Réseaux sociaux JSS
Réseaux sociaux JSS
Réseaux sociaux JSS
Réseaux sociaux JSS
Journal Spécial des Sociétés
Due diligence : conformité au RGPD et précautions d’usage
Publié le 26/09/2022 09:55
Due diligence : conformité au RGPD et précautions d’usage/><img src=

Plus de quatre ans après l’entrée en vigueur, le 25 mai 2018, du règlement (UE) 2016/679 du 27 avril 2016 (le RGPD), plusieurs questions demeurent toujours en suspens concernant les exigences concrètes du RGPD lors de la phase de due diligence ou d’audit préalable à toute transaction économique, notamment de type « mergers and acquisition » (M&A). En effet, des données à caractère personnel (DCP) de l’entité cédée sont communiquées par le cédant au(x) candidat(s) à la cession lors de la communication des documents, souvent par le biais d’une Data Room, notamment concernant les salariés (les contrats de travail, d’intérim, les mandats...), les fichiers clients (les contrats commerciaux…) voire même fournisseurs. Or, ces DCP font l’objet d’une protection spécifique au titre du RGPD. Il n’existe plus de déclaration ou d’autorisation auprès de la CNIL qui viendrait valider l’échange d’informations sur une opération.

Pour éclaircir au mieux les exigences et donc les précautions d’usage pour toute partie prenante à une due diligence concernant les DCP en trois temps : l’identification des parties prenantes (devant toutes être qualifiées de responsables du traitement de DCP au sens du RGPD), sera suivie de l’analyse des bases légales des traitements, puis des obligations respectives des parties de manière plus détaillée.

 

 


Destinataires de DCP et responsables du traitement

Dans le cadre d’une due diligence préparatoire à une transaction économique, il s’agit de mettre à disposition de l’information pour analyse et étude, en préalable à l’émission d’une offre ou des pourparlers. Les candidats, les conseils de part et d’autre reçoivent de l’information et en sont donc destinataires. Ce terme est défini à l’article 4 du RGPD comme visant « la personne physique ou morale, lautorité publique, le service ou tout autre organisme qui reçoit la communication de données à caractère personnel, quil sagisse ou non dun tiers (…) ».

Le responsable du traitement est défini comme la personne déterminant les finalités et les moyens d’un traitement de données personnelles (1) (même article 4 du RGPD). Il peut faire appel à un sous-traitant qui traitera les DCP, uniquement pour le compte du responsable du traitement (2).

À partir du moment où les données nominatives leur sont communiquées et qu’ils peuvent les gérer de manière autonome, c’est-à-dire en fixant les finalités et les moyens. L’ensemble des parties prenantes, incluant notamment le cédant, le(s) candidat(s) à la cession, le(s) conseil(s), doivent être qualifiées de responsable du traitement. Ils sont dès lors soumis à une responsabilité disjointe. Ils disposent en effet chacun d’une certaine autonomie dans la gestion de ces données, corollaire d’une responsabilité disjointe.

Cette dernière est particulièrement bienvenue dans le contexte actuel de cyber-insécurité avec la constatation de l’augmentation des fraudes informatiques et du piratage. En effet, elle fournira plusieurs niveaux de responsabilité chez chacun des responsables du traitement. Un cabinet d’avocat devra notamment mettre en place les "mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque "(article 32 du RGPD (3). Elle permet ainsi au cédant de limiter son exposition au risque si un conseil ou un candidat à la cession se fait pirater, en cloisonnant juridiquement l’étendue de sa responsabilité en cas de défaillance. Une telle qualification entraîne des obligations au sens du RGPD qui seront détaillées ci-après.

