSV des consentements déjà obtenus, par collecte via un lien traçant dans vos emails, ou par API. Une règle à connaître : un refus ou un retrait ne peut jamais être écrasé par un import. Seul le destinataire peut revenir sur sa décision, de son propre fait.
2. Paramétrez le pixel campagne par campagne. Trois choix possibles. La désactivation complète, pour vos transactionnels et surtout pour la campagne qui demande le consentement, car insérer un pixel dans un email qui sollicite l’autorisation de tracker serait pour le moins contradictoire. La déclaration hors champ, pour des destinataires situés hors du territoire concerné, sous une responsabilité que vous documentez avec votre DPO. Ou l’activation de la seule mesure d’hygiène, qui conserve la dernière date d’ouverture des non-consentants au titre de l’exemption délivrabilité.
3. Informez votre base historique avant le 14 juillet. C’est l’obligation transitoire, et c’est celle qui presse. Pour les adresses collectées avant la publication de la recommandation, la CNIL demande d’informer clairement de l’usage du pixel et de permettre une opposition facile. En pratique : une campagne dédiée, pixel désactivé, avec un lien de consentement traçant. Rien de sorcier, mais il faut la sortir.
Ce que votre plateforme doit gérer sans vous
Un point technique qui va départager les outils dans les mois qui viennent.
La bifurcation par statut de consentement doit être native. Un pixel de mesure complète pour les contacts consentants, un pixel agrégé anonyme et dépourvu d’identifiant pour tous les autres, et cela au sein d’une même campagne. Si votre routeur vous oblige à choisir entre « pixel pour tout le monde » et « pixel pour personne », vous êtes coincé : soit vous êtes hors des clous, soit vous perdez toute mesure. Il n’y a pas de troisième option.
Le reste relève du même principe. Un lien de retrait présent dans chaque email. Un registre exportable, qui sera votre première pièce en cas de contrôle. Une filtration des bots maintenue pour les consentants. Chez Ediware, cette bascule a été construite en amont de l’échéance, avec l’anonymisation dès la conception pour les non-consentants, parce que la conformité RGPD fait partie de l’architecture depuis le départ et pas d’une couche ajoutée après coup. Le détail de notre approche se trouve sur la page sécurité des données et conformité RGPD.
Le dossier que vous devez pouvoir présenter
Si la CNIL vient frapper à votre porte, quatre éléments seront mobilisables.
Le registre de consentement exportable, avec le statut de chaque contact, la source et les dates. La preuve d’information horodatée destinataire par destinataire. La documentation technique de l’architecture de votre routeur, que celui-ci doit être en mesure de vous fournir. Et votre analyse documentée, liste par liste et campagne par campagne, du régime applicable.
Ce dernier point est le seul que personne ne peut produire à votre place. C’est aussi celui que tout le monde va oublier.
Côté politique de confidentialité, quelques mentions à ajouter : les deux finalités distinctes du pixel, la délivrabilité d’un côté et la mesure individuelle de l’autre, la base légale reposant sur le consentement au sens de l’article 82, le caractère facultatif de ce consentement, les modalités de retrait par le lien en pied d’email, et les durées de conservation. Les preuves se conservent pendant toute la durée d’activité du consentement, puis trois ans après un éventuel retrait.
Questions fréquentes
Puis-je encore faire de la prospection B-to-B à froid ?
Oui. L’article L.34-5 CPCE reste applicable et vos envois ne sont pas remis en cause. C’est uniquement la mesure nominative des ouvertures qui exige un consentement.
Le tracking des clics est-il concerné ?
Non. Le clic est une action volontaire du destinataire. Vos taux de clics et vos conversions restent mesurables normalement, sur l’intégralité de votre base.
Que se passe-t-il si je n’ai rien fait au 14 juillet ?
Vous sortez du régime transitoire. La mesure nominative des ouvertures sur votre base historique se retrouve alors sans base légale, ce qui vous expose en cas de contrôle. Le rattrapage reste possible, mais il faudra le documenter.
Un contact qui a refusé peut-il redonner son accord ?
Oui, mais uniquement de son fait, via un lien traçant. Vous ne pouvez pas le réintégrer par un import. Il est prudent d’attendre au moins six mois avant toute nouvelle sollicitation sur ce point.
Mes emails transactionnels sont-ils concernés ?
Non. Confirmations de commande, alertes de compte, notifications d’expédition et réinitialisations de mot de passe sont exemptés.
Et mes destinataires situés hors de France ?
La campagne peut être déclarée hors champ si aucune réglementation locale n’impose le consentement au pixel. Cette analyse relève de votre responsabilité et se documente avec votre DPO.
Une contrainte réglementaire qui remet les compteurs à l’endroit
Le pixel de suivi vivait sur un impensé depuis vingt ans. Une image invisible, déposée sans un mot, qui renvoyait à l’annonceur l’heure d’ouverture, l’adresse IP et le client de messagerie du destinataire. Que la CNIL finisse par s’y intéresser n’a rien d’étonnant.
Le vrai sujet des prochains mois n’est pas juridique, il est méthodologique. Les entreprises qui pilotaient leurs campagnes au taux d’ouverture vont devoir repartir du clic, de la conversion et du chiffre d’affaires généré. C’est plus exigeant. C’est aussi nettement plus honnête.
Pour aller plus loin, la recommandation complète est consultable sur le site de la CNIL. Nous avons également consacré un webinaire au sujet le 8 juillet dernier, avec Flore Chatelet, DPO de la société Aporia, dont le replay reste disponible, ainsi qu’un guide de mise en conformité détaillé pour nos utilisateurs.








