La conformité RGPD du passeport numérique des produits se situe à l'intersection de deux cadres réglementaires européens — le mandat de l'ESPR de partager des données produit et le mandat du RGPD de protéger les données personnelles. L'insight critique : la majorité des données DPP (composition des matériaux, indicateurs environnementaux, certifications) sont des données produit, non personnelles, et échappent entièrement au champ du RGPD. Mais trois points de contact spécifiques — les métadonnées de scan consommateur (adresses IP, confirmées comme données personnelles par l'arrêt CJUE C-582/14), les coordonnées des fabricants auto-entrepreneurs, et les contacts nommés dans la chaîne d'approvisionnement — déclenchent bien des obligations RGPD que l'article 10 de l'ESPR lui-même reconnaît explicitement en exigeant le consentement pour les données personnelles des clients dans les DPP.
Pourquoi le RGPD est-il important pour les passeports numériques ?
Un passeport numérique des produits implique des flux de données entre de multiples acteurs : les marques soumettent les données produit, les plateformes DPP les hébergent, les consommateurs scannent les codes QR pour y accéder, les partenaires de la chaîne d'approvisionnement y contribuent, et les autorités de surveillance du marché les auditent. Tout flux de données impliquant des données personnelles déclenche des obligations RGPD — indépendamment du fait que l'objectif principal de ce flux soit la transparence produit.
La majorité des données DPP sont des informations au niveau produit : composition des matériaux, empreinte carbone, consignes de recyclage, références de certifications. Rien de tout cela n'identifie un individu. Mais plusieurs points de contact dans l'écosystème DPP peuvent impliquer des données personnelles, et les marques doivent savoir exactement où se trouvent ces points de contact.
Le risque n'est pas hypothétique. Depuis l'entrée en vigueur du RGPD en mai 2018, les autorités européennes de protection des données ont infligé plus de 4,5 milliards EUR d'amendes cumulées dans le cadre de plus de 2 000 actions répressives (GDPR Enforcement Tracker, 2025). Si les sanctions du RGPD peuvent atteindre 20 millions EUR ou 4 % du chiffre d'affaires mondial annuel, le cadre de sanctions de l'ESPR impose à chaque État membre de fixer ses propres sanctions « effectives, proportionnées et dissuasives » (article 77). Une marque qui enfreint les deux s'expose à des sanctions cumulées provenant de deux régimes d'application indépendants.
En France, la CNIL (Commission nationale de l'informatique et des libertés) est l'autorité compétente pour le contrôle du RGPD. Ses recommandations et ses contrôles s'appliqueront aux aspects « données personnelles » de votre implémentation DPP, en complément des contrôles ESPR menés par la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes).
Quelles données DPP pourraient être des données personnelles ?
Coordonnées de l'opérateur économique
L'ESPR exige que les DPP incluent l'identification du fabricant : raison sociale, adresse et coordonnées d'une personne responsable. Pour les sociétés, les coordonnées professionnelles ne sont généralement pas des données personnelles. Mais pour les auto-entrepreneurs et entreprises individuelles — fréquents parmi les petites marques — le nom et l'adresse du fabricant identifient une personne physique et constituent donc des données personnelles au sens de l'article 4(1) du RGPD.
Données de scan du consommateur
Lorsqu'un consommateur scanne un code QR DPP, la plateforme d'hébergement peut capturer des métadonnées : adresse IP, type d'appareil, système d'exploitation, localisation approximative et horodatage. Au titre du RGPD, les adresses IP sont des données personnelles — la Cour de justice de l'UE l'a confirmé dans l'affaire C-582/14, Breyer c. Allemagne. Cela signifie que les analytics de scan consommateur nécessitent une base légale, qu'il s'agisse de l'intérêt légitime ou du consentement explicite.
