RGPD & cession / reprise - le guide pour cédant et repreneur
Les implications RGPD lors d'une opération M&A
Lors de la cession de son activité, les données clients sont souvent présentées comme l'un des actifs les plus précieux du dossier : historique d'achats, adresses email opt-in, profils comportementaux. Il faut savoir que c'est également un des actifs le plus encadré par le droit mais en pratique le moins bien préparé.
Le Règlement Général sur la Protection des Données (RGPD) encadre précisément le transfert des données clients entre un cédant et un repreneur. Les obligations qui en découlent varient selon la nature juridique de la cession : titres, fonds de commerce ou actifs isolés.
Cession de titres, de fonds ou d'actifs : des régimes RGPD distincts
Le RGPD articule les obligations autour d'une notion centrale : le responsable de traitement, c'est-à-dire l'entité qui détermine pourquoi et comment les données personnelles sont collectées et utilisées. Selon le type de cession, ce responsable change, ou non.
- Cession de titres (parts sociales ou actions). La société continue d'exister et seule la composition de son capital change. Les données clients restent dans la même entité juridique et il n'y a donc pas de transfert de données au sens du RGPD. Les obligations liées au changement du responsable de traitement ne s'appliquent pas. En revanche, le repreneur doit s'assurer en phase de due diligence que la conformité RGPD de la société cible est en ordre, car il en hérite intégralement.
- Cession de fonds de commerce. Le fonds de commerce repris est exploité par une nouvelle société ce qui implique un changement de responsable de traitement. Ce changement déclenche l'ensemble des obligations RGPD : obligations préalables pour le cédant, obligations post-closing pour le repreneur. La CNIL est explicite sur ce point : tout transfert de données clients entre deux entités distinctes est soumis au RGPD, quelle que soit la nature de la transaction.
- Cession d'actifs isolés (base newsletter, liste abonnés, base de données clients…). Le régime est identique à celui de la cession de fonds de commerce. Toute cession d'actif contenant des données personnelles et transmis à une nouvelle entité juridique est soumis aux mêmes obligations.
| Type de cession | Les données changent-elles d'entité ? | Obligations RGPD déclenchées ? | Points de vigilance |
|---|---|---|---|
| Cession de titres | Non | Non | Due diligence : auditer la conformité RGPD de la société cible avant closing |
| Cession de fonds de commerce | Oui | Oui | Licéité de la collecte, information des clients, clauses de garantie dans l'acte |
| Cession d'actifs isolés | Oui | Oui | Base légale de la collecte, information des clients, clauses de garantie dans l'acte |
Ce que le cédant doit préparer avant le closing
Dans le cadre d'une cession de fonds ou d'actifs, le cédant a des obligations RGPD qui lui sont propres. La règle de base posée par la CNIL est la suivante : seuls les fichiers constitués dès l'origine dans le respect de la réglementation peuvent faire l'objet d'un transfert ou d'une vente. Un fichier constitué en violation des règles applicables est considéré comme un objet hors commerce et sa cession peut faire l'objet de sanctions.
- Identifier la base légale de chaque traitement. Chaque collecte de données doit reposer sur une base légale identifiable : consentement explicite, intérêt légitime documenté, ou exécution d'un contrat (Art. 6 du RGPD). Sans base légale établie pour chaque source de collecte, le fichier correspondant n'est pas cessible.
- Ne transférer que des données actives et à jour. Le référentiel de la CNIL sur la gestion commerciale (2 février 2022) autorise la conservation des données clients à des fins de prospection pendant la durée de la relation commerciale, puis pendant un délai maximum de 3 ans à compter du dernier contact émanant du client. Le cédant doit s'assurer que ces règles ont bien été appliquées et que les droits d'opposition exercés par les clients ont été traités, de sorte que le fichier transmis ne contienne que des données actives et conformes.
- Informer du changement du responsable de traitement. L'article 14 du RGPD prévoit que les personnes concernées doivent être informées de la transmission de leurs données et de l'identité du nouveau responsable de traitement. Cette obligation incombe par défaut au repreneur, dans un délai maximum d'un mois après le closing. Si le cédant prend en charge cette notification avant la cession, le repreneur en est dispensé. Les deux schémas sont valables ; il appartient aux parties de se mettre d'accord.
