Person writing bucket list on book rlw uc03gwc 2dac54adf65d5dc242a5d9b51ea7fbda 2000

RGPD lors du Transfert d'une Entreprise

Lors du transfert d'une entreprise, la gestion des données personnelles doit être conforme au RGPD. Les nouveaux propriétaires deviennent "responsables du traitement" et doivent garantir le respect continu des règles. Informer clairement et évaluer les pratiques de données existantes évite les enjeux légaux. Une bonne gestion des données est cruciale pour un transfert sans heurts, nécessitant communication et diligence.

Lors du transfert d'une entreprise, une quantité considérable de données personnelles est souvent en jeu. Ces données peuvent concerner les clients, les fournisseurs, les employés et d'autres parties telles que les banquiers, assureurs, locataires ou propriétaires de l'entreprise.

La question se pose de savoir si le consentement explicite des clients est requis lors du transfert des actifs d'une entreprise. Les clients reçoivent généralement le même service de la part du nouvel exploitant et sont habituellement informés par une simple lettre ou un email, à titre de notification seulement. Les clients remarqueront généralement le transfert par le changement de numéro de TVA, bien que le nom, l'adresse de l'entreprise et le contact puissent rester les mêmes.

Checklist GDPR — Photographer: Glenn Carstens-Peters | Source: UnsplashPhotographer: Glenn Carstens-Peters | Source: Unsplash

Suivi des données avec le RGPD

Depuis l'introduction du RGPD, il y a eu beaucoup plus d'attention sur le suivi des données, et les règles générales restent applicables lors du transfert d'une entreprise. Les clients d'une entreprise ont le droit d'accéder, de corriger et de supprimer leurs données personnelles, indépendamment d'un transfert.

Le nouveau propriétaire se met à la place de l'ancien et devient le nouveau "responsable du traitement des données" selon les termes du RGPD.

Selon l'interprétation la plus courante sur le marché des acquisitions, il suffit que les anciens et nouveaux opérateurs garantissent le traitement légal des données personnelles basé sur le consentement initial, l'exécution d'un accord, ou un intérêt légitime. Par conséquent, un nouveau consentement explicite des clients (ou d'autres parties prenantes) concernant le transfert d'une entreprise semble inutile.

Cependant, il existe deux nuances:

Pendant le processus d'acquisition, une diligence raisonnable devrait vérifier si toutes les données ont été correctement collectées et traitées par le vendeur. Si oui, aucun consentement n'est nécessaire de la part des intéressés. Sinon, vous devrez demander le consentement pour traiter les données.
Même si toutes les données ont été correctement collectées et traitées par le vendeur, vous devez informer les intéressés que leurs données sont maintenant traitées par un autre responsable. Il est préférable de leur écrire par email, en indiquant que vous traiterez leurs données exactement de la même manière que l'ancien responsable du traitement.

Préparation à une vente d'entreprise : le RGPD comme priorité

La mise en œuvre du RGPD n'est probablement passée inaperçue auprès de personne. Que sa portée ait également des implications lors de la préparation à la vente de votre entreprise est moins connu.
Que devez-vous considérer lorsque vous fournissez des informations aux acheteurs potentiels ? Sur quoi l'acheteur se concentrera-t-il particulièrement lors de la diligence raisonnable, et comment devez-vous vous préparer au mieux ?

Importance du RGPD

Traitement des données personnelles
Le RGPD contient des règles pour tout 'traitement' de 'données personnelles'. Toutes les données concernant les clients B2C sont, bien sûr, des 'données personnelles'. Cependant, cela s'applique également à toutes les informations concernant les employés et les personnes de contact chez les fournisseurs et les clients B2B. Le 'traitement' inclut toute utilisation de données personnelles : de la collecte à la suppression et du simple transfert à l'accès.
Le transfert et l'accès aux données personnelles des employés et (personnes de contact) des clients et fournisseurs aux acheteurs potentiels et leurs conseillers dans le cadre d'une vente d'entreprise doivent donc se conformer à toutes les règles du RGPD. De plus, il est crucial pour l'acheteur d'évaluer la conformité au RGPD. Ce n'est qu'alors qu'ils peuvent être sûrs de pouvoir continuer à utiliser les données personnelles acquises dans la transaction à l'avenir. La non-conformité impactera également le prix d'acquisition, l'acheteur souhaitant inclure une marge de sécurité pour les mesures qu'ils devront prendre eux-mêmes et pour les éventuelles amendes.

