Tracking email et CNIL : le guide pratique
Depuis la recommandation finale publiée par la CNIL le 14 avril 2026, le suivi des ouvertures dans les emails ne peut plus être traité comme une option technique anodine. Il faut distinguer le droit d'envoyer un email du droit d'y insérer un traceur, recueillir un choix valable lorsque c'est nécessaire, et empêcher le provider d'ajouter son propre pixel. Voici le cadre retenu par Mail-Reacher et la marche à suivre côté application.
Ce que la recommandation CNIL change
Un pixel de suivi est une image distante invisible chargée par le client de messagerie. Cette requête peut révéler qu'un email a été consulté et transmettre des informations comme un identifiant, une adresse IP ou des caractéristiques du terminal. La CNIL considère que l'article 82 de la loi Informatique et Libertés s'applique à cette opération.
La règle générale est donc le consentement préalable, libre, spécifique, éclairé et univoque, sauf lorsque le traceur est strictement nécessaire à un service demandé ou facilite exclusivement la communication électronique. Le traitement des données collectées doit en plus respecter le RGPD.
La période transitoire de trois mois prévue pour les adresses déjà collectées au 14 avril 2026 est désormais terminée. Mail-Reacher n'implémente pas de mode de transition : une personne sans consentement persistant reste en état inconnu et reçoit des emails sans suivi.
Ce guide aide à configurer Mail-Reacher, mais ne constitue pas un avis juridique. Les finalités et le contexte de chaque expéditeur doivent être validés avec son DPO ou son conseil.
Consentir à l'email ne signifie pas consentir au tracking
Le régime applicable à l'envoi et celui applicable au traceur sont indépendants. Un email peut être licite sans opt-in marketing — par exemple une confirmation de commande, une facture ou certaines prospections B2B — tout en nécessitant un consentement distinct si un pixel y est utilisé pour mesurer une campagne, personnaliser le contenu ou établir un score d'engagement.
À l'inverse, avoir accepté une newsletter ne suffit pas automatiquement à autoriser toutes les finalités de suivi. La personne doit comprendre ce qui sera mesuré, pour quelle finalité, pour quelle adresse email et sur les différents appareils où elle consulte ses messages.
Le statut de livraison reste disponible
Désactiver le suivi d'ouverture et de clic ne supprime pas les statuts techniques. Les événements queued, sent, delivered, bounced et failed proviennent du transport et des webhooks du provider ; ils ne nécessitent pas d'insérer un pixel dans le message.
L'exemption de délivrabilité est volontairement étroite
La recommandation finale admet une exemption pour mesurer individuellement la dernière ouverture de certains emails rattachés à un service demandé, lorsqu'elle sert strictement à adapter la fréquence ou arrêter les envois aux destinataires inactifs. La CNIL recommande alors de ne conserver que la date à la journée de la dernière ouverture, en remplaçant la précédente.
Cette exemption ne couvre pas la personnalisation marketing, le scoring, le ciblage des non-ouvreurs, l'historique détaillé des événements ni le suivi des clics. Elle ne transforme pas non plus un email promotionnel en email transactionnel parce qu'il est envoyé par une API transactionnelle.
Mail-Reacher ne déduit pas cette exemption à la place de l'expéditeur. Le mode individual conserve un engagement par message et le mode aggregate peut compter les clics : les deux exigent donc un consentement préalable dans le produit. Sans accord, le mode effectif est toujours off. Ce choix est plus conservateur, mais évite qu'un réglage technique soit utilisé pour une finalité juridique différente de celle déclarée.
Choisir le bon mode Mail-Reacher
off — aucun suivi
Aucun pixel Mail-Reacher n'est ajouté et les liens métiers pointent directement vers leur destination. Le bloc de préférences de suivi est retiré. C'est le mode par défaut tant que le recueil du consentement n'est pas branché.
aggregate — statistiques de cohorte
Mail-Reacher conserve uniquement des compteurs par group_id non personnel et par jour, sans historique d'engagement par message ou contact. Les résultats restent masqués pendant 24 heures et sous 20 livraisons. Le consentement préalable reste requis, tout comme un ingress privé qui ne journalise ni URL, ni IP, ni User-Agent. Après avoir exclu les routes /api/aggregate/* des access logs du proxy et de l'application, active explicitement AGGREGATE_TRACKING_INGRESS_PRIVATE=true ; sans cette garantie, l'envoi agrégé est refusé.
individual — engagement par message
Les ouvertures et clics peuvent être rattachés au message envoyé. Ce mode sert aux cas où cette information individualisée est réellement nécessaire et où le consentement correspondant a été prouvé.
Le mode demandé à l'envoi ne peut jamais dépasser le mode de l'environnement ni le niveau accepté par la personne. Une demande trop permissive est réduite ou rejetée ; elle n'élève jamais silencieusement les droits de suivi.
Recueillir un consentement valable
- Demander le choix au moment de collecter l'adresse, par exemple dans le formulaire d'inscription ou les paramètres du compte.
- Utiliser une case non précochée et permettre de continuer sans accepter le suivi.
- Nommer la finalité : statistiques de campagne, personnalisation ou engagement individualisé ne sont pas interchangeables.
- Identifier l'adresse concernée et préciser que le traceur peut être chargé sur tous les appareils utilisés pour lire les emails.
- Lier une information détaillée dans la politique de confidentialité et versionner le texte présenté.
