Le pixel d'ouverture n'est pas techniquement mort. C'est son interprétation naïve qui ne tient plus : une requête d'image ne signifie ni « une personne a ouvert », ni « elle a lu », ni « elle est intéressée ».

Apple peut précharger l'image sans lecture humaine. Gmail la fait transiter par un proxy. Outlook classique et Thunderbird peuvent la bloquer. Une passerelle de sécurité peut la demander avant de livrer le message. Et depuis avril 2026, la CNIL a publié une recommandation finale qui oblige les organisations françaises à distinguer les finalités de suivi au lieu d'activer le pixel par défaut.

Ce billet constitue le volet « tracking et vie privée » du guide de l'e-mailing professionnel en 2026.

Comment fonctionne réellement un pixel d'ouverture

Le corps HTML contient une image distante minuscule dont l'URL porte un identifiant opaque :

<img
  src="https://track.example.com/o/c_8f19a2/m_731.gif"
  width="1"
  height="1"
  alt=""
>

Quand un logiciel ou un intermédiaire demande cette URL, le serveur enregistre un événement : date, identifiant de campagne, identifiant de message et informations techniques de la requête. Selon l'architecture, il peut aussi observer une adresse IP, un agent utilisateur et des en-têtes réseau.

sequenceDiagram
    participant E as Expéditeur
    participant B as Boîte destinataire
    participant P as Proxy ou client mail
    participant T as Serveur de tracking
    E->>B: message HTML avec URL unique
    B-->>P: message disponible
    P->>T: GET /o/identifiant.gif
    T-->>P: image 1x1 ou réponse vide
    T->>T: enregistre un chargement
    Note over P,T: le demandeur peut être humain,<br>proxy, préchargement ou robot

La seule observation certaine est donc : l'URL a été demandée. Le reste est une inférence.

Ouverture réelle, simulée, absente ou répétée

Situation Événement enregistré Ce que l'on peut conclure
La personne ouvre avec images autorisées Requête probable Le message a probablement été affiché, sans preuve de lecture
Apple MPP précharge Requête sans ouverture humaine nécessaire Ni moment ni réalité de la lecture
Proxy Gmail récupère et met en cache Requête depuis Google Peu d'informations sur le terminal et les ouvertures suivantes
Outlook ou Thunderbird bloque les images Aucune requête La personne peut avoir lu tout le texte
Passerelle de sécurité analyse le contenu Requête automatisée Aucune intention du destinataire
Message transféré Nouvelles requêtes liées au même identifiant Le destinataire initial n'est pas nécessairement l'auteur
Client affiche une version en cache Pas de nouvelle requête Une nouvelle lecture peut rester invisible

Un taux d'ouverture peut ainsi être gonflé par de faux positifs et réduit par de faux négatifs au cours de la même campagne.

Apple Mail Privacy Protection : le temps d'ouverture disparaît

Lorsque la protection de l'activité dans Mail est activée, Apple masque l'adresse IP et télécharge le contenu distant de manière privée en arrière-plan. Le chargement peut avoir lieu après réception, indépendamment du moment où l'utilisateur consulte réellement le message.

Conséquences pratiques :

  • une campagne peut enregistrer une ouverture pour un message jamais lu ;
  • l'heure enregistrée est celle du préchargement, pas celle de la consultation ;
  • la géolocalisation et l'identification du terminal par l'IP deviennent peu fiables ;
  • les scénarios « relancer les non-ouvreurs » excluent à tort des utilisateurs Apple préchargés ;
  • les tests A/B fondés sur l'ouverture peuvent choisir un faux gagnant.

MPP dépend de l'usage d'Apple Mail, pas seulement de l'adresse e-mail. Un compte Gmail consulté dans Apple Mail peut donc produire ce comportement, tandis qu'une adresse iCloud consultée dans un autre client peut suivre une autre logique.

Gmail : proxy et cache, pas disparition totale du signal

Gmail affiche les images externes par défaut mais les sert via ses propres serveurs proxy. Google indique que ce mécanisme analyse les images et empêche l'expéditeur d'utiliser leur chargement pour obtenir l'adresse IP ou la localisation de l'ordinateur du destinataire.

