RGPD et Cartes de visite virtuelles : Guide de conformité 2026
La conformité au RGPD pour les Cartes de visite virtuelles est obligatoire si vous faites des affaires au sein ou avec l'UE, et les amendes en cas de non-conformité sont très lourdes. Elles peuvent atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros, le montant le plus élevé étant retenu.
J'ai accompagné des dizaines de services juridiques d'entreprises face à cette question cruciale : « Notre plateforme de Cartes de visite virtuelles est-elle conforme au RGPD ? » Après avoir conçu la solution d'entreprise de Wave Connect pour répondre simultanément aux exigences SOC 2 Type II et RGPD, j'ai compris ce qui compte vraiment et ce qui relève du simple argument marketing. Ce guide vous propose une analyse détaillée article par article, une liste de contrôle pour l'évaluation et les erreurs que j'ai pu observer directement chez les équipes.
Ce que vous apprendrez
- Le RGPD vous concerne-t-il ? Spoiler : si vos cartes contiennent des noms et des adresses e-mail, oui.
- Analyse article par article : Les 8 articles du RGPD qui affectent directement les Cartes de visite virtuelles
- Comment évaluer les plateformes : une checklist en 7 points que j’utilise avec les clients entreprises
- Erreurs fréquentes : Les 6 erreurs RGPD que je vois les équipes commettre sans cesse
- Liste de contrôle du déploiement : étapes de conformité avant, pendant et après le déploiement
Pourquoi la conformité au RGPD est importante pour les Cartes de visite virtuelles en 2026
Voici le chiffre qui retient l'attention des services juridiques : 1,97 milliard d'euros d'amendes liées au RGPD infligées rien qu'en 2023. Meta a écopé d'une amende de 1,2 milliard d'euros. Amazon : 746 millions d'euros. Google : 90 millions d'euros. Il ne s'agit pas de petites entreprises commettant des erreurs de débutant ; elles disposaient de services de conformité entiers. (Source : Rapport DLA Piper sur les amendes liées au RGPD, janvier 2024. )
Alors pourquoi devriez-vous vous intéresser spécifiquement aux Cartes de visite virtuelles ?
Car chaque Carte de visite virtuelle traite des données personnelles. Point final. Un nom, une adresse e-mail, un numéro de téléphone, une fonction : tout cela constitue une donnée personnelle au sens du RGPD. Dès que vous mettez en place une plateforme de Cartes de visite virtuelles pour votre équipe, vous introduisez une nouvelle activité de traitement de données dont votre DPO doit être informé.
Qui a réellement besoin de s'en préoccuper ? Plus d'organisations qu'on ne le pense :
- Les entreprises basées dans l'UE - évidemment
- Entreprises américaines ou britanniques ayant des clients ou partenaires dans l'UE : si un résident de l'UE scanne votre carte, le RGPD s'applique.
- Les secteurs réglementés du monde entier – services financiers, santé et cabinets juridiques – adoptent souvent le RGPD comme norme de base, même en dehors de l'UE.
- Toute entreprise possédant une filiale dans l'UE (un seul bureau à Dublin) doit se conformer à la réglementation pour l'ensemble de sa plateforme.
Le RGPD s'applique-t-il à vos Cartes de visite virtuelles ?
Réponse courte : presque certainement oui.
L’article 2 du RGPD définit son champ d’application de manière extensive. Tout traitement de données à caractère personnel – et une Carte de visite virtuelle contenant un nom, une adresse électronique, un numéro de téléphone ou une fonction constitue une donnée à caractère personnel – relève du règlement si le responsable du traitement ou la personne concernée se trouve dans l’Union européenne.
Voici le point qui prête souvent à confusion : vous êtes le responsable du traitement des données, et non le fournisseur de la plateforme . Votre plateforme de Carte de visite virtuelle est le sous-traitant. Cela signifie que la responsabilité légale de la conformité incombe à votre organisation. La plateforme doit simplement vous fournir les outils nécessaires pour être en conformité.
