Après un an d’application du RGPD, les chefs d’entreprise ont appris à intégrer dans l’exercice de leur pouvoir de direction que gérer les actifs de l’entreprise comprenait désormais l’organisation de la gouvernance de leurs données. Il est devenu acquis maintenant que le responsable d’entreprise doit avoir cartographié ses données et ses traitements, contrôlés les finalités de la collecte, sécurisé les données ce qui implique sans doute de prendre des mesures pour sécuriser la confidentialité des données, mais englobe aussi de garantir leur intégrité et leur résilience. Vaste chantier donc que de respecter le RGPD, (voir Kit du développeur ,recommandations CNIL)formalisme organisationnel aux modalités et conséquences pas encore toutes comprises, car « l’esprit du RGPD », reste encore à découvrir. Le mois de juin est classiquement le mois des assemblées générales d’approbation des comptes de sociétés, moment de réflexion stratégique ou justement des décisions importantes peuvent se décider pour l’avenir « Fusion-Scission d’entreprise », « Cession d’entreprise », et parfois pour les malchanceux de la compétitivité, d’être concernés par un plan de cession de leurs actifs à l’issue d’une procédure de redressement ou de liquidation judiciaire. Ainsi, quelles sont les incidences du RGPD lorsqu’une entreprise transmet son patrimoine à une autre dans le cadre d’une Fusion-Absorption ou d’une Scission d’entreprise, ou que l’entreprise est cédée amiablement en ce compris les ventes d’un fonds de commerce ou que certains de ses actifs dont les bases de données font l’objet d’un Plan de cession comme moyen de sortie d’une procédure de Redressement Judiciaire ou de Liquidation Judiciaire. Justement, ces assemblées « extraordinaires » dans la vie ordinaire d’une entité économique qui évolue, témoignent de ce que l’esprit du RGPD repose sur tout autre chose car la « donnée personnelle » n’est ni un actif classique, ni un actif « ordinaire » pour la bonne et simple raison qu’il concerne « une personne physique », ou l’on voit, et ce principe n’a pas finit de nous étonner, que le RGPD est indissociable de tout ce qui concerne « La personne humaine » ce qui n’est pas rien !!!! L’identité d’un responsable de traitement, qu’il soit une personne physique ou morale pour le RGPD, si elle est modifiée impose de nouveaux réflexes et surtout de nouvelles formalités consubstantielles à la régularité de toute cession d’entreprise au sens très large du terme. Juridiquement la Fusion est l’opération par laquelle une ou plusieurs sociétés transmettent leur patrimoine à une autre société déjà existante qui l’absorbe, ou à une nouvelle société qu’elle va constituer. La Scission quant à elle est l’opération par laquelle une société va diviser son patrimoine pour l’apporter à plusieurs sociétés qui vont : Soit absorber des parties du patrimoine (Fusion-absorption), Soit apporter à différentes parties à plusieurs sociétés qui se constituent pour recevoir (Scission). Donc toute opération de Fusion et/ou de Scission organise une transmission universelle du patrimoine de la société à l’origine du démembrement. Indépendamment de la problématique de la valorisation comptable et/ou financière pour fixer la valeur des bases de données transmises, ce qui en soi pourra faire l’objet ultérieurement d’autres commentaires, tant les réflexions sur ce point sont vastes, je vous propose ici une brève réflexion des conséquences de ces opérations sous l’angle pratique des conséquences du RGPD. Le RGPD ne contient aucune disposition particulière régissant le transfert des données personnelles en cas de transmission universelle de patrimoine pour les opérations de fusion et de scission de sociétés, ainsi d’ailleurs que pour les cessions d’entreprise, même par voie judiciaire, Plan de cession, à l’occasion des procédures de redressement ou liquidation judiciaire. Seul le chapitre 5 du RGPD envisage la notion de transfert de données à caractère personnel, mais sous l’angle d’une destination géographique, vers des pays tiers, si la donnée personnelle sort en dehors du territoire de l’Union Européenne ou vers des organisations internationales (Articles 44 à 50). La lecture de l’article 44 du RGPD qui pose les principes généraux applicables au transfert de données vers un autre État donne cependant une précision intéressante dans son dernier alinéa en précisant : « Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanties par le présent règlement ne soit pas compromis ». En préambule je soulignais la nécessité de s’approprier « l’esprit de ce texte particulier qu’est le RGPD », et cette particularité s’illustre ici parfaitement ; le RGPD est d’abord et avant tout un mécanisme destiné à assurer aux personnes concernées (Data Subject) la garantie de la protection de leurs droits fondamentaux. Toute opération susceptible d’affecter « l’identité »du « responsable de traitement », détenteur des bases de données contenant des données personnelles définies par l’article 4 § 1 du RGPD n’est pas sans conséquence, car par le fait même de la collecte, dès cet instant, le responsable de traitement souscrit à l’encontre de la personne concernée une obligation générale essentielle et permanente qui consiste à lui maintenir, quel que soit l’ événement qui l’affecte en l’occurrence ici une fusion absorption, ou une scission d’entreprise, ou une cession d’entreprise le