Il ne faut pas en déduire que toute ouverture devient invisible. Une première demande de ressource peut encore produire un événement, mais :

  • la requête provient de l'infrastructure Google ;
  • le cache peut empêcher de distinguer les consultations répétées ;
  • le type de terminal, l'adresse réseau et la localisation sont masqués ou déformés ;
  • les protections et analyses automatiques ajoutent leur propre bruit.

Le proxy réduit donc la granularité du suivi. Il ne transforme pas le pixel en mesure fiable de lecture.

Outlook : plusieurs produits, plusieurs politiques

« Outlook » désigne des clients et services différents : Outlook classique sous Windows, le nouvel Outlook, les applications mobiles, Outlook.com et des boîtes Microsoft 365 administrées par une entreprise. Une règle unique serait trompeuse.

Outlook classique bloque par défaut le téléchargement automatique d'images depuis Internet dans de nombreuses configurations et permet des exceptions par expéditeur ou zone de confiance. Un utilisateur peut lire le texte sans déclencher le pixel. À l'inverse, une passerelle Microsoft 365 ou un produit de sécurité tiers peut analyser des URL et créer des événements automatisés.

Pour diagnostiquer une campagne vers Microsoft, il faut distinguer :

  1. l'acceptation par le serveur Outlook/Exchange ;
  2. le classement par les protections du tenant ;
  3. le comportement du client qui affiche le message ;
  4. les visites automatisées de liens ou de ressources.

Thunderbird : le contenu distant bloqué par défaut

Thunderbird bloque par défaut le contenu distant, notamment les images, car son chargement peut révéler qu'un message a été affiché et transmettre des informations sur l'appareil. L'utilisateur peut autoriser ponctuellement le contenu ou créer des exceptions.

Un destinataire Thunderbird peut donc lire intégralement le contenu texte, copier un numéro de téléphone ou répondre au message tout en restant « non ouvert » dans l'outil marketing.

Le clic n'est pas une vérité absolue non plus

Le clic est plus proche d'une action que le chargement d'un pixel, mais les passerelles anti-phishing et générateurs d'aperçu visitent parfois les liens avant l'utilisateur. Un clic enregistré quelques secondes après l'envoi, sur tous les liens, depuis une adresse de centre de données, est probablement automatisé.

Une chaîne de mesure robuste classe les événements :

flowchart LR
    A["Événement brut"] --> B{"Pixel ou lien ?"}
    B -->|pixel| C["Proxy, MPP,<br>cache, fréquence"]
    B -->|lien| D["Agent, IP, délai,<br>séquence des URL"]
    C --> E["Ouverture probable,<br>automatique ou inconnue"]
    D --> F["Clic probable,<br>robot ou inconnu"]
    E --> G["Tendance agrégée"]
    F --> H["Session web et<br>action métier"]
    H --> I["Conversion"]

Le filtrage des robots doit être documenté. Supprimer tout événement « trop rapide » peut aussi écarter un humain ; attribuer toute visite à une personne gonfle les résultats. Conservez l'événement brut, la règle de classification et la version de cette règle.

Ce que dit la CNIL depuis avril 2026

La recommandation finale de la CNIL sur les pixels dans les courriers électroniques applique l'article 82 de la loi Informatique et Libertés. Elle part d'un principe : l'insertion de pixels requiert un consentement préalable libre, spécifique, éclairé et univoque, sauf lorsque l'opération remplit une exemption prévue par le texte.

Finalités pour lesquelles la CNIL demande le consentement

La recommandation cite notamment :

  • l'analyse des ouvertures pour mesurer et optimiser les performances d'une campagne, personnaliser le contenu ou adapter fréquence et canal ;
  • la création de profils d'intérêt destinés à cibler la personne dans d'autres contextes ;
  • certaines détections et analyses de suspicion de fraude ;
  • la mesure individuelle de délivrabilité en dehors des cas strictement exemptés.

Le consentement au message marketing et le consentement au pixel sont deux questions distinctes. Une personne peut vouloir recevoir une newsletter sans accepter que chaque ouverture serve à profiler ses centres d'intérêt.

