Les vérifications qui font basculer une due diligence e-commerce : checklist d'acheteur avisé

Tu t'apprêtes à signer pour un e-commerce à six chiffres. Le vendeur t'a remis un P&L propre, des screenshots Shopify, une courbe de trafic qui monte. Tout semble carré. Et c'est exactement là que les acquéreurs se font avoir.

La due diligence e-commerce standard couvre les bases : chiffre d'affaires, marges brutes, quelques vérifications Stripe. Mais les vraies pertes post-acquisition viennent d'ailleurs. Elles viennent des angles morts que personne ne regarde parce qu'ils ne sont pas dans la checklist habituelle. Une base email morte à 60%. Un trafic SEO qui s'évapore dans six mois. Un contrat fournisseur non transférable. Une dette technique à 40k€ dissimulée sous un thème Shopify "custom".

Ce que tu vas lire ici, c'est ce qui sépare les acquisitions solides des pièges. Les vérifications complémentaires lors d'une due diligence que les acheteurs sautent systématiquement, et qui coûtent très cher une fois les fonds virés.

Pourquoi les vérifications complémentaires changent tout dans une acquisition

Un e-commerce rentable sur le papier peut être un boulet dès le mois suivant l'acquisition. Pas parce que le vendeur a menti, mais parce que les chiffres déclarés ne racontent qu'une partie de l'histoire.

Le multiple de valorisation standard tourne autour de 3x à 4x l'EBITDA annuel pour les e-commerces de taille intermédiaire (100k€ à 500k€ de CA). À ces niveaux, un écart de 15% sur les revenus réels représente entre 15k€ et 30k€ payés en trop. Et ça, c'est uniquement sur les chiffres déclarés, sans compter les coûts cachés qui apparaissent post-closing.

Les vérifications complémentaires ne servent pas à trouver des raisons de ne pas acheter. Elles servent à acheter au bon prix, avec les bonnes clauses de garantie, et sans se retrouver à gérer des urgences que le vendeur connaissait parfaitement.

La logique est simple : plus l'actif est opaque, plus les vérifications doivent être granulaires. Un e-commerce, contrairement à un actif physique, peut avoir des passifs complètement invisibles à la surface.

L'état des données client et de la base de données

Intégrité et qualification des données

La base client est souvent vendue comme un asset majeur. "50 000 emails actifs", dit le vendeur. La réalité mérite d'être creusée.

Demande un export Klaviyo ou Mailchimp des 12 derniers mois. Regarde le taux d'ouverture réel, pas celui annoncé. Un taux d'ouverture inférieur à 15% sur une base "active" signale une liste non entretenue, pleine de contacts froids ou de bounces accumulés. Une liste à 50 000 contacts avec 12% d'ouverture vaut structurellement moins qu'une liste à 15 000 contacts à 35%.

Vérifie aussi la segmentation. Est-ce que la base distingue les acheteurs des non-acheteurs ? Les clients récurrents des one-shot ? Une base plate sans segmentation, c'est un outil marketing qu'il faudra reconstruire de zéro, avec le coût en temps que ça implique.

Conformité RGPD : où ça cloche vraiment

Le RGPD, c'est le sujet que tout le monde balaie en cinq minutes en due diligence. C'est une erreur. Une base email collectée sans consentement explicite et documenté, c'est un passif réel, pas une question abstraite de conformité.

La CNIL peut sanctionner jusqu'à 4% du chiffre d'affaires mondial ou 20 millions d'euros, selon le montant le plus élevé. Pour un e-commerce qui a fait 800k€ de CA sur trois ans avec une collecte email douteuse, l'exposition est concrète.

Les points à vérifier explicitement :

• Existence d'une politique de confidentialité à jour et conforme
• Preuve de consentement documentée pour chaque source de collecte (pop-up, formulaire, checkout)
• Registre des traitements (obligatoire au-delà d'une certaine taille)
• Procédure de suppression de données sur demande
• Sous-traitants data listés et couverts par des DPA (Data Processing Agreements)

Si le vendeur ne peut pas produire ces documents en 48h, c'est soit qu'ils n'existent pas, soit qu'il y a quelque chose à cacher. Dans les deux cas, c'est une clause de garantie à négocier durement dans le SPA.

Vérifier la vraie traction SEO et le trafic organique

Analyse des positions réelles vs déclarations

Le trafic organique est l'asset SEO le plus souvent survalorisé dans les acquisitions e-commerce. Un vendeur présente Google Analytics avec une belle courbe montante. Ce que tu dois faire, c'est recouper.

