Menu
× Accueil Supprimer un compte Blog Extension Chrome En savoir plus
← Blog Comprendre les données Initié 6 min

Pixels espions dans vos emails : ce que la CNIL vient de clarifier

Pixels espions dans vos emails : ce que la CNIL vient de clarifier

Vous venez d'ouvrir la newsletter d'une marque. Rien de spécial à l'écran. Pourtant, en une fraction de seconde, cette entreprise sait que vous avez ouvert le message, à quelle heure, depuis quel type d'appareil, et à peu près d'où. Vous n'avez cliqué sur rien. Vous n'avez consenti à rien. Un pixel invisible a fait le travail.

Le 14 avril 2026, la CNIL a publié ses recommandations finales sur ces pixels de suivi, et un rappel grand public pour expliquer pourquoi ça vous concerne. Ce n'est pas une nouveauté technique : ces pixels existent depuis vingt ans. C'est une mise au point juridique attendue, qui tranche une zone grise exploitée par des milliers d'expéditeurs.

Voici ce qui change, et comment reprendre la main.

C'est quoi, un pixel de suivi ?

Un mouchard graphique d'un pixel sur un pixel

La CNIL en donne une définition claire : un pixel de suivi est "un petit fichier invisible, intégré dans un courriel, en général une image de 1 pixel par 1 pixel". À l'ouverture du message, votre logiciel de messagerie télécharge automatiquement cette image depuis un serveur distant. C'est ce simple appel réseau qui trahit votre action.

Ce que l'expéditeur récupère, selon la CNIL : le fait que le message a été ouvert, le jour et l'heure de consultation, le type d'appareil utilisé, et une localisation approximative déduite de votre adresse IP. Parfois davantage, si le pixel est couplé à d'autres traceurs.

Pourquoi c'est invisible

Pas de bannière "Ce mail utilise des pixels". Pas d'icône de cadenas. Le traceur est conçu pour ne pas être vu. C'est précisément ce que la CNIL reproche : une collecte "sans que vous en ayez conscience" et "peu visible" dans la pratique commerciale courante.

À retenir :

  • Un pixel de suivi est une image invisible qui signale à l'expéditeur l'ouverture de votre email
  • Il transmet au minimum : ouverture, horodatage, type d'appareil, localisation approximative
  • Aucune interaction de votre part n'est nécessaire, la simple ouverture suffit

Ce que la CNIL vient de trancher

Base juridique : l'article 82, pas seulement le RGPD

Les pixels de suivi relèvent de l'article 82 de la loi Informatique et Libertés, qui transpose en France la directive européenne ePrivacy. Cet article régit tout accès ou inscription d'information sur un terminal. Un pixel qui déclenche une requête depuis votre boîte mail tombe sous son coup.

La conséquence est directe : pour la plupart des usages, c'est le régime du consentement qui s'applique. Pas l'intérêt légitime. Pas une simple mention dans les CGU. Un consentement libre, éclairé, spécifique, et aussi simple à retirer qu'à donner.

Ce qui reste autorisé sans consentement

La CNIL reconnaît une exemption : la mesure individuelle de délivrabilité des courriels strictement transactionnels. Comprendre : un email de confirmation de commande, une réinitialisation de mot de passe, une alerte de sécurité, une facture. Dans ces cas, l'expéditeur peut vérifier que le message est bien parvenu à destination, avec des données limitées au strict nécessaire.

Tout le reste, newsletters, campagnes marketing, emails promotionnels, mailings de fidélisation, exige un consentement préalable.

Trois mois pour se conformer

Pour les bases email collectées avant la publication de la recommandation, la CNIL laisse trois mois aux expéditeurs pour se mettre en conformité : informer les destinataires de la présence de pixels de suivi et leur offrir un moyen simple de s'y opposer. Passé ce délai, l'absence de mise en conformité expose à une plainte et à une sanction.

Le saviez-vous ? La CNIL s'appuie sur les lignes directrices 2/2023 du Comité européen de la protection des données sur le champ d'application technique de l'article 5.3 de la directive ePrivacy. Ces lignes directrices européennes confirment que les pixels, empreintes de cache et autres techniques similaires sont couverts au même titre que les cookies.

À retenir :

  • L'article 82 de la loi Informatique et Libertés impose un consentement pour les pixels non transactionnels
  • Seule la mesure de délivrabilité des emails transactionnels (facture, confirmation, sécurité) échappe au consentement
  • Les expéditeurs ont trois mois pour se mettre en conformité sur leurs bases existantes

Ce que ça change concrètement pour vous

La recommandation de la CNIL ne vous donne pas de nouveau droit, elle clarifie l'application de droits que vous avez déjà. Trois conséquences pratiques.

1. Les newsletters que vous recevez vont devoir vous informer. Soit dans un bandeau dédié lors de la prochaine ouverture, soit dans un email d'information, soit à l'inscription. Si vous continuez à ne rien voir, c'est que l'expéditeur n'est pas en règle.

