Fusions & Acquisitions, La première revue des raprochements d'entreprises

DOSSIERS

L’impact des données personnelles sur une « due diligence » en droit allemand

par Iris M. Barsan, LL.M., Maître de conférences en droit privé (UPEC)
Ancienne élève de l’ENA (Promotion Willy Brandt)
et André Karg, Rechtsanwalt, hw&h Avocats und Rechtsanwälte
*en collaboration avec avec stud. jur. Dominique Görs, Passau

+ - télécharger en PDF Imprimer Envoyer l'article par e-mail
Il est bien connu que l’acquisition d’une entreprise nécessite toujours de procéder à une due diligence. Or, les data rooms que l’entreprise cible ou les deux entreprises dans l’hypothèse d’une fusion mettent en place sont bourrées de données parmi lesquelles figurent une majorité de données personnelles. S’il était déjà de bonne pratique avant l’entrée en vigueur du règlement général sur la protection des données personnelles (RGPD)1 de l’Union Européenne (UE) le 25 mai 2018, d’analyser l’impact d’un transfert de données personnelles lors d’une acquisition ou d’une restructuration afin de garantir les droits des personnes concernées, le RGPD vient de renforcer ces droits. Bien que le RGPD n’ait pas complètement bouleversé le droit de la protection des données personnelles, il a introduit des amendes très importantes qui peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial et qui risquent de peser sur une acquisition ou restructuration si ce sujet devait être négligé. Or, les principes de la protection des données personnelles poursuivent une logique diamétralement opposée à la « due diligence ». Dans le premier cas, l’objectif est de limiter la finalité de la collecte et minimiser les données. Or, une due diligence poursuit l’objectif d’analyser autant de données que possible pour mesurer le risque et trouver le juste prix à la transaction. Il y aura, donc, une certaine tension conceptuelle entre le RGPD et l’objectif poursuivi par la due diligence.  Une difficulté supplémentaire risque de se poser, par ailleurs. En effet, bien que le RGPD est un règlement européen et donc d’application directe, il s’agit à beaucoup d’égards d’un règlement cadre qui laisse une certaine place au droit national. L’Allemagne a modifié sa Loi fédérale sur la protection des données personnelles (BDSG) pour l’adapter au RGPD en 2018.
Par ailleurs, les pratiques des autorités nationales en la matière sont plus ou moins sévères selon les Etats membres. Ainsi, en Allemagne, l’Office bavarois de contrôle de la protection des données personnelles avait déjà infligé des amendes à cinq chiffres en 2015 à des entreprises dans le cadre d’une fusion-acquisition, donc avant l’entrée en vigueur du RGPD. En l’espèce, il s’agissait du transfert illégal d’adresses électroniques de clients d’une boutique en ligne dans le cadre d’un contrat de vente. L’objectif des autorités allemandes était clairement de sensibiliser les entreprises à la protection des données personnelles en cas de fusions-acquisitions2. Aux amendes administratives s’ajoute un risque pénal. Selon le § 42, alinéa 1 BDSG, est passible d’une peine d’emprisonnement pouvant aller jusqu’à trois ans ou d’une amende, une personne qui sciemment, sans y être autorisée, transmet ou met autrement à la disposition d’un tiers des données à caractère personnel d’un grand nombre de personnes et agit ainsi à des fins commerciales.
C’est donc bien un juste milieu qu’il faut trouver entre, d’une part le droit fondamental à l’autodétermination des personnes physiques concernées (art. 2 al. 1 Grundgesetz (GG), combiné à l’art. 1 al. 1 GG et l’art. 8 de la Charte des droits fondamentaux de l’UE) et le droit à la propriété privée des entreprises concernées (art. 14 GG et art. 16 de la Charte sur les droits fondamentaux de l’UE).
Nous nous proposons d’analyser ce sujet sous le prisme du droit allemand en abordant, dans un premier temps, la légalité du traitement (I), avant de nous pencher sur l’obligation d’information (II) et de finir avec quelques conseils et bonnes pratiques (III).

