Badsender

CNIL et consentement au tracking des ouvertures (et clics) email : comment s’adapter ?

publié le ,
mis à jour le

Le tracking des emails est dans le viseur de la CNIL. En juin 2025, la Commission Nationale de l’Informatique et des Libertés a publié un projet de recommandation sur la demande de consentement pour les pixels de suivi (et en particulier pour le pixel d’ouverture des emails) dont la version finale a été publiée le 14 avril 2026.

Cette demande de consentement, aujourd’hui ignorée par la plupart des expéditeurs, pourrait bouleverser les pratiques emailing. La démarche de la CNIL est logique : selon le RGPD, les données de tracking sont considérées comme des données personnelles nécessitant un consentement explicite. Faisons le point.

La version finale de la recommandation qui a été publiée le 14 avril 2026 est consultable ici : https://www.cnil.fr/fr/recommandation-pixel-suivi-courriels

Le Replay de notre live Youtube du Jeudi 7 mai 2026

On a décortiqué, lu et relu les 11 pages de la recommandation CNIL. En détail. Sans rien sauter.

Dans ce live, on clarifie noir sur blanc ce qui est encore autorisé sans consentement, ce qui ne l’est plus. Ce que ça change pour votre délivrabilité, pour la gestion de vos inactifs. On vous donne aussi avec un plan d’action concret pour être en conformité avant la date limite.

Le lien d’accès au live est celui-ci : https://www.youtube.com/watch?v=Q8xWSwyojvE



Table des matières

Pourquoi la CNIL se préoccupe des pixels de tracking des emails ?

Comme indiqué en préambule dans son document, la CNIL a initiée cette démarche d’éclaircissement suite aux signalements et aux plaintes de personnes se sentant espionnées par les emails. À travers ce document, la CNIL souhaite préciser les dispositions du RGPD qui ont été mal interprétées par les organisations depuis 2018.

En réalité, ces dernières années, des juristes de la CNIL ont informé plusieurs marques contrôlées que leurs mesures d’ouverture et de clic n’étaient pas légales sans consentement préalable. Surprise, les acteurs de l’email ont demandé des éclaircissements à la CNIL sur les positions de leurs juristes. Et cette recommandation en a découlé.

Les points importants à retenir

  • Dans sa recommandation, la CNIL cible principalement le pixel d’ouverture des emails. Et plus particulièrement, la possibilité de tracker nominativement l’ouverture.
  • Il est fort probable que le tracking des cliqueurs soit le prochain sur la liste dans l’année à venir. Donc autant se mettre en conformité dès maintenant en appliquant les mêmes principes.
  • Pour les adresses déjà dans votre base, vous avez 3 mois à compter de la publication de la recommandation pour informer vos destinataires de l’usage du pixel et leur permettre de s’y opposer, soit jusqu’au 14 juillet au plus tard.

Cet article est en accès libre.

Il nous a demandé du temps et de l’expertise !

Ce mois-ci, merci à nos clients-sponsors : Actito, BPI France, Cardif, Citeo, Clarins, CMI France, Editis, Engie, France Télévisions, Le Parisien, Les Echos, Les Furets, Pierre Fabre, UMR, Voyageurs du monde… Grâce aux missions qu’ils nous confient, nous pouvons rédiger et partager du contenu gratuit. Ils soutiennent notre travail d’éducation pour promouvoir un email plus responsable. Devenez client et bénéficiez de notre expertise tout en soutenant la production de connaissances ouvertes.

Voir ce qu’on peut faire eNsemble

Ce que vous pourrez toujours faire sans consentement ✅

  • Statistiques : Mesurer les taux d’ouverture globaux de vos campagnes (si anonymisé par votre plateforme d’envoi)).
  • Délivrabilité : Mesurer des taux d’ouverture agrégés par domaine de destination (sur les domaines de taille suffisante pour ne pas permettre l’identification individuelle, à vérifier avec votre solution d’envoi)
  • Inactifs : Repousser les inactifs emails de vos envois ou adapter la fréquence d’envoi sur base de la dernière date d’ouverture de vos contacts
  • Sécurité / authentification : tracking pour vérifier qu’un email d’authentification (code 2FA, lien de réinitialisation de mot de passe, etc.) est bien ouvert sur le terminal du destinataire.
  • Obligation légale d’information : tracking permettant de prouver la bonne transmission d’informations imposées par la loi (information précontractuelle, mentions obligatoires, changements de tarifs, etc.).
  • Emails transactionnels : insertion de pixels dans les emails directement liés à un service demandé par le destinataire (bienvenue, alerte de compte, confirmation de commande, expédition, rappel de rendez-vous…), sous réserve que le pixel serve lui-même une finalité exemptée (délivrabilité, sécurité, obligation légale).
  • Tests A/B : Réaliser des A/B tests basés sur le taux d’ouverture reste à priori autorisé puisqu’on est sur de la performance d’ouverture d’une audience et donc non-nominatif. Il convient néanmoins d’interroger votre plateforme d’envoi sur l’anonymisation effective des données.

