Conformité RGPD pour les Codes QR : Guide Complet 2026
Conformité RGPD codes QR expliquée : quand le suivi déclenche le règlement, quelles données sont collectées, exigences de consentement et liste de contrôle

Cet article a ete redige par l'equipe QR Nova. Nous developpons des logiciels de codes QR, ce qui peut influencer notre point de vue.
TL;DR
- Codes QR statiques : pas de contact serveur au scan, pas de données personnelles collectées, le RGPD ne s'applique pas à la couche QR.
- Codes QR dynamiques : les serveurs de redirection enregistrent les IP, agents utilisateurs et horodatages — tous des données personnelles selon l'Art. 4 du RGPD.
- Base légale pour l'analyse des scans : intérêts légitimes pour les métriques agrégées ; consentement pour le suivi individuel ou le profilage.
- Les plateformes QR américaines traitant des données de scan de l'UE nécessitent des Clauses Contractuelles Types (CCT).
- Conservation des données : 90-180 jours est le plafond pratique que la plupart des APD acceptent pour l'analyse de campagne.
- Une AIPD est requise avant de déployer des codes QR qui suivent systématiquement le comportement individuel à grande échelle.
Ce que le RGPD Régule Réellement
Create your first QR code — free
CommencerQR Statique vs Dynamique : La Différence Décisive pour le RGPD
Comprendre cette distinction est la chose la plus importante que vous puissiez faire pour la conformité RGPD avec les codes QR. Les deux architectures créent des situations juridiques complètement différentes.
Codes QR Statiques : Pas de Serveur, Pas de Journal, Pas d'Activation du RGPD
Un code QR statique encode l'URL de destination directement dans son motif de pixels. Lorsque l'appareil photo d'un téléphone le lit, le système d'exploitation de l'appareil extrait l'URL et l'ouvre — exactement comme si l'utilisateur avait tapé l'adresse. Aucun serveur intermédiaire n'est contacté. Aucune adresse IP n'est enregistrée par le système QR. Aucun événement d'analyse ne se déclenche. Du point de vue de l'entité qui a créé le code QR, zéro donnée personnelle est traitée au moment du scan. C'est ce que la communauté de la vie privée appelle la confidentialité par conception selon l'Article 25 du RGPD.Codes QR Dynamiques : Chaque Scan Atteint d'Abord un Serveur
Un code QR dynamique encode une URL de redirection — typiquement quelque chose comme `qr.plateforme.com/abc123`. Lors du scan, l'appareil contacte le serveur de la plateforme, qui enregistre la requête puis redirige vers la destination réelle. Ce journal de serveur contient :- Adresse IP — donnée personnelle selon la jurisprudence de la CJUE (Breyer, C-582/14, 2016)
- Chaîne d'agent utilisateur — type d'appareil, version du système d'exploitation, navigateur
- Horodatage — heure exacte du scan
- Géolocalisation approximative — dérivée de l'IP, proposée comme fonctionnalité par la plupart des plateformes
Base Légale pour l'Analyse des Scans de Codes QR
L'Article 6 du RGPD exige l'une des six bases légales pour tout traitement de données. Pour l'analyse des scans, les candidates réalistes sont :Article 6(1)(f) : Intérêts Légitimes
Les intérêts légitimes est la base la plus couramment utilisée pour l'analyse marketing. Pour s'en prévaloir, vous devez passer un test en trois parties : identifier un intérêt légitime, montrer que le traitement est nécessaire pour cet intérêt, et démontrer que vos intérêts ne l'emportent pas sur les droits de la personne concernée. Pour l'analyse des scans QR, cela fonctionne lorsque :- Vous mesurez les performances agrégées de campagne (pas les parcours individuels)
- Les données sont conservées pour une période définie et courte (90-180 jours)
- Vous fournissez un avis clair au moment du scan
- Vous ne partagez pas de données avec des tiers ni ne créez de profils
Article 6(1)(a) : Consentement
Le consentement est requis pour les utilisations à risque élevé : suivi de parcours individuels, attribution inter-appareils, reciblage basé sur les scans QR, ou tout profilage. Le défi avec les codes QR est que le consentement doit être obtenu avant le début du traitement — ce qui signifie que le serveur de redirection ne peut pas enregistrer l'adresse IP avant que le consentement soit confirmé. Plusieurs grandes plateformes QR enregistrent des données au premier contact avec l'URL de redirection, avant qu'aucun mécanisme de consentement n'apparaisse. Cette architecture est incompatible avec le consentement comme base légale.Décisions d'Exécution Pertinentes pour l'Analyse QR
Les actions d'exécution contre Google Analytics dans plusieurs États membres de l'UE entre 2022 et 2023 établissent un précédent direct applicable à l'analyse des scans QR :- Autriche (janvier 2022) : La DSB a statué que l'utilisation de Google Analytics violait le RGPD en raison des transferts de données vers les États-Unis sans protection adéquate
- France (février 2022) : La CNIL a émis des mises en demeure aux opérateurs de sites web utilisant Google Analytics, citant la même base de transfert
- Italie (juin 2022) : Le Garante a statué que les transferts de données vers les États-Unis via Google Analytics étaient illégaux
Transferts Transfrontaliers : Le Problème des Plateformes Américaines
La majorité des plateformes de codes QR — QR Tiger, Bitly, Beaconstac, Flowcode — sont des entreprises américaines. Lorsque des résidents de l'UE scannent des codes QR sur ces plateformes, leurs adresses IP et données d'appareil sont transférées vers des serveurs américains.
