La conformité au Règlement Général sur la Protection des Données (RGPD) applicable maintenant depuis 5 ans, est bien sûr reconnue comme une obligation légale susceptible de sanction, mais 90 % des PME demeurent convaincues que pour elles la non-conformité n’est pas un véritable risque !
De même, la mise en place d’une vraie conformité au RGPD n’est pas forcément perçue comme un avantage.
Pourtant lorsqu’il s’agit de lever des fonds, la conformité RGPD est un atout essentiel.
En effet, La conformité RGPD est l’un des piliers de la confiance des investisseurs quel que soit le type de levées de fonds.
Dans cet article, vous verrez que non seulement la conformité RGPD est incontournable dans toute levée de fonds, mais qu’en plus elle est un préalable à une levée de fonds réussie.
Pour quelles levées de fonds ?
Il y a différents types de levées de fonds selon la phase de développement de l’entreprise:
- Le capital risque (Venture capital) intervient au démarrage d’activité et même à la création (pre- seed et seed) pour faire face aux premiers besoins de financement.
- Le capital développement (Growth capital) est une levée de fonds et il s’agit là de financer la croissance d’entreprises déjà matures et en général déjà rentables.
- Le capital transmission (Buy out) vise à financer le rachat ou la reprise d’entreprises quelle qu’en soit la forme: cession pure et simple, changement de majorité etc.
- Le capital retournement (Turnaround capital) concerne l’investissement dans les entreprises en difficulté en vue de leur restructuration..
Pour toutes ces phases, l’audit juridique et spécialement l’audit de la conformité RGPD interviendra dans l’appréciation du risque de l’investisseur et la valorisation de l’entreprise.
Les exigences de conformité RGPD diffèrent-elles selon le type de levées de fonds ?
En fait, non.
Sauf peut-être en phase de seed ou de pré seed, où les exigences peuvent être moindres puisque la protection des données personnelles va être créée en même temps que l’entreprise.
Mais passée cette phase un peu spécifique, les exigences des investisseurs dans tous les types de levées de fonds seront les mêmes: conformité juridique dans tous les domaines et spécialement le RGPD.
Les sanctions : jusqu’à 4% du CA mondial sont évidemment bien connues des investisseurs et prises en compte dans l’appréciation du risque.
Lors de la phase de due diligence, l’audit financier et juridique permettra à l’investisseur de sécuriser l’investissement en évaluant la rentabilité du projet et les risques associés.
L’audit de la conformité RGPD est donc l’un des éléments incontournables qui déterminent la valorisation de la société et pour l’investisseur le risque financier et la perspective de rentabilité.
Quels documents et quelles déclarations vont être demandés ?
En général et sans que la liste soit exhaustive devront être produits des documents et des déclarations sincères et transparentes qui permettront d’établir la conformité de l’entreprise en recherche de levée de fonds.
Les documents à produire :
- Le registre des traitements de données à jour
- Les documents d’information concernant les personnes( politique de confidentialité, mentions légales)
- La conformité du site internet
- La politique de cookies
- Les contrats de sous-traitance
- Mise en place de mesures de sécurité suffisantes
- La gestion des demandes d’exercice de droits
- Les procédures de gestion des violations de données,
- Les procédures de sensibilisation des équipes
Les déclarations à effectuer :
- Les demandes d’exercice de droits et les réponses apportées
- Les violations de données subies et les mesures pour y remédier
- L’existence d’un contrôle de la CNIL
Il est clair que l’entreprise qui est d’emblée en mesure de fournir aux investisseurs potentiels l’ensemble de ces documents et déclarations sera attractive et de nature à rassurer ses interlocuteurs sur le niveau du risque juridique. N’oublions pas en effet que les investisseurs seront vos nouveaux associés et que la confiance est donc fondamentale.
Que se passe-t-il en cas de non-conformité ou de conformité partielle ?
Lorsqu’au moment de la phase préparatoire, où il faut recueillir les intentions des investisseurs et “ leur donner envie” d’investir, si l’entreprise n’est pas du tout conforme au RGPD ou partiellement conforme ou tout simplement pas à jour, un certain nombre de difficultés vont surgir qui vont impacter la levée de fonds.
Voici les principales conséquences:
- La valorisation de l’entreprise peut être diminuée
- La garantie de passif (GAP) sera plus élevée avec le risque de diminution en numéraire ou d’attributions d’actions supplémentaires
- Le risque de dévalorisation réputationnel: e- réputation et marque de l’entreprise
- L’obligation de mise en conformité dans un délai imposé ( en général 6 mois) qui peut se révéler difficile à tenir
- Le retard du calendrier de la levée de fonds
Tout ceci sans compter la possibilité de plaintes avant ou pendant la mise en conformité entraînant un contrôle de la CNIL, dévastateur en phase de due diligence et de négociations.
Et sans compter le risque qu’une non-conformité ne puisse être corrigée. Ce sera notamment le cas des fichiers clients informatisés, des bases de données BtoC qui ne peuvent être utilisées, louées, vendues que sur la base du consentement préalable.
Si ce consentement n’a pas été obtenu, il est quasiment impossible de revenir en arrière et l’actif incorporel de la clientèle n’a plus aucune valeur.
C’est ce qu’a retenu un arrêt de la Cour de Cassation le 25 juin 2013 N°12-17-037 considérant qu’un fichier non conforme ne pouvait être vendu et a donc purement et simplement annulé la vente.
Plus récemment, le groupe Camaïeu a été privé au moment de la cession de l’entreprise après liquidation, de la vente d’un fichier client estimé à 500 000€ car celui-ci ne respectait pas les principes prévus par le RGPD.
La solution: anticiper sa conformité RGPD avant la levée de fonds
La notion-clef pour éviter tous les risques et inconvénients que nous venons de voir, c’est l’anticipation. Anticiper réduit les risques juridiques et renforce la crédibilité et donc la confiance des investisseurs. Anticiper permet aussi de justifier la valorisation et d’avoir une meilleure position de négociation
Dans la mesure où la conformité au RGPD constituera inévitablement un sujet important pour les investisseurs, il est de l’intérêt de l’entreprise de se mettre en conformité avant même d’entamer les premières étapes de la levée de fonds.
Il est donc indispensable si votre entreprise est totalement étrangère à la conformité RGPD, ou si elle est incomplètement conforme, ou si elle n’est pas à jour de sa conformité, d’y remédier au plus vite si une levée de fonds est envisagée.
FAQ
Qu’est-ce que le RGPD ?
Le RGPD est un règlement de l’Union européenne qui régit la protection des données personnelles. Il donne aux individus un contrôle sur leurs données.
Pourquoi la conformité au RGPD est-elle importante pour la levée de fonds ?
La conformité au RGPD est essentielle pour la levée de fonds car elle rassure les investisseurs sur la gestion légale et sécurisée des données, réduisant les risques juridiques et augmentant la valorisation de l’entreprise.
Pourquoi est-il préférable de mettre l’entreprise en conformité au RGPD avant la levée de fonds ?
Mettre l’entreprise en conformité avec le RGPD avant une levée de fonds réduit les risques juridiques, améliore la crédibilité et la position de négociation de l’entreprise, facilitant ainsi le processus d’investissement.
Combien de temps faut-il pour devenir conforme au RGPD ?
Le temps nécessaire pour devenir conforme au RGPD dépend de la taille de votre entreprise et du degré de conformité actuel. Cela peut prendre de quelques mois à un an.
Les entreprises en dehors de l’UE doivent-elles se conformer au RGPD ?
Oui, si vous traitez des données de citoyens de l’UE, vous devez respecter le RGPD, peu importe où vous êtes situé.
Les petites entreprises peuvent-elles assumer le coût de la mise en conformité au RGPD ?
Oui, il existe des ressources et des services abordables pour accompagner les petites entreprises à devenir conformes au RGPD, telles que nos offres de conformité pour TPE et PME
Comment puis-je vérifier si mon entreprise est conforme au RGPD ?
Il est recommandé de faire appel à un expert en protection des données qui pourra rapidement auditer les différents postes de conformité. Ou utiliser notre chatbot d’audit gratuit.