Le QR code en lui-même n'est qu'un format d'image. Mais ce qu'il contient et la façon dont il est utilisé peuvent tomber sous le coup du RGPD et des recommandations de la CNIL. Voici les règles à connaître côté professionnel comme côté utilisateur.
1. QR statique sans tracking : neutre RGPD
Un QR code statique qui encode directement une URL publique ne traite aucune donnée personnelle au moment du scan : il n'y a pas de serveur tiers, pas de log, pas de cookie. Aucune obligation RGPD spécifique, hors celles de la page d'arrivée elle-même.
C'est exactement le cas de tous les QR générés par Convertly QR : génération 100 % côté navigateur, aucune donnée n'est envoyée à un serveur.
2. QR dynamique avec tracking : RGPD s'applique
Un QR dynamique (services payants type bit.ly, QR.io, Beaconstac) passe par un serveur qui logue chaque scan : adresse IP, horodatage, user-agent, géolocalisation approximative. C'est un traitement de données personnelles au sens du RGPD :
- Base légale à identifier (souvent : intérêt légitime, parfois consentement).
- Mention dans la politique de confidentialité du site.
- Durée de conservation limitée et documentée.
- Sous-traitant conforme RGPD (DPA signé avec le fournisseur du service QR).
3. Données personnelles encodées dans le QR
Un QR vCard peut contenir nom, téléphone, email, adresse — autant de données personnelles. Si vous le distribuez largement (signature email, affiche), c'est vous qui êtes responsable de la diffusion. Les bonnes pratiques CNIL :
- Encodez uniquement des données professionnelles (pas le domicile, pas le mobile perso).
- Pour un événement, préférez un QR vers une page de contact plutôt qu'une vCard nominative.
4. QR pass, ticket de transport, billetterie
Ces QR encodent des données nominatives signées. Côté utilisateur :
- Ne jamais publier en ligne un QR de billet, de pass ou de carte d'embarquement — il peut être copié.
- Floutez-le avant de partager une photo (réseaux sociaux, capture).
5. QR de paiement
Un QR SEPA contient IBAN et nom du bénéficiaire — données personnelles bancaires. Diffusion uniquement aux personnes concernées, stockage sécurisé si conservation.
6. Cookies après scan
Si le QR redirige vers une page qui pose des cookies de mesure d'audience ou de publicité, la bannière cookie doit s'afficher normalement, comme pour toute autre source de trafic. Le QR ne dispense de rien.
Synthèse
| Cas d'usage | Obligation RGPD |
|---|---|
| QR statique → site public | Aucune (au niveau du QR) |
| QR dynamique avec tracking | Mention, base légale, DPA fournisseur |
| QR vCard nominative | Données pro uniquement |
| QR pass / billet | Ne pas publier en ligne |
| QR paiement SEPA | Données bancaires sensibles |