Posted inBonnes pratiques Email Marketing & RGPD Délivrabilité Tracking

Pixels de tracking : la fin du taux d’ouverture tel qu’on le connaît (et ce qu’il faut faire avant juillet)

Posted by par Aucun commentaire
Pixel de tracking : France / Italie / Allemagne
Pixel de tracking : France / Italie / Allemagne

📌 À RETENIR EN 30 SECONDES

→ Ce ne sont pas de nouvelles lois, mais des clarifications d’ePrivacy et du RGPD.
Si vous “découvrez” le sujet, vous étiez déjà non conforme.

→ Échéances : 14 juillet 2026 pour informer vos contacts existants (France) ·
28 octobre 2026 pour l’Italie.

→ Le taux d’ouverture devient un signal partiel et biaisé.
Tout ce qui en dépend (réactivation, scoring, segmentation, send-time) se fragilise.

→ Anonymiser ne suffit pas à éviter le consentement.

→ Si votre plateforme d’emailing utilise vos données pour ses propres modèles, vous êtes co-responsable juridique. Vérifiez votre contrat.

→ Une plateforme qui ne vous permet pas d’être conforme est un motif de rupture de contrat.

→ Action immédiate : cartographiez où l’ouverture alimente vos systèmes, et mettez la pression sur votre fournisseur emailing.

🔄 MISE À JOUR — 5 juin 2026

La CNIL a apporté plusieurs précisions importantes à sa recommandation initiale. Cet article a été enrichi avec ces nouveaux éléments. Ce qu’il faut retenir :

  • Bonne nouvelle : un même pixel peut servir plusieurs usages. Un seul pixel peut faire de la délivrabilité (sans consentement) ET de la mesure de performance (avec consentement). Pas besoin de tout reconstruire avec des pixels différents. Il faut juste que les usages soumis au consentement ne soient activés que pour les contacts qui ont consenti.
  • Anonymiser les données ne suffit pas à éviter le consentement. Beaucoup de plateformes d’emailing vendent du “tracking anonyme” comme solution miracle. Ça ne marche pas. Ce qui déclenche le consentement, c’est ce que vous faites avec les données, pas leur forme. Point de vigilance : si votre fournisseur vous propose une option “tracking anonyme sans consentement”, challengez-la.
  • Vous pouvez quand même produire des stats globales de campagne. Si vos pixels sont conformes au cadre délivrabilité, vous pouvez ensuite agréger les données pour produire vos taux d’ouverture et de performance globaux. Mais l’inverse n’est pas vrai : produire des stats agrégées n’est pas une raison pour se passer de consentement.
  • Si votre outil d’envoi utilise vos données d’ouverture pour ses propres usages, vous êtes co-responsable. Beaucoup d’éditeurs alimentent leurs modèles d’IA, leurs benchmarks ou leurs algorithmes prédictifs avec les données d’ouverture de leurs clients. Si c’est le cas du vôtre, vous n’êtes plus simple client : vous partagez la responsabilité juridique avec lui. Point de vigilance : vérifiez dans votre contrat si vos données servent à autre chose qu’à vos propres campagnes.
  • Votre plateforme d’emailing a maintenant le devoir de vous alerter si elle détecte que vous activez du tracking sans consentement. Si elle ne le fait pas, elle manque à ses obligations. Point de vigilance : si vous n’avez jamais reçu d’alerte de votre outil sur ce sujet, c’est un signal.
  • Un fournisseur qui ne vous permet pas d’être conforme est un motif de rupture de contrat. La CNIL est explicite : si votre plateforme n’a pas les fonctionnalités nécessaires (gestion du consentement par contact, pixels différenciés selon le statut de consentement, gestion du retrait), elle vous met en difficulté juridique. C’est un levier contractuel rare — utilisez-le. Point de vigilance : demandez à votre fournisseur sa roadmap de conformité pixels avec dates précises.
  • Même les pixels qui n’ont pas besoin de consentement doivent être mentionnés dans votre politique de confidentialité. L’exemption porte uniquement sur le consentement, pas sur l’obligation d’informer les personnes. Point de vigilance : relisez votre politique de confidentialité, beaucoup d’organisations l’ont oublié.