Croise systématiquement les données GA4 avec Ahrefs ou Semrush. Ces outils donnent une estimation indépendante du trafic organique mensuel et des positions réelles sur les mots-clés. Si GA4 annonce 30 000 sessions organiques par mois et Ahrefs estime 8 000 visiteurs, l'écart mérite une explication très précise.

Regarde aussi l'historique des positions. Combien de mots-clés sont en top 3 ? Top 10 ? Sur quels types de requêtes : transactionnelles, informationnelles, de marque ? Un trafic majoritairement brandé (recherches sur le nom de la boutique) disparaît rapidement quand tu changes de nom ou que la notoriété de marque du vendeur disparaît avec lui.

Dépendance Google : le piège silencieux

Un site qui dépend à plus de 60% du trafic organique Google pour ses ventes est structurellement fragile. Une mise à jour Core de Google, et les revenus peuvent chuter de 30 à 50% en quelques semaines. Ce n'est pas théorique : les Core Updates de mars 2024 ont détruit des e-commerces bien positionnés en moins d'un mois.

Demande une décomposition précise des sources de trafic par canal sur les 24 derniers mois. Regarde la saisonnalité : est-ce que les pics sont liés à des actions marketing ou à du trafic organique naturel ? Un audit technique et commercial complet avant la signature peut révéler ces dépendances en quelques jours, là où tu aurais mis trois mois à les découvrir seul post-acquisition.

L'historique des revenus et la qualité des clients

Analyser les vrais chiffres au-delà du top line

Le chiffre d'affaires, c'est la première chose qu'on regarde et la moins informative si elle est isolée. Ce qui compte, c'est la structure des revenus.

Indicateur	Ce que ça révèle	Seuil d'alerte
Repeat purchase rate	Fidélité client réelle, potentiel LTV	En dessous de 20% sur 12 mois
LTV / CAC ratio	Rentabilité de l'acquisition client	LTV inférieure à 3x le CAC
Concentration des revenus	Risque si 10% clients = 60%+ du CA	Top 10 clients au-delà de 50% du CA
Taux de retour produit	Qualité perçue, litiges potentiels	Au-delà de 8% sur produits non textiles
Marge nette réelle	Rentabilité après retraitements	En dessous de 12% sur un e-com mid-market

Les retraitements comptables sont une étape incontournable. Un e-commerce géré par son fondateur a souvent des charges personnelles passées en frais professionnels (abonnements, déplacements, matériel) qui gonflent artificiellement l'EBITDA présenté. Demande les relevés bancaires professionnels des 24 derniers mois, pas seulement le P&L.

Vérifie aussi les remboursements et les chargebacks Stripe. Un taux de chargeback au-delà de 0.7% peut signaler des problèmes de satisfaction client ou, dans les cas extrêmes, de la fraude. Stripe peut fermer un compte sans préavis si ce seuil est dépassé régulièrement.

Infrastructure technique et dette cachée

Performance site, sécurité, migrations précédentes

L'infrastructure technique d'un e-commerce est rarement documentée. C'est là que se cachent les coûts qui explosent dans les six mois post-acquisition.

Commence par un audit de performance basique. Les Core Web Vitals (LCP, CLS, FID) donnent une indication de l'état du site côté Google et côté expérience utilisateur. Un LCP au-delà de 3,5 secondes sur mobile, c'est un chantier d'optimisation immédiat qui coûte du temps et potentiellement du budget développeur.

Demande l'historique des migrations : changements de plateforme, changements de thème, restructurations d'URLs. Chaque migration mal exécutée laisse des traces : redirections manquantes, pages orphelines, contenu dupliqué. Ces traces coûtent en positionnement SEO et en coûts de crawl.

Sur la sécurité, vérifie le certificat SSL, les mises à jour plugins si c'est sous WooCommerce, et l'historique des incidents (hacks, injections de scripts, compromissions de compte). Un site WooCommerce avec des plugins non mis à jour depuis 18 mois est une cible. Demande s'il y a eu des audits de sécurité récents et des sauvegardes automatiques vérifiées.

Coûts d'infra et dépendances technologiques

Liste exhaustive des outils SaaS utilisés : Shopify plan, apps Shopify actives, Klaviyo, outils de reviews (Yotpo, Okendo), heatmaps, outils de support client, ERP si applicable, WMS si stock externalisé. Chaque ligne a un coût mensuel. L'addition donne souvent un écart de 1 500 à 4 000€/mois entre les charges déclarées et la réalité.

