Par Philippe Debry, directeur associé, Edouard Lemoalle, associé, et Olivier Josset, directeur associé, Fidal

Dans ce nouveau contexte, les acquéreurs doivent vérifier que les mesures de protection des données à caractère personnel des sociétés cibles sont non seulement conformes au RGPD mais également compatibles avec leurs propres politiques de sécurité informatique, et ce afin d’éviter des coûts liés à la mise en conformité des cibles, à la conduite de contrôles menés par la CNIL, voire à des condamnations pénales. Autant d’éléments qui ont une conséquence sur l’appréciation de la valeur de la cible, voire sur l’opportunité même de l'acquérir.

L’exemple récent de Mariott International le montre. Après avoir acquis en 2015 Starwood Hotels & Resorts pour environ 12,2 milliards de dollars US, Mariott International a constaté des anomalies informatiques au sein de sa nouvelle filiale. Malgré une auto-dénonciation en novembre 2018, les coûts liés à la conduite de l’investigation et à l’amende (99 millions de livres) infligée en juillet 2019 par la CNIL britannique (ICO) se chiffrent en millions d’euros, réduisant ainsi significativement la profitabilité de l’opération.

Cette solution ne s’applique certes que dans l’ordre interne britannique. Néanmoins, la portée de cette décision de l’ICO ne doit pas être interprétée restrictivement. Le RGPD, sur lequel se fonde l’ICO pour motiver sa décision, est applicable à l’ensemble des Etats membres de l’UE. En effet, la logique du droit européen, primant sur les droits nationaux, est consacrée depuis de nombreuses années. Dès lors, les autorités françaises devraient être tenues de suivre une interprétation uniforme européenne du RGPD, même si elles disposent d’une marge d’interprétation pour les adapter aux faits d’une situation particulière.

Ainsi, la conformité avec le RGPD devrait figurer désormais dans les préoccupations des acquéreurs dans le cadre des due diligences pré-acquisition en France également.

Ces due diligences dédiées à la conformité avec le RGPD qui peuvent paraître contraignantes ne doivent pas être réservées uniquement aux grandes opérations de fusion-acquisition. L’exemple de Bouygues Telecom le montre. Après avoir fusionné en 2015 les marques Bouygues Telecom et B&You et les systèmes informatiques correspondants, la CNIL a constaté en 2018 des anomalies au sein du système informatique hérité. Malgré le fait que Bouygues Telecom ait été «très réactive dans la mise en place d’une cellule de crise et le déploiement de mesures visant à rendre inaccessibles les données à caractère personnel concernées», outre le fait d’avoir «mis en œuvre un grand nombre de mesures afin de minimiser l’impact d’une éventuelle violation de données pour ses clients, notamment le rappel des bonnes pratiques et la mise à disposition de fiches contenant des conseils pour ses clients, la lutte contre le phishing, la surveillance du dark web et la formation de ses salariés», la CNIL a décidé non seulement d’infliger une amende de 250 000 euros mais également de rendre publique sa décision.

Que faut-il vérifier ?

Selon la taille de la cible, les due diligences comportent différents volets.

Concernant une cible de plus de 250 salariés, il faut s’assurer qu’elle a mis en place un registre de traitement des données. Une absence de registre de traitement ou un registre lacunaire comporterait en effet non seulement des risques de sanction financière en cas de contrôle de la CNIL (jusqu’à 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu), mais également des coûts liés à la mise en conformité avec le RGPD.

Pour une PME de moins de 250 salariés, il convient en toute hypothèse de demander communication des mesures de sécurité informatique mises en œuvre par la société afin d’en vérifier la conformité avec le RGPD. Pour mémoire, la CNIL a infligé en 2018 et 2019 à de nombreuses sociétés françaises des amendes de plusieurs centaines de milliers d’euros pour avoir insuffisamment protégé leur site web.

Ces vérifications sont néanmoins insuffisantes. Il convient en outre d’auditer la documentation liée aux relations contractuelles avec les salariés et les fournisseurs (notice d’information standard, contrats commerciaux, etc.), aux éventuels sous-traitants informatiques, aux éventuels dispositifs relatifs aux transferts internationaux de données (pays de transfert, modalités de transfert à des tiers, pays d’installation des serveurs, etc.) ou encore les analyses d’impact relatives à la protection des données ; l’ensemble de ces documents devant être aussi apprécié au regard de la réglementation sectorielle des activités concernées.