Réactiver les inactifs, scorer l’engagement, segmenter par activité, optimiser les heures d’envoi : la plupart des pratiques CRM email reposent encore sur le taux d’ouverture. Toutes sont aujourd’hui fragilisées. En mars et avril 2026, la CNIL et son homologue italien, le Garante, ont publié des recommandations sur l’usage des pixels de tracking dans les emails. Et contrairement à ce que beaucoup laissent entendre, ce ne sont pas de nouvelles lois. Ce sont des clarifications de règles qui existaient déjà : la directive ePrivacy (le cadre derrière les bannières cookies) et le RGPD.

Cette nuance change tout. Si vous “découvrez” le problème aujourd’hui, cela veut probablement dire que vous étiez déjà non conforme. L’email rattrape simplement le web, qui vit sous ce régime depuis des années.

Note : ceci n’est pas un avis juridique. Les modalités d’application dépendent de votre contexte (juridictions, base légale, nature de vos envois). Validez toute décision avec votre DPO ou un conseil qualifié.

1. Ce qui se passe vraiment

Un pixel de tracking est une petite image invisible insérée dans vos emails. Quand le destinataire ouvre le message, l’image se charge depuis un serveur distant — et ce chargement révèle que l’email a été ouvert, depuis quel appareil, à quelle heure et depuis quelle adresse IP.

Le point juridique central, et c’est probablement la chose à comprendre en premier : le fait que la donnée soit anonyme ou non n’a aucune importance. C’est la finalité — ce que vous faites avec ces données — qui déclenche ou non l’obligation de consentement. Même un pixel présenté comme “anonyme” doit recueillir un consentement si son usage n’entre pas dans une exemption précise. Cette nuance casse une idée largement répandue dans le marché.

Le message de la CNIL n’est pas “arrêtez de tracker”. C’est : justifiez le tracking, limitez-le, et dans beaucoup de cas, obtenez un consentement.

Les échéances concrètes

La recommandation CNIL est publiée le 14 avril 2026 et crée deux régimes parallèles selon la date de collecte de vos contacts.

Pour les contacts déjà en base avant le 14 avril 2026 : vous avez trois mois pour les informer du tracking et leur donner une possibilité réelle de s’y opposer. La deadline tombe le 14 juillet 2026. Pour prouver l’envoi de cette information, pas besoin d’intégrer un pixel dans l’email d’information — de simples logs techniques d’envoi suffisent.

Pour les contacts collectés après le 14 avril 2026 : le régime de consentement s’applique dès le premier jour. Pas de période transitoire. Si vos outils n’étaient pas prêts, un email de rattrapage demandant le consentement sera nécessaire pour ces nouveaux contacts.

Une tolérance limitée peut être accordée si vous pouvez prouver une contrainte de délivrabilité liée au volume d’envois. C’est l’exception, pas la règle.

Côté italien, le Garante a publié ses lignes directrices le 17 avril 2026, avec une conformité attendue avant le 28 octobre 2026.

2. Les points clés à comprendre

2.1 Le déclencheur du consentement, c’est l’usage — pas la technologie

La recommandation porte sur les pixels, mais elle ne mentionne pas explicitement les liens traçants (les liens cliquables qui passent par un serveur intermédiaire pour mesurer les clics) ni les identifiants uniques. Cela ne veut pas dire qu’ils sont libres : la même logique s’applique à eux. Dans la plupart des usages courants, un lien traçant déclenche un consentement.

À faire : traitez vos liens traçants comme vos pixels dès maintenant. Vous vous éviterez une seconde mise en conformité dans quelques mois.

2.2 Anonymisation : ce qui marche, ce qui ne marche pas

Anonymiser vos données pour échapper au consentement initial ne fonctionne pas. En revanche, si vos pixels sont conformes au cadre délivrabilité (collectés sans consentement légitimement), vous pouvez ensuite agréger ces données et produire des statistiques globales de performance.

La logique est dans cet ordre : d’abord conformité de la collecte, ensuite usage agrégé. Pas l’inverse.

2.3 Un seul pixel peut servir plusieurs usages

C’est le point qui rassure le plus de marketeurs. Vous pouvez utiliser un même pixel à la fois pour la délivrabilité (exempté de consentement) et pour la mesure de performance (avec consentement).

La règle est simple : tant qu’un contact n’a pas consenti, le pixel ne fait que ce qui est exempté. Quand le contact consent, le pixel peut faire plus. Vous n’êtes pas obligé de reconstruire toute votre infrastructure.

2.4 Le consentement unique fonctionne quand les usages sont liés

Exemple concret : une newsletter présentée comme “personnalisée selon vos centres d’intérêt” et qui utilise un pixel pour mesurer cette personnalisation. Le fait de s’inscrire à la newsletter peut valoir consentement au pixel, parce que les deux usages sont indissociables.

