Les QR Codes sont partout : menus, produits, événements, formulaires d'inscription. Mais peu de gens réalisent que derrière ce petit carré peut se cacher une collecte de données personnelles — avec des obligations légales claires au titre du RGPD européen et de la LGPD brésilienne.

Si vous créez des QR Codes pour votre activité, vous devez savoir ce que vous pouvez et ne pouvez pas collecter. Si vous scannez des QR Codes de tiers, comprendre ce qu'ils peuvent savoir de vous vous protège. Ce guide couvre les deux aspects.

Pourquoi les lois sur la vie privée s'appliquent aux QR Codes

Le RGPD et la LGPD réglementent tout traitement de données personnelles par des personnes physiques ou morales — y compris via les QR Codes. Cela comprend :

  • Les formulaires liés à des QR Codes collectant nom, e-mail, numéro fiscal, téléphone
  • Les données de suivi des scans (heure, localisation approximative, appareil)
  • Toute information qui identifie ou peut identifier une personne

Si vous servez des clients en Europe et au Brésil, les deux réglementations peuvent s'appliquer simultanément.

Angle 1 — Vous qui CRÉEZ le QR Code et collectez des données

Ce qui requiert une attention juridique

Lorsque le QR pointe vers un formulaire, une page d'inscription ou tout système stockant des données utilisateur, les obligations légales s'appliquent :

Situation Précaution vie privée
QR → formulaire d'inscription (nom, e-mail) Consentement explicite + finalité claire requis
QR → formulaire avec numéro fiscal ou données de santé Données sensibles : base légale renforcée + consentement spécifique
QR statique avec donnée personnelle dans l'URL À éviter absolument — la donnée est exposée et ne peut être effacée
QR dynamique suivant les scans Légitime, mais à mentionner dans la politique de confidentialité
QR → système de connexion ou authentification Implique un traitement : documentez la base légale
QR dans les espaces publics (rue, boutique) L'utilisateur ne s'attend pas à une collecte — informez-le avant

Les trois questions obligatoires

Avant de créer tout QR Code menant à une collecte de données, répondez à :

  1. Pourquoi vais-je utiliser ces données ? (finalité — doit être déclarée)
  2. Quelle est la base légale ? (consentement, contrat, intérêt légitime, obligation légale…)
  3. Combien de temps vais-je les conserver et comment les supprimer ?

Si vous ne pouvez pas répondre aux trois, ne publiez pas encore le QR.

Données sensibles = vigilance accrue

Santé, biométrie, origine raciale, convictions religieuses, données d'enfants : si le formulaire lié collecte l'une de ces catégories, le consentement doit être spécifique, mis en évidence et non ambigu. Dans ces cas, utilisez toujours un QR Code protégé par mot de passe pour restreindre l'accès au formulaire.

N'exposez jamais de données personnelles dans un QR statique public

Un QR statique encode son URL définitivement. Si vous y intégrez un numéro fiscal, un token utilisateur ou un e-mail, cette donnée reste accessible à quiconque le scanne — et vous ne pouvez pas "effacer" un QR imprimé. Utilisez des identifiants de session anonymes à la place.

Angle 2 — Le suivi des scans : ce qui est légitime

Les QR Codes dynamiques enregistrent des informations à chaque scan :

Donnée collectée par le QR dynamique Est-ce une donnée personnelle ? Que faire
Heure du scan Non (isolée) OK — utiliser pour l'analyse des pics
Pays/ville approximatif (par IP) Potentiellement — l'IP est une donnée personnelle Mentionner dans la politique de confidentialité
Type d'appareil / système d'exploitation Non (agrégé) OK — utiliser pour optimiser la landing page
IP complète stockée individuellement Oui Base légale + durée de conservation requises
Localisation précise (GPS) Oui — donnée sensible Uniquement avec consentement explicite

Bonnes pratiques pour un suivi légitime :

  • Mentionnez la collecte de données d'accès dans votre politique de confidentialité
  • Ne stockez pas les IP individuelles plus longtemps que nécessaire
  • Utilisez des données agrégées (ville, pas adresse exacte)
  • Si vous utilisez UTM + Google Analytics, configurez correctement l'anonymisation des IP

