Les amendes RGPD ont dépassé 6,2 milliards d’euros depuis le début de l’application en mai 2018, dont 1,2 milliard d’euros émis rien qu’en 2024 (Enquête DLA Piper GDPR, janvier 2025). La bonne nouvelle pour la plupart des entreprises utilisant des codes QR : les exigences de conformité sont simples, ne nécessitent pas de bannière de cookies et peuvent être traitées avec un bref ajout à votre politique de confidentialité existante.
Ce guide couvre ce qu'exige réellement le RGPD pour le suivi des codes QR – et ce qu'il n'exige pas.
Points clés à retenir
- Les codes QR statiques sans suivi n'ont aucune pertinence avec le RGPDÂ : ce ne sont que des images avec des liens
- Les codes QR dynamiques avec scan tracking traitent les données personnelles (adresse IP = données personnelles selon le RGPD) et nécessitent une divulgation de politique de confidentialité
- Aucune bannière de cookies nécessaire – Le suivi par analyse QR ne place pas de cookies sur les appareils des visiteurs
- L'intérêt légitime (article 6, paragraphe 1, point f) du RGPD) constitue une base juridique suffisante pour l'analyse par scan - aucun formulaire de consentement n'est requis
Quand les codes QR relèvent-ils du RGPD ?
La réponse dépend entièrement de la question de savoir si le suivi est impliqué.
Codes QR statiques sans suivi
Un code QR statique qui renvoie à une URL et ne collecte aucune donnée n'a aucune pertinence avec le RGPD. C'est techniquement identique à l'impression d'une URL sur un dépliant. Aucune donnée personnelle n'est traitée, aucune divulgation n'est requise.
Codes QR dynamiques avec suivi des analyses
Dès qu'un code QR enregistre des données numérisées, des données personnelles sont traitées. En vertu du RGPD, les adresses IP sont considérées comme des données personnelles – et chaque analyse en génère une. Les données enregistrées par un code QR dynamique typique comprennent :
- Adresse IP de l'appareil scannant le code
- Horodatage de l'analyse
- Type d'appareil et système d'exploitation
- Pays et région (dérivés de l'IP — généralement pas plus précis que cela)Ces données sont pertinentes pour le RGPD. Le traitement nécessite une base légale et une politique de confidentialité. Il ne nécessite pas de bannière de cookies et ne nécessite pas de consentement dans la plupart des cas.
Ce que vous devez réellement faire
1. Mettez à jour votre politique de confidentialité
Ajoutez une courte section couvrant le suivi de l'analyse du code QR. Le contenu minimum requis :
- Que des codes QR dynamiques avec suivi soient utilisés
- Quelles données sont collectées (adresse IP, horodatage, type d'appareil, pays)
- La finalité (analyse d'utilisation, mesure de campagne)
- Le nom et la localisation du prestataire (QR Code Manager, serveurs européens)
- Durée de conservation des données
- Base juridique du traitement
2. Établir la base juridique
Pour l'analyse de l'utilisation, intérêt légitime au sens de l'art. L’article 6, paragraphe 1, point f) du RGPD constitue la base juridique appropriée pour la plupart des entreprises. Vous avez un intérêt légitime à savoir si vos documents imprimés sont utilisés et si vos campagnes sont efficaces.
Le consentement (et donc une bannière de consentement) n’est généralement pas requis pour le suivi par scan de code QR, contrairement aux cookies d’analyse Web. La distinction est importante : un QR scan ne place rien sur l'appareil du visiteur. Le serveur de redirection enregistre l'analyse côté serveur, ce qui constitue une situation juridique différente du suivi des cookies basé sur le navigateur.
3. Utilisez un fournisseur conforme au RGPD
Le service de code QR traite les données numérisées en votre nom. Choisissez un fournisseur qui :
- Traite les données sur les serveurs de l'UE
- Fonctionne sous RGPD et propose un accord de traitement des données (DPA)
- Ne crée aucun profil personnel au-delà des données globales anonymisées
QR Code Manager répond aux trois : infrastructure de serveur européenne, traitement conforme au RGPD et DPA disponible sur demande.
4. Mettez à jour vos enregistrements des activités de traitementPour les entreprises soumises à l'art. 30 RGPD (organisations de plus de 20 employés ou traitant des données sensibles), ajoutez une entrée pour « QR Code Analytics » à vos enregistrements d'activités de traitement. Nommez l’objectif, les catégories de données, la base juridique et la durée de conservation.
Modèle de texte de politique de confidentialité
Vous pouvez utiliser ce modèle comme point de départ. Faites-le examiner par un délégué à la protection des données ou un avocat avant de le publier – les exigences légales varient selon la juridiction et le type d'entreprise.
