I) Sur la soumission effective des pixels de suivi à un cadre réglementaire européen commun préexistant :
On lit parfois que le nouveau cadre français sur les pixels de suivi dans les courriels, issu de la recommandation de la CNIL du 12 mars 2026, serait sans équivalent en Europe. C'est faux.
La publication des lignes directrices du Garante italien du 17 avril 2026 démontre au contraire que le sujet s’inscrit pleinement dans un mouvement européen d'applicabilité effective de la directive ePrivacy aux pixels de flicage dans les emails.
La recommandation française et les lignes directrices italiennes reposent sur l’article 5 paragraphe 3 de la directive 2002/58/CE dite ePrivacy, tel qu’interprété plus de vingt ans plus tard par les lignes directrices 2/2023 du CEPD concernant son champ d’application technique.
Elles s’inscrivent aussi dans l’articulation entre la directive ePrivacy et le RGPD, telle qu’explicitée par l’avis 5/2019 du CEPD, avec, en arrière-plan, les considérants 30 et 173 ainsi que l’article 95 du RGPD. Aux termes de l'article 5 paragraphe 3 de la directive 2002/58/CE dite ePrivacy :
"Les États membres garantissent que l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur ne soit permise qu'à condition que l'abonné ou l'utilisateur, soit muni, dans le respect de la directive 95/46/CE, d'une information claire et complète, entre autres sur les finalités du traitement, et que l'abonné ou l'utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur."
Aux termes du considérant 24 de la directive 2002/58/CE, dite ePrivacy :
"L'équipement terminal de l'utilisateur d'un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l'utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. Or, les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l'utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l'utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier. L'utilisation de tels dispositifs ne devrait être autorisée qu'à des fins légitimes, et en étant portée à la connaissance de l'utilisateur concerné".
Aux termes des lignes directrices 2/2023 du CEPD sur le champ d’application technique de l’article 5, paragraphe 3, de la directive vie privée et communications électroniques :
"48. Dans le cas d’un courrier électronique, l’expéditeur peut inclure un pixel espion afin de détecter quand le récepteur lit le courrier électronique. Les pixels espions placés sur des sites web peuvent renvoyer à une entité qui recueille de nombreuses requêtes de ce type et qui est ainsi en mesure de suivre le comportement des utilisateurs. Ces pixels espions peuvent également contenir des identificateurs, métadonnées ou contenus supplémentaires dans le lien. Ces points de données peuvent être ajoutés par le propriétaire du site web, éventuellement en lien avec l’activité de l’utilisateur sur ce site, afin que des rapports analytiques d’utilisation puissent être générés. Ceux-ci peuvent également être générés de manière dynamique au moyen d’une logique applicative côté client fournie par l’entité.
[...]
50. Les liens et les pixels espions peuvent être distribués par un large éventail de canaux, par exemple par l’intermédiaire de courriers électroniques, de sites web, voire, dans le cas des liens espions, au moyen de n’importe quel type de système de messagerie textuelle. Cette distribution à l’équipement terminal de l’utilisateur constitue bien un stockage, à tout le moins par l’intermédiaire du mécanisme de mise en cache du logiciel côté client. De ce fait, l’article 5, paragraphe 3, de la directive vie privée et communications électroniques est applicable, même si ce stockage n’est pas permanent.
51. L’ajout d’informations de pistage aux URL ou images (pixels) envoyés à l’utilisateur constitue une demande à l’équipement terminal de renvoyer les informations ciblées (l’identificateur spécifié). Dans le cas des pixels espions développés de manière dynamique, c’est la distribution de la logique applicative (généralement un code JavaScript) qui constitue la demande. Par conséquent, il peut être considéré que le recueil d’identificateurs fournis au moyen de ces mécanismes de pistage constitue une «obtention de l’accès» au sens de l’article 5, paragraphe 3, de la directive vie privée et communications électroniques, laquelle disposition s’applique donc également à cette étape."