Partage ou cession d'actifs
Contrairement à une transaction d'actions, où seule l'actionnariat change, une cession d'actifs implique le transfert de données personnelles, qui font partie des actifs vendus, à un nouveau propriétaire, l'acheteur (le 'responsable du traitement des données' sous le RGPD). Un tel transfert de données personnelles à un nouveau propriétaire entraîne des obligations importantes sous le RGPD qui ne s'appliquent pas initialement dans une transaction d'actions.

Salle de données

Information?
Il est généralement inutile de demander le consentement des personnes dont les données sont transférées dans le cadre d'une vente. Le transfert sera souvent justifié sur la base de l'intérêt légitime (bien qu'il doive être documenté) de l'entreprise concernée.
Les personnes concernées ont toujours le droit de savoir comment et pourquoi leurs données personnelles sont utilisées. Assurez-vous que le transfert de données personnelles dans le cadre d'une vente d'actions soit standard dans vos déclarations de confidentialité pour les employés, les clients et les fournisseurs.

Minimisation
Vous ne pouvez transférer que les données personnelles nécessaires et pertinentes pour la diligence raisonnable. L'étendue et le détail de l'information doivent toujours être en adéquation avec la phase du processus d'acquisition.
L'Autorité de protection des données belge (APD) conseille que dans la phase initiale, lorsqu'il y a plusieurs acheteurs potentiels, seules des informations générales et agrégées (lire : données anonymes) soient mises à disposition. Au fur et à mesure que le nombre d'acheteurs potentiels diminue, vous pouvez ensuite divulguer plus d'informations. Concrètement, cela signifie que vous devez rendre disponibles des modèles (de contrats de travail et de clients), éventuellement complétés par une liste de clauses spécifiques utilisées, au lieu de contrats signés individuellement.

Organisation
L'utilisation d'une salle de données professionnelle réduit considérablement le risque de fuites de données. Engagez toujours des prestataires de services dont les politiques de salles de données et de confidentialité répondent à toutes les normes de protection de cette information.
Par exemple, il est habituel qu'une salle de données prévoit le chiffrement des données personnelles, l'accès restreint (sur une base de 'besoin de savoir') et le contrôle d'accès, fonctionnalités d'impression, suppression et téléchargement limitées, etc. N'oubliez pas de conclure un accord de traitement des données avec le fournisseur de la salle de données. Incluez des dispositions concernant qui a accès et ce qu'il advient des données personnelles après la fin du processus de diligence raisonnable dans l'accord de confidentialité avec les acheteurs potentiels (et leurs conseillers).
Mettez également en œuvre les procédures nécessaires pour traiter les fuites de données et assurez-vous que toutes les parties impliquées ou ayant accès à la salle de données connaissent ces procédures, par exemple en les incluant dans un accord de traitement et de confidentialité. Commencez à préparer la salle de données à temps et demandez l'aide d'un expert RGPD pour ce sujet.

Diligence raisonnable et contrat

Soyez préparé
Un acheteur potentiel enquêtera sur les fins pour lesquelles vous traitez les données personnelles. Le secteur dans lequel vous opérez joue un rôle important à cet égard. Par exemple, dans le secteur automobile, un numéro de châssis est considéré comme des données personnelles. Si vous êtes actif dans le secteur informatique, les adresses IP seront également des données personnelles.
Le registre des activités de traitement est un bon indicateur pour l'acheteur de la maturité de l'entreprise en matière de protection des données et sera donc souvent l'une des premières choses demandées. Ils poseront également des questions sur le traitement légitime des données personnelles, les finalités, la mise en œuvre de procédures pour l'exercice des droits des personnes concernées, la localisation des données personnelles, les accords de traitement des données et accords de responsables conjoints du traitement, la sécurité des données personnelles, la nomination d'un délégué à la protection des données (DPO), etc.

Protection des données comme culture
Il est également important pour l'acheteur que la protection des données fasse partie de votre culture et que les mesures que vous avez prises ne soient pas des efforts ponctuels visant la diligence raisonnable. Ils vérifieront si les procédures établies sont effectivement appliquées en pratique et s'il y a déjà eu des incidents dans le passé, tels qu'une violation de données ou une enquête de l'APD.

Déclarations et indemnisations
Aujourd'hui, on utilise souvent encore une garantie générale qui stipule que l'objectif respecte la législation applicable, pour également couvrir les risques en matière de protection des données.
Cependant, l'acheteur exigera de plus en plus que vous garantissiez explicitement que l'entreprise a mis en œuvre sa politique de protection des données, ses déclarations de confidentialité, des procédures et mesures de sécurité adéquates, et qu'elle n'est pas au courant de violations de données ou de plaintes connexes, etc.
Pour les risques spécifiques (plainte, violation de données, ...) que la diligence raisonnable a soulevés, l'acheteur demandera souvent également une indemnisation spécifique.

