Ne tombez pas dans le piège du RGPD pendant votre reprise

Lorsque vous souhaitez céder votre entreprise ou lorsque vous souhaitez reprendre une entreprise, vous serez en principe confronté à des données à caractère personnel de clients, fournisseurs et travailleurs. À cet égard, il est important de faire directement une distinction entre une cession d’actions (un « share deal ») ou une cession d’un fonds de commerce (un « asset deal »). 

Lors d’une cession d’un fonds de commerce, les éléments d’actif qui font l’objet de la cession reviennent à un autre propriétaire et les données à caractère personnel qui sont cédées avec le fonds de commerce seront donc traitées par un autre « responsable du traitement ». Ce contrairement à une cession d’actions où seules les actions sont cédées et, en d’autres termes, le propriétaire ou le « responsable du traitement » reste le même. Il est donc important lors d’une cession d'un fonds de commerce de faire preuve de prudence au niveau de la protection des données à caractère personnel. 

Bien que le transfert des données à caractère personnel sera en général possible en vertu de la base légitime de l’« intérêt légitime », le repreneur est toutefois toujours obligé d’informer les personnes concernées de l’utilisation future de leurs données (article 14 du RGPD). Cette obligation s’applique tant dans le cadre d’un asset deal que dans le cadre d’un share deal.

Ce qui précède n’empêche naturellement pas que vous deviez également, dans le cadre d’une cession d’actions, pendant votre enquête de due diligence (diligence raisonnable), tenir compte de la manière dont l’entreprise cible organise son traitement des données à caractère personnel. Lorsqu’une entreprise traite des données à caractère personnel (on entend par là dans le RGPD : la collecte, l’enregistrement, le classement, l’utilisation, la transmission et la diffusion de données à caractère personnel), il est important de savoir à quelles fins elles sont traitées, si le traitement est légal et si les données ne sont pas conservées plus longtemps que strictement nécessaire, si des procédures spécifiques sont prévues pour préserver les droits des personnes concernées ou s’il est question d’une violation des données, si des contrats de sous-traitance ont été conclus, si un délégué à la protection des données a été désigné, etc. Il est évident que le secteur dans lequel l’entreprise cible est active joue un rôle important à cet égard. 

En outre, l’importance d’une data room (salle de données) bien organisée ne peut pas être sous-estimée, même dans le cadre du RGPD. À cet égard, il est recommandé de faire appel à des prestataires de services professionnels qui sont chargés de garantir une salle de données bien protégée conforme au RGPD. La conclusion d’un contrat de sous-traitance est dès lors recommandée dans le cadre de la mise en place d’une salle de données professionnelle. À cet égard, il est également important que seules soient transmises les données à caractère personnel qui sont nécessaires et pertinentes pour la diligence raisonnable. En outre, la phase dans laquelle la procédure de reprise se déroule joue également un rôle. Dans une phase exploratoire préalable, lorsqu’il est par exemple question de plusieurs acheteurs potentiels, il est évidemment recommandé de mettre uniquement à disposition des données générales et anonymisées. Au fur et à mesure que la procédure de reprise avance et qu’il existe une plus grande certitude quant à l’acheteur, le vendeur peut alors divulguer plus d’informations, toujours sous la garantie d’un contrat de sous-traitance avec le candidat-acheteur. 

Le contrat de reprise prévoit généralement une disposition générale par laquelle le vendeur déclare et garantit que l’entreprise cible respecte toutes les législations et réglementations applicables, dont le RGPD. Vu l’importance croissante du RGPD pour les entreprises, cette disposition n’est toutefois souvent pas suffisante et il est nécessaire de prévoir une disposition spécifique dans laquelle le vendeur donne plusieurs garanties en ce qui concerne la politique en matière de vie privée qui est menée par l’entreprise, la garantie qu’aucune fuite de données importantes n’a eu lieu, etc. …

Lorsqu’il s’avère lors de l’enquête de diligence raisonnable que l’entreprise cible présente plusieurs lacunes cruciales au niveau de la protection de la vie privée, il est recommandé de se protéger suffisamment en tant que repreneur. Cela peut par exemple se faire en prévoyant une condition suspensive dans le contrat de reprise. Dans ce cadre, la conclusion du contrat de cession est subordonnée à l’accomplissement de plusieurs actions qui garantissent que l'entreprise cible respecte préalablement certaines dispositions en matière de protection des données. 

Une protection étanche dans le contrat de reprise est indispensable tant pour l’acheteur que pour le vendeur afin d’éviter toute responsabilité à l’avenir lorsqu’il s’avérerait après coup que les données à caractère personnel n’ont pas été ou ne sont pas traitées selon les garanties prévues dans le RGPD. 

Par conséquent, la complexité de la réglementation relative à la protection des données exige une prudence, même dans le cadre d’une (éventuelle) reprise de votre entreprise ou lorsque vous souhaitez vous-même reprendre une entreprise. Dès lors, faites-vous toujours assister de conseillers professionnels dans le cadre d’une reprise.