Badsender

La CNIL précise la législation sur le tracking d’ouverture des emails : ce que vous devez savoir

publié le ,
mis à jour le

Le tracking des emails est dans le viseur de la CNIL. En juin 2025, la Commission Nationale de l’Informatique et des Libertés a publié un projet de recommandation sur la demande de consentement pour les pixels de suivi (et en particulier pour le pixel d’ouverture des emails).

Cette demande de consentement, aujourd’hui ignorée par la plupart des expéditeurs, pourrait bouleverser les pratiques emailing. La démarche de la CNIL est logique : selon le RGPD, les données de tracking sont considérées comme des données personnelles nécessitant un consentement explicite. Faisons le point.

Le projet de recommandation initial (publié en juin 2025) est consultable ici : https://www.cnil.fr/fr/consultation-publique-projet-recommandation-pixels-de-suivi. Des discussions sont toujours en cours entre la CNIL et les acteurs de l’écosystème email. La dernière concertation a eu lieu le 29 septembre 2025. Nous mettons à jour cet article dès que de nouvelles informations nous parviennent. Vous pouvez compter sur nous.

Table des matières

Live : Pixel d’ouverture & Législation

Pour éclairer au mieux la communauté Badsender, nous avons invité lors d’un live Badsender Marianne Vandier et Laurent Garnier qui ont tous deux participé aux ateliers avec la CNIL. Ils ont répondu à nos questions, à savoir : quelles pratiques emailing nécessitent un consentement d’ouverture, quels impacts sur la délivrabilité, et quelles actions concrètes pour la mise en conformité.

Lien d’accès au live : https://www.youtube.com/watch?v=6b1UUyBIvKY

Pourquoi la CNIL se préoccupe du tracking des emails ?

Comme indiqué en préambule dans son document, la CNIL réagit suite aux plaintes de personnes se sentant espionnées par les emails. À travers ce document, la CNIL souhaite préciser les dispositions du RGPD qui ont été mal interprétées par les organisations depuis 2018.

En réalité, ces dernières années, des juristes de la CNIL ont informé plusieurs marques contrôlées que leurs mesures d’ouverture et de clic n’étaient pas légales sans consentement préalable. Surpris, les acteurs de l’email ont demandé des éclaircissements à la CNIL sur les positions de leurs juristes. Et ce projet de recommandation en a découlé.

Les points importants à retenir

  • Pour l’instant, dans son projet de recommandation, la CNIL cible uniquement le pixel d’ouverture des emails. Et plus particulièrement, la possibilité de tracker nominativement l’ouverture.
  • Il est fort probable que le tracking des cliqueurs soit le prochain sur la liste dans l’année à venir.
  • Il ne faut pas attendre les recommandations de la CNIL pour respecter la loi. Dans son projet de recommandation, l’objectif de la CNIL est juste d’apporter des éclaircissements.
  • Même si le projet de recommandation sur le tracking n’est pas encore définitif et fait encore l’objet d’une révision, nous ne passerons pas à côté d’une recommandation sur le tracking des ouvertures. Ce qui peut encore bouger, c’est quelques détails d’interprétation de la part de la CNIL.

Cet article est en accès libre.

Il nous a demandé du temps et de l’expertise !

Ce mois-ci, merci à nos clients-sponsors : Actito, Puig France, Voyageurs du Monde, CMI France, Cegeka, BPI France, Citeo, FFT, Castor & Pollux, Clarins, Mews Group. Ils nous permettent de publier du contenu gratuit. Grâce à eux, Badsender remplit sa mission d’éduquer l’écosystème francophone de l’emailing et du CRM pour promouvoir un email responsable.

Avec plus de 10 000 lecteurs mensuels, si seulement 1% devenaient clients, nous continuerions cette mission encore longtemps ! Devenez client et bénéficiez de notre expertise tout en soutenant la production de connaissances ouvertes.

Voir ce qu’on peut faire eNsemble

Ce que vous pourrez toujours faire sans consentement ✅

  • Mesurer les taux d’ouverture globaux (non nominatifs).
  • Maintenir le tracking s’il en va de l’intérêt de vos abonnés (ex : un email de signature électronique de contrat)
  • Conserver le tracking nécessaire à l’exécution d’un contrat avec votre client.
  • Réaliser des A/B tests basés sur le taux d’ouverture reste autorisé puisqu’on est sur de la performance d’ouverture d’une audience et donc non-nominatif.

