L'entrée en vigueur de la Loi Générale de Protection des Données (« LGPD « ), loi n° 13,709/2018, du 18 septembre 2021, a entraîné une série d'impacts sur les relations existantes, qu'elles soient commerciales ou avec le consommateur. En effet, dans le but de protéger les droits fondamentaux liés à la liberté, à la vie privée et au libre développement de la personnalité de la personne physique, la LGPD propose des normes et des lignes directrices pour réglementer tout traitement des données personnelles.
Les innovations apportées par la LGPD et ainsi la nécessité de mise en œuvre des modifications, ont eu notamment un impact sur les opérations de fusions et acquisitions (« M&A »), dans la mesure où il est de la plus haute importance que les dispositions légales de la LGPD soient être observées et respectées par toutes les parties impliquées dans l’opération.
Les opérations de fusion et acquisition comprennent plusieurs étapes, dont notamment les suivantes relatives à la question de la conformité avec la LGPD : (i) la préparation de la lettre d'intention (Memorandum Of Understanding - "MoU" ou Letter of Intent - "LOI"), qui n'est rien d'autre qu'un accord préliminaire reflétant les conditions générales de l'accord définitif que les parties souhaitent conclure ; (ii) l'audit juridique ou due diligence juridique, qui consiste en un processus de recherche d'informations, dans plusieurs domaines, dans le but d'évaluer les risques de la transaction ; et (iii) la préparation des contrats définitifs et des documents annexes nécessaires à la réalisation de la transaction.
Dans le cadre des questions de protection des données et de la vie privée, il est donc essentiel que les parties concluent un accord d'intention ("MoU" ou "LOI") comportant des clauses relatives à la protection des données qui soient contraignantes et garantissent la confidentialité, et qui permettent également à l'acheteur potentiel de réaliser un audit du programme de protection de la vie privée et des données du vendeur, le cas échéant, dans les limites de la LGPD.
Une fois que les garanties et les précautions initiales ont été établies, lors de la réalisation de l’audit juridique et dans les cas où les entreprises faisant l'objet d'opérations de M&A traitent des données à caractère personnel, il est essentiel que ces dernières se conforment aux règles de la LGPD. En outre, l'acheteur potentiel doit chercher à assurer cette conformité en réalisant une opération d’audit concernant le programme de protection de la vie privée et des données du vendeur. Cela est nécessaire car une fois la transaction finalisée, l'acheteur potentiel aura éventuellement accès à toutes les données à caractère personnel traitées par le vendeur et pourra même devenir contrôleur et/ou opérateur de ces données, ce qui lui confère de nombreuses responsabilités prévues par la loi.
Par conséquent, afin d'éviter le risque de pertes futures et pour confirmer efficacement que la société faisant l'objet de la transaction respecte les règles applicables, il est recommandé à l'acquéreur potentiel de développer des procédures capables de réaliser une telle identification, notamment en ce qui concerne les politiques de gouvernance et les normes de sécurité, de sorte qu'à l'issue de l’audit juridique, il dispose d'une connaissance adéquate principalement sur les points suivants :
· Quelles sont les données personnelles collectées et sous quelle forme le sont-elles ;
· Y-at-il un traitement de données personnelles sensibles ;
· Y-at-il un traitement de données personnelles d'enfants et d'adolescents ;
· quels sont les mécanismes de sécurité adoptés ;
· Y-at-il un transfert international de données personnelles ;
· d'autres questions pertinentes qui interféreront directement dans la transaction entre les parties, du prix d'acquisition aux stratégies futures d'adaptation au LGPD par l'acheteur potentiel.
En ce qui concerne la rédaction des contrats et des documents annexes pour la réalisation de l'opération de M&A, il est donc primordial que ceux-ci contiennent toutes les clauses applicables, notamment en matière de protection des données personnelles, aux fins de conformité avec les règles apportées par la LGPD.
En conclusion, étant donné que dans le cadre de l'opération de M&A, l'acheteur peut être solidairement responsable de toute violation liée au traitement des données par le vendeur, il est essentiel que la société acheteuse prenne des précautions, en effectuant les vérifications appropriées, non seulement par le biais de l’audit juridique, mais aussi par l'ajout de clauses de protection nécessaires, tant dans les contrats préliminaires que dans les contrats définitifs.