Certaines apps Shopify facturent sur le pourcentage de CA. À 100k€/mois de CA, une app à 0.5% représente 500€/mois que tu n'as peut-être pas vu dans le P&L si elle était classée différemment. Demande les accès partenaire Shopify ou les relevés de facturation des 12 derniers mois pour chaque outil.

Vérifie aussi les dépendances de développeur : y a-t-il du code custom lourd ? Qui le maintient ? Si c'est une agence externe, quel est le contrat ? Si c'est le fondateur lui-même qui code, tu achètes une bombe à retardement sans documentation.

Les contrats fournisseurs et relations critiques

C'est l'angle le plus sous-estimé dans les acquisitions e-commerce de taille intermédiaire. Et pourtant, c'est souvent là que tout bascule.

Un fournisseur principal peut représenter 70 ou 80% des approvisionnements. Si ce fournisseur a une relation personnelle avec le fondateur-vendeur, rien ne garantit que les conditions (délais, prix, MOQ) seront maintenues après la cession. Certains accords sont tacites, non écrits, et reposent entièrement sur la confiance interpersonnelle.

Les points à vérifier systématiquement :

• Existence de contrats écrits et leur durée résiduelle
• Clauses de transfert ou de cession : est-ce que le contrat survit au changement de propriétaire ?
• Conditions tarifaires actuelles vs conditions de marché : est-ce que le vendeur bénéficie d'un tarif préférentiel lié à son ancienneté ?
• Dépôt de garantie ou avances sur stock engagées
• Fournisseur unique vs alternatives sourcées

Si un contrat fournisseur clé n'est pas transférable, c'est un levier de renégociation du prix d'acquisition. Pas une raison d'abandonner le deal, mais une donnée à intégrer dans ta valorisation. Et si le vendeur refuse de te mettre en contact direct avec son fournisseur principal avant la signature, c'est un signal fort.

Un actif e-commerce sans contrats fournisseurs transférables et documentés n'est pas un actif complet. C'est un actif sous conditions, et ces conditions méritent d'être valorisées en conséquence.

Due diligence marketing : d'où vient vraiment la croissance

La croissance d'un e-commerce peut venir de plusieurs sources très différentes en termes de durabilité. Distinguer ce qui est structurel de ce qui est conjoncturel, c'est le travail de cette section de la due diligence.

Commence par les canaux paid. Si la croissance des 12 derniers mois est majoritairement portée par Meta Ads ou Google Ads, demande l'accès en lecture aux comptes publicitaires. Regarde le ROAS réel par campagne, l'évolution du coût par acquisition, et la dépendance à des audiences spécifiques (audiences custom basées sur des données first-party du vendeur).

Certaines audiences s'évaporent à la cession. Si les campagnes Meta tournent principalement sur des audiences similaires basées sur les clients existants, et que la qualité de la base client est médiocre (comme on l'a vu plus haut), les performances publicitaires vont mécaniquement baisser dans les semaines suivant l'acquisition.

Sur le contenu et le social : l'image de marque est-elle liée à la personnalité du fondateur ? Un e-commerce dont la croissance Instagram repose sur le personal branding du vendeur perdra une partie de son audience dès que ce dernier part. C'est un passif immatériel difficile à quantifier mais réel.

Si tu prévois de scaler une boutique e-commerce après achat, comprendre exactement d'où vient la croissance actuelle est la condition pour identifier où activer les prochains leviers. Tu ne peux pas optimiser ce que tu n'as pas d'abord compris.

Vérifie aussi les partenariats d'influence ou d'affiliation : contrats en place, durée, exclusivités éventuelles. Un partenaire apportant 15% du CA qui disparaît parce que son contrat était verbal et lié au fondateur, c'est un choc de revenus à absorber dès le mois 2.

Quand faire appel à un expert pour valider

La question n'est pas "est-ce que j'ai besoin d'un expert ?". La question est "à quel moment et sur quels aspects ?"

En dessous de 50k€ de transaction, une due diligence en autonomie avec les bons outils (Ahrefs, Semrush, accès GA4, Stripe) est faisable si tu as l'expérience e-commerce. Au-delà, le rapport coût/risque justifie presque toujours l'intervention d'une expertise externe sur au moins deux dimensions : le technique et le commercial.

Le profil de l'expert importe autant que son intervention. Un cabinet comptable voit les chiffres. Il ne voit pas si le positionnement SEO est fragile ou si la stack technique est une bombe à retardement. Pour ces angles, tu as besoin d'une expertise d'agence SEO pour valider une acquisition, pas d'un généraliste.

