Fusion ou acquisition : votre processus de revue diligente tient-il compte adéquatement des aspects liés à la vie privée, la cybersécurité et les technologies?

Trop souvent, ces éléments sont abordés en surface ou trop tard, alors qu’ils comportent des risques réglementaires, juridiques et opérationnels majeurs susceptibles, notamment, d’engendrer des coûts importants après la transaction.

Dans le contexte actuel de transformation numérique et de renforcement des exigences réglementaires en matière de protection des renseignements personnels et de cybersécurité, il devient impératif de reconnaître que l’acquisition d’une entreprise aux pratiques déficientes en ces matières ne constitue pas qu’un simple risque juridique, financier et opérationnel significatif. On doit pouvoir, dès le départ, réaliser une évaluation du risque, comprendre comment la fusion va s’opérationnaliser et déterminer les ressources, les efforts et les délais nécessaires pour effectuer l’intégration en conservant la protection de la vie privée au centre des préoccupations. Tous ces facteurs auront un impact sur l’offre d’achat à formuler.

1. La revue diligente ne peut se limiter aux aspects juridiques et financiers traditionnels

Bien que les dimensions financières, contractuelles et fiscales demeurent essentielles, on doit également porter, au cours d’une vérification diligente, une attention rigoureuse à trois éléments fondamentaux :

• la conformité aux lois sur la protection des renseignements personnels;
• la posture et les pratiques de cybersécurité;
• la maturité technologique des systèmes, outils, fournisseurs et modèles d’affaires, y compris l’usage de l’intelligence artificielle.

2. Un défaut de conformité ou un retard technologique peut être très coûteux

Acquérir une entreprise :

• non conforme aux exigences légales en matière de vie privée et cybersécurité;
• qui applique des pratiques de cybersécurité incompatibles avec celles de l’acquéreur ou dont les pratiques de cybersécurité sont en retrait ou en posture de maturité minimale;
• où l’environnement technologique est en désuétude et où l’entreprise a sous-investi au fil des années;
• pour laquelle on n’a pas les ressources à l’intégration;

c’est s’exposer à une série de conséquences post-transaction, notamment :

• coûts imprévus de mise à niveau des systèmes et d’intégration technique;
• potentiel de ruptures opérationnelles dues à l’incompatibilité des outils, au manque de synergie ou à des failles de sécurité;
• exposition à un incident de confidentialité pendant l’intégration;
• expositions réglementaires en cas d’incidents de confidentialité antérieurs et mal gérés;
• limites de la couverture d’assurance cybersécurité, si l’assureur juge l’entreprise nouvellement intégrée trop risquée;
• amendes, enquêtes et litiges liés à la non-conformité.

Les acteurs malveillants surveillent de près ce type de transactions, souvent annoncées prématurément sur les réseaux sociaux. Ces moments critiques exposent les deux entités à des vulnérabilités importantes et les placent dans une posture précaire, surtout si des failles non détectées viennent compromettre l’intégration. Un incident en pleine phase d’intégration serait particulièrement dévastateur.

 3. Des vérifications critiques à intégrer à votre revue diligente

Voici quelques exemples de points de vigilance à intégrer à votre processus[1] :

Vie privée et cybersécurité

• L’entreprise visée par la transaction est-elle conforme aux obligations de la Loi sur la protection des renseignements personnels dans le secteur privé? Dispose-t-elle d’un programme de gouvernance des renseignements personnels à jour?
• A-t-elle connu des incidents de confidentialité? Quelles mesures de mitigation ont été mises en place? Le défaut de mettre en place ces contrôles n’est pas qu’une lacune : c’est une non-conformité transférable à l’acquéreur.
• A-t-elle procédé à des analyses de risques (ÉFVP) pour ses projets technologiques sensibles?

