Transmission de données lors de concentrations d'entreprises

Les fusions d'entreprises sont régulièrement à l'ordre du jour dans la vie économique. Il va de soi qu'elles s'accompagnent toujours de traitements de données à caractère personnel. Au cours des divers processus de réorganisation et de fusion, des données personnelles sont transmises et traitées de différentes manières, avec le risque que des personnes non autorisées aient accès à des informations à caractère personnel, que trop de données soient communiquées (qu'elles soient communiquées trop tôt ou aux mauvaises personnes) ou que des données personnelles soient soudain utilisées dans un but autre que celui prévu à l'origine.

Les concentrations d'entreprises et l'aliénation de parties d'entreprises sont monnaie courante dans les milieux économiques. Pour notre propos, nous distinguerons ici deux phases : la phase de préparation et de conclusion du contrat d'une part, et la phase de reprise de l'entreprise d'autre part. Au cours de la première phase, les différentes parties (soit les partenaires de la fusion, soit la personne qui aliène et celle qui acquiert l'entreprise ou la partie d'entreprise) mènent des négociations en vue de conclure un contrat de fusion ou de vente. Puis vient la concentration effective des entreprises ou la reprise de la partie d'entreprise par l'acquéreur.

Les entreprises traitent quasiment en permanence des données concernant des personnes et sont donc tenues de respecter les dispositions pertinentes de la loi fédérale sur la protection des données (LPD, RS 235.1). Cette règle vaut également lors des concentrations d'entreprises.

Lors des négociations, les entreprises proposent en règle générale aux acheteurs potentiels de procéder à une «vérification au préalable» (Due Diligence), afin qu'ils puissent étudier la situation économique de l'entreprise et évaluer sa valeur. Cette procédure permet aux personnes intéressées de se faire une idée des actifs de l'entreprise, mais aussi d'identifier les synergies possibles et les risques; elles peuvent ainsi évaluer les avantages que pourrait leur procurer un achat ou une fusion. Elles s'efforcent donc de recevoir le plus d'informations possible.

Une fois le contrat conclu, il est procédé à la fusion des entreprises ou à la reprise des parties d'entreprises. Les secteurs d'activité sont alors souvent réorganisés (voire regroupés) et des données personnelles transférées d'un secteur à l'autre, afin que l'entreprise restructurée puisse en profiter. Eu égard à la protection des données, il y aura lieu de veiller là aussi à ce que les données personnelles soient traitées dans le respect de la LPD.

Risques

Lors de la concentration d'entreprises, il existe deux risques principaux de violation de la protection des données: le traitement illicite et la transmission illicite de données. Lors de la phase de préparation et de conclusion du contrat, il peut arriver que l'entreprise transmette trop de données personnelles dans le cadre de la «vérification au préalable», et que les acheteurs potentiels obtiennent des informations (relatives à des personnes) dont ils n'ont pas besoin pour décider de racheter l'entreprise. Lors de la phase de reprise des entreprises ou des parties d'entreprises, le risque est de voir des données personnelles transférées dans d'autres parties de l'entreprise ou être utilisées à une autre fin que celle indiquée lors de la collecte. Il est donc impératif, lors de fusions et de ventes d'entreprises, d'analyser les risques qui se posent en matière de protection des données et d'en tenir compte.

Risques lors de la phase de préparation et de conclusion du contrat

Dans le cadre de la procédure de «vérification au préalable», les entreprises déposent en règle générale toutes les informations utiles à l'évaluation de l'entreprise dans une salle d'information (Information Room), à laquelle les acheteurs potentiels ont accès; ceux-ci peuvent y consulter les différents documents et prendre des notes. Les informations mises à leur disposition concernent en général les fournisseurs, les clients, les collaborateurs et les autres partenaires de l'entreprise.

A ce stade, il existe deux risques principaux de transmission illicite de données:

  • il peut arriver que des personnes se fassent passer pour des acheteurs potentiels alors qu'elles ne s'intéressent pas au rachat de l'entreprise mais uniquement aux informations fournies par cette dernière dans le cadre de la procédure de «vérification au préalable»;
  • il peut arriver que l'entreprise (par inadvertance ou dans le but d'obtenir un montant plus élevé lors de la vente) rende disponibles des données personnelles qui ne sont pas nécessaires aux éventuels acheteurs.