Le problème de Schrems II
Si vous êtes une entreprise de l'UE utilisant une plateforme hébergée aux États-Unis, vous devez composer avec une contrainte supplémentaire. L' arrêt Schrems II a invalidé le Bouclier de protection des données UE-États-Unis, ce qui signifie que le transfert de données personnelles vers des serveurs américains requiert au minimum des clauses contractuelles types (CCT), ainsi qu'une analyse d'impact relative au transfert (AIDT) attestant que le fournisseur américain offre une protection adéquate.
Mon conseil ? Privilégiez les plateformes proposant des options d’hébergement en Europe ou, mieux encore, les domaines en marque blanche qui vous permettent de garder le contrôle de vos données. Vous éviterez ainsi tous les problèmes liés à l’arrêt Schrems II.
Exigences du RGPD pour les Cartes de visite virtuelles (Article par article)
Entrons dans le détail. Voici les huit articles du RGPD qui ont un impact direct sur la manière dont vous déployez et gérez vos Cartes de visite virtuelles. 📋
Article 5 : Minimisation des données
Vos Cartes de visite virtuelles ne doivent collecter que les données strictement nécessaires. Si la plateforme collecte des données sur l'appareil du destinataire, son adresse IP ou des données comportementales au-delà de vos besoins, il s'agit d'une violation. Demandez à votre fournisseur : quelles données collectez-vous en plus de celles explicitement fournies par l'utilisateur ?
Article 6 : Base juridique du traitement
Vous devez disposer d'une base légale pour traiter les données de vos cartes. Dans la plupart des cas d'utilisation de Cartes de visite virtuelles, il s'agit soit du consentement (le destinataire a choisi d'enregistrer votre carte), soit de l'intérêt légitime (échange de coordonnées dans un contexte professionnel). Documentez la base légale sur laquelle vous vous appuyez.
Article 17 : Droit à l'effacement
C'est un point crucial. Lorsqu'une personne demande la suppression de ses données, il faut les supprimer définitivement. Pas les signaler. Pas programmer leur suppression dans 30 jours. Il faut les supprimer. J'ai testé la suppression des données sur plusieurs plateformes. Certaines sont instantanées. D'autres appliquent des délais de conservation de 30 jours, dissimulés dans leurs politiques de confidentialité, ce qui crée un vide juridique en matière de conformité.
Article 25 : Protection des données dès la conception
Votre plateforme doit intégrer la protection de la vie privée dès sa conception, et non l'ajouter après coup. C'est là que les plateformes web présentent un avantage structurel. Aucune application à installer, donc aucune autorisation d'accès superflue à vérifier : pas d'accès aux contacts, à la caméra, à la géolocalisation ou au stockage à justifier au titre de l'article 25.
Article 28 : Exigences relatives aux sous-traitants
Vous devez impérativement signer un accord de traitement des données (ATD) avec votre fournisseur de Cartes de visite virtuelles. Cet accord est non négociable. L'ATD doit préciser quelles données sont traitées, à quelles fins, pendant combien de temps elles sont conservées et ce qui se passe à la fin du contrat. Si un fournisseur est incapable de vous fournir un ATD sur demande, refusez toute collaboration.
Article 30 : Registres de traitement
Vous êtes tenu de tenir un registre de toutes les activités de traitement. Le déploiement de votre Carte de visite virtuelle doit être documenté : données collectées, base légale du traitement, durée de conservation et transferts à des tiers. J’ai vu des équipes déployer une plateforme et oublier de mettre à jour leurs enregistrements au titre de l’article 30. Six mois plus tard, le DPO le découvre lors d’un audit interne. Une conversation qui risque de mal tourner.
Article 32 : Sécurité du traitement
Chiffrement. Contrôles d'accès. Évaluations de sécurité régulières. C'est là que les certifications comme SOC 2 Type II deviennent réellement utiles : elles constituent une preuve tierce que le fournisseur respecte les normes de sécurité, et non un simple argument marketing.
Articles 33-34 : Notification de violation de données
En cas de violation de données de votre plateforme de Cartes de visite virtuelles, vous disposez de 72 heures pour en informer votre autorité de contrôle. Ce délai court à compter de la réception de la notification par votre fournisseur de plateforme. Assurez-vous que votre contrat de protection des données (DPA) comprenne une clause de notification des violations assortie d'un délai précis – idéalement de 24 à 48 heures – afin de vous laisser le temps d'évaluer la situation avant l'expiration du délai de 72 heures.
