T2 | Revue Trimestrielle de TorysPrintemps 2022

Protection des renseignements personnels et F&A : guide à l’intention des négociateurs

Auteurs

Les risques et possibilités liés à la protection des renseignements personnels et à la cybersécurité (collectivement désignés dans cet article comme la « cybersécurité ») dans le cadre d’opérations de fusions et d’acquisitions (F&A) continuent à susciter une attention croissante à mesure que divers pays, dont le Canada et les É.-U., introduisent des exigences de plus en plus strictes dans ce domaine. Entre autres, les organismes de réglementation disposent de pouvoirs accrus pour imposer des amendes substantielles ou d’autres sanctions en cas d’infraction1.

Pendant ce temps, les risques de cybersécurité n’ont fait qu’augmenter durant la pandémie de COVID-19 avec l’essor du télétravail, qui a fourni aux pirates informatiques de nouvelles voies d’accès aux données et engendré une transition numérique et une mise en données de plusieurs aspects de notre vie courante.

 
On ne peut que constater que toutes les sociétés sont maintenant axées sur les données. Il n’est donc pas surprenant que les risques et possibilités liés aux données dans le cadre de transactions de F&A soient devenus des enjeux plus importants directement liés à la gouvernance d’entreprise durant le processus de négociation. Toutes les parties à une transaction doivent avoir un plan détaillé et s’assurer de prendre des mesures dès le départ, durant la négociation et la réalisation de la transaction et après la clôture pour protéger l’intégrité du processus et obtenir ce qu’elles ont négocié.

Avant la transaction

  1. Le processus de négociation et de préparation de documents dans le cadre d’une transaction peut présenter des risques de cybersécurité importants. Par exemple, les systèmes utilisés pour transmettre des documents et des renseignements confidentiels concernant la transaction peuvent être piratés ou compromis, les communications liées à la transaction peuvent être interceptées et les participants peuvent être la cible d’attaques d’hameçonnage ou de messages frauduleux tentant de leur faire divulguer des renseignements liés à la transaction. Pour parer à ces risques, les participants doivent planifier des mesures de sécurité appropriées et appliquer les contrôles requis (p. ex. avoir des salles de données sécurisées).
  2. À ce stade, les acheteurs doivent tenir compte du fait qu’une cible pourrait se rendre compte de leur intérêt plus tôt que prévu, comme par l’analyse de la fréquentation du site Web révélant des visites accrues de l’acheteur.
  3. Les vendeurs, quant à eux, devraient se préparer en révisant l’état de leurs systèmes informatiques, leur position en matière de cybersécurité et leurs bases de données. Même si la possibilité de corriger des lacunes pourrait être limitée, en ayant une bonne compréhension des ressources liées aux données, de l’infrastructure de cybersécurité et des points de risque connus2, le vendeur sera en mesure de mieux évaluer la valeur de la société et de réduire la tension durant la vérification diligente et les négociations.

