Logo MDP Data Protection avec clé rouge sur fond transparent

Bureaux

425 rue Jean Rostand 31670 Labège

Nous écrire

ask@mdp-data.com

Nous appeler

+33 5 61 60 16 67

Le 14 juillet 2026, une échéance fixée par la CNIL arrive à son terme : les organisations qui utilisent des pixels de suivi dans leurs emails et qui n’ont pas encore informé les destinataires de leurs bases historiques doivent le faire avant cette date. Voici ce que prévoit exactement la recommandation CNIL et ce qu’il reste à vérifier avant l’échéance.

Une échéance issue de la recommandation CNIL du 14 avril 2026

Le 12 mars 2026, la CNIL a adopté sa recommandation relative aux pixels de suivi dans les courriers électroniques (délibération n° 2026-042), publiée le 14 avril 2026 à l’issue d’une consultation publique. Cette recommandation qualifie les pixels de suivi de traceurs au sens de l’article 82 de la loi Informatique et Libertés, et soumet en principe leur usage au consentement préalable du destinataire.

Pour tenir compte des réalités opérationnelles des entreprises, la CNIL a toutefois retenu une approche progressive plutôt qu’une application immédiate et intégrale.

Ce que prévoit concrètement l’échéance du 14 juillet 2026

Pour les adresses email collectées avant la publication de la recommandation (donc avant le 14 avril 2026), la CNIL n’exige pas un recueil de consentement rétroactif immédiat. Elle demande en revanche aux organisations, dans un délai de trois mois, d’informer clairement les destinataires de l’utilisation de pixels de suivi et de leur permettre de s’y opposer facilement s’ils le souhaitent.

Ce délai de trois mois expire le 14 juillet 2026. Passé cette date, la CNIL a indiqué qu’elle veillerait, dans le cadre de ses missions de contrôle, au respect effectif de cette obligation d’information.

Qui est responsable : l’expéditeur ou l’outil d’emailing ?

La question du rôle de chaque acteur se pose systématiquement. L’analyse se fait au cas par cas selon qui détermine les finalités du traitement :

  • Une plateforme d’emailing qui intègre des pixels pour le compte de ses clients, sans exploiter elle-même les données à d’autres fins, agit en principe comme sous-traitante.
  • Si cette même plateforme réutilise les données collectées via le pixel pour ses propres analyses ou finalités, elle co-détermine les finalités et devient responsable conjointe du traitement.

Dans tous les cas, l’expéditeur reste responsable de traitement pour l’envoi et le contenu de ses campagnes, y compris lorsque l’insertion technique du pixel est gérée par un prestataire tiers.

Ce qu’il reste à faire avant le 14 juillet

  • Vérifier le registre des traitements : les pixels de suivi doivent y être mentionnés s’ils sont utilisés, avec la base légale retenue.
  • Identifier les bases historiques concernées : tous les contacts (abonnés newsletter, clients actifs, prospects) inscrits avant le 14 avril 2026.
  • Diffuser une information claire : un email dédié ou un encart dans une communication existante, expliquant l’usage des pixels et le moyen de s’y opposer.
  • Mettre en place un moyen d’opposition simple : lien de désinscription ou centre de préférences permettant de retirer son accord facilement.
  • Documenter la démarche : conserver la preuve de l’envoi de cette information, utile en cas de contrôle CNIL ultérieur.

Deux webinaires CNIL déjà organisés sur le sujet

La CNIL a accompagné la publication de sa recommandation par deux webinaires. Le premier, à destination des DPO et professionnels de la conformité, s’est tenu le 28 mai 2026 ; sa rediffusion est disponible depuis le 15 juin 2026. Le second, le 4 juin 2026, était réservé aux prestataires techniques (plateformes d’emailing, outils de gestion de listes) sur les aspects d’implémentation.

FAQ – Échéance CNIL pixels de suivi

Que se passe-t-il si l’information n’est pas envoyée avant le 14 juillet 2026 ?

La CNIL a indiqué qu’elle contrôlerait le respect de cette obligation d’information après l’expiration du délai de trois mois. L’absence d’information des bases historiques expose l’organisation à une mise en demeure, voire à une sanction en cas de manquement caractérisé.

Cette échéance concerne-t-elle uniquement les nouvelles adresses collectées ?

Non, c’est l’inverse : l’échéance du 14 juillet 2026 concerne spécifiquement les adresses email collectées avant le 14 avril 2026, donc les bases historiques déjà constituées. Pour les nouvelles adresses collectées après cette date, les règles de consentement s’appliquent directement, sans délai de transition.

Un simple email d’information suffit-il, ou faut-il recueillir un consentement actif ?

Pour les bases historiques, la CNIL demande une information claire assortie d’une possibilité de s’y opposer facilement (opt-out), et non un recueil de consentement actif rétroactif. Le consentement actif reste en revanche la règle pour les nouvelles collectes après la publication de la recommandation.

 Qui est responsable si l’outil d’emailing utilisé n’a pas prévenu de l’usage de pixels ?

La responsabilité de l’information des destinataires incombe à l’expéditeur, c’est-à-dire à l’organisation qui décide de l’envoi des emails, même si l’intégration technique du pixel est assurée par un prestataire. Il est recommandé de vérifier contractuellement les obligations de chaque partie avec ses prestataires d’emailing.

 Où trouver la rediffusion du webinaire CNIL sur les pixels de suivi ?

La rediffusion du webinaire du 28 mai 2026 est disponible sur le site de la CNIL depuis le 15 juin 2026, dans la rubrique consacrée aux webinaires.

🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ? Consultez notre FAQ générale.

En résumé

L’échéance CNIL pixels de suivi arrive à son terme le 14 juillet 2026. Les organisations doivent, d’ici cette date, avoir informé les destinataires figurant dans leurs bases historiques de l’usage de pixels de suivi dans leurs emails. Cette obligation découle de la recommandation CNIL du 14 avril 2026, qui qualifie ces traceurs de dispositifs soumis à l’article 82 de la loi Informatique et Libertés. Passé le délai, la CNIL pourra contrôler le respect effectif de cette information. Un audit rapide du registre des traitements et des bases contacts permet de sécuriser cette échéance.

Sources


Pour aller plus loin


Les solutions MDP Data Protection

MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act...), avec une approche opérationnelle et évolutive.

  • SimplyRGPD : Pilotage de votre conformité au quotidien.
  • MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
  • MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.

Notre Méthode : le Continuous Compliance Operating System - CCOS

Et si votre conformité vivait en continu, au lieu d'être un livrable de plus ?


À propos de l’auteur

Christophe SAINT-PIERRE  – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.