Home / Publications / La protection des données personnelles dans les opérations...

La protection des données personnelles dans les opérations de fusion-acquisition

L’imprévu et les contentieux dans les opérations de fusion-acquisition

05/07/2019

Les aspects relatifs à la protection des données à caractère personnel dans les opérations de fusion-acquisition sont devenus incontournables depuis l’entrée en vigueur le 25 mai 2018 du règlement (UE) 2016/679 du 27 avril 2016 (le RGPD).

Au-delà de la possible annulation du contrat de cession d’actif1 (dans le cas d’un asset deal), les manquements à la réglementation sur la protection des données exposent le vendeur comme l’acquéreur à des amendes administratives dont le montant peut désormais atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, mais également à des actions en responsabilité provenant des personnes concernées ou d’associations habilitées dans le cadre d’une action
de groupe2.

Au cours de la phase de due diligence

L’audit de la cible implique généralement la communication de données à caractère personnel, souvent réalisée au sein d’une data room dématérialisée. Cette communication doit respecter la réglementation applicable à la protection des données. La divulgation de données effectuée auprès des différents acteurs de l’opération devra donc être strictement limitée aux données nécessaires à l’opération ainsi qu’aux personnes habilitées et encadrée contractuellement entre la cible et l’acquéreur mais également entre la cible et le prestataire de la data room le cas échéant. Les données personnelles contenues dans la data room feront l’objet de mesures d’anonymisation ou de pseudonymisation dans toute la mesure du possible.

Dans tous les cas, les personnes concernées (clients, salariés et fournisseurs) doivent être tenues préalablement  informées de ces traitements et des destinataires de leurs données3. L’évaluation de la conformité de la cible nécessite une compréhension claire et exhaustive du flux de données (data flow) ainsi qu’une revue exhaustive de la documentation.

L’acquéreur devra a minima s’assurer que la cible :

  • tient un registre des traitements à jour ;
  • a informé les personnes concernées conformément aux dispositions des articles 13 et 14 du RGPD ;
  • a répondu à leurs éventuelles demandes d’exercice de droits ;
  • a mis en place des mesures de sécurité suffisantes ; et
  • a encadré contractuellement les traitements opérés par des tiers par la conclusion de contrats conformes aux articles 26 et 28 du RGPD.

L’acquéreur prendra soin également d’identifier les éventuelles enquêtes administratives, les notifications de violations de données ainsi que tout contentieux en cours et passé.

Cette analyse de conformité sera idéalement complétée par un audit technique du système d’information de la cible.

Dans le SPA (déclarations et garanties)

Dans l’acte encadrant la transaction, le vendeur devra fournir les déclarations et les garanties appropriées à l’acquéreur concernant la conformité avec la réglementation sur la protection des données. Si des irrégularités ou des risques particuliers ont été identifiés au cours de la phase de due diligence, des actions ou des garanties spécifiques pourront être demandées au vendeur.

Traitements post-closing

A l’issue de l’opération de fusion-acquisition (post-closing), l’acquéreur assumera l’ensemble des obligations et responsabilités relatives aux traitements. Tout traitement ultérieur des données devra notamment être réalisé dans les limites des
finalités pour lesquelles elles ont été initialement collectées. Si l’acquéreur souhaite traiter les données pour des finalités différentes, il devra au préalable s’assurer de la licéité du traitement envisagé et, le cas échéant, en informer les personnes
concernées ou obtenir leur consentement. 

La migration des données ou du système d’information de la cible vers l’acquéreur, notamment via la conclusion d’un accord de services transitoires (Transitional Services Agreement) devra être encadrée contractuellement et inclure les clauses requises par la réglementation en matière de protection des données. 

Tout acquéreur devra intégrer l’ensemble de ces mesures lors des opérations de fusion-acquisition afin de limiter les risques liés à protection des données, plus particulièrement lorsque l’actif essentiel de la transaction implique des ensembles de données. 


1 Cass. com., 25 juin 2013, n° 12-17037.
2 Article 43 ter de la loi informatique et libertés.
3 Articles 13 et 14 du RGPD.


A lire également

Dossier : "L'imprévu et les contentieux dans les opérations de fusion-acquisition"

Cet article a été publié dans notre Lettre des fusions-acquisitions et du Private Equity de juillet 2019 dédié aux contentieux dans les opérations de fusion-acquisition. Cliquez ci-dessous pour découvrir les autres articles de cette lettre.

lettre des fusions acquisitions et private equity 800x300

Conformité RGPD : découvrez notre offre

Quelle que soit votre activité, il est impératif de vous adapter et de vous conformer aux obligations actuelles et à venir du nouveau règlement européen sur la protection des données (RGPD). Découvrez l'offre d'accompagnement de notre cabinet d'avocats ci-dessous.

offre avocat rgpd conformité 800x300

Le Droit des sociétés au sein de notre cabinet d'avocats :

Notre cabinet d’avocats développe une pratique et expertise rare et innovante en matière de droit des sociétés. Nous sommes en mesure de traiter toutes questions complexes, en particulier les opérations de haut de bilan, réorganisations et restructurations, mécanismes d’intéressement des cadres et dirigeants, gouvernance des sociétés, droit boursier, etc.

cabinet avocats CMS en France

A propos de notre cabinet d'avocats

Expertise : Corporate/fusions & acquisitions

Expertise : Droit de la propriété intellectuelle

Auteurs

Anne Laure Villedieu
Anne-Laure Villedieu
Associée
Paris
Maxime Hanriot
Maxime Hanriot
Avocat
Paris