Demander un diagnostic
Accueil/ Actualités/ Reprendre une entreprise : auditez son…

Reprendre une entreprise : auditez son informatique avant de signer

Publié le 13 août 2025

La due diligence informatique, l'angle mort de presque toutes les reprises

Quand un dirigeant s'apprête à reprendre une entreprise, il fait examiner à peu près tout. Le comptable épluche les bilans, l'avocat décortique les contrats commerciaux et les baux, l'expert évalue les stocks, les machines et le fonds de commerce. On parle de garantie d'actif et de passif, on négocie des clauses, on provisionne des risques. Et dans ce déploiement de prudence, il reste une pièce que presque personne ne pense à ouvrir : le système d'information. L'audit informatique de l'entreprise cédée est, dans l'immense majorité des dossiers de reprise, tout simplement absent.

Le paradoxe est saisissant. On vérifie que le camion de livraison roule, mais pas que le logiciel qui déclenche les livraisons continuera de fonctionner. On s'assure que le local est aux normes, mais pas que le nom de domaine du site internet appartient bien à l'entreprise que l'on rachète. On compte les palettes en stock, mais on ne demande jamais s'il existe une sauvegarde des données clients. Cet oubli n'a rien d'anodin : dans une entreprise moderne, même une petite structure des Alpilles ou de la vallée de la Durance, l'informatique n'est plus un accessoire. C'est le système nerveux de l'activité. Le jour où il tombe, tout tombe avec lui.

Cet article s'adresse au repreneur, mais aussi au cédant honnête qui veut vendre une entreprise saine, et au conseil qui accompagne l'opération. Il décrit ce que l'on découvre trop souvent après la signature, quand il est trop tard pour négocier, puis il donne une méthode : une checklist d'audit à mener avant de signer, les questions à poser au cédant, et ce qui doit impérativement figurer dans l'acte de cession. L'objectif est simple : que vous ne rachetiez jamais une coquille numérique en croyant acquérir un outil de travail.

Ce que l'on découvre après la signature, quand il est trop tard

Le scénario se répète avec une régularité déprimante. La signature a eu lieu, les mains se sont serrées, l'ancien propriétaire est parti profiter de sa retraite ou de son nouveau projet. Et dans les jours ou les semaines qui suivent, le repreneur découvre une succession de mauvaises surprises qui, cumulées, transforment une acquisition prometteuse en parcours du combattant.

Voici le catalogue, hélas très concret, de ce qui remonte à la surface une fois l'encre séchée :

  • Des licences logicielles non transférables. Le logiciel de comptabilité, la suite bureautique ou l'antivirus étaient au nom personnel de l'ancien dirigeant, ou liés à une adresse e-mail que plus personne ne contrôle. Le rachat de l'entreprise n'emporte pas automatiquement le droit d'usage.
  • Un logiciel métier abandonné par son éditeur. L'outil qui fait tourner toute la production n'est plus maintenu, l'éditeur a fermé ou a cessé de le suivre, il n'existe ni mise à jour ni support, et personne ne sait le faire évoluer.
  • Un nom de domaine au nom de l'ancien webmaster. L'adresse du site internet et, pire encore, les adresses e-mail professionnelles sont enregistrées au nom d'un prestataire ou d'un ami qui a « rendu service » il y a des années, et qui n'est plus joignable.
  • Des comptes Google et des réseaux sociaux inaccessibles. La fiche d'établissement sur les moteurs de recherche, la page professionnelle sur les réseaux, le compte publicitaire : tout est là, visible du public, mais les identifiants ont disparu avec le salarié ou le cédant.
  • Aucune sauvegarde. Les données clients, la comptabilité, les documents de production reposent sur un seul disque, sans copie, sans historique. Une panne, et la mémoire de l'entreprise s'évapore.
  • Un serveur en fin de vie. La machine qui héberge tout tourne sur un système d'exploitation qui n'est plus mis à jour, un matériel hors d'âge, prêt à lâcher, et impossible à remplacer sans un chantier complet.
  • Des contrats de maintenance reconduits tacitement. Des abonnements et des contrats se prolongent automatiquement d'année en année, parfois pour des services que personne n'utilise plus, et qu'il faudra dénoncer dans des délais que l'on découvre trop tard.
  • Des données personnelles non conformes. Le fichier clients a été constitué sans base légale claire, sans information des personnes, sans mesures de sécurité. Le passif de non-conformité au règlement sur la protection des données se transmet avec l'entreprise.

Chacun de ces points, pris isolément, peut coûter du temps et de l'argent. Pris ensemble, ils peuvent remettre en cause la rentabilité même de la reprise. Or tous, sans exception, étaient identifiables avant la signature, à condition de savoir où regarder. Reprenons-les par grandes familles.

Les logiciels métier : licences fantômes et éditeurs disparus

Le cœur battant d'une entreprise, c'est souvent son logiciel métier. Le fichier de gestion des dossiers d'un cabinet, l'outil de production d'un atelier, le logiciel de caisse et de stock d'un commerce, l'application qui pilote un moulin à huile pendant la campagne oléicole. Ce logiciel n'est pas un détail technique : il concentre le savoir-faire, l'historique et la manière de travailler de l'entreprise. C'est aussi le point où les surprises coûtent le plus cher.