Ce qui nécessitera un consentement explicite ❌

  • Identifier individuellement qui ouvre sur vos emails.
  • Cibler vos contacts en fonction de leurs comportements d’ouvertures.
  • Déterminer les centres d’intérêt de vos contacts selon leurs comportements de lecture.
  • Adapter votre fréquence d’envoi en fonction des comportements individuels.
  • Personnaliser vos contenus selon les interactions d’ouvertures de chaque contact.

Quels impacts sur la délivrabilité ?

Pour mesurer la délivrabilité des campagnes, il faut pouvoir examiner les ouvertures par domaine de messagerie.

Pour maintenir une bonne réputation, il faut pouvoir exclure les contacts inactifs des envois. Et la définition courante d’un contact inactif reste : « Tout contact n’ayant pas ouvert au moins un email dans les 6 derniers mois ».

Dans ces deux cas, il y a nécessité de connaître l’action d’ouverture et le domaine de messagerie.

Les acteurs de la délivrabilité font donc entendre leur voix auprès de la CNIL. Leur objectif : que la Commission prenne en compte l’intérêt légitime des abonnés à ne plus recevoir d’emails d’une marque s’ils ne les ouvrent jamais et de recevoir ces emails en boîte de réception s’ils veulent les lire.

Ces acteurs demandent de descendre la granularité de ce pixel au domaine de messagerie. Ils demandent à ce que les données soient anonymisées au niveau de la campagne ET du domaine. Ils souhaitent que les données d’ouverture liées au domaine restent exploitables sans consentement.

  1. A minima pouvoir avoir l’identifiant de la campagne et le domaine du destinataire => Mesurer les performances des campagnes et les performances délivrabilité.
  2. Idéalement, pouvoir continuer à tracker au niveau de l’individu dans la seule finalité de pouvoir cesser de lui envoyer un email s’il n’ouvre plus (par exemple, ne stocker que la date de dernière ouverture pour un individu)

Laurent Garnier lors du live Badsender nous souligne que la CNIL semble un peu plus ouverte sur cette question d’exemption dans un contexte de délivrabilité. Même s’il y a une limite à cette approche : avec un nombre trop faible d’abonnés sur un domaine, je pourrais identifier une personne de manière nominative. C’est donc un sujet complexe.

Quels impacts en B2B ?

Ce projet concerne aussi bien le B2C que le B2B !

En BtoB, depuis des années, le secteur interprète le cadre légal de la manière suivante : principe de l’opt-out (et non l’opt-in) + information préalable au moment de la collecte + l’objet de la sollicitation doit être en rapport avec la profession de la personne.

C’est d’ailleurs ce que la CNIL écrit noir sur blanc sur son site web.

Dans les faits, seul l’opt-out est respecté, l’information préalable est quasi inexistante des stratégies.

MAIS ! Le RGPD stipule que l’opt-in est obligatoire dès qu’il s’agit d’une adresse email nominative (et non morale).

Il existe donc un flou sur la collecte en BtoB. La CNIL est en train de bouger, mais n’a pas encore mis à jour sa recommandation. Le consentement (au sens de l’opt-in) n’est déjà pas une habitude en BtoB—même si c’est la meilleure des pratiques. Le consentement pour le pixel d’ouverture risque donc de semer un sacré bazar dans les pratiques BtoB.

Se mettre en conformité : Plan d’action pour les marques

Avez-vous besoin de suivre individuellement les ouvertures de vos emails ?

Premier point de décision à prendre pour les expéditeurs : avez-vous besoin de suivre individuellement les ouvertures de vos emails ? Est-ce nécessaire à votre stratégie emailing ?

Si non, vous devez vous assurer que vous ne trackez effectivement pas l’ouverture. Le risque : même si vous n’exploitez pas ces données dans votre stratégie, elles peuvent être stockées dans votre outil de routage. Ce serait illégal, même sans exploitation (principe de minimisation des données).

Si par contre, vous souhaitez exploiter l’ouverture dans vos ciblages ou personnalisation, voici les actions que vous aurez à prévoir :

Mettre à jour vos formulaires de collecte

Ce qui est sûr c’est qu’il faut recueillir un consentement libre, spécifique, éclairé et univoque du destinataire. Le plus simple est d’ajouter une case à cocher (non pré-cochée) dans vos formulaires de collecte du type :

« J’accepte que [la Marque] utilise des pixels de suivi pour me proposer des contenus en phase avec mes centres d’intérêt et réduire le nombre d’emails non pertinents que je reçois.”