Si votre plateforme DPP trace les scans consommateurs à des fins d'analytics, vous avez besoin d'un mécanisme de consentement cookies/traçage conforme au RGPD — les mêmes obligations qui s'appliquent à tout site web traçant ses visiteurs s'appliquent à votre plateforme d'hébergement DPP. En France, la CNIL a publié des lignes directrices strictes sur les cookies et traceurs (recommandation du 1er octobre 2020) qui s'appliquent pleinement ici. Ne supposez pas que parce que l'ESPR impose le DPP, les exigences de consentement RGPD disparaissent.
Individus dans la chaîne d'approvisionnement
Les personnes de contact en usine, les inspecteurs qualité et les auditeurs de certification nommés dans la documentation de la chaîne d'approvisionnement peuvent également déclencher des obligations RGPD. Si leurs noms ou coordonnées transitent par le système DPP — même derrière le niveau d'accès restreint — le RGPD s'applique à ces données. Les accords de traitement des données avec les partenaires de la chaîne d'approvisionnement doivent couvrir ce point.
Ce qui n'est explicitement PAS une donnée personnelle
La majorité du contenu DPP échappe entièrement au champ du RGPD :
- Composition des matériaux (ex. : 95,2 % coton biologique, 4,8 % élasthanne)
- Indicateurs environnementaux (ex. : 7,2 kg CO₂e d'empreinte carbone)
- Références de certifications (ex. : OEKO-TEX Standard 100, GOTS)
- Lieu de fabrication (adresse de l'usine, pas de contact individuel)
- Consignes de recyclage et fin de vie
- Identifiants produit (GTIN, numéros de lot, numéros de série)
Catégories de données DPP : personnelles vs. non personnelles
| Catégorie de données | Donnée personnelle ? | RGPD applicable ? |
|---|---|---|
| Composition des matériaux | Non | Non |
| Indicateurs d'impact environnemental | Non | Non |
| Identifiants produit (GTIN, lot) | Non | Non |
| Coordonnées de la société fabricante | Généralement non | Uniquement si entreprise individuelle |
| Nom/email de la personne responsable | Oui (si personne physique) | Oui |
| Métadonnées de scan consommateur (IP, localisation) | Oui | Oui |
| Personne de contact en usine | Oui (si nommée) | Oui |
| Certifications et normes | Non | Non |
| Consignes de recyclage | Non | Non |
Pour la plupart des petites marques, la surface de données personnelles dans un DPP est réduite — mais elle n'est pas nulle.
Ce que dit l'ESPR sur les données personnelles
L'ESPR n'ignore pas la protection des données. Le règlement aborde directement la relation entre DPP et données personnelles dans plusieurs dispositions :
- Exclusion des données clients : Les données à caractère personnel relatives aux clients ne peuvent pas être stockées dans le DPP sans leur consentement explicite. C'est un standard plus strict que l'exigence générale de « base légale » du RGPD — l'ESPR exige spécifiquement le consentement, pas l'intérêt légitime.
- Restrictions pour les prestataires de services : Les prestataires de services DPP ne peuvent pas vendre, réutiliser ou traiter les données de passeport au-delà de ce qui est strictement nécessaire pour les services d'hébergement et de traitement. Cela reflète le principe de limitation de la finalité du RGPD et est inscrit directement dans l'ESPR.
- Vérification des identifiants d'accès : La Commission adoptera des actes d'exécution pour les procédures de délivrance et de vérification des identifiants numériques des utilisateurs autorisés — garantissant que les données du niveau restreint ne sont accessibles qu'aux parties ayant un motif légitime.
- Obligations d'exactitude des données : Les opérateurs économiques doivent s'assurer que les données DPP sont exactes, complètes et à jour — en cohérence avec le principe d'exactitude du RGPD.
Ces dispositions signifient que l'ESPR a été conçu en tenant compte de la compatibilité avec le RGPD. Les deux règlements sont complémentaires, pas contradictoires.
