Comment céder mon entreprise en respectant le RGPD ?

Le Règlement Général sur la Protection de Données ou RGPD est un nouveau règlement institué par l’Union Européenne afin de protéger les données personnelles des citoyens et résidents européens traitées que ce soit dans les organismes établis dans l’UE ou ceux établis en dehors de l’UE. La nouvelle règlementation i est entrée en vigueur le 25 mai 2018, et toutes les entreprises dans l’Union Européenne y sont soumises. Mais quand on vient à céder sa boîte, que faudrait-il retenir sur la protection de données personnelles ?

Cession

Lorsqu’on veut céder une entreprise, il y a plusieurs étapes à suivre. Sur le plan opérationnel, le candidat acquéreur signe une lettre d’intention d’achat. Après signature, une période de due diligence s’ouvre. Durant cette période, le cédant fournit à l’acquéreur des informations concernant l’entreprise à céder, afin que ce dernier puisse vérifier si tout ce qui a été négocié correspond bien à la réalité, avant de s’engager. L’acquéreur doit vérifier notamment les états financiers, les contrats clés, les documents sociaux et fiscaux, la propriété intellectuelle, ou encore les litiges. Cette période est critique et délicate, surtout parce que ces documents fournis à l’acquéreur contiennent des données personnelles, sur les salariés par exemple.

Obligation d’information

Le Règlement Général sur la Protection des Données (RGPD), dans son article 13.3 stipule clairement que « lorsqu’il y a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente… » Ceci dit, les salariés concernés doivent être informés à l’avance sur la due diligence et toute autre information sur le traitement de leurs données personnelles, puisque c’est en quelque sorte une toute autre finalité. Et comme le dit le RGPD, à chaque nouvelle finalité de données personnelles une nouvelle obligation d’information à la personne concernée. Selon ce même article du RGPD, la violation de ce droit est passible de sanctions lourdes, les amendes administratives pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial total de l’exercice précédent. Avec la solution PrivaCIL, outil SaaS dédiée DPO, le groupe DPMS offre la possibilité de gérer et centraliser sa conformité à la réglementation sur la protection des données à caractère personnel (RGPD et LIL3) grâce à une plateforme dédiée et pensée par des spécialités.

Solution de facilité

Certains cédants diraient qu’ils ne sont pas obligés de suivre ce règlement car selon eux, la gestion des données personnelle des salariés implique normalement que ces données pourraient être utilisées lors d’une éventuelle période de due diligence. Il est quand même important de suivre le règlement, tout simplement parce que les salariés n’ont pas eu conscience au moment des collectes de leurs données que celles-ci serait utilisées pour une levée de fonds ou un projet de cession. De plus, leurs données sont transmises à de tierces personnes.

Les avantages d’être représenté par un cabinet d’avocat
L’impact du RGDP pour les assureurs et les banquiers