Fusions & Acquisitions, La première revue des raprochements d'entreprises

DOSSIERS

Impacts de la réglementation sur la protection des données personnelles sur les opérations de M&A

par Christophe Fichet, Associé,
et Anne Baudequin, Collaboratrice,
Avocats à la Cour,
Simmons & Simmons LLP



 
 Parfois décrié, souvent source d’inquiétude et de confusion, le règlement général sur la protection des données personnelles (« RGPD »)1 offre pourtant de nouvelles opportunités de valorisation pour les entreprises dans un marché où les investisseurs sont de plus en plus soucieux des enjeux liés aux technologies et aux données en particulier.
A l’occasion du premier anniversaire de son entrée en vigueur, il apparaît particulièrement opportun de relever les principaux enjeux, sources de l’interprétation et application par les autorités compétentes du RGPD à l’aune des opérations d’acquisition.

+ - télécharger en PDF Imprimer Envoyer l'article par e-mail
Analyse des apports et enjeux du RGPD
L’entrée en vigueur du RGPD le 25 mai 2018 a induit un profond changement de paradigme dans l’approche de la protection des données personnelles. Jusqu’ici basé sur un principe de démarches préalables auprès de la CNIL2 (déclarations de conformité ou demandes d’ autorisation), le régime légal repose désormais sur une logique de conformité (principe d’accountability).
Cette mise en conformité doit également prendre en compte les exigences supplémentaires imposées par la Loi Informatique et Libertés3 telle que modifiée par la loi du 20 juin 2018 n°2018-493, prise en application du RGPD.

CONCEPTS CLEFS

QU’EST-CE QU’UNE DONNEE PERSONNELLE ?5 :
une donnée à caractère personnel ou donnée personnelle est toute information concernant une personne physique qui peut être identifiée, directement ou indirectement.
Il peut s’agir de nom, d’un numéro d'identification, de données de localisation, d’un identifiant en ligne, ou d’un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, etc.

QU’EST CE QU’UN TRAITEMENT DE DONNEES PERSONNELLES ?
Un « traitement de données personnelles » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).
 

Une politique interne de gouvernance des données personnelles doit désormais être mise en place par chaque entreprise, notamment :
  • Le recensement des fichiers  avec la tenue de registres d’activités de traitement détaillant les traitements réalisés ;
  • La sensibilisation et la formation du personnel au régime légal de la protection des données personnelles ;
  • La désignation d’un délégué à la protection des données (DPO – Data Protection Officer), obligatoire ou simplement recommandée selon la nature des traitements réalisés ;
  • La limitation de la collecte aux données nécessaires dont l’entreprise a besoin afin d’atteindre l’objectif déterminé ;
  • La maitrise et la sécurisation des données personnelles ;
  • L’identification des risques posés par les traitements eu égard aux personnes concernées ;
  • L’intégration des droits des personnes concernées notamment le droit à l’oubli, à la modification, correction et suppression, à la limitation du traitement, à la portabilité des données ;
  • La réalisation d’analyses d’impact relatives à la protection des données en cas de risque élevé pour les droits et les données des personnes concernées ;
  • Une politique de notification de violation de données personnelles le cas échéant.
L’importance de la mise en conformité est renforcée par la sévérité des sanctions applicables : l’amende administrative encourue peut atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial.
Les entreprises, pas toujours préparées - souvent en raison d’une mauvaise sensibilisation aux enjeux de la protection des données personnelles, sont pourtant désormais responsables de garantir et de démontrer à tout moment la conformité des traitements mis en œuvre (responsable de traitement) ou bien réalisés pour le compte d’un responsable de traitement (sous-traitant) par la mise en place de mesures techniques et organisationnelles suffisantes quant au type de données traitées et de l'impact de ces traitements vis-à-vis des personnes concernées.
En outre et contrairement à une idée reçue, la mise en conformité ne peut se limiter à un instant donné, mais doit au contraire perdurer dans le temps et s’adapter aux changements affectant l’entreprise. 
Plutôt qu’une contrainte légale, la mise en conformité doit être considérée comme un des piliers de la stratégie numérique des entreprises, un avantage concurrentiel, une garantie de confiance pour leurs clients et une condition de sa valorisation par tout tiers acquéreur.

PRINCIPAUX POINTS D’ATTENTION POUR LES ACQUEREURS ET INVESTISSEURS
Dans le cadre de leurs opérations de M&A, les investisseurs doivent s’assurer de la conformité de la société cible mais aussi de la conformité de l’opération envisagée.

L’audit de conformité de la société cible
Les investisseurs doivent ainsi s’interroger quant à la conformité de la cible à ses obligations légales en matière de protection des données personnelles, à la fois en interne, notamment dans la conduite de ses activités et dans les relations avec ses salariés mais aussi en externe, dans ses relations avec ses fournisseurs, clients ou autres prestataires.
Afin d’évaluer tant le niveau d’avancement que la qualité de cette mise en conformité, un questionnaire, à la fois général et détaillé, dont le contenu devra être adapté en fonction du domaine d’activité de la cible, pourra lui être soumis.