- Constituer un dossier de passation RGPD. Registre des activités de traitement, politique de confidentialité en vigueur au moment de la collecte, preuves de consentement ou de base légale, liste des sous-traitants (hébergeur, outil emailing, CRM…) : ce sont les éléments que le repreneur est en droit de demander.
La réalité des TPE / PME du digital : entre conformité théorique et préparation pragmatique
Pour la majorité des TPE / PME du digital, la conformité RGPD est au mieux partielle. La CNIL est claire sur ce point :
« Le RGPD s'applique à tous les professionnels, quels que soient leur taille et leur secteur d'activité, mais l'application du RGPD est modulée selon la nature, le contexte, les finalités et les risques des traitements mis en œuvre. »
Cela ne signifie pas qu'il faut ignorer le sujet. Un cédant qui ne peut pas attester de la conformité de ses données clients s'expose à deux risques concrets : une remise en question de la valorisation par le repreneur, pouvant aller jusqu'à affecter le closing, et une mise en cause post-cession.
À défaut d'une conformité parfaite, le cédant peut a minima documenter et formaliser ses pratiques avant la cession :
- Lister les sources de collecte (formulaire de commande, inscription newsletter, pop-in…) et la base légale associée à chaque source.
- Vérifier que le site dispose bien d'une politique de confidentialité accessible publiquement, conforme aux exigences d'information prévues par le RGPD.
- Si elle existe, vérifier si elle mentionne déjà la possibilité d'un transfert des données à un tiers. Dans ce cas, l'obligation d'information des clients qui incombe par défaut au repreneur (Art. 14 du RGPD) s'en trouve facilitée.
- Supprimer les contacts dont le dernier achat ou interaction date de plus de 3 ans.
- Rédiger un document de passation synthétique récapitulant les traitements en cours et les sous-traitants impliqués dans le traitement des données (hébergeur, plateforme emailing, CRM, outil analytics…).
Ce travail de documentation n'est pas une formalité vide de sens : il protège le cédant et rassure le repreneur.
Ce que le repreneur doit vérifier et faire
Quelle que soit la forme de la cession, le repreneur porte au closing la responsabilité de la conformité RGPD de l'activité reprise. Dans une cession de fonds ou d'actifs isolés, il devient le nouveau responsable de traitement. Dans une cession de titres, c'est la société qui reste le responsable de traitement, mais le repreneur en prend le contrôle et hérite de l'intégralité de son passif RGPD. Dans les deux cas, une due diligence s'impose :
- Demander la communication du registre des activités de traitement (Art. 30 du RGPD). Toutes les entreprises ont l'obligation de tenir ce registre dès lors que leurs traitements ne sont pas occasionnels, ce qui est le cas de tout e-commerce ou service en ligne actif.En pratique : demander un fichier (tableur, export d'outil de conformité, document interne) listant pour chaque traitement : la finalité, la base légale, les catégories de données, les sous-traitants, les durées de conservation. Un registre non mis à jour depuis plusieurs années ou manifestement incomplet doit être considéré comme un signal de risque.
- Vérifier la base légale de la collecte. Si elle repose sur le consentement, demander la preuve de ce consentement. Sans base légale vérifiable, la base clients ne peut pas être utilisée pour des actions de prospection par le repreneur.En pratique : demander pour chaque canal de collecte (formulaire de commande, newsletter, pop-in…) : une copie des formulaires avec leurs mentions d'information, les exports des logs de consentement de l'outil emailing (date, source, statut opt-in) et la version de la politique de confidentialité en vigueur au moment de la collecte. L'absence de ces éléments de traçabilité rend le consentement indémontrable au sens de l'Art. 7 du RGPD.
- Contrôler la fraîcheur des données. Un fichier comportant une part significative de contacts inactifs depuis plus de 3 ans n'est pas conforme au référentiel CNIL.
- S'assurer qu'aucune plainte ou procédure CNIL n'est en cours à l'encontre du cédant pour des traitements liés à l'activité cédée.
Dans l'acte de cession
- Une clause de garantie RGPD par laquelle le cédant atteste que les données personnelles traitées dans le cadre de l'activité ont été collectées et traitées en conformité avec la réglementation applicable.
- Une clause de garantie de passif couvrant les éventuelles sanctions CNIL liées à des traitements antérieurs au closing.
