Le RGPD protège-t-il les cartes de visite ?
LE CERCLE/ECLAIRAGE - Le RGPD est entré en vigueur fin mai. Donner sa carte de visite est-il constitutif de consentement explicite à l'utilisation des données personnelles ?
Par Eric Gardner de Béville (membre du Cercle Montesquieu)
Il y a peu d'actes plus anodins en affaires que donner sa carte de visite. En Occident, la pratique est simple et directe et revêt même parfois un certain automatisme qui diminue l'importance de l'acte de mise en relation. Tout cela risque de changer avec le nouveau règlement général de protection des données personnelles (RGPD) entré en vigueur tel un big bang le 25 mai 2018.
L'article 4, alinéa 11 du RGPD précise que le consentement à l'utilisation des données personnelles doit être « libre, spécifique, éclairé et univoque ». Peut-on dès lors penser que le fait de donner sa carte de visite sur laquelle figure le nom, le numéro téléphone, l'adresse de courriel, le compte Twitter ou encore le lieu de travail, constitue un consentement « libre, spécifique, éclairé et univoque » ? De prime abord oui, surtout si l'on pense à la manière orientale de donner sa carte de visite.
Une pratique codifiée au Japon
Les peuples d'Orient réservent un décorum élégant, précis et précieux à la pratique de l'échange de carte de visite. Au Japon, pays raffiné et compliqué de milles coutumes et traditions, l'échange de carte de visite porte même un nom spécifique : « meishi koukan ».
Selon cette tradition ce sont les deux personnes de plus haut rang dans l'entreprise qui échangent leur carte en premier. Celles-ci sont toujours présentées avec les deux mains et avec l'inscription du nom vers le haut et vers la personne pour qu'elle puisse la lire directement. Les cartes sont toujours exposées sur la table pendant la durée de la réunion. La présentation facilitant la lecture est donc une « offrande » de ses données personnelles et un « accord » pour leur utilisation. Toutefois, le doute est permis pour l'Occident.
Vidéo - 2 minutes pour comprendre (enfin) le RGPD
Un échange anodin en Occident
Dans les pays occidentaux, la remise de la carte de visite est trop souvent faite sans réfléchir aux conséquences, quelles qu'elles soient et sûrement encore moins celles relatives au RGPD. Une personne donne sa carte de visite pour que la personne qui la reçoit soit en mesure d'abord de savoir à qui il a affaire et ensuite de pouvoir contacter la personne par la suite si besoin est.
Il est peu probable qu'en offrant la carte de visite, l'offrant soit consciemment en train de penser « je vous donne cette carte pour que vous puissiez utiliser mes données personnelles ». D'où le doute de savoir si la remise de la carte de visite est constitutive d'un consentement « libre, spécifique, éclairé et univoque » au sens du RGPD.
A l'inverse il n'est pas exclu de penser que dans la mesure où la carte de visite contient des données précises que le titulaire a étudiées et approuvées, en donnant sa carte la personne « donne » ses données. Cet acte pourrait être une autorisation univoque dans le cadre du RGPD. De plus, en tapant aujourd'hui « RGPD » et « GDPR » - son équivalent en anglais - sur Google on obtient 348,8 millions de résultats. Difficile dès lors de penser que l'on ignore la portée du Règlement Européen. Les tribunaux qui seront amenés à traiter cette question en tiendront sans doute compte.
Inscrire une mention
Devant un tel doute et surtout face aux risques associés de savoir si oui ou non il y a consentement, quelle solution dès lors envisager ? La plus évidente est sûrement d'inscrire une mention explicite sur la carte de visite du style « cette carte de visite ne constitue pas un consentement explicite au sens du RGPD » ou encore « les données personnelles figurant sur cette carte ne doivent pas être utilisées sans mon consentement express ». Il est vrai que de telles inscriptions ne sont pas commodes à inscrire compte tenu du petit format des cartes de visite actuelles.
Toutefois, il est fort possible que dans quelques années la pratique même de remise des cartes de visite ait disparu au profit d'une connectivité plus directe - même si aussi plus impersonnelle - entre téléphones mobiles. Il sera dès lors possible de prévoir un texte à cet effet et même - pourquoi pas - l'intégralité du texte du RGPD…
En cas de condamnation pour utilisation de données personnelles sans consentement explicite de la personne, le RGPD prévoit une sanction de soit 10 millions d'euros ou 2 % du chiffre d'affaires, soit 20 millions ou 4 % du chiffre d'affaires. De quoi réfléchir avant de prendre le RGPD et l'utilisation d'une carte de visite à la légère…
Eric Gardner de Béville est codirecteur de HR consulting group et avocat à Madrid.
Nouveau : découvrez nos offres Premium !
Nos Vidéos
SNCF : la concurrence peut-elle faire baisser les prix des billets de train ?
Crise de l’immobilier, climat : la maison individuelle a-t-elle encore un avenir ?
