Emailing : peut-on encore suivre les ouvertures et les clics ?

Le 12 mars 2026, la CNIL a adopté une recommandation sur les pixels de suivi dans les courriers électroniques, publiée le 14 avril 2026. Elle clarifie ce qui nécessite un consentement et ce qui peut être exempté.

Certaines données peuvent encore être suivies, mais pas tout, pas n'importe comment, et pas sans vérifier finalité, information, consentement et preuve. Cet article couvre les usages sensibles, le cas B2B, les actions de mise en conformité et les indicateurs alternatifs.

Résumé de l’article

• La CNIL encadre plus clairement l’usage des pixels de suivi dans les emails, notamment pour mesurer les ouvertures et suivre les clics.
• L’article explique ce que les outils emailing collectent réellement : ouvertures, clics, appareil, heure de lecture, données rattachées à une adresse email.
• Il distingue l’envoi d’un email de prospection et le suivi du comportement du destinataire, y compris en B2B.
• Il détaille les usages sensibles : mesure individuelle, personnalisation, scoring, segmentation, relances automatiques et enrichissement CRM.
• Il présente les vérifications à mener pour rendre une campagne emailing plus conforme au RGPD : finalités, consentement, mentions, retrait, preuve des choix et paramétrage des outils.
• Il recommande de moins dépendre du taux d’ouverture et de suivre davantage les clics, conversions, réponses, délivrabilité et signaux d’engagement fiables.

Pourquoi le suivi des emailings est dans le viseur de la CNIL

Le 12 mars 2026, la CNIL a adopté une recommandation sur les pixels de suivi dans les courriers électroniques. HubSpot, Brevo, Mailchimp et Salesforce Marketing Cloud intègrent par défaut des mécanismes de suivi qui collectent des données personnelles, souvent sans que le destinataire en soit pleinement informé.

La loi informatique et libertés et le cadre ePrivacy encadrent déjà ces pratiques. Face à l'essor du marketing automation et du tracking comportemental, la CNIL a jugé nécessaire de clarifier ce qui relève du consentement, ce qui peut bénéficier d'une exemption stricte et ce qui doit être documenté.

L'objectif va au-delà de la simple transparence : il s'agit de soumettre au consentement la collecte de toute donnée qui ne serait pas strictement nécessaire à l'envoi des emails, et de responsabiliser les émetteurs sur les finalités réelles des données collectées.

Pixels d'ouverture, liens trackés : ce que vos outils mesurent vraiment

Un pixel de suivi est une image invisible (1x1 pixel) intégrée dans le corps de l'email. Le canal email ne permet pas nativement de détecter les ouvertures d'un message : les pixels ont justement été conçus pour contourner ce manque fonctionnel. À l'ouverture, l'image se charge depuis votre serveur et transmet automatiquement plusieurs informations : adresse IP, type d'appareil, heure exacte d'ouverture, géolocalisation approximative.

Les liens trackés, quant à eux, servent à mesurer précisément les clics effectués par les destinataires sur les différents appels à l'action contenus dans vos messages.

Ces mécanismes remontent des données comme le taux d'ouverture, l'heure de lecture, le type d'appareil, la géolocalisation approximative et les clics sur chaque lien. Ces informations servent à mesurer la performance, personnaliser les contenus futurs, segmenter les audiences ou alimenter des systèmes de scoring CRM.

Point central : ces données sont rattachées à une adresse mail identifiable. Leur collecte constitue donc un traitement de données personnelles qui doit respecter le RGPD et la loi informatique et libertés. L'exemption prévue à l'article 82 ne s'applique que dans des cas strictement définis : sécurité, authentification, délivrabilité sous conditions ou preuve d'une obligation légale pour les emails transactionnels.

Pour tous les autres usages (mesure de performance marketing, personnalisation, scoring), le consentement explicite du destinataire est nécessaire. Cela suppose une information claire, donnée au bon moment, et un mécanisme de retrait facilement accessible.

Vérifiez avec vos équipes marketing, data, CRM et juridique quelles finalités sont actuellement suivies et sur quelle base légale. Pour structurer cette démarche, consultez notre page sur l'accompagnement conformité RGPD.

RGPD emailing : ce qui nécessite une vigilance particulière

Tous les usages du suivi ne présentent pas le même niveau de risque. Les usages exemptés restent limités : sécurité, authentification de l'utilisateur, délivrabilité sous conditions strictes, et emails transactionnels permettant de prouver une obligation légale.

