Pixels de suivi : les 12 questions-réponses pour se rendre conforme
Procédure opérationnelle CNIL – intégrée au référentiel GRCA100 (Marketing, DPO, RSSI, COMEX)
Objectif
Garantir la conformité CNIL pour tout usage de pixels de suivi dans les emails : consentement, exemptions, retrait, preuves et gouvernance interne.
1. Qui est concerné ?
Toute organisation utilisant des pixels permettant d’identifier individuellement l’ouverture ou l’interaction d’un email (marketing, CRM, délivrabilité, personnalisation).
2. L’opt-in newsletter suffit-il ?
Non. Le consentement doit être spécifique au pixel, distinct de la prospection commerciale.
3. Le B2B est-il concerné ?
Oui. Même si l’email B2B peut être envoyé sans opt-in, le pixel nécessite un consentement explicite.
4. Est-ce obligatoire ?
Oui. Les pixels de suivi individuels sont soumis au consentement. Des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires mondial sont possibles en cas de non-conformité.
5. Cas où le consentement n’est pas requis
- Statistiques globales non individualisées (taux d’ouverture global, pas par personne).
- Obligations légales ou contractuelles (confirmation de commande, sécurité).
- Aucune autre analyse ou profilage ne doit être réalisé à partir de ces données.
6. À partir de quand appliquer ?
- Nouvelles adresses (post 15 avril 2026) : consentement immédiat.
- Anciennes adresses : information + possibilité d’opposition avant le 14 juillet 2026.
7. Que faire si la personne ne répond pas ?
Recommandation prudente : conserver la preuve d’information et, si nécessaire, envoyer un email dédié (sans pixel) demandant une action explicite (acceptation ou refus).
8. Peut-on collecter le consentement dans une newsletter ?
Oui, à condition que l’email ne contienne aucun pixel soumis à consentement, que l’information soit claire et que le refus soit aussi simple que l’acceptation.
9. Comment obtenir le consentement ?
- Case dédiée dans un formulaire d’inscription.
- Lien d’acceptation explicite dans un email sans traceur.
- Plateforme de gestion du consentement (PGC) dédiée aux pixels.
10. Comment permettre le retrait ?
- Lien de retrait personnalisé dans chaque email.
- Retrait immédiat sans authentification complexe.
- Neutralisation des pixels déjà envoyés (côté serveur).
- Suppression des données collectées chez les prestataires.
11. Durée de validité du consentement
Aucune durée légale imposée. Bonne pratique : renouvellement périodique, en cohérence avec les lignes directrices « cookies » (2020), et documentation de la durée retenue.
12. Durée de conservation de la preuve
Recommandation : 5 ans (prescription civile). Possibilité d’aligner sur la durée de conservation des données de prospection (3 ans après le dernier contact).
Checklist opérationnelle GRCA100
A. Cartographie des pixels
- Inventorier tous les pixels utilisés (internes et sous-traitants).
- Documenter les finalités et distinguer : exemptés / soumis à consentement.
- Intégrer la cartographie au registre RGPD.
B. Contrats & sous-traitants
- Mettre à jour les clauses de coresponsabilité / sous-traitance (RGPD).
- Exiger la remontée de la preuve de consentement.
- Prévoir des audits réguliers dans les contrats.
C. Collecte du consentement
- Ajouter une case dédiée « pixels de suivi » dans les formulaires.
- Informer les contacts existants et proposer un choix clair.
- Utiliser un email sans traceur pour obtenir une action explicite.
D. Retrait du consentement
- Inclure un lien de retrait dans chaque email.
- Mettre en place une page de retrait simple, sans compte.
- Neutraliser les pixels et supprimer les données associées.
E. Conservation & preuves
- Conserver la preuve individualisée du consentement.
- Documenter la durée de conservation (5 ans recommandé).
- Journaliser les retraits et archiver de manière sécurisée.