Avertissement : Les informations contenues dans cet article sont fournies à titre d’information générale et ne constituent pas un conseil juridique. Pour savoir comment ces exigences s’appliquent à votre entreprise, consultez vos équipes juridiques ou chargées de la confidentialité.
Note de l’éditeur : cet article décrit les évolutions réglementaires récentes et les fonctionnalités de Klaviyo en date de juillet 2026. Cet article sera mis à jour en fonction des évolutions des réglementations. Gardez l'URL de cet article pour découvrir les directives les plus récentes.
Si vous faites du marketing auprès de clients dans l’UE, vous connaissez bien les règles en matière de consentement : bannières de cookies, pages de préférences, opt-in vs opt-out. Le suivi (tracking) nécessite une autorisation, et la demander fait partie des pratiques commerciales courantes en Europe.
Désormais, deux autorités de régulation appliquent ce même principe au sein de la boîte de réception de vos destinataires. Les nouvelles réglementations couvrent les technologies de suivi intégrées à vos e-mails, en mettant particulièrement l’accent sur les pixels qui enregistrent les ouvertures d’e-mail.
Ce qu’ont annoncé la France et l’Italie
La CNIL, l’autorité française de protection des données, a publié sa recommandation sur les pixels de suivi dans les e-mails en avril 2026. Une traduction officielle en anglais est disponible. La Garante, l’autorité italienne de protection des données, a publié le mois suivant ses propres directives.
Les deux recommandations aboutissent à la même exigence fondamentale : pour la plupart des usages marketing, l’utilisation de pixels de suivi (de minuscules images invisibles chargées lorsqu’un e-mail s’affiche) nécessite le consentement préalable du destinataire. Ce consentement est distinct : le fait pour un destinataire d’accepter de recevoir des e-mails marketing ne signifie pas qu'il donne son accord pour les pixels de suivi. De plus, les destinataires doivent pouvoir retirer leur consentement aussi facilement qu’ils l’ont donné.
France
La date de publication sert de point de repère : selon que le contact a été collecté avant ou après cette date, la transition ne se fera pas de la même manière.
Les contacts collectés avant le 14 avril 2026 relèvent du régime transitoire de la CNIL, qui fonctionne sur la base d'un opt-out explicite. Les expéditeurs ont jusqu’au 14 juillet 2026 pour informer ces contacts de l'utilisation de technologies de suivi dans leurs e-mails et pour fournir un moyen clair et simple de s’y opposer. Le suivi peut continuer pendant cette période. Pour les contacts qui reçoivent la notification et ne s’y opposent pas, le suivi peut continuer après le 14 juillet.
D'après la réglementation, la CNIL ne semble pas exiger un nouveau recueil de consentement de masse pour ce groupe. Elle exige une notification et la possibilité de s’y opposer. Si un contact s’y oppose, le suivi pour ce contact doit cesser. Si la notification n’est pas envoyée d’ici au 14 juillet, le régime transitoire n’est plus disponible pour ces contacts.
Les contacts collectés entre le 14 avril 2026 et le 14 juillet 2026 ne bénéficient pas du régime transitoire et nécessitent un consentement explicite (opt-in) avant de pouvoir être suivis. Lorsque le consentement n’a pas été recueilli lors de l’inscription, la CNIL prévoit un mécanisme : les expéditeurs peuvent envoyer un e-mail dédié, sans pixel de suivi, invitant le destinataire à donner son consentement via une action positive, par exemple en cliquant sur un bouton sur une landing page.
Le suivi doit rester désactivé pour ces contacts jusqu’à ce qu’ils donnent explicitement leur accord. Les destinataires qui ne répondent pas sont considérés comme ayant refusé, et la CNIL recommande de ne pas les recontacter pendant au moins 6 mois. Cette sollicitation de consentement doit être envoyée rapidement. Les activités de contrôle de la CNIL devraient débuter après le 14 juillet 2026.
Pour les contacts collectés après le 14 juillet 2026, le consentement au suivi doit être recueilli au moment de l’inscription, avant l’envoi de tout e-mail avec un pixel de suivi. La collecte native du consentement dans les formulaires d'inscription de Klaviyo, qui s'inscrit dans notre prochaine phase de développement, sera conçue pour répondre à cette exigence.
