👉 Qu'est ce qu'une due diligence ?
La due diligence est une enquête approfondie menée par une entreprise pour évaluer la faisabilité et les risques associés à une transaction ou un projet d'investissement. Cela peut inclure des évaluations financières, juridiques, fiscales, opérationnelles, commerciales et environnementales.
En d'autres termes, la due diligence est une vérification complète des informations disponibles sur une entreprise avant de prendre une décision engageante, comme une fusion, une acquisition ou un investissement. Elle vise à confirmer la réalité des informations présentées par l'équipe dirigeante, ainsi que les risques potentiels, afin de permettre aux parties prenantes de prendre une décision éclairée.
👉 Les points clefs du RGPD à vérifier à l'occasion d'une due diligence
Le Règlement Général sur la Protection des Données (RGPD) est une réglementation européenne qui est entrée en vigueur en mai 2018. Elle concerne la protection des données personnelles des citoyens européens et s'applique à toutes les entreprises qui collectent, stockent, traitent ou utilisent des données personnelles. Dans le cadre d'une opération de prise de participation d'entreprise, le RGPD doit être pris en compte dès le début du processus de due diligence; elle peut être une condition sine-qua non au projet.
👉 Voici une check-list qui vous permettra de limiter les risques liés à la conformité RGPD et à la protection des données personnelles :
1. Les signes extérieurs de conformité au RGPD
Il est important de vérifier si l'entreprise dispose d'un délégué à la protection des données (DPO) désigné auprès de la CNIL (voir notre article sur la désignation d'un DPO). Cette vérification est facilitée par le fait que la CNIL, autorité de contrôle pour la protection des données, publie tous les trois mois environ la liste des organisations ayant désigné un Délégué à la Protection des Données (DPO).
Cette liste est consultable à cette adresse (dernière publication le 1/1/24). https://www.data.gouv.fr/fr/datasets/organismes-ayant-designe-un-e-delegue-e-a-la-protection-des-donnees-dpd-dpo/
Ensuite, vous pouvez facilement évaluer la conformité de son site internet (présence et conformité de la politique de confidentialité, cookies, mentions légales, etc.). Cela permet de s'assurer que l'entreprise est consciente de ses obligations en matière de protection des données personnelles.
2. La documentation règlementaire
Il s'agit de vérifier l'existence de la documentation règlementaire obligatoire au sein de l'entreprise, tels que le registre des traitements, l'analyse d'impact sur la protection des données (AIPD), la cartographie logicielle, etc.
Il est également important de contrôler les dates de création et de mise à jour de ces documents pour s'assurer que l'entreprise soit à jour sur ses obligations en matière de RGPD.
3. Un plan d'action de mise en conformité au RGPD
Il faut vérifier que l'entreprise dispose d'un plan d'action de mise en conformité au RGPD et qu'elle ait mis en place une démarche d'amélioration continue.
Cette vérification permet d'attester de la proactivité et la résilience de l'entreprise dans sa mise en conformité : si l'entreprise n'est pas conforme à 100%, elle peut justifier d'un plan d'amélioration de sa conformité RGPD.
4. La réactivité de l'entreprise face à une demande d'exercice de droits RGPD
Un des piliers du RGPD est la capacité du Responsable de Traitement à donner suite à des demandes d'exercice de droit d'une personne concernée. Consulter notre article de blog "Comment répondre à une demande d'exercice de droit d'accès RGPD?"
Pour vérifier la réactivité d'une entreprise face à une demande d'exercice de droit RGPD, vous pouvez suivre les étapes suivantes :
Envoyer une demande d'exercice de droit RGPD : au titre du principe de transparence, l'entreprise doit avoir prévu des canaux de communication pour les demandes générales (info@entreprise.fr) ou liées à une demande RGPD (rgpd@entreprise.fr) . Envoyez un mail en demandant la suppression des données vous concernant.
Suivre les délais de réponse : une fois la demande envoyée, vous devez vérifier si l'entreprise répond dans les délais impartis par le RGPD. Selon le droit RGPD, l'entreprise dispose d'un délai d'un mois pour répondre à une demande d'exercice de droit RGPD.
Vérifier la qualité de la réponse : lorsque l'entreprise répond à votre demande, vous devez vérifier la qualité de la réponse. Elle doit fournir une réponse complète et précise à votre demande.
Vérifier la mise en œuvre des actions : si l'entreprise a accepté de mettre en œuvre des actions suite à votre demande, vous pouvez vérifier si elles ont été effectivement mises en œuvre.
5. La contractualisation avec les sous-traitants de données personnelles
Il est important de vérifier si l'entreprise a contractualisé avec ses sous-traitants de données personnelles conformément aux exigences du RGPD (Article28). Consulter notre article "Les obligations des sous-traitants de données personnelles"
Ce contrôle permet de s'assurer que l'entreprise prend en compte les risques liés à la sous-traitance et qu'elle a mis en place les mesures de sécurité appropriées pour protéger les données personnelles.
6. Le cabinet de conseil et la "virtual data room"
Lors des audits vous allez échanger un grand nombre d'informations et de documents confidentiels avec votre cabinet de conseil et votre futur partenaire.
Il est tout d'abord impératif de bannir l'utilisation des webmails internationaux (Gmail, Yahoo, Hotmail, ...) et leur corollaires de stockage (Google Drive, Dropbox). En effet ces solutions peuvent avoir des usages personnels et font transférer des données aux USA. Et ces transferts sont illégaux depuis Juillet 2020 avec l'invalidation du Privacy Shield américain par la CJUE. (voir une information de la CNIL ici)
Concernant votre cabinet de conseil, vous pouvez lui demander des preuves de conformité (voir le point 1) et si vous utilisez une virtual data room "VDR" : obtenir des garanties de sécurité qu'un sous-traitant de données doit pouvoir vous offrir. (voir le point 5).
En résumé, lors d'une due diligence, il faut en priorité veiller à ce que l'entreprise soit en conformité avec les exigences du RGPD et qu'elle ait pris des mesures concrètes pour la protection des données personnelles.
C'est d'ailleurs une avancée majeure du RGPD vis à vis de la Loi Informatique et Libertés : il n'y a pas de déclaration à faire à la CNIL mais selon le principe d'auto-documentation "accountability" chaque organisation doit se mettre en conformité de sa propre initiative et pouvoir le prouver (Articles 5.2 et 24.1).
Les mesures concrètes de conformité RGPD seront très faciles à vérifier, souvent publiques et si elles n'existent pas, il faut constater un vrai risque sur la gestion des données personnelles et plus généralement sur la maîtrise du système d'information.
Comments