Étude de cas
4 M€ de risque réglementaire identifiés avant la signature
Évaluation technique indépendante identifiant 4 M€ d'exposition au risque dans les sociétés du portefeuille
Le problème
Affirma Capital évaluait trois sociétés de son portefeuille dont les opérations reposaient sur Salesforce. La due diligence financière et juridique classique ne descend pas jusqu'à l'org. Les vendeurs présentaient leurs implémentations comme prêtes pour la production et conformes. La thèse d'investissement reposait sur une efficacité opérationnelle que personne côté acheteur n'avait vérifiée.
Ce que j’ai fait
Une évaluation technique indépendante a audité chaque org selon une grille de 60 points couvrant qualité de code, architecture d'intégration, qualité de données et conformité RGPD. Chaque constat a été chiffré en coût de remédiation et en risque opérationnel. La livraison a pris la forme d'une feuille de route priorisée injectée directement dans le plan d'intégration des 100 premiers jours.
En un coup d'œil
- Client
- Affirma Capital
- Secteur
- Financier · Private Equity
- Mission
- 3 mois
- Mon rôle
- Évaluateur technique indépendant, responsable de la due diligence
- Clouds Salesforce
- Sales Cloud · Service Cloud · Marketing Cloud
- Résultat
- 4 M€ d'exposition révélée
Avant / Après
- Récit côté vendeur sur la santé Salesforce, sans vérification indépendante.
- Trois orgs présentées comme prêtes pour la production, configurées et conformes.
- Calendriers d'intégration post-acquisition fondés sur des hypothèses optimistes.
- Rétention RGPD, conformité de licences et dette d'intégration absentes de la documentation.
- Aucune ligne de coût de remédiation au modèle financier.
- Lecture indépendante de chaque org, fondée sur une grille de 60 points.
- Constats classés par sévérité, chiffrés en euros, présentés à des décideurs non techniques.
- Ajustement de prix, clause d'indemnisation et régularisation financée par le vendeur avant clôture.
- Calendrier d'intégration de la Société A prolongé de six mois, avec des jalons réalistes.
- Feuille de route de remédiation priorisée remise à l'équipe d'intégration le jour de la clôture.
Situation
Affirma Capital évaluait trois sociétés de son portefeuille dans les secteurs de la grande consommation et des services professionnels. Chaque cible portait une implémentation Salesforce significative en tant qu’infrastructure opérationnelle centrale : CRM, opérations commerciales, gestion du service client, et dans un cas un portail client sur mesure développé sur Experience Cloud. Pour les trois acquisitions, le vendeur présentait son implémentation comme prête pour la production, entièrement configurée et conforme aux réglementations applicables en matière de protection des données.
La thèse d’investissement pour chaque société reposait en partie sur l’efficacité opérationnelle que Salesforce était censé permettre. Si les implémentations étaient techniquement solides, elles constituaient un accélérateur de croissance. Si elles comportaient de la dette technique cachée, des risques de conformité ou des problèmes architecturaux nécessitant une remédiation, le modèle de coûts post-acquisition et le calendrier d’intégration changeaient substantiellement.
Le problème structurel est que Salesforce en tant qu’actif M&A se trouve dans un angle mort. Les revues financière et juridique classiques ne l’atteignent pas. Les auditeurs lisent les comptes, les avocats lisent les contrats, et personne n’évalue si l’org est un passif. Le vendeur contrôle le récit. Et les vendeurs n’ont aucun intérêt à mettre en lumière des problèmes qui réduiraient leur valorisation.
Défi
Trois sociétés du portefeuille, trois profils Salesforce différents, toutes à lire dans le délai de la transaction.
Société A, grande consommation, 180 M€ de revenus récurrents. L’org se présentait bien de l’extérieur : interface personnalisée, rapports de pipeline à l’aspect soigné, ce qui semblait être un Sales Cloud correctement configuré. La réalité sous la surface était différente. Plus de 400 champs personnalisés inactifs encombraient le schéma. L’org exécutait 12 triggers Apex actifs, dont six sans aucune gestion d’erreurs : un seul enregistrement défectueux pouvait provoquer une défaillance en cascade de toute la transaction. La qualité des données était médiocre : 34 % des enregistrements de comptes avaient des codes postaux manquants ou invalides, 22 % avaient des adresses e-mail en doublon. Cinq ans d’usage de Salesforce, aucune initiative de qualité des données.
Société B, services professionnels, 95 M€ de revenus récurrents. Une implémentation plus récente avec une qualité de code nettement supérieure. La découverte principale concernait la conformité. L’org traitait des données personnelles de citoyens européens sans avoir mis en place les politiques de rétention exigées par le RGPD. Les enregistrements étaient conservés indéfiniment, sans aucun processus automatisé de suppression ou d’anonymisation. L’analyse d’impact sur la vie privée n’avait jamais été réalisée. Le coût de remédiation était estimé à 200 K€ hors frais juridiques, avec un risque d’enquête réglementaire si l’écart venait à être révélé après la clôture.
