Écrit par Duncan C. Card

Les risques technologiques ont changé : savoir ce qu’il faut rechercher

La tempête parfaite créée par l’intersection (d’une part) de l’augmentation spectaculaire de l’utilisation commerciale de l’informatique en nuage, des logiciels open source, des médias sociaux prolifiques, de l’émergence du Big Data, des appareils mobiles sans fil (y compris pour les réunions du conseil d’administration) et de l’augmentation alarmante des attaques de cybersécurité (de toutes sortes), avec (d’autre part) l’augmentation rapide des fonctions de gouvernance d’entreprise en TI, l’examen réglementaire élargi concernant la sécurité des données, la protection de la vie privée, la lutte contre le pourriel et la gouvernance d’entreprise (CVMO, SEC, BSIF, organismes de réglementation des infrastructures essentielles et bien d’autres), une sensibilisation et une sensibilité accrues à l’égard des risques liés aux TI, l’activisme émergent des actionnaires, les droits des consommateurs (des droits du commerce électronique à la protection de la vie privée) et la croissance des recours collectifs. tous nécessitent une approche plus spécialisée et plus complète de la diligence raisonnable en matière de risque technologique pour les transactions de fusions et acquisitions en 2014.

Selon les principaux experts et rapports, la boussole des fusions et réponses semble tourner dans la bonne direction. Plus tôt cette année, l’article du magazine Forbes, « 6 Reasons 2014 Will be a Strong Year for M&A Activity »¹ a identifié des taux d’intérêt historiquement bas, une performance boursière saine et un grand inventaire de sociétés de capital-investissement comme quelques-unes des raisons pour lesquelles l’activité de fusions et acquisitions va (et a commencé) à se renforcer en 2014. De même, l’article du Financial Times, « Expectations Rise For a Rebound in M&A»², a prédit qu’une reprise des transactions de fusions et acquisitions ne peut être plus proche qu’en raison de « la confiance accrue et de l’enhardissement des chefs de la direction avec des bilans solides pour étaler leurs piles de trésorerie sur la croissance des achats ». Les prédictions correspondantes de Bloomberg News dans leur récent article, « M &A Boom Seen in 2014 as Drug Hunt Spurs Biotech Deals » comprenaient cette citation de Jeff Stute de JPMorgan, « Nous voyons que les fusions et acquisitions dans le secteur des soins de santé sont en hausse importante en 2014 à tous les niveaux de taille et dans tous les sous-secteurs. Les acheteurs et les vendeurs seront à l’aise avec la nouvelle réalité de l’endroit où les actifs sont évalués « . ³ David Pett, du Financial Post, a cité diverses sources pour prédire que « le marché canadien des fusions et réponses devrait rebondir cette année... alors que la hausse des cours des actions et le sentiment plus positif du marché font augmenter la valeur des transactions au pays »⁴, et en particulier la confiance de CMC Markets Canada à l’égard de l’augmentation des fusions et services canadiens, « en particulier dans les secteurs des mines et de l’énergie ». ⁵ Ce refrain a été repris dans le récent article du Wall Street Journal, « Global Mining, Metals M&A Activity to Pick Up in 2014»⁶. Bien que les deux articles de 2014 dans le magazine Canadian Lawyer, « Brighter Outlook For M&A »⁷ et « Mining M&A Primed »⁸, citent de nombreuses raisons de l’évolution du paysage des fusions et acquisitions, les idées les plus poignantes pour développer la croissance des transactions de fusions et acquisitions se trouvent peut-être dans l’article du 1er avril, « 6 Reasons U.S. M&A Activity Will See Strong Growth This Year »⁹ :

L’activité de fusions et acquisitions aux États-Unis prend de l’ampleur. Le volume des transactions au premier trimestre de cette année a été le plus élevé depuis 2007 (en dollars).... De plus, la croissance du volume des transactions de fusions et acquisitions pour les grandes et moyennes entreprises du marché est sur le point de s’accélérer cette année (parce que)... Les sociétés américaines détiennent actuellement des montants records de liquidités... le marché a récemment récompensé les entreprises qui font des transactions en leur donnant des valorisations plus élevées... les coûts de financement sont encore assez attractifs... l’environnement macroéconomique aux États-Unis devrait soutenir l’activité de fusions et acquisitions... (et avec la force du marché boursier américain), les entreprises utiliseront leurs actions comme « monnaie » pour faire des transactions.