Dans les deux cas, il peut y avoir violation de la protection des données. C'est pourquoi il importe que les entreprises soient sensibilisées à la question de la protection des données dès la phase de préparation du contrat.

Risques lors de la phase de reprise d'une entreprise

Lors de la concentration d'entreprises ou de la reprise d'une partie d'entreprise, certains secteurs sont restructurés ou regroupés, certaines tâches sont externalisées et les fichiers de données sont comparés et fusionnés. Une restructuration est souvent l'occasion pour les entreprises de procéder à une analyse en profondeur d'un secteur en vue d'améliorer son efficacité et sa rentabilité. Il arrive alors que des données personnelles soient transférées d'un secteur à l'autre et utilisées dans le nouveau secteur à des fins autres que celles indiquées aux personnes concernées lors de la collecte des données. Dans la plupart des cas, les entreprises n'agissent pas de mauvaise foi; le problème est en général simplement dû au fait que, suite à la restructuration, on a oublié dans quel but les données avaient été collectées.

Mesures et recommandations

Lors de concentrations d'entreprises, celles-ci sont tenues de respecter les principes applicables au traitement de données visés à l'art. 4 LPD. Si tel est le cas et qu'il existe en outre des motifs justificatifs au sens de l'art. 13 LPD, il est possible, dans le cadre d'une fusion, de traiter des données personnelles contre la volonté expresse de la personne concernée et de communiquer des données sensibles et des profils de la personnalité à des tiers. L'art. 13, al. 1, LPD prévoit comme motifs justificatifs le consentement de la victime, un intérêt prépondérant privé ou public ou une norme légale expresse. Plus concrètement, à l'al. 2, let. a, du même article, la loi mentionne par exemple expressément la conclusion ou l'exécution d'un contrat.

Dans les entreprises, il existe par ailleurs souvent des règles spécifiques prévoyant le secret professionnel ou un autre devoir de discrétion, règles dont le non-respect peut avoir des conséquences pénales. A cet égard, il convient de mentionner en particulier l'art. 35 LPD (Violation du devoir de discrétion) et l'art. 47 de la loi sur les banques (secret bancaire; LB, RS 952.0). Les règles prévoyant le secret de fonction doivent être respectées lors des concentrations d'entreprises.

S'agissant de la communication transfrontière de données personnelles, il convient de rappeler qu'aucune donnée personnelle ne peut être communiquée à l'étranger si la personnalité des personnes concernées s'en trouve gravement menacée, notamment du fait de l'absence d'une législation assurant un niveau de protection adéquat (art. 6, al. 1, LPD).

Mesures à prendre lors de la phase de préparation et de conclusion du contrat

Au cours de la phase de préparation et de conclusion du contrat, la communication de données à des tiers dans le cadre de la procédure de «vérification au préalable» peut être admise en vertu de l'art. 13, al. 2, let. a, LPD, étant donné que l'acquéreur reprend l'intégralité des droits et obligations contractuels de l'entreprise acquise et devient par conséquent partie aux contrats que ladite entreprise a conclu avec ses clients. L'acquéreur doit dès lors garantir à ces clients qu'il s'acquittera de toutes les obligations contractuelles qui lui incombent suite au rachat de l'entreprise. Pour être en mesure d'évaluer les risques liés à ces obligations et déterminer s'il pourra tenir ces engagements, l'acheteur reçoit toutes les informations dont il a besoin dans le cadre de la procédure de «vérification au préalable». Dans ce contexte, il y a lieu de considérer que la transmission des données «est en relation directe avec (...) l'exécution d'un contrat» liant un client et la nouvelle entreprise (art. 13, al. 2, let. a, LPD). Cette règle s'applique tant aux données personnelles concernant les clients de l'entreprise qu'à celles relatives aux collaborateurs. Toutefois, précisons que ces informations ne peuvent, en principe, pas être transmises à un acheteur potentiel avec référence nominale. Ce serait d'ailleurs contraire aux intérêts du vendeur: si les négociations échouent, l'acheteur potentiel pourrait alors être tenté de lui subtiliser ses collaborateurs et ses clients. Pour toutes ces raisons, il est indispensable que l'entreprise informe les personnes concernées avant toute transmission de données personnelles à des acheteurs (potentiels), afin qu'elles aient la possibilité de s'opposer à la transmission des données. Dans tous les cas, le vendeur devra veiller à ce que les acheteurs potentiels aient accès uniquement aux données personnelles dont ils ont réellement besoin.