Société C, services aux consommateurs, 62 M€ de revenus récurrents. Le portail client Experience Cloud avait été construit par un intégrateur de niche qui n’existait plus. Le code source était entièrement non documenté : 40 000 lignes de Visualforce et d’Apex personnalisés que personne dans l’entreprise ne pouvait maintenir. La licence Experience Cloud était mal configurée, avec des licences Community attribuées à des utilisateurs qui nécessitaient des licences Salesforce complètes, créant un problème de conformité de licences estimé à 350 K€ en régularisation rétroactive.
Action
La méthodologie d’évaluation a été conçue pour les délais M&A : à fort signal informatif, rapide à exécuter, avec des conclusions structurées pour des décideurs non techniques.
Revue d'architecture technique
Une grille de 60 points couvrait l'usage des limites du gouverneur Apex et la couverture de tests, l'hygiène de configuration (éléments actifs vs inactifs, utilisation des champs, complexité des flux), l'architecture d'intégration (conception d'API, gestion d'erreurs, documentation) et la qualité des données (complétude, cohérence, doublons). Accès en lecture seule plus export et analyse des métadonnées. Aucune modification en production, aucun accès aux données métier.
Profilage de la qualité des données
Profilage au niveau des champs et des objets pour les entités qui portent les opérations : Accounts, Contacts, Opportunities, Cases. Complétude, cohérence par rapport aux jeux de valeurs définis et unicité par identifiants métier clés. Un outillage d'analyse en Python a produit des résultats reproductibles sur les trois orgs.
Revue des risques de conformité
Évaluation ciblée sur les 12 scénarios RGPD les plus à risque pour les implémentations Salesforce : configuration de rétention, gestion du consentement, traitement des droits des personnes concernées et documentation des analyses d'impact. Calibrée pour faire remonter l'exposition pertinente pour la transaction, pas pour produire un audit RGPD exhaustif.
Chaque constat a été catégorisé par sévérité (Critique / Élevée / Moyenne / Faible) et chiffré sur trois dimensions : coût de remédiation direct, risque opérationnel continu et risque transactionnel (constats susceptibles d’affecter la finalisation ou la valorisation). Les conclusions ont été présentées sous forme de fourchettes, pas d’estimations ponctuelles, parce que l’honnêteté sur l’incertitude compte davantage dans une décision d’investissement que la fausse précision d’un chiffre unique.
Note remise au comité d'investissement sur la Société ALa couche d’intégration n’est pas prête pour la production. La reconstruire après acquisition coûte 800 K€ à 1,2 M€ et ajoute six mois au calendrier d’intégration. Ce n’est pas une remédiation. C’est une négociation de prix.
Résultat
L’évaluation a fait remonter 4 M€ d’exposition cumulée sur les trois sociétés du portefeuille, des risques entièrement absents de la documentation vendeur et du processus de due diligence classique.
Le risque lié à la couche d’intégration de la Société A et les problèmes de qualité des données ont été intégrés dans la négociation d’acquisition, produisant un ajustement de prix. Le calendrier d’intégration post-acquisition a été prolongé de six mois, évitant à l’acquéreur de s’engager sur un objectif premier jour structurellement impossible. La lacune RGPD de la Société B a conduit à une clause spécifique de garantie et d’indemnisation couvrant toute action réglementaire issue de données conservées avant la clôture. Le problème de conformité des licences de la Société C a été résolu avant la clôture, le vendeur finançant la régularisation rétroactive comme condition de finalisation.
Les évaluations ont été livrées en 11 semaines sur l’ensemble des trois sociétés, dans le délai de la transaction. Les conclusions ont été structurées en feuille de route de remédiation priorisée, directement transposable dans le plan d’intégration des 100 premiers jours. Les équipes d’intégration ont abordé le premier jour en sachant ce qui devait être corrigé, dans quel ordre et à quel coût.
Recul
Ce motif fonctionne quand Salesforce porte les opérations sur la cible, pas comme un système périphérique. Le coût de l’évaluation indépendante reste faible face à celui de la transaction ; le coût d’hériter d’une dette d’intégration cachée, d’une lacune RGPD ou d’un problème de conformité de licences, lui, ne l’est pas. Cela fonctionne moins bien quand Salesforce est à peine utilisé ou tourne sur une instance Sales Cloud vanilla sans intégrations, où le gain attendu sur les constats reste borné.
À faire plus tôt : lancer la lecture en parallèle de la due diligence juridique, pas après. Les constats Salesforce nourrissent souvent les clauses que les juristes doivent rédiger. Les enchaîner en série ajoute deux semaines au délai de transaction que personne n’a.
Le motif qui ne se transpose pas : essayer de compresser tout cela en un check-up d’org d’une journée. La méthodologie 60 points couvre les surfaces où se cache le risque pertinent pour le M&A. Sauter l’architecture d’intégration ou la conformité pour gagner du temps produit des constats qui ont l’air crédibles et qui passent à côté de l’argent.
Glossaire
- Due diligence Salesforce
- Évaluation technique indépendante d'une implémentation Salesforce cible menée pendant une opération M&A. Couvre qualité de code, hygiène de configuration, architecture d'intégration, qualité de données et conformité. Distincte de la due diligence financière ou juridique, qui n'atteignent pas l'org.
- Limites du gouverneur
- Limites d'exécution imposées par la plateforme à Apex (temps CPU, mémoire heap, lignes SOQL, instructions DML). Quand une intégration ou un trigger s'approche d'une limite dans une org, il peut la dépasser sous les volumes d'une autre, provoquant des échecs silencieux ou des rollbacks de transactions.
- Trigger Apex sans gestion d'erreurs
- Élément de code qui se déclenche sur les changements d'enregistrement sans protection try/catch. Un seul enregistrement malformé peut provoquer une défaillance en cascade, bloquant des mises à jour sans rapport. Fréquent dans les orgs anciennes construites fonctionnalité par fonctionnalité, sans discipline opérationnelle.
- Politique de rétention RGPD
- Règle configurée qui supprime ou anonymise automatiquement les données personnelles après une période définie. Obligatoire pour les données de citoyens européens. Salesforce supporte la rétention via des jobs batch planifiés ou des fonctionnalités natives. L'absence d'une telle politique crée une exposition réglementaire qui peut surgir lors d'un audit ou d'une violation.
Questions fréquentes
- La due diligence financière lit les comptes. La due diligence juridique lit les contrats. Aucune des deux équipes ne dispose des compétences pour évaluer si une org Salesforce est un actif ou un passif. Le résultat est un angle mort structurel : la plateforme opérationnelle centrale de la cible est évaluée par celui que le vendeur choisit pour la décrire, et l'acheteur hérite de tout ce qui a été dissimulé. L'évaluation technique indépendante comble cet écart, mais seulement si elle a lieu avant la clôture, pas après.
- Chaque mission s'est déroulée sous accès en lecture seule séparé. Aucune modification en production, aucun accès aux données métier, uniquement les métadonnées et le schéma via Salesforce CLI. Les conclusions ont été remises à un interlocuteur unique nommé chez Affirma Capital, avec des annexes scellées par société. Les vendeurs n'ont pas été informés qu'une évaluation indépendante était en cours. C'est la pratique standard pour la due diligence Salesforce côté capital-investissement.
- Un audit complet de santé prend 8 à 12 semaines par org. Les délais M&A ne le permettent pas. La grille de 60 points est calibrée pour faire remonter les constats qui affectent significativement l'économie de la transaction, pas pour produire un backlog de remédiation exhaustif. Elle couvre l'architecture d'intégration (là où vit l'essentiel du coût caché), la conformité RGPD et de licences (là où vit l'exposition réglementaire), et les principaux schémas de qualité de données et de code qui prédisent la douleur post-acquisition. Un audit de santé complet peut suivre sur le deal gagné, une fois la clôture passée.
- Les comités de pilotage et les comités d'investissement n'agissent pas sur rouge, orange, vert. Ils agissent sur des chiffres rattachés au modèle de la transaction. Un constat estimé entre 800 K€ et 1,2 M€ devient une discussion d'ajustement de prix. Le même constat étiqueté rouge devient un débat sur la couleur. Chiffrer en argent oblige aussi à l'honnêteté sur l'incertitude : des fourchettes, pas des estimations ponctuelles, avec les hypothèses exposées.
- Oui, et la grille s'allonge. L'évaluation Agentforce ajoute la gouvernance des templates de prompts, la portée des actions d'agent, et la fondation de données sur laquelle les agents raisonnent. L'évaluation Data Cloud ajoute la qualité de résolution d'identité, la couverture des Calculated Insights, et la latence d'activation vers les clouds concernés. Le principe ne change pas : évaluation technique indépendante, chiffrée en argent, livrée dans le délai de la transaction. La liste des surfaces d'attaque, elle, s'allonge.
Réserver l'appel
On saura en 30 minutes
si je peux vous aider.
Pas de slides. Pas de pitch deck. Apportez le diagramme d'architecture ou décrivez le problème avec vos mots. Je vous dirai si je suis le bon profil et combien coûte la prochaine étape — avant que vous ayez fini votre café.
- Réponses sous 24 heures, toujours
- Si je ne suis pas le bon profil, je vous oriente vers quelqu'un qui l'est
- Aucune relance par email sauf si vous le demandez