- Conserver la preuve : date, source, version de la politique et référence vers la preuve first-party.
Exemple de libellé
<label>
<input type="checkbox" name="email_tracking_consent">
J'accepte l'utilisation de pixels et de liens de suivi dans les emails
envoyés à marie@example.com afin de mesurer leur consultation et leurs clics.
</label>
<a href="/confidentialite#suivi-emails">En savoir plus</a>
Ce texte est un point de départ. Il doit être adapté aux finalités réellement utilisées. Si plusieurs finalités sont distinctes, propose des choix distincts.
Enregistrer l'accord dans Mail-Reacher
Après l'action positive de la personne, appelle l'API depuis ton backend avec une clé disposant du scope contacts:write. Ne transmets jamais un simple booléen dans la requête d'envoi : la preuve doit être persistante, versionnée et indépendante de l'email.
curl -X PUT https://mail-reacher.com/api/tracking-consents \
-H "Authorization: Bearer mr_live_xxxxxxxxxxxxxxxx" \
-H "Content-Type: application/json" \
-d '{
"email": "marie@example.com",
"status": "granted",
"max_mode": "aggregate",
"event_id": "8a3c0e22-3c69-4cf5-aeb1-5db7ba6a6d82",
"occurred_at": "2026-07-16T14:30:00+02:00",
"source": "signup_form",
"expected_version": 0,
"policy_version": "email-tracking-2026-07",
"proof_reference": "signup:usr_123:checkbox_v2"
}'
Envoie ensuite le message avec tracking.mode à aggregate ou individual. Si l'accord manque, a été refusé ou autorise un niveau inférieur, Mail-Reacher n'ajoute pas le suivi demandé. La documentation API détaille les réponses, conflits de version et exemples d'envoi.
Permettre le refus et le retrait à tout moment
Un email effectivement suivi doit proposer un moyen aussi simple de retirer l'accord que de le donner. Utilise la variable système {{ tracking_preferences_url }} ou le bloc « préférences de suivi » dans le template. Si aucun des deux n'est présent, Mail-Reacher ajoute automatiquement un footer minimal.
Le lien est propre au destinataire et mène à une page qui permet de refuser le suivi sans ressaisir son adresse. Le refus ne désabonne pas des emails : il empêche les pixels et la réécriture des liens dans les futurs messages adressés à cette personne. Lorsque le mode effectif est off, aucun lien de préférences Mail-Reacher n'est injecté.
Le lien de préférences de suivi et le lien de désabonnement répondent à deux choix différents. Pour une newsletter, conserve les deux lorsque le suivi est actif.
Neutraliser aussi le tracking du provider
Désactiver le pixel Mail-Reacher ne suffit pas si le provider ajoute le sien ou réécrit les liens. Mail-Reacher neutralise donc le tracking natif sur tous les envois et bloque l'envoi si cette garantie n'est pas établie.
- AWS SES — lance la configuration automatique depuis l'environnement. Elle crée et vérifie un Configuration Set dédié, désactive l'engagement VDM et retire les destinations Open/Click. Les événements Delivery, Bounce et Complaint restent autorisés.
- Mailgun — Mail-Reacher force
o:tracking,o:tracking-openseto:tracking-clicksànopour chaque message. - SendGrid — les options
open_trackingetclick_trackingsont envoyées avecenable: false. - Postmark — Mail-Reacher envoie
TrackOpens=falseetTrackLinks=None. Il faut aussi désactiver le suivi global du serveur Postmark, qui peut forcer les ouvertures malgré l'option du message, puis confirmer ce réglage dans l'environnement. - Brevo — désactive le suivi des emails transactionnels dans Brevo, puis confirme le réglage dans l'environnement. Les modes d'anonymisation ou de consentement Brevo ne doivent pas fonctionner en parallèle : Mail-Reacher doit rester l'unique couche d'engagement.
- SMTP custom — désactive le tracking dans le service réellement placé derrière le relais SMTP, puis confirme l'opération.
Les réglages manuels sont liés au provider et doivent être reconfirmés périodiquement. Le détail opérationnel se trouve directement dans l'écran de configuration de l'environnement.
Checklist avant de passer en production
- Définir précisément pourquoi les ouvertures ou clics sont nécessaires.
- Choisir
off,aggregateouindividualpar environnement. - Ajouter une politique de confidentialité HTTPS qui décrit le suivi des emails.
- Recueillir le choix par adresse et enregistrer la preuve via l'API.
- Ajouter le bloc de préférences au template, même si l'auto-append reste un filet de sécurité.
- Neutraliser le tracking natif du provider et valider l'attestation dans Mail-Reacher.
- Envoyer un vrai email de test : en mode
off, vérifier le HTML reçu, l'absence de pixel distant et la destination directe de chaque lien. - Configurer les webhooks de livraison pour conserver des statuts fiables sans dépendre du tracking d'engagement.
Sources officielles et documentation utile
- CNIL — présentation de la recommandation finale du 14 avril 2026
- CNIL — recommandation complète relative aux pixels de suivi
- AWS SES — réglages Virtual Deliverability Manager
- Postmark — priorité du tracking global sur le réglage par email
- Mailgun — options de tracking par message
- SendGrid — paramètres de tracking de l'API Mail Send
- Brevo — adaptation à la recommandation CNIL
Configurer le tracking sans zone grise
Commence en mode off, branche la preuve de consentement, puis active le niveau réellement nécessaire dans chaque environnement.