Une révolution digitale est en cours, la plateformisation de l’économie, les données et les capacités sans précédent des capteurs intelligents connectés transforment radicalement la façon dont interagissent les entreprises avec leurs clients, leurs salariés et leurs partenaires. RGPD, DATA et DPO, registre des traitements, analyse d’impact – c’est tout un nouveau vocabulaire qui s’apprend au sein des entreprises avec le désormais fameux RGPD.
Aujourd’hui, les exigences de « compliance » au RGPD commencent aussi à se manifester lors des opérations de M&A et de LBO et doivent être prises en compte par tous les acteurs concernés : investisseurs, actionnaires et dirigeants, ainsi que leurs conseils professionnels soucieux de préserver et valoriser les données personnelles (et non personnelles) traitées par les organismes.
Ces considérations relèvent de deux grands axes : (1) la conformité de l’entreprise cible, qui peut avoir des conséquences déterminantes pour sa valorisation, et (2) la gestion licite de l’opération elle-même (« data room » sécurisée, minimisation des données et transferts vers des investisseurs hors UE y compris, bientôt, au Royaume-Uni).
En termes de valorisation de la cible, différents facteurs liés à la conformité sont susceptibles d’impacter le prix que les acheteurs sont en définitive prêts à payer, voire d’influencer leur décision d’investir ou non.
En premier lieu, la non-conformité au RGPD représente aujourd’hui un risque important pour les entreprises et leurs dirigeants. Pour rappel, le RGPD supprime les déclarations préalables auprès de la CNIL en faveur d’un système de responsabilisation, selon lequel le « responsable du traitement » (l’entreprise) doit être en mesure, à tout moment, de démontrer sa conformité aux exigences du règlement. En cas de violation de celles-ci, ce « responsable » peut se trouver exposé à des sanctions administratives très conséquentes, ainsi qu’à des actions civiles (les individus concernés par une telle violation peuvent demander réparation devant la justice) et pénales (la Loi française comporte des délits spécifiques concernant le traitement illicite de données personnelles).
A titre d ‘exemple, en juin 2019, la CNIL a infligé une amende de 400.000 euros à l’encontre d’un promoteur immobilier pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées. Cette décision a suivi celle, très médiatisée, de janvier 2019, d’imposer une amende de 50 millions d’euros à l’encontre de Google pour des traitements illicites et informations insuffisantes des personnes concernées (Google fait appel de cette décision devant le Conseil d’état). Par conséquent, lors de l’achat d’une entreprise, l’acheteur/investisseur doit analyser l’état de conformité de sa cible, dans la mesure où, la non-conformité de celle-ci peut représenter un passif majeur voire une exposition au risque de cybermalveillance ou de contentieux (recours individuels et/ou collectifs, action de groupe).
L’audit de la conformité en protection des données prend donc une place importante dans les actions de « due diligence » menées par les investisseurs, pour lequel Altij est fortement sollicité ( en notre qualité de DPO de plusieurs groupes et fonds d’investissement).
En deuxième lieu, pour un nombre grandissant d’entreprises, l’actif informationnel et/ou immatériel représente le cœur même de leur valorisation à terme. Prenons l’exemple d’une société qui a créé, au fil des années, une base de données enrichie comportant des informations sur des milliers de clients et de prospects. Si cette base a été constituée en méconnaissant les principes de protection des données (manque de base légale, manque de transparence auprès des personnes concernées …) celle-ci peut s’avérer inexploitable, avec dans une vente de fonds de commerce des conséquences catastrophiques pour la valorisation de la société. Dès 2013 (bien avant l’avènement du RGPD), la Cour de cassation avait déjà déclaré la nullité de la cession d’un fichier client non-déclaré à la CNIL.
Aujourd’hui, avec des exigences de conformité plus poussées et complexes, surtout en ce qui concerne l’obtention du consentement, la présence d’une base de données non conforme au sein d’une entreprise demande une plus grande vigilance sur l’étendue de la garantie de passif à demander. De là à penser que la non-conformité puisse devenir un sujet de « deal break » dans certains domaines d’activités…
Ajoutons que la valorisation d’un actif immatériel de type base de données, fichier client, etc … dépendra aussi d’autres facteurs complémentaires. Par exemple : A qui appartiennent les données collectées, enrichies ? est-ce que certaines informations sont protégées par le secret des affaires ? La base est-elle couverte par le droit sui generis protégeant une base de données, et qui en bénéficie et qui peut en revendiquer une quote-part du fait de la collecte ( la circulation de la data entre franchisés et franchiseurs par exemple? Si certaines données sont issues d’une collaboration avec un acteur public, relèvent-t-elles de l’« open data », des données publiques ? Ou encore comment distinguer entre données purement techniques et données personnelles (par exemple : les données techniques d’un véhicule peuvent révéler des informations sur la manière de conduire de son propriétaire).
