Business digital : activités prohibées et réglementées

Tu regardes un business e-commerce qui tourne bien. Marges correctes, trafic organique solide, quelques milliers d'euros de bénéfice net par mois. Et puis, en creusant, tu réalises que la moitié du catalogue est composée de compléments alimentaires avec des allégations thérapeutiques non validées. Ou que le site fait de l'affiliation vers des plateformes de jeux d'argent sans licence ARJEL. Ou que le SaaS collecte des données comportementales sans base légale RGPD propre.

Ce genre de découverte en post-acquisition, c'est le scénario cauchemar. Pas parce que le business est forcément mort — mais parce que tu hérites d'un passif réglementaire que tu n'as pas pricé. Et dans le M&A digital, ce qui n'est pas pricé, c'est toi qui l'absorbes.

Voici ce que tu dois savoir avant de signer quoi que ce soit sur un business qui opère dans un secteur sensible.

L'essentiel

Activité prohibée et activité réglementée sont deux réalités juridiques radicalement différentes — et la confusion entre les deux est la principale source d'erreur en acquisition.
E-commerce, affiliation, SaaS : chaque modèle a ses zones grises spécifiques. Les connaître avant la due diligence, c'est gagner du temps et éviter les mauvaises surprises.
Une activité réglementée bien documentée peut justifier une prime de valorisation. Mal gérée, elle décote le multiple de 0,5x à 2x selon l'exposition.
DSA, DMA, IA Act : la pression réglementaire européenne de 2024-2025 crée de nouveaux risques que les vendeurs ne mentionnent pas spontanément.
Plusieurs clauses contractuelles sont non négociables dans le SPA dès qu'un secteur réglementé est impliqué — garantie d'actif/passif renforcée, représentations et garanties précises, mécanisme d'earn-out conditionnel.

Pourquoi c'est un sujet critique en acquisition de business digital

Un business physique dans un secteur réglementé, ça se voit. Une pharmacie, un bureau de tabac, une agence de sécurité privée : la réglementation est visible, les licences sont affichées, les contrôles sont réguliers. Dans le digital, c'est plus opaque. Un site peut générer 15 000 € nets par mois pendant deux ans dans une zone grise totale — sans jamais avoir fait l'objet d'un contrôle. Jusqu'au jour où ça saute.

Le problème en acquisition : tu achètes aussi le passif non déclaré. Si le vendeur a opéré sans les autorisations requises, sans conformité RGPD, ou avec des pratiques commerciales trompeuses, la DGCCRF, la CNIL ou l'AMF peuvent te poursuivre après la cession — même si tu n'y es pour rien. Les garanties d'actif et de passif existent exactement pour ça, mais encore faut-il les rédiger avec précision et que le vendeur soit solvable pour les honorer.

L'autre enjeu : la valorisation. Estimer la valeur d'un business digital sans intégrer le risque réglementaire, c'est travailler sur une base faussée. Un business CBD qui tourne à 3x EBITDA peut en réalité valoir 1,5x si la conformité produit n'est pas en ordre. Inversement, un business d'affiliation finance avec agrément AMF en règle peut justifier une prime par rapport au marché.

La distinction fondamentale : activité prohibée vs activité réglementée

Ce qui est interdit, point final

Certaines activités sont illégales en France et dans l'UE, sans exception. Acheter un business qui opère sur ces segments, c'est acheter un passif pénal. Aucune clause contractuelle ne t'en protège vraiment.

Vente de médicaments de prescription sans circuit pharmaceutique agréé
Commerce de stupéfiants ou de précurseurs chimiques non autorisés
Contenu à caractère pédopornographique (évident, mais des sites de contenu "adulte" peuvent héberger des zones grises)
Jeux d'argent en ligne sans licence délivrée par l'ANJ (ex-ARJEL)
Activités de conseil financier sans agrément AMF ou CIF enregistré
Vente de produits contrefaits ou de marques usurpées
Collecte et revente de données personnelles sans consentement (infraction pénale depuis la loi Informatique et Libertés révisée)

Ce qui est autorisé sous conditions — et les conditions, ça se vérifie

La majorité des cas que tu croiseras en acquisition ne sont pas des activités illégales — ce sont des activités légales mal encadrées. C'est là que se concentre l'essentiel du risque opérationnel post-acquisition.

