RGPD et QR Codes : Ce que Vous Devez Vraiment Savoir
Les QR codes sont pertinents du point de vue de la protection des données — mais moins compliqués qu'on ne le craint souvent. Cet article explique quand les QR codes relèvent du RGPD, ce que vous devez documenter et comment rester dans la légalité avec un outil conforme au RGPD.
Quand les QR Codes Relèvent-ils du RGPD ?
QR Codes Statiques Sans Tracking
Un QR code statique qui pointe simplement vers une URL sans collecter de données n'a pas de pertinence RGPD. Techniquement, c'est simplement une image contenant un lien.
QR Codes Dynamiques avec Tracking des Scans
Dès qu'un QR code collecte des données de scan — c'est-à-dire enregistre quand et depuis où il est scanné — des données personnelles sont traitées. Cela relève du RGPD.
Quelles données sont collectées lors d'un scan ?
- Adresse IP du scanneur (donnée personnelle !)
- Horodatage
- Informations sur l'appareil (navigateur, système d'exploitation)
- Localisation approximative (dérivée de l'IP, généralement seulement pays/région)
Même si ces données semblent anonymes : les adresses IP sont classifiées comme données personnelles au sens du RGPD.
Ce que Vous Devez Faire : La Liste de Contrôle
1. Mettez à Jour votre Politique de Confidentialité
Si vous utilisez des QR codes avec tracking, vous devez le mentionner dans votre politique de confidentialité :
Contenu minimum :
- Que des QR codes avec tracking sont utilisés
- Quelles données sont collectées (IP, horodatage, appareil, pays)
- Dans quel but (analyse d'utilisation, mesure de campagne)
- Qui est le prestataire (ex. QR Code Manager, qrcode-manager.org)
- Combien de temps les données sont conservées
- Sur quelle base légale (généralement Art. 6(1)(f) RGPD — intérêt légitime)
2. Choisissez une Base Légale
Pour le simple tracking d'utilisation, l'intérêt légitime selon l'Art. 6(1)(f) du RGPD est généralement suffisant. Vous avez un intérêt légitime à savoir si vos supports imprimés sont utilisés.
Le consentement (bannière cookies) n'est généralement pas nécessaire pour le tracking de QR codes — contrairement au tracking web avec cookies.
3. Mettez à Jour votre Registre des Activités de Traitement
Dans le registre des activités de traitement (obligatoire pour les entreprises de plus de 20 salariés ou traitant des données sensibles), ajoutez une entrée pour "Analytique QR Code".
4. Choisissez un Prestataire Conforme au RGPD
Le service QR code traite des données de scan. Choisissez un prestataire qui :
- Traite les données sur des serveurs UE
- Opère de manière conforme au RGPD
- Propose un Accord de Traitement des Données (ATD)
QR Code Manager répond à toutes ces exigences : serveurs européens, traitement des données conforme au RGPD.
Idées Reçues Courantes
"Les QR codes n'ont pas besoin de bannière cookies"
Correct — les scans de QR codes ne déposent pas de cookies sur l'appareil de l'utilisateur. Une bannière cookies n'est donc généralement pas requise pour le tracking des scans de QR codes.
"Je dois supprimer tous les scans en temps réel"
Faux — vous n'avez pas besoin d'implémenter une suppression immédiate. Une durée de conservation appropriée (ex. 12 mois pour les statistiques d'utilisation) est admissible au regard de la protection des données.
"Le tracking est intrinsèquement illégal"
Faux — le tracking basé sur l'intérêt légitime est légal, tant qu'il est proportionné et ne restreint pas de manière disproportionnée la vie privée. Les statistiques d'utilisation anonymisées répondent à cette exigence.
Situations Particulières
QR Codes en Restauration
Un QR code de restaurant pointant vers un menu tout en capturant des données de scan relève des exigences RGPD standard. Une politique de confidentialité sur le site web est suffisante.
QR Codes sur les Emballages Produit
Pour les produits vendus à l'international : vérifiez si d'autres lois de protection des données s'appliquent en plus du RGPD (ex. UK GDPR post-Brexit).
QR Codes sur les Supports Publicitaires
Mêmes exigences qu'au-dessus. Important : le lien doit mener à la politique de confidentialité sur le site web de destination.
Texte Modèle pour votre Politique de Confidentialité
Vous pouvez utiliser ce modèle comme point de départ pour votre politique de confidentialité (faites-le vérifier juridiquement) :
Analyse des QR Codes
Sur nos supports marketing et dans nos locaux, nous utilisons des QR codes dynamiques. Lorsque ces codes sont scannés, des données techniques sont collectées : adresse IP, horodatage, type d'appareil et pays d'origine. Ces données sont traitées par QR Code Manager (qrcode-manager.org) sur des serveurs européens et sont utilisées exclusivement à des fins d'analyse d'utilisation.
Base légale : Art. 6(1)(f) RGPD (intérêt légitime). Durée de conservation : 12 mois.
Foire aux Questions
Dois-je informer les utilisateurs avant qu'ils scannent ? Une déclaration générale dans la politique de confidentialité est suffisante. Un avis séparé au niveau du QR code n'est pas obligatoire, mais recommandé : "En scannant, vous acceptez notre politique de confidentialité" crée de la transparence.
Que faire si quelqu'un demande la suppression de ses données de scan ? Puisque les scans de QR codes ne créent pas de profils personnels (seulement IP + appareil, sans identité), l'attribution à une personne est difficile en pratique. Vous pouvez indiquer le traitement anonymisé.
Un générateur de QR code standard sans conformité RGPD est-il suffisant ? Pour les codes statiques sans tracking : oui. Pour les codes de tracking : seulement si le prestataire opère de manière conforme au RGPD et propose un ATD.
Dois-je signer un Accord de Traitement des Données ? Si le prestataire QR code traite des données personnelles en votre nom (tracking de scans) : oui. QR Code Manager fournit un ATD sur demande.
Pour aller plus loin : Analytique QR Code — Tracker les Scans · Guide des QR Codes Dynamiques
Note : Cet article ne constitue pas un conseil juridique. Pour des questions légales spécifiques, consultez un délégué à la protection des données ou un avocat.