Une fois le consentement au suivi en place pour un contact, quelle que soit la cohorte, deux obligations continues s’appliquent. Tout d’abord, la CNIL semble exiger que le consentement au suivi soit recueilli séparément du consentement aux e-mails marketing. Un seul opt-in couvrant les deux n’est pas suffisant.
Deuxièmement, les destinataires doivent pouvoir retirer leur consentement au suivi à tout moment via un mécanisme aussi simple et accessible que celui utilisé pour le recueillir. Dans la pratique, cela signifie que chaque e-mail faisant l’objet d’un suivi doit inclure un moyen clair permettant aux destinataires de refuser le suivi sans devoir se désabonner complètement des e-mails.
Italie
L’approche de l’Italie est plus simple en termes de calendrier : les expéditeurs disposent de 6 mois à compter de la publication, soit jusqu’au 28 octobre 2026, pour mettre à jour leurs pratiques.
Les contacts collectés avant le 29 avril 2026 relèvent du régime transitoire du Garante, qui fonctionne également sur la base d'un opt-out explicite. Le suivi peut se poursuivre pendant la période de 6 mois, à condition que les expéditeurs informent chaque contact de leurs pratiques de suivi lors de la prochaine interaction significative et mettent à disposition un mécanisme de retrait. Cela peut se faire dans le cadre du prochain e-mail envoyé à ce contact. Une notification distincte n’est pas requise.
Le mécanisme de retrait doit proposer deux options avec une visibilité équivalente : arrêter uniquement le suivi (et continuer à recevoir des e-mails), ou se désabonner totalement des e-mails. Les contacts qui reçoivent la notification et ne s'y opposent pas peuvent continuer à être suivis après le 28 octobre, à condition que la base juridique initiale de ces communications promotionnelles ait été valide. Si un contact s'oppose au suivi, celui-ci doit cesser.
Les contacts collectés entre le 29 avril et le 28 octobre 2026 ne bénéficient pas du régime transitoire et nécessitent un consentement explicite par opt-in avant de pouvoir faire l’objet d’un suivi. Le suivi doit être suspendu pour ces contacts dès le moment de leur collecte. Étant donné que de nouveaux contacts continueront d’arriver sans consentement au suivi tant que la collecte native du consentement ne sera pas disponible sur les formulaires d’inscription, les expéditeurs devraient envisager un flux automatisé qui définit par défaut les nouveaux contacts concernés sur « opt-out » et envoie, lors de l’inscription, une sollicitation de consentement sans suivi.
Sinon, les expéditeurs peuvent suspendre le suivi pour ce groupe et envoyer une demande de consentement en masse une fois la collecte native du consentement en ligne, ce qui crée une date de bascule nette. Les destinataires qui ne répondent pas sont considérés comme ayant refusé. Votre équipe chargée de la confidentialité peut vous conseiller sur le bon calendrier et la bonne approche.
Pour les contacts collectés après le 28 octobre 2026, le consentement au suivi doit être recueilli au moment de l’inscription, avant l’envoi de tout e-mail avec un pixel de suivi. La collecte native du consentement dans les formulaires d'inscription de Klaviyo, qui s'inscrit dans notre prochaine phase de développement, sera conçue pour répondre à cette exigence.
Une fois que le consentement au suivi est en place pour un contact, quelle que soit la cohorte, le Garante semble exiger que les destinataires puissent retirer leur consentement au suivi à tout moment, au moyen d’un mécanisme aussi facile à utiliser que celui qu’ils ont utilisé pour donner leur consentement.
Contrairement à la CNIL, le Garante semble autoriser que le consentement au suivi soit recueilli en même temps que le consentement aux e-mails marketing, à condition que les finalités de traitement soient les mêmes. Lorsque les finalités diffèrent, un consentement distinct est requis. Le mécanisme de retrait doit continuer à proposer deux options avec une visibilité équivalente : arrêter uniquement le suivi (et continuer à recevoir des e-mails), ou se désabonner complètement des e-mails.
Votre équipe chargée de la protection de la vie privée peut vous conseiller sur la manière dont ces exigences s’appliquent à votre programme spécifique, notamment quels contacts relèvent de quel groupe et ce que la notification doit contenir.