Les lignes directrices 2/2023 du CEPD expriment une doctrine européenne commune adoptée au niveau du CEPD, que la CNIL met en œuvre tout comme ses homologues. Elle n’en est pas l’auteur isolé.
Ces textes énoncent qu'un simple mécanisme d’opposition a posteriori est insuffisant et clairement inadapté.
Un pixel de tracking dans un courrier électronique est ainsi nécessairement soumis à un régime de consentement, sauf hypothèses d’exemption strictement encadrées.
II) Un traceur invisible, intrusif, et faisant déjà l'objet de mesures techniques de protection :
Les pixels de suivi ont surtout prospéré parce qu’ils sont invisibles pour l’utilisateur comme la plupart des mécanismes de flicage, et permettent à l’expéditeur de savoir si un courriel a été ouvert avec des informations techniques associées.
Ce caractère très intrusif a conduit des acteurs à modifier leur client mail : Apple a déployé des mécanismes destinés à empêcher que le taux d’ouverture reste un indicateur fiable de suivi individuel, et Thunderbird a depuis longtemps bloqué le chargement automatique des contenus distants.
Avant même les recommandations récentes des autorités, le marché avait déjà commencé à reconnaître par la technique que le pixel de flicage pose un problème structurel. Ce que tout utilisateur averti sait, et le bloque en conséquence.
Le droit désormais appliqué de manière effective à ce sujet vient renforcer les protections de la personne concernée, qui ne pouvait que tenter de se protéger techniquement. Et toute tentative de plainte auprès des services de la CNIL était vaine, débouchant sur une clôture pour motif de "travaux en cours".
III) Sur l'articulation entre socle normatif commun et marges nationales de déclinaison:
La seule question qui importe dans ce cadre est celle du niveau d’exigence retenu dans chaque État de l'Union pour l’information préalable, le consentement, sa preuve et les éventuelles exemptions.
La recommandation de la CNIL, qui n'est pas d'une particulière complexité, demeure en partie plus stricte sur certains points que celle de son homologue italienne, en particulier sur l’exigence d’un consentement distinct lorsque les finalités ne sont pas réellement connexes, ainsi que sur certaines dérogations.
Mais le Garante italien vient rappeler, s'il y avait besoin, que les pixels sont des traceurs cachés, qu’ils relèvent du régime d’accès au terminal, qu’ils nécessitent une information préalable des personnes et, hors exemption, un consentement préalable, avec une organisation sérieuse de sa preuve ainsi que de son retrait.
Ces nouvelles lignes directrices confirment que le débat n’oppose pas une CNIL supposément isolée au reste de l’Europe, mais qu’il porte uniquement sur la façon de décliner pays par pays un même cadre normatif européen appliqué aux pixels de suivi dans les emails, et qui aurait dû être appliqué bien plus tôt dans un marché intérieur qui en avait grandement besoin.
IV) Sur la conséquence pratique la plus sous-estimée, l’information au sujet des pixels de flicage devenant un point d’entrée utile pour les plaintes :
Pour les adresses électroniques déjà collectées, les acteurs qui utilisent des pixels de suivi sans avoir recueilli un consentement conforme doivent dans un délai de trois mois à compter de la publication de la recommandation doivent informer clairement les destinataires de l’existence de ces pixels, et les mettre en mesure de s’y opposer facilement pour les courriels futurs.
Autrement dit, beaucoup de responsables de traitement vont devoir écrire à leur base existante pour révéler l’existence d’un mécanisme de flicage qu’ils n’avaient jusqu’ici pas réellement mis en avant.
En parlant enfin du pixel, le responsable de traitement attirera alors l’attention sur tout le reste : ancienneté de son fichier, traçabilité de la collecte, base juridique, partage éventuel avec des tiers, gestion de l’opposition, conservation, purge des bases, etc.
C’est loin d’être anecdotique. Cette phase transitoire va produire de la preuve. Et cette preuve pourra être exploitée.
