Quelle check-list RGPD lors d'une due diligence ?

Le RGPD : de la formalité juridique au "Deal Breaker" financier

Dans le théâtre feutré des fusions-acquisitions, un nouvel acteur a volé la vedette aux indicateurs d'EBITDA et aux parts de marché : la donnée personnelle.

Autrefois reléguée au second plan des audits, la conformité RGPD est devenue incontournable pour les transactions. Aujourd'hui, faire l'impasse sur une due diligence data, c'est un peu comme acheter un immeuble sans vérifier s'il contient de l'amiante : le risque est invisible, mais potentiellement mortel pour l'opération.

Pour l'acquéreur : une bombe à retardement?

Pour l'acheteur, le risque majeur est celui de la succession de responsabilité. En absorbant une cible, vous n'achetez pas seulement ses actifs, vous héritez de sa conformité numérique.

Le risque financier immédiat : Les autorités de régulation (comme la CNIL en France) ne font plus de cadeaux. Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'exercice précédent. Un acquéreur peut ainsi se retrouver à payer une amende record pour des manquements commis avant le rachat.

La dépréciation de l'actif : Si le modèle économique de la cible repose sur une base de données collectée sans consentement valide, cette base vaut mathématiquement zéro. L'incapacité d'exploiter les données post-acquisition peut faire chuter la rentabilité attendue de façon vertigineuse.

L'exemple historique : Le rachat de Starwood par Marriott reste le cas d'école. Une faille de sécurité non détectée lors de la due diligence a conduit Marriott à une amende initiale de près de 110 millions d'euros par l'ICO britannique (réduite ensuite, mais l'impact réputationnel fut colossal).

Pour le vendeur : La "décote" qui fait mal

Côté vendeur, le manque de préparation RGPD est le meilleur levier de négociation pour l'acheteur.

La révision du prix à la baisse : Une non-conformité flagrante est une aubaine pour l'acquéreur qui exigera une baisse de prix immédiate ou des clauses de garantie de passif (GAP) extrêmement contraignantes. On observe régulièrement des décotes de 5 à 15 % sur le prix de vente final pour couvrir les risques de cybersécurité et de conformité.

L'échec de la transaction : Dans un marché de plus en plus frileux sur la gestion des risques, un dossier "sale" sur le plan des données peut tout simplement faire fuir les investisseurs les plus sérieux, laissant le vendeur avec une entreprise devenue invendable au prix du marché.

Les points clefs du RGPD à vérifier à l'occasion d'une due diligence

Le Règlement Général sur la Protection des Données (RGPD) est une réglementation européenne qui est entrée en vigueur en mai 2018. Elle concerne la protection des données personnelles des citoyens européens et s'applique à toutes les entreprises qui collectent, stockent, traitent ou utilisent des données personnelles. Dans le cadre d'une opération de prise de participation d'entreprise, le RGPD doit être pris en compte dès le début du processus de due diligence; elle peut être une condition sine qua non au projet.

👉 Voici une check-list qui vous permettra de limiter les risques liés à la conformité RGPD et à la protection des données personnelles :

1. Les signes extérieurs de conformité au RGPD

Il est important de vérifier si l'entreprise dispose d'un délégué à la protection des données (DPO) désigné auprès de la CNIL (voir notre article sur la désignation d'un DPO). Cette vérification est facilitée par le fait que la CNIL, autorité de contrôle pour la protection des données, publie tous les trois mois environ la liste des organisations ayant désigné un Délégué à la Protection des Données (DPO).

Cette liste est consultable à cette adresse (dernière publication le 1/1/24). https://www.data.gouv.fr/fr/datasets/organismes-ayant-designe-un-e-delegue-e-a-la-protection-des-donnees-dpd-dpo/

Ensuite, vous pouvez facilement évaluer la conformité de son site internet (présence et conformité de la politique de confidentialité, cookies, mentions légales, etc.). Cela permet de s'assurer que l'entreprise est consciente de ses obligations en matière de protection des données personnelles.

Consulter notre article qui liste les points à vérifier pour la conformité d'un site internet.

2. La documentation règlementaire

Il s'agit de vérifier l'existence de la documentation règlementaire obligatoire au sein de l'entreprise, tels que le registre des traitements, l'analyse d'impact sur la protection des données (AIPD), la cartographie logicielle, etc.

