Les QR Codes sont partout : menus, produits, événements, formulaires d'inscription. Mais peu de gens réalisent que derrière ce petit carré peut se cacher une collecte de données personnelles — avec des obligations légales claires au titre du RGPD européen et de la LGPD brésilienne.
Si vous créez des QR Codes pour votre activité, vous devez savoir ce que vous pouvez et ne pouvez pas collecter. Si vous scannez des QR Codes de tiers, comprendre ce qu'ils peuvent savoir de vous vous protège. Ce guide couvre les deux aspects.
Pourquoi les lois sur la vie privée s'appliquent aux QR Codes
Le RGPD et la LGPD réglementent tout traitement de données personnelles par des personnes physiques ou morales — y compris via les QR Codes. Cela comprend :
- Les formulaires liés à des QR Codes collectant nom, e-mail, numéro fiscal, téléphone
- Les données de suivi des scans (heure, localisation approximative, appareil)
- Toute information qui identifie ou peut identifier une personne
Si vous servez des clients en Europe et au Brésil, les deux réglementations peuvent s'appliquer simultanément.
Angle 1 — Vous qui CRÉEZ le QR Code et collectez des données
Ce qui requiert une attention juridique
Lorsque le QR pointe vers un formulaire, une page d'inscription ou tout système stockant des données utilisateur, les obligations légales s'appliquent :
| Situation | Précaution vie privée |
|---|---|
| QR → formulaire d'inscription (nom, e-mail) | Consentement explicite + finalité claire requis |
| QR → formulaire avec numéro fiscal ou données de santé | Données sensibles : base légale renforcée + consentement spécifique |
| QR statique avec donnée personnelle dans l'URL | À éviter absolument — la donnée est exposée et ne peut être effacée |
| QR dynamique suivant les scans | Légitime, mais à mentionner dans la politique de confidentialité |
| QR → système de connexion ou authentification | Implique un traitement : documentez la base légale |
| QR dans les espaces publics (rue, boutique) | L'utilisateur ne s'attend pas à une collecte — informez-le avant |
Les trois questions obligatoires
Avant de créer tout QR Code menant à une collecte de données, répondez à :
- Pourquoi vais-je utiliser ces données ? (finalité — doit être déclarée)
- Quelle est la base légale ? (consentement, contrat, intérêt légitime, obligation légale…)
- Combien de temps vais-je les conserver et comment les supprimer ?
Si vous ne pouvez pas répondre aux trois, ne publiez pas encore le QR.
Données sensibles = vigilance accrue
Santé, biométrie, origine raciale, convictions religieuses, données d'enfants : si le formulaire lié collecte l'une de ces catégories, le consentement doit être spécifique, mis en évidence et non ambigu. Dans ces cas, utilisez toujours un QR Code protégé par mot de passe pour restreindre l'accès au formulaire.
N'exposez jamais de données personnelles dans un QR statique public
Un QR statique encode son URL définitivement. Si vous y intégrez un numéro fiscal, un token utilisateur ou un e-mail, cette donnée reste accessible à quiconque le scanne — et vous ne pouvez pas "effacer" un QR imprimé. Utilisez des identifiants de session anonymes à la place.
