QRcito

· 7 min

Les générateurs de QR vous suivent-ils ? Comment vérifier en 30 secondes

Quelles données les générateurs de QR peuvent collecter, comment vérifier si le vôtre quitte votre navigateur, et comment choisir un outil privé sans tracker avec QRcito.

Les générateurs de QR vous suivent-ils ? Comment vérifier en 30 secondes

Créer un code QR semble anodin : vous remplissez un formulaire, vous obtenez une image. Ce que vous ne voyez pas, c'est ce qu'il advient des données saisies — si elles restent dans votre navigateur ou voyagent vers le serveur du fournisseur.

Pour le WiFi, la vCard, les paiements et toute donnée personnelle, cette différence compte.

Réponse rapide

  • Les générateurs de QR en ligne peuvent suivre deux choses distinctes : les données que vous saisissez (mot de passe, contact, URL) et qui scanne le QR ensuite.
  • Le suivi des données saisies dépend du fait que la génération soit côté serveur (les données voyagent) ou côté client (tout se passe dans votre navigateur).
  • Le suivi des scans n'est possible qu'avec des QR dynamiques : le QR pointe vers une URL du fournisseur qui enregistre chaque visite.
  • Vous pouvez vérifier en 30 secondes avec les DevTools de votre navigateur (l'onglet Network) pendant la génération.
  • Si vous saisissez des données sensibles (WiFi, vCard, paiements), utilisez des générateurs côté client, sans inscription, idéalement open source.

Quels types de tracking existent dans un générateur de QR

Trois couches distinctes :

1. Suivi des données que vous saisissez

Quand vous remplissez le formulaire (SSID, mot de passe, contact, URL), ces informations peuvent :

  • Rester dans votre navigateur et ne jamais être envoyées nulle part (génération côté client).
  • Voyager vers le serveur du fournisseur pour construire l'image et la renvoyer (génération côté serveur). Elles peuvent alors rester dans les logs, analytics ou bases de données.

La plupart des générateurs en ligne sont côté serveur par défaut, car c'est l'implémentation la plus simple. Cela ne signifie pas que le fournisseur est malveillant, mais que vos données passent par son infrastructure.

2. Suivi de l'utilisateur qui génère le QR

Comme tout site web, le générateur peut avoir :

  • Analytics (Google Analytics, Plausible, Matomo, etc.).
  • Cookies tiers et pixels publicitaires (Meta, TikTok, Google Ads).
  • Fingerprinting du navigateur pour vous identifier sans cookies.
  • Compte obligatoire qui lie chaque QR généré à votre identité.

C'est indépendant de la génération du QR elle-même, mais cela fait partie du package.

3. Suivi de qui scanne le QR

S'applique uniquement aux QR dynamiques : le code pointe vers une URL courte du fournisseur (qr.xx/abc123) qui redirige vers la vraie destination. Chaque redirection est enregistrée avec :

  • Heure exacte du scan.
  • IP de l'utilisateur (donc localisation approximative).
  • Type d'appareil, OS, navigateur.
  • Referer si présent.

Dans un QR dynamique, le tracking des scans n'est pas accidentel — c'est la raison d'être du produit.

Comment détecter si votre générateur vous suit (sans coder)

Trois minutes avec n'importe quel navigateur moderne :

  1. Ouvrez le générateur que vous comptez utiliser.
  2. Appuyez sur F12 (ou clic droit → Inspecter) et allez dans l'onglet Network.
  3. Cliquez sur le bouton d'enregistrement / gardez l'onglet ouvert et videz-le (bouton ⌀).
  4. Remplissez le formulaire du QR avec n'importe quelles données et appuyez sur « générer ».
  5. Observez les requêtes qui apparaissent dans la liste.

Ce qu'il faut regarder :

  • Si aucune nouvelle requête n'apparaît pendant la génération : le QR est construit 100 % dans votre navigateur. Côté client. ✅
  • Si une requête POST apparaît vers une URL du fournisseur au moment où vous cliquez sur générer, avec vos champs (SSID, mot de passe, etc.) dans la charge utile : vos données voyagent vers le serveur. Côté serveur. ❌ pour les données sensibles
  • Si la réponse est l'image du QR (PNG ou SVG) générée par le backend : cela confirme que le serveur construit le code.

Vérifiez aussi si la page charge Google Analytics, Meta Pixel ou d'autres scripts de tracking (vous verrez des requêtes vers google-analytics.com, googletagmanager.com, connect.facebook.net, etc.).

Signaux d'alerte évidents

Sans DevTools, quelques indicateurs rapides :

  • Ils exigent une inscription ou un compte pour générer un QR basique.
  • Ils ont un plan « PRO » avec tracking détaillé des scans : si c'est leur modèle économique, le tracking est dans l'ADN du produit.
  • Le QR téléchargé porte leur URL au lieu de la vôtre (qr.xx/abc123 au lieu de votredomaine.com) : c'est un QR dynamique, automatiquement tracké.
  • La politique de confidentialité mentionne le partage de données avec des tiers, des partenaires marketing ou un usage publicitaire.
  • Ils ne publient pas le code source et l'outil est gratuit sans modèle économique clair : quelqu'un paie pour ça, généralement avec vos données.

