RGPD et rachat de sociétés

L’intégration d’une société A dans une société B peut avoir des impacts sur la conformité des traitements avec le RGPD. En effet, si les traitements de la société A sont gérés par la société B en tant que responsable de traitement, alors la société B a l’obligation d’informer les clients de la société A de ces changements dès son utilisation de leurs données ou dans un délai maximum d’un mois à compter de la transmission de la base de données à la société B.

La société B pourra alors en toute légalité envoyer un message aux clients de la société A, à condition de leur transmettre les informations figurant à l’article 14 du RGPD et notamment :

  • le fait que la base de données de la société A a été transmise à la société B du fait du rachat ;
  • les noms et coordonnées complètes de la société B, responsable de traitement ;
  • les catégories de données traitées (nom, prénom, email, numéro de téléphone etc.) ;
  • les finalités pour lesquelles les données sont traitées (gestion de la relation client, inscription au programme de fidélité etc.) et la base juridique du traitement (adhésion aux CGV, consentement, obligation légale…) …

Ces différentes informations peuvent par exemple figurer dans la Charte de protection des données ou Privacy Policy de la société B, jointe à l’email d’information.

Pour l’envoi de newsletters : cette finalité repose sur le consentement du client et un nouveau consentement doit donc impérativement être recueilli avant de pouvoir lui envoyer les newsletters de la société B, par exemple en intégrant une case à cocher à l’email d’information. A défaut, aucun message de prospection commerciale ne peut lui être envoyé.

POGGI Avocats IT – Intervention au dîner-débat de l’Agora des DSI et CIO du 9 septembre 2020

Anne-Sophie POGGI interviendra aux côtés du professeur Jean-Yves LEGER au prochain Dîner-débat de l’Agora des DSI et des CIO le 9 septembre 2020 sur le thème :

Le DSI, au cœur de la valorisation immatérielle de l’entreprise !

Pour vous inscrire, c’est ici !

Le Privacy Shield invalidé

L’été a été propice à une actualité judiciaire sur le RGPD ayant un très fort impact sur tous les contrats en cours avec les sociétés américaines créant pour les entreprises une insécurité juridique.

La Cour de justice de l’Union européenne vient en effet d’invalider l’accord dit « Privacy Shield » passé entre la Commission européenne et la Chambre du commerce américaine pour légaliser les transferts de données personnelles vers les Etats-Unis (arrêt du 16 juillet 2020, C-311/18).

Les sociétés américaines ayant adhéré au Privacy Shield étaient, jusqu’à présent, considéré comme des destinataires ayant un niveau de protection équivalent au RGPD. Suite à la remise en cause de cet accord, les responsables de traitement vont devoir signer avec leurs prestataires américains des contrats de transferts de données, étant précisé que la simple signature des clauses contractuelles types de la Commission Européenne ne suffit plus.

En effet, la Cour de justice ajoute une nouvelle obligation à la signature de ces clauses : les responsables de traitement doivent à présent procéder à une évaluation au cas par cas de chaque transfert en fonction de deux critères cumulatifs:

  • le contenu des clauses contractuelles encadrant le transfert qui doivent prévoir :
    • des mécanismes effectifs permettant  d’assurer que le niveau de protection requis par le droit de l’UE est respecté ;
    • à défaut, des mécanismes permettant de suspendre lesdits transferts ;
  • la loi applicable du pays destinataire.

En parallèle, l’entreprise destinataire dudit transfert doit informer le responsable de traitement européen de son éventuelle incapacité de se conformer auxdites clauses.

Conséquences :

Vous êtes tenus de mettre en conformité vos transferts de données personnelles vers les Etats-Unis avec cette décision, que ces transferts soient à destination d’une filiale, de leur maison-mère ou d’un prestataire.

Ainsi, dans un premier temps, nous vous recommandons de :

  • supprimer toute référence au Privacy Shield de la Privacy policy et de toute autre mention d’information ;
  • recenser les transferts opérés vers les Etats-Unis ;
  • signer avec ses fournisseurs des contrats de transfert conformes ;
  • créer un process pour procéder à une évaluation au cas par cas de chaque transfert tenant compte des circonstances qui lui sont propres et des mesures mises en place entre les parties pour s’assurer de sa validité;
  • si l’analyse est négative, suspendre le transfert concerné voire même résilier le contrat passé avec le prestataire américain.

L’arrêt de la Cour de justice ayant une portée générale, il sera nécessaire, dans un second temps, de recenser l’ensemble des transferts de données vers un destinataire situé en dehors de l’UE et vérifier la validité de chacun d’entre eux dans les mêmes conditions.