image
logo

Due diligence : conformité au RGPD et précautions d’usage

lundi 26 septembre 20226 min
Écouter l'article

Plus de quatre ans après l’entrée en vigueur, le 25 mai 2018, du règlement (UE) 2016/679 du 27 avril 2016 (le RGPD), plusieurs questions demeurent toujours en suspens concernant les exigences concrètes du RGPD lors de la phase de due diligence ou d’audit préalable à toute transaction économique, notamment de type « mergers and acquisition » (M&A). En effet, des données à caractère personnel (DCP) de l’entité cédée sont communiquées par le cédant au(x) candidat(s) à la cession lors de la communication des documents, souvent par le biais d’une Data Room, notamment concernant les salariés (les contrats de travail, d’intérim, les mandats...), les fichiers clients (les contrats commerciaux…) voire même fournisseurs. Or, ces DCP font l’objet d’une protection spécifique au titre du RGPD. Il n’existe plus de déclaration ou d’autorisation auprès de la CNIL qui viendrait valider l’échange d’informations sur une opération.

Pour éclaircir au mieux les exigences et donc les précautions d’usage pour toute partie prenante à une due diligence concernant les DCP en trois temps : l’identification des parties prenantes (devant toutes être qualifiées de responsables du traitement de DCP au sens du RGPD), sera suivie de l’analyse des bases légales des traitements, puis des obligations respectives des parties de manière plus détaillée.

 

 


Destinataires de DCP et responsables du traitement

Dans le cadre d’une due diligence préparatoire à une transaction économique, il s’agit de mettre à disposition de l’information pour analyse et étude, en préalable à l’émission d’une offre ou des pourparlers. Les candidats, les conseils de part et d’autre reçoivent de l’information et en sont donc destinataires. Ce terme est défini à l’article 4 du RGPD comme visant « la personne physique ou morale, lautorité publique, le service ou tout autre organisme qui reçoit la communication de données à caractère personnel, quil sagisse ou non dun tiers (…) ».

Le responsable du traitement est défini comme la personne déterminant les finalités et les moyens d’un traitement de données personnelles (1) (même article 4 du RGPD). Il peut faire appel à un sous-traitant qui traitera les DCP, uniquement pour le compte du responsable du traitement (2).

À partir du moment où les données nominatives leur sont communiquées et qu’ils peuvent les gérer de manière autonome, c’est-à-dire en fixant les finalités et les moyens. L’ensemble des parties prenantes, incluant notamment le cédant, le(s) candidat(s) à la cession, le(s) conseil(s), doivent être qualifiées de responsable du traitement. Ils sont dès lors soumis à une responsabilité disjointe. Ils disposent en effet chacun d’une certaine autonomie dans la gestion de ces données, corollaire d’une responsabilité disjointe.

Cette dernière est particulièrement bienvenue dans le contexte actuel de cyber-insécurité avec la constatation de l’augmentation des fraudes informatiques et du piratage. En effet, elle fournira plusieurs niveaux de responsabilité chez chacun des responsables du traitement. Un cabinet d’avocat devra notamment mettre en place les "mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque "(article 32 du RGPD (3). Elle permet ainsi au cédant de limiter son exposition au risque si un conseil ou un candidat à la cession se fait pirater, en cloisonnant juridiquement l’étendue de sa responsabilité en cas de défaillance. Une telle qualification entraîne des obligations au sens du RGPD qui seront détaillées ci-après.

L’intensité des obligations aux termes du RGPD est appréciée au regard de l’objet de l’opération et de la sensibilité des données. Le plus souvent, il s’agit d’une transaction économique qui affecte la vie des affaires et n’est pas susceptible "d’engendrer un risque élevé pour les droits et libertés des personnes physiques "(article 35 du RGPD). Dès lors, il nest pas nécessaire deffectuer systématiquement une analyse dimpact relative à la protection des données, sauf cas particulier qui réunirait au moins deux des critères précisés par le Comité européen à la protection des données (CEPD) dans ses lignes directrices (4). Toutefois, les obligations en termes de minimisation des données communiquées (pour garantir que seules les données nécessaires au regard de chaque finalité spécifique du traitement sont traitées) et d’ « accountability » (obligation de mettre en œuvre des mécanismes et procédures internes permettant de démontrer le respect des règles relatives à la protection des données )5) du RGPD doivent être dûment respectées et documentées.

 


 

Les bases légales des traitements

Il ne peut y avoir de traitement autorisé sans une seule (et rien qu’une seule) base légale applicable. Cette identification de la base légale est souvent compliquée. La solution de facilité serait d’éviter l’application des contraintes du RGPD en faisant disparaître les DCP par le biais de l’anonymisation des documents.

