Aux termes de l’article 82 de la loi n°78-17 du 6 janvier relative à l’informatique, aux fichiers et aux libertés, toute personne qui reçoit un mail doit être informée de manière claire et complète « de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement » et des modalités de s’y opposer.

Ces dispositions, qui sont une transposition de l’article 5, paragraphe 3 de la directive « vie privée et communications électroniques » (la directive « ePrivacy »), ont fait l’objet en 2023 de lignes directrices du Comité européen de la protection des données (CEPD) et de deux délibérations de la CNIL (Commission nationale de l’Informatique et des libertés) en 2020 (délibérations n° 2020-091 et n° 2020-092 du 17 septembre 2020).

La recommandation publiée par la CNIL en avril 2026, à l’issue d’une consultation publique lancée à l’été 2025, s’analyse donc comme une synthèse de ces textes et de la jurisprudence et explicite leurs modalités d’application au cas particulier des pixels insérés dans les courriels. Analyse de cette recommandation et des obligations qui en découlent pour les organisations d’intérêt général.

Qu’est-ce qu’un pixel de suivi ?

La CNIL définit un pixel de suivi comme un fichier invisible (une image), intégré dans un courriel. À l’ouverture du message, celui-ci envoie automatiquement des informations à l’expéditeur. Grâce à ces pixels, l’expéditeur peut ainsi savoir, pour chaque destinataire individuel :

• si le message a été ouvert ;
• à quel moment (jour, heure) ;
• sur quel type d’appareil (ordinateur, tablette, téléphone portable, etc.) ;
• sa localisation approximative (pays, région, ville, quartier, etc.) qui peut être déduite de l’adresse IP du destinataire.

Quel est l’objectif de ces traceurs ?

Certains acteurs peuvent les utiliser pour évaluer la bonne réception de leurs messages et éviter d’envoyer des messages inutiles, par exemple en retirant de leurs listes les personnes qui ne les ouvrent pas. Des administrations peuvent également les utiliser en vue d’améliorer la diffusion d’informations importantes, comme celles liées aux droits des personnes privées, en vérifiant si leurs messages sont ouverts. Si ce n’est pas le cas, cela peut leur permettre d’utiliser d’autres moyens de contact (courrier postal, SMS, etc.).

Les pixels peuvent également être utilisés à des fins marketing, notamment pour mieux comprendre les habitudes de lecture et adapter les contenus : choix des horaires d’envoi, objets des courriels ou messages plus susceptibles de retenir l’attention des destinataires.

Les pixels de suivi permettent notamment de savoir si un message est ouvert, mais ne donnent pas accès au contenu des autres courriels ni à la messagerie.

Ces pixels de suivi sont largement utilisés par les associations et fondations dans leurs communications notamment avec leurs donateurs. En ce sens, les organisations concernées sont les responsables de traitement au sens du règlement général sur la protection des données (RGPD), même si elles recourent à des prestataires de service d’emailing, qui sont alors considérés comme des sous-traitants.

Le fournisseur de la technologie de suivi, s’il est distinct du prestataire de service d’emailing, est considéré alternativement comme un sous-traitant sauf s’il utilise les pixels de suivi pour ses propres besoins (par exemple pour améliorer ses performances) avec le consentement de son client auquel cas il peut être coresponsable des opérations de lecture ou d’écriture avec son client association ou fondation.

Pourquoi la CNIL identifie un problème ?

Les pixels de suivi sont invisibles et leur présence n’est donc pas toujours évidente à identifier. Certaines informations concernant les activités des destinataires dans leur messagerie électronique peuvent ainsi être collectées sans qu’ils en aient conscience, simplement en ouvrant un courriel.

Quel est le but de la recommandation ?

La recommandation de la CNIL a pour but de déterminer les situations dans lesquelles le recueil du consentement du destinataire est obligatoire ou facultatif (p.5 de la recommandation).

Ainsi, le recueil du consentement est obligatoire si la collecte de données transmises via le dispositif de pixel a pour finalité :

• l’analyse [individuelle] du taux d’ouverture des courriels pour mesurer et optimiser les performances des campagnes en personnalisant le contenu des messages ou en adaptant la fréquence d’envoi ou le canal de communication ;
• la création de profils des destinataires au regard des préférences et centres d’intérêt manifestés afin de les cibler dans d’autres contextes que les courriels ;
• la détection et l’analyse de suspicions de fraude ;
• la mesure individuelle du taux d’ouverture des courriels à des fins de délivrabilité lorsqu’elle est réalisée en dehors des cas visés par l’exemption.