L’intensité des obligations aux termes du RGPD est appréciée au regard de l’objet de l’opération et de la sensibilité des données. Le plus souvent, il s’agit d’une transaction économique qui affecte la vie des affaires et n’est pas susceptible "d’engendrer un risque élevé pour les droits et libertés des personnes physiques "(article 35 du RGPD). Dès lors, il nest pas nécessaire deffectuer systématiquement une analyse dimpact relative à la protection des données, sauf cas particulier qui réunirait au moins deux des critères précisés par le Comité européen à la protection des données (CEPD) dans ses lignes directrices (4). Toutefois, les obligations en termes de minimisation des données communiquées (pour garantir que seules les données nécessaires au regard de chaque finalité spécifique du traitement sont traitées) et d’ « accountability » (obligation de mettre en œuvre des mécanismes et procédures internes permettant de démontrer le respect des règles relatives à la protection des données )5) du RGPD doivent être dûment respectées et documentées.

 


 

Les bases légales des traitements

Il ne peut y avoir de traitement autorisé sans une seule (et rien qu’une seule) base légale applicable. Cette identification de la base légale est souvent compliquée. La solution de facilité serait d’éviter l’application des contraintes du RGPD en faisant disparaître les DCP par le biais de l’anonymisation des documents.

 

 

L’anonymisation comme échappatoire illusoire

Le RGPD protège les données à caractère personnel. Dès lors, afin d’éviter l’application même du RGPD, il suffirait de supprimer les DCP des documents en les anonymisant ou en les agrégeant (caviardage, production de modèle de contrat…). Cette solution est possible lorsque l’opération de M&A porte sur une entité à taille assez réduite et devient impossible en pratique lorsque des centaines voire des milliers de documents doivent être analysés (6). En effet, pour toute transaction et particulièrement pour les M&A, « time is of the essence ». L’allongement des délais pour anonymiser tous les documents serait problématique, sans compter le coût supplémentaire d’une telle procédure (7). De plus, il est difficile de déterminer précisément une DCP car une même donnée peut être considérée comme ayant un caractère personnel dans une matière juridique ou un contexte donné, et ne plus avoir ce caractère personnel lorsque l’on bascule dans une autre matière juridique ou un autre contexte.

Il faut ajouter à ces réflexions que les outils d’anonymisation disponibles sur le marché ne sont pas infaillibles et que plutôt que de parler d’anonymisation, il vaudrait mieux parler de pseudonymisation. Par recoupement d’informations ou de documents, l’identification de la personne reste possible. La pseudonymisation n’est qu’une technique de sécurisation des données au sens de l’article 32, toutes les obligations du RGPD doivent être respectées par ailleurs.

Enfin, à trop "manipuler" les documents avant la mise à disposition aux candidats à une opération, il peut exister un doute légitime dans l’esprit de ces derniers à une opération sur leur intégrité qui, à un moment donné des discussions, pourront toujours demander à voir l’original d’un document, très légitimement. L’anonymisation comme solution définitive à la question de l’évitement ou à l’inverse de la conformité au RGPD est clairement illusoire.

 

 

Une balance des intérêts

Puisque le RPGD s’applique bel et bien en phase de due diligence, l’ « intérêt légitime » est en doctrine la base légale généralement retenue pour permettre le traitement de données à caractère personnel dans ce cadre. Toutefois, plusieurs intérêts légitimes peuvent entrer en conflit. Il y a dune part lintérêt légitime du cédant qui veut vendre son entité dans le secret des affaires, inhérent à la vie des affaires et sans lequel il ny aurait pas de liberté de commercer. Dautre part, il y a la protection de la vie privée des salariés et des clients dont lusage des DCP devrait faire lobjet dune information préalable (en réalité dès la collecte des données). Une balance des intérêts est alors nécessaire afin de déterminer quels sont les droits et obligations de chacun. La CNIL précise que ce travail doit être fait au cas par cas pour justifier lintérêt légitime du traitement concerné (8).

En pratique, une notice d’information peut être communiquée à l’ensemble des salariés de l’entité prévoyant la possibilité de la communication de leurs DCP à des destinataires autorisés (partenaires commerciaux, avocats, consultants, etc.) lors de tout type de transactions économiques (articles 13 et 14 du RGPD). En termes de transparence, il n’est pas nécessaire d’être plus précis puisque le secret des affaires implique qu’un salarié ne devrait pas être informé des prémices d’une négociation avec un candidat à la cession.

