Le 14 avril 2026, la CNIL a publié sa recommandation définitive sur les pixels de suivi dans les emails. Le texte, adopté le 12 mars après un an de consultation publique, est clair : mesurer l’ouverture d’un email sans consentement explicite, c’est terminé.

Pour les équipes marketing, c’est un changement majeur. Pour les équipes Sales qui pilotent leur prospection au taux d’ouverture dans HubSpot, Salesforce ou Lemlist, c’est un tremblement de terre.

C’est quoi, un pixel de suivi ?

Un pixel de suivi ou « traçeur », c’est une image invisible de 1×1 pixel intégrée dans un email. Quand vous ouvrez l’email, l’image se charge depuis un serveur distant, et l’expéditeur sait que vous avez ouvert son message. Il sait aussi quand, combien de fois, et parfois depuis quel appareil et quelle localisation.

C’est la base de quasiment tous les outils d’emailing et de sales automation : HubSpot, Salesforce, Lemlist, Apollo, Outreach, Brevo, Mailchimp, ActiveCampaign… Ce mécanisme permet de mesurer les taux d’ouverture et de déclencher des séquences automatisées.

Ce que dit la CNIL

Ce qui est exempté de consentement :
– les pixels utilisés pour participer à la sécurisation de l’authentification de l’utilisateur. Par exemple, vérifier qu’un email contenant un code d’authentification est bien ouvert sur un terminal connu.
– la mesure de la délivrabilité des emails « rattachés à un service demandé par le destinataire ». En clair : les emails transactionnels (confirmation de commande, alerte de compte, expédition de colis, facture, réinitialisation de mot de passe, alerte de sécurité, notification de violation…) et les emails pour lesquels le destinataire a donné son consentement (newsletters auxquelles il s’est inscrit). C’est tout. Et la CNIL impose un principe de minimisation strict : seule la date de la dernière ouverture connue (à la journée, sans l’heure) peut être conservée, avec suppression de la précédente à chaque mise à jour.

Ce qui nécessite un consentement explicite : Tout le reste.
La CNIL liste quatre finalités qui nécessitent le consentement du destinataire : mesurer le taux d’ouverture pour optimiser les performances des campagnes (personnalisation du contenu, adaptation de la fréquence d’envoi, lutte contre la fraude publicitaire), créer des profils de destinataires pour les cibler dans d’autres contextes (sites web, apps, autres canaux), détecter et analyser des suspicions de fraude (ouvertures inhabituelles ou massives), et mesurer la délivrabilité en dehors des cas exemptés (prospection à froid par exemple).

Point d’attention crucial : le consentement au pixel est indépendant du consentement à recevoir l’email. Concrètement, même pour des emails qui ne nécessitent pas le consentement du destinataire (prospection B2B entre professionnels, par exemple), le pixel de suivi nécessite quand même un consentement spécifique.

Ce que la CNIL exige en pratique

Au-delà des principes, la recommandation détaille des exigences concrètes qui vont impacter les process de toutes les équipes.

Sur le recueil du consentement : la CNIL recommande de recueillir le consentement au pixel au moment de la collecte de l’adresse email, directement dans le formulaire d’inscription ou le formulaire newsletter. Pour les adresses déjà collectées sans ce consentement, il est possible de solliciter le consentement par email, mais cet email ne doit contenir aucun pixel. Le lien de consentement doit rediriger vers une page où l’utilisateur doit effectuer une action positive (clic sur un bouton, cocher une case…).

Sur le retrait du consentement : comme c’est déjà globalement le cas pour sur les newsletters pour se désinscrire, un lien de retrait doit figurer dans le pied de page de chaque email contenant un pixel. Le retrait doit être aussi simple que le don du consentement. Et la CNIL va plus loin : le retrait doit être effectif y compris pour les emails déjà envoyés. Si le destinataire retire son consentement puis rouvre un ancien email, le pixel ne doit plus fonctionner. Les équipes techniques devront mettre en place des solutions pour désactiver les traceurs dans les emails précédemment envoyés.

Sur la preuve du consentement : le responsable de traitement doit pouvoir démontrer, à tout moment, que chaque destinataire a donné son consentement au pixel. Cela implique une trace individualisée : la preuve du consentement de chaque personne, avec les conditions dans lesquelles il a été obtenu. Un contrat avec un prestataire qui dit « nous recueillons le consentement » ne suffit pas. C’est un écho direct à la jurisprudence Criteo dont nous avons parlé semaine dernière.

Pourquoi c’est un problème pour les équipes Sales

Soyons concrets. Voici à quoi ressemble une séquence de prospection classique :

Jour 1 : email de prise de contact.
Jour 3 : si le prospect a ouvert mais pas répondu, relance avec un angle différent.
Jour 7 : si toujours pas de réponse mais 3 ouvertures détectées, appel téléphonique…

Cette mécanique repose entièrement sur le pixel de tracking. Sans lui, vous ne savez pas si votre email a été ouvert et s’il y a de l’intérêt donc vous ne savez pas quand relancer ni comment prioriser vos efforts.

