Par Philippe Debry, avocat, Edouard Lemoalle, avocat, et Olivier Josset, avocat, Fidal

Dans ce nouveau contexte, les acquéreurs doivent vérifier que les mesures de protection des données à caractère personnel des sociétés cibles sont non seulement conformes au RGPD mais également compatibles avec leurs propres politiques de sécurité informatique, et ce afin d’éviter des coûts liés à la mise en conformité des cibles, à la conduite de contrôles menés par la CNIL, voire à des condamnations pénales. Autant d’éléments qui ont une conséquence sur l’appréciation de la valeur de la cible, voire sur l’opportunité même d’acquérir.

L’exemple récent de Mariott International le montre. Après avoir acquis en 2015 Starwood Hotels & Resorts pour environ 12,2 milliards de dollars US, Mariott International a constaté des anomalies informatiques au sein de sa nouvelle filiale. Malgré une auto-dénonciation en novembre 2018, les coûts liés à la conduite de l’investigation et à l’amende (99 millions de livres) infligée en juillet 2019 par la CNIL britannique (ICO) se chiffrent en millions d’euros, réduisant ainsi significativement la profitabilité de l’opération.

Cette solution ne s’applique certes que dans l’ordre interne britannique. Néanmoins, la portée de cette décision de l’ICO ne doit pas être interprétée restrictivement. Le RGPD, sur lequel se fonde l’ICO pour motiver sa décision, est applicable à l’ensemble des Etats membres de l’UE. En effet, la logique du droit européen, primant sur les droits nationaux, est consacrée depuis de nombreuses années. Dès lors, les autorités françaises devraient être tenues de suivre une interprétation uniforme européenne du RGPD, même si elles disposent d’une marge d’interprétation pour les adapter aux faits d’une situation particulière.