Sur la base de notre expérience chez Infhotep et dans un contexte de transactions de M&A, la plupart des entreprises ont commencé à penser au RGPD, mais peu ont conscience de la façon dont elles doivent comprendre, mettre en œuvre, mesurer et surveiller la conformité au RGPD.
Le RGPD détaille un ensemble de principes concernant le traitement des données personnelles, mais de nombreuses entreprises doivent encore déterminer la meilleure façon de définir un périmètre clair pour leur conformité au RGPD.
La plupart n’ont pas une vision exhaustive des données qu’elles détiennent réellement et s’appuient sur l’expertise d’équipes interfonctionnelles telles que les RH, les services juridiques, l’informatique et la conformité.
Il est donc essentiel de comprendre le niveau de conformité RGPD d’une entreprise cible, car cela peut avoir un impact significatif sur le coût d’acquisition.Quels sont les principaux points de vigilance relatifs au RGPD à regarder dans le cadre d’une due diligence ? Nos experts vous exposent dans cet article les principales questions à se poser et les bonnes pratiques à mettre en place, issue de leurs retours d’expérience.
Dans quelle mesure le RGPD affecte les entreprises impliquées dans des opérations de M&A notamment compte tenu de sa portée extraterritoriale ?
Les entreprises sont obligées de revoir la manière dont les données sont traitées, d’établir des procédures relatives à la protection des données, notamment la possibilité de signaler les violations de données, tout en s’assurant que les exigences légales associées sont respectées lors de la protection des données personnelles.
Les entreprises qui n’adoptent pas une approche approfondie pour atteindre la conformité et ne mettent pas en œuvre des procédures efficaces pour traiter les atteintes à la cybersécurité pourraient présenter un risque important dans une transaction. Outre les impacts financiers que peut entrainer une violation de données, l’autorité de contrôle peut également prononcer des sanctions pécuniaires substantielles.
Les acquéreurs devront s’engager dans un processus de due diligence beaucoup plus complète pour évaluer pleinement la capacité d’une cible à se conformer au RGPD. Comprendre comment une entreprise collecte, conserve, utilise et transfère des données personnelles, ainsi que l’historique de toute violation de données, sera essentiel pour comprendre l’évaluation et les risques associés à une transaction. Le processus d’intégration post-fusion devra également examiner comment le consentement existant des personnes concernées affectera l’intégration et les objectifs commerciaux futurs des entités combinées, afin de permettre différentes utilisations des données après la conclusion de la transaction.
Dans quelle mesure est-il important pour les acquéreurs d’identifier le niveau de conformité RGPD d’une entreprise cible ? Quelles mesures doivent ils prendre pour y parvenir ?
En raison des amendes substantielles infligées aux entreprises qui ne sont pas en conformité, l’évaluation de la maturité d’une cible en matière de conformité RGPD devient un domaine d’intérêt croissant. Il est désormais courant pour un acquéreur d’intégrer des considérations RGPD dans son périmètre de Technical Due Diligence, pour l’aider à avoir une vision claire sur la feuille de route d’une cible vers la conformité et l’identification des risques associés.
Par exemple, des failles de cybersécurité qui ne sont identifiées qu’après une transaction peuvent avoir un impact financier important, soit par des investissements supplémentaires nécessaires pour remédier aux risques, soit du fait des amendes prononcées par les régulateurs dans le cadre du respect du RGPD.
Il est donc essentiel que les acheteurs effectuent une analyse des écarts pour évaluer l’état de d’avancement de mise en conformité au RGPD afin qu’ils comprennent le travail qui sera nécessaire de réaliser après la transaction afin de poursuivre la démarche initiée. Non seulement l’acheteur devra évaluer le risque de non-conformité, mais également le coût de tout changement, en particulier les changements de systèmes requis.
Le niveau de conformité qui peut être acceptable variera selon le type de données traitées. Par exemple, pour une entreprise qui ne fait que des ventes interentreprises, un niveau de maturité inférieure peut être acceptable, par rapport à une entreprise traitant des données de santé sensibles.
Comment les acquéreurs doivent ils adapter leurs processus de due diligence afin d’évaluer les risques potentiels découlant des nouvelles réglementations RGPD ?
Historiquement, la due diligence technologique effectuée sur une cible couvrait généralement l’évaluation de toutes les technologies et stratégies adoptées pour protéger les données. Cependant, l’émergence de nouvelles réglementations sur la protection des données a incité les processus de Technical Due Diligence à s’adapter en intégrant les considérations du RGPD, ce qui aide à former un alignement entre la technologie et les aspects juridiques de la protection des données.
