Plus
de quatre ans après l’entrée en vigueur, le 25 mai 2018, du règlement (UE)
2016/679 du 27 avril 2016 (le RGPD), plusieurs questions demeurent toujours en
suspens concernant les exigences concrètes du RGPD lors de la phase de due
diligence ou d’audit préalable à toute
transaction économique, notamment de type « mergers and acquisition »
(M&A).
En effet, des données à caractère personnel (DCP) de l’entité cédée sont
communiquées par le cédant au(x) candidat(s) à la cession lors de la
communication des documents, souvent par le biais d’une Data Room,
notamment concernant les salariés (les contrats de travail, d’intérim, les
mandats...), les fichiers clients (les contrats commerciaux…) voire même
fournisseurs. Or, ces DCP font l’objet d’une protection spécifique au titre du
RGPD. Il n’existe plus de déclaration ou d’autorisation auprès de la CNIL qui
viendrait valider l’échange d’informations sur une opération.
Pour
éclaircir au mieux les exigences et donc les précautions d’usage pour toute
partie prenante à une due diligence concernant les DCP en trois temps :
l’identification des parties prenantes (devant toutes être qualifiées de
responsables du traitement de DCP au sens du RGPD), sera suivie de l’analyse
des bases légales des traitements, puis des obligations respectives des parties
de manière plus détaillée.
Destinataires de DCP et responsables
du traitement
Dans le cadre d’une due diligence préparatoire à une
transaction économique, il s’agit de mettre à disposition de l’information pour
analyse et étude, en préalable à l’émission d’une offre ou des pourparlers. Les
candidats, les conseils de part et d’autre reçoivent de l’information et en
sont donc destinataires. Ce terme est défini à l’article 4 du RGPD comme visant
« la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit la communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers (…) ».
Le responsable du traitement est défini comme la
personne déterminant les finalités et les moyens d’un traitement de données
personnelles (1) (même article 4 du RGPD).
Il peut faire appel à un sous-traitant qui traitera les DCP, uniquement
pour le compte du responsable
du traitement (2).
À
partir du moment où les données nominatives leur sont communiquées et qu’ils
peuvent les gérer de manière autonome, c’est-à-dire en fixant les finalités et
les moyens. L’ensemble des parties prenantes, incluant notamment le cédant,
le(s) candidat(s) à la cession, le(s) conseil(s), doivent être qualifiées de
responsable du traitement. Ils sont dès lors soumis à une responsabilité
disjointe. Ils disposent en effet chacun d’une certaine autonomie dans la
gestion de ces données, corollaire d’une responsabilité disjointe.
Cette
dernière est particulièrement bienvenue dans le contexte actuel de
cyber-insécurité avec la constatation de l’augmentation des fraudes
informatiques et du piratage. En effet, elle fournira plusieurs niveaux de
responsabilité chez chacun des responsables du traitement. Un cabinet d’avocat
devra notamment mettre en place les "mesures techniques et
organisationnelles appropriées afin de garantir un niveau de sécurité adapté au
risque "(article 32 du RGPD (3).
Elle permet ainsi au cédant de limiter son exposition au risque si un conseil
ou un candidat à la cession se fait pirater, en cloisonnant juridiquement
l’étendue de sa responsabilité en cas de défaillance. Une telle qualification
entraîne des obligations au sens du RGPD qui seront détaillées ci-après.
L’intensité des obligations aux termes du RGPD est
appréciée au regard de l’objet de l’opération et de la sensibilité des données.
Le plus souvent, il s’agit d’une transaction économique qui affecte la vie des
affaires et n’est pas susceptible "d’engendrer un risque élevé pour
les droits et libertés des personnes physiques "(article 35 du RGPD). Dès lors, il n’est
pas nécessaire d’effectuer
systématiquement une analyse d’impact
relative à la protection des données, sauf cas particulier qui réunirait au moins deux des
critères précisés par le Comité européen à la protection des données (CEPD)
dans ses lignes directrices (4). Toutefois,
les obligations en termes de minimisation des données communiquées (pour
garantir que seules les données nécessaires au regard de chaque finalité
spécifique du traitement sont traitées) et d’ « accountability » (obligation de mettre en œuvre des mécanismes et
procédures internes permettant de démontrer le respect des règles
relatives à la protection des données )5) du RGPD doivent être dûment respectées et documentées.