Angle 3 — Pour ceux qui SCANNENT : ce qu'un QR peut savoir de vous

Ce qu'un QR Code peut savoir (via le système de destination)

  • L'heure à laquelle vous avez scanné
  • La ville/région approximative (via l'IP de votre téléphone)
  • Le type d'appareil et le système d'exploitation
  • Si vous avez cliqué sur un lien par la suite

Ce qu'un QR Code ne peut pas faire par le scan seul

  • Installer une application sans votre action
  • Accéder à vos contacts, caméra ou microphone
  • Connaître votre nom, numéro fiscal ou toute donnée identifiable — sauf si vous remplissez un formulaire ensuite

Signes d'un QR Code malveillant

Méfiez-vous si le QR :

  • Mène à une URL suspecte ou raccourcie qui ne révèle pas la destination
  • Demande l'installation immédiate d'une application inconnue
  • Ouvre un formulaire demandant des données personnelles sans contexte clair
  • Est collé sur le QR d'origine dans un établissement (possible attaque par substitution)

Avant de scanner un QR inconnu, vérifiez si le lien est sûr. Et lisez notre article sur la sécurité des QR Codes pour comprendre les risques réels.

Créer des QR Codes conformes avec Code2Scan

Étape par étape

  1. Définissez la finalité avant de créer — ce que l'utilisateur trouvera et quelles données seront collectées
  2. Utilisez un QR dynamique pour pouvoir mettre à jour la destination et contrôler les données de suivi — créez un QR dynamique ici
  3. Pour le contenu restreint, utilisez un QR Code protégé par mot de passe — seuls ceux qui ont le mot de passe y accèdent
  4. Pour les formulaires, affichez l'avis de confidentialité et le lien vers votre politique de données avant la soumission
  5. Ajoutez des balises UTM si vous utilisez des analytics — et assurez-vous que GA a l'anonymisation d'IP activée — comment suivre avec UTM
  6. Documentez quelles données sont collectées, pendant combien de temps et qui y a accès
  7. N'imprimez pas de données personnelles directement dans l'URL d'un QR statique

QR statique vs. dynamique sous l'angle de la vie privée

Le QR dynamique est bien plus facile à maintenir en conformité : vous pouvez changer la destination, mettre fin à la collecte et mettre à jour la politique sans réimprimer. Le QR statique, une fois imprimé, ne peut pas être "mis à jour".

Erreurs courantes

❌ Croire que le QR Code est "juste un lien" sans implication légale

Si la destination collecte des données, la loi sur la vie privée s'applique entièrement. Le QR n'est que le canal d'accès.

❌ Ne pas informer l'utilisateur qu'il y aura collecte de données

Toute collecte de donnée personnelle exige d'en informer la personne concernée — avant ou au moment de la collecte.

❌ Mettre des numéros fiscaux ou tokens personnels dans l'URL

La donnée personnelle dans l'URL se retrouve dans les logs serveur, l'historique du navigateur et les données analytics. Évitez-le.

❌ Utiliser un QR protégé par mot de passe comme substitut à la conformité

Le mot de passe restreint l'accès, mais ne remplace pas le consentement et la base légale si des données sont collectées à destination.

❌ Ignorer le RGPD pour les audiences européennes

Si votre campagne touche l'Europe, le RGPD s'applique — et il est parfois plus strict que la LGPD (ex : cookies et suivi nécessitent un consentement actif).

Résumé

  1. Si vous créez : définissez finalité, base légale et durée de conservation avant de publier le QR
  2. Donnée sensible dans le formulaire de destination → QR protégé + consentement spécifique
  3. Jamais de données personnelles directement dans l'URL d'un QR statique public
  4. Le suivi des scans est légitime — mais mentionnez-le dans votre politique de confidentialité
  5. Si vous scannez : le QR seul n'accède pas à vos données personnelles — le risque est dans le formulaire ou l'app de destination
  6. QR dynamique = plus de contrôle, plus facile à maintenir en conformité

Utilisez un QR Code protégé par mot de passe dès que le contenu de destination est restreint ou implique des données sensibles. Créez de façon responsable et préservez la confiance de vos utilisateurs.