Comment vérifier qu'un générateur est côté client

Liste de contrôle rapide :

  • Fonctionne hors ligne : coupez le WiFi, rechargez la page et essayez de générer. Si ça marche, c'est côté client. Si la page ne charge plus ou ne vous laisse pas générer, ça dépend du serveur.
  • Aucune requête réseau pendant la génération (vérifiable avec DevTools comme ci-dessus).
  • Pas de compte requis, pas d'email.
  • Le code source est inspectable (open source ou JavaScript non minifié).
  • La destination du QR est exactement ce que vous tapez, pas une URL raccourcie du fournisseur.

Si les cinq points sont vrais, le générateur ne peut vous suivre ni suivre celui qui scanne.

Pourquoi cela compte le plus pour WiFi, vCard et paiements

Pour une URL publique (le site de votre entreprise, un PDF public), le fait que le générateur « voie » votre URL n'ajoute aucun risque : elle allait être publique de toute façon.

Mais il y a trois types de QR où le tracking est critique :

  • WiFi : le mot de passe de votre réseau. S'il voyage vers le serveur du fournisseur, il est hors de votre contrôle.
  • vCard : téléphone personnel, email, adresse. Données personnelles couvertes par le RGPD.
  • Paiements / Bitcoin : portefeuille, IBAN, données bancaires. Le niveau de sensibilité le plus élevé.

Pour ces cas, utiliser un générateur côté client n'est pas de la paranoïa — c'est une hygiène de base.

Open source vs propriétaire

Qu'un générateur soit open source ne garantit pas en soi plus de confidentialité, mais cela vous permet de :

  • Auditer le code et vérifier qu'il n'y a pas de tracking caché.
  • Confirmer la logique côté client sans croire le fournisseur sur parole.
  • L'auto-héberger si vous voulez un contrôle total.

Un générateur propriétaire peut être tout aussi privé, mais il faut faire confiance à ce que le fournisseur déclare. Sans code auditable, impossible de vérifier.

En pratique : open source + sans compte + pas de réseau pendant la génération = le plus haut standard raisonnable de confidentialité.

Conclusion

Presque tous les générateurs de QR en ligne traitent vos données sur leur serveur. C'est acceptable pour une URL publique, mais risqué pour le WiFi, la vCard ou les paiements. Pour vérifier en 30 secondes, ouvrez les DevTools, allez dans Network, et regardez si votre navigateur envoie des requêtes pendant la génération. Si non, c'est côté client et votre contenu ne quitte jamais votre appareil.

QRcito génère chaque QR entièrement dans votre navigateur, sans compte, sans réseau pendant la génération et sans trackers tiers. Vous pouvez vérifier en ouvrant les DevTools avant de cliquer sur générer.

FAQ

Que signifie « côté client » dans un générateur de QR ? Que le JavaScript qui construit l'image du QR s'exécute dans votre navigateur. Les données saisies ne sont jamais envoyées à un serveur. La génération est locale, instantanée et peut être hors ligne.

Est-il légal pour un générateur de QR de stocker mes données ? Si sa politique de confidentialité le déclare et que vous l'acceptez, oui. Le problème, c'est que beaucoup de politiques sont vagues ou ne couvrent pas les données spécifiques au QR. Dans le doute, supposez qu'ils stockent quelque chose et choisissez un autre outil si vos données sont sensibles.

Un QR statique peut-il suivre qui le scanne ? Non. Un QR statique ne passe par aucun serveur : l'information va directement du code au lecteur. Seuls les QR dynamiques (avec URL de redirection intermédiaire) peuvent suivre les scans.

Comment le RGPD s'applique-t-il aux générateurs de QR ? Si vous saisissez des données personnelles (nom, email, téléphone dans une vCard) dans un outil côté serveur basé dans l'UE ou servant des utilisateurs européens, le fournisseur est responsable du traitement selon le RGPD. Pour minimiser le risque et les obligations, la voie simple est d'utiliser des générateurs côté client.

Pourquoi QRcito peut-il tout offrir gratuitement sans tracking ? Parce que générer des codes QR est un processus léger qui ne nécessite pas d'infrastructure coûteuse. Être côté client signifie pas de coûts serveur par utilisateur ; sans tracking ni comptes, il n'y a pas de produit à vendre. Le site fonctionne à très faible coût, sans besoin de monétiser les utilisateurs.

Articles liés

Comment créer un code QR WiFi sans installer d'application Code QR statique vs dynamique : lequel vous faut-il vraiment Alternatives gratuites à QR Code Generator (sans paywall, sans inscription)

← Retour au blog