Les promulgations successives du règlement général sur la protection des données le 27 avril 2016 («RGPD») et de la loi pour une République numérique le 7 octobre 2016 (dite «loi Lemaire»), conjuguées à l’évolution récente de la jurisprudence de la Cour de cassation, impose désormais aux entreprises d’être «data compliant», notamment dans le cadre de leurs opérations de fusions-acquisitions, dès aujourd’hui et encore plus demain.
Par Frédéric Sardain, avocat associé, Jeantet
1. Aujourd’hui
Depuis la loi «Informatique, fichiers et libertés» du 6 janvier 1978 (modifiée en 2004 pour tenir compte de la directive 95/46), les entreprises sont tenues de respecter la réglementation en matière de traitement de données à caractère personnel. Mais l’application effective de ce texte en matière de fusions-acquisitions s’est longtemps heurtée à deux écueils :
i) d’une part, son assimilation par les acteurs privés à un texte de droit public visant à préserver les libertés fondamentales contre les menaces étatiques liées à l’informatisation des fichiers ; de sorte que les opérateurs économiques ont longtemps considéré ne pas être réellement impactés par ce dispositif dans le cadre de leurs opérations d’acquisitions ou de cessions1 ;
ii) d’autre part, l’absence de réel pouvoir de sanction de la Commission nationale de l’informatique et des libertés («CNIL»), perçue davantage comme un tigre de papier que comme un véritable régulateur au pouvoir contraignant, à l’instar de l’Autorité de la concurrence ou de la Commission européenne en matière de droit de la concurrence, par exemple.
S’agissant du premier point, la chambre commerciale de la Cour de cassation est venue siffler la fin de la partie dès 2013 dans un important arrêt Bout-Chard (Cass. com., 25 juin 2013, Bout-Chard, n° 12-17037), en jugeant qu’un «fichier informatisé contenant des données personnelles», non déclaré auprès de la CNIL, est une chose hors commerce au sens de l’ancien article 1128 du Code civil (nouvel...
