RGPD : donner sa carte de visite est-il constitutif de consentement explicite ?
Il y a peu d’actes plus anodins en affaires que donner sa carte de visite. Toutefois et au regard du nouveau Règlement général de protection des données (RGPD), tout risque de changer.
Les peuples d’Orient réservent un décorum précis et précieux à l’échange de carte de visite. Au Japon, l’échange de cartes porte un nom spécifique, meishi koukan, qui prévoit que les deux personnes de plus haut rang dans l’entreprise échangent leur carte en premier ; présentées avec les deux mains, l’inscription du nom vers le haut et vers la personne pour qu’elle puisse la lire directement ; exposées sur la table pendant toute la réunion. En Occident, la pratique est simple et directe avec un automatisme qui diminue l’importance de la mise en relation. Certains rangent la carte de visite de l’interlocuteur(ice) sans même la regarder ce qui est une grossièreté impardonnable en Orient.
L’article 4, alinéa 11 du RGPD précise que le consentement à l’utilisation des données personnelles doit être « libre, spécifique, éclairé et univoque ». Peut-on penser que donner sa carte de visite sur laquelle figure le nom, téléphone, adresses de courriel, twitter, et lieu de travail, constitue un tel consentement ? A priori oui, surtout si l’on pense à la manière orientale de donner sa carte de visite qui constitue une « offrande » de ses données personnelles et un « accord » pour leur utilisation. Toutefois, le doute est permis.
En Occident plus qu’en Orient, la remise de la carte de visite est souvent faite « sans réfléchir » aux conséquences, quelles qu’elles soient et sûrement encore moins celles relatives au RGPD. Une personne donne sa carte pour que l’autre soit en mesure de savoir à qui il a à faire et de pouvoir la contacter si besoin est. Il est peu probable qu’en offrant la carte, l’offrant soit consciemment en train de penser « je vous donne cette carte pour que vous puissiez utiliser mes données personnelles ». D’où le doute sur le consentement.
Toutefois, la carte de visite contient des données précises que le titulaire a étudiées et approuvées. En donnant sa carte la personne « donne » ses données. Cet acte pourrait être une autorisation univoque dans le cadre du RGPD. En tapant sur Google RGPD et son équivalent anglais GDPR on obtient 348,8 millions de résultats. Difficile dès lors de penser que l’on ignore la portée du Règlement Européen. Les tribunaux qui seront amenés à traiter cette question en tiendront sans doute compte.
Devant ce doute quelle solution envisager ? La plus évidente est d’inscrire une mention explicite sur la carte de visite : « ceci ne constitue pas un consentement explicite au sens du RGPD » ou « données personnelles qui ne doivent pas être utilisées sans mon consentement express ». Certes de telles inscriptions ne sont pas commodes à inscrire compte tenu du petit format des cartes de visites actuelles. Toutefois, dans quelques années la pratique même de remise des cartes de visite pourrait disparaître au profit d’une connectivité plus directe -même si moins personnelle- entre téléphones mobiles. Il sera dès lors possible de prévoir un texte à cet effet et même l’intégralité du texte du RGPD…
Le RGPD prévoit des sanctions jusqu’à 20 millions d’euros ou 4 % du CA. Si 20 millions peut paraître beaucoup, cela représente 4 % d’un CA de 500 millions, ce qui est peu par rapport au CA en 2016 par exemple de LVMH (37 milliards d’euros) ou d’Orange (41 milliards d’euros), sans parler de Google (79 milliards de dollars) ou d’Apple (215 milliards de dollars). Une amende de 4 % du CA d’Apple représenterait 8,6 milliards de dollars ! De quoi réfléchir avant de prendre le RGPD et l’utilisation des cartes de visite à la légère…