Pourquoi la responsabilité RGPD est le risque M&A le plus sous-estimé
Lorsque les praticiens M&A évaluent le risque d'une opération, ils se concentrent généralement sur les contingences financières, opérationnelles et juridiques, dans cet ordre. La conformité RGPD — si elle apparaît — est souvent une formalité cochée lors des dernières étapes de la due diligence.
C'est une lacune structurelle aux conséquences financières de plus en plus graves. En vertu du RGPD, les amendes peuvent atteindre 20 M€ ou 4 % du chiffre d'affaires annuel mondial — le montant le plus élevé étant retenu. À la suite d'une acquisition, l'acquéreur hérite intégralement de la responsabilité RGPD de la cible.
Le Comité européen de la protection des données a clairement indiqué qu'un changement de contrôle n'affecte pas la responsabilité continue d'un responsable du traitement. Si la cible traitait des données personnelles illégalement avant le closing, l'acquéreur devient responsable de ce traitement illicite dès le premier jour.
Ce qui arrive aux données après le closing
Le closing déclenche une série d'événements liés aux données que la plupart des cadres SPA ne sont pas conçus pour gérer :
→ Transfert du statut de responsable du traitement. L'acquéreur devient le responsable du traitement de toutes les données personnelles détenues par la cible. Si les avis de confidentialité de la cible ne prévoyaient pas un changement de contrôle, le traitement continu de ces données peut manquer d'une base juridique valable.
→ Déclencheurs de transfert transfrontalier. Dans les acquisitions transfrontalières, des données légalement détenues dans une juridiction peuvent désormais être accessibles à des entités dans une autre. Sans garanties adéquates (CCT, BCR ou décisions d'adéquation), cela constitue un transfert illicite.
→ Héritage des contrats de sous-traitance. Les accords de traitement des données conclus par la cible avec des sous-traitants tiers sont hérités par l'acquéreur. Si ces accords ne satisfont pas aux exigences de l'article 28 du RGPD, l'acquéreur est immédiatement non conforme.
Les 5 clauses RGPD absentes de la plupart des SPAs
Garantie du registre des activités de traitement
La plupart des SPAs garantissent que la cible « se conforme à la législation applicable en matière de protection des données » — une garantie si générale qu'elle est pratiquement inapplicable. Un SPA correctement rédigé devrait inclure une garantie spécifique que la cible tient un registre précis des activités de traitement (ROPA) en vertu de l'article 30, avec une déclaration qu'il était à jour à la date de signature.
Déclaration sur la base juridique du traitement
La cible devrait déclarer, pour chaque catégorie de données personnelles traitées, la base juridique spécifique en vertu de l'article 6 (et de l'article 9 pour les catégories particulières). Sans cette déclaration, l'acquéreur ne peut pas évaluer si le traitement continu post-closing est licite.
Historique des notifications de violations de données
Le RGPD exige la notification des violations de données personnelles dans les 72 heures suivant leur découverte. Les cibles ont fréquemment des incidents non signalés classés en interne comme non notifiables. Une indemnité spécifique couvrant les défaillances de notification pré-closing est essentielle — et presque jamais incluse dans les SPAs standard.
Indemnité de conformité aux droits des personnes concernées
Les cibles disposant de grands ensembles de données consommateurs ont souvent des arriérés de demandes en suspens — accès, effacement, portabilité — non traités dans le délai légal. Chaque demande non satisfaite constitue une violation distincte. Une indemnité couvrant la non-conformité pré-closing aux droits des personnes concernées devrait être standard.
Certification du mécanisme de transfert transfrontalier
Si la cible transfère des données personnelles vers des pays tiers, le SPA devrait inclure une déclaration que des mécanismes de transfert valables sont en place pour chaque transfert, et une indemnité couvrant les CCT invalidées par Schrems II ou les décisions ultérieures.
Exposition réelle : entreprises sanctionnées après acquisition
Le dossier réglementaire est sans équivoque : les autorités de contrôle n'accordent pas de délais de grâce post-acquisition.
Marriott / Starwood
Amende de 99 M£ de l'ICO pour une violation survenue avant l'acquisition et héritée post-closing. Marriott n'avait pas effectué une due diligence RGPD adéquate avant d'acquérir Starwood.
British Airways
Amende de 20 M£ pour une violation impliquant des systèmes et pratiques antérieurs à la date d'entrée en vigueur du RGPD — démontrant que les régulateurs évaluent les pratiques de manière globale.
Défaillances de notification post-closing
Plusieurs procédures en France, Allemagne et Pays-Bas ont ciblé des acquéreurs qui n'avaient pas émis de nouveaux avis de confidentialité après un changement de contrôle.
Checklist de due diligence pour la conformité RGPD
Une checklist minimum de due diligence RGPD pour les acquisitions transfrontalières impliquant des données personnelles européennes :
Analyse RGPD intégrée
JuristVault détecte automatiquement les expositions RGPD.
Chaque analyse de SPA inclut des signalements de conformité RGPD, des clauses manquantes et une évaluation des risques de transfert transfrontalier.
Démarrer l'essai gratuit