respect de ses droits fondamentaux . Ainsi une transmission universelle de patrimoine qui aura lieu par une opération de Fusion ou de Scission peut être parfaitement régulière du point de vue du droit des sociétés mais elle peut dans ses conséquences faire courir au nouveau responsable de traitement le risque de se trouver dans une situation non conforme dans ses effets au regard du prisme de l’application particulière du RGPD et de sa finalité. Le « responsable de traitement » au sens du RGPD est défini par l’article 4 § 7 comme : « La personne physique ou morale qui seule ou conjointement avec d’autres détermine les finalités et moyens du traitement… » L’article 6 du RGPD précise ensuite que le traitement n’est licite que dans la mesure où au moins une des conditions suivantes est remplie : Article 6 §1(a) : La personne concernée a consenti au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques ; Article 6 §1(b) Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ; Article 6 §1(c) Le traitement est nécessaire au respect d’une obligation légale à laquelle responsable du traitement est soumis ; Article 6 §1(d) Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ; Article 6 §1(e) Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ; Article 6 §1(f) : Le traitement est nécessaire aux fins des intérêts légitime poursuivi par le responsable du traitement ou par un tiers ; Donc le nouveau « responsable de traitement » ne devient pas propriétaire au sens classique du terme, d’un traitement de données personnelles, il devient d’abord et avant tout débiteur d’une obligation légale du respect des droits des personnes concernées par ces traitements, parmi lesquels figure au premier rang l’obligation de maintenir la licéité du traitement tel que prévu par l’article 6 du RGPD et garanti notamment par le maintien des finalités d’origine et de la base juridique du traitement. Donc le « responsable de traitement cédant » et le « responsable de traitement cessionnaire » des bases de données contenant les traitements, auront tout intérêt à s’adjoindre pour la vérification des actes transmettant le patrimoine universel au cessionnaire un conseil ayant les compétences d’un DPO pour les aider à vérifier comment agencer notamment pour le nouveau responsable de traitement le maintien de la licéité du traitement qui devra faire l’objet d’une documentation très précise avec des vérifications ciblées au-delà des problématiques de la vérification du maintien de la finalité du traitement. Ceci implique que notamment lorsque la cession d’entreprise se fait en dehors d’une transmission universelle de patrimoine, la rédaction des clauses de garantie de passif contiennent des clauses spécifiques RGPD notamment quant à la répartition des risques liés à la nécessité de préserver pour les personnes concernées l’exercice de leurs droits sur les données acquises soit pour mémoire : « droit d’accès de la personne concernée article 15 du RGPD », « droit de rectification article 16 du RGPD », « droit à l’effacement ou à l’oubli article 17 du RGPD », « droit à la limitation du traitement article 18 du RGPD », « droit à la portabilité des données article 20 du RGPD », sans compter en cas d’utilisation d’un traitement automatisé le respect conformément aux dispositions de l’article 22 du RGPD d’obtenir entre autres l’information sur la logique sous-jacente du traitement. Par ailleurs le nouveau propriétaire des bases de données contenant les traitements devra également vérifier les conditions de l’obtention du consentement lorsqu’il était nécessaire au traitement en sachant distinguer d’ailleurs les consentements au traitement de données personnelles et les consentements à l’envoi de campagnes publicitaires ce qui n’est pas la même chose ; ce qui nécessite de vérifier entre autre chose les informations à fournir aux personnes concernées pour la période antérieure à la cession et postérieure.(article 14 et 15 du RGPD). Enfin au sens du RGPD, la personne concernée n’a pas vraiment contractée avec un responsable de traitement, mais a donné son accord, ou été informée de la finalité d’un traitement. Donc les nouvelles obligations du responsable de traitement sont à géométrie variable et ne nécessite pas a priori, et de manière obligatoire, de requérir un nouveau consentement, ce pour pour les opérations de cession ayant pour conséquence une transmission universelle de patrimoine, ce qui n’est pas forcément le cas par contre pour les opérations de cession qui n’implique pas la transmission universelle de patrimoine. Enfin l’identification des contrats de sous-traitance repris ou non par le nouveau responsable de traitement avec l’organisation des réversibilités éventuelles des données, sont des points de vérification très importants. Si l’entreprise fait l’objet d’une procédure collective l’administrateur judiciaire pendant la période d’observation devra veiller à ce que le responsable de traitement puisse faire face à ses obligations et si l’entreprise est cédée dans le cadre d’un plan de cession d’assurer au cessionnaire la conformité des traitements au regard des observations ci-dessus. Où l’on voit que décidément le RGPD est une stratégie d’organisation de l’entreprise dont les incidences et conséquences ne font que se révéler et n’en sont qu’à leurs débuts. Marseille le 08/06/2019 Véronique Rondeau-Abouly Avocat au barreau de Marseille