France Charruyer, avocate chez ALTIJ : « Fusions et acquisitions = attention aux données ! »

Entretien avec France Charruyer, avocate du cabinet ALTIJ, au sujet de la protection des données et du cas spécifique des fusions-acquisitions.

  • Le cabinet ALTIJ dispose d’un département dédié à la protection des données personnelles. Comment approchez-vous cette problématique ?

France Charruyer : A discipline collaborative, nous appliquons une méthode collaborative. En l’occurrence, nous travaillons en étroite collaboration avec chacun des départements du cabinet afin que la protection des données personnelles soit assurée à tous les stades. Le département DATA dispose par ailleurs de compétences variées qui viennent alimenter notre approche. C’est ainsi, que mon expérience du contentieux et des contrats permet d’appréhender les dossiers sous un jour très pratique, qui prend en compte l’identification et la gestion du risque. Notre pôle Data est composé d’avocats -DPO spécialistes en RH, transferts internationaux, droit contrats, santé, etc, ce qui permet d’apporter à nos clients une expertise spécifique et sécurisée en la matière. Nous travaillons en collaboration avec les professionnels de la cybersécurité et/ou gouvernance Data qu’ils soient internes ou consultants.

Quelle est l’approche du département en regard des opérations de fusion-acquisition ?

France Charruyer : C’est tout d’abord une approche en synergie avec le département Corporate. La protection des données doit s’intégrer dans la réflexion globale de l’entreprise, à tous les stades de son développement ou de son évolution. Ce n’est pas un sujet indépendant qui vient artificiellement s’ajouter. De façon très logique, ce point est soulevé à l’occasion de ces opérations et doivent être prises en compte par tous les acteurs concernés : investisseurs, actionnaires, dirigeants, mais aussi leurs conseils professionnels soucieux de préserver et valoriser les données personnelles (et non personnelles) traitées par les organismes.

Ces considérations relèvent de deux grands axes : d’une part, la conformité de l’entreprise cible, qui peut avoir des conséquences déterminantes pour sa valorisation, et, d’autre part, la gestion licite de l’opération elle-même (« data room » sécurisée, minimisation des données et transferts vers des investisseurs hors UE y compris, bientôt, au Royaume-Uni).

  • Quels sont les enjeux de la protection des données dans le cadre d’une opération de fusion, d’acquisition ou encore de levée de fonds ?

France Charruyer : En termes de valorisation de la cible, la non-conformité au RGPD est une problématique qui va avoir des répercutions non négligeables pour les entreprises et leurs dirigeants. Au-delà des sanctions pécuniaires, voire pénales, applicables en cas de non-conformité – et l’actualité récente a démontré que ces sanctions n’étaient absolument pas théoriques – il faut en effet rappeler que dès 2013 (bien avant l’avènement du RGPD), la Cour de cassation avait déjà déclaré, dans le cadre d’une vente de fonds de commerce, que la cession d’un fichier client non déclaré à la CNIL était nulle. Cette décision illustre parfaitement le risque de perte de valeur d’une entreprise à raison de sa non-conformité à la réglementation relative à la protection des données personnelles : la valeur de la société peut être tout simplement anéantie ! Or, pour un nombre grandissant d’entreprises, l’actif informationnel et/ou immatériel représente le cœur même de leur valorisation à terme…

Dans le cadre d’une opération de haut de bilan telle qu’une cession d’action ou une levée de fonds, compte tenu des exigences de conformité plus poussées et complexes, surtout en ce qui concerne l’obtention du consentement des personnes, la présence d’une base de données non conforme au sein d’une entreprise requiert une plus grande vigilance qui peut se traduire, par un élargissement du cadre de la garantie de passif ou des ajustements de prix. Ce n’est clairement pas anodin pour les opérateurs en cause !

 

  • Qu’est-ce que la prise en compte de cette mise en conformité sous-entend, en termes opérationnels ?

France Charruyer : Lors de l’achat d’une entreprise, l’acheteur/investisseur doit analyser l’état de conformité de sa cible, dans la mesure où la non-conformité de celle-ci peut représenter un passif majeur voire une exposition au risque de cybermalveillance ou de contentieux (recours individuels et/ou collectifs, action de groupe). L’audit de la conformité en protection des données prend donc une place importante dans les actions de « due diligence » menées par les investisseurs.