V) Sur les bons réflexes à avoir en tant que plaignant :
Si vous recevez un tel courrier électronique, il ne faut surtout pas le supprimer. Exercez en premier lieu votre droit d'opposition. Mais ce simple message d'information en apparence anodin peut permettre d’identifier très vite plusieurs anomalies du côté du responsable de traitement.
D’abord, il y a le cas d'une durée de conservation excessive : si une société vous informe sur une adresse transmise il y a des années, sans relation récente ni raison claire de conservation, la question de la durée de conservation se pose immédiatement.
Notamment au-delà d'une durée de conservation dépassant plus de trois ans.
Ensuite, il y a le cas d'une collecte illicite ou opaque : si vous recevez cette information d’un acteur à qui vous n’avez jamais communiqué votre adresse électronique, la question de l’origine des données devient prégnante.
Dans de tels cas, exercez votre droit d'accès au titre de l'article 15 du RGPD et demandez dans la foulée d’où vient l’adresse électronique, depuis quand elle est détenue, à quelles finalités elle a été utilisée, avec quels destinataires ou partenaires elle a été partagée, et combien de temps elle est conservée.
C’est souvent à ce moment-là que les incohérences apparaîtront, ce qui permettra d’aller porter plainte devant la CNIL.
Il ne faut pas oublier le cas de la poursuite du suivi malgré l’opposition : si vous exercez votre droit d'opposition et que les courriers électroniques suivants continuent à intégrer des pixels ne pouvant faire l'objet d'une exemption, le manquement devient particulièrement simple à documenter.
Jusqu'à récemment, l'ensemble des plaintes contre de tels pixels étaient clôturées par la CNIL au motif de "travaux en cours" suite aux lignes directrices 2/2023 du CEPD. Ces travaux ayant abouti à des recommandations très claires de la CNIL, ils sont désormais terminés. Le sort des futures plaintes ne devrait en toute logique pas être le même.
VI) Sur la vigilance de mon cabinet concernant l'application effective des nouvelles recommandations :
Ces messages d’information vont fournir aux personnes concernées un point d’entrée très concret pour vérifier la licéité de pratiques parfois anciennes et insuffisamment documentées.
Les plaignants pourront exploiter utilement ces courriels, notamment lorsqu’ils révèlent une conservation excessive, une origine inexpliquée de l’adresse électronique, une prospection non sollicitée, ou le maintien d’un suivi après opposition.
Le cabinet se tiendra vigilant tant sur le contenu de ces communications que sur ce qu’elles dévoilent en creux.
Mon cabinet épaulera également les responsables de traitement.
Pour certains responsables de traitement, l’obligation d’informer sur les pixels apparaîtra comme une formalité. Ce sera souvent, en réalité, le moment où leur fichier commencera enfin à parler.
Vous êtes responsable de traitement et souhaitez vérifier la conformité de vos pixels de suivi dans les courriers électroniques ?
Vous êtes internaute et vous souhaitez déposer une plainte argumentée ?
N’hésitez pas à consulter un avocat exerçant en droit de la protection des données personnelles.
La protection de votre vie privée sur internet n’est pas une option : c’est un droit fondamental qu’il est essentiel de faire respecter.
Protégez vos données, et exercez vos droits.
Me Jérémy ROCHE
Avocat au barreau de BEZIERS
https://jeremyroche-avocat.fr/
Sources :
1) Garante per la protezione dei dati personali - Lignes directrices pixels de suivi du 17 avril 2026 (en italien seulement, une version PDF traduite est directement téléchargeable en-dessous des sources du présent article) ;
2) Pixels de suivi dans les courriers électroniques : la Commission Nationale de l'Informatique et des Libertés (CNIL) publie ses recommandations pour mieux protéger la vie privée (communication du 14 avril 2026) ;
3) Recommandation relative aux pixels de suivi dans les courriers électroniques (Version adoptée le 12 mars 2026) ;
Crédits photo : Unsplash - Amal S
Pas de contribution, soyez le premier