Par Emmanuel Mimin, counsel, Grégory Sroussi, counsel, Raphaël Durand, avocat, et Jérémy Guilbault, avocat, Clifford Chance

Il y a tout juste un an le Règlement général sur la protection des données personnelles (RGPD) est venu bouleverser le cadre juridique applicable à la protection des données personnelles. Son objectif affiché était de renforcer la protection des personnes physiques et, à cet effet, d’accroître les obligations et la responsabilité des acteurs qui traitent ces données. L’augmentation significative de ces obligations est allée de pair avec une refonte complète des sanctions, lesquelles ont été considérablement accrues (les amendes administratives pouvant désormais atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial).

Il est par conséquent devenu incontournable, lors des opérations de M&A, de prendre en compte les problématiques de données personnelles, non seulement dans le cadre de l’analyse de la conformité des entités cibles, mais également afin d’assurer la conformité au RGPD de l’opération en elle-même.

L’importance d’assurer la conformité de l’opération de M&A au RGPD

Avec l’entrée en vigueur du RGPD et la nouvelle importance accordée à ces sujets, les questions liées à la protection des données personnelles doivent maintenant être prises en compte dès les prémices d’une opération de M&A.

Ainsi, une clause en matière de données personnelles peut être insérée dans les accords de confidentialité, avec notamment pour objectif de qualifier juridiquement les différentes parties (en tant que responsables de traitements indépendants, responsables de traitements conjoints ou sous-traitants) et d’intégrer d’ores et déjà certaines règles concernant les traitements de données personnelles mises en œuvre dans le cadre de l’opération envisagée.

Dans le cadre de l’éventuel recours à des prestataires tiers (ex : fournisseurs de data room électronique), il conviendra de s’assurer de la conformité au RGPD des contrats à conclure. Ainsi, lorsque ce prestataire agira en tant que sous-traitant de l’entité cocontractante, une clause conforme à l’article 28 du RGPD devra être stipulée. En outre, en cas de transferts en dehors de l’Espace économique européen (ex : recours à un prestataire établi en dehors de cette région, ou hébergement sur des serveurs situés en dehors de l’EEE), il faudra s’assurer que ces transferts sont encadrés conformément au RGPD avec, par exemple, la stipulation de clauses contractuelles types de la Commission européenne.

Par ailleurs, lors de l’alimentation de la data room, il conviendra d’être vigilant au téléchargement et à la mise à disposition des données personnelles sur la plateforme. En effet, en application du principe de minimisation tel que prévu par le RGPD, la data room ne devra contenir des données personnelles que si leur divulgation est strictement nécessaire à la bonne réalisation de l’opération. Il pourrait ainsi être nécessaire d’identifier les données personnelles dans les documents à télécharger sur la plateforme et de «caviarder» (lorsque cela est possible) les documents ayant vocation à être mis en data room, dès lors qu’ils contiennent des données personnelles non pertinentes au regard des finalités des opérations de due diligence. A titre de bonne pratique et afin d’aider à l’alimentation de la data room, les parties peuvent décider de rédiger un document didactique reprenant les règles principales à appliquer lors de la mise en ligne des documents. Ce document peut par exemple éclairer les opérationnels sur la notion (extrêmement large) de «données personnelles» en fournissant des exemples d’informations qui peuvent être considérées comme telles, ou encore attirer l’attention sur certaines catégories de données particulièrement sensibles.

Les parties devront par ailleurs s’assurer que leurs obligations respectives en termes de transparence ont bien été satisfaites. Il est en effet nécessaire, avant la collecte de données personnelles (que cette collecte soit directe ou indirecte), d’informer les personnes concernées d’un certain nombre d’éléments (listés aux articles 13 et 14 du RGPD) concernant les traitements dont leurs données feront l’objet. Il est donc en principe obligatoire, à la fois pour la partie mettant en ligne les données, mais également pour la partie qui effectue la revue (dans le cadre d’une collecte indirecte) d’informer l’ensemble des personnes dont les données personnelles sont mises en ligne dans la data room du traitement envisagé de leurs données.

Dans la mesure où cette information doit être fournie avant la collecte des données personnelles, elle devra être communiquée non pas à l’occasion de l’opération de M&A en question, mais plutôt en amont de celle-ci (par exemple dans le cadre des notices d’informations générales fournies aux salariés par leurs employeurs). Il est donc important d’anticiper, quand bien même aucune opération de M&A ne serait encore envisagée, qu’une telle communication de données personnelles pourrait un jour se révéler nécessaire et, partant, informer les personnes concernées en conséquence via des notices d’information.

La prise en compte de l’état d’avancement et de la qualité de la mise en conformité au RGPD de la société cible dans le cadre de la négociation du contrat d’acquisition

A l’occasion de l’audit de conformité (due diligence), l’acquéreur potentiel devra essayer d’avoir une idée précise à la fois de l’état d’avancement de la mise en conformité au RGPD de la cible (si ce chantier n’est pas terminé) et de la qualité de cette mise en conformité. Pour ce faire, l’acquéreur peut interroger la cible notamment quant à la mise en place ou non d’un projet d’évaluation et de mise en conformité au RGPD, la survenance de violations de données personnelles ou encore la mise en œuvre de sanctions de la part d’autorités dans le passé. Cette vision plutôt «macroscopique» devra être complétée par une revue plus approfondie des documents plus opérationnels (par exemple les registres de traitements, les contrats de sous-traitance, les notices d’information, ou encore les différentes politiques internes). La revue de ces documents permettra en effet d’apporter un éclairage supplémentaire non seulement sur le degré d’avancement de la mise en conformité mais également sur sa qualité.

Dès lors que les travaux de due diligence auront permis d’identifier des points de non-conformité (avérés ou potentiels) de la société cible au RGPD, et dans la mesure où ceux-ci ne seraient pas d’une importance telle qu’ils remettraient en cause l’opération dans son ensemble ou seraient de nature à entraîner une diminution très significative du prix (qui dissuaderait le vendeur de contracter), l’acquéreur pourra en tenir compte dans le cadre de la négociation du contrat d’acquisition (SPA) avec le vendeur. D’une part, l’acquéreur pourra, le cas échéant, solliciter du vendeur l’intégration dans le SPA de déclarations et garanties «générales» afin de se prémunir contre d’éventuels passifs qui n’auraient pas été précisément identifiés (passif dit inconnu), et/ou d’indemnités spécifiques afin de couvrir des risques identifiés mais qui ne se seraient pas encore matérialisés. D’autre part, l’acquéreur pourra demander au vendeur qu’il s’engage (covenant) à procéder à certaines mises en conformité pré-closing. Ces mesures de mises en conformité pourront, selon les spécificités de l’opération et, en particulier, le calendrier et l’importance que peuvent revêtir les aspects de protection des données personnelles de la cible, avoir un champ assez large ou, au contraire, se concentrer sur quelques points identifiés comme prioritaires et, le cas échéant, faire l’objet de points de suivi réguliers entre les parties pendant la période entre le signing et le closing.

Les aspects RGPD et cybersécurité s’imposent donc comme des sujets structurants des opérations de M&A, et ce quel que soit le secteur d’activité de la cible (numérique, bancaire, biens de consommation, industrie, etc.). Facteurs de risque et éléments de valorisation, ces sujets ont une incidence de plus en plus importante sur la conduite de ces opérations.