Mais attention : si vos usages sont distincts (mesurer la performance ET cibler ailleurs sur le web, par exemple), vous devez demander un consentement par usage, ou prévoir un formulaire à deux niveaux (consentement global, puis détaillé).

2.5 Chaque exemption utilisée doit être documentée

Si vous activez l’exemption délivrabilité, vous devrez prouver en cas de contrôle que vous l’utilisez vraiment pour ça. Concrètement, attendez-vous à devoir produire :

  • votre logique de suppression des inactifs,
  • vos règles de réduction de fréquence selon l’ouverture,
  • votre taux de suppression sur la base.

La CNIL laisse la liberté sur les moyens, mais exige la démonstration.

2.6 Bonne nouvelle sur l’historique

Pas d’obligation de supprimer les données déjà collectées avant la recommandation. Votre historique d’ouvertures antérieur peut rester en base, à condition de respecter vos durées de conservation habituelles.

2.7 L’intérêt légitime n’exempte pas du consentement au tracking

Si vous envoyez de la prospection B2B en opt-out, ou des emails sur la base des produits/services analogues : vous pouvez peut-être envoyer, mais vous ne pouvez pas tracker sans consentement.

C’est un piège pour beaucoup d’équipes B2B qui pensent que leur base légale d’envoi couvre aussi le tracking.

2.8 Le simple clic ne suffit pas pour valider un consentement

Un seul clic dans un email de demande de consentement ne suffit pas : les robots des outils anti-phishing cliquent automatiquement, créant de faux consentements.

Le bon parcours : clic dans l’email → page d’atterrissage → validation active du consentement.

2.9 Les bannières cookies (CMP) ne sont pas la bonne solution

La CNIL préfère que vous recueilliez le consentement directement à l’inscription, ou par un email dédié. Le problème avec une bannière, c’est qu’il faut identifier précisément quel email et quel canal sont concernés — ce qui pose des problèmes pratiques importants.

2.10 Le retrait du consentement vise les envois futurs

Si un contact retire son consentement, les pixels disparaissent des emails que vous lui envoyez ensuite. Vous n’avez pas à supprimer les pixels des emails déjà envoyés — c’est techniquement impossible. Ce qu’on attend de vous, c’est de ne plus exploiter les données qui pourraient remonter quand un ancien email est rouvert.

3. Qui est responsable, et quels sont vos risques

C’est sûrement la partie la plus mal comprise, et elle a des conséquences directes sur vos contrats fournisseurs.

En temps normal : vous êtes responsable, votre plateforme est exécutante. Au sens du RGPD, vous êtes “responsable de traitement” : c’est vous qui décidez à qui vous envoyez, quand, comment. Votre plateforme d’emailing est “sous-traitante” : elle exécute techniquement ce que vous lui demandez. La responsabilité de collecter et stocker le consentement vous revient — pas parce que votre fournisseur se défausse, mais parce que c’est vous qui avez la relation avec le destinataire. Votre outil ne sait pas ce que disait votre formulaire d’inscription. Il ne sait pas si vos contacts ont consenti, sauf si vous le lui dites.

Le cas qui change tout : votre fournisseur utilise vos données pour ses propres usages. Beaucoup d’éditeurs alimentent leurs modèles prédictifs, leurs algorithmes d’IA, ou leurs benchmarks sectoriels avec les données d’ouverture de leurs clients. Si c’est votre cas, vous devenez co-responsable juridique avec votre fournisseur sur la collecte des données — vous n’êtes plus un simple client de service.

Concrètement, cela veut dire : un contrat de co-responsabilité formel, une information explicite à vos contacts qui mentionne ces usages, une articulation claire de qui fait quoi. La plupart des contrats actuels ne reflètent pas cette réalité.

Votre fournisseur a maintenant un devoir d’alerte. La CNIL est explicite : si vous activez du tracking sans avoir recueilli le consentement, votre plateforme doit vous alerter. Si elle ne le fait pas, elle manque à ses obligations. Inversement, si elle vous alerte mais que vous confirmez avoir une autre base de conformité, elle peut continuer — mais elle a fait son devoir.

Le point qui vous donne du levier sur vos contrats. La CNIL le dit noir sur blanc dans son support officiel : si votre plateforme d’emailing ne vous permet pas techniquement de vous mettre en conformité (gestion du consentement par contact, pixels différenciés selon le consentement, gestion du retrait), elle vous met en difficulté juridique. Et cette non-conformité peut constituer un motif d’annulation de contrat.