Comment évaluer la conformité des plateformes de Cartes de visite virtuelles au RGPD
J'utilise ces sept questions avec tous mes clients entreprises. Si une plateforme ne peut pas répondre clairement aux sept, c'est un signal d'alarme. 🔐
Liste de contrôle d'évaluation RGPD en 7 questions
- Où sont hébergées les données ? Dans l’UE, aux États-Unis ou dans plusieurs régions ? La plateforme propose-t-elle un hébergement exclusivement européen ?
- Pouvez-vous fournir un accord de protection des données (DPA) ? Avec des plafonds de responsabilité, des listes de sous-traitants et des clauses de notification des violations ?
- À quelle vitesse les données sont-elles supprimées ? Instantanément, après 24 heures ou avec une durée de conservation de 30 jours ?
- Quelles données collectez-vous en plus de celles fournies par les utilisateurs ? Informations sur l’appareil ? Adresses IP ? Suivi comportemental ?
- Disposez-vous d'une certification de sécurité tierce ? SOC 2 Type II, ISO 27001 ou équivalent ?
- Que deviennent les données en cas d'annulation ? Délai de suppression et certificat de destruction ?
- La plateforme influence-t-elle l'expérience des destinataires ? Les badges « Propulsé par » et les e-mails de sollicitation des destinataires présentent des risques proches du RGPD : ils présentent votre fournisseur comme responsable du traitement des données auprès de VOS contacts sans leur consentement.
🚩 Signaux d'alerte à surveiller
- « Nous sommes conformes au RGPD » sur le site web, sans aucune documentation pour le prouver.
- Aucune protection des données disponible ou réponse du type « nous vous recontacterons » à la question.
- Conservation des données pendant 30 jours après les demandes de suppression
- Hébergement exclusivement aux États-Unis, sans clauses contractuelles types ni évaluation d'impact sur les transferts.
- Autorisations d'application allant au-delà du nécessaire : contacts, appareil photo, localisation pour une carte de visite ?
- Sollicitation des destinataires : la plateforme envoie des courriels à vos contacts pour les inciter à s’inscrire (introduction d’un nouveau responsable du traitement des données sans consentement).
À quoi ressemble concrètement une plateforme de Cartes de visite virtuelles conforme au RGPD ?
Permettez-moi de vous expliquer concrètement à quoi ressemble la conformité, en utilisant Wave Connect comme référence puisque c'est la plateforme que j'ai conçue spécifiquement pour répondre à ces exigences.
Double certification : SOC 2 Type II + RGPD
La norme SOC 2 gère les contrôles de sécurité (chiffrement, gestion des accès, réponse aux incidents). Le RGPD, quant à lui, encadre les droits relatifs aux données (consentement, effacement, portabilité). Les deux sont indispensables. Une plateforme certifiée SOC 2 mais non conforme au RGPD n'est que partiellement conforme. Wave est certifiée SOC 2 et fait l'objet d'audits annuels réalisés par un organisme indépendant. Pour une analyse approfondie des implications de la norme SOC 2 pour les Cartes de visite virtuelles, j'ai rédigé un article dédié .
Souveraineté des données via les domaines en marque blanche
Voici un point souvent négligé : lorsque les Cartes de visite virtuelles de votre équipe sont hébergées sur cards.yourcompany.com plutôt que sur vendor-name.com/your-card , vous préservez la souveraineté de vos données. Celles-ci transitent par votre domaine. Il s’agit d’une différence significative pour la conformité à la directive Schrems II et pour les organisations soumises à des exigences de résidence des données.
Architecture basée sur un navigateur = Moins de vecteurs d'intrusion
L'absence d'application implique l'absence d'autorisations sur l'appareil. Aucun accès à la liste de contacts. Aucune synchronisation des données en arrière-plan. Du point de vue de l'article 25 du RGPD, les plateformes web sont structurellement plus simples à auditer, car le risque d'erreurs est considérablement réduit.
