Il faut deux armoires : transfert des données clients autorisé par la législation sur la protection des données lors de l'achat ou de la vente d'activités commerciales dans le cadre d'une cession d'actifs
On opte souvent pour une cession d'actifs plutôt que pour l'acquisition de parts sociales lorsqu'l'acheteur ne souhaite pas reprendre les dettes et les risques d'une entreprise, ou lorsque d'autres arguments (l'entreprise est un commerce de détail ou seule une partie de l'entreprise doit être acquise) plaident en faveur d'une telle cession d'actifs. L'accent est alors mis sur l'achat des actifs, des droits de propriété intellectuelle, la reprise du personnel et, en particulier, la reprise des relations avec la clientèle. Dans le secteur des services, les cabinets d'avocats et les cabinets médicaux notamment, les clients ou les patients représentent souvent la principale valeur de l'entreprise.
Dans la pratique des transactions, nous constatons que lors de l'achat ou de la vente de données clients et patients, on oublie souvent qu'il s'agit de données protégées par le Règlement général sur la protection des données (RGPD). C'est pourquoi, avant tout transfert de données à caractère personnel – c'est-à-dire toutes les données relatives à des personnes physiques figurant dans la base de données clients/patients –, il est nécessaire d'obtenir le consentement du client ou du patient pour la transmission de ses données.
Pourquoi les clients/patients doivent-ils donner leur consentement avant la transmission de leurs données à caractère personnel ?
Conformément à l'article 6, paragraphe 1, point a) du RGPD, le traitement des données à caractère personnel est licite s'il repose sur le consentement préalable de la personne concernée. À l'inverse, cela signifie que la transmission de données à caractère personnel à l'acheteur sans le consentement préalable des clients/patients est illicite.
En outre, conformément à l'article 9, paragraphe 2, point a) du RGPD, le patient doit donner expressément et préalablement son consentement au traitement de ses données pour une ou plusieurs finalités déterminées. Avant de transmettre ses données à l'acheteur, le vendeur doit donc écrire au patient en précisant la finalité – à savoir le transfert de ses données à l'acheteur – et le vendeur a besoin d'une réponse concrète du patient par laquelle celui-ci consent au transfert de ses données.
Pourquoi ne devrais-je pas passer outre l'interdiction du RGPD et transmettre les données des clients/patients de manière illicite ?
Une amende sévère est encourue en cas d'infraction.
Dès 2015, l'Office bavarois de contrôle de la protection des données a par exemple infligé une amende à six chiffres pour transfert illicite de données dans le cadre d'un « asset deal ». Cela s'est produit avant même l'entrée en vigueur du RGPD, qui établit des règles plus strictes que la loi fédérale sur la protection des données précédemment en vigueur et prévoit des amendes nettement plus élevées qu'en 2015.
Dois-je nécessairement conserver ces données si mes clients / patients ne réagissent pas à ma lettre d'information ?
Non, il existe pour cela la « solution des deux armoires ».
Les données des clients ou des patients sont classées en deux catégories : les données des personnes qui n'ont pas consenti au transfert et celles des personnes qui y ont consenti.
Dans l'armoire n° 1 sont conservées toutes les données des personnes qui n'ont pas expressément consenti au transfert vers l'acquéreur. Le classeur est « verrouillé » – ou, en cas de conservation numérique, protégé par un mot de passe – et l’acheteur ne peut « déverrouiller » le classeur et extraire les données d’une personne qu’après avoir obtenu le consentement de cette dernière.
Le casier n° 2 contient toutes les données des personnes qui ont déjà donné leur consentement au transfert de données. Les données des personnes issues du casier n° 1 sont transférées dans le casier n° 2 dès que le consentement de la personne concernée a été obtenu.
Cela fonctionne avec des fichiers papier dans un cabinet médical qui n’a pas encore été numérisé, mais aussi avec des bases de données numériques modernes sur des serveurs.
Mais j’ai lu sur Internet que je pouvais choisir la « solution du refus »…
C'est faux. Dans le cadre des cessions d'actifs, la solution dite « de l'opposition » ne peut plus être utilisée conformément à la décision de la Conférence des autorités de contrôle indépendantes de la protection des données de l'État fédéral et des Länder (DSK) du 11 septembre 2024 (des exceptions s’appliquent en cas de simple reprise de l’exécution des droits contractuels des clients au cas par cas – il convient ici de procéder à une mise en balance des intérêts, selon laquelle une solution d’opposition est possible au cas par cas), car la solution d’opposition n’est plus présentée dans la décision comme une voie possible et admissible dans le cadre d’un « asset deal » – contrairement aux années précédentes. La DSK rassemble toutes les autorités chargées de la protection des données de la République fédérale d'Allemagne, qui se concertent pour traiter de manière uniforme certaines questions juridiques. Il faut donc partir du principe que les autorités chargées de la protection des données ne reconnaîtront plus comme légitime la solution de l'opposition, considérée comme admissible jusqu'à la nouvelle décision.
En ce qui concerne les données des patients, la solution de l’opposition était déjà illicite avant la récente décision de la DSK de 2024, car la solution de l’opposition, jugée licite jusqu’alors par la DSK, s’appuyait sur l’art. 6, al. 1, let. f) du RGPD, qui ne peut être invoqué pour justifier le traitement des données des patients ni d'autres données de santé.
En ce qui concerne les autres données à caractère personnel des clients, il était possible, avant le 11 septembre 2024, d’informer les clients actifs du transfert de données à l’acheteur et de leur donner la possibilité de s’y opposer dans un délai raisonnable. En l’absence d’opposition dans les délais, les données des clients pouvaient être transférées. Depuis le 11 septembre 2024, cette solution pour le transfert de données à caractère personnel des clients n'est toutefois plus autorisée, conformément à la recommandation claire de la DSK.
Nous constatons néanmoins qu'à l'heure actuelle, de nombreux contrats d'asset deal continuent d'appliquer cette solution d'opposition. Quiconque continue d'appliquer une telle solution d'opposition s'expose à un risque considérable de se voir infliger une amende non négligeable par les autorités en cas de réclamation de la part des clients, et ce tant en tant que vendeur qu'en tant qu'acheteur. Il convient donc d'éviter de toute urgence ce type de montages contractuels.
Nous nous ferons un plaisir de vous conseiller sur la manière de mettre en œuvre la solution des « deux armoires » dans le cadre d'un Asset Deal, en conformité avec la législation.