De plus, dans la balance des intérêts, le principe de minimisation des DCP transmises est clé. Le fait de communiquer au candidat à la cession uniquement les données personnelles dont il a strictement besoin afin de réaliser la due diligence, sans pour autant contrarier les exigences en termes de transparence de l’information (9) avec l’obligation d’information précontractuelle à l’opération du cédant envers un candidat à la cession (article 1112-1 du Code civil) (10), contribue à la conformité juridique de l’ensemble de l’opération.

La pratique de marché tend de plus en plus à faire cette sélection afin de limiter le risque juridique de la transaction par rapport au RGPD, ce qui est l’un des signes de la croissante prise de conscience des problématiques RGPD dans les transactions.

 

 







Les obligations respectives des parties

Les principales obligations des parties prenantes, à savoir le cédant, le(s) candidat(s) à l’achat et le(s) conseil(s), sont successivement abordées. Lorsqu’il y a un délégué à la protection des données pour tout responsable du traitement, il doit être pleinement associé à la conformité de ces opérations de due diligence.


Les obligations du cédant

Le cédant est soumis à une obligation d’information (article 1112-1 du Code civil) concernant l’entité à vendre auprès d’un candidat à la cession.

Il doit s’assurer que les personnes concernées dont les DCP vont être collectées ont bien été informées, au moins dans leur principe d’une communication dans le cadre d’opérations commerciales, les notices d’information ou autre privacy policies doivent être revues en conséquence.

Afin de respecter le principe de minimisation, les DCP des salariés ne peuvent être légitimement communiquées qu’en fonction de l’importance de ce salarié et de la sensibilité d’une telle information dans la transaction, sous l’égide du droit à l’information du candidat à la cession (article 1112-1 du Code civil). En pratique, s’agissant des DCP particulièrement sensibles (telles qu’appartenance syndicale, état de santé…), le salarié pourra procéder à un caviardage ou transmettre un résumé dans un état synthétique dans un premier temps, et bien souvent largement suffisant dans les premiers stades de discussion.

L’entité tiendra également un registre de traitement des données à jour en tant que responsable du traitement concernant les DCP traitées lors de la due diligence (11).

Lors de la signature de l’accord de confidentialité (Non-Disclosure Agreement), un accord doit être trouvé concernant la durée de transmission et de conservation qui doit être limitée (12). L’accord de confidentialité joue un rôle particulièrement important dans la transaction puisqu’il fournit au vendeur un fondement légal pour se retourner contre le candidat à la cession qui dévoilerait au public les DCP fournies, et ce même si ces DCP ont été communiquées en violation du RGPD.

Le contrat de sous-traitance avec le fournisseur de la Data Room, s’agissant de prestataire purement technique, doit contenir des clauses de sous-traitance conformes à l’article 28 du RGPD (13) avec des obligations précises sur la sécurité des données. De plus, il devrait idéalement stipuler que la plateforme hébergeant les documents demeure au sein de l’Espace économique européen (EEE). Si ce n’est pas le cas, des clauses contractuelles types rédigées par la Commission européenne doivent être intégrées au contrat de licence avec l’éditeur de la solution utilisée. La Data Room doit être bien sécurisée et prévoir un contrôle strict des accès à celle-ci et éviter, le cas échéant, le transfert des données dans des pays hors de l’EEE.

 

 

Les obligations d’un candidat à la cession

Chacun des candidats à la cession de l’entité du cédant est responsable du traitement. Dès lors, il doit tenir un registre de traitement des données à jour concernant les DCP traitées lors de la due diligence.

Si l’information doit circuler au sein des équipes du cédant, des mesures de sécurité, à commencer par une politique d’accès très stricte, doivent être mises en place. Le candidat devra également gérer et encadrer les flux de données hors de l’Espace économique européen.

Le candidat à la cession est tenu de respecter tous ses engagements cités dans l’accord de confidentialité (ou lettre d’intention) qu’il a signé, sous peine d’engager sa responsabilité contractuelle. Il devrait dès lors être dans l’obligation d’effacer toutes les DCP ou documents les contenant dès lors qu’elles ne lui sont plus d’utilité.