Tous les autres usages relèvent du consentement, notamment lorsque le pixel sert à mesurer l'engagement individuel, personnaliser le contenu, segmenter les bases ou enrichir un CRM à partir du comportement de lecture. Le responsable de traitement doit alors vérifier la base légale, documenter les finalités et conserver la preuve du choix.

Point d'attention opérationnel : ces nouvelles contraintes ne sont pas encore pleinement intégrées dans les outils d'emailing du marché. Par exemple, la version gratuite d'HubSpot ne permet pas de conditionner la collecte de données de suivi au consentement des destinataires. Dans ce cas, l'organisation doit traiter tous les contacts comme n'ayant pas consenti et renoncer au suivi individuel — ou migrer vers une configuration qui permet de le conditionner. Ce point doit être audité outil par outil.

Mesure des ouvertures, personnalisation, scoring : les usages les plus sensibles

La CNIL identifie plusieurs usages comme particulièrement sensibles dans le cadre des campagnes d'emailing :

• Mesure de performance individuelle : suivre qui ouvre, à quelle heure, sur quel appareil.
• Personnalisation du contenu basée sur le comportement : adapter les messages futurs en fonction des ouvertures ou des clics.
• Scoring et segmentation comportementale : attribuer un score d'engagement ou classer les contacts selon leur réactivité.
• Relances automatiques : déclencher des envois en fonction de l'absence d'ouverture ou de clic.
• Enrichissement CRM : alimenter les profils clients avec des données comportementales issues des emails.

La délivrabilité peut bénéficier d'une exemption limitée, uniquement pour identifier les destinataires inactifs dans un objectif de nettoyage de base — et à condition de ne conserver que la date de dernière ouverture à la journée. Le taux d'ouverture ne peut en aucun cas être utilisé pour du profiling ou de la personnalisation sans consentement explicite.

Prospection commerciale par mail : le B2B est-il concerné ?

La prospection commerciale en B2B peut être possible dans certains cadres sans consentement préalable pour l'envoi. L'intérêt légitime, le statut de client existant ou un mécanisme d'opt-out suffisent parfois à justifier la démarche. Mais cela ne signifie pas que tout suivi individuel post-réception est libre.

Le régime B2C reste soumis à l'opt-in préalable pour l'envoi lui-même — ce qui soulève une contrainte concrète : lorsqu'on adresse un email à une base froide, soit les contacts sont traités comme n'ayant pas consenti au suivi par pixel (et aucune donnée comportementale ne peut être collectée), soit un email de recueil de consentement doit être envoyé en amont ou en parallèle. Ces deux démarches sont distinctes et doivent être traitées séparément.

Envoyer un email et suivre son comportement : deux sujets différents

L'envoi de l'email et le suivi du comportement via pixel relèvent de deux actes juridiquement distincts.

L'envoi de l'email s'inscrit dans le cadre de la prospection commerciale, encadré par ePrivacy et la loi informatique et libertés. En B2B, il peut s'appuyer sur l'intérêt légitime lorsque l'objet de la sollicitation est en rapport avec la profession de la personne démarchée.

Le suivi du comportement via pixel relève du RGPD et nécessite une base légale distincte, même en B2B. Même si l'email est nominatif et adressé à un professionnel, le pixel de suivi collecte des données personnelles (adresse IP, appareil, heure d'ouverture, géolocalisation approximative) et nécessite un consentement spécifique dès lors qu'il sert à des finalités marketing : personnalisation, scoring, segmentation ou enrichissement CRM.

La recommandation CNIL du 12 mars 2026 précise que le consentement pour le pixel est indépendant du régime de l'email. Avoir le droit d'envoyer un email de prospection en B2B ne donne pas automatiquement le droit de suivre le comportement du destinataire.

Ces points doivent être vérifiés avec les équipes juridique, data et CRM, et ne constituent pas des conseils juridiques définitifs. Chaque organisation doit adapter son dispositif à son contexte et documenter ses bases légales.

Comment rendre une campagne d'emailing plus conforme au RGPD ?

La conformité ne consiste pas à tout arrêter, mais à vérifier plusieurs points structurants. La recommandation CNIL adoptée le 12 mars 2026 sert de référence principale. Chaque organisation doit adapter ces points à son contexte avec ses équipes data, CRM, marketing et juridique.

Le cadre est clair : distinguer ce qui relève du consentement obligatoire de ce qui peut bénéficier d'exemptions strictement encadrées. Les outils emailing courants (HubSpot, Brevo, Mailchimp, Salesforce Marketing Cloud) intègrent souvent des paramétrages par défaut qui ne correspondent pas nécessairement aux exigences CNIL. Il faut donc auditer les configurations actuelles et les ajuster — en vérifiant notamment si l'outil permet techniquement de conditionner le suivi au consentement.