Depuis que la CJUE a invalidé le cadre Privacy Shield en juillet 2020 (Schrems II, C-311/18), les transferts de données personnelles de l'UE vers les États-Unis nécessitent des Clauses Contractuelles Types (CCT) et une Analyse d'Impact du Transfert documentée.
Liste de Contrôle Pratique de Conformité RGPD pour les Déploiements QR
Étape 1 : Déterminez votre Type de QR
- QR statique pointant directement vers une URL : aucune obligation RGPD au niveau de la couche QR.
- QR dynamique avec serveur de redirection : continuez avec toutes les étapes.
Étape 2 : Documentez le Traitement
Ajoutez l'analyse des scans QR à votre Registre des Activités de Traitement (RAT) selon l'Article 30.Étape 3 : Établissez la Base Légale
- Métriques de campagne agrégées uniquement, conservation courte, pas de profilage → documentez les intérêts légitimes avec une AIL archivée
- Suivi de parcours individuels, profilage, reciblage → implémentez un mécanisme de consentement avant la redirection
Étape 4 : Signez un Accord de Traitement des Données
Signez un ATD avec votre plateforme QR répondant aux exigences de l'Article 28.Étape 5 : Traitez les Transferts Transfrontaliers (Si Applicable)
Si votre plateforme QR est américaine, confirmez qu'elle propose des CCT (version 2021) et réalisez et documentez une Analyse d'Impact du Transfert.Étape 6 : Mettez à Jour les Avis de Confidentialité
Ajoutez la divulgation de l'analyse des scans à votre politique de confidentialité. Au point de scan, incluez un bref avis sur le suivi et où trouver la politique complète.Étape 7 : Définissez des Limites de Conservation
Configurez votre plateforme QR pour supprimer automatiquement les enregistrements de scan après votre période de conservation documentée.Étape 8 : Évaluez l'Exigence d'AIPD
Ce déploiement suit-il systématiquement le comportement individuel ? Est-il à grande échelle ? Si oui pour l'un ou l'autre, réalisez une AIPD avant le déploiement.Comment QR Nova Aborde le RGPD
L'architecture de QR Nova reflète une décision délibérée sur où se positionner dans le spectre statique/dynamique pour la confidentialité.
Les codes QR statiques générés sur QR Nova encodent l'URL de destination directement dans le motif. Aucun serveur n'est contacté au moment du scan. Aucune adresse IP, agent utilisateur ou horodatage n'est enregistré par les systèmes de QR Nova.
Les codes QR dynamiques sur QR Nova redirigent via nos serveurs. Nous sommes transparents sur ce que cela signifie : nous enregistrons les horodatages de scan, la localisation approximative au niveau du pays dérivée de l'IP (nous ne stockons pas les adresses IP brutes dans les enregistrements de scan), et la catégorie d'appareil. Nous fournissons un Accord de Traitement des Données à tous les abonnés du niveau entreprise, des périodes de conservation configurables (180 jours par défaut avec substitution manuelle) et une exportation de portabilité des données pour tous les enregistrements de scan.
Pour les organisations où la confidentialité est une contrainte stricte, notre recommandation est simple : utilisez des codes QR permanents statiques pour la couche QR, et gérez l'analyse via votre stack d'analyse web existant. L'URL de destination peut porter des paramètres UTM pour l'attribution de campagne sans qu'aucun serveur intermédiaire ne traite l'événement de scan.
Pour les organisations qui ont besoin d'analyse au niveau du scan, nos codes QR dynamiques fournissent un traitement transparent et documenté avec un ATD clair et une conservation configurable.
Pour comprendre le tableau complet de collecte de données avant de choisir une approche QR, notre guide sur le fonctionnement du suivi des scans de codes QR couvre les détails techniques. Pour l'angle sécurité, le guide de sécurité des codes QR couvre quels risques sont réels et lesquels sont exagérés.
