Prospection commerciale : quelles règles selon la CNIL pour les pixels de suivi ?

Les pixels de suivi dans les emails ont fait moins parler que les cookies en leur temps, mais ils ont des vertus qui permettent tout aussi bien au responsable de traitement qui les utilise de connaître l’efficacité de la campagne promotionnelle dont il est à l’origine.

Soucieuse des progrès opérés en la matière et des informations collectées sur les personnes concernées, la CNIL vient de franchir une étape en publiant une recommandation sur les pixels de suivi dans les courriers électroniques. Ce texte s'appuie sur l'article 82 de la loi Informatique et Libertés (LIL) pour clarifier les règles du jeu.

Le fonctionnement du pixel de suivi repose sur une mécanique simple, mais dont les vertus d'information sont particulièrement puissantes. Il s'agit d'une image minuscule et invisible qui, lors de l'ouverture du message par un client de messagerie tel qu’Outlook ou Gmail, effectue une requête automatique vers un serveur tiers.

C'est cette requête qui, sans aucune volonté du destinataire, transmet une série d'informations : l'heure de l'ouverture, l’adresse IP ou encore les caractéristiques du terminal utilisé (le type de téléphone ou d’ordinateur utilisé).

Le pixel a donc les mêmes vertus d'information et de conservation que les cookies. Tout comme les cookies, le pixel de suivi est un traceur qui permet de mesurer les taux d'ouverture, d'adapter les campagnes et de construire des profils comportementaux exploitables sur d'autres canaux.

Ces opérations de lecture ou d'écriture sont strictement conditionnées au recueil préalable du consentement de l'utilisateur. Ce dernier, dûment informé, peut manifester son accord par une configuration spécifique de son terminal ou de tout autre dispositif de connexion placé sous son contrôle.

Il est important de préciser que cette recommandation, ainsi que les exemples pratiques qu'elle propose, se veut, comme ses recommandations d’ordre général, le moyen d’y voir plus clair sur des dispositions spécifiques qui ne trouvent pas une réponse claire par la seule lecture des dispositions légales censées les couvrir. Le but de cette recommandation est donc d'accompagner les professionnels dans leur mise en conformité.

La question de la responsabilité est centrale et repose principalement sur l’expéditeur du courriel.

La CNIL, s’appuyant sur les jurisprudences du Conseil d’État comme l'affaire Éditions Croque Futur (CE, 6 juin 2018, n° 412589) et sur l'arrêt Fashion ID de la Cour de justice de l'Union européenne (CJUE, 29 juillet 2019, aff. C-40/17), établit que l’expéditeur est le responsable de traitement.

Cette responsabilité est totale, et elle englobe également les pixels déposés par des tiers au sein des messages envoyés. Cela signifie que si vous lancez une campagne de mails, vous êtes responsable (en tant qu’annonceur) des pixels de suivi qui s'y trouvent, même s'ils ont été déposés par des partenaires ou des prestataires techniques tiers.

La CNIL recommande de demander l'accord de l'utilisateur de préférence au moment où il donne son adresse email, via le formulaire de collecte d’adresse. Celui-ci doit intégrer une information synthétique sur les finalités des traceurs, avec un lien vers une information plus détaillée (par exemple, la politique « cookies et autres traceurs »).

Lorsque le recueil du consentement ne peut être effectué au moment de la collecte de l’adresse électronique concernée, le responsable du traitement peut solliciter le consentement de la personne visée par l’envoi d’un message électronique (qui ne contiendra pas de pixels). Ce consentement doit être spécifique : on ne peut donc pas utiliser un accord global pour faire notamment à la fois de la publicité et du suivi par pixel.

Les professionnels du secteur (notamment les sous-traitants des responsables de traitement) doivent donc désormais intégrer un cadre opérationnel précis. Ils ont l’obligation de conserver une preuve individualisée du consentement et ne peuvent plus se contenter d’une simple clause dans leurs contrats avec leurs prestataires techniques.

Pour garantir la conformité, le responsable de traitement doit disposer d’éléments de preuve effectifs et prévoir des mécanismes d’audit réguliers.

Il existe quelques rares exceptions dans lesquelles le consentement n’est pas nécessaire, comme pour vérifier que les mails arrivent bien à destination (la délivrabilité), mais elles sont soumises au principe de minimisation des données du RGPD.

Par exemple, le responsable de traitement ne peut conserver que la date de la dernière ouverture, sans l'heure, en écrasant la donnée précédente à chaque fois.

Le silence ou l’inactivité du destinataire vaut systématiquement refus, et un lien de retrait doit figurer dans chaque pied de page pour permettre un désengagement sans effort.

Ignorer ces recommandations, qui constituent la doctrine de la CNIL visant à compléter l’article 82 de la Loi informatique et libertés, peut impliquer des sanctions financières lourdes pour l’annonceur ou son sous-traitant.

Les professionnels du secteur se doivent d’être attentifs à ces questions au même titre qu’au consentement des destinataires des courriels de prospection commerciale qu’ils adressent. La CNIL envisage d’ores et déjà des contrôles dans les prochains mois en direction des professionnels du secteur.

Sadry PORLON (Avocat Fondateur), Doréa BACHA (Avocate Collaboratrice) et Zélie VINDIMIAN (Juriste Stagiaire)