Les bases légales des traitements
Il ne
peut y avoir de traitement autorisé sans une seule (et rien qu’une seule) base
légale applicable. Cette identification de la base légale est souvent
compliquée. La solution de facilité serait d’éviter l’application des
contraintes du RGPD en faisant disparaître les DCP par le biais de l’anonymisation
des documents.
L’anonymisation comme échappatoire illusoire
Le
RGPD protège les données à caractère personnel. Dès lors, afin d’éviter
l’application même du RGPD, il suffirait de supprimer les DCP des documents en
les anonymisant ou en les agrégeant (caviardage, production de modèle de
contrat…). Cette solution est possible lorsque l’opération de M&A porte sur
une entité à taille assez réduite et devient impossible en pratique lorsque des
centaines voire des milliers de documents doivent être analysés (6). En effet, pour toute transaction et
particulièrement pour les M&A, « time is of the essence ».
L’allongement des délais pour anonymiser tous les documents serait
problématique, sans compter le coût supplémentaire d’une telle procédure (7). De plus, il est difficile de déterminer
précisément une DCP car une même donnée peut être considérée comme ayant un
caractère personnel dans une matière juridique ou un contexte donné, et ne plus
avoir ce caractère personnel lorsque l’on bascule dans une autre matière
juridique ou un autre contexte.
Il
faut ajouter à ces réflexions que les outils d’anonymisation disponibles sur le
marché ne sont pas infaillibles et que plutôt que de parler d’anonymisation, il
vaudrait mieux parler de pseudonymisation. Par recoupement d’informations ou de
documents, l’identification de la personne reste possible. La pseudonymisation
n’est qu’une technique de sécurisation des données au sens de l’article 32,
toutes les obligations du RGPD doivent être respectées par ailleurs.
Enfin,
à trop "manipuler" les documents avant la mise à disposition aux
candidats à une opération, il peut exister un doute légitime dans l’esprit de
ces derniers à une opération sur leur intégrité qui, à un moment donné des
discussions, pourront toujours demander à voir l’original d’un document, très
légitimement. L’anonymisation comme solution définitive à la question de
l’évitement ou à l’inverse de la conformité au RGPD est clairement illusoire.
Une balance des intérêts
Puisque le RPGD s’applique bel et bien en phase de due
diligence, l’ « intérêt légitime » est en doctrine la base légale généralement retenue pour permettre le traitement de
données à caractère personnel dans ce cadre. Toutefois, plusieurs intérêts légitimes peuvent entrer en conflit. Il y a d’une part l’intérêt légitime du cédant qui
veut vendre son entité dans le secret des
affaires, inhérent
à la vie des affaires et sans lequel il n’y
aurait pas de liberté de commercer. D’autre part, il y a la protection de la vie privée des salariés et des
clients dont l’usage des DCP devrait
faire l’objet d’une
information préalable (en réalité dès la collecte des données). Une
balance des intérêts
est alors nécessaire afin de déterminer quels sont les droits et obligations de chacun. La
CNIL précise que ce travail doit
être fait au cas par cas pour justifier l’intérêt légitime du traitement concerné (8).
En
pratique, une notice d’information peut être communiquée à l’ensemble des
salariés de l’entité prévoyant la possibilité de la communication de leurs DCP
à des destinataires autorisés (partenaires commerciaux, avocats, consultants,
etc.) lors de tout type de transactions économiques (articles 13 et 14 du
RGPD). En termes de transparence, il n’est pas nécessaire d’être plus précis
puisque le secret des affaires implique qu’un salarié ne devrait pas être
informé des prémices d’une négociation avec un candidat à la cession.