I. La légalité du traitement
L’objectif d’une due diligence, est indéniablement l’audit de la/les société(s) concernée(s) d’un point de vue juridique, fiscal, financier, ressources humaines etc. dans le but de déterminer les risques et de trouver le juste prix pour la transaction. L’acquisition d’une société ou la parité d’échange dans le cadre d’une fusion sont, en effet, des opérations complexes. Il n’est possible de déterminer le prix adéquat qu’en analysant le sous-jacent, c’est-à-dire les actifs et passifs existants et ceux qui se manifesteront après l’opération mais dont le fait générateur est antérieur. A cette fin une grande quantité de données, y compris personnelles (art. 4 § 1 RGPD), sera mise à disposition dans une data room afin que chacune des parties puisse procéder à cette analyse. Parmi les données personnelles on va retrouver des données relatives aux employés, clients et fournisseurs. Se pose donc, tout d’abord, la question de la finalité de la collecte (art. 5 § 1 b) RGPD) qui permettra ensuite de respecter le principe de la minimisation des données (art. 5 § 1 c) RGPD) (A) et celle de la licéité du traitement (art. 6 § 1 RGPD) (B).

A) La finalité de la collecte et le principe de minimisation des données
En l’occurrence, la finalité recherchée par chacune des parties est la réalisation d’une transaction et la détermination du prix. Il semble dès lors possible d’admettre que toute donnée qui permet d’analyser les risques de la transaction et d’aboutir à une détermination d’un prix est couverte par la finalité du traitement. Ainsi, le fait d’analyser une grande quantité de données n’est pas nécessairement contraire au principe de la minimisation des données dès lors que les données inclues dans la data room sont indispensables pour une analyse de risques qui débouchera sur la détermination du prix3.

B) La licéité du traitement
La licéité du traitement soulève la question de son fondement. L’un de ces fondements peut être le contrat. Or, si les parties contractantes sont en relation contractuelle ou du moins dans une relation précontractuelle, il n’en est rien des employés, fournisseurs ou clients qui restent tiers par rapport au contrat. Restent donc le consentement des personnes concernées (art. 6 § 1 a) RGPD) et l’intérêt légitime des parties contractantes (art. 6 § 1 f) RGPD) comme fondements pour un traitement.

1. Le consentement de la personne concernée
Le consentement comme fondement du traitement dans le cadre d’une due diligence n’est pas praticable et ce pour plusieurs raisons4. Tout d’abord, l’obstacle à surmonter pour obtenir le consentement d’une grande quantité de personnes potentiellement concernées est considérable. Ensuite, ces personnes ne sont nullement obligées de donner leur consentement pour que leurs données soient traitées dans une data room. S’ajoute à cela la révocabilité du consentement à tout moment (art. 7 § 3 RGPD) qui contribue aussi à sa fragilisation. Enfin, une due diligence implique très souvent le respect d’obligations de confidentialité qui sont difficilement conciliables avec l’information nécessaire à un consentement éclairé des personnes concernées. 

2. L’intérêt légitime des protagonistes
L’intérêt légitime des sociétés concernées nous semble plus adapté aux exigences d’une due diligence. Mais cela implique une mise en balance des intérêts en cause5.
Il s’agit, par conséquent, de mettre en balance l’intérêt des sociétés concernées couvert par la liberté du commerce et de l’industrie ainsi que le droit à la propriété privée, avec le droit fondamental à la vie privée des personnes concernées6. Globalement, on peut dire que dans la mesure où il est question, en l’occurrence, de données professionnelles de clients, fournisseurs ou employées – bien que couvertes par la protection des données personnelles (art. 8 de la Charte UE) – la mise en balance des intérêts des personnes concernées devrait pencher en faveur des sociétés. Ceci étant, les personnes concernées auront un droit d’opposition à ce traitement (art. 21 § 1 RGPD). Mais ce droit n’est pas non plus absolu et une mise en balance des intérêts permet de l’écarter7.
Mais il y a lieu à regarder de plus près cette mise en balance des intérêts par catégorie de données personnelles transmises. Typiquement, les données personnelles concerneront les dirigeants des sociétés, les salariés, les clients et les fournisseurs.
a) Les dirigeants
Le traitement des données des dirigeants sociaux dans le cadre d’une due diligence ne semble pas problématique. Tout d’abord, un dirigeant social a souvent un intérêt propre8 à transférer ses données à caractère personnel aux autres sociétés intéressées par la transaction. Dans ce cas, il serait, par ailleurs, possible d’obtenir le consentement des dirigeants. Mais compte tenu de la fragilité de ce fondement (cf. supra), il semble tout de même plus approprié d’utiliser l’intérêt légitime de chacune des sociétés. Or, dans la mesure où le transfert se limite à des données ès-qualités, il est difficile d’y déceler une atteinte à la vie privée des dirigeants.
b) Les employés
Le transfert de données personnelles des salariés dans le cadre d’une due diligence est bien plus délicat. Le RGPD laisse aux législateurs nationaux la possibilité de prévoir des dispositions plus limitatives en ce domaine (art. 88 RGPD).  Le BDSG a prévu en son § 26 I des dispositions spécifiques relatives au traitement des données personnelles dans le cadre de la relation de travail9. Mais un processus de due diligence ne fait pas franchement partie de la relation de travail et ce, d’autant plus, que les données sont transmises à des tiers par rapport aux employés. Il ne semble, par conséquent, pas possible de s’appuyer sur ces dispositions spécifiques10.
Il faut, par conséquent, prendre en compte l’intérêt des employés de voir leur vie privée protégée par rapport à l’intérêt des sociétés concernées de procéder à une transaction ou restructuration. Plusieurs aspects peuvent, à cet égard, rentrer en ligne de compte. D’une part, on peut se dire que les sociétés concernées n’auront accès qu’à des données professionnelles. Mais il est vrai que dans les dossiers du personnel il peut y avoir des informations plus personnelles comme les dates et lieux de naissance, d’éventuelles absences pour maladie ou encore une grossesse. Or, ces informations ne sont en rien pertinentes pour l’évaluation du prix adéquat dans le cadre d’une due diligence. Se pose même la question de savoir si l’identité des salariés est une donnée pertinente pour une due diligence. En même temps, il est difficile d’exclure des documents de la data room qui peuvent, en partie, comporter des informations d’ordre personnel. Une manière de résoudre le problème est l’anonymisation des documents. Si le document est purgé de données personnelles, le RGPD n’a plus vocation à s’appliquer11. Mais cela implique qu’il ne soit pas possible de réidentifier une personne. Il semble également possible d’utiliser des pseudonymes auquel cas le RGPD a bien vocation à s’appliquer mais les données des salariées seraient protégées ce qui permettrait de faire pencher la balance des intérêts en faveur des sociétés concernées. Suffirait-il, par exemple, simplement de noircir les données personnelles des salariés ? Cela dépend, en réalité de la taille de l’entreprise. Dans une petite société, un noircissement des noms ne peut garantir l’anonymat12. Dans une entreprise plus grande cela pourrait être le cas. Une autre solution serait de limiter l’accès aux données des salariés en créant une data room spécifique à laquelle un nombre limité de personnes auront accès13. On voit que des solutions existent, mais elles risquent de renchérir le coût de la due diligence.
c) Données des clients et fournisseurs
Rappelons que les personnes morales ne sont pas couvertes par la protection offerte par le RGPD. Mais comme une personne morale est une fiction juridique, elle agit toujours à travers des personnes physiques. Les salariés des personnes morales clientes ou fournisseuses méritent donc bien protection. Or, quel serait l’intérêt légitime d’une société de divulguer des informations sur les salariés des personnes morales clientes ou fournisseuses dans une data room ? A notre sens rien ne justifie une telle divulgation.
Si, en revanche, les clients et fournisseurs sont des personnes physiques, il faut procéder à une mise en balance des intérêts. Or, dans ce cas on peut partir du principe qu’uniquement des données purement professionnelles seront mises à disposition comme le nom du client ou fournisseur et les coordonnées professionnelles. Contrairement aux salariés, il ne saurait être question de données comme l’âge ou une maladie qui sont plus sensibles en termes de protection de la vie privée. Une exception pourrait exister lorsqu’on est face à une banque14 ou une assurance15  uisque les données de leurs clients sont plus sensibles que celles des clients d’une société de mode, par exemple. Ceci étant, se pose la question de savoir s’il est réellement nécessaire de mettre de telles données à disposition dans le cadre d’une due diligence ? L’objectif poursuivi par la due diligence est d’analyser les risques pour parvenir à déterminer le prix de l’opération. Or, pour ce faire il semble suffisant de savoir qu’un contrat qui porte sur une certaine prestation ou sur un bien existe sans connaître l’identité des cocontractants. On pourrait aussi se dire que des données purement statistiques sur les fournisseurs et clients sont suffisantes.