L'autorisation existe mais elle est nominative, donc non transférable automatiquement lors d'une cession. Un agrément ANJ, une accréditation de laboratoire, un statut CIF enregistré à l'ORIAS : tout ça est attaché à une personne morale ou physique spécifique. Si le business change de main sans procédure de transfert ou de re-dépôt, tu opères sans licence le lendemain de la signature.

C'est un point que les vendeurs oublient souvent de mentionner — parfois de bonne foi.

Les secteurs digitaux les plus exposés

E-commerce : produits réglementés, compléments alimentaires, CBD, armes, alcool

Le e-commerce est le segment le plus exposé en volume. Plusieurs catégories concentrent l'essentiel des risques :

Compléments alimentaires : allégations santé encadrées par le règlement CE 1924/2006. Toute allégation thérapeutique non validée par l'EFSA est interdite. Beaucoup de sites en font — et les sanctions DGCCRF sont réelles (amendes jusqu'à 300 000 € et interdiction commerciale).

CBD : légal en France depuis 2021 pour les fleurs et résines à moins de 0,3% de THC, mais le cadre reste instable. Les règles de merchandising, d'allégations et de distribution évoluent. Un business CBD sans conformité documentée est un actif à risque élevé.

Alcool : soumis à la loi Évin pour la publicité. Un site e-commerce d'alcool qui fait du social media marketing ou des newsletters avec des visuels non conformes est exposé.

Armes et accessoires : catégories très encadrées par le code de la défense. La vente en ligne est possible sous conditions strictes. Vérifie les autorisations préfectorales et les procédures KYC acheteur.

Sites de contenu et affiliation : jeux d'argent, finance, santé

Un site de contenu peut sembler anodin — et générer un revenu passif solide via l'affiliation. Mais les programmes d'affiliation dans trois secteurs créent des risques spécifiques.

Jeux d'argent : l'affilié qui promeut un opérateur sans licence ANJ en France est lui-même exposé. Si le site redirige vers des bookmakers non agréés, tu entres dans une complicité de jeux illégaux.

Finance : conseils d'investissement, comparateurs de brokers, contenu sur les cryptos avec des appels à l'action — tout ça peut tomber sous la qualification de conseil en investissement non autorisé. L'AMF surveille activement les influenceurs et sites de contenu financier.

Santé : un site de contenu médical avec de l'affiliation vers des produits de santé doit faire attention aux allégations. La frontière entre contenu éditorial et promotion déguisée est surveillée.

SaaS et outils data : RGPD, collecte de données, IA Act

Le SaaS est souvent perçu comme le segment le plus "propre" en acquisition. C'est faux dès qu'on regarde la couche data.

Un outil qui collecte des données comportementales, enrichit des profils ou fait du scoring automatisé doit avoir une base légale RGPD propre, des contrats DPA (Data Processing Agreement) avec ses clients B2B, et une politique de conservation des données documentée. Sans ça, la CNIL peut sanctionner — et les sanctions ont monté : 50 millions d'euros pour Google en 2019, 150 millions pour Facebook en 2022.

Avec l'IA Act entré en vigueur en 2024, les outils d'IA à haut risque (recrutement, crédit, scoring RH) ont des obligations de transparence et d'audit spécifiques. Si tu acquiers un SaaS IA sans évaluation de conformité à l'IA Act, tu hérites d'un chantier réglementaire lourd.

