Protection des données dans les transactions M&A

La protection des données est-elle importante dans les transactions M&A ? Ou est-elle "nice to have" et peut-elle être négligée par rapport aux faits "durs" de la gestion d'entreprise ? Il est facile de répondre à ces questions. La protection des données conforme à la loi est définitivement un facteur économique. En cas de non-respect des exigences du RGPD, des amendes pouvant atteindre 20 millions d'euros ou jusqu'à quatre pour cent du chiffre d'affaires mondial de l'année précédente peuvent être infligées.

Le groupe hôtelier Marriott, par exemple, a reçu en 2019 une amende de 110 millions d'euros pour les conséquences d'une cyberattaque contre un groupe hôtelier qu'il avait racheté en 2014. Bien que cette amende ait été réduite par la suite à 20 millions d'euros, elle montre clairement que des lacunes dans l'organisation de la protection des données d'une entreprise cible peuvent entraîner des risques importants pour l'acheteur.

En outre, il convient de clarifier la question de savoir sur quelle base juridique les données à caractère personnel peuvent être transmises par l'entreprise cible à l'acheteur potentiel. Faut-il ici un consentement ? Ou peut-on s'appuyer sur l'intérêt légitime ? Là encore, les pièges sont nombreux.

La protection des données dans le cadre de la diligence raisonnable

Quel que soit le type de transaction envisagé (transfert d'actions, asset deal ou fusion), la question de la protection des données doit absolument faire partie de la due diligence. Une due diligence est une analyse économique et juridique détaillée de l'entreprise cible. Il s'agit ici de déterminer les risques, de les atténuer et/ou d'en fixer le "prix".

La liste de questions suivante peut être utile à cet égard :

1. Quelles catégories de données à caractère personnel l'entreprise cible traite-t-elle ? Quels risques peuvent en découler ? Quelles sont les lois applicables ?
2. Comment et à quelles fins les données de l'entreprise cible seront-elles utilisées à l'avenir ? Quelle base juridique peut être utilisée à cet effet ? Existe-t-il par exemple des consentements documentés à des fins publicitaires ? Quelles sont les obligations d'information vis-à-vis des personnes concernées ?
3. Quel est le statut de l'organisation de protection des données de l'entreprise cible ? Le registre de traitement, la directive sur la protection des données, les processus nécessaires concernant le traitement des commandes, les droits des personnes concernées ou les transferts de données vers des pays tiers sont-ils complets et à jour ? Si ce n'est pas le cas, quelles sont les ressources nécessaires pour parvenir à un état actuel acceptable ?
4. Existe-t-il des mesures technico-organisationnelles appropriées au sein de l'entreprise cible et de ses prestataires de services ?
5. Quelles indications les violations de données du passé donnent-elles sur les risques qui continuent d'exister dans l'entreprise cible ?

Une fois les risques identifiés, les conséquences et les contre-mesures possibles doivent faire l'objet d'une analyse approfondie, en quelque sorte d'un "Merger Impact Assessment".

Dans le cadre de la due diligence, un acheteur potentiel peut avoir accès à des systèmes informatiques contenant des données personnelles de collaborateurs et de clients de l'entreprise cible. Au préalable, il est indispensable d'obtenir des déclarations de confidentialité et des engagements de non-divulgation. En outre, la base juridique d'un transfert de données de l'entreprise cible à l'acheteur potentiel doit être clarifiée. Il pourrait s'agir du consentement pour un petit nombre de personnes seulement, ou de l'intérêt légitime pour un très grand nombre de personnes, mais uniquement après un équilibre des intérêts, sachant qu'il faut dans tous les cas informer conformément à l'article 13 ou 14 du RGPD et indiquer le droit d'opposition. Il convient également de vérifier si les mêmes objectifs ne peuvent pas être atteints avec des données agrégées ou pseudonymisées. Les principes d'économie et de minimisation des données s'appliquent également dans ce cas.

Dans la mesure du possible, aucune catégorie particulière de données à caractère personnel ne devrait être stockée dans la "Data Room". Si cela s'avérait nécessaire, ce ne serait qu'avec le consentement préalable et éclairé des personnes concernées. En outre, les documents devraient être munis d'une protection contre la copie et d'un verrouillage de l'imprimante, et un contrat de traitement des commandes devrait être conclu avec le fournisseur de la "data room".

Après la réalisation de la transaction

Après la conclusion d'une transaction de fusion et d'acquisition, une nouvelle organisation de protection des données doit généralement être mise en place et, le cas échéant, répondre aux exigences légales de plusieurs pays : Des obligations de rendre compte, d'informer et de notifier aux droits des personnes concernées. Le cas échéant, les bases juridiques existantes doivent également être vérifiées, par exemple en cas d'utilisation des données clients de l'entreprise rachetée à des fins publicitaires par l'acheteur.

Les exigences du RGPD doivent également être respectées lors de la fusion de différents systèmes informatiques. En outre, il convient de vérifier les mesures techniques et organisationnelles des prestataires de services et de conclure des contrats de traitement des commandes ou des clauses contractuelles standard. Il convient également de vérifier, le cas échéant, les obligations d'effacement et de conservation plus poussée, même en cas de fermeture (partielle) de l'entreprise reprise.

Votre entreprise envisage-t-elle une reprise ? Ou doit-elle être reprise ? 2B Advice vous conseille volontiers et de manière compétente sur la manière d'identifier, de réduire et de maîtriser les risques éventuels en matière de protection des données lors d'une transaction M&A.

N'hésitez pas à nous contacter dès aujourd'hui ! Nous nous réjouissons de relever un défi passionnant avec vous : 0228 / 926165 -100.