Consentement, mentions RGPD, retrait et preuve des choix

Obtenir le consentement explicite et spécifique pour les finalités de suivi, pas seulement pour l'envoi. Le pixel d'ouverture et les liens trackés relèvent d'un traitement distinct de l'envoi lui-même. Informer clairement les destinataires des finalités dès le formulaire d'inscription : mesure de performance, personnalisation, scoring, segmentation doivent être mentionnés si ces usages sont prévus.

Prévoir un lien de désinscription fonctionnel dans chaque email, accompagné d'un mécanisme de retrait du consentement au suivi. Le retrait doit être aussi simple que l'expression initiale du consentement. Documenter les consentements de manière horodatée : une CMP seule ne suffit généralement pas pour lier le consentement pixel à l'identifiant email. Une PMP (Preference Management Platform) est recommandée pour tracer ce lien et permettre un retrait immédiat.

Le double opt-in reste une bonne pratique pour renforcer la preuve du consentement et réduire les inscriptions frauduleuses. Il ne remplace pas l'obligation d'informer sur les finalités du pixel, mais il facilite la traçabilité.

Revoir les mentions dans les politiques de confidentialité : elles doivent expliquer clairement quels pixels sont utilisés, pour quelles finalités, et comment exercer ses droits. Vérifier les paramétrages par défaut dans les outils emailing et CRM : désactiver les fonctionnalités de suivi pour les contacts qui n'ont pas consenti, ou qui relèvent d'exemptions strictement encadrées.

Pour approfondir les dispositifs de suivi conformes dans un cadre publicitaire plus large, consultez nos solutions de tracking publicitaire.

Quels indicateurs suivre quand le tracking individuel est conditionné au consentement ?

Le taux d'ouverture est déjà fragilisé depuis plusieurs années. Apple Mail Privacy Protection précharge automatiquement les pixels à la réception, rendant les mesures d'ouverture peu fiables pour une part significative des destinataires. La recommandation CNIL du 12 mars 2026 renforce cette tendance en conditionnant le suivi par pixel au consentement explicite.

Il est important de noter que le taux d'ouverture n'est pas le seul indicateur impacté — c'est même paradoxalement le seul qui, dans sa version agrégée et à des fins de délivrabilité uniquement, peut bénéficier d'une exemption. Les indicateurs qui nécessitent de croiser les données d'ouverture avec l'identité du destinataire (scoring, relances ciblées, segmentation comportementale) sont eux aussi soumis au consentement. C'est donc l'ensemble du pilotage individuel des campagnes qui doit être repensé.

Concrètement, pour les contacts sans consentement, il faut basculer vers des indicateurs qui mesurent l'engagement réel sans tracking individuel.

Indicateurs alternatifs à privilégier :

• Taux de clics : mesure le pourcentage de destinataires ayant cliqué sur au moins un lien.
• Taux de conversion : mesure le pourcentage de destinataires ayant effectué l'action attendue.
• Taux de réponse : mesure le nombre de réponses directes à vos emails.
• Engagement multi-canal : croise les interactions email avec les visites sur site, les achats, les interactions CRM — sur une base agrégée ou consentie.
• Délivrabilité : mesure le pourcentage d'emails effectivement délivrés (hors rebonds, hors spam).

Actions concrètes à engager :

• Auditer vos outils emailing (HubSpot, Brevo, Mailchimp, Salesforce Marketing Cloud) et valider si leur configuration permet de conditionner le suivi au consentement.
• Vérifier les finalités de chaque donnée collectée via pixels.
• Revoir vos mentions dans les formulaires et vos politiques de confidentialité.
• Documenter les consentements de manière horodatée. 
• Reconfigurer vos tableaux de bord pour réduire la dépendance aux KPI individuels non consentis.

Ces vérifications doivent impliquer vos équipes marketing, data, CRM et juridique pour garantir une mise en conformité cohérente avec vos pratiques opérationnelles et vos objectifs de relation client.

Besoin d'adapter votre stratégie emailing et vos solutions de tracking à la réglementation CNIL ?

Chez SYNERWEB, nous accompagnons les ETI et grands comptes dans l'évolution de leurs dispositifs de conformité RGPD, d'analytics et de pilotage de la performance marketing. Contactez nos équipes pour analyser votre écosystème et identifier les adaptations prioritaires.