● Journal du Net 📅 15/04/2026 à 16:25

Cybersécurité 👤 Luciana Uchôa-Lefebvre

🏷️ Tags : cert rte

Me Etienne Drouard, associé chez Hogan Lovells, conteste la légalité des recommandations publiées mardi 14 avril par la Cnil, qui peuvent selon lui faire l'objet d'un recours devant le Conseil d'Etat JDN. Dans ses recommandations publiées mardi 14 avril, la Cnil indique qu’un consentement préalable est nécessaire à l’envoi d’emails comportant des pixels de suivi, sauf certaines exemptions. Qui est concerné ? Me Etienne Drouard, associé chez Hogan Lovells. © Hogan Lovells Etienne Drouard. Toutes les entreprises se servant des pixels de suivi à de fins d’analyse individuelle, segmentée et personnalisée des taux d’ouverture, notamment à des fins marketing, sont tenues d’obtenir un consentement spécifique d’après ces recommandations. Aucun traitement individuel n’est donc considéré possible par la Cnil sans consentement. Ce dernier doit être distinct du consentement à recevoir des prospections commerciales. L’inscription volontaire aux newsletters ou aux communications d’une entreprise ne suffisent pas non plus pour la Cnil : un consentement spécifique au pixel dans le message est exigé. L’usage statistique des données pour le calcul d’un taux global de délivrabilité est exempt de consentement. En dehors du traitement agrégé et global, les seules exemptions à la collecte du consentement concernent les situations où l’information individuelle de réception et d’ouverture d’un courrier électronique est nécessaire pour des raisons d’obligations contractuelles, légales ou transactionnelles, comme l’information sur un risque de sécurité lié au compte ou la confirmation d’une commande. Dans ce cas, l’entreprise ne pourra rien faire du pixel à part constater la réception du message. Aucune autre déduction ne peut en être tirée. Pouvez-vous nous rappeler pourquoi annonceurs et éditeurs se servent des pixels de suivi ? Le pixel de suivi, invisible à l’œil nu, est associé à un lien hypertexte. Lorsque le destinataire charge le contenu d’un message, le pixel permet à l’émetteur de constater qu’il a été ouvert. Sans ce pixel, l’émetteur de l’email ne peut savoir si ce dernier a été réellement ouvert. Or, cette information permet aux éditeurs et annonceurs d’ajuster la manière dont ils communiquent avec leurs lecteurs et clients, selon qu’ils ouvrent ou non les messages qu’ils reçoivent. Cette information peut les aider à déterminer la fréquence des envois ou le contenu des messages ultérieurs. Concrètement que devront faire les éditeurs et les annonceurs et à partir de quand ? A partir de ce mercredi 15 avril, toute nouvelle adresse e-mail collectée ne pourra plus faire l’objet de l’envoi d’un message contenant un pixel si le consentement au pixel n’a pas été recueilli. Les entreprises sont donc tenues dès aujourd’hui de demander à tout nouveau lecteur ou client de consentir à la présence d’un pixel dans les messages qu’ils recevront. Pour les adresses email collectées avant le 14 avril, les entreprises auront jusqu’au 14 juillet pour expliquer aux personnes ce qu’est un pixel de suivi et leur permettre de s’y opposer. Pour les personnes que les entreprises n’auront pas réussi à avertir avant le 15 juillet, l’intégration d’un pixel sera soumise au consentement pour tout message ultérieur sauf si une exemption s’applique. En pratique, personne n’est prêt pour être conforme à une recommandation qui entre en vigueur au lendemain de sa publication… C’est dire la brutalité et la complexité de ces recommandations. En deux mots, les entreprises se voient du jour au lendemain privées d’indicateurs sur leurs envois d’email, car, en pratique, quel consommateur ou lecteur s’intéressera à cette histoire de pixels pour y consentir ? Que risqueraient les entreprises qui décidaient de ne pas déployer ces recommandations ? Ces recommandations créent une norme contraignante. La Cnil présente ces mesures comme étant obligatoires en vertu de règles existantes. Les entreprises non-conformes risquent des amendes allant jusqu’à 4% du chiffre d’affaires mondial consolidé. Est-il réaliste de contester ces recommandations et avec quelles probabilités de succès ? Pour élaborer ces recommandations, la Cnil s’est inspirée du régime applicable aux cookies. Or, un pixel ne peut ni techniquement, ni juridiquement, être assimilé à un cookie. Un pixel n’implique pas le dépôt et la lecture d’une information sur le terminal de l’utilisateur. En trois ans de discussions, la Cnil n’a jamais apporté la preuve du contraire. Ces recommandations peuvent faire l’objet d’un recours devant le Conseil d’Etat. Il appartient aux associations représentatives des éditeurs, annonceurs, e-commerce etc., et à leurs membres de déposer un recours avant le 15 juin s’ils souhaitent contester ces recommandations sans attendre une première sanction. Même en cas de succès, ces recommandations, qui ont un effet immédiat massif et néfaste, ne pourront être invalidées avant 18 à 35 mois. Les éditeurs peuvent se rapprocher de leurs organismes représentatifs pour obtenir des clarifications auprès de la Cnil. Par exemple, l’envoi de newsletters, auxquelles un lecteur s’est inscrit et qui est bien sollicité par ce dernier, devrait pouvoir bénéficier d’une exemption au consentement car il s’agit d’un véritable service souscrit par le destinataire. Les recommandations de la Cnil sur ce simple cas d’usage ne sont pas claires.

🔗 Lire l'article original 👁️ 0 lecture