Ce qui nécessitera un consentement explicite ❌

  • Tracking : Identifier individuellement qui ouvre sur vos emails.
  • Ciblage : Cibler vos contacts en fonction de leurs comportements d’ouvertures (par exemple les non ouvreurs d’une campagne précédente).
  • Profiling : Déterminer les centres d’intérêt de vos contacts selon leurs comportements d’ouverture.
  • Ciblage : Adapter votre fréquence d’envoi en fonction des comportements individuels (basé sur autre chose que la date de dernière ouverture ou de clic).
  • Personnalisation : Personnaliser vos contenus selon les interactions d’ouvertures de chaque contact.

Et le tracking des clics ?

La recommandation CNIL porte littéralement sur les pixels de suivi des ouvertures. Mais deux indices montrent que la CNIL considère que les liens traçants relèvent du même cadre juridique (page 8 de la recommandation) : elle rappelle explicitement leur soumission à l’article 82 de la loi informatique et liberté, et renvoie aux lignes directrices CEPD 2/2023 qui les couvrent.

Notre conseil chez Badsender : profitez du chantier en cours pour traiter les deux sujets en même temps. Mettre en place un consentement sur le tracking des clics vous évitera de refaire le travail dans 12 à 18 mois, quand la CNIL (ou un contrôle) viendra clarifier formellement le sujet.

Pas besoin de consentement du pixel de suivi dans un contexte de délivrabilité

Pour mesurer la délivrabilité des campagnes, il faut pouvoir examiner les ouvertures par domaine de messagerie (pour détecter un problème de réputation chez Gmail, Orange, Outlook…).

Pour maintenir une bonne réputation, il faut pouvoir exclure les contacts inactifs des envois. Et la définition courante d’un contact inactif jusqu’ici est : « Tout contact n’ayant pas ouvert et/ou cliqué au moins un email dans les X derniers mois ».

Dans ces deux cas, il y a nécessité de connaître l’action d’ouverture (et/ou de clic) et le domaine de messagerie.

Bonne nouvelle : la version finale de la recommandation reconnaît explicitement ces deux usages comme exemptés de consentement. C’était l’un des points les plus attendus par les acteurs du marché.

Trois usages sont exemptés (page 5 de la recommandation) :

  • Identifier les inactifs pour les retirer de la base.
  • Adapter la fréquence d’envoi aux inactifs (passer de plusieurs envois par semaine à un par mois, par exemple).
  • Basculer vers un canal alternatif lorsque l’email ne fonctionne plus (SMS, push…).

La contrepartie technique : minimiser les données

La CNIL impose de ne conserver que la date du jour de la dernière ouverture, sans l’heure, écrasée à chaque nouvelle ouverture. Stocker un historique complet n’est plus compatible avec l’exemption.

La frontière à respecter : désengager, pas réengager

L’exemption couvre tout ce qui sert à moins solliciter un contact inactif :

  • ✅ Repousser ou exclure les inactifs.
  • ✅ Cibler les inactifs avec une fréquence réduite.
  • ✅ Envoyer une campagne d’information annonçant la réduction de fréquence ou la désinscription (« C’est notre dernier email avant désinscription »).

🟧 Lancer une campagne de réactivation marketing (super promo, contenu éditorial fort) : ce n’est plus du « strictement nécessaire ». La logique de l’exemption est de désengager, pas de mieux réengager. Une campagne de réactivation à finalité commerciale relève du consentement.

Une limite à connaître : les petits domaines

La mesure agrégée par domaine reste possible sans consentement à condition que l’anonymisation soit effective. Sur les domaines majeurs, aucun problème. Mais sur un domaine d’entreprise avec deux ou trois adresses, l’agrégation ne garantit pas l’anonymat, vérifiez avec votre solution d’envoi comment ces cas sont traités.

Quels impacts en B2B ?

La recommandation concerne aussi bien le B2C que le B2B ! Et la CNIL prend soin de le préciser explicitement (page 10) :

« Le régime du consentement des pixels de suivi est indépendant de celui applicable à l’envoi du courriel en question : ainsi le consentement pour des pixels de suivi pourra être nécessaire pour des courriels qui ne nécessitent pas, en principe, le consentement des destinataires (…) prospection vers les professionnels en rapport avec la profession de la personne démarchée (…) »

En clair, l’insertion d’un pixel de suivi dans des emails B2B nécessite un opt-in spécifique.

Une bonne nouvelle quand même : les exemptions de consentement (délivrabilité, sécurité, obligation légale) s’appliquent aussi en B2B. Vous pouvez donc continuer à gérer vos inactifs B2B sans consentement, dans les mêmes conditions qu’en B2C.

