Considérations clés du processus d’acquisition d’une entreprise en faillite

Le 23 mars 2025, 23AndMe Holding Co. (« 23AndMe »), une compagnie américaine proposant des tests d’analyse génétique, a annoncé qu’elle se plaçait sous la protection du United States Bankruptcy Code (la loi américaine sur la faillite) afin de faciliter la vente de son entreprise tout en continuant d’opérer. Cette annonce a suscité des réactions de nombreuses autorités en protection des renseignements personnels en raison du caractère sensible des renseignements personnels que détient cette entreprise (ADN, problèmes de santé et risques de problème de santé, etc.).

La faillite de 23AndMe illustre bien certaines obligations vis-à-vis des lois en matière de protection des renseignements personnels.

Application des lois sur les renseignements personnels

Le Commissariat à la protection de la vie privée du Canada (« CPVPC ») a rédigé une lettre, conjointement avec son homologue britannique, rappelant à la compagnie 23AndMe ses obligations relativement aux lois en matière de protection des renseignements personnels des deux juridictions respectives dans le processus de sa vente d’entreprise même si elle est une entreprise américaine, et même si elle est en faillite[1].

En effet, la lettre du CPVPC confirme l’application de la Loi sur la protection des renseignements personnels et des documents électroniques (« LPRPDE ») aux entreprises en processus de faillite.

Impact d’une transaction commerciale

La LPRPDE permet l’utilisation et la communication de renseignements personnels entre les entreprises qui sont parties à une éventuelle transaction commerciale, sans le consentement des personnes concernées, sous deux conditions :

1. La conclusion d’un accord entre les deux parties relativement à la protection des renseignements personnels, dont les mesures de sécurité en place et leur destruction; et
2. Les renseignements sont nécessaires pour décider si la transaction aura lieu[2].

Au surplus, si les deux parties décident de conclure une transaction, l’acquéreur peut recevoir les renseignements personnels sans le consentement des personnes concernées, sous certaines conditions :

1. Un accord est conclu entre les parties relativement aux renseignements personnels;
2. Les renseignements sont nécessaires à la poursuite de l’entreprise ou de ses activités; et
3. Un avis est communiqué aux personnes concernées leur informant de la transaction et de la communication de leurs renseignements personnels à l’acquéreur[3].

Exercice des droits des personnes concernées

À la suite de l’annonce de 23AndMe, plusieurs autorités en vie privée, dont le CPVPC, ont fortement suggéré aux utilisateurs de 23AndMe d’exercer leurs droits concernant leurs renseignements personnels ainsi que d’utiliser la fonction de suppression des données et du compte utilisateur dans la plateforme de l’entreprise.

La LPRPDE ainsi que d’autres lois sur la protection des renseignements personnels reconnaissent des droits aux personnes concernées. Il est donc important pour toute entreprise d’avoir en place une procédure pour répondre à ces demandes qui pourraient représenter des efforts significatifs selon les demandes. Certaines lois prévoient même un délai de réponse à des droits, comme un délai de 30 jours dans le cadre d’une demande d’accès[4].

Vous envisagez une transaction commerciale?

Notre équipe en Protection de la vie privée et cybersécurité peut vous accompagner dans :

• La compréhension des lois sur la protection des renseignements personnels applicables à votre entreprise.
• Une vérification diligente d’une entreprise en matière de protection des renseignements personnels.
• La rédaction d’une entente de confidentialité lors de négociations de transaction.
• La rédaction d’une procédure pour répondre aux demandes d’exercice de droit des personnes concernées.