Notre cabinet est régulièrement sollicité pour réaliser de tels audits, aux côtés des audits plus habituels en matière sociale, propriété intellectuelle ou droit des sociétés, ce à raison de notre rôle de DPO (Délégué à la protection des données ») auprès de plusieurs groupes et fonds d’investissement pour lesquels nous avons développé une compétence spécifiquement nourrie des impératifs des leurs activités.

La valorisation d’un actif immatériel de type base de données, fichier client, etc … dépendra aussi d’autres facteurs complémentaires et plus généraux. Par exemple : A qui appartiennent les données collectées, enrichies ? Est-ce que certaines informations relèvent-elles du secret des affaires et, dans l’affirmative, comment sont-elles protégées ? La base elle-même bénéficie-t-elle d’une protection et les démarches nécessaires sont-elles assurées ? La question est particulièrement prégnante dans le cadre de réseaux de distribution.

De même, si certaines données sont issues d’une collaboration avec un acteur public, relèvent-t-elles de l’« open data », des données publiques ?

De façon générale, la circulation de la donnée n’est porteuse de gains économiques et/ou politiques que si les acteurs concernés sont en capacité d’en extraire de la valeur et de se soumettre à des conditions légales et contractuelles qui doivent être parfaitement maîtrisées par ces derniers.

  • Quels sont les pré-requis préconisés par ALTIJ pour permettre à ses clients d’aborder les opérations de cession ou de levée de fonds dans ce contexte ?

France Charruyer : A ces questions de fond de conformité et de valorisation, qui doivent être abordées, si possible, en amont, s’ajoutent des questions d’organisation de l’opération d’acquisition ou d’investissement.

Cela concerne principalement l’audit préliminaire, dit de « due diligence », pendant lequel le vendeur ou la cible met à disposition de l’acheteur ou de l’investisseur des informations généralement via une « data room » (espace privé en ligne). Les éléments communiqués dans ce cadre vont généralement comprendre des données personnelles, notamment celles des salariés et clients de la cible. C’est à cette communication de données personnelles que les principes du RGPD auront encore vocation à s’appliquer, tout en gardant en tête les enjeux de secret entourant l’opération.

Bien sûr, la question des transferts de données personnelles vers des acheteurs potentiels dans des « pays tiers » en dehors de l’Union européenne doit également être appréhendée et, avant de donner accès aux données personnelles à un investisseur situé dans un pays tiers, il convient de vérifier la licéité du transfert induit et, le cas échéant, de l’encadrer avec des « garanties appropriées ».

La conformité de la société en matière de protection des données est évidemment une condition qui sera traitée dans la documentation juridique afférente à l’opération.

  • Quels sont les recommandations que vous pourriez formuler à une entreprise envisageant une opération de rachat ou d’investissement ?

France Charruyer : La première chose à retenir est que RGPD n’est pas un épouvantail fait pour effrayer l’entreprise. C’est un instrument de valorisation et de compétitivité de nos entreprises et de nos territoires. C’est aussi un moyen pour l’entreprise de prendre conscience de l’étendue de son actif immatériel et de s’en saisir.

Des démarches de compliance, de structuration et de sécurisation de ses actifs et d’optimisation de ses ressources, démarches qui peuvent s’avérer, en pratique, relativement simples, peuvent ainsi constituer un véritable levier concurrentiel et rendre l’entreprise plus attractive pour les investisseurs français et étrangers. Les fonds d’investissements, sous l’influence anglo-saxonne sont en effet de plus en plus sensibles à la « compliance ». Il faut donc instaurer des réflexes de bonne gouvernance data au sein des entreprises en Occitanie afin d’augmenter leur compétitivité et attractivité sur le plan international et national au-delà des enjeux de souveraineté attachés au RGPD. Il ne s’agit pas de succomber à un certain rigorisme juridique décalé de la vie des affaires, mais bien plutôt d’intégrer de la manière la plus proactive possible les impératifs de responsabilité sociétaux qui sont les réglementation de demain : respect des droits des personnes, démarches RSE, etc.

Il s’agit de relever les défis de la nouvelle économie pour permettre aux PME quelles qu’elles soient, fortes de leur agilité et de leur dynamisme, de bénéficier d’opportunités de croissance et d’innovation au bénéfice des citoyens comme des entreprises. Il en va ici de la compétitivité de demain, et elle se construit dès aujourd’hui.

 Propos recueillis par MID e-news