De plus, dans la balance des intérêts,
le principe de minimisation des DCP transmises est clé. Le fait de communiquer
au candidat à la cession uniquement les données personnelles dont il a
strictement besoin afin de réaliser la due diligence, sans pour autant
contrarier les exigences en termes de transparence de l’information (9) avec
l’obligation d’information précontractuelle à l’opération du cédant envers un
candidat à la cession (article 1112-1 du Code civil) (10),
contribue à la conformité juridique de l’ensemble de l’opération.
La pratique de marché tend de plus en plus à faire cette
sélection afin de limiter le risque juridique de la transaction par rapport au
RGPD, ce qui est l’un des signes de la croissante prise de conscience des
problématiques RGPD dans les transactions.
Les obligations respectives des parties
Les
principales obligations des parties prenantes, à savoir le cédant, le(s)
candidat(s) à l’achat et le(s) conseil(s), sont successivement abordées.
Lorsqu’il y a un délégué à la protection des données pour tout responsable du
traitement, il doit être pleinement associé à la conformité de ces opérations
de due diligence.
Les
obligations du cédant
Le cédant est soumis à une obligation d’information
(article 1112-1 du Code civil) concernant l’entité à vendre auprès d’un
candidat à la cession.
Il
doit s’assurer que les personnes concernées dont les DCP vont être collectées
ont bien été informées, au moins dans leur principe d’une communication dans le
cadre d’opérations commerciales, les notices d’information ou autre privacy
policies doivent être
revues en conséquence.
Afin
de respecter le principe de minimisation, les DCP des salariés ne peuvent être
légitimement communiquées qu’en fonction de l’importance de ce salarié et de la
sensibilité d’une telle information dans la transaction, sous l’égide du droit
à l’information du candidat à la cession (article 1112-1 du Code civil). En
pratique, s’agissant des DCP particulièrement sensibles (telles qu’appartenance
syndicale, état de santé…), le salarié pourra procéder à un caviardage ou
transmettre un résumé dans un état synthétique dans un premier temps, et bien
souvent largement suffisant dans les premiers stades de discussion.
L’entité
tiendra également un registre de traitement des données à jour en tant que
responsable du traitement concernant les DCP traitées lors de la due diligence (11).
Lors de la signature de l’accord de confidentialité (Non-Disclosure
Agreement),
un accord doit
être trouvé concernant la durée de transmission et de conservation qui doit être limitée (12). L’accord de confidentialité joue un rôle particulièrement
important dans la transaction puisqu’il fournit au vendeur un fondement légal
pour se retourner contre le candidat à la cession qui dévoilerait au public les
DCP fournies, et ce même si ces DCP ont été communiquées en violation du RGPD.
Le contrat de sous-traitance avec le
fournisseur de la Data Room, s’agissant de prestataire purement technique, doit
contenir des clauses de sous-traitance conformes à l’article 28 du RGPD (13) avec
des obligations précises sur la sécurité des données. De plus, il
devrait idéalement stipuler que la plateforme hébergeant les documents demeure
au sein de l’Espace économique européen (EEE). Si ce n’est pas le cas, des
clauses contractuelles types rédigées par la Commission européenne doivent être
intégrées au contrat de licence avec l’éditeur de la solution utilisée. La Data
Room doit être bien sécurisée et prévoir un contrôle strict des accès à
celle-ci et éviter, le cas échéant, le transfert des données dans des pays hors
de l’EEE.
Les obligations d’un candidat à la cession
Chacun
des candidats à la cession de l’entité du cédant est responsable du traitement.
Dès lors, il doit tenir un registre de traitement des données à jour concernant
les DCP traitées lors de la due diligence.
Si l’information doit circuler au sein des équipes du
cédant, des mesures de sécurité, à commencer par une politique d’accès très
stricte, doivent être mises en place. Le candidat devra également gérer et
encadrer les flux de données hors de l’Espace économique européen.
Le candidat à la cession est tenu de respecter tous ses
engagements cités dans l’accord de confidentialité (ou lettre d’intention)
qu’il a signé, sous peine d’engager sa responsabilité contractuelle. Il devrait
dès lors être dans l’obligation d’effacer toutes les DCP ou documents les
contenant dès lors qu’elles ne lui sont plus d’utilité.