Les domaines où l'expert est non-négociable :

• Audit SEO complet avec analyse des backlinks (toxiques, temporaires, PBN)
• Revue de la stack technique et identification de la dette cachée
• Validation de la conformité RGPD et identification des passifs data
• Analyse de la qualité des revenus et retraitements EBITDA
• Vérification des contrats fournisseurs et des clauses de transfert

L'expert intervient idéalement en phase de due diligence exclusive, après la LOI signée mais avant le SPA. C'est le moment où tu as accès aux données confidentielles et où les findings peuvent encore impacter le prix ou les conditions de garantie.

Questions fréquentes

Quelles vérifications ne pas ignorer avant d'acheter un site e-commerce rentable ?

Au-delà des chiffres de base, les vérifications critiques portent sur la qualité et la conformité de la base client, la réalité du trafic SEO (croisement GA4 et outils tiers), la structure des revenus (repeat rate, LTV, concentration), la dette technique cachée, et la transférabilité des contrats fournisseurs. Ces quatre angles concentrent l'essentiel des mauvaises surprises post-acquisition.

Comment vérifier que le trafic SEO déclaré est réel et pas gonflé ?

Croise systématiquement les données Google Analytics avec une estimation indépendante via Ahrefs ou Semrush. Demande l'accès à Google Search Console pour voir les clics et impressions directement depuis Google. Un écart significatif entre les sources doit être expliqué. Regarde aussi l'historique sur 24 mois : un pic récent non récurrent ne vaut pas un positionnement stable.

Quels documents et données demander en due diligence e-commerce ?

Relevés bancaires professionnels des 24 derniers mois, export Stripe avec détail des transactions et chargebacks, accès en lecture GA4 et Google Search Console, export base email avec taux d'engagement, contrats fournisseurs, liste des outils SaaS avec facturation, documentation RGPD (politique de confidentialité, registre des traitements, preuves de consentement), et historique de la stack technique si des migrations ont eu lieu.

Quels pièges cachés coûtent le plus cher après une acquisition e-commerce ?

Les quatre postes les plus coûteux sont : la dette technique (refontes non anticipées à 30-60k€), la perte de trafic SEO suite à une dépendance mal évaluée, les coûts SaaS sous-déclarés dans le P&L, et les fournisseurs dont les conditions ne survivent pas au changement de propriétaire. Ces postes cumulés peuvent représenter 20 à 40% du prix payé en coûts supplémentaires dans la première année.

Dois-je faire auditer le site par un expert avant de signer ?

Oui, au-delà de 50-80k€ de transaction. Le coût d'un audit technique et commercial complet est marginal par rapport à ce qu'il peut révéler ou permettre de renégocier. Sur un deal à 150k€, un audit qui identifie 20k€ de dette cachée ou justifie une baisse de prix de 10% s'autofinance largement. C'est une dépense de protection, pas une dépense optionnelle.

Comment évaluer la dépendance vis-à-vis d'une seule source de trafic ?

Demande une décomposition détaillée des sources de trafic sur 24 mois dans GA4. Calcule la part de chaque canal dans les revenus, pas seulement dans le trafic. Si un canal (Google organique, Meta Ads, un seul partenaire) représente plus de 50% des revenus, évalue précisément ce qui se passe si ce canal baisse de 30%. Si la réponse est "l'activité n'est plus rentable", tu as une dépendance critique à intégrer dans la valorisation ou les conditions de garantie.

Ce que tu dois faire avant de signer

Une due diligence sérieuse sur un e-commerce prend entre deux et quatre semaines selon la taille de l'actif et la qualité de la documentation disponible. Ce n'est pas une formalité. C'est le seul moment où tu as du pouvoir de négociation et où les informations sont accessibles légalement.

Chaque angle évoqué dans cet article est un levier. Un levier pour négocier le prix, pour sécuriser des garanties contractuelles, pour calibrer tes hypothèses de cash-flow post-acquisition. Ce n'est pas de la paranoïa, c'est de la rigueur financière appliquée à un actif spécifique.

Les acquisitions e-commerce qui se passent bien ne sont pas celles où le vendeur était parfaitement honnête. Ce sont celles où l'acheteur a regardé aux bons endroits, posé les bonnes questions, et négocié des clauses de garantie solides basées sur des faits vérifiés plutôt que des déclarations.

Si tu es en phase d'analyse sur un actif, le catalogue de listings ecomx donne accès à des dossiers avec des métriques pré-vérifiées et une documentation structurée, ce qui réduit le travail de due diligence initiale sans le remplacer.