- La liste exhaustive des traitements transférés et des sous-traitants à remettre (hébergeur, plateforme emailing, CRM, outil analytics…).
Après le closing
- Si le cédant n'a pas informé les clients avant la cession, le repreneur est tenu de le faire dans un délai maximum d'un mois à compter du closing (Art. 14 du RGPD). Cette notification doit préciser l'identité du nouveau responsable de traitement et les finalités poursuivies.
- Mettre à jour la politique de confidentialité du site.
- S'assurer que les données clients peuvent effectivement être utilisées pour les actions commerciales envisagées. Le RGPD (Art. 5(1)(b)) interdit tout traitement ultérieur incompatible avec les finalités pour lesquelles les données ont été collectées. Si le repreneur envisage un usage différent, il doit s'assurer de disposer d'une base légale valide au sens de l'Art. 6 du RGPD pour ce nouvel usage. Cela ne signifie pas nécessairement recueillir un nouveau consentement : selon la situation, l'intérêt légitime ou l'exécution d'un contrat peuvent constituer une base suffisante.
Les obligations varient-elles selon la taille de l'entreprise ?
Le RGPD s'applique à tous les professionnels, sans seuil de taille. Ce que la taille module, c'est l'intensité de certaines obligations formelles.
- Registre des activités de traitement (Art. 30). L'article 30 prévoit une exemption pour les entreprises de moins de 250 salariés, mais celle-ci ne s'applique pas lorsque les traitements ne sont pas occasionnels, présentent un risque pour les personnes, ou portent sur des données sensibles. Or, la gestion d'une base clients e-commerce est par nature un traitement non occasionnel. En pratique, tout e-commerce ou service en ligne actif a l'obligation de tenir un registre des traitements, quelle que soit sa taille. La CNIL le rappelle explicitement dans ses recommandations aux TPE et PME.
- Délégué à la Protection des Données (DPO). La désignation d'un DPO est obligatoire pour les entreprises privées dans deux cas définis à l'article 37 du RGPD : lorsque les activités principales impliquent un suivi régulier et systématique à grande échelle des personnes concernées (exemples cités par entreprendre.service-public.fr : géolocalisation, vidéosurveillance, traitement des échanges bancaires) ; ou lorsque ces activités principales impliquent un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales. La notion de traitement "à grande échelle" ne fait l'objet d'aucun seuil numérique fixe dans le texte du RGPD : elle s'apprécie au cas par cas, en fonction du nombre de personnes concernées, du volume et de la diversité des données collectées, de la durée du traitement et de son étendue géographique. L'obligation de désigner un DPO doit donc être évaluée au regard des caractéristiques propres à chaque activité.
- Analyse d'Impact relative à la Protection des Données (AIPD). Obligatoire uniquement pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes. Cette obligation concerne les activités dont le traitement de données personnelles sensibles ou à grande échelle constitue le cœur de métier : plateformes de santé, services de géolocalisation, outils de profilage avancé, par exemple.
La conformité RGPD, un critère de valorisation
Des données clients conformes sont un actif valorisable. Un fichier dont la conformité ne peut pas être établie est un passif potentiel, pour le cédant comme pour le repreneur. La CNIL l'a illustré concrètement en décembre 2022 : à l'occasion de la liquidation de Camaïeu, la mise aux enchères du fichier clients de la société a été retirée au dernier moment, précisément parce que la conformité de la base ne pouvait pas être garantie (Usine Digitale, décembre 2022).
Documenter et sécuriser sa base clients, c'est défendre la valeur de ce que l'on cède et sécuriser le closing.
Sources officielles
- CNIL - Vente de fichiers clients : la CNIL rappelle les règles (5 décembre 2022)
- CNIL - Appliquer le RGPD dans une TPE ou PME : questions/réponses
- CNIL - Référentiel gestion commerciale, 2 février 2022 (durée de conservation : 3 ans)
- Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) - Art. 13 et 14 (information), Art. 30 (registre), Art. 37 (DPO)
- Ministère de l'Économie - Le RGPD, mode d'emploi pour les entreprises
- Service Public Entreprendre - Obligations en matière de protection des données personnelles (RGPD) - critères d'obligation de désignation d'un DPO et définition de la notion de "grande échelle"