Transaction : négociation et vérification diligence

  1. Il est essentiel de comprendre les activités de la cible et ses pratiques à l’égard des données, car cela déterminera en grande partie les types de risques de cybersécurité auxquels la société pourrait être exposée. Puisque toutes les sociétés traitent un certain volume de données, il faut toujours déterminer les types de données recueillies, leurs sources et la façon dont elles sont utilisées. On ne peut pas présumer qu’une société dont les activités ne sont pas axées sur les données (p. ex. une société manufacturière ou exploitante de ressources) ne recueille pas et ne traite pas des quantités importantes de données.
  2. Il faut également tenir compte du fondement sur lequel la société s’appuie pour traiter les données (p. ex. le consentement ou un autre fondement légitime en vertu des lois applicables), les tiers auxquels elle communique les données et ses pratiques en matière de conservation de données. L’organisation même de la société, y compris la nature de ses effectifs (employés permanents ou contractuels, sur place ou à distance, etc.), ses systèmes informatiques existants et la distribution de ses actifs technologiques, peut représenter des risques.
  3. Afin d’évaluer les risques inhérents à la cible et à ses données, il faut déterminer les lois applicables en matière de protection des renseignements personnels. Les risques sont plus élevés dans certains pays. Dans l’Union européenne (UE), des amendes considérables peuvent être imposées en cas de violation de la réglementation applicable; au Canada, des pratiques de marketing électronique inappropriées peuvent donner lieu à des sanctions importantes. L’évaluation du risque inhérent peut être difficile et il faut souvent se contenter d’une estimation plutôt que d’un calcul précis si la cible ne fournit pas un portrait suffisamment détaillé de ses pratiques commerciales et en matière de données.
Outre les données liées à la transaction qui doivent être protégées tout au long du processus, les sociétés, leurs avocats et leurs banquiers doivent tenir compte des risques répandus de cyberfraudes ciblant les transactions importantes.
  1. Il faut poser des questions sur les mesures techniques et organisationnelles prises par la société pour protéger ses données et assurer la conformité avec les lois applicables. Il faut évaluer la position générale de la société en matière de cybersécurité pour déterminer si elle convient au volume et à la sensibilité des données traitées. Idéalement, la cible devrait fournir de l’information sur son infrastructure technique, y compris ses systèmes de sécurité et de détection des menaces et ses plans de sauvegarde des données et de continuité des activités. Pour évaluer l’efficacité de ces systèmes, il faut demander à la cible de fournir un historique des incidents et également des mises à l’essai de ces systèmes (mise à l’essai de la pénétration, de la vulnérabilité et des plans de sauvegarde, audits interne ou externe des programmes et de l’infrastructure liés à la protection des renseignements personnels, etc.). Il peut être utile d’examiner les rapports de mise à l’essai et d’autres rapports semblables, s’ils sont disponibles.

    Les pratiques de gouvernance de la société en matière de protection des renseignements personnels devraient également être étudiées. Bien qu’il soit préférable d’avoir un responsable de la protection de la vie privée attitré, les petites entreprises ou les entreprises en démarrage répartissent souvent la responsabilité pour cette fonction parmi divers groupes, notamment les équipes des TI et des RH. Même s’il ne s’agit pas nécessairement d’un problème important, cela pourrait indiquer une absence de contrôles organisationnels suffisants, particulièrement si une société a connu une croissance rapide et surtout si elle a étendu ses activités dans des territoires où les exigences en matière de protection des renseignements personnels sont plus strictes, comme l’UE. Une enquête plus approfondie s’impose alors. D’autres facteurs à prendre en compte lors de l’évaluation de la posture de la cible en matière de gouvernance des données sont la formation de ses employés, ses politiques et procédures internes et sa fonction d’audit.
  2. Une fois que les risques de cybersécurité ont été analysés, la convention d’achat doit être rédigée de manière à refléter ces risques. Les acheteurs doivent résister à la tentation de se fonder sur une conformité générale avec les lois et inclure plutôt dans la convention des déclarations précises concernant la protection des renseignements personnels qui traitent des circonstances particulières de la transaction. Ainsi, ils pourraient forcer la cible à divulguer les renseignements requis pour comprendre les risques de cybersécurité et l’inciter à révéler des détails additionnels sur ses pratiques.
  3. Toutefois, les déclarations peuvent être affaiblies par la présentation d’informations à leur égard. Dans ce cas, il pourrait être nécessaire d’ajouter des engagements obligeant la cible à corriger les problèmes connus. La cible pourrait cependant s’y opposer, particulièrement si ces engagements peuvent mener à de l’incertitude concernant la clôture. Un compromis consisterait à imposer la mise en place de mesures correctives avant la clôture dans la mesure du possible. Une indemnisation ou une assurance déclarations et garanties peuvent également aider à régler les points de dissension entre l’acheteur et le vendeur.

Après la clôture

Une fois la transaction conclue, il faut porter une attention particulière à certains problèmes qui pourraient découler de l’intégration de la cible et de son infrastructure des données et des TI. Deux de ces problèmes concernent un décalage entre les activités et les pratiques de cybersécurité de l’acheteur et ceux de la cible. Le troisième se rapporte à des risques de cybersécurité accrus.

  1. Le premier problème concerne l’utilisation des données de la cible par l’acheteur. Plusieurs cadres réglementaires limitent l’utilisation des données soit aux fins initialement consenties lors de la collecte des données, soit à un ensemble défini d’utilisations légitimes, soit à une combinaison des deux. Si de telles restrictions s’appliquent, l’acheteur pourrait devoir prendre des mesures supplémentaires pour pouvoir utiliser les données comme prévu. L’une de ces mesures consiste à obtenir de nouveaux consentements pour permettre l’utilisation des données à d’autres fins.
  2. Le second problème pouvant se produire est que les pratiques de gouvernance en matière de protection des renseignements personnels ou de sécurité de l’acheteur ne cadrent pas avec les obligations assumées dans le cadre de l’acquisition. Par exemple, une société canadienne qui acquiert un ensemble de données internationales pourrait hériter de nouvelles obligations prévues par des lois étrangères en matière de protection de la vie privée et de nouvelles exigences réglementaires visant le secteur. Une approche pragmatique serait d’évaluer les données de la cible pour déterminer s’il serait possible de régler le problème en supprimant ou anonymisant une partie des données, même si de telles mesures doivent être prises en conformité avec les lois sur la protection de la vie privée et d’autres lois applicables, y compris les exigences en matière de tenue de dossiers et de conservation de données. L’acheteur pourrait également mettre à jour ses systèmes et ses pratiques de gouvernance pour fournir le même niveau de protection que celui auquel la cible s’était engagée. Cette approche est acceptable si la valeur que l’acheteur accorde aux données est suffisante pour justifier les dépenses.

    L’acheteur pourrait également tenter de régler ces questions au moyen de la convention d’achat en y précisant les données qu’il ne souhaite pas recevoir ou en obligeant la cible à détruire certaines données avant la clôture.
  3. L’étape de post-clôture pose également des risques liés à la cybersécurité. L’intégration des opérations et des systèmes de deux sociétés ou plus peut créer de nouvelles vulnérabilités, par exemple à cause d’incompatibilités entre les systèmes ou d’erreurs humaines. Le transfert de données entre les parties représente également une vulnérabilité potentielle, tout comme le risque de conduite fautive de la part des employés de l’acheteur ou du vendeur, particulièrement si la transaction a été litigieuse. Il est probable qu’une vérification diligente approfondie relève au moins certains de ces types de problèmes, mais d’autres pourraient ne devenir apparents qu’au fil du temps.

Conclusion

Outre les données liées à la transaction qui doivent être protégées tout au long du processus, les sociétés, leurs avocats et leurs banquiers doivent tenir compte des risques répandus de cyberfraudes ciblant les transactions importantes. Un stratagème particulièrement répandu consiste à infiltrer les systèmes de virement des sociétés ou de leurs conseillers et de fournir de fausses instructions bancaires pour recevoir le prix d’achat. Dans la précipitation de la clôture, les personnes chargées du transfert des fonds ne devraient pas se fier à des instructions reçues par courriel, mais plutôt confirmer les renseignements bancaires de vive voix, préférablement par appel vidéo. En effet, les fraudeurs n’hésitent pas à modifier leur voix au téléphone.

  1. Dans le présent article, nous ne distinguons pas entre les risques posés par les divers types de renseignements. Toutefois, en règle générale, les risques liés à la protection des renseignements personnels concernent les renseignements personnels d’une personne identifiable.
  2. Par exemple, en examinant l’historique des cyberincidents ou en menant de nouvelles vérifications de la sécurité des données personnelles ou des mises à l’essai.

Si vous souhaitez discuter ces enjeux et ces questions, veuillez contacter les auteurs.

Cette publication se veut une discussion générale concernant certains développements juridiques ou de nature connexe et ne doit pas être interprétée comme étant un conseil juridique. Si vous avez besoin de conseils juridiques, c'est avec plaisir que nous discuterons les questions soulevées dans cette communication avec vous, dans le cadre de votre situation particulière.

Pour obtenir la permission de reproduire l’une de nos publications, veuillez communiquer avec Janelle Weed.

© Torys, 2024.

Tous droits réservés.
 

Catégories

TwitterLinkedInPDFEmail
Copy URLOuvre un nouvel onglet

Inscrivez-vous pour recevoir les dernières nouvelles

Restez à l’affût des nouvelles d’intérêt, des commentaires, des mises à jour et des publications de Torys.

Inscrivez-vous maintenant
LinkedIn