II. Les obligations d’information
Le RGPD prévoit un certain nombre d’informations que les responsables de traitement doivent fournir aux personnes concernées. L’article 13 RGPD vise le cas où les données ont été collectées auprès des personnes concernées alors que l’art. 14 concerne l’hypothèse où les données ont été obtenues d’un tiers.
Dans les deux cas, la difficulté résidera dans le conflit de cette obligation avec la confidentialité nécessaire à toute transaction de ce type. En effet, une telle information pourrait même compromettre une opération de fusion-acquisition. C’est, par conséquent, en termes d’exceptions à l’obligation d’information qu’il convient de réfléchir16. Or, le RGPD ne semble admettre des exceptions à l’obligation d’information que dans le cadre de l’art. 14, c’est-à-dire lorsque les données n’ont pas été obtenues directement des personnes concernées (art. 14 § 5 RGPD). Aucune exception ne semble pouvoir être apportée à l’article 13 (les données ont été directement obtenues de la personne concernée). Cette différence de traitement est peu logique. En effet, l’impératif de respecter la confidentialité est le même pour les sociétés concernées peu importe la source des données personnelles traitées dans le cadre d’une due diligence. La doctrine allemande propose, dès lors, une application de l’art. 14 § 5 RGPD par analogie17
Se pose alors la question de savoir quelles seraient les exceptions pertinentes. Selon l’art. 14 § 1 b) RGPD il est possible de s’abstenir d’informer les personnes concernées si « la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés » ou « dans la mesure où l’obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ». Dans ce cas le responsable de traitement doit protéger les droits des personnes concernées et leur intérêt légitime. En l’occurrence, on peut soutenir qu’informer les personnes concernées risque de compromettre gravement l’opération de fusion-acquisition. Mais la doctrine allemande s’interroge sur la question de savoir si l’impossibilité ou le caractère disproportionné doivent être évalués objectivement18 ou subjectivement du point de vue du responsable de traitement19. Une autre question est celle de savoir si le responsable de traitement doit informer les personnes concernées du traitement mis en œuvre ex post ? L’obligation d’information ne serait alors que suspendue20. Or, même si l’information était délivrée ex post, elle risquerait toujours de porter atteinte à la confidentialité de l’opération. De surcroît, le RGPD ne prévoit nullement une telle obligation lorsqu’on invoque l’art. 14 § 5. Une obligation d’information ex post doit, par conséquent, être rejetée21. Pour éviter ces écueils, les parties ont tout intérêt à anonymiser les données personnelles faisant l’objet d’une  due diligence ce qui leur évitera l’application du RGPD22.
Par ailleurs, l’art. 23 § 1 RGPD accorde aux législateurs nationaux la possibilité dans certains cas de déroger, entre autres, aux obligations d’information. Tel est le cas lorsqu’il s’agit d’exercer ses droits de défense en justice (§ 32 al. 1, point 4 BDSG). Or, en l’espèce la due diligence ne peut pas rentrer dans ce type d’exception. Mais le législateur allemand prévoit une seconde exception pour des informations qui, de par leur nature, doivent rester secrètes, notamment en raison des intérêts légitimes prédominants d’un tiers (§ 29 al. 1 BDSG). Mais, d’une part, cette exception est limitée à l’application de l’art. 14 RGPD (informations qui n’ont pas été obtenues directement de la personne concernée) et, d’autre part, le RGPD prévoit déjà une exception pour le secret professionnel (art. 14 § 5 d RGPD). Se pose néanmoins, la question de savoir si uniquement les obligations légales en matière de secret23  sont visées ou également les obligations contractuelles ou encore des données « qui doivent rester secrètes de par leur nature »24. Admettre qu’une simple obligation contractuelle de confidentialité peut faire échapper les responsables de traitement à leurs obligations d’information semble excessif. Un intérêt peut donc exister de viser, comme le législateur allemand l’a fait, des informations qui « doivent rester secrètes de par leur nature ».

III. Bonnes pratiques
Afin de mener à bien une due diligence conformément à la réglementation sur la protection des données personnelles en vigueur en Allemagne, il est conseillé de se préoccuper de la protection des données personnelles en amont. 
Tout d’abord, les entreprises concernées devraient s’interroger s’il est possible d’anonymiser les données personnelles mises à disposition dans la data room25. Cela aurait l’avantage insigne d’échapper aux contraintes du RGPD26. Si la taille de l’entreprise ou les caractéristiques particulières des données traitées ne permettent pas une telle anonymisation, il faudrait réfléchir à une protection par cryptage ou une autre forme de pseudonymisation.
En tout état de cause il est fortement recommandé et couramment pratiqué de conclure des accords de confidentialité qui portent explicitement sur les données personnelles. Si l’une des parties prenantes n’est pas établie en Europe, on devra s’interroger s’il s’agit d’un transfert de données personnelles à l’extérieur du territoire de l’UE ce qui rend la signature de clauses contractuelles types de la Commission européenne nécessaire27.
Si la data room est sous-traitée, il faut évidemment contractualiser cette sous-traitance (art. 28 § 9 RGPD). 
Par ailleurs, une implication précoce du délégué à la protection des données personnelles (Data Protection Officer – DPO) est indispensable. Il faut savoir qu’en Allemagne la désignation d’un DPO est obligatoire dès lors qu’au moins 10 personnes dans l’entreprise effectuent un traitement automatisé de données personnelles (§ 38 al. 1 BDSG).
Enfin, bien que le comité d’entreprise n’ait pas des droits de cogestion en matière d’un transfert d’entreprise28, il a, tout de même, des droits d’information et de consultation. Il faut donc vérifier à partir de quel moment il faut impliquer le comité d’entreprise 29.
Pour finir, il ne faut pas oublier les clauses de garantie du passif qui doivent, désormais, englober la responsabilité en cas de violation de données personnelles. En effet, compte tenu de l’augmentation substantielle des sanctions30, il faut gérer les violations en matière de protection de données personnelles de la société absorbée ou acquise dont le fait générateur est antérieur à l’opération. On le sait, selon la Cour de justice de l’Union européenne (CJUE), des amendes même de nature pénale ou quasi-pénale peuvent être prononcées contre la société absorbante pour des faits commis par la société absorbée avant la fusion31. Or, outre le fait que cette jurisprudence soulève des questions en matière de personnalité des peines, elle aboutit indéniablement à remettre en question le prix payé en cas d’acquisition ou la parité de change en cas de fusion. Par une clause de garantie du passif on peut gérer ce risque ex post32. En droit allemand il s’agirait d’une convention de garantie du passif distincte de la garantie légale et autorisée par le § 311 al. 1 du BGB (code civil allemand)33.
Une telle clause pourrait être rédigée comme suit :
« Le vendeur garantit à l’acheteur par une promesse de garantie indépendante au sens du § 311, alinéa 1 du Code civil allemand que les informations suivantes sont exactes lors de la conclusion du contrat34 :
La société visée collecte, traite et utilise les données à caractère personnel (y compris les coordonnées, les informations de compte et les profils d’utilisateurs) de ses employés, clients et autres personnes physiques conformément à la loi fédérale sur la protection des données, à la loi sur la concurrence déloyale et à toute autre loi ou ordonnance exigeant la collecte, le traitement et l’utilisation des données personnelles par la société visée, et ce au cours des [5] dernières années. La société visée a mis en œuvre toutes les mesures techniques et organisationnelles nécessaires pour la collecte, le traitement ou l’utilisation de données à caractère personnel.
Aucune procédure administrative ou pénale d’une autorité allemande concernant la collecte, l’utilisation et l’exploitation de données à caractère personnel (y compris toutes les dispositions, demandes d’informations, amendes et autres sanctions ou mesures coercitives) n’est et n’a été engagée contre la société visée au cours des [5] dernières années. Au cours des [5] dernières années, la société visée n’a reçu aucune plainte émanant de ses employés, clients ou autres personnes physiques, organisations de consommateurs ou autres entités et alléguant que la société visée enfreint la loi en vigueur lors de la collecte, du traitement ou de l’utilisation de données à caractère personnel.
Au cours des [5] dernières années, il n’y a pas eu d’incident de sécurité au sein de la société visée, qui aurait entraîné la perte des données personnelles de ses employés, clients ou autres personnes physiques, ou l’accès ou le traitement non autorisé par des tiers aux/des données collectées par la société visée. »35.

1 Règlement 2016/679 du 27 avril 2016. 
2 Thomas Kranig, Président de l'Office national bavarois chargé du contrôle de la protection des données, communiqué de presse de l'Office bavarois chargé du contrôle de la protection des données daté du 30.07.2015, disponible à l'adresse suivante: https://www.lda.bayern.de/media/pm2015_10.pdf (Version : 08.04.2019).
3 Göpfert/Meyer, Datenschutz bei Unternehmenskauf: Due Diligence und Betriebsübergang, NZA 2011, 486.
4 Chr. Schröder, dans : Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Partie VI. Chapitre 4 B. I. 1. Point 7 ; Göpfert/Meyer, Datenschutz bei Unternehmenskauf: Due Diligence und Betriebsübergang, NZA 2011, 486.
5 Albers/Veit, BeckOK Datenschutzrecht, RGPD Art. 6, Point 45.
6 TChr. Schröder, dans : Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Partie VI. Chapitre 4 B. I. 1. Point 17 ; Göpfert/Meyer, Datenschutz bei Unternehmenskauf: Due Diligence und Betriebsübergang, NZA 2011, 486.
7 Forgó, dans: BeckOK Datenschutzrecht, DS-GVO, Art. 21 Rn.7; Caspar, dans: Simitis/Hornung/Spiecker, Datenschutzrecht, SDGVO Art. 21 Rn.12; Martini, dans: Paal/Pauly, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, DS-GVO Art. 21 Rn. 3.
8 Chr. Schröder, dans : Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Partie VI. Chapitre 4 C. II. Point 30.
9 Riesenhuber, dans : BeckOK Datenschutzrecht, BDSG § 26 Point 20.
10 Göpfert/Meyer, Datenschutz bei Unternehmenskauf: Due Diligence und Betriebsübergang, NZA 2011, 486 ; Chr. Schröder, dans : Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Partie VI. Chapitre 4 B. I. 1. Point 14.
11 26ème considérant du RGPD. 
12 Seifert, dans : Simitis/Hornung/Spiecker, Datenschutzrecht, RGPD art. 88, Point 182 ; Göpfert/Meyer, Datenschutz bei Unternehmenskauf: Due Diligence und Betriebsübergang, NZA 2011, 486.
13 Chr. Schröder, dans : Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Partie VI. Chapitre 4 C. III. Point 32.
14 Wengert/Widmann/Wengert, Bankenfusionen und Datenschutz, NJW 2000, 1289.
15 Chr. Schröder, dans : Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Partie VI. Chapitre 4 B. I. 1. Point 19 ; Partie VI. Chapitre 4 C. IV. Point 33.
16 Chr. Schröder, dans : Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Partie VI. Chapitre 4 F. VI. 4 Point 59.
17 Chr. Schröder, dans : Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Partie VI. Chapitre 4 F. VI. 4 Point 61 ; a.A.: Schmidt-Wudy, dans : BeckOK Datenschutzrecht, RGPD Art.13 Point 95 ; Paal/Hennemann, dans : Paal/Pauly, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, RGPD Art. 13 Point 35.
18 Dix, dans : Simitis/Hornung/Spiecker, Datenschutzrecht, RGPD Art. 14 Point 22.
19 Schmidt-Wudy, dans : BeckOK Datenschutzrecht, RGPD  Art. 14 Point 98 ; Chr. Schröder, dans : Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Partie VI. Chapitre 4 F. VI. 4 Point 59.

20 Chr. Schröder, dans : Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Partie VI. Chapitre 4 F. VI. 4 Point 60.
21 Schmidt-Wudy, dans : BeckOK Datenschutzrecht, RGPD Art. 14 Point 100.
22 26ème considérant du RGPD.
23 Uwer, dans : BeckOK Datenschutzrecht, BDSG § 29 Point 9 ; Chr. Schröder, dans : Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Partie VI. Chapitre 4 F. I Point 63.
24 Lapp, dans : Gola/Heckmann, BDSG, § 29 Point 11 ; Gräber/Nolden, dans: Paal/Pauly, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, BDSG § 29 Point 8.
25 Chr. Schröder, dans : Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Partie VI. Chapitre 4 F. I Point 45.
26 26ème considérant du RGPD. 
27 Chr. Schröder, dans : Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Partie VI. Chapitre 4 F. I Point 46 ; Décision de la Commission du 27. 12. 2004 modifiant la décision 2001/497/CE en ce qui concerne l’introduction d’un ensemble alternatif de clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers, notifiée sous le numéro C(2004) 5271, OJ L 385/74
28 Göpfert/Meyer, NZA 2011, 486.
29 Chr. Schröder, dans : Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Partie VI. Chapitre 4 F. I Point 54.
30 2% / 4% du chiffre d’affaires total mondial de l’année précédente ou 10 / 20 Mio. d’euros (le montant le plus élevé étant retenu (art. 83 §§ 4 et 5 RGPD).
31 CJUE 5 mars 2015 C-343/13, Modelo Continente Hipermercados SA c/ Autoridade para as Condições de Trabalho - Centro Local do Lis (ACT); I. Barsan, La personnalité des peines appliquée aux personnes morales en cas de fusion, Revue des sociétés 2018, p. 156 ; I. Barsan, The limits of the antropomorphism between legal and physical persons : the transfer of criminal liability in the case of a merger, RTDF 2016, p. 61 et s.
32 Meyer-Sparenberg, dans : Beck’sches M&A-Handbuch, § 44 Point 1 et s.
33 Meyer-Sparenberg, dans : Beck’sches M&A-Handbuch, § 44 Point 10.
34 Meyer-Sparenberg, dans : Beck’sches M&A-Handbuch, § 44 Point 14.
35 Uwer/Jungkind, dans : Beck’sches M&A-Handbuch, § 77 Point 25.

article à la une
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation d'un cookie une fois connecté à vos identifiants, ceci vous permettant de naviguer pleinement sur notre site.