Se mettre en conformité : Plan d’action en 11 étapes

Avant de plonger ! Nous avons choisi une approche maximaliste et exhaustive pour ce plan d’action (c’est long 😉 ) : vous y trouverez à la fois ce qui est strictement nécessaire pour être conforme et ce que nous considérons comme les meilleures pratiques. Toutes les marques n’iront pas au bout de chaque priorité, et c’est normal. À vos équipes de décider où placer le curseur en fonction de votre contexte, vos ressources et votre stratégie. Cet article est là pour éclairer vos arbitrages, pas pour les imposer.

Priorité 1 – Diagnostiquer : Auditer vos pratiques actuelles

Avant toute mise à jour, prenez le temps de poser une photographie honnête de l’existant. Elle suppose une collaboration entre les équipes CRM, IT, juridique et délivrabilité. C’est aussi l’occasion de remettre tout le monde autour de la table sur un sujet qui concerne tous ces métiers à la fois.

Exemples de questions à vous poser :

  • Où sont actuellement collectée vos adresses email ? Avec quelles mentions ou cases à cocher ? Il s’agit d’être exhaustif pour ne rater aucun élément (il n’y a pas que le numérique dans la vie, pensez à vos partenaires).
  • Quels sont les usages des données issues du tracking des ouvertures (et des clics) dans votre stratégie CRM
  • Quelle formulation de collecte de consentement vous permettrait de grouper cette collecte ? La CNIL autorise un consentement unique pour la prospection commerciale et le suivi poursuivant une finalité directement connexe à cette prospection (voir priorité 5).
  • Quelles sont les typologies d’emails que vous envoyez, relèvent-ils tous du même régime juridique et/ou bénéficient-t’ils d’exemptions ?
  • Quels sont les outils dans lesquels vous devrez exploiter ces consentements (là où ils sont stockés) ? Il est probable qu’il n’y ait pas que dans votre outil d’envoi d’email principal.

Si ce n’est pas déjà fait, organisez un atelier au plus vite avec les équipes concernées. Et si vous avez besoin d’une aide extérieure pour animer cet atelier, n’hésitez pas à contacter Badsender.

À l’issue de ce diagnostic, vous saurez quels chantiers prioriser, lesquels peuvent être simplifiés, et lesquels nécessitent d’embarquer des prestataires externes. Sans cette photographie initiale, les étapes suivantes se feront à l’aveugle.

Priorité 2 – Diagnostiquer : Évaluer les capacités de votre plateforme d’envoi

Dans les actions concrètes qui vont suivre, vous serez autonome sur une partie, mais clairement dépendant de votre plateforme d’envoi d’email sur d’autres. Nous vous recommandons de prendre contact avec eux ou de lire les publications et documentations qu’ils possèdent sur le sujet.

Quelques questions essentielles :

  • Consentement granulaire : pouvez-vous gérer plusieurs champs de consentement (ouvertures, clics, profilage cross-canal) selon votre stratégie ?
  • Stockage minimisé : les dates d’ouverture sont-elles conservées à la journée sans heure, écrasées à chaque ouverture (exigence CNIL pour l’exemption délivrabilité) ?
  • Pixels différenciés selon le consentement : la plateforme génère-t-elle un pixel différent selon le statut du destinataire ? Pixel complet pour les consentants, pixel restreint (date de dernière ouverture, domaine, identifiant de campagne, version A/B agrégée) pour les autres ?
  • Suppression de l’historique en cas d’opposition : quand un destinataire retire son consentement, l’historique des données comportementales le concernant est-il effectivement supprimé ?
  • Séparation des flux transactionnels et marketing : la distinction est-elle gérable au niveau des templates et workflows, ou seulement au cas par cas ?
  • Preuve individualisée du consentement : date, contexte, version de l’information…

Badsender a préparé un comparatif des implémentation des recommandations sur le tracking des ouvertures dans les solutions d’envoi d’email. N’hésitez pas à consulter ce document que nous allons faire évoluer régulièrement.

Co-responsabilité : qui est juridiquement responsable de quoi ?

Votre routeur est par défaut sous-traitant : c’est vous qui restez responsable du traitement et qui devez garantir la légalité des pratiques (recommandation, page 4). Il bascule en co-responsable uniquement s’il utilise les pixels pour ses propres finalités, ce qui impose alors un accord formalisé entre vous.

Attention au piège : la conformité technique de votre plateforme est nécessaire, mais elle ne vous met pas à l’abri si vos formulaires de collecte ou votre preuve du consentement sont déficients. C’est vous qui restez exposé en cas de contrôle.