Les 7 principes du RGPD appliqués aux DPP
Les sept principes fondamentaux du RGPD (article 5) s'appliquent tous dès que des données personnelles entrent dans l'écosystème DPP. Voici comment chaque principe se traduit dans le contexte DPP :
| Principe RGPD | Ce que cela signifie pour les DPP |
|---|---|
| 1. Licéité, loyauté, transparence | Identifiez une base légale pour tout traitement de données personnelles. L'intérêt légitime peut couvrir les contacts des opérateurs ; le traçage des scans consommateurs nécessite généralement le consentement. |
| 2. Limitation des finalités | Les données DPP collectées à des fins de conformité réglementaire ne peuvent pas être réutilisées à des fins marketing sans consentement séparé. Une marque ne peut pas utiliser les données de scan consommateur pour constituer des profils clients. |
| 3. Minimisation des données | Ne collectez que les données personnelles strictement nécessaires. Le système d'accès à trois niveaux le facilite en limitant qui voit quelles données. |
| 4. Exactitude | Les données DPP doivent être tenues à jour. Les données personnelles obsolètes (ex. : coordonnées d'un ancien responsable) doivent être corrigées ou effacées. |
| 5. Limitation de la conservation | Les données personnelles dans un contexte DPP peuvent nécessiter une conservation plus longue (alignée sur la durée de vie du produit), mais cela doit être justifié et documenté. |
| 6. Intégrité et confidentialité | Les contrôles d'accès, le chiffrement et l'hébergement sécurisé sont requis pour toute donnée personnelle au sein du système DPP. |
| 7. Responsabilité | Documentez vos mesures de conformité RGPD. Tenez les registres des activités de traitement (article 30 du RGPD) couvrant tous les flux de données personnelles dans votre implémentation DPP. |
Le système d'accès à trois niveaux du DPP (public / chaîne d'approvisionnement / réglementaire) est bien aligné avec le principe de minimisation des données du RGPD. Chaque niveau n'expose que les données pertinentes pour le rôle de l'utilisateur — les consommateurs ne voient pas les coordonnées des fournisseurs, et le public ne voit pas les formulations propriétaires. Ce contrôle d'accès intégré simplifie considérablement la conformité RGPD.
Niveaux d'accès DPP et minimisation des données
Le système d'accès à trois niveaux de l'ESPR correspond directement aux exigences du RGPD :
Niveau public : Ne contient que des données produit non personnelles — composition des matériaux, indicateurs environnementaux, instructions d'entretien, certifications. Pas de problème RGPD pour les données consultées en elles-mêmes. Cependant, l'acte de scanner le code QR peut générer des métadonnées personnelles (adresse IP, données d'appareil), qui nécessitent bien une base légale.
Niveau chaîne d'approvisionnement : Peut inclure des coordonnées de fournisseurs constituant des données personnelles. Nécessite des accords de traitement des données (DPA) entre la marque, la plateforme DPP et les partenaires de la chaîne d'approvisionnement. L'accès est limité aux parties vérifiées ayant un besoin légitime — recycleurs, réparateurs, distributeurs. Pour des exemples concrets du fonctionnement de ces niveaux d'accès, consultez notre visite guidée annotée.
Niveau réglementaire : Accès complet pour les autorités de surveillance du marché. La base légale est établie directement par l'ESPR — les autorités disposent d'une autorité statutaire explicite pour accéder à toutes les données DPP, y compris les données personnelles qu'elles contiennent. En France, la DGCCRF et les douanes disposent de ces pouvoirs.
Cette structure par niveaux signifie que les marques n'ont pas besoin d'appliquer le même niveau de protection RGPD à toutes les données DPP. Concentrez les contrôles de confidentialité sur les catégories de données qui contiennent effectivement des données personnelles, et laissez le système de niveaux d'accès gérer le reste.
Comment garantir la conformité RGPD dans votre DPP ?
