Par Rémy Bricard, associé, et Elsa Dalimier, avocate, Baker McKenzie

Il y a quelques années, un grand fabricant automobile allemand rachetait une filiale du groupe Vikers pour 795 millions de dollars, dans l’objectif de produire des Bentley et des Rolls-Royce. Il a mis la main sur les usines de production des véhicules, mais pas sur la marque Rolls-Royce, laquelle n’appartenait pas à la filiale acquise, mais à une autre qui avait, entretemps, choisi de céder celle-ci à… Son principal concurrent ! Mauvaise surprise dont le groupe allemand se souviendra longtemps.

Plus récemment, un des principaux acteurs de la nouvelle économie, spécialisé dans la mobilité, a choisi de se lancer dans la production de voitures autonomes en rachetant une société de ce domaine, afin d’accélérer son entrée sur le marché. Peu de temps après, un des géants du numérique américain alléguait que le fondateur de la société achetée, l’un de ses anciens salariés, lui avait volé des éléments protégés par ses droits de propriété intellectuelle. A nouveau, une déconvenue coûteuse et lourde de conséquences en termes de réputation.

Enfin, tout dernièrement, la CNIL anglaise (ICO) a fait part de son intention d’imposer à un groupe hôtelier international une sanction de plus de 99 millions de livres en raison d’une faille de sécurité. Ce groupe avait racheté une autre entreprise hôtelière en 2016, dans laquelle il est apparu qu’une faille de sécurité existant depuis 2014 avait compromis les données d’environ 30 millions de clients…

Dans tous ces exemples, l’acquéreur a subi les conséquences, parfois considérables, d’un défaut de vigilance au stade de la due diligence, alors qu’un examen plus attentif de la cible, conduit par des spécialistes, aurait permis de les éviter. Il est vrai qu’il est souvent facile de passer à côté. Comment éviter ces incidents ?

La complexité toujours croissante des risques technologiques

Pour les actifs immatériels, il est indispensable de s’assurer que la cible dispose bien des droits qu’elle prétend sur les actifs qui sont nécessaires à son fonctionnement. Si l’exemple de la propriété de la marque, ci-dessus, est un cas d’école, il peut s’avérer beaucoup plus difficile de vérifier ces droits. Ainsi, s’agissant de logiciels, un code non documenté sera une alerte, mais elle n’est pas aisée à identifier. Outre qu’un code non documenté risquera de n’être d’aucune utilité, ce défaut sera souvent révélateur d’autres carences parfois également complexes à mettre à jour : emprunt de codes tiers, usage non documenté de codes open source, manque de traçabilité des apports des créateurs…

Les conséquences pour l’acquéreur imprudent peuvent alors être dramatiques : action en contrefaçon de la part des tiers lésés, multiplication des actions en responsabilité de la part de ses clients, perte de l’investissement, si l’actif en question était la principale raison de l’opération, et bien évidemment, préjudice d’image.

En matière de données personnelles, rappelons que celui qui traite ces données doit le faire de manière légale et en assurer la sécurité. Or, les traitements peuvent être d’une complexité énorme. S’ils n’ont pas été correctement identifiés, évalués, enregistrés et mis en œuvre, le défaut de conformité sera caractérisé et des sanctions importantes encourues. En cas de violation de données, outre des amendes réglementaires et pénales de montants potentiellement conséquents, l’entreprise s’expose à des actions judiciaires des personnes concernées (ne pas oublier l’action collective) et à des actions en responsabilité lorsque qu’elle traite les données pour le compte d’une autre. Dans tous les cas, le préjudice d’image peut être considérable.

Enfin, lorsque l’entité cible est tellement intégrée dans le groupe auquel elle appartient qu’elle ne dispose pas des ressources nécessaires pour fonctionner de manière autonome, le risque existe qu’elle ne puisse poursuivre normalement ses activités une fois l’opération réalisée. Ne pas savoir précisément ou sont logés les actifs technologiques ou les données, ni quels sont les services essentiels fournis par d’autres sociétés du groupe peut alors avoir des conséquences désastreuses pour l’acquéreur : perte d’activité, perte d’historique, responsabilité contractuelle à l’égard de ses clients et, toujours, préjudice d’image.

