Les pixels de suivi sont aujourd'hui intégrés dans la majorité des solutions d'e-mailing. Ils permettent notamment de mesurer les taux d'ouverture, d'analyser les performances des campagnes ou encore de personnaliser les communications.
Face au développement de ces pratiques, la CNIL a publié une recommandation précisant les conditions dans lesquelles ces dispositifs peuvent être utilisés au regard de l'article 82 de la loi Informatique et Libertés.
Si cette recommandation ne remet pas en cause l'utilisation des pixels de suivi, elle impose désormais aux organisations de qualifier précisément les finalités poursuivies avant de les mettre en œuvre.
Les pixels de suivi : de quoi parle-t-on ?
Un pixel de suivi est une image invisible hébergée sur un serveur distant et intégrée dans un courriel.
Lorsque le destinataire ouvre le message, son client de messagerie charge cette image, ce qui entraîne automatiquement l'envoi d'informations techniques au serveur hébergeant le pixel, telles que l'adresse IP, la date d'ouverture, le terminal utilisé ou encore un identifiant associé au courriel.
Ces informations permettent notamment de mesurer les ouvertures des campagnes, de réaliser des statistiques ou de déclencher des scénarios marketing automatisés.
Le responsable de traitement reste responsable
L'utilisation d'une plateforme d'e-mailing telle que Brevo, Mailchimp ou HubSpot ne transfère pas la responsabilité de la conformité au prestataire.
L'organisation qui décide d'utiliser des pixels de suivi demeure responsable de traitement. Elle détermine les finalités poursuivies et doit être en mesure de démontrer que leur utilisation respecte les exigences de la réglementation.
Avant toute mise en œuvre, il convient donc d'identifier précisément les données collectées, les finalités poursuivies et les acteurs intervenant dans le traitement.
Ce qui change : la finalité devient déterminante
Le principal apport de la recommandation est le suivant :
L'obligation de recueillir le consentement ne dépend pas de la présence d'un pixel de suivi mais de la finalité poursuivie.
Autrement dit, deux pixels techniquement identiques peuvent relever de régimes juridiques différents selon l'usage qui est fait des données collectées.
Dans quels cas le consentement est-il nécessaire ?
La recommandation de la CNIL introduit une approche fondée sur les finalités du traitement : un même pixel de suivi peut être soumis à des obligations différentes selon l'usage qui est fait des données collectées. Le consentement devra notamment être recueilli lorsque les données issues du pixel sont utilisées pour :
mesurer ou optimiser les performances des campagnes d'e-mailing ;
personnaliser les communications ;
adapter la fréquence des envois ;
enrichir un profil marketing ;
cibler les destinataires sur d'autres canaux de communication ;
détecter certains comportements lorsque cette finalité dépasse ce qui est strictement nécessaire à la protection du destinataire.
D'une manière générale, dès lors que les informations d'ouverture sont utilisées à des fins marketing ou comportementales, le consentement est requis.
Les deux cas d'exemption prévus par la CNIL
La recommandation prévoit deux situations dans lesquelles les pixels peuvent être utilisés sans recueillir le consentement du destinataire.
1. La sécurisation de l'authentification
Les pixels peuvent être utilisés lorsqu'ils participent exclusivement à la sécurisation d'un mécanisme d'authentification, par exemple pour vérifier qu'un courriel contenant un code de connexion est ouvert sur le terminal habituellement utilisé par son destinataire.
Cette exemption ne s'applique toutefois que lorsque la finalité est de protéger l'utilisateur lui-même. Si le dispositif vise principalement à protéger les intérêts de l'organisation, le consentement redevient nécessaire.
2. La gestion de la délivrabilité
Les pixels peuvent également être utilisés afin d'identifier les destinataires durablement inactifs, adapter la fréquence des envois ou nettoyer une liste de diffusion.
Dans ce cas, les données doivent être limitées au strict nécessaire. La CNIL recommande notamment de ne conserver que la date de la dernière ouverture connue du courriel.
Les informations collectées peuvent également être utilisées pour adapter le canal de communication ou démontrer le respect d'une obligation légale d'information.
En revanche, elles ne peuvent pas être réutilisées pour mesurer les performances marketing, segmenter les destinataires ou personnaliser les campagnes. Une telle réutilisation ferait perdre le bénéfice de l'exemption.
Comment recueillir le consentement ?
Lorsque le consentement est requis, la CNIL recommande de le recueillir dès la collecte de l'adresse électronique.
La personne concernée doit être clairement informée :
que des pixels de suivi pourront être intégrés dans les courriels ;
des finalités poursuivies ;
de l'adresse électronique concernée ;
du fait que ces pixels pourront être chargés sur l'ensemble des terminaux utilisés pour consulter cette messagerie.
Lorsque le consentement ne peut pas être recueilli au moment de la collecte, il convient d'adresser un premier courriel ne contenant aucun pixel soumis au consentement afin de permettre à la personne d'exprimer son choix.
Qu'en est-il des bases de contacts existantes ?
Pour les adresses électroniques collectées avant la publication de la recommandation, la CNIL prévoit un régime transitoire. Les personnes concernées doivent être informées de l'utilisation des pixels de suivi et disposer d'un mécanisme simple leur permettant de s'y opposer.
Cette information peut être intégrée dans un encart visible des courriels habituels ou faire l'objet d'une campagne spécifique.
Les points de vigilance
La plupart des éditeurs de solutions d'e-mailing sont actuellement en train de mettre leurs plateformes en conformité avec la recommandation de la CNIL. Il convient toutefois de rester vigilant. Certaines solutions mettent en avant l'anonymisation des données collectées comme une alternative au consentement.
Or la recommandation est explicite : le régime applicable dépend de la finalité poursuivie et non de l'identification du destinataire. Une anonymisation des données ne dispense donc pas, à elle seule, de recueillir le consentement lorsque les pixels sont utilisés à des fins marketing.
Les actions à engager
Les organisations utilisant des campagnes d'e-mailing ont intérêt à :
identifier les campagnes utilisant des pixels de suivi ;
qualifier les finalités poursuivies pour chacune d'elles ;
mettre à jour les formulaires de collecte lorsque le consentement est requis ;
vérifier les fonctionnalités proposées par leur solution d'e-mailing ;
organiser la gestion des oppositions et du consentement ;
mettre à jour leur documentation RGPD (registre, mentions d'information, procédures internes).
Au-delà d'un simple changement de paramétrage, cette recommandation conduit les organisations à revoir leur gouvernance des campagnes d'e-mailing afin de garantir que chaque utilisation des pixels de suivi repose sur un fondement juridique adapté.
