📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Pixels de suivi dans les emails :  les bonnes pratiques pour rester conforme au RGPD

Actualités RGPD

Sommaire

Vous recevez peut-être des emails sans savoir qu’un petit outil invisible s’y cache souvent : le pixel de suivi.

Dans cet article, nous allons nous concentrer sur le pixel de suivi dans les emails, mais sachez qu’il n’existe pas uniquement ce type de pixel : il y a également des pixels publicitaires, des pixels de suivi sur les sites web, et d’autres dispositifs similaires qui collectent des données personnelles.

Alors, que prévoit la CNIL pour l’utilisation des pixels de suivi dans vos emails ? Comment recueillir le consentement de vos destinataires de manière claire et transparente ? Quelles informations devez-vous fournir sur les finalités et les acteurs impliqués dans le suivi ?

C’est quoi, un pixel de suivi ?

Un pixel de suivi, aussi appelé « pixel espion », est une toute petite image invisible intégrée dans un email. Elle ne se voit pas, mais quand vous ouvrez le message, cette image se charge automatiquement et envoie un « signal » à l’expéditeur.

Ce signal indique par exemple :

  • que vous avez ouvert l’email,
  • à quelle date et à quelle heure,
  • sur quel type d’appareil (ordinateur, smartphone),
  • via quel logiciel ou application de messagerie,
  • parfois votre localisation approximative (via l’adresse IP).

L’objectif ? 

Permettre à l’expéditeur de savoir si le message a été lu, de mesurer l’efficacité de ses campagnes marketing, de personnaliser son suivi client ou d’améliorer ses futurs envois.

Un défi majeur pour la confidentialité

Ce type de suivi s’effectue discrètement : le destinataire n’a généralement pas connaissance de ce traçage. Pourtant, cela permet de recueillir de nombreuses informations sur le comportement des personnes sans qu’elles le sachent.

Le rôle de la CNIL dans la régulation de leur utilisation

La boîte mail est un espace personnel et privé : le suivi « invisible » dans les emails pose des vraies questions de respect de la vie privée. Les personnes deviennent de plus en plus attentives à ce type de traçage et la CNIL reçoit souvent des plaintes.

C’est pourquoi les autorités comme la CNIL encadrent sévèrement l’usage de ces pixels afin de garantir le respect de la vie privée et d’éviter des pratiques intrusives non consenties.

Qui est concerné par la réglementation ?

  • L’expéditeur du courriel : l’acteur (entreprise, organisme public, association, etc.) ayant décidé l’envoi du courriel, qu’il en soit techniquement l’expéditeur ou non. Il est considéré comme responsable de traitement. 
  • Le prestataire d’envoi d’emails (mailing service provider) : Il s’agit de l’entreprise qui fournit la solution technique d’envoi de courriels. Souvent sous-traitant, il intègre les fonctionnalités de suivi selon les instructions reçues.
  • Les prestataires de locations de listes d’envoi : Il s’agit de l’entreprise qui met à disposition de ses clients une solution clef en main pour envoyer des communications vers des listes de diffusions proposées en location. Si leur solution intègre aussi des pixels, ils peuvent être sous-traitants ou co-responsables selon l’usage des données.
  • Le fournisseur de la technologie de traçage : C’est un acteur tiers spécialisé, distinct du prestataire d’envoi de courriels.La qualification de cet acteur dépend des finalités qu’il poursuit avec les données issues du traçage. Si les opérations de lecture ou écriture sont réalisées exclusivement pour le compte de l’expéditeur, le fournisseur de la technologie sera sous-traitant. En revanche, si les données collectées via les pixels sont également utilisées pour ses propres finalités (par exemple, afin d’améliorer la solution fournie), lorsqu’un client accepte contractuellement la mise en œuvre de telles opérations, le fournisseur et l’expéditeur peuvent être considérés comme co-responsables des opérations de lecture ou d’écriture. 
  • Le fournisseur de service de messagerie (Gmail, Outlook…) : assure la réception et l’affichage des courriels adressés à ses utilisateurs. Il n’intervient pas dans le traitement des données liés à l’usage des pixels, il n’est ni sous-traitant ni responsable du traitement.

Le consentement, une étape indispensable

L’insertion de pixels de suivi dans les courriels requiert le recueil préalable du consentement libre, spécifique, éclairé et univoque du destinataire sauf si ces opérations ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs.

Cet article pourrait aussi vous intéresser : Prospection B2C : guide pour un démarchage efficace et conforme au RGPD

Quand le consentement du destinataire est-il obligatoire ?

Avant d’utiliser des pixels de suivi dans un email, il faut demander et obtenir le consentement libre, spécifique, éclairé et explicite de la personne (sauf cas exceptionnels).Le consentement est nécessaire pour :

  • Mesurer l’ouverture des courriels pour analyser ou améliorer les campagnes.
  • Adapter la fréquence ou arrêter l’envoi d’emails selon le comportement.
  • Personnaliser les emails en fonction des centres d’intérêt : créer des profils individuels ou des groupes.
  • Utiliser les données pour du ciblage sur d’autres canaux (site web, SMS, applications…).
  • Détecter des fraudes (par exemple des ouvertures suspectes ou massives).

Il n’est pas possible de considérer que le simple fait de s’abonner à une newsletter ou de donner son adresse email vaut pour le suivi via pixel : il faut une information et une demande de consentement séparées

Comment recueillir ce consentement ?

