GuideNacho G.11 min de lecture

Conformité RGPD pour les Codes QR : Guide Complet 2026

Conformité RGPD codes QR expliquée : quand le suivi déclenche le règlement, quelles données sont collectées, exigences de consentement et liste de contrôle

Conformité RGPD pour les Codes QR : Guide Complet 2026

Cet article a ete redige par l'equipe QR Nova. Nous developpons des logiciels de codes QR, ce qui peut influencer notre point de vue.

La plupart des guides sur la "conformité RGPD pour les codes QR" traitent la question comme un simple élément de liste de contrôle. Ajoutez une bannière de cookies, mettez à jour votre politique de confidentialité, terminé. Cette approche inverse la réalité technique — et en 2026, avec les APD de toute l'UE auditant activement les plateformes d'analyse QR, se tromper est coûteux. **Le facteur décisif n'est pas vers quoi votre code QR pointe. C'est comment le code QR lui-même fonctionne — et la plupart des marketeurs utilisant des codes QR dynamiques traitent des données personnelles avant même que l'utilisateur ne voie une page de destination.**

TL;DR

  • Codes QR statiques : pas de contact serveur au scan, pas de données personnelles collectées, le RGPD ne s'applique pas à la couche QR.
  • Codes QR dynamiques : les serveurs de redirection enregistrent les IP, agents utilisateurs et horodatages — tous des données personnelles selon l'Art. 4 du RGPD.
  • Base légale pour l'analyse des scans : intérêts légitimes pour les métriques agrégées ; consentement pour le suivi individuel ou le profilage.
  • Les plateformes QR américaines traitant des données de scan de l'UE nécessitent des Clauses Contractuelles Types (CCT).
  • Conservation des données : 90-180 jours est le plafond pratique que la plupart des APD acceptent pour l'analyse de campagne.
  • Une AIPD est requise avant de déployer des codes QR qui suivent systématiquement le comportement individuel à grande échelle.

Ce que le RGPD Régule Réellement

Create your first QR code — free

Commencer
Le RGPD s'applique au traitement des données personnelles relatives aux personnes physiques identifiables dans l'UE. Le « traitement » inclut la collecte, le stockage et la transmission. Les « données personnelles » sont définies à l'Article 4(1) comme toute information relative à une personne identifiée ou identifiable. La question pour les codes QR n'est pas philosophique — elle est architecturale. Que se passe-t-il au moment où l'appareil photo de quelqu'un lit ce code ?

QR Statique vs Dynamique : La Différence Décisive pour le RGPD

Diagramme montrant le scan QR statique directement vers la destination versus QR dynamique acheminé via un serveur de redirection qui enregistre les données IP Comprendre cette distinction est la chose la plus importante que vous puissiez faire pour la conformité RGPD avec les codes QR. Les deux architectures créent des situations juridiques complètement différentes.

Codes QR Statiques : Pas de Serveur, Pas de Journal, Pas d'Activation du RGPD

Un code QR statique encode l'URL de destination directement dans son motif de pixels. Lorsque l'appareil photo d'un téléphone le lit, le système d'exploitation de l'appareil extrait l'URL et l'ouvre — exactement comme si l'utilisateur avait tapé l'adresse. Aucun serveur intermédiaire n'est contacté. Aucune adresse IP n'est enregistrée par le système QR. Aucun événement d'analyse ne se déclenche. Du point de vue de l'entité qui a créé le code QR, zéro donnée personnelle est traitée au moment du scan. C'est ce que la communauté de la vie privée appelle la confidentialité par conception selon l'Article 25 du RGPD.

Codes QR Dynamiques : Chaque Scan Atteint d'Abord un Serveur

Un code QR dynamique encode une URL de redirection — typiquement quelque chose comme `qr.plateforme.com/abc123`. Lors du scan, l'appareil contacte le serveur de la plateforme, qui enregistre la requête puis redirige vers la destination réelle. Ce journal de serveur contient :
  • Adresse IP — donnée personnelle selon la jurisprudence de la CJUE (Breyer, C-582/14, 2016)
  • Chaîne d'agent utilisateur — type d'appareil, version du système d'exploitation, navigateur
  • Horodatage — heure exacte du scan
  • Géolocalisation approximative — dérivée de l'IP, proposée comme fonctionnalité par la plupart des plateformes
Chaque scan par un résident de l'UE passant par ce serveur de redirection constitue un traitement de données personnelles. L'organisation qui a créé et déployé le code QR est le responsable du traitement. La plateforme QR est le sous-traitant.