Angle 2 — Le suivi des scans : ce qui est légitime
Les QR Codes dynamiques enregistrent des informations à chaque scan :
| Donnée collectée par le QR dynamique | Est-ce une donnée personnelle ? | Que faire |
|---|---|---|
| Heure du scan | Non (isolée) | OK — utiliser pour l'analyse des pics |
| Pays/ville approximatif (par IP) | Potentiellement — l'IP est une donnée personnelle | Mentionner dans la politique de confidentialité |
| Type d'appareil / système d'exploitation | Non (agrégé) | OK — utiliser pour optimiser la landing page |
| IP complète stockée individuellement | Oui | Base légale + durée de conservation requises |
| Localisation précise (GPS) | Oui — donnée sensible | Uniquement avec consentement explicite |
Bonnes pratiques pour un suivi légitime :
- Mentionnez la collecte de données d'accès dans votre politique de confidentialité
- Ne stockez pas les IP individuelles plus longtemps que nécessaire
- Utilisez des données agrégées (ville, pas adresse exacte)
- Si vous utilisez UTM + Google Analytics, configurez correctement l'anonymisation des IP
Angle 3 — Pour ceux qui SCANNENT : ce qu'un QR peut savoir de vous
Ce qu'un QR Code peut savoir (via le système de destination)
- L'heure à laquelle vous avez scanné
- La ville/région approximative (via l'IP de votre téléphone)
- Le type d'appareil et le système d'exploitation
- Si vous avez cliqué sur un lien par la suite
Ce qu'un QR Code ne peut pas faire par le scan seul
- Installer une application sans votre action
- Accéder à vos contacts, caméra ou microphone
- Connaître votre nom, numéro fiscal ou toute donnée identifiable — sauf si vous remplissez un formulaire ensuite
Signes d'un QR Code malveillant
Méfiez-vous si le QR :
- Mène à une URL suspecte ou raccourcie qui ne révèle pas la destination
- Demande l'installation immédiate d'une application inconnue
- Ouvre un formulaire demandant des données personnelles sans contexte clair
- Est collé sur le QR d'origine dans un établissement (possible attaque par substitution)
Avant de scanner un QR inconnu, vérifiez si le lien est sûr. Et lisez notre article sur la sécurité des QR Codes pour comprendre les risques réels.
Créer des QR Codes conformes avec Code2Scan
Étape par étape
- Définissez la finalité avant de créer — ce que l'utilisateur trouvera et quelles données seront collectées
- Utilisez un QR dynamique pour pouvoir mettre à jour la destination et contrôler les données de suivi — créez un QR dynamique ici
- Pour le contenu restreint, utilisez un QR Code protégé par mot de passe — seuls ceux qui ont le mot de passe y accèdent
- Pour les formulaires, affichez l'avis de confidentialité et le lien vers votre politique de données avant la soumission
- Ajoutez des balises UTM si vous utilisez des analytics — et assurez-vous que GA a l'anonymisation d'IP activée — comment suivre avec UTM
- Documentez quelles données sont collectées, pendant combien de temps et qui y a accès
- N'imprimez pas de données personnelles directement dans l'URL d'un QR statique
QR statique vs. dynamique sous l'angle de la vie privée
Le QR dynamique est bien plus facile à maintenir en conformité : vous pouvez changer la destination, mettre fin à la collecte et mettre à jour la politique sans réimprimer. Le QR statique, une fois imprimé, ne peut pas être "mis à jour".
Erreurs courantes
❌ Croire que le QR Code est "juste un lien" sans implication légale
Si la destination collecte des données, la loi sur la vie privée s'applique entièrement. Le QR n'est que le canal d'accès.
❌ Ne pas informer l'utilisateur qu'il y aura collecte de données
Toute collecte de donnée personnelle exige d'en informer la personne concernée — avant ou au moment de la collecte.
❌ Mettre des numéros fiscaux ou tokens personnels dans l'URL
La donnée personnelle dans l'URL se retrouve dans les logs serveur, l'historique du navigateur et les données analytics. Évitez-le.
❌ Utiliser un QR protégé par mot de passe comme substitut à la conformité
Le mot de passe restreint l'accès, mais ne remplace pas le consentement et la base légale si des données sont collectées à destination.
❌ Ignorer le RGPD pour les audiences européennes
Si votre campagne touche l'Europe, le RGPD s'applique — et il est parfois plus strict que la LGPD (ex : cookies et suivi nécessitent un consentement actif).
Résumé
- Si vous créez : définissez finalité, base légale et durée de conservation avant de publier le QR
- Donnée sensible dans le formulaire de destination → QR protégé + consentement spécifique
- Jamais de données personnelles directement dans l'URL d'un QR statique public
- Le suivi des scans est légitime — mais mentionnez-le dans votre politique de confidentialité
- Si vous scannez : le QR seul n'accède pas à vos données personnelles — le risque est dans le formulaire ou l'app de destination
- QR dynamique = plus de contrôle, plus facile à maintenir en conformité
Utilisez un QR Code protégé par mot de passe dès que le contenu de destination est restreint ou implique des données sensibles. Créez de façon responsable et préservez la confiance de vos utilisateurs.