Lors de la cession d’une entreprise, un audit est généralement effectué par l’acquéreur potentiel afin de limiter certains risques.
L’audit d’acquisition permet à l’acquéreur de vérifier que les points qui ont été négociés (postes comptables, rentabilité,) correspondent bien à la réalité.
Une réalité qui est souvent appréhendée à partir d’éléments habituellement répertoriés dans les garanties d’actifs et passifs : divergence de valeur de stocks, action prud’homale à envisager, risques environnementaux …
Mais il faudrait désormais intégrer les risques liés aux DACP (données à caractère personnel) puisque le règlement européen dit RGPD du 27 avril 2016 impose des diligences de sécurité importantes avec des risques financiers qui peuvent mettre à mal la valeur de l’entreprise.
En effet, les sanctions en cas de non-conformité sont non négligeables ( 2 ou 4% du CA) et peuvent en sus être complétées par une action à titre personnelle de la personne lésée qui devra être indemnisée pour son entier préjudice.
Or, force est de constater que beaucoup d’entreprises ne se penchent pas encore de manière sérieuse sur leur conformité RGPD , reportant à plus tard et donc au moment de la cession , les éventuels risques de sanctions.
Cette attitude est dommageable, notamment compte tenu d’un arrêt rendu le 25 juin 2013 par la chambre commerciale de la Cour de cassation rappelant qu’un fichier contenant des DACP n’ayant pas fait l’objet d’une déclaration à la CNIL devait être considéré comme nul car ayant un objet illicite.
A l’heure actuelle, cette obligation est devenue obsolète (sauf en matière de défense) en vertu du principe d’accountability : plus de déclaration mais un régime de responsabilisation imposant la mise en place d’un plan de sécurisation des DACP.
Si celui-ci n’est pas réalisé, il est tout à fait envisageable que certains acquéreurs puissent, au final, invoquer un risque non révélé de perte ou non sécurisation des DACP et obtenir la nullité de la vente.
L’intérêt sera de faire baisser la valeur de l’entreprise acquise compte tenu du risque financier en suspens et du cout des mesures à mettre en place ultérieurement pour obtenir la conformité.
Le cédant peut donc avoir une mauvaise surprise au moment de la vente et il sera impératif pour lui de soigner les GAP en ayant à l’esprit cette possibilité d’action future…
L’intérêt de se pencher sur ce point est d’autant plus important pour des cessions d’entreprises intervenant dans certains secteurs :
Les OIV : operateurs d’importance vitale dont l’activité est liée à la notion de continuité de l’Etat et qui ont à ce titre l’obligation de lutter contre les attaques terroristes…
La simple négligence est en principe condamnable. L’amende peut aller jusque 750 000 €.
Attention également aux professionnels du secteur de la santé : l’article L1111-8 du code de la santé publique impose un process de recueil des données et de leur hébergement lourd puisque soumis à agrément. Ces conditions d’agrément sont fixées par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés et des conseils nationaux de l’ordre des professions de santé.
La perte de l’agrément ou un mauvais respect de celui-ci peut entrainer de lourdes pertes financières.
D’où l’intérêt de ne pas prendre à la légère la question de la protection des données personnelles au sein de l’entreprise (celles des clients, des fournisseurs, des employés, des sous-traitants, des partenaires…)
Un audit incluant cette vérification a certes un cout mais ce coût est souvent largement compensé car il permet très souvent à l’acquéreur de réduire le prix d’acquisition et de demander une garantie de passif étendue.
Pensez à en parler à votre avocat. ;