Risque technologique de fusions et réponses : la diligence raisonnable dans la tempête parfaite

Quelle que soit la précision des prédictions des experts pour une reprise des fusions et réponses en 2014, une chose est certaine : la nature et l’utilisation des technologies de l’information dont dépendent toutes les sociétés, dans tous les secteurs, se sont radicalement développées et transformées depuis 2008. Même si une profonde récession mondiale a peut-être freiné la croissance du commerce en général, l’utilisation par les entreprises et la dépendance profonde à l’égard des technologies de l’information émergentes se sont considérablement étendues à de nouvelles dimensions des capacités commerciales, de l’efficacité et de la dépendance. Cependant, ces développements ont également créé de vastes nouveaux territoires de risque commercial potentiel et très dangereux. L’agglomération et l’utilisation de ce qu’on appelle les mégadonnées, la collecte détaillée de renseignements personnels liés aux activités en ligne d’une personne, la dépendance croissante à l’infonuagique, l’utilisation rapide des médias sociaux par les entreprises, l’escalade des menaces à la cybersécurité, la tendance imparable à traiter des données commerciales en dehors de l’entreprise par le biais de ce qu’on appelle le logiciel en tant que service (« SaaS ») ou les structures de cloud computing, et l’explosion de l’utilisation d’appareils informatiques mobiles sans fil pour les entreprises (de placer des informations hautement confidentielles du conseil d’administration sur les tablettes, aux applications d’affaires de téléphone intelligent) - il ne fait absolument aucun doute que l’efficacité accrue de l’entreprise vient également avec un prix très onéreux, « gestion des risques ».

Ce paysage technologique transformé n’est pas la seule raison pour laquelle une diligence raisonnable très aiguë et spécialisée en matière de risque technologique est requise pour les transactions de fusions et acquisitions. Tout comme le paysage technologique a radicalement changé depuis 2008, il en va de même de la nature onéreuse et pénalisante des lois, des règlements, des normes de gouvernance d’entreprise et de la responsabilité pour les dommages qui peuvent être causés par les risques de cette technologie émergente, par exemple: une cyberattaque ou une intrusion non autorisée; le cyberharcèlement d’un employé à l’encontre d’un autre employé, ou la divulgation par un employé de renseignements commerciaux confidentiels, par l’entremise des médias sociaux; une cyberattaque généralisée sur Internet contre la réputation de l’entreprise; ¹⁰ la diffusion numérique par inadvertance mais illicite des renseignements personnels des personnes (par exemple, les dossiers de santé des employés ou les numéros de carte de crédit des clients); la mise en œuvre d’un service de TI à service partagé sur le Web entre les sociétés affiliées qui n’est pas conforme aux exigences réglementaires en matière de sécurité; l’utilisation abusive ou le défaut de protéger la sécurité des renseignements personnels; ou l’exportation illicite de données ou de communications vers (ou via) une juridiction à exportation restreinte – pour n’en nommer que quelques-unes.

Dans un sens très réel et pratique, les exigences actuelles en matière de diligence raisonnable hautement spécialisée et complète en matière de « risque technologique » dans les transactions de fusions et acquisitions surviennent maintenant dans une tempête parfaite où les risques technologiques transformationnels se croisent avec des obligations légales très lourdes, des exigences de conformité réglementaire et une culture en développement de protectionnisme des consommateurs (y compris les recours collectifs), de responsabilité en matière de gouvernance d’entreprise et d’activisme des parties prenantes.

Quel que soit le secteur industriel (de l’exploitation minière à la fabrication), les risques technologiques inhérents associés aux transactions de fusions et acquisitions n’ont jamais été aussi élevés qu’en 2014. Aujourd’hui, si vous êtes une entreprise de services publics qui exploite une infrastructure essentielle, l’exploitation sécurisée et sûre de votre système informatique est maintenant considérée comme une question de sécurité nationale. Si vous êtes une société ouverte dont le fait de ne pas se tenir au courant de vos lourdes fonctions de gouvernance d’entreprise en matière de technologie entraîne une défaillance informatique dommageable, vous pouvez rapidement faire face à des actionnaires en colère, à une myriade d’organismes de réglementation persistants et exigeants et à des auditeurs très préoccupés qui ont des avertissements alarmants, sinon terribles, sur les risques commerciaux. Sinon, si vous deviez divulguer par inadvertance des informations hautement confidentielles sur un grand nombre de vos clients, employés, patients ou actionnaires en appuyant sur le mauvais « bouton d’envoi », vous devrez peut-être vous défendre contre une classe très importante et agressive de plaignants avec des demandes d’indemnisation exorbitantes.

