La prégnance croissante des technologies de l’information et de la communication (« TIC ») dans l’activité des entreprises, ainsi que le rôle central de tels systèmes dans la conduite quotidienne de leurs activités, force à considérer les problématiques liées à l’exploitation des TIC de façon éclairée dans le contexte d’opérations de M&A, en particulier au cours des périodes d’audit notamment afin de préserver l’activité de la cible de manière pérenne et continue post-transaction.
En effet, l’exploitation des infrastructures IT (terminaux fixes et mobiles, logiciels & ERP, bases de données, sites Internet et applications, architecture réseau…) repose sur des piliers tant juridiques que techniques, qu’il convient d’abord d’identifier, avant de sécuriser, dans une démarche stratégique.
TIC & propriété intellectuelle
De nombreux droits de propriété intellectuelle peuvent grever tout ou partie d’un système d’information, composé à la fois d’actifs corporels et incorporels. Ainsi, le code d’un logiciel ou système d’exploitation, de même que les contenus issus de salariés ou prestataires, peuvent bénéficier le cas échéant, de protection au titre du droit d’auteur [REF]Article L112-2 du Code de la propriété intellectuelle (« CPI »)[/REF], du droit sui generis de producteur de base de données [REF]Article L112-3 CPI[/REF], ou de certains brevets [REF]Pratique rare en Europe pour le cas des logiciels, mais plus établie aux États-Unis[/REF]. En outre, la porosité entre le droit des marques et le dépôt de noms de domaine est à prendre en considération.
L’exemple du droit d’auteur grevant les créations de salariés ou prestataires est d’autant plus marquant qu’il est souvent rencontré, qu’il s’agisse de contenus visuels ou textuels ou, pour les prestataires, de code logiciels. Si ces droits n’ont pas fait l’objet d’une cession ou licence à son profit, une exploitation par la société utilisatrice de ces composantes de l’infrastructure IT constituerait une contrefaçon de droit d’auteur, générant le risque de blocages ou d’actions judiciaires de la part des titulaires des droits concernés et exposant l’acquéreur à des sanctions civiles voire même pénales.
Le cas échéant, la conclusion, préalablement à l’opération, de contrats, idéalement de cession, ou même a minima de licence, sur ces droits de propriété intellectuelle identifiés au cours de l’audit, permettra de sécuriser la continuité de l’exploitation.
Enfin, la présence en ligne des entreprises est aujourd’hui incontournable –pour l’exploitation effective de leur activité (e-commerce et services en ligne) comme pour leur communication institutionnelle (sites Internet, réseaux sociaux). L’enregistrement ou l’absence d’enregistrement de certains noms de domaine ainsi que les déclinaisons de tels noms sur les diverses extensions mondiales (GTLD) ou a minima celles couvrant les zones d’activité effective (CCTLD) peuvent s’avérer problématiques pour la sécurisation des activités en ligne, voire désastreuses dans certains cas (phishing, defacing…). La titularité effective par la cible de ces noms de domaines, s’ils n’ont pas été acquis pour son compte, par une société de services devra également être sécurisée.
Le cas échéant, il conviendra de procéder à un audit approfondi du portefeuille de noms de domaines et de sites Internet utilisés par la cible afin de confirmer la titularité et sécuriser la continuité de leur utilisation post-transaction, nonobstant les garanties spécifiques qui devront être adoptées au sein du SPA.
TIC & protection des données à caractère personnel
La numérisation des activités économiques, des transports aux services à la personne, en passant par le e-commerce et la publicité personnalisée, l’exploitation des systèmes d’information et des services qui en découlent, repose massivement sur le traitement de données à caractère personnel.
La récente entrée en application du Règlement Général sur la Protection des Données n°2016/679 du 27 avril 2016 (« RGPD ») crée un risque significativement plus élevé en cas de non respect de la règlementation applicable, avec des amendes administratives pouvant s’élever à 20 millions d’euros ou 4% du chiffre d’affaires mondial consolidé de l’organisation à l’origine d’un manquement, ainsi que l’introduction des actions de groupe dans ce domaine (et dont Google, Apple, Facebook, Amazon et LinkedIn font d’ores et déjà les frais en France).