C’est rare d’avoir un tel levier contractuel sur un fournisseur SaaS. Si votre outil traîne sur sa roadmap de conformité pixels, vous avez de quoi négocier.

Ce que vous devez vérifier dans votre contrat actuel :

  • Mes données d’ouverture servent-elles à autre chose qu’à mes propres campagnes ? (modèles IA, benchmarks, optimisation interne du fournisseur)
  • Mon contrat reflète-t-il cette réalité s’il y a un usage propre du fournisseur ?
  • Mon fournisseur a-t-il une roadmap pixels avec dates ? Peut-il déjà gérer un consentement par contact ?

Si la réponse à l’une de ces questions est “je ne sais pas” ou “non”, vous avez du travail.

4. Le séisme opérationnel : ce qui casse dans vos pratiques CRM

Voici où le sujet cesse d’être juridique et devient un problème de métier. Si le taux d’ouverture devient soumis à consentement, tout ce qui repose dessus se fragilise.

  • La réactivation des inactifs : votre définition d’un “inactif” repose presque toujours sur l’absence d’ouverture. Si vous ne voyez plus que les ouvertures des contacts ayant consenti, votre segment “inactif” devient faux.
  • Le scoring d’engagement : un score basé sur l’historique d’ouverture devient biaisé et partiel.
  • La segmentation par activité : les segments “ouvreurs fréquents” et “dormants” perdent leur fiabilité.
  • Le send-time optimization : déduire le meilleur moment d’envoi suppose des ouvertures fiables et complètes. Elles ne le seront plus.
  • L’A/B testing d’objets : si vous mesurez le gagnant au taux d’ouverture, votre mesure repose sur une population auto-sélectionnée.

Le mécanisme est simple : vous ne verrez plus que les données des contacts ayant accepté d’être trackés — une population petite, auto-sélectionnée, biaisée vers vos abonnés les plus engagés. Statistiquement, c’est trop peu fiable pour décider sur l’ensemble de votre base.

5. France, Italie, Allemagne : trois approches européennes à anticiper

La plupart des articles s’arrêtent à la France. C’est une erreur de cadrage, parce que les autres pays européens ont leurs propres règles — et certains sont plus stricts.

En France, l’exemption qui permet de tracker sans consentement existe, mais elle est très encadrée. Pour en bénéficier, trois conditions doivent être réunies simultanément :

  1. Le mail concerné doit être expressément demandé par le destinataire (newsletter inscrite, prospection consentie) ou rattaché à un service expressément demandé (mail transactionnel : bienvenue, expédition, facture).
  2. Vous devez pouvoir démontrer que le tracking sert à adapter la fréquence d’envoi ou à arrêter les envois aux inactifs — ce que la CNIL appelle “nettoyer la base”.
  3. En principe, vous ne conservez que la date de la dernière ouverture, à la journée, mise à jour à chaque nouvelle ouverture (et l’ancienne valeur est supprimée). Toute donnée supplémentaire doit être justifiée par un besoin précis.

Si ces trois conditions sont remplies, le pixel est exempté. Vous pouvez même utiliser ces données pour adapter le canal de communication (par exemple, passer au SMS si l’email ne marche plus) ou pour démontrer le respect d’une obligation légale d’information — à condition que cette obligation soit clairement identifiée dans un texte.

Mails qui ne bénéficient pas de l’exemption : la prospection commerciale en intérêt légitime (B2B, produits/services analogues) n’est pas “expressément demandée” — donc pas d’exemption, consentement obligatoire pour le tracking. Le secteur caritatif n’a pas d’exemption spécifique non plus.

En Italie, le Garante est plus strict. L’exemption sans consentement est très limitée et le tracking individuel d’ouverture exige généralement un consentement. À noter : l’anonymisation n’est pas un échappatoire au consentement, ni en France ni en Italie.

En Allemagne, c’est encore plus carré. Le §25 de la TTDSG (la loi allemande qui transpose la directive ePrivacy) exige le consentement pour toute technologie de tracking sur les terminaux des utilisateurs, indépendamment du fait que des données personnelles soient impliquées ou non. En pratique, le pixel email tombe directement dans ce périmètre. Les autorités allemandes préparent par ailleurs une guidance plus détaillée. La position juridique précise n’est pas encore entièrement tranchée, mais le sens est clair : c’est le pays le plus exigeant des trois.