Comment une activité réglementée impacte la valorisation

Décote ou prime selon le dossier de conformité

Business réglementé — conformité absente ou partielle

Dossier réglementaire incomplet, licences non transférables, allégations produits non conformes, absence de DPA avec les clients. Le risque est réel et non quantifié. Le repreneur doit provisionner un budget mise en conformité (souvent 20 000 à 80 000 € selon la complexité) ET accepter un risque résiduel. Résultat : décote de 0,5x à 2x sur le multiple EBITDA par rapport à un business équivalent dans un secteur non réglementé.

Business réglementé — conformité documentée et transférable

Licences en ordre, procédure de transfert identifiée, contrats fournisseurs conformes, dossier RGPD complet, aucun contentieux en cours. La barrière réglementaire devient un avantage concurrentiel : elle protège contre les nouveaux entrants. Un acheteur informé peut accepter un multiple supérieur au marché, justement parce que la conformité est un actif rare dans le secteur.

Ce que ça change sur le multiple EBITDA

1,5x – 2,5x

Multiple EBITDA typique pour un e-commerce dans un secteur non réglementé (SMB, <500k€ de SDE)

-30% à -50%

Décote observée sur les business en zone grise réglementaire non documentée

3x – 5x

Multiple atteignable pour un SaaS ou site d'affiliation avec conformité irréprochable dans un secteur réglementé à haute barrière

Due diligence : les vérifications non négociables sur ce sujet

Documents à demander systématiquement au vendeur

Type de business	Documents obligatoires	Autorité de référence
E-commerce produits réglementés	Certificats produits, contrats fournisseurs, déclarations DGCCRF, historique des réclamations clients	DGCCRF, ANSM (médicaments), ANSES (alimentation)
Affiliation jeux d'argent	Contrats d'affiliation, liste des opérateurs partenaires avec vérification licence ANJ	ANJ (ex-ARJEL)
Site de contenu finance / crypto	Statut CIF/PSAN, enregistrement ORIAS, liste des produits recommandés avec qualification	AMF, ACPR
SaaS avec collecte de données	Registre des traitements CNIL, DPA clients, politique de conservation, audit sécurité	CNIL
SaaS IA à usage professionnel	Évaluation de conformité IA Act (classification risque), documentation technique du modèle	Commission européenne / autorité nationale désignée

Les red flags qui doivent bloquer ou renégocier le deal

Refus du vendeur de fournir les contrats fournisseurs complets — ça cache souvent un sourcing non conforme
Licences au nom du dirigeant personne physique, non transférables à la société rachetée
Contentieux ou mise en demeure DGCCRF/CNIL en cours, même "en cours de résolution"
Revenus d'affiliation issus d'opérateurs non licenciés en France (vérifiable sur le site de l'ANJ)
Absence totale de registre des traitements pour un SaaS qui manipule des données personnelles
Catalogue produit avec des allégations santé non étayées sur plus de 20% des SKU

Protections contractuelles : ce qu'il faut intégrer dans le SPA

Le Sale and Purchase Agreement (SPA) est ton dernier filet. Si la due diligence n'a pas tout révélé — et elle ne révèle jamais tout — c'est le SPA qui détermine qui paie quoi.

Sur un business en secteur réglementé, plusieurs clauses sont non négociables :

Garantie d'actif et de passif (GAP) renforcée : la GAP standard couvre les passifs non déclarés. Sur un business réglementé, tu dois l'élargir explicitement aux passifs réglementaires — amendes CNIL, redressements DGCCRF, contentieux ANJ — avec un plafond suffisant et une durée étendue (3 à 5 ans selon le secteur, pas 18 mois).

Représentations et garanties précises : le vendeur déclare par écrit que toutes les licences sont valides, transférables, et qu'aucune procédure réglementaire n'est en cours ou prévisible à sa connaissance. Une fausse déclaration engage sa responsabilité.

Earn-out conditionnel : si une partie du prix est variable (earn-out), tu peux conditionner le versement à l'obtention effective des transferts de licences et à l'absence de mise en demeure réglementaire dans les 12 mois post-closing.

