par KELLERHALS CARRARD

Dans le domaine bancaire, chacun se souvient du séisme lorsque les banques et gérants de fortune se sont vu imposer l’obligation de restituer à leurs clients les rétrocessions qu’ils avaient jusqu’alors paisiblement conservées. Le Tribunal fédéral a tout simplement appliqué le principe séculaire de l’article 400 alinéa 1 CO, jusqu’alors guère pris en compte dans ce contexte. Cet arrêt (ATF 132 III 460) et sa nombreuse descendance, exigeant des intermédiaires financiers un haut degré de transparence pour pouvoir prétendre à conserver les rétrocessions perçues, ont provoqué une modification profonde de la pratique du monde financier suisse.

Quels sont aujourd’hui les nouveaux écueils à prendre en compte ? En voici une sélection qui, à défaut d’être exhaustive, me paraît intéressante.

1. Protection des données

Les nouveautés législatives et jurisprudentielles apportent leur lot de contraintes pour les entreprises, qu’un acquéreur bien conseillé doit rendre en compte lorsqu’il procède à la due diligence d’une société cible.

En juillet 2019, Marriott International annonçait publiquement une amende d’environ GBP 100 millions, en raison d’une faille de sécurité : des hackers avaient pu mettre la main, dès 2014, sur 339 millions de données personnelles de clients du groupe hôtelier Starwood, racheté par Marriott en 2016. Quand bien même Marriott n’était pas propriétaire de Starwood au moment de l’intrusion dans le système, l’Information Commissioner’s Office, autorité de protection des données britannique, a considéré que Marriott devait être condamnée pour n’avoir pas procédé à une due diligence suffisante au moment de l’acquisition de Starwood et avoir omis de mettre en place des mesures de sécurité suffisantes : « The GDPR makes it clear that organisations must be accountable for the personal data they hold. This can include carrying out proper due diligence when making a corporate acquisition, and putting in place proper accountability measures to assess not only what personal data has been acquired, but also how it is protected ».

Le but de cette contribution est de souligner la nécessité de prêter une attention suffisante à la protection des données dans un processus M&A. Ainsi, en particulier :

Dans le processus de due diligence lui-même, l’entreprise cible doit protéger les données sensibles dans toute la mesure du possible. Outre la signature d’un accord de confidentialité solide avec tous les acquéreurs potentiels participant à la due diligence, étape préalable à toute discussion, l’anonymisation des employés, des clients et des fournisseurs est une bonne pratique, à tout le moins dans les premiers tours d’un processus d’enchères. De même, la sécurité des données placées dans une data room virtuelle doit être garantie : la simple mise à disposition des documents sur Dropbox ou d’autres plateformes de partage de données gratuites est risquée. Il est aussi prudent d’activer les dispositifs techniques empêchant le téléchargement ou
l’impression des documents, disponibles sur la plupart des systèmes de data room professionnels. Dans les transactions internationales, une attention particulière sera portée à la question du transfert de données à l’étranger.

La structure de la transaction (vente d’actions ou vente d’actifs) n’est pas sans importance : la reprise de contrats dans une vente d’actifs implique le transfert de nombreuses données, qui nécessite une analyse du point de vue de la protection des données, tandis qu’un rachat de la société elle-même permet de conserver les données dans la même entité juridique, dont seul l’actionnaire change. Là encore, la question du transfert international de données mérite une
attention particulière.

Sur l’objet de la vérification, il n’est pas lieu ici d’exposer les règles complexes en matière de protection des données. Rappelons seulement que le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne, et les sanctions sévères qui accompagnent sa violation, peuvent s’appliquer à des entreprises suisses lorsqu’elles traitent des données de résidents de l’UE et que la législation suisse est en cours de révision au Parlement, en route vers
des règles généralement plus strictes. Il ne suffit pas d’examiner les aspects juridiques formels (type de données traitées, règles et directives internes, but du traitement des données, justification ou consentement, désignation d’un data protection officer, etc.) ; il faut aussi vérifier les aspects techniques, notamment les processus de traitement informatiques, les lieux de stockage des données et la sécurité de l’accès. Pour cela, il sera nécessaire de faire appel à des spécialistes techniques.

Enfin, des garanties (sur les sujets généraux) et des indemnités (sur des problèmes particuliers identifiés) devront refléter le résultat des investigations dans le contrat de vente. Mentionnons à titre d’exemple de telles garanties le respect des directives internes, l’existence de processus technologiques adéquats, le respect des droits des personnes dont les données sont traitées, l’absence de sanctions ou de procédures en cours, l’absence de violations dans les dernières
années.