Le plus simple est d’informer la personne, dès la collecte de son adresse électronique, sur la présence de pixels de suivi, leurs objectifs précis (par exemple : évaluer la performance des campagnes, personnaliser les messages, détecter des fraudes) et lui donner la possibilité d’accepter ou de refuser chaque finalité proposée.

Concrètement, la CNIL recommande d’intégrer, au niveau du formulaire de collecte de l’adresse, une information synthétique sur les finalités des traceurs (voir le point 4.1) avec un lien vers une information plus détaillée (par exemple, la politique « cookies et autres traceurs »).

Si l’adresse a déjà été collectée ou si la personne est déjà inscrite, il est recommandé d’envoyer un premier courriel sans aucun dispositif de suivi, proposant, via un lien, d’exprimer son choix. 

Le consentement ne doit jamais être présumé : tant que la personne n’a pas exprimé son accord, aucun pixel ne doit être activé. L’inactivité ou le silence vaut refus.

Information à donner au destinataire

Avant toute utilisation du pixel, la personne doit être clairement informée  :

  • Des finalités du suivi (que va-t-on faire avec ces infos ? Analyse, personnalisation, détection de fraude, etc.). Elles doivent être formulées de manière intelligible, dans un langage adapté et suffisamment clair pour permettre aux personnes concernées de comprendre précisément la portée de leur choix.La CNIL recommande que chaque finalité soit mise en avant dans un intitulé court et mis en évidence, accompagné d’un bref descriptif. Des exemples permettant de se conformer aux règles applicables sont présentés ci-dessous. La CNIL recommande en outre de faire figurer une description plus détaillée de ces finalités, de manière aisément accessible depuis l’interface de recueil du consentement. Cette information peut, par exemple, être affichée sous un bouton de déroulement que l’internaute peut activer directement au premier niveau d’information. Elle peut également être rendue disponible en cliquant sur un lien hypertexte présent au premier niveau d’information.
  • De l’identité et du rôle des acteurs qui reçoivent les données.
  • De la possibilité de consentir ou de refuser facilement (et pour chaque usage si possible).
  • De la modalité de retrait du consentement à tout moment

Cet article pourrait aussi vous intéresser : Cookies et RGPD :  la recette parfaite pour être conforme

Retrait du consentement : simplicité et instantanéité

Chaque email qui utilise un pixel de suivi doit comporter un lien de retrait, habituellement placé en bas du message. Le retrait doit être aussi simple et rapide que l’acceptation du consentement, et il doit effectivement désactiver le suivi pour les emails futurs ou ouverts à nouveau.

Conserver une preuve du consentement

L’entreprise doit pouvoir prouver à tout moment qu’elle a bien recueilli le consentement de chaque personne, et pour quelles finalités. 

Il est donc indispensable de garder une trace horodatée et exploitable du consentement, dans le respect de la confidentialité et de la sécurité.

L’obligation de rapporter la preuve du consentement ne peut pas être remplie par la seule présence d’une clause contractuelle engageant l’une des parties à recueillir un consentement valable pour le compte de l’autre partie. En effet, une telle clause ne permet pas à l’organisme de garantir, en toutes circonstances, l’existence d’un consentement valide.

Le contrat pourra, en revanche, être utilisé pour encadrer :

  • Les mécanismes mis en place pour permettre de démontrer le recueil d’un consentement valide ;
  • La mise à disposition des éléments de preuve au profit de l’organisme qui souhaite se prévaloir du consentement ;
  • Le cas échéant, les conditions dans lesquelles ces éléments de preuve doivent être
  • conservés notamment afin de conserver leur valeur probante ;
  • Les modalités d’audits réguliers des mécanismes de recueil du consentement.

La CNIL rappelle que ces engagements contractuels n’exonèrent pas le responsable du traitement de sa responsabilité, s’il n’est pas en mesure de fournir la preuve du consentement en raison de la défaillance du tiers.

Exceptions : suivi sans consentement

Le consentement n’est pas nécessaire si :

  • Le pixel vise uniquement à sécuriser l’authentification (ex : vérification ouverture d’un email de réinitialisation de mot de passe).
  • L’usage du pixel vise seulement à calculer des statistiques globales anonymes (sans identifier individuellement les destinataires). Il faut alors utiliser un pixel identique pour toute la campagne et pas de segmentation individuelle.

Conclusion

Les pixels de suivi, bien que discrets et utiles pour évaluer la performance des campagnes de communication, représentent un véritable enjeu de confidentialité. Leur utilisation implique la collecte de données personnelles souvent à l’insu des destinataires, ce qui nécessite un encadrement strict afin de garantir le respect de la vie privée. C’est pourquoi la CNIL impose des règles précises : informer clairement les personnes concernées, recueillir leur consentement explicite, leur offrir une possibilité de retrait simple et conserver la preuve de ce consentement.

Ainsi, toute organisation souhaitant utiliser des pixels de suivi doit adopter une approche responsable et transparente, en intégrant la protection des données dès la conception de ses campagnes. En définitive, le respect des bonnes pratiques n’est pas seulement une obligation légale, mais aussi un gage de confiance et de crédibilité auprès des utilisateurs.

Confiez-nous votre conformité
on saura la faire passer de 😡 à 😎
Prendre RDV maintenant
Partager le post

Articles connexes

Pauline Burgat
Pauline Burgat
Juriste spécialisée en protection des données, titulaire d’un Master 2 et d’un Master 1 en Droit du numérique. Animée par une véritable passion pour la conformité au RGPD et les enjeux liés à la protection de la vie privée.
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.