EUQR
← Tous les articles

25 Jun 2026

Les codes QR sont-ils conformes au RGPD ? Guide 2026 pour les entreprises européennes

Ceci constitue une information générale, pas un conseil juridique : en cas de doute, consultez un professionnel de la protection des données.

Le RGPD s'applique-t-il aux codes QR ?

Un code QR n'est qu'un lien ou un texte encodé. En soi, il ne collecte rien. Le RGPD entre en jeu de deux manières :

  1. Le suivi du scan. Un code QR dynamique fait transiter chaque scan par un serveur de redirection avant d'envoyer le visiteur vers sa destination. Ce serveur peut enregistrer des informations sur l'appareil qui a effectué le scan, et certaines de ces informations constituent des données personnelles au regard du droit européen.

  2. Ce que vous demandez après le scan. Si le code mène à un formulaire d'inscription, une page de capture de prospects, ou tout autre élément collectant des noms, adresses e-mail ou numéros de téléphone, vous traitez des données personnelles dès que la personne remplit ce formulaire.

La question n'est donc pas vraiment « les codes QR sont-ils conformes au RGPD ? » mais plutôt « mon suivi de scan et ma page d'atterrissage sont-ils conformes ? »

Quelles données un scan de code QR collecte-t-il réellement ?

Lorsqu'un code dynamique est scanné, une plateforme de suivi peut généralement voir :

  • L'adresse IP, utilisée pour estimer la localisation. Une adresse IP complète est considérée comme une donnée personnelle au sens du RGPD, car elle peut être rattachée à un individu.

  • La localisation approximative, généralement au niveau de la ville ou du pays, déduite de l'IP.

  • L'appareil et le navigateur : système d'exploitation, type d'appareil, navigateur (issus de la chaîne user-agent).

  • L'horodatage : la date et l'heure locale du scan.

Ce qu'un scan standard ne peut pas voir : votre nom, votre numéro de téléphone, votre e-mail, vos contacts ou votre position GPS précise. Ces informations ne sont collectées que si le visiteur les saisit volontairement sur une page, ou autorise explicitement la localisation dans son navigateur.

La ligne de démarcation essentielle en matière de conformité : une adresse IP complète est une donnée personnelle ; des statistiques agrégées et anonymisées ne le sont pas. Savoir que « 200 personnes à Lisbonne ont scanné ce code mardi, principalement sur iPhone » ne révèle rien sur un individu en particulier, et c'est exactement le type de données que vous pouvez exploiter librement.

Les quatre éléments qui rendent le suivi QR conforme

Les autorités européennes de protection des données et les principes mêmes du RGPD pointent vers les mêmes bonnes pratiques :

1. La minimisation des données. Ne collectez que ce dont vous avez besoin. Si vous comptez les scans d'une affiche, il n'est pas nécessaire de conserver les adresses IP brutes : des comptages agrégés et anonymisés suffisent pour presque toutes les décisions marketing. Les plateformes qui anonymisent ou hachent l'IP avant de la stocker (afin qu'elle ne puisse pas être rattachée à une personne) vous placent par défaut du bon côté de cette exigence.

2. Pas de cookies non essentiels sans consentement. C'est là que la plupart des entreprises trébuchent. Si votre code dynamique transmet le scan à Google Analytics, un pixel Meta, ou tout autre traceur tiers, ces outils déposent des cookies sur l'appareil du visiteur, et selon le RGPD et les règles ePrivacy, les cookies non essentiels nécessitent un consentement explicite et actif (une véritable bannière, pas une case précochée). Si votre suivi est côté serveur et anonymisé, une bannière pourrait ne pas être nécessaire pour le scan lui-même.

3. La transparence. Si la page qui suit le scan collecte des données personnelles, vous devez fournir une politique de confidentialité claire et accessible, expliquant ce que vous collectez, pourquoi, et pendant combien de temps. Cette information doit être visible, idéalement à proximité du code ou sur la page d'atterrissage.

4. Le droit à l'oubli. Les personnes peuvent vous demander de supprimer leurs données. Vous (et votre plateforme QR, agissant en tant que sous-traitant) devez être en mesure d'honorer cette demande. Une plateforme QR payante doit également fournir un accord de traitement des données (DPA), preuve que votre fournisseur traite les données de manière conforme.

Ce que personne ne mentionne : où vivent vos données

Voici une question qu'il vaut la peine de poser à votre outil QR actuel : sur quel continent mes données de scan sont-elles stockées ? Beaucoup des plateformes les plus connues, Bitly, QR Tiger, Uniqode, Flowcode, fonctionnent sur une infrastructure américaine. Cela ne les rend pas illégales, mais cela ajoute des questions de transfert international de données que vous devez documenter, et pour certaines organisations soucieuses de la vie privée, c'est purement et simplement rédhibitoire.

Conserver les données au sein de l'UE élimine toute cette catégorie de questions avant même qu'elles ne se posent. Combiné aux pratiques de suivi décrites ci-dessus, l'hébergement en UE associé à des analyses anonymisées et sans cookies constitue l'une des postures de conformité les plus solides possibles pour le suivi QR.

Une checklist de conformité simple

Avant d'imprimer le moindre code :

  • ✅ Utilisez une plateforme qui anonymise/hache les IP et ne stocke pas les adresses brutes.

  • ✅ Évitez les traceurs tiers dans le chemin de redirection, ou affichez une véritable bannière de consentement si vous en utilisez.

  • ✅ Si la page d'atterrissage collecte des données personnelles, ajoutez un lien vers une politique de confidentialité claire et ne collectez que le strict nécessaire.

  • ✅ Assurez-vous de pouvoir supprimer les données d'une personne sur demande.

  • ✅ Obtenez un DPA auprès de votre fournisseur (vous devriez pouvoir en télécharger un automatiquement avec un plan payant).

  • ✅ Bonus : choisissez une infrastructure hébergée dans l'UE pour éviter les questions de transfert de données.

La solution simple

Vous pouvez auditer votre outil actuel à l'aide de cette checklist, ou en utiliser un conçu pour la respecter par défaut. EUQR héberge vos données à Amsterdam, ne stocke jamais d'adresses IP brutes, ne dépose aucun cookie de suivi tiers, calcule ses statistiques à partir de hachages quotidiens préservant la vie privée, et fournit un DPA sur chaque compte payant. Vous obtenez les informations utiles (nombre de scans, localisation approximative, appareil) sans jamais détenir de données permettant d'identifier une personne.

Créez un code QR respectueux du RGPD, gratuitement et sans inscription →

FAQ

Are QR codes legal under the GDPR?
Yes. QR codes are legal; the data practices they trigger (scan tracking, landing-page forms) must follow GDPR rules on minimisation, consent, and transparency.
Do I need a cookie banner for a QR code?
No and you shouldn't try to. Compliant platforms only show anonymised, aggregate data (counts, rough location, device). Identifying individual scanners without consent is a problem under the GDPR.
Are static QR codes GDPR-compliant?
Static codes don't track anything they encode your link directly with no redirect server so there's no scan data to worry about. The GDPR only becomes relevant if the destination page collects personal data.
Can I see who scanned my QR code?
No and you shouldn't try to. Compliant platforms only show anonymised, aggregate data (counts, rough location, device). Identifying individual scanners without consent is a problem under the GDPR.