Un travail d’ »intelligence rédactionnelle » et d’UX Design est nécessaire pour faire comprendre aux internautes qu’ils recevront des emails de meilleure qualité en cochant cette case.

Exemple fictif

Laurent Garnier, lors du live, ajoute qu’avec une bonne rédaction, un de ses clients est arrivé à près de 70 % de sa base qui a accepté. Par contre, dire « Acceptez-vous que [La Marque] utilise le tracking pour suivre vos ouvertures et vos clics ? » Ce serait inefficace.

Questions qui restent (en partie) en suspens :

  • Une seule case à cocher pour deux finalités différentes mais connexes est-t-elle suffisante ?
    Exemple : « J’accepte de recevoir des emails de la part de [La Marque] qui utilisent des pixels de suivi nécessaires afin de recevoir des contenus sur-mesure et d’être moins sollicité(e) sur les sujets qui ne m’intéressent pas. »

    > Nos invités du live Badsender ont affirmé qu’il fallait un consentement par finalité, par action menée. Autre son de cloche donné par Nacera Bekhat de la CNIL à l’EMDay qui précisait qu’il était acceptable d’avoir un consentement unique pour des finalités connexes. Ce point reste à éclaircir.
  • Une case à cocher (toujours non pré-cochée) du type « J’accepte la politique de Vie Privée » est-elle suffisante ? Certainement pas, ce type de collecte n’est pas éclairé.

Mettre à jour votre page de confidentialité des données

ou votre page de politique de vie privée en mentionnant que vous utilisez des traceurs qui collecte les ouvertures.

Exemple de rédaction d’une page de vie privée : regardez le dernier paragraphe

Lancer une campagne de collecte de consentements auprès de votre base existante

Concernant le consentement pour les bases existantes, il est possible d’envoyer un email dédié (sans tracking) pour recueillir l’accord des abonnés existants, à condition de ne pas tomber dans des pratiques excessives de sollicitation et de relance.

Lors des dernières discussions avec la CNIL, Laurent Garnier nous précise qu’il semblerait qu’un bloc de contenu spécifique pour demander le consentement d’ouverture puisse être intégré dans les communications de manière assez permanente.

Mais quoi qu’il en soit, tant que vous n’avez pas ce consentement, vous ne pouvez pas tracker nominativement vos contacts.

Intégrer un lien de « désengagement » dans vos emails

Comme pour l’optin, le consentement de suivi d’ouverture doit pouvoir être annulé à tout moment et en un clic.

Il faut donc inclure un lien de désengagement à côté du lien de désabonnement, soit dans vos footers et headers si vous respectez cette pratique et mettre à jour votre centre de préférences si vous en possédez un.

Mettre à jour votre Centre de préférences si vous en possédez un

Et intégrer la possibilité d’annuler le consentement d’ouverture.

Repenser vos stratégies de ciblage et de personnalisation

Et notamment votre définition des contacts « inactifs » emails si elle est basée sur l’ouverture ou attendez les dernières concertations de la CNIL avec les professionnels de la délivrabilité (voir paragraphe plus haut sur la délivrabilité)

Revoir la rédaction de vos emails

Une rédaction de type « Nous avons remarqué que vous ne lisez plus nos newsletters » est risquée sans consentement au tracking.

Mettre en place un système pour conserver la preuve du consentement

La preuve du consentement relatif au tracking email doit être conservée pendant toute la durée de validité de ce consentement.

Votre outil de routage est-il prêt pour vous aider à respecter la loi ?

Les routeurs d’emails sont co-responsables de traitement (comme les fournisseurs de base de données). Interrogez-les sur leurs plans d’adaptation.

Discuter avec votre routeur sur les possibilités de :

  • Désactiver globalement le tracking sur la plateforme.
  • Désactiver le tracking sur les personnes sans consentement.
  • Introduire du tracking anonymisé soit globalement soit pour les personnes sans consentement.
  • La possibilité d’anonymiser le tracking des ouvertures dans un premier temps et prévoir le coup pour le tracking des clics.
  • Être dans la capacité d’intégrer automatiquement au moment de l’envoi, un pixel identifiant sur les cibles qui ont accepté d’être traquées, versus un pixel d’audience sur les autres.