Séquestre : sur les deals où le risque réglementaire est significatif mais non bloquant, un mécanisme de séquestre (escrow) de 10 à 20% du prix pendant 12 à 24 mois te protège sans faire capoter la transaction.

DSA, DMA, régulation européenne : l'impact concret sur les business digitaux en 2024-2025

Le Digital Services Act (DSA) et le Digital Markets Act (DMA) sont entrés en application respectivement en 2024 pour les plateformes de taille intermédiaire. Concrètement, qu'est-ce que ça change pour toi en tant qu'acheteur ?

DSA : toute plateforme qui héberge du contenu tiers (marketplace, forum, site de reviews) a des obligations de modération, de transparence sur les algorithmes de recommandation, et de signalement des contenus illégaux. Un e-commerce avec une section UGC (avis, forum) doit avoir mis en place les procédures de notice and action. Si ce n'est pas fait, tu hérites d'une non-conformité avec des amendes potentielles jusqu'à 6% du chiffre d'affaires mondial.

DMA : impacte principalement les très grandes plateformes ("gatekeepers"). Mais attention : si le business que tu achètes dépend fortement d'un gatekeeper (Google, Amazon, Meta) pour sa distribution, les obligations DMA sur ces plateformes peuvent modifier les conditions d'accès et impacter directement le modèle économique post-acquisition.

IA Act (2024) : les systèmes d'IA à haut risque doivent être enregistrés dans une base de données EU. Les outils d'IA générative ont des obligations de transparence. Si le SaaS que tu achètes intègre de l'IA — même via API OpenAI — une évaluation de conformité IA Act est nécessaire avant closing.

La régulation européenne de 2024-2025 n'est pas une contrainte théorique. C'est un risque financier direct, chiffrable, qui doit apparaître dans ta valorisation et dans ton SPA.

Ce que tu dois faire avant de signer une LOI sur un business sensible

La Letter of Intent (LOI) n'est pas le closing — mais elle engage moralement et crée une exclusivité. Signer une LOI sur un business en secteur réglementé sans avoir fait ces vérifications préalables, c'est négocier sans carte.

Avant la LOI, tu dois avoir :

Identifié le secteur réglementaire et les autorités de tutelle applicables
Vérifié l'existence des licences/agréments sur les registres officiels (ORIAS, ANJ, AMF, CNIL)
Posé explicitement la question des transferts de licences au vendeur et obtenu une réponse écrite
Estimé le budget de mise en conformité si des gaps sont identifiés
Intégré ces éléments dans ta valorisation initiale — le prix proposé dans la LOI doit déjà refléter le risque réglementaire

La due diligence approfondie (juridique, comptable, technique) arrive après la LOI. Mais si tu signes une LOI à un prix qui ne tient pas compte du risque réglementaire, tu auras du mal à renégocier ensuite sans faire capoter le deal.

Pour avoir une base de valorisation solide avant d'aller plus loin, l'outil d'estimation de la valeur d'un business digital te donne un premier cadrage rapide intégrant les facteurs de risque sectoriels.

Ce qu'il faut retenir

La réglementation n'est pas un obstacle à l'acquisition de business digitaux dans des secteurs sensibles. C'est une variable de pricing. Un business CBD, un comparateur financier, un SaaS data-driven : tous peuvent être de très bons investissements — à condition que le prix reflète le risque, que la conformité soit vérifiable, et que le SPA te protège sur ce que tu n't'es pas vu.

Ce que tu ne peux pas faire, c'est acheter ces business comme s'ils étaient des e-commerces de mode ou des blogs de recettes. Le cadre d'analyse est différent. La due diligence est différente. Et la structure contractuelle est différente.

Les business digitaux actuellement en vente sur ecomx incluent des dossiers dans des secteurs réglementés, avec le niveau de documentation attendu. Tu as identifié un business dans un secteur réglementé et tu veux savoir si le deal tient la route ? Se faire accompagner sur l'acquisition avec une équipe qui a déjà traité ce type de dossier, c'est la différence entre un closing propre et un passif non pricé.