Suppression instantanée des données
Quand je dis instantané, c'est instantané. Pas de mise en file d'attente. Pas de « délai de 30 jours ouvrables ». Lorsqu'un utilisateur ou un administrateur demande la suppression, les données sont effacées. C'est ce qu'exige l'article 17, et c'est ce que votre DPO vérifiera.
Zéro marque, zéro sollicitation
Ce point est plus important qu'on ne le pense concernant le RGPD. Lorsqu'une plateforme ajoute la mention « Propulsé par [Fournisseur] » à vos cartes et envoie ensuite un e-mail à vos destinataires pour les inviter à s'inscrire, ce fournisseur devient de facto responsable du traitement des données de vos contacts, sans leur consentement. Wave ne procède pas ainsi. Vos contacts restent vos contacts.
DPA avec des conditions claires
Wave propose un accord de protection des données (DPA) incluant des plafonds de responsabilité, la transparence des sous-traitants, la notification des violations de données sous 24 heures et des certificats de suppression des données à la fin du contrat. Si vous évaluez des plateformes d'entreprise , c'est le standard auquel vous devriez vous attendre.
Erreurs courantes liées au RGPD avec les Cartes de visite virtuelles (et comment les éviter)
Je les ai tous vus. Plus d'une fois. 😬
Erreur n° 1 : Supposer qu’un site web « conforme au RGPD » est certifié
Il n'existe aucun organisme de certification RGPD. N'importe qui peut afficher « conforme au RGPD » sur sa page d'accueil. Ce qu'il vous faut, ce sont des preuves : un accord de protection des données (APD), un registre des activités de traitement, des audits de sécurité réalisés par des tiers (SOC 2, ISO 27001) et une documentation précise sur la manière dont les droits des personnes concernées sont gérés. Demandez les justificatifs.
Erreur n° 2 : Ignorer Schrems II pour les plateformes hébergées aux États-Unis
Si votre fournisseur de Cartes de visite virtuelles héberge des données exclusivement aux États-Unis et ne peut pas fournir de clauses contractuelles types ni d'analyse d'impact relative aux transferts, vous êtes confronté à un problème de conformité. Le cadre de protection des données UE-États-Unis est utile, mais uniquement si le fournisseur est certifié. Vérifiez, ne présumez de rien.
Erreur n° 3 : Négliger l’accord de protection des données
L'article 28 exige la signature d'un accord de protection des données (APD) entre chaque responsable du traitement et chaque sous-traitant. J'ai vu des équipes déployer des centaines de cartes sans jamais signer d'APD avec leur fournisseur. Si une autorité de contrôle demande : « Où est votre accord de traitement ? » et que la réponse est le silence, cela constitue un constat d'infraction.
Erreur n°4 : Ne pas tester la suppression des données
Ne vous fiez pas aux dires du fournisseur. Créez un profil de test. Demandez sa suppression. Ensuite, essayez d'y accéder via une URL directe, une API ou des liens mis en cache. S'il est toujours présent après la période de suppression annoncée, vous avez un problème.
Erreur n° 5 : Négliger les autorisations des applications
Les plateformes basées sur des applications demandent souvent l'accès à votre liste de contacts, à votre appareil photo, à votre localisation et à votre espace de stockage. Chaque autorisation constitue un traitement de données qui doit être justifié au titre de l'article 5 et documenté au titre de l'article 30. Les alternatives basées sur un navigateur, comme Wave, s'en affranchissent complètement.
Erreur n° 6 : Oublier la documentation relative à l’article 30
Votre registre des activités de traitement doit inclure votre plateforme de Carte de visite virtuelle. Je recommande de l'ajouter la semaine même de son déploiement. Document : catégories de données collectées, base juridique, durée de conservation, sous-traitants et transferts transfrontaliers.
Considérations relatives au RGPD propres à chaque secteur d'activité
Le RGPD ne s'applique pas de manière isolée. Selon votre secteur d'activité, vous devez faire face à des exigences de conformité à plusieurs niveaux.
Services financiers (RGPD + MiFID II)
Les institutions financières sont soumises à une double obligation. MiFID II impose la conservation des communications avec les clients, tandis que le RGPD exige la minimisation des données. Votre plateforme de Carte de visite virtuelle doit trouver un juste équilibre : conserver les données lorsque cela est nécessaire tout en les supprimant sur demande. Les équipes commerciales du secteur financier ont besoin de plateformes dotées de contrôles d’administration précis et de pistes d’audit.