Mesures à prendre lors de la phase de reprise d'une entreprise

Lors de la reprise d'une partie d'entreprise, il faut impérativement veiller à ce que les données personnelles transmises continuent d'être traitées dans le but indiqué lors de leur collecte, prévu par une loi ou ressortant des circonstances (art. 4, al. 2, LPD). Les entreprises ont donc l'obligation de garantir que seules les personnes autorisées auront accès aux données et que celles-ci seront toujours traitées dans le but prévu. C'est pourquoi il est indiqué de définir le but de chaque fichier de données interne et de préciser dans quel but et par qui les données peuvent être traitées, afin qu'il n'y ait pas de malentendu possible.

Recommandations

Phase de préparation et de conclusion du contrat

Lors des procédures de «vérification au préalable», le PFPDT recommande aux entreprises de prendre les mesures ci-après pour garantir aux personnes concernées une protection suffisante dans le domaine de la protection des données :

  1. L'entreprise doit éviter de remettre des données personnelles à un acheteur potentiel ou à ses conseillers. Celui-ci doit tout au plus avoir la possibilité de consulter sur place les données qui lui sont utiles (dans un lieu aménagé à cet effet, le «Information Room»).
  2. Lorsqu'une entreprise prévoit de mettre des informations à la disposition des acheteurs potentiels dans le «Information Room», elle devra veiller de manière rigoureuse à ce que seuls les acheteurs potentiels (et leurs conseillers) réellement intéressés par une reprise ou une fusion y ait accès.
  3. Seul un cercle restreint de personnes doit avoir accès au «Information Room». Ces personnes devront en outre s'engager par contrat à ne pas réutiliser ces informations, voire à les détruire si les négociations n'aboutissent pas.
  4. Les informations fournies devront toujours se limiter au strict nécessaire et à ce qui se justifie après pesée des intérêts, et être rendues anonymes dans la mesure du possible ou présentées de telle sorte qu'aucun lien ne puisse être établi avec des personnes données.
  5. La quantité de données personnelles mises à la disposition des acheteurs potentiels pourra être adaptée à mesure que la procédure avance ; elle pourra s'accroître si la conclusion du contrat paraît proche et le bouclement de l'affaire plus ou moins assuré.
  6. En outre, il est indiqué, dans le cadre des procédures de «vérification au préalable», de conclure des accords de confidentialité (Non Disclosure Agreements, NDA) comprenant des clauses relatives à la protection des données, par lesquels les acheteurs potentiels et leurs conseillers s'engagent à garantir la protection des données. De tels accords constitueront un gage supplémentaire de sécurité, même s'il n'est pas possible d'exclure tout risque.
  7. Les dispositions légales prévoyant l'obligation de garder le secret (cf. art. 35 LPD ou art. 47 LB, par ex.) doivent être respectées dans tous les cas.

Phase de reprise d'une entreprise

Lors de la phase de reprise d'une entreprise, le PFPDT recommande aux entreprises de prendre les mesures suivantes:

  1. Avant d'utiliser les données de l'entreprise acquise, les responsables doivent examiner si le but indiqué lors de la collecte des données ou le but qui ressort des circonstances permettent de traiter les données dans le but prévu.
  2. L'accès aux données des deux entreprises doit être réglé de telle sorte que, après la concentration, il soit accordé uniquement aux collaborateurs qui en ont réellement besoin.
  3. En cas de doute (c.-à-d. dans le cas où il n'est pas possible de déterminer avec certitude si le droit permet de traiter les données dans le but prévu), il est indiqué d'informer les personnes en question du fait que des données les concernant feront l'objet d'un nouveau traitement dans le cadre de la fusion et, le cas échéant, de demander leur accord.
  4. Les dispositions légales prévoyant l'obligation de garder le secret (cf. art. 35 LPD ou art. 47 LB, par ex.) doivent être respectées dans tous les cas.

Dernière mise à jour: mars 2010

https://www.edoeb.admin.ch/content/edoeb/fr/home/protection-des-donnees/handel-und-wirtschaft/entreprises/transmission-de-donnees-lors-de-concentrations-d-entreprises.html