« L’audit RGPD est souvent négligé au moment de la reprise d’une entreprise », déplore Vianney Linqué (LINK). L’absence de vérification concernant la conformité des données à caractère personnel recueillies et stockées par l’entreprise fait pourtant courir un vrai risque à l’acquéreur et au cédant. Veillant aux bonnes pratiques, LINK a demandé à Jeanine Audegond, avocat spécialiste en propriété intellectuelle, de nous éclairer sur le sujet.
Lors de la cession d’une entreprise, un audit est généralement réalisé par l’acquéreur potentiel afin de limiter certains risques. L’audit d’acquisition permet de vérifier que les points qui ont été négociés (postes comptables, rentabilité…) correspondent à la réalité. Une réalité souvent appréhendée à partir d’éléments répertoriés dans les garanties d’actifs et passifs : divergence de valeur de stocks, action prud’homale à envisager, risques environnementaux… Auxquels, il convient d’intégrer les risques liés aux DACP (données à caractère personnel) dans la mesure où le règlement européen, dit RGPD, du 27 avril 2016, impose des diligences de sécurité importantes avec des risques financiers qui peuvent mettre à mal la valeur de l’entreprise.
Les sanctions en cas de non-conformité ne sont pas négligeables (2 ou 4% du chiffre d’affaires) et peuvent, en sus, être complétées par une action à titre personnel de la personne lésée, qui devra être indemnisée pour son entier préjudice. Or, de nombreuses d’entreprises ne se penchent pas encore de manière sérieuse sur leur conformité RGPD, repoussant à plus tard – et donc au moment de la cession – les éventuels risques de sanctions. Cette attitude est dommageable. Un arrêt rendu le 25 juin 2013 par la chambre commerciale de la Cour de Cassation rappelle qu’un fichier contenant des DACP n’ayant pas fait l’objet d’une déclaration à la CNIL doit être considéré comme nul car ayant un objet illicite. Cette obligation est devenue obsolète (sauf en matière de défense) en vertu du principe d’accountability : plus de déclaration mais un régime de responsabilisation imposant la mise en place d’un plan de sécurisation des données à caractère personnel. S’il n’est pas réalisé, l’acquéreur peut tout à fait invoquer un risque non révélé de perte ou non sécurisation des DACP et obtenir la nullité de la vente. L’intérêt sera de faire baisser la valeur de l’entreprise acquise compte tenu du risque financier en suspens et du coût des mesures à mettre en place ultérieurement pour obtenir la conformité.
Pour éviter une « mauvaise surprise » au moment de la vente, le cédant doit impérativement soigner les GAP en ayant à l’esprit cette possibilité d’action future… L’intérêt de se pencher sur le sujet est d’autant plus important pour des cessions d’entreprises intervenant dans certains secteurs comme les OIV (opérateurs d’importance vitale) dont l’activité est liée à la notion de continuité de l’État et qui ont, à ce titre, l’obligation de lutter contre les attaques terroristes. La simple négligence est en principe condamnable. L’amende pouvant atteindre 750 000 euros. Les professionnels du secteur de la santé sont également concernés : l’article L1111-8 du code de la santé publique impose un process de recueil et d’hébergement lourd des données puisque soumis à agrément. Ces conditions d’agrément sont fixées par décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés (CNIL) et des conseils nationaux de l’ordre des professions de santé. La perte de l’agrément ou un mauvais respect de celui-ci peut entraîner de lourdes pertes financières.
D’où l’intérêt de ne pas prendre à la légère la question de la protection des données personnelles au sein de l’entreprise (celles des clients, des fournisseurs, des employés, des sous-traitants, des partenaires…).
Un audit intégrant cette vérification a un coût. Mais il est souvent largement compensé dans la mesure où il permet à l’acquéreur de réduire le prix d’acquisition et de demander une garantie de passif étendue. Pensez à en parler à votre avocat.