Exemptions encadrées, pas blanc-seing

La CNIL considère que certains usages exclusifs peuvent être exemptés, notamment :

  • des mesures de sécurité participant à l'authentification de l'utilisateur ;
  • une mesure individuelle de délivrabilité limitée à ce qui est strictement nécessaire pour adapter la fréquence ou arrêter les envois aux inactifs ;
  • dans ce cadre restreint, certains besoins de choix de canal ou de preuve d'une information légalement requise.

Ces exemptions ne concernent que des courriels demandés par le destinataire ou rattachés à un service qu'il a demandé, comme certains messages transactionnels. Les données ne peuvent pas être discrètement réutilisées pour optimiser une campagne commerciale.

Pour la mesure exemptée, la recommandation donne un principe de minimisation très concret : conserver en principe seulement la date à la journée de la dernière ouverture connue, mise à jour à chaque nouvelle ouverture, sans enregistrer l'heure ni empiler tout l'historique.

Recueillir et retirer le consentement

La CNIL recommande d'informer sur les finalités du pixel dès le formulaire qui collecte l'adresse. Si ce n'est pas possible, un premier courriel sans pixel soumis au consentement peut conduire vers une page où la personne accomplit une action positive. Un simple préchargement du lien ne doit pas être interprété comme un accord.

Refuser doit être aussi simple qu'accepter. L'inactivité vaut refus du pixel, pas consentement implicite. Le système doit aussi propager le choix au prestataire d'envoi et prouver la version de l'information acceptée.

Mesurer sans dépendre de l'ouverture individuelle

Objectif Indicateur préférable Précaution
Vente Commande et marge attribuées Fenêtre et règle d'attribution explicites
Acquisition Formulaire qualifié ou rendez-vous Dédupliquer et exclure les robots
Activation produit Action authentifiée dans l'application Relier l'événement avec une base juridique adaptée
Intérêt éditorial Clic probable, visite engagée, réponse Ne pas confondre curiosité et conversion
Hygiène de liste Rebonds, plaintes, retraits, dernière activité utile Ne pas retirer sur une seule non-ouverture
Délivrabilité Codes SMTP, placement témoin, plaintes Une ouverture n'est pas une preuve de placement universel

Le guide complet des KPI e-mail fournit les formules et un modèle de tableau de bord.

Repenser les automatisations historiques

À auditer en priorité :

  • relance automatique de tous les « non-ouvreurs » ;
  • scoring commercial donnant beaucoup de points à une ouverture ;
  • A/B test d'objet dont le gagnant dépend uniquement des ouvertures ;
  • nettoyage qui supprime une personne sur la seule absence de pixel ;
  • géolocalisation ou détection de terminal par l'IP du pixel ;
  • déclenchement multicanal après une ouverture supposée ;
  • export de l'historique détaillé vers plusieurs sous-traitants.

Une automatisation plus robuste déclenche sur un résultat observable : clic probable suivi d'une session, demande de démonstration, ajout au panier, réponse ou action dans le compte. Pour les inactifs, combinez plusieurs indices et proposez une gestion claire des préférences.

Check-list 2026

  • [ ] Chaque pixel a une finalité nommée, un responsable et une durée de conservation.
  • [ ] Les usages soumis au consentement sont désactivés avant une action positive.
  • [ ] Le choix est recueilli au plus près de l'adresse et transmis au prestataire.
  • [ ] Les exemptions ne servent pas à réutiliser les données à des fins marketing.
  • [ ] Apple MPP, proxys, caches et robots sont séparés autant que possible dans les rapports.
  • [ ] Les données brutes ne sont pas conservées simplement parce que l'outil le permet.
  • [ ] Les tests A/B et automatisations ne dépendent plus exclusivement de l'ouverture.
  • [ ] Les indicateurs métier et les plaintes peuvent être analysés sans pixel individuel.
  • [ ] Un courriel sans image reste lisible, compréhensible et actionnable.

Le taux d'ouverture peut encore servir de tendance agrégée dans un cadre maîtrisé. Il ne doit plus être présenté comme le nombre de lecteurs. En 2026, la maturité consiste moins à « mieux traquer » qu'à savoir quelle décision mérite réellement une donnée individuelle.