LES GRANDS PRINCIPES
  • Licéité et loyauté des traitements
  • Transparence dans l’utilisation des données
  • Des finalités de traitements légitimes et proportionnelles
  • L’exactitude des données personnelles
  • Conservation des données limitées
  • Sécurisation des données et des traitements

Ce questionnaire devra intégrer des demandes de communication de la documentation de conformité, notamment les registres de traitements mis en place,  les politiques internes à l’entreprise, par exemple celles en matière de violation de données, de sécurité informatique et de conservation des données. De même, les notices d’information des employés, des clients et des fournisseurs, les éventuelles analyses d’impacts ou encore les mesures mises en place pour encadrer les transferts de données notamment dans les pays hors de l’Espace Economique Européen n’offrant pas un niveau de protection adéquat au regard des règles du RGPD.
Cet audit devra être assorti d’un audit technique du système d’information de la cible, afin d’évaluer les processus et mesures mis en place pour répondre notamment aux exigences de sécurité des données en cohérence avec les mesures opérationnelles et juridiques définies mais également pour parer tout risque de violation des données en raison d’un évènement extérieur, telle une intrusion malveillante, ou d’une défaillance interne.
Les conclusions de l’audit de conformité permettront de façon triviale de déterminer le risque de sanction et partant de dépréciation de l’actif considéré.
En cas de non-conformité avérée, les investisseurs pourront en effet en tenir compte dans le cadre de la négociation du contrat d’acquisition, notamment quant aux déclarations, garanties et clauses indemnitaires pouvant couvrir le passif en lien avec ladite non-conformité et toute action qui en découlerait.
Un acquéreur pourra également exiger la mise en place d’actions correctives ou curatives pre ou post closing. En effet, outre le risque de sanctions financières encourues, le défaut de conformité peut notamment conduire à l’annulation de la cession des fichiers4.
La détermination de l’absence de conformité pourra également opportunément impacter le montant de l’offre d’achat de la cible.
L’acquéreur devrait par ailleurs évaluer en amont les mesures à mettre en place post-closing pour achever, si nécessaire, la mise en conformité et assurer l’intégration de la cible dans le nouveau groupe de l'acquéreur.

La nécessaire conformité des modalités de l’opération mises en œuvre préalablement à l’acquisition
Le simple accès à des documents traitant des données personnelles dans la data room doit être considéré comme un traitement de données personnelles. Hors, dans le cadre d’opérations complexes, un grand nombre d’acteurs pourront avoir accès à cette data room, notamment, les investisseurs concernés, les auditeurs techniques et financiers, les banques d’affaires, ou encore les conseils juridiques. 
Les parties prenantes à l’opération de M&A envisagée devront donc s’assurer des modalités de communication des documents et de certaines informations en data room, et ce malgré des contraintes de temps extrêmement serrées .
A ce titre, l’accord de confidentialité devra intégrer un certain nombre d’engagements par les parties quant à la protection des données personnelles concernées qui seront traitées ainsi que des éventuels transferts internationaux de données si certains des acteurs de l’opération sont situés hors de l’Espace Economique Européen.
Ces problématiques devront en outre être répercutées dans le contrat avec le prestataire fournisseur de la data room virtuelle, lequel devra notamment garantir la mise en œuvre de mesures techniques suffisantes afin de garantir l’intégrité et la sécurité des documents et des informations qui lui sont communiquées. Il conviendra également de s’assurer des problématiques de restrictions d’accès à mettre en place pour que seules les équipes concernées aient accès aux documents nécessaires à leur revue.
Enfin, la constitution de la data room devra elle aussi se faire en conformité avec la réglementation applicable. Seules les données strictement nécessaires aux finalités pour lesquelles elles sont traitées pourront être communiquées en data room. En pratique, les documents susceptibles de contenir des données personnelles qui ne seraient pas nécessaires à la réalisation de l’audit devront être anonymisés. A défaut, et plus particulièrement dans le cas où des données dites sensibles (tenant par exemple au numéro de sécurité sociale des personnes concernées, de leur opinions, notamment syndicales, ou orientations sexuelles) seraient mises à disposition en data room, le responsable de traitement ainsi que ses sous-traitants seraient passibles de lourdes sanctions.

1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE)
2 Commission Nationale Informatique et Libertés
3 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
4 Voir en ce sens Cass. com. n°12-17037 du 25-6-2013
5 Voir en ce sens Cass. com. n°12-17037 du 25-6-2013

 
article à la une
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation d'un cookie une fois connecté à vos identifiants, ceci vous permettant de naviguer pleinement sur notre site.