2. Le bouton "se désinscrire" ne suffit plus pour les pixels. Refuser la newsletter et refuser le traçage sont deux choses distinctes. Un expéditeur peut vous laisser vous désinscrire tout en continuant à tracer les ouvertures restantes si vous êtes encore dans la base. La nouvelle règle exige une sortie propre des deux côtés.

3. Votre droit d'opposition RGPD (article 21) s'applique directement. Vous pouvez écrire à n'importe quel expéditeur pour exiger l'arrêt du traçage, même si vous restez abonné à ses communications. L'entreprise doit cesser dans un délai d'un mois.

À retenir :

  • Les expéditeurs conformes vous informeront activement dans les prochains mois
  • La désinscription à une newsletter n'efface pas automatiquement le traçage par pixel
  • Votre droit d'opposition vous permet d'exiger l'arrêt du traçage à tout moment

4 gestes concrets pour reprendre la main

1. Bloquez le chargement automatique des images

La parade la plus efficace est technique et gratuite. La plupart des messageries permettent de désactiver le chargement automatique des images distantes. Sans téléchargement de l'image, pas de pixel actif.

  • Gmail : Paramètres > Général > Images > Demander avant d'afficher les images externes
  • Outlook : Fichier > Options > Centre de gestion de la confidentialité > Ne pas télécharger automatiquement les images
  • Apple Mail : Réglages > Confidentialité > Décocher "Charger le contenu distant dans les messages"
  • Thunderbird : Paramètres > Vie privée > Décocher "Autoriser le contenu distant dans les messages"

Vous perdez un peu de confort visuel. Vous gagnez l'invisibilité face à la plupart des pixels.

2. Utilisez une messagerie qui bloque les pixels par défaut

Plusieurs services ont intégré cette protection d'office. ProtonMail neutralise les pixels via son proxy d'images. Tutanota bloque le contenu distant par défaut. HEY (payant) affiche un rapport de traqueurs bloqués à chaque email reçu.

3. Exercez votre droit d'opposition sur les gros expéditeurs

Si une marque vous envoie plusieurs emails par semaine et que son traçage vous dérange, écrivez à son délégué à la protection des données. Un email suffit, la marque a un mois pour répondre. Vous n'avez pas à justifier votre demande pour la prospection commerciale : le droit d'opposition y est absolu.

4. Vérifiez les bandeaux d'information dans les prochains mois

Les expéditeurs conformes vont devoir vous exposer leurs pratiques. Si, dans trois à six mois, une entreprise continue à vous envoyer des newsletters sans aucune information sur le traçage, vous pouvez déposer une plainte sur le site de la CNIL. C'est gratuit, ça prend dix minutes, et la CNIL s'en saisit.

À retenir :

  • Désactiver le chargement automatique des images neutralise la plupart des pixels
  • ProtonMail, Tutanota et HEY intègrent un blocage natif
  • Le droit d'opposition pour la prospection commerciale ne se justifie pas
  • Une plainte CNIL prend dix minutes et débloque la plupart des situations

FAQ

Un email de confirmation de commande peut-il contenir un pixel de suivi ?

Oui, mais uniquement pour mesurer la délivrabilité. C'est l'exemption explicite prévue par la recommandation de la CNIL. En revanche, un pixel de suivi marketing placé dans un email transactionnel pour profiler vos comportements dépasse l'exemption et exige un consentement.

Mon fournisseur d'accès ou ma messagerie peut-il voir les pixels ?

Les messageries web modernes (Gmail, Outlook, ProtonMail) traitent les images côté serveur avant de vous les servir. Elles voient donc les pixels et peuvent les filtrer ou anonymiser leur chargement. C'est ce que fait Apple avec sa fonction "Mail Privacy Protection" lancée en 2021.

Est-ce que bloquer les images casse les emails légitimes ?

Non. Vous voyez un message du type "Télécharger les images ?" sur lequel vous cliquez quand c'est utile. Les emails textuels (confirmations, factures, notifications) restent parfaitement lisibles sans leurs images décoratives.

Les pixels existent-ils aussi hors email ?

Oui. Les pixels de suivi sont très répandus sur le web (Meta Pixel, Google Tag, LinkedIn Insight Tag). Ils tombent sous les mêmes règles ePrivacy que les cookies, et sont visés par les bandeaux de consentement obligatoires depuis 2021.

La recommandation CNIL est-elle contraignante ?

Une recommandation n'est pas un règlement, mais elle traduit l'interprétation officielle de la CNIL sur l'application du droit existant. En pratique, elle devient la grille de lecture des contrôles et des sanctions. Un expéditeur qui s'en écarte s'expose directement.

Vos emails sont surveillés, reprenez la main

Vous ne saviez pas que l'ouverture d'un email pouvait en dire autant. Désormais vous le savez, et la CNIL vient de verrouiller les règles du jeu. Le chemin est clair : quelques ajustements dans votre messagerie, un réflexe d'opposition quand une marque abuse, et la plainte CNIL en dernier recours.

Fairmi vous aide à aller plus vite. Vous sélectionnez une marque qui vous inonde d'emails, vous choisissez d'exercer votre droit d'opposition, et la demande est générée, prête à envoyer. Pas de modèle de lettre à chercher.

Exercer mon droit d'opposition face à un expéditeur ->