Il est également important de contrôler les dates de création et de mise à jour de ces documents pour s'assurer que l'entreprise soit à jour sur ses obligations en matière de RGPD.

3. Un plan d'action de mise en conformité au RGPD

Il faut vérifier que l'entreprise dispose d'un plan d'action de mise en conformité au RGPD et qu'elle ait mis en place une démarche d'amélioration continue.

Cette vérification permet d'attester de la proactivité et la résilience de l'entreprise dans sa mise en conformité : si l'entreprise n'est pas conforme à 100%, elle peut justifier d'un plan d'amélioration de sa conformité RGPD.

4. La réactivité de l'entreprise face à une demande d'exercice de droits RGPD

Un des piliers du RGPD est la capacité du Responsable de Traitement à donner suite à des demandes d'exercice de droit d'une personne concernée. Consulter notre article de blog "Comment répondre à une demande d'exercice de droit d'accès RGPD?"

Pour vérifier la réactivité d'une entreprise face à une demande d'exercice de droit RGPD, vous pouvez suivre les étapes suivantes :

• Envoyer une demande d'exercice de droit RGPD : au titre du principe de transparence, l'entreprise doit avoir prévu des canaux de communication pour les demandes générales (info@entreprise.fr) ou liées à une demande RGPD (rgpd@entreprise.fr) . Envoyez un mail en demandant la suppression des données vous concernant.

• Suivre les délais de réponse : une fois la demande envoyée, vous devez vérifier si l'entreprise répond dans les délais impartis par le RGPD. Selon le droit RGPD, l'entreprise dispose d'un délai d'un mois pour répondre à une demande d'exercice de droit RGPD.

• Vérifier la qualité de la réponse : lorsque l'entreprise répond à votre demande, vous devez vérifier la qualité de la réponse. Elle doit fournir une réponse complète et précise à votre demande.

• Vérifier la mise en œuvre des actions : si l'entreprise a accepté de mettre en œuvre des actions suite à votre demande, vous pouvez vérifier si elles ont été effectivement mises en œuvre.
  

5. La contractualisation avec les sous-traitants de données personnelles

Il est important de vérifier si l'entreprise a contractualisé avec ses sous-traitants de données personnelles conformément aux exigences du RGPD (Article28). Consulter notre article "Les obligations des sous-traitants de données personnelles"

Ce contrôle permet de s'assurer que l'entreprise prend en compte les risques liés à la sous-traitance et qu'elle a mis en place les mesures de sécurité appropriées pour protéger les données personnelles.

6. Le cabinet de conseil et la "virtual data room"

Lors des audits vous allez échanger un grand nombre d'informations et de documents confidentiels avec votre cabinet de conseil et votre futur partenaire.

Il est tout d'abord impératif de bannir l'utilisation des webmails internationaux (Gmail, Yahoo, Hotmail, ...) et leur corollaires de stockage (Google Drive, Dropbox). En effet ces solutions peuvent avoir des usages personnels et font transférer des données aux USA. Et ces transferts sont illégaux depuis Juillet 2020 avec l'invalidation du Privacy Shield américain par la CJUE. (voir une information de la CNIL ici)

Concernant votre cabinet de conseil, vous pouvez lui demander des preuves de conformité (voir le point 1) et si vous utilisez une virtual data room "VDR" : obtenir des garanties de sécurité qu'un sous-traitant de données doit pouvoir vous offrir. (voir le point 5).

En résumé, lors d'une due diligence, il faut en priorité veiller à ce que l'entreprise soit en conformité avec les exigences du RGPD et qu'elle ait pris des mesures concrètes pour la protection des données personnelles.

C'est d'ailleurs une avancée majeure du RGPD vis à vis de la Loi Informatique et Libertés : il n'y a pas de déclaration à faire à la CNIL mais selon le principe d'auto documentation "accountability" chaque organisation doit se mettre en conformité de sa propre initiative et pouvoir le prouver (Articles 5.2 et 24.1).

Les mesures concrètes de conformité RGPD seront très faciles à vérifier, souvent publiques et si elles n'existent pas, il faut constater un vrai risque sur la gestion des données personnelles et plus généralement sur la maîtrise du système d'information.