Le nouveau Règlement Général sur la Protection des Données (RGPD) [1] est susceptible d’avoir des conséquences aussi significatives qu’inattendues pour ces opérations dès son entrée en vigueur le 25 mai 2018.
La problématique se pose ainsi : comment trouver un équilibre entre les droits et obligations en matière de données personnelles et les exigences du secret des affaires entourant les opérations de transmission ?
Sur le plan opérationnel, dans le trait de temps qui suit la signature de la lettre d’intention s’ouvre une période de due diligence, durant laquelle le candidat acquéreur vérifie que les éléments qui ont été négociés avec le vendeur dans le but de valoriser la cible correspondent bien à la réalité. A ce stade préliminaire, seul un cercle restreint de personnes est informé de l’opération potentielle.
Cette étape est indispensable tant pour le cédant (la valorisation pouvant être revue à la baisse) que pour l’acquéreur (il doit pouvoir connaître et évaluer les risques inhérents à la cible avant de s’engager fermement).
Les informations fournies comprendront les éléments relatifs au juridique sociétaire, les états financiers, les contrats clés, les litiges, les aspects sociaux et fiscaux, la propriété intellectuelle, etc. Parmi ces informations figurent des données à caractère personnel, notamment celles relatives aux salariés de la cible.
C’est sur ce dernier point, principalement, que le RGPD aura un impact majeur, car son article 13.3 énonce que, « lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente… ». [2]
Or, dans la mesure où l’audit des données personnelles des salariés de la société cible constitue un traitement avec une finalité nouvelle, ces derniers devraient en être informés avant même le début des due diligence.
On pourrait faire valoir que, même selon le régime actuel (la Directive 95/46 [3] transposée dans la loi Informatique et Libertés de 1978 [4]), une information en cas de due diligence est requise. En effet, des informations sur le traitement envisagé doivent être fournies à la personne concernée lors de la collecte indirecte de ses données [5] et lors de leur communication à un tiers (ex. un acquéreur ou investisseur). La Directive 95/45 laisse un peu de marge concernant cette obligation, laquelle ne s’applique pas si « l’information de la personne concernée se révèle impossible ou implique des efforts disproportionnés » [6]. En tout état de cause, le RGPD semble dissiper tout doute sur le sujet : un traitement ultérieur pour une nouvelle finalité déclenche une nouvelle obligation d’information.
De plus, l’article 13.3 crée un véritable droit pour les personnes concernées, dont la violation est passible de sanctions lourdes, les amendes administratives pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent [7].
La solution de facilité pourrait résulter de la notion de finalité nouvelle, en soutenant que la gestion des données des salariés d’une société comporte nécessairement leur utilisation dans une éventuelle due diligence. Si tel était le cas, cette nouvelle finalité serait inexistante et l’article 13.3 du RGPD ne s’appliquerait pas. Cependant, pour plusieurs raisons, une telle analyse nous semble périlleuse.
D’une part, il n’est pas évident qu’un salarié imagine au moment même de la collecte de ses données personnelles, aux fins de gestion de ses relations avec son employeur, que celles-ci soient analysées dans le contexte d’une levée de fonds ou d’un projet de cession [8]. D’autre part, une due diligence implique la transmission des données à une nouvelle catégorie de destinataires, un investisseur ou acquéreur tiers, ainsi qu’à leurs conseils.
Enfin, le RGPD souligne l’importance de la transparence dans le traitement des données à caractère personnel [9]. Or, soutenir qu’une due diligence ne serait pas une nouvelle finalité par rapport à la gestion des données RH repose sur la base de son inclusion tacite dans la finalité originelle, ce qui semble incompatible avec l’esprit de transparence du Règlement.
***
Les impacts d’une fuite d’information sur une opération de cession ou de levée de fonds sont potentiellement délétères pour les parties. Les autres acteurs du secteur pourraient être alertés, et à ce titre, pourraient engager des actions de prospection agressives sur les clients de la cible ou mener des opérations de déstabilisation en proposant une offre rivale.
Si la cible est une société cotée, l’information des personnes concernées exigée par l’article 13.3 du RGPD risque de déclencher des obligations supplémentaires par rapport au droit boursier. En effet, le « Market Abuse Regulation » (« MAR ») [10] exige que toute information privilégiée (« susceptible d’influencer de façon sensible le cours des instruments financiers concernés ») doit être rendue publique par l’émetteur des instruments en question. [11] S’il choisit de différer cette publication, l’émetteur doit garder une « liste d’initiés », (personnes ayant accès aux informations privilégiés), et prendre « toutes les mesures raisonnables » pour s’assurer que ces personnes « reconnaissent par écrit les obligations légales et réglementaires correspondantes … » [12].