Priorité 3 – Décider : Repenser vos stratégies de ciblage et de personnalisation

L’idée n’est pas forcément de réaliser un big bang intégral. Mais, avec la meilleure compréhension du cadre juridique que vous avez maintenant, vous allez avoir besoin de rationaliser vos usages afin d’entrer dans le cadre, mais aussi de ne pas vous compliquer la vie. Il est nécessaire de trouver un équilibre entre :

  • Continuer à collecter sans faire peur à vos potentiels contacts
  • Continuer à proposer du contenu pertinent à vos destinataires

Trois questions pour structurer cette réflexion :

1. Avez-vous réellement besoin de suivre individuellement les ouvertures ?Beaucoup de marques trackent l’ouverture individuelle par habitude, sans usage réel des données en aval. L’arrivée de la recommandation est une opportunité plutôt qu’une contrainte : désactivez le tracking individuel, vous gagnerez en simplicité et en conformité d’un seul coup. Attention : ne pas exploiter les données ne suffit pas, encore faut-il que votre plateforme ne les stocke pas (principe de minimisation).

2. Comment redéfinir vos contacts inactifs ?
La date de dernière ouverture est désormais le seul signal utilisable pour identifier les inactifs, s’ils n’ont pas donné leur consentement. Si votre définition actuelle repose sur d’autres indicateurs il faudra vérifier s’ils sont conforme. Notre article de référence sur les contacts inactifs reste valable dans ses principes, mais sa mise en œuvre opérationnelle peut varier.

3. Quels signaux first-party renforcer en parallèle ?
Les ouvertures vont devenir un signal partiellement aveugle : couverture réduite par le consentement, par Apple Mail Privacy Protection, par les filtres anti-tracking. Réduire votre dépendance à ce signal en renforçant d’autres sources est une bonne pratique durable : clics authentifiés sur votre site, achats, réponses au service client, préférences déclaratives, événements transactionnels propres. Ils résisteront mieux aux évolutions à venir.

Priorité 4 – Décider : Définir votre stratégie de consentement

⚠️ Petit rappel : nous sommes des experts de l’email marketing et de la délivrabilité, pas des juristes. Ce qui suit est notre lecture opérationnelle de la recommandation CNIL, nourrie par notre expérience auprès de nos clients. Ça ne remplace pas l’avis d’un DPO, d’un juriste ou d’un avocat spécialisé sur votre cas spécifique. Faites-vous accompagner pour valider vos choix.

C’est la traduction juridique des choix que vous avez fait dans la priorité 3.

Trois décisions à trancher :

1. Quelle granularité de consentement ?

La CNIL autorise un consentement unique pour la prospection commerciale et les pixels de suivi poursuivant une finalité directement connexe à cette prospection : personnalisation du contenu, adaptation de la fréquence d’envoi, détection de fraude. À l’inverse, le profilage cross-canal (utiliser les ouvertures pour cibler ensuite sur le web, le mobile ou en publicité display) n’est pas connexe à la prospection email, il nécessite une case séparée.

Plus vous avez d’usages distincts, plus vous aurez de cases à cocher. Choisissez le périmètre le plus serré qui serve votre stratégie CRM.

2. Quelle couverture : ouvertures seulement, ou clics aussi ?

La recommandation porte littéralement sur les pixels d’ouverture, mais le même cadre juridique s’applique aux liens traçants. Les couvrir dès maintenant dans votre stratégie de consentement vous évitera de devoir refaire le travail dans 12 à 18 mois, lorsque la CNIL ou un contrôle clarifiera formellement le sujet.

3. Que faire de la base existante ?

Vos contacts ont déjà donné un opt-in « simple ». Pour eux, la recommandation prévoit une simple information sous 3 mois avec possibilité d’opposition (voir priorité 10). Vous pouvez aussi profiter de cette communication pour solliciter un consentement explicite… mais le taux de conversion risque d’être très faible. À arbitrer avec votre DPO et votre équipe juridique.

Priorité 5 – Mettre en oeuvre : Mettre à jour vos formulaires de collecte

⚠️ Petit rappel (le même qu’au dessus) : nous sommes des experts de l’email marketing et de la délivrabilité, pas des juristes. Ce qui suit est notre lecture opérationnelle de la recommandation CNIL, nourrie par notre expérience auprès de nos clients. Ça ne remplace pas l’avis d’un DPO, d’un juriste ou d’un avocat spécialisé sur votre cas spécifique. Faites-vous accompagner pour valider vos choix.

Vous savez désormais quel consentement collecter (priorité 4). Reste à le formuler.

Le consentement doit être libre, spécifique, éclairé et univoque. Le plus simple est d’ajouter une case à cocher (non pré-cochée) dans vos formulaires, avec une formulation claire sur les finalités.

Deux exemples :

« J’accepte que [la Marque] utilise des pixels de suivi pour me proposer des contenus en phase avec mes centres d’intérêt et réduire le nombre d’emails non pertinents que je reçois.”

« J’accepte de recevoir les communications commerciales par email de [Nom de la marque], personnalisées selon mes interactions avec ces emails (ouvertures et clics). Je peux retirer mon consentement à tout moment via le lien présent dans chaque email. »

Le mot « personnalisée » (ou un équivalent) est juridiquement déterminant : c’est lui qui rend possible le couplage de l’opt-in et du consentement aux pixels dans une seule case. Sans ce couplage, la CNIL exige une granularité plus fine.