Le recueil du consentement est facultatif si la collecte des données transmises via le dispositif de pixel a pour finalité :

• La mise en œuvre de mesures de sécurité participant à l’authentification de l’utilisateur ;
• La mesure individuelle du taux d’ouverture des courriels à des fins de délivrabilité si les opérations sont effectuées pour adapter la fréquence ou arrêter l’envoi des courriels aux destinataires dits « inactifs ». Sont également visées les situations où l’information individuelle de réception et d’ouverture d’un courrier électronique est nécessaire pour des raisons d’obligations contractuelles, légales, transactionnelles, voire sécuritaires comme pour la vérification d’une connexion ou la confirmation d’une commande.

La CNIL rappelle toutefois que « dans le respect du principe de minimisation (article 5.1.b) du RGPD, seule la date (à la journée et sans enregistrer l’heure) de la dernière ouverture connue de courriels, mise à jour à chaque nouvelle ouverture avec suppression de la précédente, devrait être conservée ».

Les pixels rattachés aux emails transactionnels bénéficient des deux exemptions de recueil du consentement cité ci-dessus.

Comment informer et recueillir le consentement des destinataires ?

Le consentement doit être recueilli dans les mêmes conditions que pour les « cookies et autres traceurs » sous réserve des recommandations spécifiques qui tiennent compte des spécificités technologiques et opérationnelles liées à l’environnement des pixels.

Les finalités des traceurs doivent être présentées aux destinataires avant de leur offrir la possibilité de consentir ou de refuser : elles doivent être formulées de manière intelligible, dans un langage adapté et suffisamment clair pour permettre aux personnes concernées de comprendre précisément la portée de leur choix. Des modalités de rédaction concernant la finalité sont proposées par la CNIL (p. 7 de la recommandation)

Il est expressément précisé dans la recommandation que le recueil du consentement pourra être nécessaire même pour les courriels qui ne nécessitent pas, en principe, le consentement des destinataires, en particulier la prospection caritative.

Désormais, lors de la collecte de l’adresse email, il faut intégrer directement dans le formulaire, soit via une case dédiée, différente de l’opt-in de l’envoi d’emailing, soit par un libellé court inspiré des exemples proposés par la CNIL, la demande de consentement.

Lorsque le recueil du consentement ne peut (ou n’a pas pu) être effectué au moment de la collecte de l’adresse électronique, les responsables du traitement des données doivent recueillir le consentement par l’envoi d’un courriel dédié, sans pixel de suivi, incluant un lien vers une page permettant à l’utilisateur d’effectuer une action positive (cliquer sur un bouton) pour confirmer son consentement.

Ensuite, les personnes ayant donné leur consentement doivent être en mesure de le retirer à tout moment. Aussi, les responsables du traitement des données doivent inclure un lien de retrait personnalisé dans le pied de page de chaque courriel, redirigeant vers une page permettant aux destinataires de retirer leur consentement immédiatement, sans avoir à saisir leur adresse électronique ni à effectuer d’étapes d’authentification supplémentaires.

Comment prouver le consentement ?

En vertu de l’article 7.1 du RGPD, le responsable du traitement (en l’espèce l’association ou la fondation) doit être en mesure de démontrer, à tout moment, que les utilisateurs ont donné leur consentement.

Si le consentement n’est pas recueilli directement par le responsable de traitement, par exemple par un prestataire, le responsable de traitement ne peut se dégager de sa responsabilité du simple fait de l’existence d’une clause contractuelle imposant au prestaire de recueillir le consentement pour son compte car une telle clause ne permet pas de garantir l’existence d’un consentement valide.

La CNIL recommande que le contrat encadre :

• les mécanismes mis en place pour permettre de démontrer le recueil d’un consentement valide ;
• la mise à disposition des éléments de preuve au profit de l’organisme qui souhaite se prévaloir du consentement ;
• le cas échéant, les conditions dans lesquelles ces éléments de preuve doivent être conservés, notamment afin de conserver leur valeur probante ;
• les modalités d’audit régulier des mécanismes de recueil du consentement

Etant précisé que « ces engagements contractuels n’exonèrent pas le responsable du traitement de sa responsabilité, s’il n’est pas en mesure de fournir la preuve du consentement en raison de la défaillance du tiers ».

Modalités d’application de la recommandation de la CNIL

Les responsables de traitement doivent se mettre en conformité dans les délais suivants  :

• Pour le carnet d’adresse déjà existant : 14 juillet 2026
• Pour toute nouvelle collecte d’adresse email : immédiat

France générosités recommande aux associations et fondations responsables de traitement de se rapprocher de leurs prestataires de services d’emailing afin d’organiser les modalités de recueil du consentement des destinataires de leurs communications.

Dans l’attente du recueil de ce consentement, il est recommandé aux associations et fondations responsables de traitement de ne recueillir que les données globales (et non les données individuelles) ou de désactiver les pixels de suivi individuel sur leur plateforme de routage d’emailing.