Fusions & Acquisitions, La première revue des raprochements d'entreprises

DOSSIERS

L’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) : quel impact sur les transactions de M&A ?

par Pierre Gougé, associé co-responsable
du département Droit des sociétés - Fusions-acquisitions,
et Jeanne Bossi Malafosse, associée responsable du département Données personnelles, Delsol Avocats

+ - télécharger en PDF Imprimer Envoyer l'article par e-mail
Le Règlement Général sur la Protection des Données (RGPD) vient d’entrer en application  le 25 mai dernier. Parmi les nouveautés du texte, le  principe de conformité (« accountability »)  se substitue désormais au régime antérieur des formalités préalables à la CNIL conduisant ainsi les  entreprises à être elles-mêmes capables à tout moment de démontrer leur conformité aux principes de protection des données.
Pour certaines d’entre elles, en particulier celles qui collectent à grande échelle des données susceptibles d’avoir des effets juridiques sur les personnes physiques, un délégué à la protection des données (DPO) chargé de s’assurer de cette conformité  devra être désigné.
La pratique du M&A n’échappe pas à la prise en compte du RGPD. L’un des premiers points d’attention, et point de passage souvent obligé des opérations d’acquisition ou de rapprochement, est la phase d’audit. Un audit de conformité à la règlementation en matière de données personnelles s’efforcera d’analyser pour chaque traitement, qu’il traduise l’activité interne de l’entreprise (gestion administrative du personnel et du recrutement notamment) ou son activité externe (gestion de la base clients et fournisseurs, de toute autre base de contacts professionnels, des contrats de sous-traitance) son degré de conformité aux règles de protection des données.
Les règles de protection des données sont également à prendre en considération lors de la structuration des transactions, notamment dans le choix entre share deal (acquisition des titres de la cible) et asset deal (acquisition des actifs). Ainsi, dans l’hypothèse d’un asset deal, le transfert des bases de données à un nouveau responsable de traitement des données devra en principe faire l’objet d’une information préalable des personnes concernées, laquelle pourra prendre diverses formes.
Si cette obligation d’information des personnes concernées par les données personnelles transmises n’est pas nouvelle et figurait déjà dans la loi Informatique et Libertés, elle revêt désormais une consonance nouvelle due à l’obligation d’être en mesure de le démontrer et aux sanctions qui peuvent s’attacher à son irrespect (la violation des droits de la personne étant passible d’un maximum de 20.000.000 d’euros d’amende administrative ou de 4% du chiffre d’affaire mondial).
En outre, la liste des informations à porter à la connaissance des intéressés détaillée aux articles 13 et 14 du RGPD est plus fournie.
Comment concilier dès lors cette obligation d’information et le secret qui s’attache bien sûr aux opérations préalables à une opération de rachat d’entreprise ?
Choisir le bon moment pour assurer ce  droit à l’information du personnel sera sans doute toujours une question d’équilibre – si cher à la protection des données – entre le bon déroulement des opérations de M&A et le respect des droits de la personne.
Le choix d’une minimisation des données transmises consistant à appauvrir le dégré d’identification des données peut aussi être une solution dans certains cas.
L’acquéreur de la cible devra également  veiller à adapter la rédaction des garanties du contrat d’acquisition aux règles de protection des données personnelles.
Il devra  aussi s’assurer que la consultation des instances de représentation du personnel inclut bien le cas échéant un volet relatif au traitement des données personnelles si l’opération induit une modification du traitement de ces données.
Enfin, avant et après le closing, les parties devront définir les mesures à mettre en œuvre (notamment par le biais de contrats de transition ou TSA) pour assurer la migration et l’intégration des données de la cible dans les systèmes d’information de l’acquéreur dans le respect des règles applicables en matière de protection des données.
A ce stade, il pourrait également être question pour le nouvel acquéreur d’émettre une réserve sur le sujet de la protection des données personnelles, si les bases de données transmises ne respectent pas les principes posés par le RGPD.  Aux parties de s’entendre alors sur la façon de préciser ce point et peut-être d’en évaluer les conséquences sur le prix de la transaction?  
article à la une
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation d'un cookie une fois connecté à vos identifiants, ceci vous permettant de naviguer pleinement sur notre site.