Quatre étapes doivent être considérées dans la due diligence pour le RGPD.
- Premièrement, la confirmation de l’exhaustivité et de la pertinence de l’approche suivie par une organisation pour se mettre en conformité avec le RGPD et assurer son maintien dans le temps. A-t-elle réellement engagé une démarche ? Quelles preuves apporter de cette mise en mouvement ?
- Deuxièmement, la confirmation que l’ensemble de données, les risques et les mesures d’atténuation des risques RGPD ont été évalués pour l’entreprise à venir, notamment au travers des études d’impacts.
- Troisièmement, la confirmation des modifications apportées au traitement de données, les risques et les mesures d’atténuation des risques RGPD ont été évaluées à la suite de l’opération de M&A.
- Enfin, une analyse des risques de séparation et de « carve-out » pour le RGPD doit être réalisée.
La préparation, les risques et les responsabilités en matière de protection des données deviendront une partie beaucoup plus importante de la due diligence.
Suite au RGPD, sera-t-il judicieux pour les dealmakers d’établir une convention de traitement des données pour préciser le cycle de vie des données et assurer leur effacement une fois la transaction terminée ? Qu’est-ce que cela peut impliquer ?
Au départ, nous verrons probablement plus de clauses contractuelles relatives à la protection des dans les accords de non-divulgation (NDA). Nous sommes d’avis que les acquéreurs potentiels sont les responsables de traitement des données qu’ils reçoivent dans le cadre du processus de vente, car ils utilisent ces données à leurs propres fins. À ce titre, ils devraient, conformément à un NDA, n’utiliser les données que pour évaluer la transaction et dans le respect de la règlementation. Si les données sont exportées, de responsables de traitement à responsables de traitement, des clauses types doivent être utilisées. Comme c’est la pratique courante aujourd’hui, les données personnelles dans les datarooms doivent être exclues, chiffrées ou limitées dans la mesure du possible.
Les meilleures pratiques dictent que dans un accord, l’acheteur et le vendeur réexaminent l’agenda RGPD. Les accords relatifs à la séparation complète et aux accords de service de transition peuvent modifier considérablement le statut RGPD d’une organisation et ses exigences. Par exemple, l’impact des fuites de données ou du transfert de données entre deux entités devra être pris en compte dans le cadre du programme de séparation. En tant que tels, les vendeurs et les acheteurs peuvent, à l’avenir, exiger que les données soient effacées après la transaction. Cette activité nécessitera de plus en plus des outils de nettoyage automatisés pour garantir la suppression des données structurées et non structurées.
Il est conseillé de mettre en œuvre une bonne gouvernance des données dans toute opération, y compris les données personnelles, ce qui inclut la gestion tout au long du cycle de vie.
Les acquéreurs doivent ils désormais repenser leur approche des transactions, pour éviter la non-conformité sur toute la ligne ?
Le risque lié à la vie privée doit être l’un des principaux facteurs impliqués dans le processus de M&A.
Pour lutter contre les menaces pesant sur les processus de M&A dues à des problèmes liés à la cybersécurité, les acquéreurs chercheront à engager des experts externes pour leur apporter tranquillité d’esprit, et pour évaluer les mesures de cybersécurité dans le cadre du processus de due diligence. Cela soulève beaucoup de nouvelles questions :
- Comment mener une due diligence en matière de cybersécurité ? De nouveaux prestataires de services spécialisés émergent ils ?
- De quoi les conseillers et les équipes de développement d’entreprise doivent ils être conscients alors que la cybersécurité fait l’objet d’un examen plus approfondi ? L’entreprise possède-t-elle les connaissances techniques et l’expérience suffisante pour rester en conformité ?
- En tant qu’acheteur, comment puis-je avoir l’assurance que ma cible a pris les mesures appropriées pour protéger ses informations ?
- En tant que cible, que dois-je offrir dans le cadre du processus de due diligence, et comment le rendre aussi indolore que possible pour l’acheteur ?
Il est clair que le RGPD et la cybersécurité vont de pair. Les deux entraineront des changements dans le processus de due diligence, car la protection des données utilisées dans le processus deviendra un problème critique, avec le potentiel de faire dérailler un accord si certains critères ne sont pas remplis ou si des garanties spécifiques ne sont pas mises en place.
Grégoire Pagès
Chargé de mission