Les routeurs doivent adapter leur solution afin d’aider leurs utilisateurs à respecter la loi. Ça c’est clair et c’est écrit noir sur blanc dans le contrat qui vous lie. Si votre routeur est non conforme techniquement parlant, vous pouvez vous retourner contre lui.

Il semblerait que certains routeurs (dont ceux d’origine allemande comme Inxmail) soient plus avancer que d’autres sur ces fonctionnalités. Amis routeurs, n’hésitez pas à nous dire si vous avez déjà mis en place ces fonctionnalités.

La question qui se pose est : qu’est-ce qu’on fait des données historiques d’ouverture ? Les supprimer, les conserver ? Laurent Garnier nous précise que la rétroactivité ne sera pas à considérer à priori par la CNIL parce que techniquement, c’est très difficilement applicable. La CNIL semblerait avoir entendu ce point. À confirmer.

FAQ

Combien de temps ont les marques pour se mettre en conformité ?

0 jour. La conformité est exigée dès maintenant, et les marques auraient dû l’appliquer depuis mai 2018 (date de la mise en application du RGPD). Néanmoins, la CNIL sera probablement clémente durant les premiers mois, distribuant d’abord des rappels à l’ordre. Disons que vous avez jusqu’en janvier 2026 pour vous mettre en conformité.

Cette recommandation concerne-t-elle le taux de clic ?

Bien que le taux d’ouverture et le taux de clic soient deux métriques distinctes, l’une implique l’autre. Techniquement, cette recommandation concerne uniquement le pixel d’ouverture. En pratique, le sujet du clic suivra.

Y a-t-il a une distinction entre emails transactionnels, emails de services, confirmation de commande, etc et les emails marketing ?

Il y a une distinction sur les emails qui ont un intérêt légitime à être suivi.

Exemple : email de réinitialisation du mot de passe. Si le contact ne le reçoit pas, ça pose un problème dans le contrat qui vous lie à lui.

Voici d’autres exemples d’emails ayant un intérêt légitime à être suivis :

  • Emails transactionnels d’e-commerce : confirmation de commande, notification d’expédition, avis de livraison
  • Emails de sécurité : alertes de connexion suspecte, notifications de modification de compte, codes de vérification à deux facteurs
  • Emails administratifs : confirmations d’inscription, validations d’adresse email, notifications de changement d’informations personnelles
  • Emails de facturation : factures, relevés de compte, notifications de paiement
  • Emails de service client : réponses à des demandes de support, suivis de tickets, confirmations de rendez-vous
  • Emails légaux ou contractuels : mises à jour de conditions générales d’utilisation, modifications de politique de confidentialité

Ces emails sont essentiels au bon fonctionnement de la relation contractuelle entre l’entreprise et l’utilisateur. Ne pas les recevoir ou ne pas pouvoir vérifier leur bonne réception pourrait causer un préjudice direct à l’utilisateur.

Est ce qu’un email de bienvenue peut être considéré comme un email transactionnel ?

Si on parle ici d’un email de bienvenue avec du contenu marketing qui débouche sur un plan de contacts avec différents emails, alors il n’est pas considéré comme étant dans l’intérêt légitime à être suivi comme les exemples listés juste au-dessus. Tout est une question de finalité de l’email (objectif commercial ou pas) et d’intérêt légitime.

Y a-t-il une différence de perception (côté CNIL) entre l’usage de la métrique d’ouverture pour ne pas recibler un contact et son usage pour le cibler parce qu’il a ouvert ?

Voir le paragraphe sur la délivrabilité. Lors du projet de recommandation initial de la CNIL, non il n’y avait pas de distinction. Mais après les concertations avec les acteurs de la délivrabilité notamment, il semblerait que la CNIL comprenne la nécessité de cette distinction. Affaire à suivre donc.

Est-ce que le consentement au tracking peut être collecté pour tous les emails d’une même marque (ou d’un même groupe) ou doit l’être par abonnement ?

Nos invités lors du live Badsender précisent que tout est question de transparence et de granularité adaptée aux finalités.

Un consentement groupé n’est possible que si les finalités d’envois d’emails sont connexes et clairement expliquées. Si les différents envois d’emails traitent de produits similaires et s’adressent à la même cible, le recueil pourrait être groupé. Si par contre, on est sur des marques qui ont des produits différents et s’adressent à des cibles différentes, alors non.