Aller au-delà de la conformité formelle

Une case juridiquement correcte n’est pas forcément une case efficace. Un travail de rédaction en langage clair et d’UX Design est nécessaire. C’est le point qui fera la différence entre les marques qui font le minimum syndical et celles qui transformeront cette obligation en levier de relation client.

Cibler tous les points de collecte

Web, papier, oral, partenaires, jeux-concours, événements physiques. La cartographie réalisée en priorité 1 doit déboucher ici sur une mise à jour systématique. Une seule mention manquante peut invalider la preuve du consentement pour tous les contacts collectés sur ce canal.

Exemple fictif

Priorité 6 – Mettre en oeuvre : Distinguer flux transactionnels et flux marketing dans votre ESP

Les emails transactionnels (confirmation de commande, alerte de compte, expédition de colis, rappel de rendez-vous, réinitialisation de mot de passe…) bénéficient d’un régime spécifique : ils peuvent être envoyés sans consentement, et les pixels qu’ils contiennent peuvent être exemptés s’ils servent une finalité elle-même exemptée (sécurité, délivrabilité, obligation légale).

Encore faut-il que votre plateforme distingue clairement ces flux des flux marketing. Dans la pratique, beaucoup d’ESP appliquent les mêmes règles de tracking à toutes les campagnes, ce qui revient à perdre le bénéfice de l’exemption transactionnelle.

Sur la base du diagnostic mené en priorité 1, deux actions concrètes :

  • Configurer des règles de tracking distinctes : pixels et liens traçants exemptés sur les flux transactionnels purs, pixels conditionnels au consentement sur les flux marketing.
  • Traiter le cas des emails hybrides : un email de confirmation de commande qui contient aussi des recommandations produits, un email de bienvenue avec une promo… Ces emails mélangent une partie transactionnelle (exemptée) et une partie marketing (qui nécessite consentement). Soit vous séparez les deux dans des emails distincts, soit vous appliquez le régime le plus strict à l’ensemble.

Un signal d’alerte à surveiller : si votre ESP ne sait pas vous expliquer simplement comment il distingue ces flux, c’est qu’il ne le fait probablement pas. À creuser lors du rendez-vous prévu en priorité 2.

Priorité 7 – Mettre en oeuvre : Intégrer un lien de retrait de consentement dans vos emails

Comme pour l’optin, le consentement de suivi d’ouverture doit pouvoir être annulé à tout moment et en un clic. Il faut donc inclure un lien de retrait de consentement à côté du lien de désabonnement dans vos footers (et headers si vous respectez cette pratique).

Désinscription et retrait du consentement : deux choses différentes

Beaucoup de marques fusionnent les deux dans un mécanisme « tout ou rien », alors qu’ils sont juridiquement distincts. Notre conseil : proposer à la fois un retrait global en un clic (pour respecter l’exigence « aussi simple de retirer que de donner ») et des retraits granulaires par finalité, pour ceux qui veulent un choix plus fin.

La neutralisation rétroactive

La recommandation impose que les pixels des emails déjà envoyés ne soient plus exploités si le destinataire les rouvre après avoir retiré son consentement. C’est un des points à creuser en priorité 2, et probablement l’un de ceux où vous serez les plus dépendants des évolutions produit de votre plateforme d’envoi d’email.

Priorité 8 – Mettre en oeuvre : Mettre à jour ou créer votre Centre de préférences

La multiplication des choix de consentement (réception, ouvertures, clics, profilage cross-canal…) rend le centre de préférences plus pertinent que jamais. Bien conçu, il peut même remplacer la page de désinscription classique : le destinataire arrive sur une interface unique où il ajuste finement ses choix.

Si vous n’en avez pas, c’est le bon moment pour en créer un. Si vous en avez déjà un, il est probablement à revoir pour intégrer les nouveaux choix granulaires de retrait définis en priorité 7.

Une exigence à ne pas oublier : le retrait doit se faire sans ressaisie de l’adresse email (recommandation, page 10).

Priorité 9 – Mettre en oeuvre : Mettre en place un système de preuve de consentement

La preuve du consentement relatif au tracking email doit être conservée pendant toute la durée de validité de ce consentement. La preuve du consentement relatif au tracking email doit être conservée pendant toute la durée de validité de ce consentement. Concrètement, vous devez pouvoir produire à tout moment, pour chaque destinataire individuellement : la date du consentement, le contexte de collecte (formulaire web, page partenaire, campagne dédiée…), la version exacte de l’information affichée, et le périmètre des finalités acceptées.