Cette complexité va croissant : l’utilisation massive de sous-traitants, de robots ou de techniques relevant de l’intelligence artificielle aggrave encore la complexité de ces questions et avec elle, les risques encourus.

Il est donc nécessaire de s’assurer de la bonne identification de ces problèmes, en temps et en heure. Pour ce faire, il est indispensable de faire intervenir des équipes spécialisées, disposant des compétences juridiques et techniques leur permettant de les appréhender et de bien les comprendre. A défaut, on courra le risque de passer totalement à côté de ces problématiques.

Un peintre en bâtiment ne trouvera pas la fuite dans un tuyau…

La phase de due diligence est donc cruciale pour identifier ces problématiques. Mais elle ne permettra de répondre à son objectif qu’à condition de faire intervenir des spécialistes à même d’identifier et de comprendre ce dont il retourne, d’en évaluer les risques et de proposer des solutions pour y pallier. En d’autres termes, on ne fait pas intervenir un peintre pour identifier la cause d’une fuite, de même qu’on ne va pas chez un généraliste lorsqu’il s’agit de poser un diagnostic sur une pathologie complexe.

Ainsi, comprendre comment fonctionne un chatbot et s’il présente des risques en matière de propriété intellectuelle, de risque produit ou de responsabilité contractuelle sont des questions complexes qu’un examen classique et superficiel ne permettra pas de traiter. Il faut d’abord pouvoir interagir avec l’équipe qui a conçu le produit pour comprendre comment il a été développé, à partir de quoi, et comment il fonctionne sur le plan technique. On peut alors procéder à la qualification juridique de chaque élément le composant et s’interroger sur son statut en termes d’origine de propriété et de risques. S’y ajouteront souvent des dimensions complémentaires, pour correctement situer le risque dans son environnement interne (l’entreprise) et externe (son marché), par exemple l’incidence de l’infrastructure et des moyens de communication utilisés pour le mettre en œuvre.

Le même niveau de complexité peut rapidement être atteint sur les questions touchant aux données personnelles. Il faut savoir analyser la cartographie des flux de données – lorsqu’elle existe – et s’assurer qu’elle est complète et correspond à la réalité, sur l’ensemble du périmètre concerné (incluant donc les éventuels sous-traitants et tous les tiers qui utilisent ces données). Il faut savoir lire un registre des traitements des données personnelles, et le confronter à la réalité de ce que l’on observe pour s’assurer, de même, qu’il est complet, fiable et donc conforme. Il faut s’entretenir avec les personnes clés de la cible sur ces traitements pour évaluer le niveau de maturité de la cible et qualifier en conséquence le résultat de l’analyse documentaire. Si les réponses sont apparemment satisfaisantes mais que le niveau de maturité est proche de zéro, cela doit forcément alerter. En cas d’alerte, des vérifications complémentaires pourront être requises pour mieux qualifier ce risque.

Dans ces domaines, l’absence de documentation ne signifie pas l’absence de problème. Bien au contraire, cela démontrera souvent une désorganisation qui doit alerter l’acquéreur.

Que faire lorsque des risques sont identifiés ?

On pourrait se dire que les garanties âprement négociées permettront de couvrir le risque. Néanmoins, c’est bien souvent illusoire car dans bien des cas, la connaissance du risque anéantira la garantie. Dans d’autres cas, faute d’un examen précis au stade de l’audit, la garantie se révélera trop vague afin de bien appréhender la situation en question. Enfin, demeure le risque d’image, qu’aucune garantie ne pourra jamais régler.

Il faut donc souvent envisager de mener des actions de remédiation, soit avant, soit après le closing. Encore faut-il être capable d’identifier les solutions possibles, leurs risques et avantages et leur coût de mise en œuvre.

Pour ce faire, à nouveau, la présence du spécialiste s’impose.