Aller au contenu
Guides d'utilisation
Conformité RGPD - pixels de suivi
Guide de mise en conformité

Guide de mise en conformité : pixels de suivi

Ce guide s’adresse à tous les clients Ediware qui envoient des campagnes courriel avec mesure d’ouverture. Il décrit ce que la plateforme gère automatiquement pour vous, les actions qui restent à votre charge et l’impact concret sur vos statistiques.

Ce que dit la CNIL : l’essentiel en trois points

La CNIL a publié le 12 mars 2026 une recommandation sur les pixels de suivi dans les courriels. Un pixel de suivi, c’est l’image invisible chargée au moment de l’ouverture d’un courriel. Elle permet de mesurer les ouvertures, de les horodater et de localiser approximativement le destinataire. Ce mécanisme entre dans le champ de l’article 82 de la loi Informatique et Libertés (directive ePrivacy).

Ce qui change : la mesure individuelle de performance (ouvreurs identifiés, heure d’ouverture, appareil utilisé) nécessite désormais un consentement explicite du destinataire.

Ce qui ne change pas : vous continuez à envoyer vos campagnes normalement. L’envoi du courriel lui-même n’est pas affecté, et le taux d’ouverture global de vos campagnes reste pleinement disponible.

Le point B2B à retenir : l’exception de prospection B2B (article L.34-5 du CPCE) ne dispense pas du consentement au pixel. Ce sont deux régimes juridiques distincts. Vous pouvez continuer à prospecter sans consentement préalable à l’envoi, mais la mesure fine des ouvertures, qui identifie le destinataire, réclame un consentement séparé.

Ce que la plateforme fait pour vous, sans configuration de votre part

La bifurcation automatique à chaque ouverture

Quand un destinataire ouvre un de vos courriels, la plateforme consulte instantanément son statut dans votre registre de consentements et bifurque l’enregistrement.

  • granted, consentement accordé : la mesure complète est enregistrée. Heure précise, adresse IP, client de messagerie, identifiant du destinataire. Toutes les statistiques nominatives restent disponibles.
  • Tout autre statut : seule la date du jour est enregistrée, sans aucune donnée identificatrice. Le taux d’ouverture global de la campagne est maintenu. L’anonymisation est effective dès l’écriture, pas par un nettoyage différé.

Les statuts non-consentants sont les suivants :

Statut Signification Comment il est attribué
refused Refus explicite de la mesure Clic sur « Refuser » sur la page de consentement, ou import CSV
withdrawn Retrait d’un consentement antérieur Clic sur le lien en pied de courriel, ou import CSV
unknown Aucune décision exprimée Statut par défaut d’un enregistrement sans décision. C’est notamment le statut posé par « Importer depuis une campagne » pour les contacts informés (§7, informed_at renseigné) qui n’ont ni accordé ni refusé : le silence n’est pas un refus dans ce régime
(absent) Non présent dans le registre Traité comme non-consentant, mesure agrégée uniquement

La détection et le filtrage des robots

Les ouvertures générées automatiquement par les antivirus, les clients de messagerie à pré-chargement et les scanners de sécurité sont détectées en temps réel et taguées comme robots. L’option de filtrage des robots dans vos statistiques de campagne fonctionne donc normalement, y compris pour les destinataires non-consentants. Pour ces derniers, la détection s’effectue sans enregistrement de données personnelles (IP, client de messagerie, identifiant), conformément à la recommandation CNIL : seul le tag robot est posé au moment de l’ouverture, avant anonymisation.

Le lien de retrait dans chaque courriel

Conformément au §5 de la recommandation, chaque courriel intègre automatiquement un lien de gestion du consentement en pied de page, distinct du lien de désabonnement. Ce lien mène à une page dédiée où le destinataire confirme explicitement son retrait par un bouton. Cette confirmation protège contre les retraits involontaires déclenchés par les pré-fetchers et les antivirus. L’effet est immédiat, y compris sur les courriels déjà envoyés : toute ouverture ultérieure de ce destinataire bascule en mesure agrégée.

Ce lien peut être désactivé campagne par campagne dans le portlet Suivi & consentement des paramètres de la campagne.

Un registre des consentements isolé par compte

Chaque compte dispose d’un registre physiquement distinct. Un consentement donné à un autre expéditeur n’a aucune valeur dans votre compte, même pour la même adresse. À l’inverse, un consentement recueilli dans votre compte est valable pour toutes vos listes et toutes vos campagnes : le destinataire n’a pas à re-consentir à chaque envoi.

