Par HAAS Avocats
La CNIL publie un projet de recommandation concernant l'utilisation des pixels de suivi invisibles dans les courriels soumis à une consultation publique qui prendra fin le 24 juillet 2025.
Un pixel de suivi invisible inséré dans un courriel (aussi appelé web beacon, tracking pixel ou balise web) est un petit outil utilisé principalement dans le marketing par courriel pour suivre l’activité des destinataires.
Protection des données : les objectifs du projet et les exigences de la CNIL
Le projet met en lumière la croissance de ces outils et les problématiques de vie privée et vise à clarifier les obligations des acteurs de l'écosystème, notamment en matière de recueil et de gestion du consentement des destinataires.
La CNIL distingue alors les finalités nécessitant le consentement (mesure individuelle, personnalisation, profilage) de celles qui en sont exemptées (sécurité, statistiques globales anonymes).
En outre, elle détaille les modalités pratiques pour informer les utilisateurs et prouver la validité du consentement recueilli.
Cadre et acteurs des pixels de suivi dans les courriels
Face à un nombre croissant de signalements et de plaintes liés à l’utilisation de pixels de suivi invisibles insérés dans les courriels, la CNIL intervient pour préciser les obligations des différents acteurs :
Finalités et modalités de recueil du consentement
L'article 82 de la loi « informatique et libertés » exige le recueil préalable du consentement libre, spécifique, éclairé et univoque du destinataire pour l'insertion de pixels de suivi, sauf si ces opérations sont exclusivement destinées à permettre ou faciliter la communication électronique, ou sont strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur.
Certaines finalités sont exemptées de consentement :
- La mise en œuvre de mesures de sécurité de l'authentification de l'utilisateur.
- La mesure du taux global d'ouverture des courriels, à condition que les traceurs génèrent des statistiques anonymes et non individualisées.
Consentement numérique : les nouvelles règles de la CNIL en matière d’e-mailing et de traçage
Principes fondamentaux
Les finalités des traceurs doivent être présentées de manière intelligible, avec un intitulé court et un bref descriptif, avant d'offrir la possibilité de consentir ou de refuser[1].
Le destinataire doit comprendre la portée du consentement, notamment le canal (adresse courriel) et l'application sur tous les terminaux de consultation[2].
La sollicitation de consentement ne doit pas exercer de pression disproportionnée. L'inactivité du destinataire doit être analysée comme un refus. Il doit être aussi simple de refuser que d'accepter, et les choix doivent être enregistrés.
Le consentement doit être libre, ce qui implique une possibilité d'accepter ou de refuser finalité par finalité. Cependant, un consentement global est possible pour des finalités fortement connexes.
Quand recueillir le consentement ?
La CNIL recommande de recueillir le consentement au moment de la collecte de l'adresse électronique, en intégrant une information synthétique (mention de premier niveau) sur les finalités et un lien vers une politique plus détaillée (mention de second niveau).
Si le consentement ne peut être recueilli simultanément, la CNIL recommande d'envoyer un premier courriel exempt de tout dispositif de traçage soumis au consentement, contenant un lien vers une page web où la personne devra effectuer une action positive (clic sur un bouton) pour confirmer son choix. L'utilisation d'un lien traçant pour vérifier que le consentement est accordé par le titulaire de l'adresse est recommandé.
Quelle exemption de consentement ?
Les liens traceurs utilisés pour assurer la sécurité de l'utilisateur peuvent être exemptés de consentement s'ils protègent le destinataire contre les accès non authentifiés.
La publication du projet de recommandation de la CNIL sur les pixels de suivi invisibles dans les courriels marque une étape importante vers une meilleure transparence et une responsabilisation accrue des acteurs du marketing numérique.
En posant un cadre clair, notamment en matière de consentement, l’autorité souhaite concilier innovation technologique et respect des droits fondamentaux des utilisateurs.
Toutefois, ce projet soulève encore de nombreuses questions, notamment sur la capacité réelle des utilisateurs à exercer un contrôle éclairé sur leurs données, ou sur les mécanismes concrets de mise en conformité dans un écosystème souvent opaque et fragmenté. Reste à voir ce que donneront les résultats de la consultation publique. A suivre…
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Article 7 du RGPD
[2] Article 12 à 14 du RGPD