Dans tous les cas, un recueil plus fin (par abonnement / type d’email / marque) est recommandé pour éviter tout risque d’invalidité.

Comment peut-on connaître un taux d’ouverture sans traquer ?

Le pixel n’est pas interdit. Il y aura toujours un pixel d’ouverture dans les campagnes. Sauf qu’il sera associé à un identifiant de campagne au lieu d’être associé à un contact comme aujourd’hui.

L’email marketing est-il amené à mourir ?

Clairement non. Cette recommandation n’est en fait pas juste axée sur le canal email. Si une marque fait du tracking SMS, RCS ou tout autre canal de communication, on sera sur le même genre de recommandation.

Est-ce que ce consentement pourra contrecarrer l’AMPP ou le Google Image Catching ?

Non. Si un utilisateur qui a activé la fonctionnalité d’Apple Mail Privacy Protection donne son consentement sur le pixel d’ouverture, ça ne changera rien auprès d’Apple. Apple continuera à fausser l’ouverture sous le prétexte de la sécurité des données.

Faut-il inclure le pixel d’ouverture des emails dans la liste des cookies sur son site web ?

Non. Le pixel d’ouverture n’est pas un cookie. C’est vrai qu’au départ on a assimilé, à tort, ce pixel d’ouverture à un cookie mais ça n’en est pas un. Ce n’est pas un tracking de navigation. Il n’y a donc pas de raison de le mettre à ce niveau-là.

Cette règlementation concerne quels pays ?

Cette réglementation concerne l’ensemble des pays européens, même si les autorités de régulations nationales peuvent en avoir des interprétations légèrement différentes. Nous parlons donc d’une réglementation européenne et de son interprétation en France.

Est-ce vraiment la fin du monde ?

Soyons honnêtes : pour le ciblage, la personnalisation, les relances de campagnes sur des ouvreurs ou non-ouvreurs, ça sent le roussi. Même avec la meilleure campagne de réoptinisation du monde, il y a peu de chances d’obtenir le consentement de la totalité de vos contacts existants.

Mais rappelons-nous une vérité que nous répétons depuis des années : le taux d’ouverture n’est déjà pas très fiable (il reste utile pour suivre des tendances par opérateur de messagerie, mais pas au niveau individuel). Cette nouvelle réglementation n’est-elle pas l’occasion parfaite de faire le deuil de cet indicateur surévalué ? Est-ce vraiment une grande perte ? Ne pourrions-nous pas profiter de ce changement pour nous concentrer sur des données plus qualitatives et pertinentes ?

Pour les entreprises déjà conscientes des limites du taux d’ouverture, l’impact sera limité. Cependant, beaucoup utilisent encore ce critère pour définir leurs segments d’inactifs (paradoxal, non ?) ou s’appuient sur des outils prédictifs intégrant cette donnée dans leurs algorithmes de ciblage et de personnalisation.

Pour ceux qui n’ont pas encore remis en question leurs pratiques, l’adaptation sera certainement plus difficile.

Et maintenant ?

Chez Badsender, nous suivons ce dossier comme le lait sur le feu.

Nous vous conseillons très fortement de bloquer du temps dès maintenant pour alerter votre DPO, documenter et mesurer les impacts de ce consentement d’ouverture sur votre stratégie emailing / CRM et interroger votre routeur.

Et Badsender est là pour vous sortir du brouillard, contactez-nous !

Soutenez l’initiative “Email Expiration Date

Brevo et Cofidis soutiennent financièrement le projet. Rejoignez le mouvement et ensemble, responsabilisons l’industrie de l’email face à l’urgence climatique.

Je me renseigne

Partagez

Restez informé·e via les newsletters de Badsender

Chaque mois, nous envoyons une newsletter et des emails d’invitations à nos lives. En savoir plus.

Votre adresse email ne sera jamais communiquée à un tiers. Vous pourrez vous désabonner à tout moment en un seul clic.

L’auteur/autrice

Avatar de Marion Duchatelet
Marion Duchatelet
Issue d’une filière commerciale, Marion a fait ses armes pendant près de 10 ans chez Cabestan où elle a accompagné l’évolution de la solution sur le plan marketing et communication avant d’en devenir directrice Marketing. Après un passage de deux ans en agence data, Marion accompagne maintenant les clients de Badsender dans l’évolution de leurs stratégies emailing et eCRM.
Toutes les publications de Marion Duchatelet
Précédent
Suivant

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *