Fusions-acquisitions : êtes-vous en conformité avec le RGPD ?
Lors du rachat d'une société, mieux vaut être vigilant sur la conformité de ses données au RGPD, comme l'enseigne un jugement intervenu chez nos voisins italiens.
PublicitéUne société italienne a été lourdement condamnée le 20 octobre 2022 par la Garante per la Protezione dei Dati Personali (GPDP), l'homologue de la Cnil.
Les raisons ? Le cédant n'avait pas respecté deux obligations essentielles du RGPD.
D'une part, il n'avait pas recueilli le consentement des personnes concernées (1). On rappellera que la mise en oeuvre d'un traitement de données à caractère personnel exige une base légale, par exemple un contrat, une obligation légale imposée par un texte national ou européen, l'intérêt public, etc., ou dans certains cas le consentement de la personne (2) qui s'exprime par un acte positif comme l'apposition de la signature sur un contrat ou une déclaration écrite et signée par la personne concernée ou par une case à cocher autorisant le traitement.
D'autre part, les « principes de finalité et de limitation » de la conservation des données (3) n'ont pas été respectés. Ces principes visent à préciser les règles de protection des données personnelles. Or, dans le cas présent, la société a conservé dans son CRM (Customer Relationship Management) une masse importante de données personnelles dans le cas où les cartes de fidélité seraient remplacées.
Des conséquences pouvant aller jusqu'à l'annulation de la vente
C'est le cessionnaire qui a subi de plein fouet les conséquences des manquements constatés par l'autorité de contrôle italienne. Outre une amende importante - 1 400 000 euros dans le cas présent -, l'opération aurait pu être annulée. Cela s'est déjà produit, notamment dans une affaire (4) qui remonte à 2013 : une personne physique avait acquis auprès d'une société de vente de vins aux particuliers un fichier de clientèle comportant 6 000 noms. Le cessionnaire s'est aperçu, après la cession, que le fichier en question n'avait pas été déclaré à la CNIL et a assigné le vendeur en justice afin de faire annuler la vente du fichier client. La Cour de cassation a jugé que la cession par une société d'un fichier clients informatisé non déclaré à la CNIL - la déclaration du fichier était alors une obligation - était illicite car l'objet était hors du commerce et a annulé l'acte de cession.
La condamnation prononcée en octobre dernier sonne comme une mise en garde importante ! Les bases de données font partie du patrimoine informationnel de l'entreprise et contiennent inévitablement des données à caractère personnel. A ce titre, elles doivent faire l'objet d'une attention particulière, dans le cadre des opérations de due diligence, pour vérifier leur conformité au RGPD.
Audit ciblé sur la data privacy
Cette vérification est d'autant plus indispensable que, à l'issue de l'opération de fusion acquisition, c'est le cessionnaire qui assumera l'ensemble des obligations et responsabilités relatives aux traitements de données à caractère personnel. Un audit ciblé data privacy devrait permettre de bien appréhender les éventuelles non-conformités. Pour l'essentiel, il convient de vérifier que le cédant est en droit de céder les données personnelles qu'il traite et le cas échéant s'assurer de la bonne information ou du consentement des personnes concernées, qu'il tient un registre des traitements à jour, qu'il a bien informé les personnes concernées des droits dont elles bénéficient, qu'il a répondu à leurs demandes d'exercice de droits, qu'il a mis en place des mesures de sécurité suffisantes et qu'il a encadré contractuellement les traitements opérés par des tiers par la conclusion de contrats (5).
PublicitéPar ailleurs, avant et après le closing (6), les parties à la cession devront définir les mesures à prendre pour assurer la migration et l'intégration des données de la cible dans les systèmes d'information du cessionnaire en conformité avec les dispositions du règlement sur la protection des données. Les parties devront notamment formuler des politiques de migration des données et mettre en place des mécanismes pour les faire appliquer.
Enfin, le cédant devra faire figurer dans le contrat de vente de parts ou actions sociales, également appelé Share Purchase Agreement (SPA), les déclarations et garanties appropriées relatives à la conformité de l'entreprise avec le RGPD. Si des irrégularités ou des risques particuliers ont été soulevés dans le cadre de la due diligence, il pourra être demandé au cédant de mettre en oeuvre des garanties ou actions pour y remédier.
Des précautions dès les opérations de due diligence
On notera que, pour concilier l'obligation d'information due à l'acquéreur et le secret qui s'attache aux opérations préalables de rachat d'entreprise, une précaution consiste à prévoir que les données divulguées dans le cadre de cette opération devront se limiter à celles qui sont strictement nécessaires et faire, dans la mesure du possible, l'objet de mesures d'anonymisation ou de pseudonymisation.
On observe ainsi que le RGPD s'invite dans les opérations de due diligences liées aux opérations de M&A. Il faut sur ce point du savoir, du savoir-faire et une grande vigilance ! L'exemple de la société italienne démontre que les risques sont bien réels !
(1) Articles 6 et 7 du RGPD
(2) Article 6 du RGPD
(3) Article 5.1 du RGPD
(4) Cass. Soc., 25 juin 2013, n°12-17.037
(5) Articles 26 et 28 du RGPD
(6) Définition de closing par le cabinet Mazars : « Étape finale d'une opération avec la signature par l'ensemble des participants (dirigeants / investisseurs financiers / investisseurs industriels) de la documentation juridique (pacte d'actionnaires notamment) et décaissement des fonds. Désigne la date à laquelle intervient la réalisation effective de la cession de la cible une fois que l'ensemble des Conditions Suspensives ont été levées. »
Article rédigé par
Christiane Féral-Schuhl, cofondatrice du cabinet FÉRAL
Christiane Féral-Schuhl est avocate associée du cabinet FÉRAL. Depuis plus de 35 ans, elle exerce dans le secteur du droit du numérique, des données personnelles et de la propriété intellectuelle. Elle est également inscrite sur la liste des médiateurs auprès de différents organismes (OMPI, CMAP, Equanim) ainsi que sur la liste des médiateurs de la Cour d'Appel de Paris et du Barreau du Québec (en matière civile, commerciale et travail). Elle a été nommée seconde vice-présidente du Conseil national de la Médiation (2023-2026).
Elle a publié plusieurs ouvrages et de nombreux articles dans ses domaines d'expertise. Dont, tout récemment, « Adélaïde, lorsque l'intelligence artificielle casse les codes » (1ère BD Dalloz, 16 mai 2024) avec l'illustratrice Tiphaine Mary, également avocate.
Elle a présidé le Conseil National des Barreaux (2018-2020) et le Barreau de Paris (2012- 2013). Elle a également co-présidé avec le député Christian Paul la Commission parlementaire sur le droit et les libertés à l'âge du numérique et a siégé au Haut Conseil à l'égalité entre les femmes et les hommes (2013-2015) et au Conseil Supérieur des tribunaux administratifs et des cours d'appel administratives (CSTA CAA -2015-2017).
Suivez l'auteur sur Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire