RGPD et Meta Pixel (Facebook Pixel)
Le Meta Pixel (anciennement Facebook Pixel) est un script JavaScript intégré par des millions de sites pour mesurer les conversions publicitaires, alimenter les audiences personnalisées Facebook/Instagram et optimiser les campagnes Meta Ads. Du point de vue du RGPD, il constitue un traceur publicitaire qui dépasse largement la mesure d'audience : son dépôt impose un consentement préalable explicite de l'utilisateur.
Au-delà du cookie, Meta propose des alternatives serveur-side comme les Conversions API (CAPI), qui permettent d'envoyer des signaux de conversion directement depuis votre serveur vers Meta — sans dépôt de cookie côté navigateur. Cette architecture modifie la répartition des responsabilités RGPD et exige une documentation précise dans votre politique de confidentialité.
Base légale et obligation de consentement
Le Meta Pixel dépose des cookies à des fins de ciblage publicitaire et de mesure inter-sites. Ces finalités ne peuvent pas reposer sur l'intérêt légitime du responsable de traitement : la CNIL, suivant les lignes directrices du Comité Européen de la Protection des Données (CEPD), considère que le suivi publicitaire cross-site porte une atteinte disproportionnée aux droits des personnes. La base légale applicable est le consentement (RGPD art. 6.1.a).
Votre CMP doit bloquer le chargement du script Meta Pixel (connect.facebook.net/en_US/fbevents.js) avant que l'utilisateur ait consenti à la catégorie 'publicité' ou 'marketing'. Un simple bandeau informatif non bloquant ou une case pré-cochée ne constitue pas un consentement valide.
En cas d'utilisation de l'Advanced Matching — fonctionnalité qui hache et envoie à Meta des données identifiantes (email, téléphone, nom, prénom) pour améliorer le taux de correspondance des audiences — l'information sur ce traitement supplémentaire doit figurer explicitement dans votre politique de confidentialité, avec les catégories de données transmises.
Conversions API (CAPI) et responsabilité partagée
Les Conversions API permettent d'envoyer des événements de conversion (achat, formulaire soumis, page vue) depuis votre serveur vers les serveurs de Meta, sans que le navigateur de l'utilisateur soit directement impliqué. Du point de vue RGPD, le traitement reste soumis à consentement si les données transmises (notamment l'adresse IP, le user-agent, ou des données personnelles hachées) permettent d'identifier indirectement la personne.
Meta agit en co-responsable du traitement pour les données collectées via le Pixel et les Conversions API : la CJUE a qualifié ce type de dispositif de co-responsabilité dans l'arrêt Fashion ID (C-40/17, 2019). Cela signifie que vous et Meta êtes conjointement responsables pour la phase de collecte, et que vous devez en informer vos utilisateurs dans votre politique.
Transferts hors UE et durée de conservation
Les données collectées via le Meta Pixel sont traitées par Meta Platforms Inc. aux États-Unis. Le transfert repose sur le Data Privacy Framework (DPF) depuis juillet 2023. Meta Platforms Ireland Limited est l'entité contractante européenne. Votre politique de confidentialité doit mentionner ces deux entités, la localisation des serveurs et le mécanisme de transfert applicable.
Meta conserve les données d'événements publicitaires pendant une durée variable selon les paramètres de votre compte publicitaire (généralement entre 180 jours et 2 ans pour les conversions). La durée de conservation de vos audiences personnalisées est configurable dans le gestionnaire de publicités et doit être précisée dans votre politique.
Générez votre document en 5 minutes
Notre générateur pré-remplit automatiquement les options adaptées à votre cas. Document personnalisé prêt à être copié-collé sur votre site.
Générer ma politique RGPD Meta PixelQuestions fréquentes
Peut-on utiliser le Meta Pixel sans bandeau de consentement ?
Non. Le Meta Pixel relève de l'article 82 de la loi Informatique et Libertés (traceur non exempté). Son chargement sans consentement préalable vous expose à une plainte devant la CNIL et, pour les plateformes e-commerce, à une action des associations de consommateurs. Plusieurs décisions de régulateurs européens ont sanctionné ce type d'usage.
Les Conversions API dispensent-elles du consentement ?
Non. Même via les Conversions API (CAPI), si des données personnelles ou pseudo-anonymes de l'utilisateur sont transmises à Meta à des fins publicitaires, le consentement reste requis. La CAPI ne fait que déplacer le point de collecte — elle ne modifie pas la base légale du traitement.
Faut-il mentionner le Meta Pixel dans la politique de confidentialité même sans e-commerce ?
Oui, quelle que soit la nature de votre site. Dès l'installation du Pixel, les données de navigation de vos visiteurs (pages vues, durée, clics) sont transmises à Meta. L'article 13 du RGPD impose d'informer les personnes concernées au moment de la collecte.
Comment désactiver le Meta Pixel pour les utilisateurs qui refusent ?
Votre CMP doit conditionner le chargement du script Meta Pixel au consentement de la catégorie concernée. Si vous utilisez les Conversions API côté serveur, implémentez un filtre dans votre code back-end pour ne pas transmettre d'événements lorsque le consentement n'a pas été donné — en vous basant sur le signal de consentement transmis par votre CMP.