Diligence raisonnable en matière de technologie pour les transactions de fusions et acquisitions

En plus de toutes les nombreuses autres enquêtes normatives et traditionnelles de diligence raisonnable liées à la technologie qui sont nécessaires pour les transactions de fusions et acquisitions¹¹ (telles que la propriété de la PROPRIÉTÉ INTELLECTUELLE, les services de maintenance et de soutien, la conformité aux droits d’utilisation et de licence existants, les pratiques de gestion des risques et les évaluations générales des risques et de la responsabilité en matière de TI), les considérations suivantes doivent être prises en compte lors de la gestion des risques technologiques plus récents qui sont discutés ci-dessus:

• dans quelle mesure s’appuie-t-on sur le SaaS, l’ASP ou l’informatique en nuage, et quels sont les faits pertinents (exigences de sécurité, répartition des risques, à partir de quelle(s) juridiction(s) sont les services fournis, spécifications opérationnelles, y a-t-il des droits d’audit de service et ont-ils été exercés, historique des violations / défaillances, etc.); examiner tous les contrats et arrangements de services de TI de tiers afin d’évaluer la conformité au rendement et le profil de risque opérationnel (p. ex., est-ce que des renseignements personnels ou des renseignements commerciaux confidentiels sont traités ou stockés);
• dans quelle mesure les intérêts de l’entreprise dans la vente ou l’exploitation commerciale de logiciels propriétaires reposent-ils sur (ou incluent-ils) ce qu’on appelle des logiciels open source (sous l’une de ses formes de licence variables) et des outils;
• existe-t-il des programmes de sécurité pour les employés ayant un contrôle informatique, y compris: le filtrage et les enquêtes sur les antécédents; des contrôles d’accès aux données basés sur l’ancienneté des employés et le « besoin de savoir »; l’existence d’un programme d’aide aux employés; existe-t-il une politique de dénonciation; y a-t-il un congé obligatoire du gestionnaire; et y a-t-il des audits informatiques opérationnels aléatoires;
• l’historique de tous les incidents de cybersécurité, y compris : les cyberattaques; le piratage; l’interception des communications; la divulgation de la réponse aux cyberattaques et de l’évaluation des dommages; la perte ou la corruption de données; les incidents de tout accès non autorisé (visualisation, reproduction, transmission); toute contamination virale; et les incidents de sabotage des employés; l’information concernant les mesures préventives et correctives, et les améliorations (et les tests) informatiques connexes;
• les dossiers d’évaluations de la sécurité des TI, d’enquêtes, d’amélioration continue, d’assurance de la qualité et de gouvernance des pratiques exemplaires, y compris les opinions d’experts indépendants de tiers; les tests internes; les programmes de piratage éthique; les protocoles pour ce qu’on appelle « l’intégrité de la chaîne d’approvisionnement » de tous les biens informatiques, ce qui est essentiel car l’accès non autorisé à la TI (et aux données) peut être sécurisé par des instructions ou des dispositifs intégrés préalables dans le TI plutôt que par un piratage ou une intrusion externe;
• l’utilisation des médias sociaux (et la publication en ligne de toutes les formes) par les employés et/ou à des fins commerciales; l’existence de politiques d’utilisation des médias sociaux de l’entreprise; la formation sur les « secrets d’entreprise » des employés; les politiques informatiques et cybernétiques connexes de l’entreprise; l’évaluation des pratiques numériques de l’entreprise et la conformité réglementaire; les programmes de protection de la réputation; l’historique de toute réclamation, plainte, litige découlant de l’utilisation des médias sociaux (y compris le cyberharcèlement); l’évaluation de la marque et de la réputation en ligne;
• l’utilisation d’appareils de TI mobiles sans fil; dans quelle mesure ils sont omniprésents et pour quels renseignements; utilisés dans quelles juridictions; la divulgation des contrôles de sécurité connexes (chiffrement, mot de passe, etc.); l’historique des incidents d’atteinte à la sécurité, y compris les appareils perdus ou volés;
• la cible repose-t-elle sur des infrastructures de TI à service partagé, où toutes les opérations de back-office entre les sociétés affiliées ou les sociétés apparentées ont été regroupées en un seul fournisseur de services; quels services (TI, RH, finances, chaîne d’approvisionnement, etc.); y a-t-il un contrat intersypiste « sans lien de dépendance » (une juste valeur marchande) en place; quelle est la surveillance de la conformité et de la gestion des risques; et,
• l’évaluation de la gouvernance d’entreprise en matière de technologie; existe-t-il des politiques, des pratiques et des procédures; activités de surveillance, projets ou examens; le recours à des experts spécialisés en technologie et en sécurité; les programmes et la conduite de la gestion des risques liés à la TI; l’ensemble des programmes de conformité juridique et réglementaire en matière de TI; y a-t-il une reprise après sinistre et une planification d’urgence? y a-t-il des examens et des corrections réguliers de la conformité; l’historique des examens ou des interventions réglementaires; les notes de vérification ou les évaluations.

En plus de toutes les autres entreprises participant à un examen normatif de la diligence raisonnable en matière de risques liés aux risques liés à la technologie pour les opérations de fusions et acquisitions, les documents, documents et renseignements suivants (en plus des sources traditionnelles) devraient également être examinés et pris en compte dans le contexte des nouveaux risques technologiques mentionnés ci-dessus : les politiques de gouvernance d’entreprise en matière de TI et les procédures requises; les plans d’action d’intervention en cas d'« incident » en matière de cybersécurité (y compris la détection; les rapports, l’escalade de la gestion, la conservation des documents (preuves), la liste des contacts des « experts SWAT », la défense contre les litiges, la gestion de la réputation, les relations publiques, les relations gouvernementales et la conformité réglementaire); tous les dossiers de déclaration réglementaire des cyberincidents; les plans d’urgence et de reprise après sinistre en matière de TI, y compris les programmes de redondance et de mise à l’essai; tous les contrats de services informatiques et d’infrastructure connexes (y compris SaaS, ASP, externalisation, cloud computing, licences open source, hébergement et tous les autres contrats informatiques importants); l’information liée à la conformité des contrats de TI, y compris les vérifications du rendement des services, les réclamations et les différends; l’historique des cyberincidents de tous types, tant les atteintes internes que les menaces externes; tous les rapports ou évaluations internes et de tiers en matière de cybersécurité ou de TI concernant la préparation à la TI et à la cybersécurité; et un examen exhaustif de l’exposition unique aux risques réglementaires et commerciaux de l’entreprise cible en ce qui a trait aux responsabilités en matière de TI et de cybersécurité.

Remarques :

1. Jeff Golman, 13 janvier 2014, www.forbes.com
2. FT Reporters, 14 janvier 2014, www.ft.com
3. M. Tirrell et D. Welch, 10 janvier 2014, www.bloomberg.com/news, bien que M. Stute ait exprimé des réserves raisonnables et que ses commentaires ne devraient être pris en compte que dans le contexte complet de l’article de MM. Tirrell et Welch.
4. D. Pett, 29 janvier 2014, www.business/financialpost.com
5. Ibid., selon Colin Cieszynski, analyste de marché chez CMC Markets Canada
6. A. MacDonald, London Bureau, Wall Street Journal, 2 février 2014 www.wsj.com
7. J. Brown, édition de février 2014, pages 43-45, www.canadianlawyermag.com
8. A. Davis, édition de mars 2014, page 18, www.lexpert.ca
9. Le 1er avril 2014, www.soberlook.com
10. Le travail de l’un des principaux avocats en diffamation et en réputation (cyber-diffamation) au Canada, David Potts, dans le domaine hautement spécialisé des cyberattaques contre la réputation d’une entreprise, est particulièrement instructif et perspicace, www.cyberlibel.com  
11. Les développements technologiques récents ou émergents ne se veulent pas exhaustifs. Ils sont fournis en plus de toutes les nombreuses autres questions et préoccupations normatives et traditionnelles en matière de diligence raisonnable en matière de technologie qui doivent être déterminées, prises en compte et évaluées en fonction des risques dans le cadre d’une transaction de fusions et acquisitions.