Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Protection de données, pilier nécessaire en fusions-acquisitions

octobre 2021 par Gaurav Bhandari, AVP en charge du consulting en données et analyses chez Infosys

Malgré l’explosion de la pandémie, le domaine des fusions acquisitions est resté profitable. La valeur des transactions durant cette période n’a baissé que de 5% depuis 2019, avec 3,6 milliards de dollars consacrés aux fusions-acquisitions, notamment de grandes sociétés. Ce bon résultat est dû aussi bien aux nouvelles technologies qu’au potentiel des entreprises.

Dans ce domaine, la question de la sécurité des données et sa régulation aussi bien en Europe qu’aux Etats-Unis sont passés au peigne fin. En effet, la moindre faille de sécurité aura des conséquences sérieuses pour les entreprises. Afin d’éviter de se retrouver dans des situations délicates, les entreprises doivent lier RGPD et cyber sécurité au sein de l’accord de fusion-acquisition. Voici quatre étapes à suivre pour y parvenir.

1. Rechercher en amont de l’accord les éventuels antécédents de fuite de données privées : il s’agit de s’assurer que les deux parties sont au fait de tous les risques encourus. Les acquéreurs peuvent utiliser des mesures de conformité de maturité, et si celle-ci est trop basse (et les coûts trop élevés), le deal sera écarté rapidement.
2. Utiliser une salle réservée exclusivement à la sécurité et soumise à la confidentialité : pour cela il est nécessaire que les deux parties effectuent un repérage des vulnérabilités en amont dans une sale contrôlée et soumise à une politique de confidentialité établie. Ainsi il est possible d’écarter les potentielles menaces et de s’assurer qu’il n’y ait plus de problèmes autour des données.
3. Incorporer le RGPD au cœur de l’accord : Il est donc nécessaire de cartographier le type de données conservées, comment elles sont utilisées, à quelles règlementations elles doivent se conformer. Les parties devront s’accorder sur le transfert de données au moment de la signature du contrat. Sans ce consentement, l’accord pourra être considéré caduc. Il faut également estimer l’usage potentiel des clients une fois l’accord signé, et mettre en place des garanties entre les entités fusionnées pour répondre aux plaintes et enquêtes futures.
4. Intégrer les systèmes IT et la migration de données une fois l’accord signé : il est recommandé de dresser un inventaire des données et de mettre en place des politiques et des directives en matière de confidentialité des données. _ Cette étape requiert également le consentement du client en cas de contradiction entre les données des entreprises.

Infrastructure RGPD et Architecture de référence

La sécurité des données est toujours un sujet sensible. Il s’agit de mettre en place un plan concret à suivre, une architecture de travail qui facilitera les procédures de fusions-acquisitions des grandes entreprises. Cela permet de concrétiser le changement de direction, de gouvernance, grâce à une exécution sur quatre piliers fondamentaux :

• Récolte et traitement : comprendre le statu quo en matière de données et de processus, et déterminer les lacunes et les risques à l’aide d’ateliers de travail.
• Design et synergie : sur la base de ce rapport, concevoir l’architecture et le modèle opérationnel de la protection des données privées.
• Mise en œuvre et transition : lancer un modèle opérationnel tout en établissant des vérifications et des équilibres à l’aide de mesures spécifiques. Ces mesures doivent être conformes au rapport initial sur les lacunes.
• Stabilisation et surveillance : faire appel à un partenaire de confiance pour évaluer constamment les risques et les résultats en cours.
L’efficacité d’une infrastructure de fusion-acquisition dépend de son architecture de référence. Celle-ci rend compte des différents points de contingence sur les données privées et des solutions pour assurer leur conformité règlementaire. L’architecture implique :
• Des services d’interactions de données : ceci est fondamental pour qu’il y ait interaction entre toutes les sources de données en termes de clients, fournisseurs, vendeurs, et collaborateurs.
• Des services de portabilité de données : pour sécuriser les déplacements de données entre l’entreprise et les parties prenantes.
• De rendre les entreprises capables de faciliter la gestion et le traitement de la donnée tout en respectant leurs caractères privés.
• Une gouvernance de l’information : définir toutes les règles autour de la confidentialité, de la donnée, et des rapports sur la protection de la vie privée.
Si l’on n’y prend pas garde, la protection des données peut être un élément rendant caduc une fusion-acquisition. De nombreuses entreprises n’ont pu répondre aux attentes des repreneurs à cause de failles. La valeur des accords dépend bien entendu d’un grand nombre de facteurs, inclure la question de la sécurité des données en amont permet aux décideurs de déterminer si l’accord vaut la peine d’être signé ou non.


Voir les articles précédents

    

Voir les articles suivants