Fusion acquisition et RGPD
La Garantie de passif dans le cadre des fusions acquisitions et du RGPD
Ce principe de garantie de passif est devenu habituel, régulièrement évoqué et pris en compte dans le cadre d’une fusion acquisition.
L’arrivée du RGPD (Règlement Général sur la Protection des Données) va faire évoluer la donne.
Aujourd’hui, les exigences de « compliance » au RGPD commencent à se manifester lors des opérations de rachat ou de vente et doivent être prises en compte par tous les acteurs concernés : investisseurs, actionnaires et dirigeants soucieux de préserver et valoriser les données personnelles traitées par les organismes.
En termes de valorisation de la cible, différents facteurs liés à la conformité sont susceptibles d’impacter le prix que les acheteurs sont en définitive prêts à payer, voire d’influencer leur décision d’investir ou non.
Si la conformité au RGPD n’est pas prise en compte en premier lieu, la non-conformité au RGPD représente aujourd’hui un risque important pour les entreprises et leurs dirigeants. La notion de responsabilisation, selon laquelle le « responsable du traitement » doit être en mesure, à tout moment, de démontrer sa conformité aux exigences du règlement peut impacter lourdement la décision. En cas de violation de celles-ci, ce « responsable » peut se trouver exposé à des sanctions administratives très lourdes, ainsi qu’à des actions civiles et pénales les dernières sanctions en France 50 millions pour Google, 400 000 euros pour une société n’ayant pas respecté les principes de sécurisation de son système d’information mais également à l’étranger en Angleterre British Airways sous le coup d’une amende de plus de 200 millions.
Le patrimoine immatériel devient également une source de valorisation de l’entreprise et doit être pris en compte. Le cas Bout-Chard et la décision de la cour de cassation dans sa décision en 2013, nous démontre l’importance de la constitution du registre des traitements.
Les questions à se poser avant d’acheter, d’utiliser les données acquises par l’intermédiaire du fichier du vendeur sont de l’ordre :
· Conformité de la collecte
· Sécurisation de ces données
· Stockage et durée de conservation
· Transfert Hors UE (USA par exemple et bientôt GB)
· Réalisation des EIVP
Il sera également nécessaire d’assurer la transparence auprès des personnes concernées, clients mais également salariés et toutes personnes concernées par les traitements de données.