Pendant une opération de fusion-acquisition, acquéreur et cédant doivent connaître les conditions et le lieu de stockage de leurs données confidentielles afin de sécuriser les données. En effet, il est impératif de vérifier préalablement la sécurité de leurs informations avant et après la transaction. Un groupe hôtelier international été victime d’un vol de données confidentielles après avoir fusionné son système d’information avec celui d’un autre réseau d’hôtel tout juste racheté. Les informations de plus de cinq millions de clients ont été volées. Une amende record a du ensuite être payée.
Les directions générales doivent appréhender les dangers auxquels ils font face quand ils intègrent dans leur système d’information existant les données d’une société rachetée.
Durant les opérations de fusions-acquisitions, les sociétés n’accordent pas forcément l’importance nécessaire au secret de leurs informations confidentielles. Pourtant, l’acquisition d’une société sous-entend aussi l’achat des risques de piratage encourus par celles-ci. En effet ces transactions nécessitent l’importation d’un nombre colossal de fichiers. Qu’ils renferment les données confidentielles des salariés, des clients, des informations financières et autres, il est souvent oublié de les sécuriser. Or, dans une PME, la totalité des employés a généralement accès à plus de 20% en moyenne des fichiers de l’entreprise. Ce libre accès est la principale cause de vols et de divers types de piratage informatique dans une entreprise.
Des failles dans un système d’informatique est une voie ouverte aux pirates informatiques à la recherches de données confidentielles.
Et quand les sociétés ignorent d’une part où sont stockées leurs données confidentielles, stockage physique ou virtuel, et d’autre part qui y a accès, elles peuvent avoir affaire aux représentants des autorités du RGPD. Pour cause, elles n’ont pas le droit d’ignorer cet aspect de leur fonctionnement. Les mesures relatives à la confidentialité des données comme stipulées dans le RGPD ou le CCPA (version américaine) les incriminent.
Les entreprises ne peuvent pas non plus imputer cette responsabilité à des tiers, elles risquent de s’acquitter de montants très élevés d’amendes si elles ne se conforment pas à ces règles. Pour sa part, le groupe hôtelier mentionné plus haut n’y a pas échappé, même en ayant mis sur le dos de la société rachetée le vol des données.
Les sociétés sont obligées d’intégrer les systèmes et les informations de leurs prochaines acquisitions
Il est important que les sociétés appréhendent le montant ou la valeur de ce que peuvent leur coûter les risques de piratage de leurs données confidentielles. Même si cette vérification n’est pas d’une tâche aisée, elle est tout à fait réalisable. L’objectif est d’assurer la sécurité et le contrôle des données sensibles de l’entreprise rachetée avant de les ajouter dans son réseau d’entreprise acquéreur lors d’une fusion.
A titre d’exemple, après une fusion, une entreprise œuvrant dans le secteur de la santé a migré ses données vers le cloud (les « Nuages »). Elle découvre a posteriori avec surprise que le personnel a accès à six millions de dossiers et trente mille fichiers environ, tous renfermant des informations confidentielles comme des identifications. La sécurisation de ces dernières est pourtant de plus en plus régie par des lois spécifiques. Les lois sur la confidentialité des données comme le RGPD et le CCPA s’avèrent efficaces. Elles obligent les sociétés à déployer plus d’outils de vérification ou certains contrôles sur les données d’identification personnelle. Le cas du groupe hôtelier a incité celles-ci à être plus prudentes et à inclure dans les étapes de vérification préalable à une transaction de fusion-acquisition, l’estimation des dangers relatifs aux données. Nous retiendrons que ce groupe s’est rendu tristement célèbre deux fois de suite. Le premier, pour le vol des données de ses clients et le second, pour sa condamnation à une amende pour non suivi des règles du RGPD.