Les messages d’information consacrés aux pixels de suivi se multiplient dans les boîtes électroniques françaises. Entreprises, médias, opérateurs de transport, plateformes numériques et associations préviennent leurs contacts qu’ils mesurent l’ouverture de leurs courriels et leur proposent de gérer leurs choix. Cette vague ne répond pas à une nouvelle tendance marketing. Elle traduit la mise en conformité des organisations avec les recommandations publiées par la Commission nationale de l’informatique et des libertés le 14 avril 2026.
Les pixels de suivi, parfois qualifiés de « pixels espions », sont des fichiers invisibles, généralement constitués d’une image de 1 pixel sur 1 pixel. Leur chargement lors de l’ouverture d’un courriel permet à l’expéditeur de savoir si le message a été consulté, à quel moment, depuis quel appareil et, dans certains cas, depuis quelle zone géographique approximative.
Ces données peuvent servir à mesurer la délivrabilité, nettoyer une liste de diffusion, adapter la fréquence des envois ou personnaliser les prochaines communications. Croisées avec d’autres informations, elles permettent aussi de construire des profils individuels à partir des habitudes de lecture.
La CNIL rappelle que ces dispositifs relèvent de l’article 82 de la loi Informatique et Libertés. Le consentement est obligatoire lorsque les pixels servent à mesurer et optimiser les performances d’une campagne, personnaliser les contenus, cibler les destinataires ou analyser individuellement leurs comportements. Ce consentement doit être libre, éclairé, spécifique et démontrable. L’absence de réponse ne peut pas être interprétée comme une acceptation.
Certains usages peuvent être exemptés. C’est notamment le cas des pixels strictement nécessaires à la sécurisation d’une authentification ou à la mesure de la délivrabilité. Cette dernière exemption reste limitée aux opérations indispensables pour identifier les destinataires inactifs, adapter la fréquence des envois, arrêter certaines communications ou choisir un autre canal. Les données ne peuvent pas ensuite être réutilisées pour mesurer l’engagement ou personnaliser les messages.
Pour les adresses déjà collectées, la CNIL a admis la poursuite temporaire du suivi, sous réserve d’adresser une information claire et accessible permettant aux destinataires de s’opposer aux opérations futures. Le délai de trois mois suivant la publication de la recommandation expire le 14 juillet 2026. Cette échéance ne constitue pas une nouvelle loi, mais marque la fin de la période d’adaptation prévue par la CNIL. Recommandation de la CNIL
Les directions des ressources humaines sont directement concernées. Les plateformes d’emailing utilisées pour les newsletters internes, les campagnes de formation, les invitations, les enquêtes d’engagement ou les communications relatives aux avantages sociaux intègrent fréquemment un suivi d’ouverture activé par défaut. Les collaborateurs restent des personnes concernées par la protection des données, y compris lorsqu’ils utilisent une adresse électronique professionnelle.
Le recours au consentement dans la relation de travail soulève cependant une difficulté supplémentaire. En raison du lien de subordination, l’accord d’un collaborateur peut ne pas être considéré comme entièrement libre. La prudence commande donc de limiter le suivi individuel, de privilégier les données agrégées ou anonymisées et de désactiver les fonctionnalités dépourvues de nécessité démontrable.
Un audit immédiat doit identifier les outils utilisés, les pixels activés, les données collectées, leur durée de conservation, les prestataires impliqués et les finalités poursuivies. Les contrats conclus avec les fournisseurs SaaS doivent également préciser les responsabilités de chaque acteur et les conditions de restitution de la preuve du consentement.
Lorsque celui-ci est nécessaire, son retrait doit être aussi simple que son acceptation. La CNIL recommande notamment un lien accessible dans le pied de page de chaque courriel. Une simple mention dans la politique de confidentialité ne suffit pas à régulariser un suivi soumis à accord préalable.
Au-delà du risque de contrôle et de sanction, le sujet concerne la confiance interne. Mesurer secrètement la lecture des communications RH peut être perçu comme une surveillance individuelle. La conformité exige donc autant une correction technique qu’une politique claire : collecter moins de données, expliquer chaque finalité et renoncer aux indicateurs qui ne répondent à aucun besoin légitime et proportionné.




