Les aspects relatifs à la protection des données à caractère personnel dans les opérations de fusion-acquisition sont devenus incontournables depuis l’entrée en vigueur le 25 mai 2018 du règlement (UE) 2016/679 du 27 avril 2016 (le RGPD).
Au-delà de la possible annulation du contrat de cession d’actif1 (dans le cas d’un asset deal), les manquements à la réglementation sur la protection des données exposent le vendeur comme l’acquéreur à des amendes administratives dont le montant peut désormais atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, mais également à des actions en responsabilité provenant des personnes concernées ou d’associations habilitées dans le cadre d’une action
de groupe2.
Au cours de la phase de due diligence
L’audit de la cible implique généralement la communication de données à caractère personnel, souvent réalisée au sein d’une data room dématérialisée. Cette communication doit respecter la réglementation applicable à la protection des données. La divulgation de données effectuée auprès des différents acteurs de l’opération devra donc être strictement limitée aux données nécessaires à l’opération ainsi qu’aux personnes habilitées et encadrée contractuellement entre la cible et l’acquéreur mais également entre la cible et le prestataire de la data room le cas échéant. Les données personnelles contenues dans la data room feront l’objet de mesures d’anonymisation ou de pseudonymisation dans toute la mesure du possible.
Dans tous les cas, les personnes concernées (clients, salariés et fournisseurs) doivent être tenues préalablement informées de ces traitements et des destinataires de leurs données3. L’évaluation de la conformité de la cible nécessite une compréhension claire et exhaustive du flux de données (data flow) ainsi qu’une revue exhaustive de la documentation.
L’acquéreur devra a minima s’assurer que la cible :
- tient un registre des traitements à jour ;
- a informé les personnes concernées conformément aux dispositions des articles 13 et 14 du RGPD ;
- a répondu à leurs éventuelles demandes d’exercice de droits ;
- a mis en place des mesures de sécurité suffisantes ; et
- a encadré contractuellement les traitements opérés par des tiers par la conclusion de contrats conformes aux articles 26 et 28 du RGPD.
L’acquéreur prendra soin également d’identifier les éventuelles enquêtes administratives, les notifications de violations de données ainsi que tout contentieux en cours et passé.
Cette analyse de conformité sera idéalement complétée par un audit technique du système d’information de la cible.
Dans le SPA (déclarations et garanties)
Dans l’acte encadrant la transaction, le vendeur devra fournir les déclarations et les garanties appropriées à l’acquéreur concernant la conformité avec la réglementation sur la protection des données. Si des irrégularités ou des risques particuliers ont été identifiés au cours de la phase de due diligence, des actions ou des garanties spécifiques pourront être demandées au vendeur.
Traitements post-closing
A l’issue de l’opération de fusion-acquisition (post-closing), l’acquéreur assumera l’ensemble des obligations et responsabilités relatives aux traitements. Tout traitement ultérieur des données devra notamment être réalisé dans les limites des
finalités pour lesquelles elles ont été initialement collectées. Si l’acquéreur souhaite traiter les données pour des finalités différentes, il devra au préalable s’assurer de la licéité du traitement envisagé et, le cas échéant, en informer les personnes
concernées ou obtenir leur consentement.
La migration des données ou du système d’information de la cible vers l’acquéreur, notamment via la conclusion d’un accord de services transitoires (Transitional Services Agreement) devra être encadrée contractuellement et inclure les clauses requises par la réglementation en matière de protection des données.
Tout acquéreur devra intégrer l’ensemble de ces mesures lors des opérations de fusion-acquisition afin de limiter les risques liés à protection des données, plus particulièrement lorsque l’actif essentiel de la transaction implique des ensembles de données.
1 Cass. com., 25 juin 2013, n° 12-17037.
2 Article 43 ter de la loi informatique et libertés.
3 Articles 13 et 14 du RGPD.
A lire également
Dossier : "L'imprévu et les contentieux dans les opérations de fusion-acquisition"
Cet article a été publié dans notre Lettre des fusions-acquisitions et du Private Equity de juillet 2019 dédié aux contentieux dans les opérations de fusion-acquisition. Cliquez ci-dessous pour découvrir les autres articles de cette lettre.
Conformité RGPD : découvrez notre offre
Quelle que soit votre activité, il est impératif de vous adapter et de vous conformer aux obligations actuelles et à venir du nouveau règlement européen sur la protection des données (RGPD). Découvrez l'offre d'accompagnement de notre cabinet d'avocats ci-dessous.
Le Droit des sociétés au sein de notre cabinet d'avocats :
Notre cabinet d’avocats développe une pratique et expertise rare et innovante en matière de droit des sociétés. Nous sommes en mesure de traiter toutes questions complexes, en particulier les opérations de haut de bilan, réorganisations et restructurations, mécanismes d’intéressement des cadres et dirigeants, gouvernance des sociétés, droit boursier, etc.
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.