Cinq étapes concrètes pour garantir que votre implémentation DPP satisfait les exigences du RGPD :
1. Réalisez une Analyse d'Impact relative à la Protection des Données (AIPD)
Cartographiez tous les flux de données personnelles dans votre système DPP. Identifiez chaque point où des données personnelles sont collectées, traitées ou stockées — des coordonnées de la personne responsable aux analytics de scan consommateur. Une AIPD est légalement requise si votre traitement implique un suivi systématique ou un traitement à grande échelle de données personnelles, et recommandée comme bonne pratique dans tous les cas. En France, la CNIL publie des guides méthodologiques et un outil PIA (Privacy Impact Assessment) gratuit pour faciliter cette démarche.
2. Mettez en place des mécanismes de consentement pour le traçage consommateur
Si votre plateforme DPP trace les scans consommateurs (c'est le cas de la plupart, à des fins d'analytics), ajoutez un mécanisme de consentement conforme au RGPD. C'est identique à l'exigence de consentement cookies sur tout site web. En France, les lignes directrices de la CNIL sur les cookies imposent un consentement explicite préalable — le simple « scroll » ou la poursuite de navigation ne constitue pas un consentement valide. Si votre plateforme ne trace pas les scans individuels — uniquement les pages vues agrégées — vos obligations de consentement sont significativement réduites.
3. Signez des accords de traitement des données (DPA)
Signez des DPA avec votre prestataire de services DPP et tout partenaire de la chaîne d'approvisionnement dont les données personnelles transitent par le système. Le DPA doit préciser : quelles données personnelles sont traitées, la finalité et la durée du traitement, les obligations de sécurité du sous-traitant, et les procédures relatives aux droits des personnes concernées.
4. Définissez des politiques de conservation des données
L'ESPR exige que les données DPP persistent pendant la durée de vie attendue du produit — ce qui peut représenter des années voire des décennies. Alignez la conservation des données produit sur les exigences ESPR, mais prévoyez des calendriers de révision séparés pour les données personnelles. Les coordonnées d'une personne responsable de 2027 ne devraient pas rester intactes dans le système jusqu'en 2040.
5. Documentez tout
Tenez les registres des activités de traitement requis par l'article 30 du RGPD. Cela inclut : les catégories de données personnelles traitées, les finalités du traitement, les catégories de destinataires, les durées de conservation prévues, et une description des mesures de sécurité. Cette documentation soutient également vos obligations de responsabilité au titre de l'ESPR.
La plupart des DPP de petites marques ne contiendront que très peu de données personnelles. Si vous utilisez une plateforme DPP qui ne trace pas les scans individuels des consommateurs et que vos données produit ne référencent que des noms de sociétés (pas d'individus), votre exposition RGPD est minimale. Calibrez votre effort de conformité proportionnellement — ne suringéniérez pas les contrôles de confidentialité sur des données qui ne sont pas des données personnelles.
Liste de vérification de conformité RGPD pour le DPP
Utilisez cette liste de vérification pour vérifier systématiquement la conformité RGPD dans votre implémentation DPP. Chaque élément correspond à une obligation RGPD spécifique. Pour la plupart des petites marques, la majorité de ces éléments seront des confirmations rapides — la surface de données personnelles dans un DPP typique est réduite.
Cartographie des données
- Identifiez toutes les données personnelles dans votre système DPP — Listez chaque champ de données pouvant identifier une personne physique (nom/email de la personne responsable, coordonnées d'auto-entrepreneur, personnes de contact en usine)
- Cartographiez la collecte de données de scan consommateur — Documentez quelles métadonnées votre plateforme d'hébergement DPP capture lorsque quelqu'un scanne un code QR (adresse IP, type d'appareil, localisation, horodatage)
- Classez chaque champ de données par niveau d'accès ESPR — Confirmez que les données personnelles sont restreintes au niveau approprié (chaîne d'approvisionnement ou réglementaire) et non exposées dans le niveau public sans consentement
Base légale
- Établissez la base légale pour chaque catégorie de données personnelles — L'intérêt légitime peut couvrir les contacts d'opérateurs économiques ; le traçage des scans consommateurs nécessite généralement le consentement
- Mettez en place un mécanisme de consentement pour le traçage consommateur — Si votre plateforme enregistre les données de scans individuels, ajoutez une bannière de consentement conforme au RGPD (identique aux exigences de consentement cookies sur les sites web). En France, les lignes directrices de la CNIL s'appliquent.
- Examinez l'exposition des auto-entrepreneurs — Si vous êtes auto-entrepreneur, vos nom et adresse dans le DPP constituent des données personnelles — confirmez que vous avez une base légale pour cette publication
Accords et documentation
- Signez des accords de traitement des données (DPA) avec votre prestataire de services DPP — Couvrant : quelles données personnelles sont traitées, finalité, durée, obligations de sécurité du sous-traitant, procédures relatives aux droits des personnes
- Signez des DPA avec les partenaires de la chaîne d'approvisionnement dont les données personnelles transitent par le système — Contacts en usine, inspecteurs qualité, auditeurs de certification nommés dans les données DPP
- Tenez des registres des activités de traitement (ROPA) selon l'article 30 du RGPD — Catégories de données personnelles, finalités, destinataires, durées de conservation, mesures de sécurité
Droits des personnes concernées
- Établissez un processus pour les demandes d'accès — Les individus nommés dans votre DPP (personnes responsables, contacts fournisseurs) ont le droit d'accéder à, corriger et demander la suppression de leurs données personnelles
- Définissez des calendriers de conservation des données pour les données personnelles — Séparé de la conservation des données produit (qui suit les exigences de durée de vie produit de l'ESPR). Révisez les données personnelles annuellement ; mettez à jour quand les individus changent de poste.
Sécurité
- Confirmez les mesures de sécurité de la plateforme DPP — Chiffrement, contrôles d'accès, résidence des données dans l'UE (si applicable)
- Vérifiez la conformité à l'article 10 de l'ESPR — Les données personnelles des clients ne peuvent pas être stockées dans le DPP sans consentement explicite. Confirmez que votre système applique cette règle.
Pour les marques déjà conformes au RGPD pour leur site web et leurs données clients, la plupart de ces éléments sont des extensions de processus existants, non de nouvelles capacités. L'effort RGPD incrémental pour le DPP est proportionnel à la quantité de données personnelles dans votre système — qui, pour la plupart des petites marques, est minime.
Qu'est-ce que cela signifie pour votre marque ?
Le chevauchement entre les obligations DPP et RGPD est plus étroit qu'il n'y paraît au premier abord. La grande majorité des données DPP — composition des matériaux, indicateurs environnementaux, certifications, consignes de recyclage — sont des données produit, pas des données personnelles, et échappent entièrement au champ du RGPD.
Là où le RGPD s'applique — analytics de scan consommateur, coordonnées de la personne responsable, individus nommés dans la chaîne d'approvisionnement — les obligations sont gérables et bien définies. Les marques déjà conformes au RGPD pour leurs sites web et données clients disposent des processus et de l'infrastructure pour gérer les données personnelles liées au DPP sans construire quoi que ce soit de nouveau.
L'essentiel est de ne pas confondre transparence produit et données personnelles. Un DPP informant les consommateurs qu'un t-shirt est composé à 95 % de coton biologique et a été fabriqué au Portugal ne pose pas de problème de vie privée. Une plateforme DPP enregistrant silencieusement l'adresse IP et la localisation de chaque consommateur qui scanne un code QR, si — et avec des amendes RGPD représentant en moyenne 1,5 million EUR par action répressive dans l'UE (GDPR Enforcement Tracker, 2025), le coût d'une erreur en ce domaine est bien réel.
Faites la différence, et construisez votre implémentation DPP en conséquence. Si le coût ou la complexité opérationnelle vous préoccupe, notre guide des défis DPP couvre les 7 plus grands obstacles des petites marques — y compris la qualité des données. Utilisez notre vérificateur de préparation DPP pour évaluer où en est votre marque sur les plans des données produit et de la conformité.
Questions fréquentes
Quels sont les 7 principes du RGPD ?