Une mise en garde explicite de la CNIL

Une clause contractuelle entre vous et votre prestataire (ESP, partenaire de collecte, locataire de listes) ne suffit pas à transférer la preuve du consentement. La recommandation est très claire sur ce point (page 11) :

« L’obligation de rapporter la preuve du consentement ne peut pas être remplie par la seule présence d’une clause contractuelle engageant l’une des parties à recueillir un consentement valable pour le compte de l’autre partie. »

Si vos adresses sont collectées par un tiers (partenaire, prestataire de location, événement co-organisé…), vous devez recevoir techniquement les éléments de preuve, pas seulement une garantie contractuelle. Ce point conditionne directement la validité de tous les emails envoyés à ces contacts.

Concrètement

C’est l’un des chantiers les plus dépendants de votre plateforme d’envoi (voir priorité 2). Les questions à creuser : quels éléments de preuve sont conservés nativement ? Sont-ils exportables ? Comment sont gérées les modifications ultérieures de consentement ? Comment articuler les preuves issues de plusieurs sources (formulaire web, centre de préférences, retrait par email…) ?

Priorité 10 – Régulariser et formaliser : Informer vos destinataires existants

Concernant le consentement pour les bases existantes, la CNIL n’impose pas de recollecter le consentement sur les bases existantes. Par contre, elle annonce l’obligation d’envoyer une campagne pour informer les abonnés du suivi de leurs ouvertures (et, par extension, de leurs clics) et de leur proposer un moyen de s’y opposer facilement pour les futurs emails envoyés.

Vous avez 3 mois depuis la publication de la recommandation fin d’y procéder. Donc à faire pour début juillet 2026 au plus tard.

Préalable indispensable

Cette campagne ne peut être lancée que si tout le dispositif de retrait est déjà opérationnel : formulaires et centre de préférences à jour (priorités 5 et 8), lien de retrait dans les emails (priorité 7), neutralisation de l’historique en cas d’opposition, différenciation technique entre les pixels avec et sans consentement (priorités 2 et 6), mécanisme de preuve en place (priorité 9). Sans ces fondations, la campagne d’information serait au mieux inutile, au pire contre-productive : un destinataire qui s’oppose mais dont le choix n’est pas correctement pris en compte vous met dans une situation pire qu’avant la campagne.

Priorité 11 – Régulariser et formaliser : Mettre à jour votre page de confidentialité

C’est l’étape la moins technique, mais elle ne doit pas être oubliée. Votre politique de confidentialité (ou page « vie privée ») doit refléter les nouvelles pratiques mises en place dans les priorités précédentes.

À ajouter ou actualiser :

  • La mention de l’usage de pixels de suivi et de liens traçants dans vos emails.
  • Les finalités précises poursuivies (personnalisation, délivrabilité, sécurité…), en cohérence avec la stratégie définie en priorité 4.
  • Les modalités de retrait du consentement et l’existence d’un centre de préférences le cas échéant (priorité 8).
  • Les éventuels prestataires tiers impliqués dans le traitement (ESP, fournisseur de pixels, partenaires).

Cette étape n’a pas d’impact opérationnel direct, mais elle joue un rôle juridique : c’est sur cette page que les destinataires (et, en cas de contrôle, la CNIL) iront chercher l’information détaillée. Mieux vaut qu’elle soit cohérente avec ce que vous faites réellement. À travailler avec vos juristes et/ou votre DPO.

Exemple de rédaction d’une page de vie privée : regardez le dernier paragraphe

Source : Vorwerk — Capture réalisée AVANT la sortie de la recommandation de la CNIL.

FAQ : Les questions fréquentes à propos du consentement au tracking des emails

Combien de temps ont les marques pour se mettre en conformité ?

0 jour. La conformité est exigée dès maintenant, et les marques auraient dû l’appliquer depuis mai 2018 (date de la mise en application du RGPD). Néanmoins, pour les bases d’adresses déjà collectées, la CNIL accorde une période transitoire de 3 mois (soit jusqu’à début juillet 2026) pour informer les destinataires de l’utilisation de pixels et leur permettre de s’y opposer pour les emails futurs. Pour toute nouvelle collecte d’adresse, en revanche, les règles s’appliquent dès maintenant.

Cette recommandation concerne-t-elle le taux de clic ?

Techniquement, la recommandation porte uniquement sur les pixels de suivi d’ouverture. Mais les liens traçants utilisés pour mesurer les clics relèvent du même cadre juridique. La CNIL le rappelle d’ailleurs explicitement dans sa recommandation (page 8). En pratique, le sujet du clic suivra : mieux vaut s’y préparer dès maintenant en intégrant le consentement aux clics dans le même chantier.

Y a-t-il a une distinction entre emails transactionnels, emails de services, confirmation de commande, etc et les emails marketing ?

Oui. Les emails dits « transactionnels » (confirmation de commande, notification d’expédition, alerte de sécurité, code 2FA, facture, réponse au service client, rappel de rendez-vous, mise à jour des CGU…) bénéficient d’un régime spécifique : ils sont liés à un service expressément demandé par le destinataire, et les pixels qu’ils contiennent peuvent donc être exemptés de consentement. À condition que ces pixels poursuivent eux-mêmes une finalité exemptée (sécurité, délivrabilité, obligation légale).

