Pendant des années, l’open rate a été l’un des indicateurs les plus simples, les plus commentés et les plus utilisés par les équipes CRM. Ouvrir un email, ne pas l’ouvrir, le rouvrir plus tard, y répondre après relance : tout un pilotage marketing s’est construit sur cette donnée. Avec la publication, le 14 avril 2026, de la version finale des recommandations de la CNIL sur les pixels de suivi dans les courriels, ce réflexe entre dans une nouvelle phase. Le sujet n’est plus seulement technique, il devient juridique, opérationnel et commercial.

SOMMAIRE

Le vrai changement est là : la CNIL ne parle pas seulement de protection de la vie privée, elle redessine la manière dont les marques pourront continuer à mesurer, segmenter et optimiser leurs campagnes email. Et pour les e-commerçants, le risque est immédiat. Si l’open tracking devient plus difficile à exploiter ou plus complexe à justifier, c’est toute une partie de la mécanique CRM, nettoyage de base, relances, personnalisation, arbitrage des canaux, qui doit être revue.

Le pixel email n’est plus une simple métrique, c’est un traceur encadré

La CNIL rappelle qu’un pixel de suivi dans un email est généralement une image minuscule, hébergée à distance, dont le chargement permet de savoir si un courriel a été ouvert par un destinataire déterminé. Cette opération transmet au serveur des informations comme l’identifiant du pixel ou l’adresse IP et constitue, juridiquement, une opération de lecture sur le terminal de l’utilisateur. Résultat : les pixels de suivi dans les courriels relèvent bien de l’article 82 de la loi Informatique et Libertés, qui transpose l’article 5(3) de la directive ePrivacy.

Pour les professionnels de l’emailing, cette précision change beaucoup de choses. Jusqu’ici, l’open rate était souvent considéré comme une mesure technique quasi native de l’envoi. Désormais, la logique est inversée : il faut d’abord qualifier précisément l’usage du pixel avant de pouvoir l’utiliser. Mesurer une ouverture n’est plus un automatisme admis par défaut. C’est un traitement qui doit être rattaché à une finalité déterminée, avec ou sans consentement selon les cas.

La CNIL distingue les usages marketing des usages strictement nécessaires

C’est le cœur opérationnel de la recommandation. La CNIL considère que le consentement préalable est nécessaire lorsque le pixel sert à analyser le taux d’ouverture pour mesurer et optimiser les performances des campagnes, personnaliser le contenu, ajuster la fréquence d’envoi ou arbitrer entre email, SMS et push. Il est aussi requis lorsque les données d’ouverture servent à créer des profils et à cibler la personne sur d’autres environnements, ou encore à certaines finalités de détection de fraude.

En revanche, deux grandes familles d’usages peuvent être exemptées, à condition de rester dans un cadre très étroit : certaines mesures de sécurité participant à l’authentification de l’utilisateur, et la mesure individuelle du taux d’ouverture à des fins de délivrabilité, lorsqu’elle est strictement limitée à la gestion de la liste de diffusion et rattachée à un service demandé par le destinataire. La CNIL admet ainsi que l’on puisse repérer des destinataires devenus inactifs pour adapter la fréquence ou cesser les envois, mais elle encadre très fortement la donnée conservée. En principe, seule la date de la dernière ouverture connue, au jour près et sans l’heure, devrait être retenue.

L’email transactionnel n’est pas un angle mort réglementaire

Beaucoup ont longtemps considéré que les emails transactionnels, confirmations de commande, factures, notifications d’expédition, réinitialisation de mot de passe, rappels, échappaient de fait aux contraintes qui pèsent sur les emails marketing. La CNIL dit autre chose. Ces courriels peuvent bien relever d’un service demandé par le destinataire, mais cela ne rend pas automatiquement tous les pixels qu’ils contiennent licites sans consentement. L’exemption vaut pour certains usages strictement nécessaires, pas pour la personnalisation marketing ou le scoring comportemental.

Autrement dit, une confirmation de commande peut être légitime comme message, tout en embarquant un pixel dont l’usage nécessiterait un consentement si ce pixel sert à autre chose qu’à une finalité strictement nécessaire, comme certaines logiques de délivrabilité. C’est ici que la recommandation devient un vrai sujet business. Car une grande partie du CRM e-commerce s’appuie justement sur les emails les plus ouverts et les plus attendus pour mesurer l’engagement réel des clients. Si ces emails deviennent juridiquement plus sensibles en matière de tracking, alors l’open rate cesse d’être une donnée “gratuite”.