Si les salariés d’une cible cotée sont informés en amont d’une offre potentielle, ils deviennent tous des initiés : charge administrative significative pour l’émetteur. En outre, les risques d’une fuite d’information privilégiée deviendraient plus significatifs en fonction de l’ampleur de la liste des initiés.
L’information anticipée des salariés soulèverait également des impacts négatifs au niveau social.Rappelons qu’il existe déjà deux obligations d’information des salariés relatives aux opérations de cession : à savoir l’information obligatoire résultant de la « Loi Hamon » [13], permettant aux salariés de la cible de présenter une offre d’achat [14], et l’information et consultation des instances représentatives du personnel (IRP) exigées par le Code du travail [15].
En termes d’organisation de l’opération, le cédant procède, en principe, à l’information « Loi Hamon » et/ou la consultation des IRP après la première phase de due diligence et la remise d’une offre ferme de la part de l’acquéreur.
Or, si les salariés de la cible sont d’ores et déjà informés de l’existence d’une offre potentielle dans le contexte d’une information en vertu de l’article 13.3 du RGPD, les membres du CSE [16] seront susceptibles de réclamer un début anticipé de la consultation, voire de se plaindre d’une prise de décision sans consultation (un délit d’entrave selon le nouvel article L.2317-1 du Code du travail). Même dans les sociétés de moins de 50 salariés, une information « article 13.3 » faite avant une information « Loi Hamon » alertera l’effectif salarié de l’opération potentielle.
***
Afin d’appréhender l’impact de l’article 13.3, plusieurs approches sont envisageables.
En premier lieu, il convient de limiter les informations personnelles remises à l’acheteur à un strict minimum et de chiffrer les noms des salariés. Néanmoins, une anonymisation totale est difficilement envisageable au vu de la possibilité d’une identification par recoupement en utilisant les autres données fournies, telles que l’intitulé de poste, l’âge, le salaire, et d’autres informations requises pour un audit utile de la cible.
Par ailleurs, une autre possibilité est de revoir les informations communiquées aux personnes concernées lors de la collecte de leurs données. Ainsi, les acquéreurs dans le cas d’une éventuelle cession peuvent être ajoutés aux catégories des destinataires potentiels des données, et les due diligence ajoutées à la liste des finalités.
Si une telle démarche en amont s’avère difficile ou impossible, une autre approche consisterait à modifier l’organisation de l’opération en reportant les aspects sociaux des due diligence entre la signature et le closing, avec, le cas échéant, des ajustements sur le prix et les garanties convenus. Ainsi, il serait possible de procéder à une information « article 13.3 » sans outrepasser le secret commercial de l’opération.
En l’absence de précision de la part de la CJUE, de telles démarches semblent prudentes, dans le cadre de la nécessaire mise en conformité généralisée de l’entreprise en amont du 25 mai 2018.
***
Il reste l’épineux débat sur la base juridique du traitement. En somme, un traitement n’est licite que si au moins l’une des conditions énoncées à l’article 6.1 du RGPD est remplie : le consentement de la personne concernée ; la nécessité à l’exécution d’un contrat auquel la personne concernée est partie ; le respect d’une obligation légale ; la sauvegarde des intérêts vitaux d’une personne physique ; l’intérêt public ; ou la nécessité « aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel ».
Dès lors :
– Soit vous optez pour l’obtention du consentement de la personne concernée. Dans cette perspective, l’option qui se présente aux employeurs serait de recueillir en amont le consentement de leurs collaborateurs à l’audit de leurs données lors d’une éventuelle due diligence. L’aléa serait l’éventuel refus de consentement à ce traitement ou son retrait.
Etant précisé que ce consentement doit être positif, spécifique, éclairé et libre, le G29 (regroupant les autorités de protection des données des Etats Membres) considérant à ce titre, que le consentement d’un salarié n’est presque jamais libre du fait de son lien de subordination envers l’employeur [17].
– Soit vous optez pour la zone grise de « l’intérêt légitime », en soutenant que l’opération de transmission dans une entreprise est nécessaire à ses intérêts légitimes et à ceux de l’investisseur/cessionnaire. En regardant le considérant 47 du RGPD on constate que : « l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. »
Ainsi, si l’employeur a informé le salarié au moment de la collecte de ses données que leur analyse lors d’une opération de transmission serait une possibilité, il sera plus à même de démontrer l’existence d’un intérêt légitime.
Ira-t-on de Charybde en Scylla ? Aucune solution n’est satisfaisante en l’état : que ce soit sous l’angle du lien de subordination et l’aléa du refus ou du retrait du consentement, ou que ce soit sur la qualification d’une opération de cession/transmission, laquelle ne présentera pas toujours un caractère légitime au sens du RGPD.