Attention au piège : un email transactionnel n’autorise pas n’importe quel pixel. Si le pixel sert une finalité marketing (personnalisation, mesure de performance), le consentement reste requis, même dans un email de bienvenue ou de confirmation de commande.

Est ce qu’un email de bienvenue peut être considéré comme un email transactionnel ?

Oui, la CNIL cite explicitement les courriels de bienvenue parmi les exemples d’emails transactionnels (recommandation, page 6). Mais attention : tout dépend du contenu réel et de la finalité du pixel.

Un email de bienvenue strictement informatif (confirmation d’inscription, présentation du service, accès au compte) est transactionnel. En revanche, si l’email bascule majoritairement sur du contenu marketing (promotions, recommandations produits, déclencheur d’un workflow d’acquisition), la qualification transactionnelle devient discutable. Et même dans un email transactionnel pur, un pixel à finalité marketing reste soumis à consentement.

La CNIL fait-elle une différence entre utiliser le tracking pour cibler les ouvreurs et l’utiliser pour exclure les inactifs ?

Oui, c’est même la distinction structurante de toute la recommandation. Voir le paragraphe sur la délivrabilité plus haut.

Un groupe peut-il collecter un seul consentement au tracking valable pour plusieurs marques ou entités ?

Le sujet est plus complexe qu’il n’y paraît. La CNIL impose que le destinataire comprenne clairement qui utilisera les pixels de suivi (recommandation, page 7). Dès lors qu’un groupe compte plusieurs entités juridiques distinctes, chacune peut être responsable de ses propres traitements, ce qui plaide pour un consentement explicite par entité.

Un consentement plus large est peut-être envisageable lorsque toutes les entités sont nommées au moment de la collecte et que leurs usages sont étroitement liés. Mais le cadre exact reste à préciser au cas par cas avec votre DPO ou votre conseil juridique.

Notre recommandation pratique : dans le doute, privilégier un consentement distinct par marque. C’est plus lisible pour le destinataire et plus solide en cas de contrôle.

Comment peut-on connaître un taux d’ouverture sans traquer ?

Le pixel n’est pas interdit. Sans consentement, il reste possible d’utiliser un pixel anonyme associé à un identifiant de campagne (et non à un contact individuel) pour mesurer un taux d’ouverture global (sur votre solution d’envoi d’email le permet). Cette mesure agrégée, qui ne permet pas de remonter à un destinataire identifiable, sort du champ du consentement à condition que l’anonymisation soit effective (recommandation, page 6).

L’email marketing est-il amené à mourir ?

Clairement non. La recommandation ne remet pas en cause l’email marketing, elle l’encadre.

L’enjeu n’est pas de renoncer à l’email, c’est de basculer vers un pilotage plus first-party (clics authentifiés, achats, préférences déclaratives) et moins dépendant des seuls signaux d’ouverture et de clic. Les marques qui anticipent cette évolution gagneront en robustesse face aux prochaines évolutions réglementaires comme aux protections croissantes côté clients de messagerie (Apple Mail Privacy Protection notamment).

Est-ce que ce consentement pourra contrecarrer l’AMPP ou le Google Image Catching ?

Non. Le consentement obtenu auprès de votre destinataire n’a aucun effet sur les protections mises en place par les fournisseurs de messagerie. Si un utilisateur a activé Apple Mail Privacy Protection, Apple continuera à pré-charger le pixel et à brouiller les données d’ouverture, indépendamment de votre dispositif de consentement. La CNIL le confirme d’ailleurs dans sa recommandation : le fournisseur de service de messagerie n’est ni sous-traitant ni responsable du traitement (page 4). Il agit selon ses propres règles, qui s’imposent à vous comme à votre destinataire.

Faut-il inclure le pixel d’ouverture des emails dans la liste des cookies sur son site web ?

Non, le pixel d’ouverture n’est pas un cookie : ce n’est pas un traceur de navigation web, et il n’a donc pas vocation à figurer dans le bandeau cookies de votre site.

La CNIL elle-même invite à la vigilance sur ce point (recommandation, page 10) : utiliser une CMP pensée pour les cookies web pour collecter le consentement aux pixels email est techniquement possible mais juridiquement délicat. Le destinataire risque de ne pas comprendre que son choix s’applique aussi à un environnement (sa boîte email) distinct de celui où il l’exprime (votre site web).

Cette réglementation concerne quels pays ?

Le cadre juridique est européen. En revanche, la recommandation publiée le 12 mars 2026 émane de la CNIL et représente l’interprétation française de ce cadre commun. Les autorités des autres pays peuvent retenir des interprétations légèrement différentes. Si vous opérez dans plusieurs pays européens, il faut vérifier le positionnement de chaque autorité de contrôle nationale.