L’impact commercial est plus profond qu’il n’y paraît : si l’open rate bouge, la segmentation bouge aussi

Derrière le débat juridique, c’est un modèle de pilotage CRM qui est touché. Dans beaucoup d’organisations, l’ouverture d’email est utilisée pour réengager un client, exclure les inactifs, personnaliser la pression commerciale, faire remonter certains segments dans les scénarios automatisés ou déplacer un contact vers un autre canal. Si l’on ne peut plus utiliser certaines ouvertures de la même manière, ou si leur collecte devient dépendante d’un consentement plus strict, la segmentation marketing perd une partie de son carburant.

Demain, les clics, les visites authentifiées, les achats, les réponses au service client, les préférences déclaratives ou les événements transactionnels propres pourraient reprendre davantage de poids. Pour les équipes CRM, cela signifie une transition : passer d’un pilotage encore très dépendant de l’ouverture à un pilotage plus robuste, plus first-party, et moins exposé aux zones grises du tracking. C’est aussi un enjeu de coût. Repenser les scénarios, les CMP, les formulaires de collecte et les contrats avec les ESP représente un chantier concret, pas une simple mise à jour de politique de confidentialité.

L’annonce de la CNIL doit être lue à la lumière des sanctions récentes

Pour les acteurs du e-commerce, la recommandation serait déjà importante en elle-même. Mais elle prend une toute autre dimension quand on la replace dans la séquence répressive récente de la CNIL. Le 10 décembre 2024, l’autorité a annoncé une amende de 50 millions d’euros contre Orange, notamment pour avoir affiché des publicités entre les courriels des utilisateurs de sa messagerie sans leur consentement.

Quelques mois plus tard, le 1er septembre 2025, la CNIL a infligé 150 millions d’euros d’amende à la filiale irlandaise de SHEIN pour non-respect des règles applicables aux cookies déposés sur le site shein.com, notamment parce que certains traceurs étaient déposés avant consentement et que les choix des utilisateurs n’étaient pas correctement respectés.

Ces montants changent la perception du sujet. On ne parle plus d’une simple recommandation que les acteurs pourraient traiter comme un avis de bonne pratique. On parle d’un régulateur qui a déjà démontré sa volonté de sanctionner lourdement les usages de traçage lorsqu’ils sont mal encadrés. La conformité sur le tracking n’est plus un sujet “back office”, c’est un sujet de gouvernance du revenu.

Vous ne pouvez plus vous cacher derrière votre solution d’emailing

La recommandation clarifie le rôle des acteurs. L’expéditeur du courriel, c’est-à-dire l’entreprise ou l’organisme qui décide l’envoi, est en principe responsable du traitement, même s’il délègue l’envoi à un prestataire d’emailing. Le fournisseur d’envoi agit généralement comme sous-traitant, mais il peut devenir co-responsable s’il utilise les données à ses propres fins. Idem pour un fournisseur de technologie de tracking. Cette clarification a une portée très concrète : on ne peut pas se réfugier derrière les réglages par défaut de son ESP ou derrière une clause contractuelle trop vague.

La CNIL rappelle aussi que la preuve du consentement doit être individualisée et que le retrait doit être aussi simple que l’acceptation, idéalement via un lien présent dans le pied de page des emails concernés. Pour les bases déjà collectées, l’autorité prévoit une période transitoire de 3 mois, en principe, pour informer clairement les destinataires et leur permettre de s’opposer facilement aux futures opérations si un consentement conforme n’avait pas été recueilli. Ce délai est court, surtout pour les gros dispositifs CRM.

Mon Analyse : la CNIL ne tue pas l’emailing, elle tue la facilité

Le risque de mauvaise lecture serait de conclure que la CNIL “attaque l’email marketing”. Ce n’est pas ce qu’elle fait. En réalité, elle met fin à une habitude : celle de considérer que l’ouverture d’un email est une donnée exploitable par défaut, quel que soit le contexte. La recommandation oblige les marques à distinguer beaucoup plus finement les usages techniques, les usages strictement nécessaires et les usages marketing. Et c’est cette finesse qui va faire mal à court terme, car elle suppose des arbitrages opérationnels, techniques et commerciaux.

Pour les e-commerçants, la bonne question n’est donc plus “peut-on encore mesurer l’ouverture ?”. La vraie question est : sur quelles finalités, dans quels emails, avec quel consentement, et pour quels usages downstream ? Ceux qui répondront vite à cette question pourront reconstruire une stratégie CRM plus robuste. Les autres continueront de piloter avec des signaux juridiquement fragiles, au moment même où le régulateur hausse le ton sur l’ensemble du traçage numérique.