MENU
Cédants et Repreneurs d'Affaires

Accueil > Actualités > Mot d’expert >

Les fichiers et la transmission d’entreprises : le piège du traitement de données à caractère personnel

28 novembre 2017

Dans un nombre croissant de transactions, les actifs immatériels prennent une part de plus en plus importante dans valorisation d’une entreprise. Parmi ces actifs, les fichiers – surtout les fichiers clients – prennent constituent un actif essentiel de l’activité.

Pour autant, cet actif est bien souvent ignoré, à la fois par les repreneurs et les cédants, voire pire par les patriciens, alors que cette zone d’insécurité juridique a été formellement identifiée par la jurisprudence qui n’hésite pas à annuler une transaction en raison d’un manquement à la loi informatique et libertés [1].

De plus, aux sanctions modifiées par la loi Lemerre [2] allant jusqu’à 3 millions d’euros d’amande le règlement dit GDPR [3], applicable à compter du 25 mai 2018, vient (1) rajouter des obligations et (2) renforcer les sanctions, ce qui implique (3) de nouvelles bonnes pratiques aux parties à la transmission.

1. Les obligations nouvelles 

De façon synthétique, les dispositions du Règlement, applicables tant aux responsables du traitements qu’aux sous-traitants, sont les suivantes :

a. Mener des analyses d’impact (autrement dit des analyses de risque) pour chaque traitement qu’ils mettront en place et pour chaque traitement qui est exploité par l’entreprise ;

b. Tenir un registre à jour des données collectées et garantir aux personnes dont les collectées la sécurité, la confidentialités, l’usage et l’accès aux données conservées par ledit opérateur ;

c. Désigner un délégué à la protection des données en charge d’informer et de conseiller le responsable de traitement et de communiquer avec la CNIL ;

d. Notifier la CNIL de toute violation mais également chaque personne dont les données ont été compromises dès lors que ladite compromission comporte un risque pour ses droits et ses libertés.

2. Des sanctions renforcées

En plus des sanction civiles et pénales déjà applicables, et qui le demeureront (par exemple, le traitement illicite de données sans respecter les formalités préalables est sanctionné de 5 ans d’emprisonnement et de 300.000 € d’amende), le règlement prévoit une échelle de sanction allant de l’avertissement et de la suspension du traitement jusqu’à :

  • 10 à 20 M€ d’amende ;
  • 2% à 4% du Chiffres d’affaires (mondialisé, le cas échéant).

Dans un contexte de cyber criminalité grandissant, les données personnelles sont les sujets favoris des fuites de sécurité et des piratages de données alors qu’il pèse sur tout opérateur une obligation générale de sécuriser les données personnelles dont il est en possession (article 34 de la loi du 6 janvier 1978).

3. De nouvelles bonnes pratiques

Le repreneur qui ne procède pas à un audit des données ou qui ne prend pas les garanties nécessaires pour se prémunir contre l’engagement de sa responsabilité se place, à l’évidence, en situation de risque élevée.

Il faut souligner que faute d’avoir sécurisé en amont la transaction, toute action en responsabilité visant le responsable du traitement – soit l’entreprise – aura nécessairement pour répercussion l’engagement de la responsabilité – au moins solidaire – de son cédant.

a. Du point de vue du cédant

Face à ces risques, le cédant devra limiter sa responsabilité mais également se prémunir d’une négociation sur la valorisation à la baisse de la valeur de la société en raison des divers manquements à la loi informatique et libertés, en procédant notamment aux contrôles suivants :

  • Lister les traitements de données en possession de la société ;
  • Auditer les traitements réalisés au regard des obligations actuelles de déclarations / autorisations et, à compter du 25 mai 2018, au regard des analyses d’impact ;
  • Mettre à jour et éventuellement purger les traitements effectués ;

b. Du point de vue du repreneur

Dans cette perspective, l’objectif du repreneur est de limiter ses risques d’exposition en raison de son manque de connaissance de l’entreprise. Afin de connaitre la portée de son engagement et de limiter sa responsabilité, il est recommandé d’obtenir, au minimum :

  • La liste des déclarations CNIL ;
  • La liste du personnel ayant accès aux données personnelles ;
  • La liste des traitements relatifs aux données personnelles ;
  • Auditer les contrats de sous-traitants en charge de la conservation et de la sécurisation des données à caractère personnel.

A défaut, il sera nécessaire de diligenter un audit afin d’évaluer les frais éventuels de mise en conformité, ce qui aura nécessairement un impact sur le prix de cession.

En synthèse, du côté du cédant comme du repreneur, il est impératif d’anticiper les sanctions relatives à la protection des données personnelles afin sécuriser la transaction et d’éviter toute mise en cause de la responsabilité, civile, pénale ou encore administrative de chacun de ces acteurs.

Romain Waiss-Moreau, associé
LLC et Associés, avocats

 

[1] Cour de cassation, Chambre commerciale, 25 mai 2013, n°12-17037

[2] Loi n°2016-1321 du 7 octobre 2016 pour une République numérique

[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données


Voir d'autres Mot d’expert En savoir plus sur l'expert CRA "LLC ET ASSOCIÉS"
Imprimer le contenu de la page
Voir d'autres
Mot d’expert

Latitude :

Longitude :


Haut de page