Analyse des codes QR
Nous utilisons des codes QR dynamiques sur nos supports marketing et nos locaux. Lorsque ces codes sont scannés, les données techniques suivantes sont collectées automatiquement : adresse IP, horodatage, type d'appareil et pays d'origine. Ces données sont traitées par QR Code Manager (qrcode-manager.org) sur des serveurs européens et utilisées exclusivement pour l'analyse de l'utilisation et la mesure des performances des campagnes.
Base juridique : Art. 6(1)(f) du RGPD (intérêt légitime à comprendre si nos supports marketing sont efficaces). Durée de conservation : 12 mois.
Idées fausses courantes
"J'ai besoin d'une bannière de cookies pour le suivi du code QR." Le suivi du scan QR fonctionne côté serveur lorsque la redirection est traitée ��� aucun cookie n'est placé sur l'appareil du visiteur. Les règles relatives aux cookies du RGPD s'appliquent au stockage côté navigateur, et non à la journalisation des redirections côté serveur.
"Je dois supprimer les données numérisées immédiatement sur demande." Pas nécessairement. Étant donné que QR Code Manager capture des données globales anonymisées (pas de noms, pas de profils, aucun moyen de lier de manière fiable une analyse à un individu), l'attribution à une personne spécifique n'est pas techniquement réalisable. Vous pouvez signaler un traitement anonymisé en réponse aux demandes de suppression.
**"Le suivi est intrinsèquement illégal sans consentement."**Non. Le suivi basé sur un intérêt légitime est légal en vertu du RGPD lorsqu'il est proportionné et ne restreint pas de manière disproportionnée la vie privée. Les analyses d'analyse anonymisées pour la mesure des campagnes répondent à cette norme dans la plupart des cas.
"J'ai besoin d'un DPA même pour une utilisation basique du code QR." Uniquement si le fournisseur traite des données personnelles en votre nom, ce qui est le cas lorsque le suivi des analyses est actif. Pour les codes QR statiques sans suivi, aucun DPA n'est nécessaire.
Situations particulières
QR Codes dans la restauration
Un code QR de restaurant lié à un menu avec suivi par scan répond aux exigences standard du RGPD. Une politique de confidentialité sur le site Web du restaurant couvrant l'analyse du code QR est suffisante. Aucune mesure particulière n'est nécessaire.
Codes QR sur l'emballage du produit
Pour les produits vendus à l’international, vérifiez si d’autres lois sur la protection des données s’appliquent parallèlement au RGPD : le RGPD britannique post-Brexit, le DSG suisse et le CPRA de Californie ont tous des exigences qui se chevauchent mais qui sont distinctes. Le RGPD de l'UE constitue la référence pour les marchés européens.
Codes QR dans le marketing B2B
Dans les contextes B2B, les analyses peuvent provenir des réseaux d’entreprise plutôt que d’appareils individuels : l’adresse IP appartient à l’organisation. Cela ne change rien à l'analyse du RGPD, mais cela signifie que les données scannées sont moins attribuables individuellement dans la pratique.
Questions fréquemment posées
Dois-je informer les gens avant de scanner ? Une déclaration générale dans votre politique de confidentialité suffit. Un bref avis sur le code QR lui-même — « L'analyse enregistre les données d'utilisation anonymes. Politique de confidentialité : [lien] » — ajoute de la transparence et constitue une bonne pratique pour les emplacements à haute visibilité, mais ce n'est pas légalement requis selon les directives actuelles du RGPD.
**Que se passe-t-il si quelqu'un demande la suppression de ses données numérisées ?**Étant donné que QR Code Manager stocke des données globales anonymisées sans profils personnels, lier une analyse à une personne spécifique n'est techniquement pas réalisable dans la plupart des cas. Vous pouvez expliquer le traitement anonymisé en réponse aux demandes de suppression. Pour des conseils précis sur votre configuration spécifique, consultez un délégué à la protection des données.
Un accord de traitement des données est-il requis ? Oui, lorsque le fournisseur de code QR traite les données personnelles en votre nom et que le suivi des scans est actif. QR Code Manager fournit un DPA sur demande.
Que se passe-t-il si j'utilise uniquement des codes QR sans suivi — codes statiques uniquement ? Aucune action RGPD requise. Les codes QR statiques qui codent simplement une URL et ne collectent aucune donnée n'ont aucune pertinence en matière de protection des données. Ils fonctionnent de la même manière que l’impression d’une URL sur un document imprimé.
Le RGPD s'applique-t-il si mon entreprise est située en dehors de l'UE ? Le RGPD s'applique lorsque vous traitez des données personnelles de personnes situées dans l'UE, quel que soit le lieu où est basée votre entreprise. Si vos codes QR sont utilisés sur les marchés de l'UE, le RGPD s'applique.
Remarque : cet article ne constitue pas un avis juridique. Pour des questions juridiques spécifiques, consultez un délégué à la protection des données ou un avocat.
Connexe : Analyse des codes QR – Ce que montrent vos données de numérisation · Guide des codes QR dynamiques · Configuration d'une campagne de codes QR