Ce que nous avons mis en place dans Klaviyo
Déterminer si ces exigences s’appliquent à votre programme d'emailing et comment elles s’y appliquent relève de votre responsabilité et de celle de votre équipe chargée de la confidentialité, et elles peuvent varier selon votre audience. Voici ce que nous avons mis en place dans Klaviyo pour vous aider :
E-mail de transition
La CNIL et le Garante exigent tous deux que les expéditeurs contactent certains destinataires existants pendant la période de transition, soit pour les informer du suivi et leur offrir un moyen de s’y opposer, soit pour demander un consentement explicite.
Pour envoyer un e-mail de transition sans suivi des ouvertures avec Klaviyo, vous pouvez désactiver le suivi des ouvertures au niveau du compte (Paramètres > E-mail > Tracking) ou au niveau du destinataire avant l’envoi, et utiliser un formulaire tiers ou une landing page (comme une page hébergée) pour recueillir la réponse de chaque destinataire (refus ou consentement).
Klaviyo ne propose pas encore de collecte native du consentement pour les e-mails de transition, mais vous pouvez utiliser le système de gestion du consentement de Klaviyo pour le suivi des ouvertures afin de stocker les réponses que vous collectez via votre propre formulaire.
Nous vous recommandons de travailler avec votre équipe chargée de la confidentialité afin de comprendre les exigences relatives à ces messages.
Gestion du suivi des ouvertures
Klaviyo, comme la plupart des plateformes d’e-mail, utilise un pixel de suivi pour enregistrer les ouvertures d’e-mails. Pour vous aider dans vos efforts de conformité, deux contrôles de gestion du suivi des ouvertures sont désormais disponibles pour chaque compte Klaviyo.
Option 1 : Désactiver le suivi des ouvertures pour l’ensemble du compte. Un paramètre (Paramètres > E-mail > Tracking) empêche Klaviyo d’enregistrer les ouvertures sur chaque e-mail envoyé par votre compte.

Option 2 : Exclure des destinataires individuels du suivi des ouvertures. Chaque destinataire dispose désormais d’un statut de consentement au suivi des ouvertures, distinct de son consentement marketing. Si vous excluez un destinataire, Klaviyo cesse d’enregistrer ses ouvertures, avec effet immédiat, y compris pour les e-mails déjà dans sa boîte de réception.
Les destinataires sans statut explicite continuent d’être suivis comme aujourd’hui. Vous pouvez définir des statuts en masse via une importation de liste CSV, une synchronisation SFTP ou avec un entrepôt de données, ou via l’API.
Développement en cours pour l'année 2026
Aujourd’hui, vous définissez le consentement au suivi des ouvertures au nom de vos destinataires. Un peu plus tard cette année, les destinataires pourront le gérer eux-mêmes : nous intégrerons un recueil natif du consentement dans les formulaires d’inscription et dans le centre de préférences, en utilisant les mêmes modèles que les abonnés connaissent déjà pour le consentement marketing, ainsi qu’un moyen direct pour les destinataires de retirer leur consentement au suivi.
Nous façonnons ce travail au gré de nos échanges avec nos clients, et nous partagerons davantage d’informations lorsque cette fonctionnalité sera disponible.
Les étapes à suivre dès maintenant
- Parlez à votre équipe chargée de la confidentialité. Elle peut confirmer si ces exigences s’appliquent à votre programme et quelles sont les échéances. La documentation des autorités de régulation (lien ci-dessus) constitue la bonne source à partager avec vos équipes.
- Identifiez vos destinataires concernés. Déterminer quels destinataires sont concernés et ce qui s’applique à chaque groupe doit se faire avec votre équipe chargée de la confidentialité ; Klaviyo ne peut pas le faire à votre place.
- Envoyez toute communication transitoire recommandée par votre équipe chargée de la confidentialité. Prévoyez une stratégie pour collecter les réponses afin de pouvoir les respecter à l’avenir.
- Utilisez les contrôles de Klaviyo pour gérer le suivi de manière appropriée. Une fois que vous et votre équipe chargée de la protection de la vie privée avez décidé de ce dont votre programme a besoin, les contrôles ci-dessus vous permettent de mettre votre stratégie en œuvre.
Prêt à configurer les contrôles du suivi des ouvertures ? Notre guide étape par étape vous accompagne.



