RGPD et réputation : Quelle criticité pour votre entreprise ?

Si on part du principe que tous les assets matériels ou immatériels concourent à la valorisation de l’entreprise et que tous les risques portant sur ces actifs la nuancent, qu’en est-il de la conformité qui prend une dimension de plus en plus importante dans la gestion des risques de l’entreprise et notamment de l’impact de cette conformité sur la valorisation ?

Le RGPD, qui s’applique à toutes les entreprises (quelle que soit leur taille et leur secteur) impose à ces dernières de respecter la volonté des particuliers, propriétaires de ces données, en matière de finalité d’utilisation et de les protéger en tant que dépositaires à court ou long terme.

Si le risque de ne pas respecter ces obligations est le même pour toutes les entreprises, la criticité de ce risque est déterminée par sa probabilité de survenance :  en conséquence, la gravité des conséquences varie d’une entreprise à l’autre. Cette criticité est notamment significative pour toutes les entreprises dont le modèle économique est basé sur « the data as a business » tels que les opérateurs web, téléphoniques, la vente par correspondance, la publicité ou encore le marketing mobile, les activités B to C, mais aussi le secteur public…

Mais de quels risques parle-t-on ?

• Une sanction pour non-conformité prononcée par l’autorité de contrôle en la matière, la CNIL, qui peut aller jusqu’à 4% du chiffre d’affaires consolidé ? Certes, cela peut représenter une ( !), mais est-ce considéré comme un risque pour l’investisseur habitué à en prendre ? 4% du CA multiplié par la probabilité d’être contrôlé, puis celle d’être condamné… L’impact sur la valorisation est finalement assez faible, voire nulle, s’il n’est pas pris en compte dans les métriques de valorisation.
• Le risque pour l’investisseur n’est certainement pas là. Il porte en fait sur la remise en cause du modèle économique de ces entreprises, qui repose en partie sur la confiance et la réputation. Un vol de données (databreach) rendu public peut ruiner une réputation et un business model. Or le vol de données est bien plus probable qu’un contrôle de la CNIL. Il peut même devenir une arme économique, non éthique, mais diablement efficace, dans une compétition entre des acteurs, pour éliminer un concurrent à titre d’exemple. C’est du déjà-vu.

Le RGPD dans certains secteurs n’est pas un sujet de conformité mais bien de vie ou de mort !

Aussi, dans ces secteurs est-il encore raisonnable, imaginable, pour un vendeur de ne pas être en capacité à démontrer que sa réputation - qui représente les fondations de son business - est sécurisée ? Pour un acheteur de ne pas auditer ce point, pour un fonds de ne pas « monitorer » ses participations sur ce sujet ?

Chez Grant Thornton, nous avons la conviction que non. Et nos experts en matière de RGPD sont mobilisés pour nos clients afin de sécuriser leur patrimoine, les conseiller sur les solutions de sécurité et assurer leur conformité.