Les 7 principes du RGPD sont : licéité, loyauté et transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité ; et responsabilité. Dans un contexte DPP, ils s'appliquent principalement aux données de scan consommateur (adresses IP, informations d'appareil), aux coordonnées de l'opérateur économique (lorsqu'elles identifient une personne physique), et à tout individu nommé dans la chaîne d'approvisionnement. La plupart des données produit DPP — composition, indicateurs environnementaux, certifications — ne sont pas des données personnelles et échappent à ces principes.
Le scan d'un code QR DPP collecte-t-il des données personnelles ?
Cela dépend de l'implémentation de la plateforme d'hébergement. Lorsqu'un consommateur scanne un code QR, la plateforme peut capturer l'adresse IP, le type d'appareil, le système d'exploitation et la localisation approximative — tous éléments constituant des données personnelles au sens du RGPD selon l'arrêt Breyer de la CJUE (C-582/14). Si la plateforme se contente de servir la page DPP sans enregistrer de données visiteur individuelles, aucune donnée personnelle n'est collectée. Vérifiez la documentation de confidentialité de votre prestataire DPP pour comprendre ce qu'il capture. En France, la CNIL peut contrôler ces pratiques.
Les données personnelles de mes fournisseurs peuvent-elles se retrouver dans un DPP ?
Oui, si votre système DPP inclut des individus nommés des organisations fournisseurs — personnes de contact en usine, inspecteurs qualité, auditeurs de certification. S'il ne référence que des noms d'entreprises et des adresses de sites sans identifier de personnes spécifiques, aucune donnée personnelle n'est impliquée. Lorsque des noms individuels transitent par le système, vous avez besoin d'accords de traitement des données avec ces partenaires, et les données doivent être limitées aux niveaux d'accès chaîne d'approvisionnement ou réglementaire — jamais visibles dans le niveau public.
Combien de temps les données DPP doivent-elles être conservées au titre du RGPD ?
L'ESPR exige que les données DPP persistent pendant la durée de vie attendue du produit, ce qui peut s'étendre sur des années voire des décennies. Cela peut créer une tension avec le principe de limitation de la conservation du RGPD. La solution consiste à séparer les données produit (à conserver pour l'intégralité du cycle de vie tel qu'exigé par l'ESPR) des données personnelles (à réviser et minimiser régulièrement). Les coordonnées d'une personne responsable doivent être mises à jour quand la personne change de poste ; les données de scan consommateur doivent avoir une durée de conservation définie, typiquement pas plus longue que nécessaire pour les besoins d'analytics.
Dois-je réaliser une AIPD pour mon DPP ?
Si votre système DPP traite des données personnelles à grande échelle ou implique un suivi systématique — comme le traçage des scans consommateurs sur plusieurs produits ou régions — une Analyse d'Impact relative à la Protection des Données est légalement requise au titre de l'article 35 du RGPD. Pour une petite marque avec un DPP simple contenant uniquement des données produit et des informations au niveau entreprise, une AIPD peut ne pas être légalement requise mais reste recommandée comme bonne pratique. Elle vous oblige à cartographier les flux de données et à identifier les risques avant qu'ils ne deviennent des problèmes. La CNIL met à disposition un outil PIA gratuit pour vous accompagner dans cette démarche.
Quels sont 5 exemples de données personnelles dans un DPP ?
Cinq exemples de données personnelles pouvant apparaître dans un contexte DPP sont : (1) le nom et l'adresse email de la personne responsable indiqués comme contact produit, (2) l'adresse IP d'un consommateur capturée lors du scan du code QR, (3) le nom d'un inspecteur qualité d'usine consigné dans la documentation de la chaîne d'approvisionnement, (4) l'adresse personnelle d'un auto-entrepreneur utilisée comme adresse fabricant, et (5) les données de géolocalisation de l'appareil provenant des analytics de scan consommateur. Parmi celles-ci, seules la première et la quatrième sont stockées dans le DPP lui-même — les autres sont générées par la plateforme d'hébergement lors des interactions.