Ainsi, si la donnée en elle-même n’est peut-être pas le nouvel « or noir » attendu, son exploitation est le vrai terreau des services et leviers de performance de demain. La circulation de la donnée n’est porteuse de gains économiques et/ou politiques que si les acteurs concernés sont en capacité d’en extraire de la valeur et de se soumettre à des conditions légales et contractuelles qui doivent être parfaitement maitrisées par ces derniers.
A ces questions de fond de conformité et de valorisation s’ajoutent des questions de process, d’organisation même d’une opération d’acquisition ou d’investissement. Cette problématique concerne principalement l’audit préliminaire, dit « due diligence », pendant lequel le vendeur met à disposition de l’acheteur des informations sur la cible, généralement via une « data room » (espace privé en ligne). Les éléments communiqués dans ce cadre vont généralement comprendre des données personnelles, notamment celles des salariés et clients de la cible. C’est à cette communication de données personnelles que les principes du RGPD auront encore vocation à s’appliquer.
Ainsi, il sera notamment nécessaire d’assurer la transparence auprès des personnes concernées : obligation qu’il faut mettre en balance avec les enjeux de secret entourant l’opération et les obligations éventuelles d’information et de consultation des salariés et/ou leurs instances représentatives, de la cible. Dans le même temps, il faut respecter le principe de minimisation des données (communiquer à l’acquéreur uniquement les données personnelles dont il a strictement besoin afin de réaliser l’audit, sans pour autant contrarier les exigences en terme de transparence de l’information). En outre, les exigences accrues de sécurité des traitements issues du RGPD supposent l’utilisation d’une data room bien sécurisée et un contrôle strict des accès à celle-ci.
Reste aussi la question des transferts de données personnelles vers des acheteurs potentiels dans des « pays tiers » en dehors de l’Union européenne. De tels transferts sont, en principe, interdits en l’absence d’un encadrement légal approprié. Par conséquent, dans le cadre d’un audit d’une société française, avant de donner accès aux données personnelles contenues dans la data room à un investisseur situé dans un pays tiers, il convient de vérifier la licéité du transfert induit et, le cas échéant, de l’encadrer avec des « garanties appropriées ». En pratique cela se traduira probablement par la signature de clauses contractuelles types de la Commission européenne au moment de la signature de la lettre d’intention (LOI) avant de débuter l’audit. A cet égard, il convient de soulever qu’en l’absence d’accord sur le Brexit avant le 31 octobre 2019, il pourra être nécessaire de signer de telles clauses avec vos partenaires et investisseurs Britanniques.
Suite à la phase d’audit, le contrat d’acquisition devra contenir des déclarations et garanties de la part du vendeur quant à la conformité de la société en matière de protection des données. Ces stipulations contractuelles, bien entendu, feront l’objet de négociations entre les parties. Puis, à l’issue de l’opération, lorsque la cible intégrera le groupe de l’acquéreur, la migration de données personnelles vers les systèmes de ce dernier supposera la mise en place d’accords intra-groupe afin de protéger les intérêts des personnes concernées et assurée la conformité à la réglementation.
Tous ces facteurs suscitent une prise de connaissance nécessaire de la part des dirigeants lors des opérations d’investissement et de tous les protagonistes des opérations publics et/ou privés. Cela étant, le RGPD doit être vécu non-pas comme un épouvantail mais comme un instrument de valorisation et de compétitivité de nos entreprises et de nos territoires. Des démarches de compliance, relativement simples, peuvent constituer un levier concurrentiel et rendre l’entreprise plus attractives pour les investisseurs français et étrangers. En effet, la conformité règlementaire est une préoccupation majeure pour les fonds anglo-saxons, avec leur culture juridique de la « compliance » et désormais des fonds locaux. Il faut, donc, instaurer des réflexes de bonne gouvernance data au sein des entreprises en Occitanie afin d’augmenter leur compétitivité et attractivité sur le plan international et national au-delà des enjeux de souveraineté attachés au RGPD.
Il s’agit de relever les défis de la nouvelle économie pour permettre aux PME quelqu’elles soient, fortes de leur agilité, de bénéficier d’opportunités de croissance et d’innovation au bénéfice des citoyens comme des entreprises.
par France Charruyer et Nicholas Cullen, Cabinet d’avocats Altij