Le RGPD n'est pas un problème juridique. C'est un problème de valorisation. Chaque acquisition d'une société opérant sur le marché européen porte un risque spécifique : la différence entre ce que le vendeur déclare et ce que les données supportent réellement. Cette différence se concentre dans trois zones : la consent architecture, la documentation des bases juridiques et l'utilisabilité des données first-party data post-close.
Ce que nous observons systématiquement dans les due diligence de sociétés soutenues par des fonds PE : la data room affiche une politique de confidentialité et peut-être un DPA fournisseur. Elle ne contient pas les registres d'audit de consentement, la documentation des bases juridiques par finalité de traitement, les journaux de demandes de personnes concernées ni les preuves de déploiement d'une CMP conforme. L'absence de ces documents n'est pas neutre. C'est le signal que la consent architecture n'a jamais été construite pour résister à un contrôle réglementaire ou à un audit d'acquéreur.
La CNIL a infligé plus de 475 millions d'euros d'amendes liées aux cookies et au consentement entre 2024 et 2025. La trajectoire d'application s'accélère. Pour les acquéreurs PE, la question n'est plus de savoir si la cible est conforme. La question est de quantifier le coût de remise en conformité et de l'intégrer dans le modèle de valorisation avant la signature.
Signaux d'alerte
La CMP est déployée mais les enregistrements de consentement ne sont pas reliés aux profils CRM. Résultat : impossible de prouver que les communications marketing reposent sur un consentement valide. 67 % des cibles que nous auditons présentent ce décalage.
Le RGPD exige une base juridique documentée pour chaque finalité de traitement. La plupart des sociétés de portefeuille n'ont pas de registre formel. Sans ce registre, l'acquéreur hérite de traitements dont la légalité est indémontrable.
L'utilisation de SaaS américains (ESP, CRM, outils d'analytics) implique des transferts de données vers les États-Unis. Depuis l'invalidation du Privacy Shield, chaque transfert nécessite des clauses contractuelles types ou un mécanisme équivalent. Peu de cibles peuvent documenter cette conformité.
Approfondir
Cadre pré-LOI : cinq domaines d'investigation pour identifier l'exposition RGPD avant la signature.
Lire l'analyse →Six domaines opérationnels à vérifier pour établir la posture RGPD d'une société de portefeuille.
Lire l'analyse →Tendances d'application 2024-2025 et ce qu'elles signifient pour les acquéreurs de sociétés D2C.
Lire l'analyse →Obligations croisées entre les deux régimes et zones de double exposition pour les sociétés PE.
Lire l'analyse →