La conséquence stratégique : le modèle de tracking par défaut de la quasi-totalité des plateformes d’emailing génère des événements par destinataire. Cette architecture peut satisfaire l’exemption française, mais pas les exigences italiennes ni le principe allemand sans changements. Pour la plupart des expéditeurs multi-pays, le chemin le plus propre est de s’aligner sur le standard le plus strict pour tous les envois UE.

Et pour les fournisseurs non européens qui ciblent des utilisateurs en France : la CNIL est explicite, ils doivent appliquer la recommandation. Peu importe où l’éditeur est basé, dès qu’un pixel se charge sur le terminal d’un utilisateur en France, les règles françaises s’appliquent.

6. Le paradoxe que les régulateurs n’ont pas résolu

L’exemption délivrabilité repose sur l’idée que la donnée d’ouverture est un signal utile pour identifier les inactifs. Or l’ouverture est polluée depuis des années : Apple Mail Privacy Protection et Gmail préchargent les images automatiquement, les passerelles de sécurité des entreprises déclenchent le pixel avant tout regard humain, des bots génèrent des ouvertures fictives.

Le paradoxe : les régulateurs autorisent à utiliser les ouvertures pour suspendre les inactifs sans consentement, mais les ouvertures ne sont de moins en moins des signaux humains. Et filtrer l’activité non humaine pourrait nécessiter le type de traitement individuel qui requiert un consentement.

Il vous faut une donnée plus propre pour être conforme, mais nettoyer la donnée peut exiger un consentement. Boucle non résolue.

7. La marche à suivre, concrètement

  1. Cartographiez où l’ouverture alimente vos systèmes. Déclencheurs d’automatisation, dashboards, segmentation, personnalisation, décisions de délivrabilité — listez tout. Identifiez ce qui se dégrade si ce signal devient soumis à consentement.
  2. Revoyez vos parcours de consentement. Vos formulaires d’inscription mentionnent-ils le tracking ? Votre politique de confidentialité le décrit-elle, y compris pour les pixels exemptés ? Si possible, collectez le consentement au tracking dès la capture de l’adresse. Et prévoyez le bon parcours : clic dans l’email, puis page, puis validation active.
  3. Traitez les liens traçants comme les pixels dès maintenant, vous vous éviterez une seconde mise en conformité.
  4. Documentez chaque exemption utilisée, avec des données objectives à produire en cas de contrôle.
  5. Vérifiez l’origine de vos adresses. Pour toute adresse qui ne vient pas de vos propres formulaires (louée, co-enregistrée, partenaire), pouvez-vous prouver un consentement individuel ? Un contrat avec le fournisseur ne suffit pas.
  6. Identifiez votre exposition par pays (France, Italie, Allemagne en priorité) et pilotez le standard le plus strict.
  7. Mettez la pression sur votre fournisseur emailing. Trois questions à lui poser :
    • Utilises-tu mes données d’ouverture pour tes propres usages (modèles IA, benchmarks) ?
    • Peux-tu gérer un consentement par contact, des pixels différenciés selon le consentement, et le retrait depuis l’email ?
    • Quelle est ta roadmap pixels, avec quelles dates précises ?

Si les réponses sont floues, vous avez un problème — et un levier contractuel.

Conclusion

Ce n’est pas la fin du tracking email. C’est le basculement de l’email vers le modèle que le web connaît depuis des années : finalité plus claire, transparence, contrôle utilisateur.

Mais le vrai message pour votre CRM est plus profond : l’avenir de l’engagement email, ce sont les signaux intentionnels, pas les signaux passifs. Les clics, les conversions, les réponses. Les programmes qui souffriront le moins sont ceux qui construisaient déjà autour de ces signaux-là.

L’ouverture était déjà faussée à cause d’Apple MPP et du préchargement des images. Elle devient maintenant sélective et faussée. La bonne nouvelle, contrairement au web qui a réagi après coup : vous, vous voyez venir. Et c’est une bien meilleure position.

Anne-Claire Fichten est spécialisée dans le CRM, le lifecycle marketing et la délivrabilité email. Elle analyse les liens entre stratégie relationnelle, qualité des données et réputation email afin d’améliorer la performance des programmes CRM. Sur fichten.net, elle partage analyses, retours d’expérience et bonnes pratiques autour de la relation client digitale. En savoir plus...
Lire tous les articles

Commentaires

Aucun commentaire. Et si vous lancier la discussion ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *