Pixels de suivi, régulateurs de l’UE et vous : le guide d’une personne calme sur ce qui vient de se passer 

Publié pour la première fois par Mailgun.

Devez-vous repenser le suivi des emails dans l’UE ? 

Pas cette semaine. Mais cela devrait figurer sur votre feuille de route, et pas seulement sur votre liste « un jour ». 

En mars et avril 2026, les régulateurs en France (CNIL) et en Italie (le Garante) ont publié des directives sur l’utilisation des pixels de suivi dans les emails. Il ne s’agit pas de nouvelles lois. Ce sont des clarifications de règles existantes, principalement la directive ePrivacy (le même cadre derrière les bannières de consentement aux cookies), ainsi que le règlement général sur la protection des données, qui s’appliquent aux pixels de suivi dans les emails. 

Le message n’est pas simplement « arrêtez le suivi ». C’est : justifiez le suivi, limitez-le et, dans de nombreux cas, obtenez un consentement pour celui-ci. 

La CNIL et le Garante partent de la même prémisse : les pixels de suivi accèdent aux informations de l’appareil d’une utilisatrice et cette activité relève des règles ePrivacy. Cela signifie qu’un consentement est requis à moins qu’une exemption spécifique ne s’applique. 

Si cela vous semble familier, c’est normal. L’email rattrape simplement le retard qu’il avait sur le suivi web depuis des années. La fête a commencé depuis un moment. L’email arrive élégamment, bien qu’à contrecœur, en retard. 

Les deux régulateurs reconnaissent ce que le secteur a qualifié d’« exemption de délivrabilité ». Bien qu’il ne s’agisse pas d’un terme juridique formel, les deux régulateurs reconnaissent que certaines utilisations limitées et spécifiques du suivi des ouvertures relèvent des exemptions d’ ePrivacy. 

La CNIL autorise le suivi des ouvertures au niveau individuel sans consentement, mais uniquement à des fins de délivrabilité strictement définies :  

• Identifier les destinataires inactifs 

• Gérer les listes de suppression 

• Nettoyer les bases de données 

Les contraintes sont réelles : stocker un minimum de données (date de la dernière ouverture, et non l’historique complet de l’engagement), ne pas les réutiliser à des fins de marketing ou pour des statistiques d’emailing, et ne les appliquer qu’aux emails que le destinataire a demandé ou consenti à recevoir. 

Le Garante adopte une position sensiblement différente. L’exemption sans consentement est généralement limitée à des statistiques agrégées et anonymisées ; un pixel partagé par campagne, pas de suivi par destinataire, avec des adresses IP et des identifiants techniques anonymisés. Le suivi des ouvertures au niveau individuel nécessite généralement un consentement, en dehors de cas d’utilisation spécifiques liés à la sécurité et à l’authentification. 

La plupart des modèles de suivi de service d’emailing standards (y compris le nôtre) génèrent des événements d’ouvertures par destinataire par défaut. Cette architecture satisfait l’exemption de délivrabilité de la CNIL, lorsque l’expéditeur met en œuvre une minimisation des données, une limitation des finalités et des contrôles de rétention appropriés. L’application de l’exemption dans un cas donné dépend de la manière dont les données sont utilisées ainsi que de la manière dont elles sont collectées.  

Cependant, le suivi des événements d’ouverture par destinataire ne satisfait pas aux exigences du Garante sans des modifications plus importantes. 

Si vos statistiques d’emailing dépendent de signaux d’engagement individuels, vous êtes sur le territoire du consentement en Italie. 

1. Le consentement pour envoyer un email n’est pas le même que le consentement pour le suivre. 

C’est ce qui prend les gens au dépourvu, cela mérite donc sa propre section. 

Vous pouvez avoir une base juridique valide pour envoyer des emails de marketing, des emails transactionnels, voire des messages de service de routine, et avoir tout de même besoin d’un consentement distinct pour y utiliser des pixels de suivi. Oui, même les emails transactionnels. L’exigence de consentement s’applique au pixel, et non au message qui le transporte. 

La CNIL est explicite à ce propos : le consentement au suivi peut être requis même lorsque l’email lui-même ne nécessite pas de consentement. Dans certains cas, ceux-ci peuvent être regroupés en une seule requête clairement décrite, mais la supposition par défaut selon laquelle « ils se sont inscrits, donc nous pouvons les suivre » n’est pas prudente. 

2. Un contrat seul ne prouve pas le consentement. 

Si votre liste comprend des contacts loués, des adresses fournies par des partenaires, des prospects d’une entreprise affiliée, ou des données importées de n’importe où en dehors de vos propres flux d’inscription, ceci est pour vous. 

La CNIL exige que le consentement puisse être démontré pour chaque destinataire individuel ; qui a consenti, quand, et sous quelles conditions. Une clause de contrat stipulant qu’un partenaire a collecté le consentement en votre nom est une partie importante de votre cadre de responsabilité, mais ce n’est pas suffisant en soi. Si vous ne pouvez pas produire de preuves que chaque destinataire individuel spécifique a réellement donné un consentement éclairé, c’est que vous ne l’avez pas. Cela vaut la peine d’en discuter avec votre équipe juridique, en particulier si votre liste a des origines mixtes. Il ne ferait pas de mal non plus de vous assurer que vous vous conformez également à la politique d’utilisation acceptable de votre service d’emailing, car ces prospects peuvent de toute façon être contraires à leurs règles. 

Les deux régulateurs affirment que le retrait du consentement doit être facile, y compris pour les emails qui se trouvent déjà dans la boîte de réception de quelqu’un. 

Voici ce que cela signifie réellement. Une utilisatrice retire son consentement aujourd’hui. Demain, elle ouvre un email que vous avez envoyé il y a trois mois. Le pixel se charge. L’attente est que vous ne devriez pas enregistrer cela comme un événement d’ouverture identifiable. Il reste à voir avec quelle rigueur cela sera appliqué dans la pratique, mais le retrait du consentement doit prendre effet lorsque l’utilisatrice le demande, y compris pour les emails envoyés précédemment. 

Cela nécessite que votre point de terminaison de pixel vérifie l’état du service du consentement de manière dynamique au moment de chaque ouverture, et ajuste son comportement en conséquence ; en enregistrant l’événement pour les destinataires consentants, et en ne l’enregistrant pas pour ceux qui se sont retirés. L’image se charge de toute façon, mais votre comportement de suivi doit changer. 

Vous ne pouvez pas changer cela avec une bascule dans votre plateforme d’envois. Il s’agit d’une infrastructure de pixels sensible au consentement, et la plupart des systèmes d’email (y compris le nôtre, et presque chaque service d’emailing sur le marché) n’ont pas été initialement construits de cette manière. L’écart entre l’architecture actuelle et ce que ces directives impliquent est réel, et le fermer n’est pas une mince affaire. 

L’exemption de délivrabilité, même dans la forme plus permissive de la France, suppose que les données d’ouvertures sont un signal utile pour identifier les destinataires inactifs. Mais le suivi des ouvertures est pollué depuis des années. 

La protection de la confidentialité des emails d’Apple (parmi d’autres) prétélécharge les images, générant des ouvertures qui n’ont peut-être rien à voir avec un humain lisant un email. Les passerelles de sécurité analysent les messages et déclenchent automatiquement le chargement des pixels. Les filtres anti-spam et les bots génèrent de l’activité avant même qu’un destinataire ne voie le message dans sa boîte de réception. 

Cela crée une véritable tension dans les directives. Les régulateurs disent que vous pouvez utiliser les ouvertures pour supprimer les utilisatrices inactives sans consentement, mais les ouvertures sont de moins en moins des signaux humains. Et les techniques nécessaires pour filtrer l’activité non humaine peuvent elles-mêmes nécessiter le type de traitement au niveau individuel qui requiert un consentement. 

C’est un cercle vicieux, vous avez besoin de données plus propres pour vous conformer, mais nettoyer les données peut nécessiter un consentement. Les régulateurs n’ont pas encore pleinement abordé ce point, et cette lacune est importante. Nous la surveillons de près. 

Pas inutiles, mais moins fiables, et probablement moins fiables que vous ne le souhaiteriez. 

Si le suivi des ouvertures devient soumis au consentement, vous ne verrez que les données des destinataires qui ont fait un opt-in pour être suivis. Cette population sera probablement restreinte et auto-sélectionnée, biaisée vers vos abonnés les plus engagés, ce qui la rend statistiquement peu fiable pour tirer des conclusions à propos de votre public plus large. Ajoutez à cela les ouvertures générées par des machines, et vous obtenez des statistiques qui sont à la fois biaisées et gonflées. 

En pratique, cela affecte les automatisations basées sur les ouvertures, les flux de ré-engagement, les tests d’objet d’email, la segmentation, la logique de personnalisation et l’évaluation de l’engagement. Rien de tout cela ne se brisera du jour au lendemain. Mais si votre programme s’appuie fortement sur les données d’ouvertures, il vaut la peine d’auditer quelles décisions se dégraderaient si ce signal devenait plus étroit et plus bruyant qu’il ne l’est déjà. 

On peut avoir l’impression qu’on nous enlève une nouveauté. En réalité, il s’agit d’une accélération de quelque chose déjà en cours. Les ouvertures devenaient déjà bruyantes. Maintenant, elles deviennent sélectives et bruyantes. Les programmes qui en ressentiront le moins les effets sont ceux qui, de toute façon, s’orientaient vers les clics, les conversions, les réponses et les actions explicites des utilisatrices. 

Possiblement ! Et peut-être pour l’ensemble de l’UE au fil du temps. 

Les cadres français et italiens ne sont pas les mêmes, et une approche alignée sur la CNIL pourrait ne pas satisfaire aux exigences italiennes. Pour les expéditeurs ayant une concentration significative de leur public sur les deux marchés, les traiter de manière identique crée une exposition aux risques. 

Pour de nombreux expéditeurs, la voie la plus sûre est de s’aligner sur la norme la plus stricte pour les envois dans l’UE. Cela réduit la fragmentation, diminue le risque de se retrouver coincé entre deux cibles mouvantes et vous positionne relativement bien si d’autres régulateurs de l’UE publient des directives similaires, ce qui, étant donné que la CNIL et le Garante s’appuient tous deux sur le même cadre du CEPD, est une prédiction raisonnablement sûre. 

Ce blog se concentre sur les récentes directives de la CNIL et du Garante, mais des principes similaires s’appliquent dans d’autres juridictions. Au Royaume-Uni, les directives du PECR et de l’ICO imposent des exigences comparables pour les technologies de type cookies, y compris les pixels de suivi. Les expéditeurs ayant un public au Canada, aux États-Unis ou sur d’autres marchés doivent également tenir compte de leurs obligations en vertu de la LCAP, de la loi Controlling the Assault of Non-Solicited Pornography And Marketing, et des lois sur la confidentialité émergentes des États. La tendance vers une plus grande transparence et un meilleur consentement dans le suivi numérique ne se limite pas à l’UE. 

En tant que plateforme d’envois, Sinch Mailgun et Mailjet opèrent comme des sous-traitants des données. Dans le cadre de la CNIL, nous sommes le « fournisseur de service d’emailing ». Vous, l’expéditeur, êtes le responsable du traitement des données. 

Cela signifie que l’obligation de collecter, de stocker et de démontrer le consentement du destinataire vous incombe, non pas parce que nous passons le relais, mais parce que c’est vous qui avez la relation avec le destinataire. Vous savez ce que disait votre formulaire d’inscription. Vous savez d’où proviennent ces adresses. Nous ne le savons pas. 

Ce que nous pouvons faire : fournir des contrôles de suivi flexibles au niveau du domaine et du message, documenter le fonctionnement de nos systèmes et faire évoluer notre plateforme à mesure que cet espace se développe. Nos équipes juridique, produit et notre équipe dédiée à la délivrabilité assurent activement un suivi des directives publiées sur ce sujet, et nous communiquerons clairement avant d’apporter des modifications au comportement de la plateforme. 

Ce que nous ne pouvons pas faire : savoir si vos destinataires ont consenti au suivi, à moins que vous ne nous le disiez. Tout comportement futur sensible au consentement au niveau de la plateforme dépend de ce signal venant de vous. Il ne s’agit pas d’une limitation de la plateforme que nous pouvons contourner par le design, mais d’une réalité structurelle de la façon dont le règlement général sur la protection des données et ePrivacy assignent les responsabilités. De même, la décision d’activer ou de désactiver le suivi pour le trafic d’emails que vous envoyez vous appartient.  

C’est le moment de s’organiser, pas d’être réactif. 

Auditez votre utilisation des données d’ouvertures. Cartographiez les endroits où les ouvertures alimentent vos systèmes, y compris les déclencheurs d’automatisation, les tableaux de bord de statistiques d’emailing, la segmentation, la personnalisation et les décisions de délivrabilité. Comprenez ce qui se dégraderait si ce signal devenait soumis au consentement ou encore plus restreint. 

Révisez vos flux de consentement et votre documentation sur la confidentialité. Les formulaires d’inscription mentionnent-ils le suivi ? Votre politique de confidentialité le décrit-elle clairement ? La CNIL recommande que le consentement pour le suivi des pixels soit collecté au moment de la capture de l’adresse email, lorsque cela est possible. 

Regardez d’où vient votre liste. Pour toute adresse qui n’a pas été obtenue via vos propres formulaires et flux, comme les adresses louées, co-enregistrées ou fournies par des partenaires, demandez-vous si vous pouvez prouver un consentement individuel. Un contrat n’est pas suffisant à lui seul. (Et comme toujours, vous devez également vous conformer aux  politiques de votre service d’emailing) 

Identifiez votre exposition à l’UE. La France et l’Italie ont les abonnements d’application les plus immédiats. Si vous avez des envois significatifs vers l’un ou l’autre marché, ce sont votre priorité. 

Décidez d’activer ou de désactiver le suivi. Désactiver tout le suivi des ouvertures peut créer des problèmes opérationnels sans améliorer votre positionnement en matière de conformité – la seule façon de le savoir est d’examiner votre utilisation des informations. Comprenez d’abord la situation dans son ensemble sur ce que les récentes directives signifient pour vous, puis agissez. 

Ce n’est pas la fin totale du suivi des emails, mais c’est le signe que l’email évolue vers le même modèle sous lequel le suivi web a opéré pendant des années : une finalité plus claire, plus de transparence, plus de contrôle de l’utilisatrice. 

La différence est le moment. Le suivi web a dû réagir à la réglementation après coup. L’email a l’occasion de se préparer, et c’est véritablement une meilleure position. 

Ce changement était déjà en cours. Entre la MPP d’Apple, l’analyse de sécurité et le comportement évolutif de la boîte de réception, les taux d’ouvertures perdaient déjà de leur fiabilité bien avant l’intervention du moindre régulateur. Ces directives rendent cela officiel : l’avenir de l’engagement par email réside dans des signaux intentionnels, et non passifs. Clics. Conversions. Réponses. Des actions qui signifient quelque chose lorsqu’elles se produisent. 

Il n’y a pas de campagnes d’application aujourd’hui, mais la direction est claire : l’écart entre le fonctionnement actuel du suivi des emails et la manière dont les régulateurs s’attendent à ce qu’il fonctionne est réel, et fermer cet écart prendra du temps, de la coordination et une certaine refonte de l’architecture. 

La bonne nouvelle c’est que vous pouvez le voir venir. 

C’est une bien meilleure position que de le découvrir après coup. 

Auteur: Alison Gootee Deliverability Specialist at Sinch Mailgun