Générez un code QR gratuit — statique ou dynamique, votre choix, avec une transparence totale sur ce que chaque type collecte et ne collecte pas.Questions frequentes
Les codes QR doivent-ils respecter le RGPD ?
Cela dépend du type. Les codes QR statiques encodent l'URL directement dans le motif et ne contactent aucun serveur lors du scan, donc ils ne collectent aucune donnée personnelle et le RGPD ne s'applique pas. Les codes QR dynamiques redirigent via un serveur qui enregistre l'IP du scanner, l'agent utilisateur, l'horodatage et parfois la localisation approximative — tous des données personnelles selon l'Article 4 du RGPD.
Une adresse IP est-elle une donnée personnelle sous le RGPD ?
Oui. La Cour de justice de l'UE a confirmé dans l'affaire Breyer v. Bundesrepublik Deutschland (C-582/14, 2016) que les adresses IP dynamiques constituent des données personnelles lorsque le responsable du traitement peut raisonnablement les relier à un individu. La plupart des plateformes d'analyse QR stockent les adresses IP avec des horodatages et des données d'appareil.
Quelle base légale couvre l'analyse des scans de codes QR ?
La plupart des analyses commerciales de scans repose sur l'Article 6(1)(f) des intérêts légitimes ou l'Article 6(1)(a) du consentement. Les intérêts légitimes s'appliquent lorsque l'analyse est proportionnée et que les droits de la personne concernée ne l'emportent pas. Le consentement est requis lorsque vous suivez des parcours individuels, créez des profils ou partagez des données avec des tiers.
Combien de temps les données de scan QR peuvent-elles être conservées ?
L'Article 5(1)(e) du RGPD exige que les données ne soient pas conservées plus longtemps que nécessaire. Pour la mesure des performances de campagne, la plupart des APD considèrent une période de 90 à 180 jours comme raisonnable. Pour la détection de fraude ou la sécurité, jusqu'à 12 mois peut être justifié avec documentation.
Les codes QR ont-ils besoin d'un avis de confidentialité ?
Si le code QR dirige vers une page qui collecte des données personnelles, ou si le serveur de redirection lui-même enregistre des données personnelles, oui — un avis de confidentialité est requis selon l'Article 13 du RGPD. En pratique, cela signifie inclure un bref avis à proximité du code QR ou sur la page de destination immédiate.
Quand le suivi QR nécessite-t-il une Analyse d'Impact sur la Protection des Données (AIPD) ?
Une AIPD selon l'Article 35 est requise lorsque le traitement est « susceptible d'engendrer un risque élevé ». Si votre déploiement de QR suit des parcours de scan individuels sur plusieurs points de contact, profile des utilisateurs ou opère à grande échelle (dizaines de milliers de scans par mois), une AIPD est obligatoire avant le déploiement.
L'utilisation d'une plateforme QR américaine crée-t-elle des problèmes RGPD ?
Oui, si des résidents de l'UE scannent les codes. Le transfert de données personnelles vers un sous-traitant américain est un transfert restreint selon le Chapitre V du RGPD. Depuis l'invalidation du Privacy Shield en 2020 (Schrems II), les organisations doivent s'appuyer sur les Clauses Contractuelles Types (CCT) et réaliser une Analyse d'Impact du Transfert.
Quelle est la différence entre les codes QR statiques et dynamiques pour le RGPD ?
Les codes QR statiques encodent l'URL de destination directement dans le motif. Lors du scan, aucun serveur intermédiaire n'est contacté — aucune adresse IP n'est enregistrée par le système QR. Les codes QR dynamiques pointent vers une URL de redirection sur le serveur de la plateforme ; chaque scan atteint d'abord ce serveur, enregistrant des données avant la redirection. Du point de vue du RGPD, les codes statiques ne créent aucune obligation de traitement du côté du créateur du QR.
Articles connexes
Accessibilité Code QR : Guide WCAG 2.2 et ADA (2026)
Accessibilité code QR WCAG 2.2 et ADA : texte alternatif, contraste, chemins alternatifs et lecteurs d'écran. Guide technique pour développeurs.
HIPAA et Codes QR en Santé : Guide Technique
Conformité HIPAA avec les codes QR en santé : règles PHI, accords BAA, journaux d'audit, chiffrement et liste de contrôle. Mettez-vous en conformité.
QR Code et Traçabilité Chaîne d'Approvisionnement
Comment les QR codes permettent la traçabilité dans la chaîne d'approvisionnement — GS1 Digital Link, DSCSA, Passeport Numérique Produit et pourquoi les QR
Create your first QR code — free
Commencer