Il faudra donc se tenir prêt à ne pas être prêt le 25 mai 2018 et être attentif sur les nouvelles dispositions attendues en matière RH, ou l’éclairage du G29 et des juridictions. A cet égard, le projet de loi relatif à la protection des données personnelles, présenté par le gouvernement français à l’Assemblée nationale le 13 décembre 2017, ne semble pas apporter de l’éclairage sur la question.
Cependant, il est à noter que les autorités aux Etats-Unis ont déjà anticipé cette problématique. En effet, dans la Privacy Shield (charte permettant le transfert des données personnelles depuis l’UE envers des entreprises américaines y souscrivant) les due diligence sont expressément exclues des opérations requérant l’information et/ou le consentement de l’individu concerné [18]. La Commission européenne a accepté que ces mêmes principes assurent un niveau « essentiellement équivalent » [19] de protection des données personnelles que celui comporté par la Directive 95/46. De ce fait, peut-on considérer que la Commission a donné tacitement un feu vert aux due diligences sur le sol du vieux continent ? C’est peut être un indice, mais le doute persiste, d’autant plus que la Directive 95/45 est sur le point d’être abrogée par le RGPD. Ce sera aux législateurs et juridictions de trancher.
[1] Rgt (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[2] Il convient de distinguer entre collecte directe des données auprès de la personne concernée (art. 13), et collecte indirecte (art. 14) lorsqu’elles sont collectées auprès d’un tiers. L’art. 14.4 contient une disposition équivalente à l’article 13.3 concernant des traitements ultérieurs des données collectées de manière indirecte.
[3] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[4] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
[5] Directive 95/46, Article 11.1
[6] Directive de 1995, Article 11.2, transposé dans la Loi Informatique et Libertés, Article 32. III
[7] Article 85,5(b) du RGPD
[8] Les attentes de la personne concernée sont évoquées dans un contexte diffèrent dans le Considérant 47 du RGPD. Celui-ci traite de l’intérêt légitime du responsable du traitement comme base juridique justifiant un traitement et indique que : « Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur. » Malgré la différence de contexte, les attentes raisonnables de la personne concernée nous semblent un élément important à considérer quand il s’agit de juger si une nouvelle finalité existe.
[9] « Licéité, loyauté, transparence » est le premier principe énoncé à l’article 5.1 (a) du Règlement.
[10] Règlement 596/2014 du 16 avril 2014, relatif aux abus de marché
[11] MAR art. 17.1
[12] MAR art. 18.1 et 18.2
[13] Loi n°2014-856 du 31 juillet 2014 et simplifiée par l’article 204 de la loi n° 2015-990 du 6 août 2015
[14] Applicable à toutes les entreprises de moins de 50 salariés et aux PME d’entre 50 et 249 salariés (chiffre d’affaires annuel n’excédant pas 50 millions d’euros ou total de bilan n’excédant pas 43 millions d’euro) c.com. art. L 23-10-1 à L 23-10-12 et art. L 141-23 à L 141-32 modifiés par loi n° 2015-990 du 6 août 2015), art. 3 du Décret n° 2008-1354 du 18 décembre 2008 relatif aux critères permettant de déterminer la catégorie d’appartenance d’une entreprise pour les besoins de l’analyse statistique et économique
[15] C.trav. nouvel art. L. 2312-8, applicable à partir du 1er janvier 2018. Le comité social et économique (CSE) d’une entreprise d’au moins 50 salariés est informé et consulté sur la « modification de son organisation économique ou juridique », ce qui implique que les représentants des salariés de l’entreprise cible soient consultés avant la prise d’une décision par le cédant d’accepter ou de ne pas accepter l’offre d’achat.
[16] Comité social et économique : nouvelle instance fusionnant le comité d’entreprise, les délégués du personnel et le comite d’hygiène, de sécurité et des conditions de travail.
[17] « Employees are almost never in a position to freely give, refuse or revoke consent, given the dependency that results from the employer/employee relationship. Given the imbalance of power, employees can only give free consent in exceptional circumstances, when no consequences at all are connected to acceptance or rejection of an offer. » – Article 29 Data Protection Working Party, Opinion 2/2017 on data processing at work
[18] EU-U.S. Privacy Shield Framework Principles Issued by the U.S. Department of Commerce, III. Supplemental Principals, 4. Performing Due Diligence and Conducting Audits
[19] Décision D’exécution (UE) 2016/1250 De La Commission du 12 juillet 2016, paragraphe 61
France Charruyer en collaboration avec Sylvain Favier – Avocat Associé, ALTIJ et Nicholas Cullen –ALTIJ, Solicitor of England and Wales, Avocats au Barreau de Toulouse.