Cabinets d'avocats (Confidentialité avocat-client + RGPD)
Le secret professionnel entre l'avocat et son client ajoute une dimension de sensibilité supplémentaire. Les données de contact échangées via des Cartes de visite virtuelles peuvent concerner des informations confidentielles. Les cabinets d'avocats devraient privilégier les plateformes offrant un chiffrement de bout en bout et des options de souveraineté des données ; il est impératif d'éviter que les données de contact des clients ne soient stockées sur l'infrastructure partagée d'un fournisseur.
Santé (RGPD + Lois nationales sur les données de santé)
Les organismes de santé traitent des données sensibles conformément à l'article 9 du RGPD. Bien qu'une Carte de visite virtuelle ne contienne pas de données de santé à proprement parler, le lien entre un professionnel de santé et un contact peut être considéré comme sensible. Les plateformes hébergées dans l'UE, certifiées SOC 2 et dotées de contrôles d'accès stricts constituent le minimum requis.
SaaS et technologies (RGPD comme exigence client)
Même si vous êtes une entreprise SaaS basée aux États-Unis, vos clients européens s'informeront sur votre conformité au RGPD lors de leurs achats. Si les Cartes de visite virtuelles de votre équipe fonctionnent sur une plateforme non conforme, cela sera relevé lors de l'évaluation de votre fournisseur par votre client. Anticiper ce problème avec une plateforme certifiée vous évitera bien des tracas lors de vos futurs achats.
Liste de contrôle de conformité au RGPD pour le déploiement de votre Carte de visite virtuelle
J'utilise cette checklist en trois phases pour chaque déploiement en entreprise. Imprimez-la, partagez-la avec votre DPO et cochez chaque case. ✅
Pré-déploiement
- ☐ Contrat de protection des données signé avec votre fournisseur de Cartes de visite virtuelles
- ☐ Emplacement d'hébergement des données vérifié (UE privilégiée pour les opérations au sein de l'UE)
- ☐ Analyse d'impact relative à la protection des données (AIPD) réalisée en cas de traitement à grande échelle
- ☐ Base juridique documentée du traitement (consentement vs intérêt légitime)
- ☐ Liste des sous-traitants du fournisseur examinée
- ☐ Fonctionnalité de suppression instantanée des données confirmée (testez-la vous-même)
Pendant le déploiement
- ☐ Mise à jour de votre registre des activités de traitement au titre de l'article 30
- ☐ Paramètres de conservation des données configurés conformément à votre politique
- ☐ Configurer les contrôles d'accès administrateur (qui peut consulter/modifier/supprimer les cartes)
- ☐ Vérification que les cartes destinées aux destinataires ne comportent aucune marque tierce non autorisée ni collecte de données
Après le déploiement
- ☐ Mise en place d'une procédure de traitement des demandes d'accès aux données (DSAR)
- ☐ Examens d'accès trimestriels programmés pour les comptes d'administrateur
- ☐ Mettre en place un processus de notification des violations de données (le fournisseur vous informe dans les 24 heures, vous notifiez l'autorité compétente dans les 72 heures)
- ☐ Examen annuel prévu des termes de l'accord de protection des données et des certifications de sécurité des fournisseurs
Si vous recherchez une plateforme qui répond à tous les critères de cette liste dès sa mise en service, l'offre Entreprise de Wave Connect est conçue précisément pour ce cas d'utilisation. Double conformité SOC 2 et RGPD, domaines en marque blanche, suppression instantanée et accord de protection des données prêt à signer.
Vous souhaitez tâter le terrain avant de vous engager pour votre entreprise ? Le plan gratuit à vie de Wave vous permet d’évaluer par vous-même la conformité de la plateforme au RGPD : sans carte de crédit, sans marque sur vos cartes, sans aucune obligation.
Foire aux questions
Le RGPD s'applique-t-il aux Cartes de visite virtuelles ?
Oui, les Cartes de visite virtuelles contiennent des données personnelles (noms, adresses électroniques, numéros de téléphone) soumises à l'article 2 du RGPD. Si vous ou le destinataire résidez dans l'UE, le RGPD s'applique.
Que se passe-t-il si ma plateforme de Cartes de visite virtuelles n'est pas conforme au RGPD ?
Vous vous exposez à des amendes pouvant atteindre 20 millions d'euros ou 4 % de votre chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. En tant que responsable du traitement des données, la responsabilité juridique incombe à votre organisation, et non au fournisseur de la plateforme.
Puis-je utiliser une Carte de visite virtuelle hébergée aux États-Unis dans l'UE ?
Oui, mais uniquement avec des clauses contractuelles types (CCT) et une analyse d'impact relative au transfert. Les plateformes hébergées dans l'UE ou les domaines en marque blanche simplifient considérablement la conformité.
Qu'est-ce qu'un DPA et en ai-je besoin pour mes Cartes de visite virtuelles ?
Un accord de traitement des données est un contrat légalement obligatoire entre vous (responsable du traitement) et votre fournisseur de plateforme (sous-traitant) en vertu de l'article 28 du RGPD. Oui, vous en avez besoin avant le déploiement.
Comment vérifier la conformité d'une plateforme au RGPD ?
Demandez leur accord de protection des données (DPA), la liste de leurs sous-traitants, leurs procédures de suppression des données et leurs certifications de sécurité tierces (SOC 2 Type II, ISO 27001). Il n'existe pas de « certification RGPD » officielle ; recherchez plutôt des preuves documentées.
Quel est le droit à l'effacement prévu par le RGPD pour les Cartes de visite virtuelles ?
L’article 17 confère aux personnes le droit d’obtenir l’effacement de leurs données personnelles dans les meilleurs délais. Votre plateforme doit permettre une suppression instantanée, et non une conservation pendant 30 jours.
Les Cartes de visite virtuelles accessibles via navigateur sont-elles plus conformes au RGPD que les applications ?
Les plateformes basées sur un navigateur sont structurellement plus simples à mettre en œuvre pour la conformité au RGPD car elles ne nécessitent pas d'autorisations d'accès à l'appareil (contacts, caméra, localisation) qui doivent être justifiées en vertu de l'article 25.
Qu’est-ce que le concept de « protection des données dès la conception » pour les Cartes de visite virtuelles ?
L’article 25 du RGPD exige que les plateformes intègrent la protection des données dès leur conception, et non comme une option supplémentaire. Les plateformes web qui collectent un minimum de données répondent plus naturellement à cette exigence que les applications mobiles.
Ai-je besoin d'un nom de domaine en marque blanche pour être conforme au RGPD ?
Ce n'est pas obligatoire, mais les domaines en marque blanche (par exemple, cards.votresociété.com) simplifient la souveraineté des données et facilitent la conformité à la directive Schrems II. Les données transitent par votre domaine plutôt que par l'infrastructure d'un fournisseur tiers.
Combien de temps les plateformes peuvent-elles conserver les données supprimées en vertu du RGPD ?
Le RGPD exige la suppression des données « sans délai excessif », ce que les autorités de réglementation interprètent généralement comme une suppression immédiate ou sous quelques jours. Les plateformes qui conservent les données pendant 30 jours après une demande de suppression présentent un risque de non-conformité.
Déployez des Cartes de visite virtuelles conformes au RGPD
Certification SOC 2 Type II. Suppression instantanée des données. Domaines en marque blanche. Accord de protection des données inclus. Aucune sollicitation des destinataires. Conçu pour les secteurs réglementés.
Commencez avec Wave EnterpriseÀ propos de l'auteur : George El-Hage est le fondateur de Wave Connect, une plateforme de Cartes de visite virtuelles certifiée SOC 2 Type II, utilisée par plus de 150 000 professionnels dans le monde. Fort de plus de six ans d'expérience dans le déploiement de Cartes de visite virtuelles au sein de secteurs réglementés tels que les services financiers, la santé et le droit, George est spécialisé dans la conformité des entreprises et la protection des données pour les technologies de partage de contacts. Retrouvez-le sur LinkedIn .
