Le 14 avril 2026, la CNIL publie la délibération n° 2026-042. Les titres s’enchaînent : « la CNIL encadre les pixels de suivi », « nouvelles règles pour l’email marketing« . Sauf que la règle n’est pas nouvelle. L’article 82 de la loi Informatique et Libertés soumet les pixels de suivi au consentement depuis 2018. Ce que la CNIL a fixé en avril 2026, c’est un délai de 3 mois pour appliquer une obligation vieille de 8 ans que le secteur avait collectivement décidé d’ignorer.
Un traceur comme les autres depuis la transposition de la directive ePrivacy
Un pixel de suivi, c’est une image 1×1 pixel, invisible, intégrée dans le corps d’un email. Quand le destinataire ouvre le message, l’image se charge depuis un serveur distant. Ce serveur enregistre alors l’adresse IP, l’horodatage, le client de messagerie et parfois la géolocalisation approximative.
La directive ePrivacy de 2002, révisée en 2009, impose le consentement préalable pour tout accès ou stockage d’informations sur le terminal d’un utilisateur. La France a transposé ce texte à travers l’article 82 de la loi Informatique et Libertés, modifiée en 2018 lors de l’adaptation au RGPD. Ce même article qui régit les cookies de navigation régit donc aussi les pixels email. La CNIL le précise dans sa recommandation en référençant les lignes directrices 2/2023 du Comité européen de la protection des données.
Ce qui change en 2026, ce n’est pas le fondement juridique. C’est l’existence d’un texte d’application détaillé, assorti d’un calendrier.
Ce que la recommandation impose concrètement
La délibération distingue deux cas. Certains usages n’exigent pas de consentement. Tout le reste, oui.
Les exemptions sont précises. La mesure individuelle de délivrabilité : identifier les adresses inactives pour les retirer de la base, sans réutiliser les données à d’autres fins. Les emails transactionnels : confirmations de commande, alertes de sécurité, notifications de colis, rappels de mot de passe. Ces messages découlent d’un service que le destinataire a demandé.
Pour tout le reste, mesure d’audience, personnalisation, ciblage comportemental, optimisation de campagnes, le consentement devient obligatoire. Libre, spécifique, éclairé, non ambigu. Pas une case pré-cochée dans les CGV. La CNIL recommande de recueillir ce consentement dès la collecte de l’adresse email.
La CNIL considère que l’utilisation de pixels pour analyser les taux d’ouverture d’emails afin de mesurer et d’optimiser la performance des campagnes nécessite le consentement du destinataire.
Cette position s’étend à la réutilisation des données collectées via les pixels exemptés. Un pixel de délivrabilité ne peut pas servir, en parallèle, à alimenter un segment marketing.
Trois mois pour les bases existantes : ce que ça signifie opérationnellement
Pour les adresses collectées avant le 14 avril 2026, la CNIL accorde une période de transition de 3 mois. Pendant ce délai, les opérations de tracking existantes restent autorisées. Mais les organisations doivent informer clairement leurs contacts de l’utilisation de pixels et leur proposer un retrait simple.
Le mot « transition » est trompeur. À l’échéance de mi-juillet 2026, toute base non mise en conformité expose l’entreprise à une mise en demeure, voire une sanction. Ce n’est pas un délai de grâce, c’est une deadline.
En pratique, les formulaires de collecte d’adresses sont à revoir, ainsi que les mentions d’information et les mécanismes d’opt-out. Les plateformes d’email marketing comme Mailchimp, Brevo ou HubSpot devront documenter précisément quelles données sont collectées via leurs pixels et pour quelle finalité.
Pourquoi l’article 82 a été ignoré pendant 8 ans
Entre 2018 et 2026, la CNIL n’a pas bougé. Ce silence a fonctionné comme une permission tacite. Le secteur de l’email marketing a structuré ses pratiques autour du taux d’ouverture comme indicateur central et remettre en question cet indicateur revenait à fragiliser des modèles de reporting entiers. Personne n’avait vraiment envie de soulever le sujet.
Apple a un peu forcé la main. Depuis iOS 15 en 2021, Mail Privacy Protection précharge les images des emails en arrière-plan, indépendamment de l’ouverture réelle. Résultat : les taux d’ouverture mesurés sur appareils Apple ne veulent plus dire grand-chose. Une partie du secteur a commencé à pivoter vers les clics, les conversions, les réponses. La CNIL a suivi la tendance plus qu’elle ne l’a créée.
La délibération de 2026 mentionne explicitement la croissance des plaintes reçues comme facteur déclenchant. La consultation publique entre juin et juillet 2025 a précédé la publication du texte final.
Ce qui reste ouvert après la recommandation
La recommandation ne couvre pas les pixels intégrés dans les emails B2B entre professionnels, où le régime applicable peut différer selon la nature de la relation contractuelle. Elle ne traite pas non plus des outils de Sales Intelligence comme Yesware, Mixmax ou Salesloft, qui proposent des fonctionnalités de tracking d’ouverture pour la prospection commerciale.
Ces cas restent dans une zone grise que ni la recommandation ni le RGPD ne tranchent. La CNIL pourrait publier des précisions complémentaires mais aucune date n’est connue à ce stade.
La recommandation ne touche pas non plus les cookies et traceurs sur sites web, régis séparément par les lignes directrices cookies de 2020. Les deux régimes coexistent. Le taux d’ouverture, lui, reste sous pression, CNIL ou pas.
Ce qui est peut-être le plus instructif dans cette histoire : l’obligation existait depuis 2018. Huit ans de pratiques en toute illégalité, pas par ignorance mais parce que personne ne regardait.
