4 M€ de risque réglementaire identifiés avant la signature

Situation

Affirma Capital évaluait trois sociétés de son portefeuille dans les secteurs de la grande consommation et des services professionnels. Les trois disposaient d’implémentations Salesforce significatives en tant qu’infrastructure opérationnelle centrale — CRM, opérations commerciales, gestion du service client, et dans un cas, un portail client développé sur mesure avec Experience Cloud. Pour chaque acquisition, le vendeur présentait son implémentation Salesforce comme « prête pour la production », « entièrement configurée » et « conforme aux réglementations applicables en matière de protection des données ».

La thèse d’investissement d’Affirma Capital pour ces trois sociétés reposait en partie sur l’efficacité opérationnelle que Salesforce était censé permettre. Si ces implémentations étaient techniquement solides, elles représentaient un accélérateur de croissance. Si elles comportaient de la dette technique cachée, des risques de conformité ou des problèmes architecturaux nécessitant une remédiation, cela modifiait substantiellement le modèle de coûts post-acquisition et le calendrier d’intégration.

La difficulté avec Salesforce en tant qu’actif dans une due diligence M&A est que les processus classiques de due diligence financière et juridique ne l’atteignent pas. Les auditeurs examinent les états financiers. Les avocats examinent les contrats. Personne ne regarde si l’org Salesforce est un passif. Le vendeur contrôle le récit. Et la plupart des vendeurs n’ont aucun intérêt à mettre en lumière des problèmes architecturaux qui réduiraient leur valorisation.

Affirma Capital avait besoin d’une évaluation technique indépendante des trois implémentations Salesforce — honnête, méthodique, et livrée dans les délais de la transaction.

Diagnostic

Société A (Grande consommation, 180 M€ de revenus récurrents annuels)

L’org Salesforce se présentait bien de l’extérieur : interface personnalisée aux couleurs de la marque, rapports de pipeline à l’aspect soigné, ce qui semblait être un Sales Cloud correctement configuré. La réalité sous la surface était différente. Plus de 400 champs personnalisés inactifs encombraient le schéma. L’org contenait 12 déclencheurs Apex actifs, dont six sans aucune gestion d’erreurs — un seul enregistrement défectueux pouvait provoquer une défaillance en cascade de toute la transaction. La qualité des données était médiocre : 34 % des enregistrements de comptes avaient des codes postaux manquants ou invalides, 22 % avaient des adresses e-mail en doublon. L’organisation utilisait Salesforce depuis cinq ans sans la moindre initiative de qualité des données.

La couche d’intégration constituait la découverte la plus significative. L’org disposait de 8 intégrations actives vers des systèmes ERP, e-commerce et de traitement des commandes — toutes construites sans versionnement d’API, sans logique de réessai, ni surveillance des erreurs. Trois intégrations n’étaient documentées que dans la mémoire d’un développeur ayant quitté l’entreprise. L’une d’elles se connectait à un point de terminaison API dont le fournisseur cible prévoyait la mise hors service dans les six mois. Le coût d’intégration post-acquisition pour reconstruire cette couche était estimé entre 800 K€ et 1,2 M€.

Société B (Services professionnels, 95 M€ de revenus récurrents annuels)

La Société B disposait d’une implémentation plus récente (trois ans) avec une qualité de code nettement supérieure. La découverte principale concernait la conformité : l’org traitait des données personnelles de citoyens de l’Union européenne mais n’avait pas mis en place les politiques de rétention des données exigées par le RGPD. Les enregistrements étaient conservés indéfiniment sans aucun processus automatisé de suppression ou d’anonymisation. L’analyse d’impact sur la vie privée n’avait jamais été réalisée. Le coût de remédiation juridique et conformité était estimé à 200 K€ hors frais juridiques, avec un risque d’enquête RGPD si le problème venait à être révélé après l’acquisition.

Société C (Services aux consommateurs, 62 M€ de revenus récurrents annuels)

Le portail client Experience Cloud de la Société C avait été construit par un intégrateur de niche qui n’existait plus. Le code source du portail était entièrement non documenté, avec 40 000 lignes de Visualforce et Apex personnalisés que personne dans l’entreprise ne pouvait maintenir. La licence Experience Cloud était également mal configurée : l’entreprise utilisait des licences Community pour des utilisateurs qui nécessitaient des licences Salesforce complètes, créant un problème de conformité de licences estimé à 350 K€ en frais de régularisation rétroactive.

Action

La méthodologie d’évaluation a été conçue pour les délais des opérations M&A : à fort signal informatif, rapide à exécuter, avec des conclusions structurées pour des décideurs non techniques.

Revue de l’architecture technique

Chaque org a été auditée selon une grille de 60 points couvrant : la qualité du code (utilisation des limites du gouverneur Apex, couverture de tests, architecture des déclencheurs), l’hygiène de configuration (éléments actifs vs inactifs, utilisation des champs, complexité des flux), l’architecture d’intégration (conception d’API, gestion d’erreurs, documentation) et la qualité des données (complétude, cohérence, taux de doublons).

La revue a utilisé un accès en lecture seule à l’org, complété par l’export et l’analyse des métadonnées — aucune modification des systèmes de production, aucun accès aux données métier, uniquement l’analyse des métadonnées et du schéma.

Évaluation de la qualité des données

La qualité des données a été profilée au niveau des champs et des objets pour les entités les plus critiques pour les opérations métier : Accounts, Contacts, Opportunities et Cases. Le profilage couvrait la complétude (pourcentage d’enregistrements avec des valeurs renseignées pour les champs métier obligatoires), la cohérence (respect des jeux de valeurs définis) et l’unicité (taux de doublons par identifiants métier clés).

Revue des risques de conformité

Pour les implémentations concernées par la législation européenne et le RGPD, la revue incluait une évaluation des configurations de rétention des données, de la mise en oeuvre de la gestion du consentement, du traitement des droits des personnes concernées (export, suppression) et de la documentation des analyses d’impact sur la vie privée. Il s’agissait d’une revue ciblée sur les 12 scénarios de conformité les plus risqués pour les implémentations Salesforce, et non d’un audit RGPD exhaustif.

Modélisation de l’impact financier

Chaque découverte a été catégorisée par sévérité (Critique / Élevée / Moyenne / Faible) et évaluée en termes d’impact financier : coût de remédiation direct (coût de correction), risque opérationnel (exposition continue générée par le problème) et risque transactionnel (découvertes susceptibles d’affecter la finalisation de la transaction ou la valorisation). Les conclusions ont été présentées sous forme de fourchettes, et non d’estimations ponctuelles, pour refléter l’incertitude réelle de la modélisation des coûts.

Résultat

L’évaluation a identifié 4 M€ d’exposition au risque cumulée sur les trois sociétés du portefeuille — des risques entièrement absents de la documentation vendeur et du processus de due diligence classique.

Le risque lié à la couche d’intégration de la Société A (800 K€ à 1,2 M€ de remédiation) et les problèmes de qualité des données ont été intégrés dans la négociation d’acquisition, entraînant un ajustement de prix. Le calendrier d’intégration post-acquisition a été prolongé de six mois pour tenir compte des travaux de remédiation, évitant à l’acquéreur de s’engager sur un objectif irréaliste de premier jour opérationnel.

La lacune de conformité RGPD de la Société B a conduit à l’ajout d’une clause spécifique de garantie et d’indemnisation couvrant toute action réglementaire découlant de données conservées avant la clôture de l’acquisition.

Le problème de conformité des licences de la Société C a été résolu avant la clôture, le vendeur finançant la régularisation rétroactive des licences comme condition de finalisation de la transaction.

L’évaluation a été réalisée en 11 semaines sur l’ensemble des trois sociétés, dans les délais de la transaction. Les conclusions ont été présentées sous forme de feuille de route de remédiation priorisée, directement transposable dans le plan d’intégration des 100 premiers jours post-acquisition — les acquéreurs disposaient d’une visibilité claire sur ce qui devait être corrigé, dans quel ordre et à quel coût.

Composantes méthodologiques : Audit d’architecture technique (grille de 60 points), export et analyse des métadonnées (Salesforce CLI), profilage de la qualité des données (outils d’analyse en Python), cadre d’évaluation de conformité RGPD, modélisation de l’impact financier