 

 

Les obligations d’un conseil

Les conseils indépendants et effectivement autonomes ayant accès aux DCP (banquiers d’affaires, avocats, hommes du chiffre) sont également qualifiés de responsables du traitement.

En ce qui concerne précisément les avocats (14), le fondement juridique de l’utilisation des DCP est le mandat qui porte sur la représentation des intérêts du client (et non pas sur le traitement des données, qui en ferait alors un sous-traitant), rendant l’avocat nécessairement qualifié de responsable du traitement indépendant (avis 1/2010 de l’ancêtre du Comité européen de la protection des données, le G29). Ils ne peuvent être sous-traitants que dans le cas où le cabinet fournirait la solution contenant les documents (la Data Room). En effet, il s’agirait dans ce cas précis de la simple externalisation de la mise en œuvre de traitement de DCP (15).

Il est à noter qu’une politique d’habilitation et d’accès aux documents de la Data Room est souvent mise en place par les conseils, notamment juridiques, selon les profils des personnes autorisées. Par exemple, un junior peut travailler sur des documents sans être informé des acteurs de la transaction en cours portant elle-même un nom de code fantaisiste, tandis que l’associé le supervisant aura accès à des informations plus sensibles.

 

1) RGPD - La protection des données personnelles dans les opérations de fusions-acquisitions - Pratique par G. Sroussi, J. Guilbault, E. Mimin et R. Durand - Actes Pratiques et Ingénierie Sociétaire n° 165, Mai 2019, 3.

2) Voir les questions / réponses sur l’espace numérique du Barreau de Paris : https://numerique.avocatparis.org. 

3) L’impact du RGPD pour les avocats par E. Le Quellenec – L’Observateur de Bruxelles – nº  117, Juillet 2019.

4) wp248 rev.01_fr (cnil.fr).

5) Les nouvelles règles de protection des données personnelles dans les opérations de fusions acquisitions par C. Dauthier et L. de Pelet - Revue Lamy droit des affaires, nº 145, 1er février 2019.

6) Ibid.

7) RGPD - La protection des données personnelles dans les opérations de fusions-acquisitions - Pratique par G. Sroussi, J. Guilbault, E. Mimin et R. Durand - Actes Pratiques et Ingénierie Sociétaire n° 165, Mai 2019, 3.

8) Recherche scientifique (hors santé) : quelle base légale pour un traitement de recherche ? | CNIL – 31 Janvier 2022.

9) Les fusions et acquisitions – quid de la protection des données ? - France Charruyer - Avocat à Toulouse - RGPD, Data, nouvelles technos (france-charruyer.fr) – 17 Octobre 2019 ; Opérations de fusion-acquisition & protection des données personnelles (cms.law) – 5 Juillet 2019.

10) Les réformes législatives récentes : quels impacts sur vos opérations de M&A ? - Table ronde par F. Bourgeois, G. Cordier, P. Despres et S. Scemla - Cahiers Droit de l’Entreprise n° 04 - Juillet-Août 2018.

11) Opérations de fusion-acquisition & protection des données personnelles (cms.law) – 5 Juillet 2019.

12) Le RGPD dans le cadre d’une due diligence in M&A | Infhotep – 9 Mai 2022.

13) RGPD - La protection des données personnelles dans les opérations de fusions-acquisitions - Pratique par G. Sroussi, J. Guilbault, E. Mimin et R. Durand - Actes Pratiques et Ingénierie Sociétaire n° 165, mai 2019.

14) L’impact du RGPD pour les avocats par E. Le Quellenec – L’Observateur de Bruxelles – n° 117, Juillet 2019.

15) Voir les questions / réponses sur l’espace numérique du barreau de Paris : https://numerique.avocatparis.org.

 

 

 

Eric Le Quellenec,

Avocat associé,

Simmons & Simmons,

Corporate & Commercial

 

Constance Tessier,

Associate,

Simmons & Simmons,

Corporate & Commercial



0 commentaire
  • 3 + 3 =

Journal Spécial des Sociétés - 8 rue Saint Augustin - 75002 Paris - Tél 01 47 03 10 10