Les aspects relatifs à la protection des données à caractère personnel dans les opérations de fusion-acquisition sont devenus incontournables depuis l’entrée en vigueur le 25 mai 2018 du règlement (UE) 2016/679 du 27 avril 2016 (le RGPD).
Par Anne-Laure Villedieu, avocat associé en droit de la propriété intellectuelle. Elle intervient tant en conseil qu’en contentieux, notamment dans les domaines du droit d’auteur, de la propriété industrielle (marques, brevets, dessins et modèles) et de l’informatique, des communications électroniques et de la protection des données personnelles. anne-laure.villedieu@cms-fl.com et Maxime Hanriot, avocat en droit de la propriété intellectuelle. Il intervient en matière de conseil et de contentieux sur les sujets liés à la protection de la propriété intellectuelle, aux nouvelles technologies, au droit des médias et de la communication, au droit du sport et sur des problématiques commerciales. maxime.hanriot@cms-fl.com
Au-delà de la possible annulation du contrat de cession d’actif1 (dans le cas d’un asset deal), les manquements à la réglementation sur la protection des données exposent le vendeur comme l’acquéreur à des amendes administratives dont le montant peut désormais atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, mais également à des actions en responsabilité provenant des personnes concernées ou d’associations habilitées dans le cadre d’une action de groupe2.
Au cours de la phase de due diligence
L’audit de la cible implique généralement la communication de données à caractère personnel, souvent réalisée au sein d’une data room dématérialisée. Cette communication doit respecter la règlementation applicable à la protection des données. La divulgation de données effectuée auprès des différents acteurs de l’opération devra donc être strictement limitée aux données nécessaires à l’opération ainsi qu’aux personnes habilitées et encadrée contractuellement entre la cible et l’acquéreur mais également entre la cible et le prestataire de la data room le cas échéant. Les données personnelles contenues dans la data room feront l’objet de mesures d’anonymisation ou de pseudonymisation dans toute la mesure du possible.
Dans tous les cas, les personnes concernées (clients, salariés et fournisseurs) doivent être tenues préalablement informées de ces traitements et des destinataires de leurs données3. L’évaluation de la conformité de la cible nécessite une compréhension claire et exhaustive du flux de données (data flow) ainsi qu’une revue exhaustive de la documentation.
L’acquéreur devra a minima s’assurer que la cible :
– tient un registre des traitements à jour ;
– a informé les personnes concernées conformément aux dispositions des articles 13 et 14 du RGPD ;
– a répondu à leurs éventuelles demandes d’exercice de droits ;
– a mis en place des mesures de sécurité suffisantes ; et
– a encadré contractuellement les traitements opérés par des tiers par la conclusion de contrats conformes aux articles 26 et 28 du RGPD.
L’acquéreur prendra soin également d’identifier les éventuelles enquêtes administratives, les notifications de violations de données ainsi que tout contentieux en cours et passé.
Cette analyse de conformité sera idéalement complétée par un audit technique du système d’information de la cible.
Dans le SPA (déclarations et garanties)
Dans l’acte encadrant la transaction, le vendeur devra fournir les déclarations et les garanties appropriées à l’acquéreur concernant la conformité avec la réglementation sur la protection des données. Si des irrégularités ou des risques particuliers ont été identifiés au cours de la phase de due diligence, des actions ou des garanties spécifiques pourront être demandées au vendeur.
Traitements post-closing
A l’issue de l’opération de fusion-acquisition (post-closing), l’acquéreur assumera l’ensemble des obligations et responsabilités relatives aux traitements. Tout traitement ultérieur des données devra notamment être réalisé dans les limites des finalités pour lesquelles elles ont été initialement collectées. Si l’acquéreur souhaite traiter les données pour des finalités différentes, il devra au préalable s’assurer de la licéité du traitement envisagé et, le cas échéant, en informer les personnes concernées ou obtenir leur consentement.
La migration des données ou du système d’information de la cible vers l’acquéreur, notamment via la conclusion d’un accord de services transitoires (Transitional Services Agreement) devra être encadrée contractuellement et inclure les clauses requises par la réglementation en matière de protection des données.
Tout acquéreur devra intégrer l’ensemble de ces mesures lors des opérations de fusion-acquisition afin de limiter les risques liés à protection des données, plus particulièrement lorsque l’actif essentiel de la transaction implique des ensembles de données.
1. Cass. com., 25 juin 2013, n° 12-17037.
2. Article 43 ter de la loi informatique et libertés.
3. Articles 13 et 14 du RGPD.