Technologies et intelligence artificielle 

• Les systèmes de l’entreprise sont-ils compatibles avec ceux de l’acquéreur? Un plan d’intégration technologique a-t-il été évalué de façon réaliste? Les bonnes ressources sont-elles en place pour exécuter ce plan?
• Des outils d’intelligence artificielle sont-ils utilisés? Sont-ils encadrés par des protocoles internes et des contrats conformes aux exigences de transparence et d’explicabilité, entre autres choses?(transparence, explicabilité, traitement automatisé de renseignements personnels)?
• Les systèmes sont-ils actuels, maintenus et sécurisés? Des investissements suffisants ont-ils été réalisés au fil des ans pour en assurer la robustesse? Des tests de pénétration ont-ils été effectués afin de détecter d’éventuelles failles de sécurité?

Contrats avec les fournisseurs TI 

• Les ententes incluent-elles des clauses robustes en matière de cybersécurité, de confidentialité et de gestion des incidents?
• Les contrats reflètent-ils les exigences en matière de cybersécurité et de traitement des renseignements personnels incluant les considérations des cas où les données sont hors Québec?
• Les assurances en matière de cybersécurité sont-elles suffisantes et adaptées à la réalité technologique de l’entreprise?

Assurance cybersécurité

Les assurances cybersécurité existantes de l’entreprise convoitée, ou même celles de l’acquéreur, couvrent-elles réellement les risques associés à celle-ci?

Si l’entreprise convoitée n’est pas en conformité ou présente une posture de cybersécurité affaiblie, l’assureur pourrait refuser l’indemnisation ou ajuster les conditions.

4. Une revue post-incident incomplète est un risque actif

Il n’est pas suffisant d’évaluer les risques causés par un incident survenu dans l’entreprise nouvellement jointe dans le passé. Il faut s’assurer notamment que celle-ci a :

• procédé à une évaluation complète des causes;
• effectué les notifications requises;
• mis en œuvre des mesures correctives et préventives pour éviter qu’un incident similaire ne se reproduise.

À défaut, l’acquéreur pourrait non seulement hériter du problème, mais se retrouver lui-même en situation de non-conformité dès la transaction finalisée. Par exemple, lors de l’acquisition de Yahoo par Verizon, Yahoo n’avait pas révélé avant la signature du contrat qu’elle avait fait l’objet de deux cyberattaques compromettant plus de 3 milliards de comptes. Une fois les incidents découverts, Verizon a négocié une baisse du prix d’achat de 350 millions de dollars ainsi qu’un partage de responsabilité face à ces deux incidents[2]. En outre, Verizon devait aussi collaborer lors des enquêtes et des poursuites liées aux deux incidents.

Une revue diligente, à la fois technologique et réglementaire, qui évolue au rythme des avancées en matière de protection des renseignements personnels, est désormais incontournable. Négliger ces aspects aujourd’hui, c’est s’exposer à des coûts d’intégration souvent supérieurs aux prévisions, ainsi qu’à des risques accrus de sanctions ou de litiges, notamment. Ces dimensions ne sont plus secondaires : elles représentent aujourd’hui des leviers stratégiques de la valeur réelle d’une entreprise. Il ne s’agit pas d’un simple poste de dépense, mais bien d’une assurance contre des responsabilités futures qui pourraient autrement être découvertes trop tard. L’objectif est clair : assurer la compétitivité et soutenir la croissance de la nouvelle entité.

Notre équipe peut vous accompagner

Dans le cadre d’une acquisition, d’un partenariat stratégique ou d’une transformation numérique, notre équipe spécialisée en technologies, cybersécurité et vie privée peut vous aider à :

• évaluer les pratiques de gestion des données et les risques liés à la cybersécurité;
• vérifier la conformité aux lois applicables, notamment la Loi sur la protection des renseignements personnels dans le secteur privé;
• analyser la posture contractuelle des fournisseurs technologiques, y compris les clauses de sécurité, de confidentialité et de gestion des incidents;
• mesurer la maturité technologique de l’organisation et la solidité de ses mécanismes de gouvernance.