Base Légale pour l'Analyse des Scans de Codes QR

L'Article 6 du RGPD exige l'une des six bases légales pour tout traitement de données. Pour l'analyse des scans, les candidates réalistes sont :

Article 6(1)(f) : Intérêts Légitimes

Les intérêts légitimes est la base la plus couramment utilisée pour l'analyse marketing. Pour s'en prévaloir, vous devez passer un test en trois parties : identifier un intérêt légitime, montrer que le traitement est nécessaire pour cet intérêt, et démontrer que vos intérêts ne l'emportent pas sur les droits de la personne concernée. Pour l'analyse des scans QR, cela fonctionne lorsque :
  • Vous mesurez les performances agrégées de campagne (pas les parcours individuels)
  • Les données sont conservées pour une période définie et courte (90-180 jours)
  • Vous fournissez un avis clair au moment du scan
  • Vous ne partagez pas de données avec des tiers ni ne créez de profils

Article 6(1)(a) : Consentement

Le consentement est requis pour les utilisations à risque élevé : suivi de parcours individuels, attribution inter-appareils, reciblage basé sur les scans QR, ou tout profilage. Le défi avec les codes QR est que le consentement doit être obtenu avant le début du traitement — ce qui signifie que le serveur de redirection ne peut pas enregistrer l'adresse IP avant que le consentement soit confirmé. Plusieurs grandes plateformes QR enregistrent des données au premier contact avec l'URL de redirection, avant qu'aucun mécanisme de consentement n'apparaisse. Cette architecture est incompatible avec le consentement comme base légale.

Décisions d'Exécution Pertinentes pour l'Analyse QR

Les actions d'exécution contre Google Analytics dans plusieurs États membres de l'UE entre 2022 et 2023 établissent un précédent direct applicable à l'analyse des scans QR :
  • Autriche (janvier 2022) : La DSB a statué que l'utilisation de Google Analytics violait le RGPD en raison des transferts de données vers les États-Unis sans protection adéquate
  • France (février 2022) : La CNIL a émis des mises en demeure aux opérateurs de sites web utilisant Google Analytics, citant la même base de transfert
  • Italie (juin 2022) : Le Garante a statué que les transferts de données vers les États-Unis via Google Analytics étaient illégaux
Le raisonnement juridique s'applique directement aux plateformes d'analyse QR américaines : collecter l'IP d'un résident de l'UE et la transmettre à un processeur américain sans protections adéquates pour les transferts est non conforme, quelle que soit l'étiquette du produit.

Transferts Transfrontaliers : Le Problème des Plateformes Américaines

Tableau comparatif montrant les données collectées par les plateformes QR dynamiques versus les codes QR statiques sans collecte serveur La majorité des plateformes de codes QR — QR Tiger, Bitly, Beaconstac, Flowcode — sont des entreprises américaines. Lorsque des résidents de l'UE scannent des codes QR sur ces plateformes, leurs adresses IP et données d'appareil sont transférées vers des serveurs américains. Depuis que la CJUE a invalidé le cadre Privacy Shield en juillet 2020 (Schrems II, C-311/18), les transferts de données personnelles de l'UE vers les États-Unis nécessitent des Clauses Contractuelles Types (CCT) et une Analyse d'Impact du Transfert documentée.

Liste de Contrôle Pratique de Conformité RGPD pour les Déploiements QR

Étape 1 : Déterminez votre Type de QR

  • QR statique pointant directement vers une URL : aucune obligation RGPD au niveau de la couche QR.
  • QR dynamique avec serveur de redirection : continuez avec toutes les étapes.

Étape 2 : Documentez le Traitement

Ajoutez l'analyse des scans QR à votre Registre des Activités de Traitement (RAT) selon l'Article 30.

Étape 3 : Établissez la Base Légale

  • Métriques de campagne agrégées uniquement, conservation courte, pas de profilage → documentez les intérêts légitimes avec une AIL archivée
  • Suivi de parcours individuels, profilage, reciblage → implémentez un mécanisme de consentement avant la redirection

Étape 4 : Signez un Accord de Traitement des Données

Signez un ATD avec votre plateforme QR répondant aux exigences de l'Article 28.

Étape 5 : Traitez les Transferts Transfrontaliers (Si Applicable)

Si votre plateforme QR est américaine, confirmez qu'elle propose des CCT (version 2021) et réalisez et documentez une Analyse d'Impact du Transfert.

Étape 6 : Mettez à Jour les Avis de Confidentialité

Ajoutez la divulgation de l'analyse des scans à votre politique de confidentialité. Au point de scan, incluez un bref avis sur le suivi et où trouver la politique complète.

Étape 7 : Définissez des Limites de Conservation

Configurez votre plateforme QR pour supprimer automatiquement les enregistrements de scan après votre période de conservation documentée.

Étape 8 : Évaluez l'Exigence d'AIPD

Ce déploiement suit-il systématiquement le comportement individuel ? Est-il à grande échelle ? Si oui pour l'un ou l'autre, réalisez une AIPD avant le déploiement.

