La plupart des due diligence PE traitent la conformité RGPD comme une case à cocher juridique. La cible a-t-elle une politique de confidentialité ? Un DPO ? Un registre des traitements ? Ces questions sont nécessaires mais insuffisantes. Elles ne révèlent pas si les données que l'acquéreur achète sont effectivement utilisables post-close.
L'investigation qui protège réellement la thèse d'investissement se concentre sur cinq domaines spécifiques. Chacun produit un résultat mesurable : soit la donnée est exploitable dans la stratégie post-acquisition, soit elle ne l'est pas et le coût de remise à niveau doit être intégré au modèle.
1. Cartographie de la consent architecture
Premier domaine : la manière dont le consentement est collecté, stocké et relié aux profils utilisateurs. La question n'est pas de savoir si une CMP existe. C'est de vérifier que chaque enregistrement de consentement est horodaté, attribué à un profil identifiable et associé à une finalité précise de traitement.
Demandez l'extraction des enregistrements de consentement de la CMP sur les 12 derniers mois. Comparez le volume avec le nombre de profils actifs dans le CRM. Si l'écart dépasse 15 %, la consent architecture présente une faille structurelle. Les profils sans consentement documenté ne peuvent pas être utilisés pour du marketing direct post-close sans risque réglementaire.
2. Documentation des bases juridiques
Le RGPD impose six bases juridiques possibles pour le traitement de données personnelles. Chaque finalité de traitement doit être adossée à l'une d'entre elles, documentée avant le début du traitement. En pratique, la majorité des sociétés de portefeuille n'ont pas de registre formel associant chaque traitement à sa base juridique.
L'absence de ce registre crée un problème spécifique en contexte d'acquisition : l'acquéreur ne peut pas démontrer la légalité des traitements hérités. Si la CNIL demande la preuve de la base juridique pour un traitement marketing, le silence documentaire équivaut à une non-conformité. L'amende potentielle atteint 4 % du chiffre d'affaires annuel mondial.
Exigez le registre des traitements (article 30 du RGPD). Vérifiez que chaque traitement mentionne la base juridique retenue, la date de documentation et le responsable interne. Si ce registre n'existe pas, estimez le coût de sa constitution post-close et intégrez-le au 100-day plan.
3. Audit des transferts internationaux
Toute société européenne utilisant des outils SaaS hébergés aux États-Unis transfère des données personnelles hors UE. Depuis l'arrêt Schrems II, chaque transfert nécessite un mécanisme juridique validé : clauses contractuelles types (CCT), règles d'entreprise contraignantes, ou décision d'adéquation.
Demandez la liste complète des sous-traitants et fournisseurs SaaS avec leur localisation de stockage. Pour chaque fournisseur hors UE, vérifiez l'existence de CCT signées et l'évaluation d'impact du transfert (Transfer Impact Assessment). L'absence de ces documents expose l'acquéreur à des injonctions de suspension de transfert par les autorités de contrôle.
4. Gestion des demandes de personnes concernées
Le RGPD accorde aux personnes concernées des droits d'accès, de rectification, d'effacement et de portabilité. La cible doit démontrer un processus opérationnel pour traiter ces demandes dans le délai légal d'un mois.
Demandez les journaux de demandes sur les 24 derniers mois. Vérifiez le délai moyen de traitement, le taux de conformité au délai légal et l'existence d'un processus documenté. Si la cible n'a pas de journaux, deux hypothèses : elle ne reçoit pas de demandes (improbable pour une société D2C européenne) ou elle ne les enregistre pas (non-conformité caractérisée).
5. Gouvernance du stack MarTech
Le stack MarTech est le véhicule opérationnel du traitement de données. Chaque outil du stack (CRM, ESP, plateforme analytics, CDP, outil de personnalisation) traite des données personnelles selon des modalités spécifiques. La conformité RGPD du stack exige que chaque outil soit couvert par un DPA conforme, que les flux de données entre outils soient documentés et que les durées de conservation soient respectées.
Cartographiez le stack complet et vérifiez pour chaque outil : existence d'un DPA signé, localisation du stockage, durée de conservation configurée, et flux de données entrants et sortants. La réalité que nous constatons : les sociétés de portefeuille ont en moyenne 14 outils MarTech actifs. Moins de la moitié sont couverts par des DPA à jour.
Ce déficit de gouvernance du stack n'est pas qu'un problème documentaire. Il crée un risque concret : si un sous-traitant subit une violation de données et que le DPA est absent ou obsolète, la responsabilité du traitement retombe intégralement sur la société de portefeuille. L'acquéreur hérite de cette exposition au closing.