Un audit approfondi des pratiques relatives aux traitements de ces données mis en œuvre par la cible et de sa conformité globale au RGPD (information des personnes concernées, mise en œuvre des droits de ces dernières, obligation de sécurité et de confidentialité des données…) devra être réalisé afin d’éviter tout risque de sanctions de la cible, voire de l’acquéreur. Cet audit passera une étude non solum contractuelle (transferts hors UE/EEE), sed etiam opérationnelle (moyens de collecte et de traitement, mesures de sécurité appliquées aux moyens).
Naturellement, il conviendra d’apporter des réponses rapides et adaptées afin de mettre au plus vite les systèmes d’information au moyen desquels ces données sont traitées en conformité avec le RGPD (ainsi que toute règlementation qui pourrait s’appliquer aux activités de la cible).
Si le calendrier des opérations s’accorde souvent mal avec la complexité d’un tel « audit dans l’audit », il devra en tout état de cause être mené exhaustivement à bref délais afin d’assurer la mise en conformité.
TIC & contrats IT
Les pratiques de plus en plus répandues d’externalisation de fourniture et de maintenance de systèmes d’information –as a service ou on premises– conduisent à devoir considérer avec une attention particulière les éventuelles restrictions liées aux contrats conclus avec les prestataires concernés. Bien que cette problématique ne soit pas nouvelle, le contenu de tels contrats peut s’avérer bloquant pour la continuité de l’utilisation de tout ou partie de systèmes d’information à l’occasion d’opérations et jouera un rôle déterminant dans la structuration de l’opération concernée.
De tels contrats de service peuvent, classiquement, inclure des clauses de changement de contrôle prohibant ou limitation la circulation des obligations ou du contrat lui-même. De telles clauses peuvent donc impacter de façon significative la continuité de l’exploitation de tout ou partie du système d’information considéré, alors même que sa criticité (ERP, système de téléphonie, architecture réseau…) peut nécessiter des niveaux de service impératifs.
En outre, la renégociation de contrats IT qui arriveraient à leur terme au cours ou peu après la fin de la période d’audit, devra être considérée avec attention, au regard des délais de négociation et des montants, souvent conséquents, qui leur sont liés.
Il conviendra de s’assurer, notamment au travers des reps&warranties, de la continuité de ces contrats, voire de l’information/consentement des prestataires concernés.
Valorisation du système d’information
En termes comptables, les systèmes d’information, constitués à la fois d’actifs corporels et incorporels, sont valorisés suivant des normes comptables internationales différentes (US GAAP, IFRS) qui nécessitent une attention particulière.
Tandis que les technologies évoluent rapidement, rendant obsolètes certains éléments-clés, il convient de se pencher sur la juste valorisation de ces actifs, en particulier au regard de leur rôle stratégique (ou non) dans la conduite effective des activités de la cible. Cette approche d’évaluations tant individuelle que globale de l’ensemble des actifs composant le système d’information sera déterminante au regard du principe d’allocation du prix d’acquisition, en particulier pour déterminer la durée de vie résiduelle et l’incidence de tels actifs sur les résultats futurs de la cible, afin de rationaliser autant que possible le prix d’acquisition.
En conclusion, il convient de mener une étude exhaustive des systèmes d’information exploités par une cible, aux fins de valoriser au mieux leur importance et de prévenir tout éventuel blocage dans la continuité de leur exploitation. A cet égard, et au regard tant de la complexité et de l’hétérogénéité des problématiques, que des calendriers de plus en plus contraints pour mener ces opérations, une implication directe et simultanée des équipes corporate et IT (tant juridiques qu’opérationnelles) est aujourd’hui une nécessité.
Première publication: Fusions & Acquisitions Magazine, avec Alexandre Balducci