Comment QR Nova Aborde le RGPD

Personne consultant des documents de conformité en matière de confidentialité sur un ordinateur portable L'architecture de QR Nova reflète une décision délibérée sur où se positionner dans le spectre statique/dynamique pour la confidentialité. Les codes QR statiques générés sur QR Nova encodent l'URL de destination directement dans le motif. Aucun serveur n'est contacté au moment du scan. Aucune adresse IP, agent utilisateur ou horodatage n'est enregistré par les systèmes de QR Nova. Les codes QR dynamiques sur QR Nova redirigent via nos serveurs. Nous sommes transparents sur ce que cela signifie : nous enregistrons les horodatages de scan, la localisation approximative au niveau du pays dérivée de l'IP (nous ne stockons pas les adresses IP brutes dans les enregistrements de scan), et la catégorie d'appareil. Nous fournissons un Accord de Traitement des Données à tous les abonnés du niveau entreprise, des périodes de conservation configurables (180 jours par défaut avec substitution manuelle) et une exportation de portabilité des données pour tous les enregistrements de scan. Pour les organisations où la confidentialité est une contrainte stricte, notre recommandation est simple : utilisez des codes QR permanents statiques pour la couche QR, et gérez l'analyse via votre stack d'analyse web existant. L'URL de destination peut porter des paramètres UTM pour l'attribution de campagne sans qu'aucun serveur intermédiaire ne traite l'événement de scan. Pour les organisations qui ont besoin d'analyse au niveau du scan, nos codes QR dynamiques fournissent un traitement transparent et documenté avec un ATD clair et une conservation configurable. Pour comprendre le tableau complet de collecte de données avant de choisir une approche QR, notre guide sur le fonctionnement du suivi des scans de codes QR couvre les détails techniques. Pour l'angle sécurité, le guide de sécurité des codes QR couvre quels risques sont réels et lesquels sont exagérés. Générez un code QR gratuit — statique ou dynamique, votre choix, avec une transparence totale sur ce que chaque type collecte et ne collecte pas.

Questions frequentes

Les codes QR doivent-ils respecter le RGPD ?

Cela dépend du type. Les codes QR statiques encodent l'URL directement dans le motif et ne contactent aucun serveur lors du scan, donc ils ne collectent aucune donnée personnelle et le RGPD ne s'applique pas. Les codes QR dynamiques redirigent via un serveur qui enregistre l'IP du scanner, l'agent utilisateur, l'horodatage et parfois la localisation approximative — tous des données personnelles selon l'Article 4 du RGPD.

Une adresse IP est-elle une donnée personnelle sous le RGPD ?

Oui. La Cour de justice de l'UE a confirmé dans l'affaire Breyer v. Bundesrepublik Deutschland (C-582/14, 2016) que les adresses IP dynamiques constituent des données personnelles lorsque le responsable du traitement peut raisonnablement les relier à un individu. La plupart des plateformes d'analyse QR stockent les adresses IP avec des horodatages et des données d'appareil.

Quelle base légale couvre l'analyse des scans de codes QR ?

La plupart des analyses commerciales de scans repose sur l'Article 6(1)(f) des intérêts légitimes ou l'Article 6(1)(a) du consentement. Les intérêts légitimes s'appliquent lorsque l'analyse est proportionnée et que les droits de la personne concernée ne l'emportent pas. Le consentement est requis lorsque vous suivez des parcours individuels, créez des profils ou partagez des données avec des tiers.

Combien de temps les données de scan QR peuvent-elles être conservées ?

L'Article 5(1)(e) du RGPD exige que les données ne soient pas conservées plus longtemps que nécessaire. Pour la mesure des performances de campagne, la plupart des APD considèrent une période de 90 à 180 jours comme raisonnable. Pour la détection de fraude ou la sécurité, jusqu'à 12 mois peut être justifié avec documentation.

Les codes QR ont-ils besoin d'un avis de confidentialité ?

Si le code QR dirige vers une page qui collecte des données personnelles, ou si le serveur de redirection lui-même enregistre des données personnelles, oui — un avis de confidentialité est requis selon l'Article 13 du RGPD. En pratique, cela signifie inclure un bref avis à proximité du code QR ou sur la page de destination immédiate.

Quand le suivi QR nécessite-t-il une Analyse d'Impact sur la Protection des Données (AIPD) ?

Une AIPD selon l'Article 35 est requise lorsque le traitement est « susceptible d'engendrer un risque élevé ». Si votre déploiement de QR suit des parcours de scan individuels sur plusieurs points de contact, profile des utilisateurs ou opère à grande échelle (dizaines de milliers de scans par mois), une AIPD est obligatoire avant le déploiement.

L'utilisation d'une plateforme QR américaine crée-t-elle des problèmes RGPD ?

Oui, si des résidents de l'UE scannent les codes. Le transfert de données personnelles vers un sous-traitant américain est un transfert restreint selon le Chapitre V du RGPD. Depuis l'invalidation du Privacy Shield en 2020 (Schrems II), les organisations doivent s'appuyer sur les Clauses Contractuelles Types (CCT) et réaliser une Analyse d'Impact du Transfert.

Quelle est la différence entre les codes QR statiques et dynamiques pour le RGPD ?

Les codes QR statiques encodent l'URL de destination directement dans le motif. Lors du scan, aucun serveur intermédiaire n'est contacté — aucune adresse IP n'est enregistrée par le système QR. Les codes QR dynamiques pointent vers une URL de redirection sur le serveur de la plateforme ; chaque scan atteint d'abord ce serveur, enregistrant des données avant la redirection. Du point de vue du RGPD, les codes statiques ne créent aucune obligation de traitement du côté du créateur du QR.

Create your first QR code — free

Commencer