 

 

L’anonymisation comme échappatoire illusoire

Le RGPD protège les données à caractère personnel. Dès lors, afin d’éviter l’application même du RGPD, il suffirait de supprimer les DCP des documents en les anonymisant ou en les agrégeant (caviardage, production de modèle de contrat…). Cette solution est possible lorsque l’opération de M&A porte sur une entité à taille assez réduite et devient impossible en pratique lorsque des centaines voire des milliers de documents doivent être analysés (6). En effet, pour toute transaction et particulièrement pour les M&A, « time is of the essence ». L’allongement des délais pour anonymiser tous les documents serait problématique, sans compter le coût supplémentaire d’une telle procédure (7). De plus, il est difficile de déterminer précisément une DCP car une même donnée peut être considérée comme ayant un caractère personnel dans une matière juridique ou un contexte donné, et ne plus avoir ce caractère personnel lorsque l’on bascule dans une autre matière juridique ou un autre contexte.

Il faut ajouter à ces réflexions que les outils d’anonymisation disponibles sur le marché ne sont pas infaillibles et que plutôt que de parler d’anonymisation, il vaudrait mieux parler de pseudonymisation. Par recoupement d’informations ou de documents, l’identification de la personne reste possible. La pseudonymisation n’est qu’une technique de sécurisation des données au sens de l’article 32, toutes les obligations du RGPD doivent être respectées par ailleurs.

Enfin, à trop "manipuler" les documents avant la mise à disposition aux candidats à une opération, il peut exister un doute légitime dans l’esprit de ces derniers à une opération sur leur intégrité qui, à un moment donné des discussions, pourront toujours demander à voir l’original d’un document, très légitimement. L’anonymisation comme solution définitive à la question de l’évitement ou à l’inverse de la conformité au RGPD est clairement illusoire.

 

 

Une balance des intérêts

Puisque le RPGD s’applique bel et bien en phase de due diligence, l’ « intérêt légitime » est en doctrine la base légale généralement retenue pour permettre le traitement de données à caractère personnel dans ce cadre. Toutefois, plusieurs intérêts légitimes peuvent entrer en conflit. Il y a dune part lintérêt légitime du cédant qui veut vendre son entité dans le secret des affaires, inhérent à la vie des affaires et sans lequel il ny aurait pas de liberté de commercer. Dautre part, il y a la protection de la vie privée des salariés et des clients dont lusage des DCP devrait faire lobjet dune information préalable (en réalité dès la collecte des données). Une balance des intérêts est alors nécessaire afin de déterminer quels sont les droits et obligations de chacun. La CNIL précise que ce travail doit être fait au cas par cas pour justifier lintérêt légitime du traitement concerné (8).

En pratique, une notice d’information peut être communiquée à l’ensemble des salariés de l’entité prévoyant la possibilité de la communication de leurs DCP à des destinataires autorisés (partenaires commerciaux, avocats, consultants, etc.) lors de tout type de transactions économiques (articles 13 et 14 du RGPD). En termes de transparence, il n’est pas nécessaire d’être plus précis puisque le secret des affaires implique qu’un salarié ne devrait pas être informé des prémices d’une négociation avec un candidat à la cession.

De plus, dans la balance des intérêts, le principe de minimisation des DCP transmises est clé. Le fait de communiquer au candidat à la cession uniquement les données personnelles dont il a strictement besoin afin de réaliser la due diligence, sans pour autant contrarier les exigences en termes de transparence de l’information (9) avec l’obligation d’information précontractuelle à l’opération du cédant envers un candidat à la cession (article 1112-1 du Code civil) (10), contribue à la conformité juridique de l’ensemble de l’opération.

La pratique de marché tend de plus en plus à faire cette sélection afin de limiter le risque juridique de la transaction par rapport au RGPD, ce qui est l’un des signes de la croissante prise de conscience des problématiques RGPD dans les transactions.

 

 


Partager l'article

THÉMATIQUES ASSOCIÉES

0 Commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Les plus vus

1.
Congrès des greffiers des tribunaux de commerce : « L’intelligence artificielle peut nous permettre de détecter des schémas de fraude que l’œil humain ne verrait pas »
2.
Livret défense, une fausse bonne idée pour soutenir l’armement
3.
L’Essonne accueille une nouvelle préfète, Fabienne Balussou, la cinquième depuis 2020
4.
« En course à pied comme en audience, il est toujours important d’avoir un coup d’avance sur les échéances »
5.
« Le compromis, c’est la nuance » : Éric Dupond-Moretti regrette l’empoisonnement du débat public

Au cœur de l'actualité !

Infos locales, analyses et enquêtes : restez informé(e) sans limite.

S'abonner

Abonnez-vous à la Newsletter !

Recevez gratuitement un concentré d’actualité chaque semaine.