Intérêts du vendeur
En tant que vendeur, vous avez intérêt à des accords clairs concernant votre responsabilité continue et l'utilisation ultérieure des données personnelles par l'acheteur. Il n'est pas exclu que vous puissiez être (co-)responsable des utilisations de ces données personnelles par l'acheteur qui sont incompatibles avec les fins pour lesquelles vous les avez initialement collectées.

Exemple d'un texte RGPD dans une acquisition

Chèr·e contact (client / prospect),

Nous vous écrivons pour vous informer des derniers développements au sein de notre entreprise. Comme vous le savez peut-être, nous avons trouvé un nouveau propriétaire. La transaction devrait être finalisée dans les semaines à venir.

Dans le cadre de cette transaction, l'administration, y compris vos données personnelles (comme le nom, prénom, adresse, adresse e-mail, date de naissance, nationalité et réservations antérieures), sera transférée au nouveau propriétaire de l'entreprise. Ce transfert est fondé sur nos intérêts légitimes et ceux du nouveau propriétaire pour assurer la bonne exécution de la transaction. Si vous avez des objections et/ou des préoccupations concernant ce transfert, veuillez nous en faire part avant le ../.../... par e-mail à l'adresse email.

Si vous vous opposez à ce transfert, vos données ne seront pas transférées au nouveau propriétaire. Si nous ne recevons pas de réponse dans ce délai, nous supposerons que vous n'avez pas d'objection à ce transfert de vos données personnelles, et vos données personnelles seront transférées au nouveau propriétaire.

Des informations sur le traitement des données par le nouveau propriétaire seront disponibles dans leur politique de données, qui sera accessible sur leur site Web après la finalisation de la transaction.

Cordialement,

(signature, nom, et fonction du représentant légal du vendeur)

Informations supplémentaires

(...) La conclusion finale est que le RGPD ne change pas ce point par rapport à l'ancienne loi sur la protection des données. Par conséquent, le transfert de fichiers clients dans le cadre d'une acquisition d'entreprise n'est pas problématique. Seul un approvisionnement des clients acquis avec différents types de produits ou services par l'acheteur pourrait poser un problème. (...)

Voir aussi https://www.webshopovername.nl/kennisbank/klantenbestand-privacy-avg (AVG est la mise en œuvre néerlandaise du RGPD).

Cet article a été créé grâce à l'expérience pratique de plusieurs guides d'acquisition en relation avec Overnamemarkt.be.

Avertissement Toutes les informations sur ce site Web sont de nature générale. Les informations ne sont pas adaptées à des circonstances personnelles ou spécifiques et ne peuvent pas être considérées comme des conseils personnels, professionnels ou juridiques pour l'utilisateur.

Overnamemarkt.be fait de gros efforts pour s'assurer que les informations fournies sont complètes, précises, précises et à jour. Cependant, Overnamemarkt.be ne peut être tenu responsable des dommages directs ou indirects résultant de l'utilisation des informations sur ce site.

Si vous identifiez des inexactitudes, veuillez contacter l'administrateur du site via info@overnamemarkt.be

Également intéressant pour vous

Istock 490482936 1 dc3325ddb903ed9e1bf36cabb292b7fb 2000

Maîtriser le processus de reprise : évitez ces pièges lors d'un transfert d'actions(fr)

Découvrez comment éviter les pièges lors d'un transfert d'entreprise. Protégez vos informations confidentielles, préparez un audit préalable, et restez discret sur la transaction. Assurez-vous d'avoir des accords clairs et ne vous concentrez pas uniquement sur le prix pour garantir la réussite de votre cession.

Sfeerbeeld overnamecontract 5d82205192f385aa0e66e2f96242955e 2000

Plan étape par étape pour la vente d'une entreprise (perspective du vendeur) (FR)

Rekeningcourant2 768x947 2d6fbcd24fbfc4069aa9f52253a2e342 2000

Et les comptes courants lors d'un transfert d'entreprise ? 5 solutions possibles

Optimisez un transfert d'entreprise en auditant les comptes financiers. Évaluez les créances et dettes, et envisagez des options comme convertir les passifs en capital ou rembourser les prêts. Assurez une documentation et des accords clairs pour une transition fluide.