Concrètement, le taux d’ouverture comme métrique de pilotage commercial est mort.

Ce que ça change concrètement

Pour les équipes Sales / SDR : Le lead scoring basé sur l’ouverture d’emails ne tient plus. Les séquences conditionnelles « si ouvert alors… » doivent être repensées. Vous ne pouvez plus justifier un appel commercial par « il a ouvert mon email 4 fois ». Il existe cependant d’autres signaux pour piloter la prospection : clics (avec consentement), réponses, interactions LinkedIn, visites sur le site.

Pour les équipes Marketing : Le taux d’ouverture comme KPI principal de vos newsletters et campagnes est obsolète. La CNIL exige un consentement spécifique pour le tracking par pixel, en plus du consentement à recevoir l’email. Vos formulaires d’inscription doivent être mis à jour et pour vos bases existantes, la CNIL adopte une approche progressive : vous avez 3 mois (jusqu’au 14 juillet 2026) pour informer clairement vos contacts de l’utilisation de pixels et leur permettre de s’y opposer facilement.

Pour les outils (HubSpot, Salesforce, etc.) : Ces plateformes devront adapter leurs fonctionnalités. On peut s’attendre à des options de tracking conditionnel (pixel activé uniquement pour les contacts ayant consenti), des dashboards repensés autour du taux de clic plutôt que du taux d’ouverture, et des mécanismes de consentement intégrés aux formulaires. La CNIL précise aussi que les prestataires d’emailing agissent en tant que sous-traitants au sens du RGPD. Mais si le prestataire utilise les données des pixels pour ses propres finalités (amélioration de sa solution, benchmark de délivrabilité), il peut devenir co-responsable du traitement avec l’expéditeur. HubSpot, Brevo, Mailchimp et les autres devront clarifier leur rôle RGPD vis-à-vis de chaque client.

La position de l’Alliance Digitale

L’Alliance Digitale (ex-IAB France) a vivement critiqué cette recommandation, estimant qu’elle pourrait réduire la performance des campagnes jusqu’à 70%. Leur argument : le pixel de suivi est un outil de mesure, pas un outil de ciblage, et l’assimiler à un cookie est disproportionné.

Ils pointent aussi un problème pratique : comment recueillir le consentement au pixel de tracking dans un email de prospection envoyé à un nouveau contact ? Le contact n’a pas encore de relation avec vous, donc pas de formulaire, pas de case à cocher. C’est un cercle vicieux.

La CNIL répond que le consentement doit être recueilli au moment de la collecte de l’adresse email, ou à défaut via un email sans pixel contenant un lien de consentement. En B2B, ça complique sérieusement les pratiques d’achat de bases de données et de cold emailing. Et la CNIL enfonce le clou : quand l’adresse est collectée par un tiers sans transmission de la preuve du consentement pour les pixels, il faut solliciter ce consentement a posteriori.

Les alternatives

Le taux de clic devient la métrique de référence. Un clic est un signal d’intention clair, mesurable, et moins intrusif qu’un pixel invisible. Mais attention : le suivi des clics via des liens de redirection est aussi un traceur au sens de la CNIL.

Les réponses restent le signal le plus fiable en prospection. Un prospect qui répond, même pour dire « pas maintenant », vaut plus qu’un prospect qui ouvre 10 fois sans réagir.

Le lead scoring multi-canal prend le relais : interactions LinkedIn, visites sur le site (avec consentement cookies), téléchargement de contenus, participation à des webinars. L’email seul ne suffit plus pour scorer un lead.

Les CMP (Consent Management Platforms) entrent dans la danse. La CNIL mentionne explicitement la possibilité d’utiliser une CMP pour recueillir le consentement aux pixels dans les emails, y compris de manière décorrélée de la collecte de l’adresse email. Pour les acteurs de la consent tech, c’est un nouveau marché. Pour les entreprises, c’est un outil à intégrer dans le parcours utilisateur.

L’approche « intent data » gagne du terrain : au lieu de tracker l’ouverture d’un email, on identifie les signaux d’achat en amont (recherches, visites concurrents, recrutements, levées de fonds) pour prioriser les comptes à contacter.

Le calendrier à retenir

• 12 mars 2026 : adoption de la recommandation par la CNIL
• 14 avril 2026 : publication officielle
• 14 juillet 2026 : fin du délai de mise en conformité pour les bases existantes
• Après juillet 2026 : contrôles et sanctions possibles (jusqu’à 4% du CA mondial ou 20 millions d’euros)

Ce qu’il faut retenir

Le taux d’ouverture comme pilier de la prospection commerciale, c’est fini. La CNIL le rend juridiquement risqué.

Les équipes Sales doivent repenser leurs séquences et leurs métriques. Les équipes Marketing doivent mettre à jour leurs formulaires et préparer une campagne de re-consentement. Les outils, eux, doivent s’adapter pour conditionner le pixel d’ouverture au consentement.

Deadline : 14 juillet 2026. Il reste 3 mois.

---

Thomas Gicquel – CEO de Gimii / Les Cookies Solidaires