Si je n’ai qu’une seule case à cocher pour le recueil de consentement sur la réception d’emails commerciaux personnalisés, du tracking des ouvertures et des clics, est-ce que je peux séparer les cases à cocher de retrait de ce consentement ?

La CNIL ne tranche pas explicitement cette question (page 10 de la recommandation), mais précise qu’il doit « être aussi simple de retirer son consentement que de le donner ». Concrètement, dans ce cas, nous vous conseillons de faire les deux : proposer un retrait en une fois ET des retraits individuels. Attention cependant : si un destinataire décoche le tracking mais conserve la réception, vous devrez pouvoir lui envoyer des emails non-personnalisés. Votre plateforme doit pouvoir le gérer.

Faut-il recollecter le consentement de tous mes contacts déjà en base ?

Non. La CNIL prévoit une modalité d’application transitoire pour les bases existantes (recommandation, page 11) : les opérations de tracking peuvent continuer sous réserve d’envoyer une information claire dans un délai de 3 mois et de permettre aux destinataires de s’opposer pour les emails futurs.

Attention à ne pas confondre cette modalité avec un consentement par silence, que la CNIL exclut explicitement (page 7). Il s’agit d’un régime juridique distinct, propre à la période de transition.

Certains juristes considèrent toutefois cette modalité comme fragile à long terme et recommandent un re-consentement explicite. C’est plus protecteur juridiquement, mais opérationnellement compliqué (le taux de re-consentement est historiquement très faible). À arbitrer selon votre profil de risque.

Conclusion – Est-ce vraiment la fin du monde ?

Honnêtement, non. Et c’est peut-être un peu le problème.

Par rapport au projet initial soumis à consultation publique en juin 2025, on sent que les lobbys du marché ont pesé. Les exemptions accordées sur la délivrabilité sont à notre sens équilibrées et les acteurs sérieux pourront continuer à faire leur travail. Mais d’autres concessions nous semblent plus discutables.

Le mécanisme prévu pour mettre en conformité les bases existantes est particulièrement problématique : une simple campagne d’information avec droit d’opposition, sans recueil d’un consentement explicite. C’est confortable pour les marques, mais ne protège en rien les destinataires ! Une marque qui a une base peu engagée va mécaniquement se retrouver avec une base réputée « non-opposée », simplement parce que l’email d’information n’aura pas été ouvert. Pas vraiment une incitation à faire mieux !

C’est pour cette raison que nous avons fait le choix d’une lecture maximaliste dans cet article. La conformité minimale est un point de départ, pas un horizon. Profiter de cette période pour repenser sa relation avec ses destinataires, simplifier ses formulaires, basculer vers des signaux first-party plus robustes, c’est un investissement qui paiera bien au-delà de l’enjeu CNIL.

Et si vous avez besoin d’un regard extérieur pour vous aider à placer ce curseur, vous savez où nous trouver.

Soutenez l’initiative “Email Expiration Date

Brevo et Cofidis soutiennent financièrement le projet. Rejoignez le mouvement et ensemble, responsabilisons l’industrie de l’email face à l’urgence climatique.

Je me renseigne

Partagez

Restez informé·e via les newsletters de Badsender

Chaque mois, nous envoyons une newsletter et des emails d’invitations à nos lives. En savoir plus.

Votre adresse email ne sera jamais communiquée à un tiers. Vous pourrez vous désabonner à tout moment en un seul clic.

L’auteur/autrice

Avatar de Marion Duchatelet
Marion Duchatelet
Issue d’une filière commerciale, Marion a fait ses armes pendant près de 10 ans chez Cabestan où elle a accompagné l’évolution de la solution sur le plan marketing et communication avant d’en devenir directrice Marketing. Après un passage de deux ans en agence data, Marion accompagne maintenant les clients de Badsender dans l’évolution de leurs stratégies emailing et eCRM.
Toutes les publications de Marion Duchatelet
Précédent
Suivant

2 réponses

  1. Avatar de Audrey
    Audrey

    Bonjour MArion,

    merci pour votre article très complet.
    Concernant le recueil du consentement auprès des contacts existants et du fait que  » Le silence vaut acceptation », j’ai l’impression que le paragraphe 4.2 de la communication de la CNIL dit le contraire : « Le consentement devant procéder d’un acte positif, l’inactivité du destinataire doit être analysée comme l’expression d’un refus de consentir à l’utilisation de pixels de suivi. » « . Pouvez-vous me dire ce que vous en pensez ?

    Merci.

    Répondre
    1. Avatar de Jonathan Loriaux
      Jonathan Loriaux

      Bonjour Audrey ! Merci beaucoup pour votre question !

      En effet la formulation des conclusions n’était pas idéale, je viens de la mettre à jour. Et j’ai ajouté une question dans la FAQ pour répondre explicitement à votre questionnement : « Faut-il recollecter le consentement de tous mes contacts déjà en base ? »

      Bonne lecture

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *