Data Room & RGPD : 8 points à vérifier

Où en sommes-nous sur le sujet RGPD ?

Le 25 mai 2018, prenait effet le Règlement Général sur la Protection des Données. En France et au sein de l’Union Européenne, tous les secteurs d’activités sont concernés par cette nouvelle réglementation. En ce qui concerne les deals M&A, une attention particulière est à porter au choix du fournisseur du service de data room.

Aussi, pour vous aider à avancer dans votre mise en conformité, DiliTrust Data Room vient à votre rescousse ! Les contrats et CGV de vos fournisseurs de data room sont-ils bien clairs pour vous ? A travers cette infographie ci-dessous, retrouvez les 8 vérifications à effectuer.

Ouvrir l’infographie entièrement

La nouvelle réglementation RGPD impose aux sous-traitants de nouvelles obligations. La conformité RGPD n’est pas un sujet à prendre à la légère puisque l’entreprise risque 4% de son chiffre d’affaires sur ce sujet !

Avant de faire le point, commençons par récupérer les données utiles aux opérations de M&A. Tout d’abord, intéressons-nous à celles contenues dans le fond documentaire mis à disposition des utilisateurs. On les retrouve dans les contrats de travail, le registre du personnel, les documents sur les actionnaires et dans bien d’autres fichiers à disposition de l’entreprise. Ensuite, on s’intéresse alors aux données utilisées pour créer les comptes des utilisateurs : nom, prénom, fonction, société, numéro de téléphone, mot de passe, etc. On a tout ce qu’il nous faut ? Bien, vérifions maintenant quelles sont les obligations imposées aux sous-traitants par le RGPD :

Les 8 points à vérifier

•  L’hébergement garanti en France ou en Europe inclut-il les backups ? Le sous-traitant a l’obligation de protéger les données, les localiser en Europe et ne pas les exporter en dehors de l’Union Européenne.
• Peut-on héberger ses données par une société non filiale d’un groupe américain ? Le Patriot Act américain constitue une faille de compatibilité RGPD pour les prestataires de data room ayant leur holding aux Etats-Unis.
• L’éditeur s’engage-t-il à vous informer des violations ? Il a pour obligation d’alerter son client pour toute fuite de donnée suspectée. Un engagement de transparence doit par ailleurs être mentionné dans les clauses du contrat au préalable.
• La Hot-line est-elle en Europe ? Toute hotline située hors Union Européenne est une source de non compatibilité. En effet, les services des prestataires de data room ont le plus souvent accès aux données personnelles utilisées dans les procédures de due diligence.
• La sous-traitance est-elle soumise à autorisation ? Il est absolument interdit de sous-traiter sans accord préalable du client.
• Les données personnelles sont-elles nécessaires pour l’opération de M&A ?  Un tri doit être fait concernant les documents partagés, notamment sur ceux contenant des données personnelles.
• Sont-elles pseudonymisées ?  Si les documents contenant des données personnelles doivent tout de même être partagés dans la data room, il est alors fortement recommandé par la CNIL (Commission Nationale de l’Informatique et des Libertés) de les pseudonymiser.
• Enfin, est-il prévu de mentionner à l’utilisateur son droit d’information ?  Bien évidemment ! Tout utilisateur DOIT être informé qu’il possède un droit d’information sur l’utilisation de ses données personnelles.

Faites confiance à DiliTrust

DiliTrust Data Room est un acteur français 100% RGPD compatible. En effet, toutes les données sont hébergées en France et l’application jouit d’une certification ISO 27001. Nous sommes ainsi à l’abri du Patriot Act américain. De plus, le service support de DiliTrust est basé à Paris et disponible 24/7 pour répondre aux besoins de ses clients. D’ailleurs, les membres de l’équipe sont soumis à une clause de confidentialité. La protection des données a été ainsi prise en compte dès la conception de la solution « en privacy by design ».

 

DiliTrust est un prestataire reconnu de la protection des données puisqu’il équipe aujourd’hui 75% du CAC40 et un certain nombre d’Opérateurs d’Importance Vitale (OIV). Le groupe reprend par ailleurs toutes les nouvelles clauses RGPD recommandées par la CNIL dans ses conditions générales de ventes.