Vos trois actions, pas à pas

Trois actions restent à votre charge. Elles sont présentées par ordre de priorité.

Action 1 : alimenter votre registre de consentements

Le registre est la pièce centrale de votre conformité. Il recense les statuts de consentement de chacun de vos destinataires et conserve les preuves associées.

Accès : menu Gestion du compteConsentements pixel.

Trois modes d’alimentation sont proposés.

L’import CSV, pour vos bases existantes

Si vous avez déjà recueilli des consentements par vos propres moyens (formulaire web, CRM, événement, accord documenté), importez-les en masse.

Format du fichier CSV :

Colonne Obligatoire Valeurs acceptées
email Oui Adresse courriel valide
consent_pixel Oui granted : consentement accordé
refused : refus explicite
withdrawn : retrait d’un consentement antérieur
consent_date Non Date ISO 8601 (2026-04-15), date à laquelle le consentement a été recueilli
informed_at Non Date ISO 8601, date à laquelle vous avez informé ce contact (§7) si la démarche a été faite hors plateforme

La procédure tient en trois étapes :

  1. Préparez votre fichier CSV. Le séparateur (;, ,, tabulation ou |) est détecté automatiquement.
  2. Dans Consentements pixel, cliquez sur Importer un CSV.
  3. Sélectionnez votre fichier et confirmez. La plateforme indique le nombre de contacts importés, mis à jour et ignorés.

Un import ultérieur sur un courriel déjà présent met à jour le statut existant, sans créer de doublon.

Le lien traçant de recueil, pour vos campagnes d’information

Le pied de chaque courriel porte le lien de gestion du consentement (le retrait, voir plus haut). Pour le recueil, le lien peut être placé n’importe où dans le corps du message via la variable %consentement_pixel% (disponible prochainement). C’est utile notamment pour les campagnes d’information §7 où vous souhaitez le mettre en avant. Quand le destinataire clique et confirme sur la page dédiée, son consentement (granted) est enregistré automatiquement, avec horodatage et preuve.

L’API /consents, pour les intégrations CRM

L’API publique /consents (disponible prochainement) vous permettra de pousser des consentements en temps réel depuis votre CRM ou tout outil externe. La documentation sera publiée dans l’espace développeurs à son ouverture.

Vous pouvez à tout moment exporter votre registre au format CSV depuis Consentements pixelExporter CSV (statut, source, date, informed_at, date de dernière mise à jour).

Action 2 : désactiver le pixel pour certaines campagnes

Pour certaines campagnes, vous pouvez souhaiter désactiver entièrement le pixel, indépendamment de votre registre de consentements. L’option se trouve dans la fiche campagne, portlet Suivi & consentementDésactiver le pixel de suivi pour cette campagne. La procédure détaillée est décrite dans Désactiver le pixel de suivi pour une campagne.

Les cas d’usage typiques :

  • Campagne de recueil de consentement au pixel : il serait circulaire d’insérer un pixel de mesure dans un courriel qui demande précisément l’accord pour ce pixel.
  • Courriel transactionnel ou de service : confirmation de commande, notification, réinitialisation de mot de passe.
  • Envoi sur fichier B2B cold pour lequel vous avez décidé de rester en mesure agrégée brute : l’option formalise ce choix au niveau de la campagne.

Quand l’option est activée, aucun pixel n’est inséré dans le courriel. L’option est verrouillée une fois la campagne envoyée.

Action 3 : informer vos contacts collectés avant le 12 mars 2026

La recommandation prévoit au §7 une période transitoire pour les adresses collectées avant le 12 mars 2026 : leurs titulaires devaient être informés de l’usage du pixel et mis en capacité de s’opposer. Si vous n’avez pas encore effectué cette démarche, il est recommandé de la mener sans délai. La CNIL apprécie la démarche volontaire documentée.

À qui ce régime s’applique-t-il ?

La recommandation est rédigée pour les cas où un consentement a été recueilli, mais sans toutes les modalités qu’elle introduit. Son champ d’application exact selon le type de base reste une question d’interprétation juridique. Le tableau ci-dessous reflète une lecture pratique courante, à faire valider par votre DPO ou votre conseil juridique selon votre situation.

Type de base Lecture pratique
Opt-in B2C antérieur (même imparfait) Semble entrer dans le champ du §7
B2B avec relation établie (clients, prospects ayant interagi, contacts collectés en événement) Peut être couvert, à documenter et faire valider
B2B cold pur (listes acquises ou scrapées, jamais activées) Incertain. Une position prudente (mesure agrégée brute) est souvent retenue
Contacts achetés auprès d’un tiers Le §7 exclut explicitement les transmissions entre responsables de traitement
Cette grille de lecture ne constitue pas un avis juridique. La qualification de vos bases dépend de votre situation spécifique : consultez votre DPO.