Comme les investigations en matière environnementale au début des années 2000, les questions de protection des données deviennent progressivement un pan incontournable de toute due diligence sérieuse.

2. Prêts COVID et RHT

Pour atténuer les effets des mesures prises en relation avec la pandémie de COVID-19, la Confédération a élaboré un système d’octroi de crédits aux entreprises très rapide par l’intermédiaire des banques et de Postfinance. Ces prêts sont garantis par les organismes régionaux de cautionnement et, en définitive, par la Confédération. Par souci de gain de temps, ces prêts ont été octroyés selon le principe d’autodéclaration et de manière quasi-automatique pour les crédits inférieurs à CHF 500’000. L’emprunteur devait en substance indiquer son chiffre d’affaires 2019, qui servait de base au calcul du crédit maximal (10%), et confirmer quelques éléments : existence depuis le 1er mars 2020 au plus tard ; absence de faillite, de procédure concordataire ou de liquidation ; impact de la pandémie sur les affaires ; absence d’autre crédit COVID.

La règlementation interdit d’utiliser les montants mis à disposition au moyen des crédits COVID pour certaines opérations :

- distribution de dividendes/tantièmes, remboursement d’apports en capital ;
- octroi de prêts actifs ou refinancement de prêts à des actionnaires ou des proches (sauf des découverts accumulés depuis le 23 mars 2020) ;
- remboursement de prêts intra-groupe ;
- transfert de fonds garantis par un cautionnement COVID à une société affiliée à l’étranger ;
- nouveaux investissements dans des actifs immobilisés.

La responsabilité personnelle des organes de la société emprunteuse est engagée si le crédit est utilisé dans un but interdit. Des irrégularités peuvent entraîner la résiliation immédiate du crédit, partant une possible crise de liquidité pour la société. La violation intentionnelle des règles est soumise à des sanctions pénales.

En quelques semaines, 131’000 prêts jusqu’à CHF 500’000 ont été octroyés de manière quasi automatique, pour un montant d’emprunt moyen d’environ CHF 100’000. A ce jour, environ 1’300 cas d’abus présumés ont été identifiés, dont deux tiers liés à l’un des trois motifs suivants : paiement de
dividende ou remboursement de prêts à l’actionnaire ; indication trompeuse du chiffre d’affaires déterminant ; demandes simultanées à plusieurs banques.

Il conviendra de s’assurer au cours de la due diligence que les éventuels prêts COVID ont été obtenus sur la base d’informations correctes et utilisés conformément à leur affectation. Des questions épineuses pourront se poser quant à la mise à disposition des montants obtenus à d’autres sociétés du même groupe (cash pooling), ou lorsque plusieurs sociétés ayant obtenu chacune des crédits COVID fusionnent.

Une problématique semblable se présente en relation avec l’argent public que la cible peut avoir obtenu ensuite d’une demande de réduction de l’horaire de travail (RHT), dont les règles ont été assouplies en relation avec la pandémie de COVID-19. Il conviendra de s’assurer que les informations fournies en relation avec les demandes étaient correctes et que la société n’est pas exposée à un remboursement de montants perçus à tort.

3. Règles sur la transparence

Finalement, un bref rappel des règles sur la transparence de l’actionnariat ne paraît pas inutile. Selon les nouveaux articles 697i et suivants CO, sous réserve d’exceptions (société cotée, titres intermédiés déposés auprès d’un dépositaire), l’acquéreur de plus de 25% des actions d’une société a l’obligation d’annoncer l’identité de l’ayant droit économique. A défaut, les droits sociaux de l’actionnaire sont suspendus et l’actionnaire déchu de ses droits patrimoniaux jusqu’à ce que l’annonce soit faite (art. 697m CO).

De plus, dès le 1er novembre 2019, les sociétés ne peuvent plus être constituées avec des actions au porteur. Dès le 1er mai 2021, les actions au porteur qui n’auront pas été préalablement converties en actions nominatives le seront automatiquement, pour autant que la société connaisse l’identité du titulaire. A défaut, le titulaire perdra ses droits à l’échéance d’un délai de cinq ans.

L’acquéreur potentiel d’une société anonyme sera bien inspiré de s’assurer du respect de ces principes pour éviter de mauvaises surprises.

Pour en savoir plus : https://ma-experts.ch/due-diligence-juridique-questions-actuelles-dans-les-transactions-ma