Il est également important de se renseigner sur les déclarations antécédentes de la cible et sur l’existence et le contenu de contrôles de la CNIL, qu’ils soient en cours ou passés.

Dans le cadre des opérations les plus stratégiques, une lecture des rapports d’audit informatique et des entretiens avec certains collaborateurs de la société cible peuvent être pertinents afin d’apprécier la réalité des pratiques d’utilisation des données.

Il s’agit non seulement d’analyser la conformité de la cible avec le RGPD, mais également de mettre en évidence les risques au sein de la cible et leur éventuelle matérialisation.

Sinon, quels sont les risques encourus ?

Les risques sont de plusieurs ordres.

Ils sont en premier lieu financiers, notamment avec le risque de sanction à la suite d’un contrôle de la CNIL constatant des carences dans les mesures de protection des données. De tels contrôles donnent souvent lieu à l’engagement de frais de défense et d’audits conséquents, outre des amendes de montants parfois importants. Dans certaines hypothèses, le risque lié à des poursuites d’autorités étrangères ne doit pas non plus être exclu. Sur ce point, il semble que l’ICO britannique attend des acquéreurs qu’ils conduisent des audits en matière de conformité avec le RGPD et adoptent les mesures de sécurité spécifiques nécessaires. A défaut, l’acquéreur risque d’être sanctionné si des violations de la loi antérieures à l’acquisition sont constatées.

Ces sanctions administratives peuvent, en outre, être complétées par des sanctions pénales dans l’hypothèse où des traitements de données contreviennent au Code pénal. Certes, la jurisprudence judiciaire française n’accepte pas qu’une transmission universelle du patrimoine résultant d’une fusion-

absorption emporte une transmission du passif pénal à la société absorbante au motif que «nul n’est responsable pénalement que de son propre fait». Mais la société absorbante ne doit pas exclure tout risque pénal, et ce, d’autant plus que la jurisprudence européenne est en désaccord sur ce point avec le droit français. En tout état de cause, la dette de réparation civile est, elle, transmise à la société absorbante.

Il en va toutefois différemment en cas de simple acquisition d’une société dans la mesure où la modification de l’actionnariat est sans conséquence sur la personne morale, notamment sur les procédures pénales et les sanctions afférentes aux faits commis antérieurement à la vente.

Il en va également différemment en cas de sanctions administratives. En matière de fusion-absorption, la jurisprudence administrative considère que la personnalité des peines n’interdit pas à une autorité publique de prononcer une sanction financière contre une société absorbante pour des manquements commis par une société absorbée qui n’a été ni liquidée ni scindée. Le Conseil d’Etat a même décidé «qu’il appartenait à celle-ci [la société absorbante], lors de l’opération de fusion-absorption, de recueillir toute information utile sur la situation de la société» (30 mai 2007 n° 293423). En l’espèce, une enquête de l’AMF portait sur la société absorbée au moment de l’opération de fusion-absorption. On peut donc considérer qu’il en ira de même concernant les sanctions infligées par la CNIL, qui seraient transmises à la société absorbante à qui il appartiendrait de réaliser les due diligences appropriées en amont de l’opération.

En dernier lieu, il est remarquable d’observer que la découverte de non-conformités, outre le fait d’engendrer une atteinte à la réputation et à l’image, justifie parfois la rupture de contrats commerciaux par des partenaires très exigeants en matière de protection des données et de la vie privée.

En conclusion, dans le cadre de due diligences, la pratique démontre que l’accès à l’information contenant des données à caractère personnel est une des principales problématiques, car étant protégées par le RGPD ces informations ne peuvent être recueillies que pour les besoins strictement nécessaires à l’opération de fusion-acquisition et, en toute hypothèse, uniquement par un nombre restreint de personnes dûment habilitées. La pratique des «black boxes» permet de répondre à cette exigence.

En tout état de cause, en cas de découverte de risques, il est conseillé à l’acquéreur de négocier une réduction de prix ou de demander une garantie de passif couvrant les conséquences financières ou opérationnelles liées au non-respect du RGPD par la cible.