ATOUT RISK MANAGER N°21

ATOUT RISK MANAGER N°21 I ÉTÉ 2019 18 DOSSIER a toutefois tendance à évoluer. La protection des données de l’entreprise et, de manière plus générale, de son patrimoine informationnel deviennent un enjeu de premier ordre dans la valorisation des entreprises. Le Risk Manager peut également être amené à proposer un audit du poste clients de l’entreprise cible. «Si cette dernière réalise 25%de son chiffre d’affaires dans des pays exotiques, et que ses clients la règlent à 360 jours, il va falloir engager une discussion avec le DAF afin d’apporter un éclairage très fin sur le poids du poste client, les risques associés, et sa mobilisation potentielle au travers de contrats de cession de créances » , estime Louis Bollaert. ÉVALUER LE RISQUE CYBER Par ailleurs, étant potentiellement plus exposées à des attaques pendant le processus de transaction et surtout après, les entreprises intègrent progressivement la notion de risque cyber à leurs stratégies de fusion. L’objectif est simple : comprendre si le rapprochement des deux entreprises, et donc probablement de leurs systèmes d’information, augmente le risque de fuite d’information, d’attaque ou encore de non- conformité. Une étude Deloitte de février 2019 révèle que 40%des acquéreurs et professionnels de M&A ont découvert une faille de cyber sécurité dans leur processus de due diligence. «La mise en place d’une politique de sécurité intégrant le risque cyber est d’autant plus importante en cas de rachat de sociétés technologiques, car elles ne semblent pas toutes en pointe sur la maitrise de leurs risques. La maturité de ces entreprises en matière de cyber sécurité doit donc être bien évaluée avant un rachat », conseille Brigitte Bouquot. « Le Risk Manager va ainsi veiller à ce qu’un audit de la maturité de la cible soit mené, que cela soit au travers de questionnaires, et de benchmarks ou de véritables tentatives d’intrusion dans les systèmes d’information» poursuit Louis Bollaert. LeRiskManager peut aussi suggérer l’intervention d’un conseil en environnement. «Si l’entreprise acquiert une cible ayant une activité industrielle, il peut être pertinent de dresser un état des lieux de la situation environnementale des sites et du respect de la règlementation, d’investiguer sur la pollution des sols ou des eaux souterraines, et le cas échéant de travailler avec un courtier sur la mise en place d’une police d’assurance pour couvrir le passif environnemental de la société cible» estime Humbert d’Autichamp. «Le RiskManager a un rôle important à jouer dans l’identification et la couverture des risques potentiels. Sa connaissance intime de l’entreprise et du secteur doit être utile pour définir les domaines à investiguer dans le cadre des due diligences et structurer les équipes d’audit interne sur les sujets techniques ou sectoriels. Une fois que les avocats ont produit leurs rapports de due diligence et listé les risques potentiels, le Risk Manager a toute sa place pour participer à la structuration des meilleures solutions de couverture des risques identifiés, soit par l’élaboration d’un plan d’actions de correction, soit par l’identification des solutions de transfert disponibles, en particulier l’assurance» explique Charles de Mombynes. L’ANALYSE DES DONNÉES FACILITÉE AVEC LE BIG DATA L’analyse massive des données disponibles dans la dataroom peut en théorie s’appuyer sur les technologies big data et data analytics . Cette méthodologie d’appui permet également «  La due diligence permet d’identifier des risques très spécifiques, les plus vraisemblables mais aussi ceux qui présentent une faible probabilité et une forte intensité. » Louis Bollaert, Responsable de la Direction technique M&A, Crédit, Caution et Risques Politiques au sein d’Aon France LES INFORMATIONS CONFIDENTIELLES, UN RISQUE À NE PAS SOUS-ESTIMER Par Geoffroy de Vries, avocat associé, Menlo Avocats Toute entité a ses secrets : données financières non publiques, identité de clients ou fournisseurs, secrets de fabrication, stratégie de développement, etc. Ces informations, confidentielles, permettent d’apprécier la valeur d’une entreprise et l’intérêt de son acquisition, d’où la nécessité de les connaître pour un acquéreur. Lors des due diligence , le vendeur met ainsi à disposition de l’acquéreur potentiel les éléments clés concernant la cible. À cette occasion, il est généralement prévu un accord de confidentialité pour définir ce que les parties entendent considérer comme une information confidentielle, les modalités de transmission de cette informationet les conditions dans lesquelles une partie pourra être relevée de son obligation. Même si la divulgation d’une information confidentielle obtenue à l’occasion des négo- ciations engage la responsabilité légale de son auteur, l’absence de risque de divulgation et, a fortiori, d’utilisation, nesera jamais véritablement garantie et le préjudice associé jamais véritable- ment réparé par le juge. La prudence veut donc que la délivrance des informations les plus sensibles se fasse avec parcimonie, le vendeur ayant tout intérêt à reporter la divulgation de ces informations le plus tard possible, une fois que la réalisation de l’opération est plus ou moins garantie.