M&A : mise en conformité de l’entreprise cible d’une fusac
Dès la phase de due diligence jusqu’au dénouement de l’opération de fusion-acquisition, le vendeur et l’acquéreur doivent pouvoir justifier de leur respect de la réglementation en vigueur concernant la protection des données personnelles que celle-ci englobe. Spécialisée notamment dans les M&A, la solution DiliTrust Data Room est totalement compatible avec le RGPD. Elle participe à la bonne mise en conformité de l’entreprise cible.
Entré en vigueur le 25 mai 2018 dans l’ensemble des états membres de l’Union Européenne, le Règlement Général pour la Protection des Données (RGPD) a instauré de nouvelles obligations quant à la protection des données personnelles intégrées dans les bases documentaires des entreprises et des institutions. En parallèle, il a accru les responsabilités de leurs dépositaires. D’une part, quant à la portabilité des données collectées. D’autre part, quant à leurs usages marketing.
Ainsi, dans le cadre d’une fusac, tout manquement au RGPD expose le vendeur et l’acquéreur à des amendes. Celles-ci peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. De plus, dans le cas d’un asset deal, le contrat de cession d’actif peut être tout bonnement annulé. Enfin, les deux parties en présence peuvent être traduites en justice par le biais d’actions en responsabilité. Dans ce cas, les personnes physiques ou morales, à l’instar d’associations habilitées, sont à l’initiative. C’est pourquoi la mise en conformité de l’entreprise cible d’une fusion-acquisition constitue un enjeu majeur de l’opération. Et ce, avant même l’établissement du contrat de vente.
Due diligence : une première phase clé
Durant cette étape cruciale, l’acheteur va devoir s’assurer de plusieurs éléments. Ils correspondent à la manière donc l’entreprise cible collecte, gère, génère, partage et utilise les données personnelles dont elle dispose. Autrement dit, cela suggère qu’elle tienne à jour un registre de leurs traitements. En parallèle, elle a mis en place les dispositions nécessaires pour informer les personnes concernées (clients, salariés et fournisseurs). Sans omettre d’avoir répondu à leurs éventuelles demandes relatives à l’exercice de leurs droits, notamment d’information, de rectification et/ou de suppression.
Le vendeur doit également justifier qu’il a initié les mesures de sécurité adéquates pour préserver les données personnelles dont il dispose. Il doit aussi prouver la conformité des contrats concernant les traitements de données opérés par des tiers. Ainsi, la solution DiliTrust Data Room constitue la pierre angulaire du respect de l’ensemble de ces obligations. Elle protège les données confidentielles nécessaires à la transaction. Comment ? D’une part, par la performance des protocoles de chiffrement les plus récents. D’autre part, par le contrôle permanent des accès différenciés de chaque utilisateur. Ces derniers sont paramétrables par équipe ou par individu. La pseudonymisation de toutes les données et de tous les documents stockés est systématique.
Mise en conformité : durant la transaction
Une due diligence rondement menée a très souvent des conséquences sur les négociations quant au prix de vente de l’entreprise cible. Pourquoi ? Car elle a permis à l’acheteur d’apprécier à sa juste valeur le degré de mise en conformité de cette dernière. À l’instar d’un achat immobilier dans l’ancien lors duquel l’acquéreur peut négocier le prix de vente en fonction des travaux à réaliser après la vente, suite à l’intervention et aux préconisations de son architecte durant la visite du bien.
Le contrat de vente (appelé également Share Purchase Agreement ou Stock Purchase Agreement) définit les termes du transfert de propriété des actions lors de la cession de la société. Parmi elles figurent obligatoirement les déclarations et les garanties du vendeur quant à la conformité avec le RGPD, ainsi que les actions et les garanties spécifiques initiées suite aux irrégularités et aux risques potentiels constatés lors de la due diligence.
Dénouement de la fusac
Les responsabilités concernant les traitements des données personnelles possédées au préalable par l’entreprise cible sont transférées à l’acheteur une fois l’opération de fusion-acquisition achevée. Certifiée ISO 27001, la solution DiliTrust Data Room intègre toutes les nouvelles clauses du RGPD recommandées par la CNIL dans ses conditions générales de vente. Ainsi, elle répond entre autres à la nécessité d’informer les utilisateurs concernés quant à leurs droits d’information, de rectification ou de suppression de leurs données personnelles.
Enfin, la solution DiliTrust Data Room ne dépend pas du Cloud Act américain. Elle offre un accès à une hot-line basée en France et disponible 7/7 jours, 24/24h. Celle-ci se positionne comme le partenaire privilégié de ses clients pour toute action de modulation et/ou d’évolution de leur offre. Mais aussi celui de leur responsable de la sécurité des systèmes d’information pour le conseiller quant aux actions à mener pour optimiser le leur, répondre aux exigences réglementaires et se prémunir des effets indésirables liés à la cybercriminalité.
A lire aussi : Data Room et RGPD : 8 points à vérifier
- Vous souhaitez en savoir plus ?
- Ouvrir une data room rapidement