La plateforme est conservatrice par défaut : tous les contacts sans statut explicite restent en mesure agrégée brute. Vous décidez contact par contact via le module de gestion du consentement, sous votre responsabilité de responsable de traitement.

La procédure en deux étapes

Étape 1 : envoyer l’information via une campagne classique sur la ou les listes concernées.

  1. Créez une campagne dédiée à l’information §7, avec le pixel désactivé. Envoyer un pixel de mesure dans un courriel qui demande l’accord pour ce même pixel serait contradictoire.
  2. Rédigez votre message d’information et insérez le lien de recueil de consentement via la variable %consentement_pixel% (disponible prochainement) pour le mettre en avant dans le corps du message.
  3. Envoyez la campagne sur la liste concernée.

L’absence de réponse n’est pas un refus dans ce régime. Les destinataires qui cliquent sur « Refuser » ou retirent leur consentement sont enregistrés automatiquement en withdrawn.

Étape 2 : enregistrer l’information dans le registre, depuis le module Consentements pixel.

  • Voie simplifiée (à venir) : une fonction « Importer depuis une campagne » vous permettra de sélectionner directement la campagne envoyée à l’étape 1. Tous ses destinataires seront automatiquement enregistrés avec informed_at daté de l’envoi. Vous choisissez le statut par défaut : unknown (position prudente, les contacts restent en mesure agrégée brute) ou granted (vous activez le régime §7 opt-out, la mesure individuelle s’applique en l’absence d’opposition). Cette fonction est en cours de développement.
  • En attendant : si vous activez l’opt-out §7 (statut granted), exportez la liste des destinataires de votre campagne et importez-la via Importer un CSV (action 1) en renseignant consent_pixel à granted et informed_at avec la date d’envoi. Excluez de votre fichier les contacts ayant refusé ou retiré leur consentement, car l’import CSV applique le statut de votre fichier tel quel. Si vous retenez la position prudente, aucun import n’est nécessaire : vos contacts restent en mesure agrégée brute par défaut. Conservez simplement la preuve d’envoi de la campagne d’information en vue de la fonction « Importer depuis une campagne ».

Les contacts ayant exercé leur opposition (statut withdrawn) sont déjà enregistrés. La fonction « Importer depuis une campagne » ne les écrasera jamais.

Si vous restez en position prudente sur le B2B cold pur, aucune action n’est requise : ces contacts sont déjà en mesure agrégée brute par défaut.

L’impact sur vos statistiques

Ce qui reste inchangé

Indicateur Disponibilité
Nombre d’envois Inchangé
Taux d’ouverture brut Inchangé, c’est votre KPI principal
Taux de NPAI et de désabonnement Inchangé
Taux de clic Inchangé (le tracking des clics n’est pas concerné par la recommandation)
Segmentation actif / inactif (nettoyage de base, adaptation de fréquence) Inchangé (finalité délivrabilité §3.2)

Ce qui est restreint aux consentants

Indicateur Restriction
Ouvreurs uniques identifiés Consentants uniquement
Courbe horaire d’ouverture Consentants uniquement
Répartition client de messagerie / appareil Consentants uniquement
Liste nominative des ouvreurs Consentants uniquement
Module de relance par engagement (ouvreurs / non-ouvreurs) Consentants uniquement

Le module de relance par engagement repose sur l’identification individuelle des ouvreurs (mesure de performance §3.1) : il n’est disponible que pour les contacts consentants. La segmentation actif / inactif pour le nettoyage de base reste, elle, disponible sur tous vos contacts (finalité délivrabilité §3.2, exemptée).

Ce guide a une visée pédagogique et opérationnelle. Il ne constitue pas un avis juridique.

Documentation pour votre DPO
Qualification juridique des parties, mentions à ajouter à votre politique de confidentialité, preuves mobilisables en cas de contrôle CNIL.
Checklist de mise en conformité
Suivez votre avancement : les obligations qui vous incombent, les actions recommandées et ce que la plateforme gère déjà pour vous.
Questions fréquentes sur la conformité pixels
Prospection B2B, tracking des clics, retrait du consentement, régime transitoire §7, preuves en cas de contrôle : les réponses aux questions les plus posées.
Dernière modification