La conformité au RGPD : son impact sur la valorisation financière de l’entreprise

La protection des données personnelles qui devait être assurée dans les entreprises depuis la loi de 1978 est revivifiée avec la mise en application du Règlement Général sur la protection des données personnelles (RGPD).

Ce système déclaratif de l’existence de traitements de données personnelles dans l’entreprise prévu par la loi informatique et liberté de 1978 n’incitait guère à la proactivité dans la mise œuvre et le suivi des mesures de protection des données personnelles et la gestion des droits des personnes concernées.

Le nouveau règlement adopte une démarche proactive de conformité : l’entreprise n’est plus tenue sauf exception de déclarer le traitement des données personnelles ; en revanche elle doit en permanence mettre en œuvre les actions pour s’assurer de la protection des données personnelles lors de leur traitement (privacy by design, by default,…), la gestion de l’exercice des droits des personnes concernées (droit d’accès, de rectification, …) et les documenter (c’est-à-dire tenir notamment les registres de traitement à jour).

La portée de cette nouvelle règlementation (tant dans ses sanctions que dans les actions qui devront être mises en œuvre en application du principe d’Accountability) conduit les professionnels intervenant dans l’évaluation financière d’une société (expert-comptable, le commissaire aux comptes, investisseur) en vue de la cession de titres sociaux, de fonds de commerce ou encore pour l’établissement d’un prévisionnel avant rachat des titres à intégrer le respect de la conformité de l’entreprise au RGPD dans les critères de sa valorisation.

Autrement dit une entreprise non-conforme pourra voir sa valorisation diminuer,

• Parce que la non-conformité oblige le repreneur à procéder à un audit de sécurité (juridique et technique), à une analyse de risque, et enfin dresser un plan d’actions pour être conforme ; ces coûts de mise en conformité se répercutent de facto sur la valorisation des actifs.
• Ou encore que la non-conformité expose l’entreprise à des risques de sanctions financières (amendes prononcées par la CNIL, perte du chiffre d’affaires résultant d’une dévalorisation de l’image, sanctions civiles pour non-respect des droits des personnes concernées).

Nul doute que les rédacteurs de la clause de garantie de passif liée à la cession de titres sociaux d’une société attireront l’attention des Parties sur l’exigence de conformité de l’entreprise à la protection des données personnelles puisqu’au titre de cette garantie, le vendeur s’engage à indemniser l’acheteur si l’actif diminue ou si le passif augmente après la cession, pour une ou plusieurs causes elles-mêmes antérieures à cette cession.