Les obligations d’un conseil
Les
conseils indépendants et effectivement autonomes ayant accès aux DCP (banquiers
d’affaires, avocats, hommes du chiffre) sont également qualifiés de
responsables du traitement.
En ce qui concerne précisément les avocats (14), le fondement juridique de l’utilisation
des DCP est le mandat qui porte sur la représentation des intérêts du client
(et non pas sur le traitement des données, qui en ferait alors un
sous-traitant), rendant l’avocat nécessairement qualifié de responsable du
traitement indépendant (avis 1/2010 de l’ancêtre du Comité européen de la
protection des données, le G29). Ils ne peuvent être sous-traitants que dans le
cas où le cabinet fournirait la solution contenant les documents (la Data
Room). En effet, il s’agirait dans ce cas précis de la simple externalisation
de la mise en œuvre de traitement de DCP (15).
Il est à noter qu’une politique d’habilitation et
d’accès aux documents de la Data Room est souvent mise en place par les
conseils, notamment juridiques, selon les profils des personnes autorisées. Par
exemple, un junior peut travailler sur des documents sans être informé des
acteurs de la transaction en cours portant elle-même un nom de code
fantaisiste, tandis que l’associé le supervisant aura accès à des informations
plus sensibles.
1) RGPD - La
protection des données personnelles dans les opérations de fusions-acquisitions
- Pratique par G. Sroussi, J. Guilbault, E. Mimin et R. Durand - Actes
Pratiques et Ingénierie Sociétaire n° 165, Mai 2019, 3.
2) Voir les
questions / réponses sur l’espace numérique du Barreau de Paris : https://numerique.avocatparis.org.
3) L’impact du
RGPD pour les avocats par E. Le Quellenec – L’Observateur de Bruxelles –
nº 117, Juillet 2019.
4) wp248
rev.01_fr (cnil.fr).
5) Les nouvelles
règles de protection des données personnelles dans les opérations de fusions
acquisitions par C. Dauthier et L. de Pelet - Revue Lamy droit des affaires,
nº 145, 1er février 2019.
6) Ibid.
7) RGPD - La protection
des données personnelles dans les opérations de fusions-acquisitions - Pratique
par G. Sroussi, J. Guilbault, E. Mimin et R. Durand - Actes Pratiques et
Ingénierie Sociétaire n° 165, Mai 2019, 3.
8) Recherche
scientifique (hors santé) : quelle base légale pour un traitement de recherche
? | CNIL – 31 Janvier 2022.
9) Les fusions et
acquisitions – quid de la protection des données ? - France Charruyer -
Avocat à Toulouse - RGPD, Data, nouvelles technos (france-charruyer.fr) – 17
Octobre 2019 ; Opérations de fusion-acquisition & protection des données
personnelles (cms.law) – 5 Juillet 2019.
10) Les réformes
législatives récentes : quels impacts sur vos opérations de M&A ?
- Table ronde par F. Bourgeois, G. Cordier, P. Despres et S. Scemla - Cahiers
Droit de l’Entreprise n° 04 - Juillet-Août 2018.
11) Opérations de
fusion-acquisition & protection des données personnelles (cms.law) – 5
Juillet 2019.
12) Le RGPD dans
le cadre d’une due diligence in M&A | Infhotep – 9 Mai 2022.
13) RGPD - La
protection des données personnelles dans les opérations de fusions-acquisitions
- Pratique par G. Sroussi, J. Guilbault, E. Mimin et R. Durand - Actes
Pratiques et Ingénierie Sociétaire n° 165, mai 2019.
14) L’impact du
RGPD pour les avocats par E. Le Quellenec – L’Observateur de Bruxelles –
n° 117, Juillet 2019.
15) Voir les
questions / réponses sur l’espace numérique du barreau de Paris : https://numerique.avocatparis.org.
Eric
Le Quellenec,
Avocat
associé,
Simmons
& Simmons,
Corporate
& Commercial
Constance
Tessier,
Associate,
Simmons
& Simmons,
Corporate
& Commercial