Entreprise & Expertise

RGPD

Assurer la protection des données personnelles de la société cible dans une opération de fusion-acquisition

Option Finance - 28 octobre 2019 - Philippe Debry, Edouard Lemoalle et avocat, Fidal

RGPD, Fusion acquisition

Amendes, sanctions administratives, atteintes à la réputation ou à l’image… Les risques liés au non-respect du RGPD sont nombreux et peuvent même être parfois dissuasifs dans le cadre d’opérations de fusion-acquisition.

Par Philippe Debry, avocat, Edouard Lemoalle, avocat, et Olivier Josset, avocat, Fidal

Dans ce nouveau contexte, les acquéreurs doivent vérifier que les mesures de protection des données à caractère personnel des sociétés cibles sont non seulement conformes au RGPD mais également compatibles avec leurs propres politiques de sécurité informatique, et ce afin d’éviter des coûts liés à la mise en conformité des cibles, à la conduite de contrôles menés par la CNIL, voire à des condamnations pénales. Autant d’éléments qui ont une conséquence sur l’appréciation de la valeur de la cible, voire sur l’opportunité même d’acquérir.

L’exemple récent de Mariott International le montre. Après avoir acquis en 2015 Starwood Hotels & Resorts pour environ 12,2 milliards de dollars US, Mariott International a constaté des anomalies informatiques au sein de sa nouvelle filiale. Malgré une auto-dénonciation en novembre 2018, les coûts liés à la conduite de l’investigation et à l’amende (99 millions de livres) infligée en juillet 2019 par la CNIL britannique (ICO) se chiffrent en millions d’euros, réduisant ainsi significativement la profitabilité de l’opération.

Cette solution ne s’applique certes que dans l’ordre interne britannique. Néanmoins, la portée de cette décision de l’ICO ne doit pas être interprétée restrictivement. Le RGPD, sur lequel se fonde l’ICO pour motiver sa décision, est applicable à l’ensemble des Etats membres de l’UE. En effet, la logique du droit européen, primant sur les droits nationaux, est consacrée depuis de nombreuses années. Dès lors, les autorités françaises devraient être tenues de suivre une interprétation uniforme européenne du RGPD, même si elles disposent d’une marge d’interprétation pour les adapter aux faits d’une situation particulière.

La suite de cet article est réservée aux abonnés

Vous avez déjà un compte

Pour lire la suite de cet article, connectez-vous à votre compte

Mot de passe oublié

En cas de problème avec votre compte abonné, merci de contacter abonnement(at)optionfinance.fr

Pas encore abonné ?

Découvrez toutes nos offres d'abonnement et accédez à nos articles et dossiers en ligne.

S'abonner