Première question à trancher : la licence est-elle transférable ? Beaucoup de logiciels professionnels sont vendus sous licence nominative, attachée à une personne morale précise, voire à une personne physique. Un rachat de titres ou de fonds de commerce ne transporte pas mécaniquement ce droit d'usage. Il faut lire les conditions de licence, vérifier au nom de qui l'outil est enregistré, et obtenir de l'éditeur l'accord écrit de transfert. Faute de quoi, le repreneur se retrouve à utiliser un logiciel sans en avoir le droit, exposé à devoir tout racheter au prix fort.

Deuxième question, plus grave encore : l'éditeur existe-t-il toujours, et maintient-il l'outil ? Un logiciel métier abandonné, sans mises à jour ni support, est une bombe à retardement. Il fonctionne tant que rien ne change, puis un jour un poste tombe en panne, une nouvelle réglementation impose une évolution, ou le système d'exploitation cesse d'être compatible, et l'entreprise se retrouve prisonnière d'un outil que personne ne peut plus faire vivre. On parle alors de dette technique, et elle se paie toujours au pire moment. Ce sujet rejoint celui, plus large, des logiciels que l'on paie sans les utiliser, car un audit sérieux révèle presque toujours un mélange d'outils indispensables et d'abonnements dormants.

Il faut donc, avant de signer, dresser l'inventaire complet du parc logiciel : quels outils, sous quelles licences, à quel nom, avec quel contrat de maintenance, quel éditeur et quelle feuille de route. Cet inventaire vous dira si vous rachetez un outil pérenne ou une impasse. Chez ELS Conseil, éditeur de l'ERP Raynata pour les TPE et PME, nous savons ce que représente un logiciel de gestion bien maintenu, et à l'inverse le coût d'un outil orphelin. La question à se poser n'est jamais seulement « est-ce que ça marche aujourd'hui », mais « qui garantit que ça marchera encore dans trois ans ».

Nom de domaine, e-mails et comptes en ligne : à qui appartiennent-ils vraiment ?

Voici sans doute la zone où les reprises réservent le plus de mauvaises surprises, parce qu'elle est immatérielle et invisible. Une entreprise, ce n'est plus seulement des murs et des machines : c'est aussi une identité numérique. Un nom de domaine, des adresses e-mail, un site internet, une fiche d'établissement en ligne, des comptes sur les réseaux sociaux, un compte publicitaire, un accès à la plateforme d'hébergement. Tout cela a de la valeur, et tout cela peut vous échapper.

Le nom de domaine est le cas d'école. Cette adresse en « .fr » ou en « .com », que les clients tapent et à laquelle sont rattachées les adresses e-mail professionnelles, est louée auprès d'un bureau d'enregistrement. La question cruciale est : au nom de qui ? Trop souvent, on découvre après coup que le domaine a été réservé au nom personnel de l'ancien webmaster, d'un stagiaire de l'époque, ou d'une agence qui n'existe plus. Le jour où il faut renouveler, modifier une configuration ou récupérer le contrôle, personne n'a la main. Si le domaine expire faute d'avoir été renouvelé par son titulaire réel, il peut être capté par un tiers, et l'entreprise perd son adresse et ses e-mails du jour au lendemain.

Les comptes en ligne posent le même problème, en pire, car ils ne se « transfèrent » pas toujours simplement. La fiche d'établissement sur les moteurs de recherche, qui pèse lourd dans la visibilité locale d'un commerce de Saint-Rémy-de-Provence ou de Châteaurenard, est rattachée à un compte précis. Les pages de réseaux sociaux, la boutique en ligne, le compte de campagnes publicitaires : chacun a un propriétaire déclaré, et récupérer un accès perdu relève parfois du parcours administratif long et incertain. Nous détaillons cette question de la maîtrise de sa présence en ligne dans nos pages consacrées aux réseaux et à l'infrastructure d'entreprise.

Le principe à retenir est simple : tout ce qui constitue l'identité numérique de l'entreprise doit être détenu par l'entreprise elle-même, pas par un individu, pas par un prestataire. Avant de signer, exigez la liste des accès, leur titulaire réel et la preuve que la personne morale rachetée en est bien propriétaire ou pourra le devenir. C'est exactement le type de dépendance qui se paie cher quand, faute de l'avoir anticipée, on se retrouve dans la situation décrite dans notre article « mon prestataire ne répond plus » : un tiers détient les clés, et l'entreprise est à sa merci.

L'infrastructure : serveurs en fin de vie, sauvegardes fantômes et contrats dormants

Sous les logiciels et les comptes, il y a la couche matérielle : les ordinateurs, le serveur ou le NAS, le réseau, la connexion internet, les sauvegardes. C'est la fondation, et une fondation fissurée met en péril tout l'édifice. Or, dans une entreprise que l'on n'a pas fait auditer, l'état réel de cette fondation est une inconnue.

Le serveur en fin de vie est un classique. Une machine achetée il y a de nombreuses années, qui tourne encore, mais sur un système d'exploitation qui n'est plus mis à jour par son éditeur, donc plus protégé contre les failles de sécurité. Le matériel lui-même vieillit : disques usés, alimentation fatiguée, pièces qu'on ne trouve plus. Tant qu'il tourne, tout va bien. Le jour où il s'arrête, l'entreprise s'arrête. Reprendre une entreprise dont l'infrastructure est en bout de course, c'est hériter d'un investissement de renouvellement qu'il faut chiffrer avant de signer, pas après.

Vient ensuite la question des sauvegardes, la plus critique de toutes. Trop d'entreprises n'en ont aucune, ou croient en avoir. Un disque externe branché en permanence, jamais testé, n'est pas une sauvegarde fiable. Une copie qui n'a jamais été restaurée n'existe pas vraiment. Avant de racheter la mémoire d'une entreprise, son fichier clients, sa comptabilité, ses années d'historique, il faut vérifier qu'il existe des sauvegardes, qu'elles sont récentes, qu'elles sont conservées ailleurs que sur la machine principale, et qu'elles ont déjà été restaurées avec succès. Une entreprise sans sauvegarde est une entreprise dont le patrimoine peut disparaître en une panne.

Enfin, les contrats de maintenance et abonnements reconduits tacitement. Un audit d'infrastructure sérieux liste tous les engagements en cours : infogérance, télésurveillance, hébergement, licences en abonnement, opérateur télécom, terminal de paiement. Beaucoup se reconduisent seuls, à des tarifs parfois obsolètes, avec des préavis de résiliation stricts qu'il vaut mieux connaître avant de reprendre. Certains portent sur des services que plus personne n'utilise, d'autres sont indispensables et ne doivent surtout pas être interrompus par mégarde au moment de la transition. Dans les deux cas, on ne peut décider qu'en ayant la liste sous les yeux.

Les données personnelles : un passif de conformité qui se transmet

Il y a un actif qui ne figure sur aucun bilan et qui, pourtant, peut se muer en passif : les données personnelles détenues par l'entreprise. Le fichier clients, la base de prospects, les données des salariés, l'historique des commandes. Le règlement général sur la protection des données, appliqué en France sous le contrôle de la CNIL, impose des obligations précises sur la manière de collecter, de conserver et de sécuriser ces informations. Et ces obligations, comme le reste, se transmettent avec l'entreprise.

Concrètement, si l'entreprise cédée a constitué son fichier clients sans base légale claire, sans informer les personnes, sans registre des traitements, sans mesures de sécurité raisonnables, le repreneur hérite de cette situation non conforme. Il devient responsable du traitement et, à ce titre, exposé aux conséquences d'un manquement qu'il n'a pas commis mais qu'il a accepté en reprenant l'activité. Un audit de conformité, même sommaire, permet d'identifier ce passif et, le cas échéant, de le faire corriger ou de l'intégrer à la négociation.

Les points à examiner sont connus : existe-t-il un registre des traitements ? Les mentions d'information sur les formulaires et le site sont-elles présentes ? Les données sont-elles conservées pour une durée justifiée, ou accumulées sans limite ? Sont-elles sécurisées, sauvegardées, protégées des accès non autorisés ? Y a-t-il eu des sous-traitants, et sous quel encadrement ? Nous avons consacré à ce sujet un guide complet, ce que le RGPD impose vraiment à une TPE, qui donne le cadre applicable aux petites structures et permet de savoir ce que l'on doit exiger du cédant. Reprendre une entreprise, c'est aussi reprendre la responsabilité des données qu'elle détient : autant savoir dans quel état elles sont.

La checklist d'audit informatique à mener avant de signer

Passons à la méthode. Un audit informatique de reprise n'a pas besoin d'être un chantier interminable. Il s'agit d'examiner méthodiquement chaque actif immatériel et technique, d'évaluer le risque en cas de non-transfert, et d'exiger une preuve concrète avant de s'engager. Le tableau ci-dessous récapitule les points essentiels : c'est votre grille de lecture avant signature.

Actif immatériel ou techniqueRisque si non transféréPreuve à exiger du cédant
Nom de domaine et adresses e-mailPerte du site et des e-mails, captation possible du domaine par un tiersJustificatif de titularité au nom de l'entreprise et accès au compte du bureau d'enregistrement
Licences des logiciels métierUsage sans droit, obligation de tout racheter, arrêt possible de l'outilContrats de licence au nom de la société et accord écrit de transfert de l'éditeur
Maintenance et pérennité de l'éditeurLogiciel orphelin, sans mise à jour ni support, dette techniqueContrat de maintenance en cours et confirmation que l'éditeur assure toujours le suivi
Fiche d'établissement et comptes de réseaux sociauxPerte de visibilité, comptes visibles mais inaccessiblesRemise des identifiants et transfert de la propriété des comptes
Site internet et hébergementImpossibilité de modifier ou de récupérer le siteAccès à l'administration, à l'hébergement et aux codes sources
Serveur, NAS et postes de travailPanne majeure, matériel obsolète à remplacer en urgenceInventaire du matériel, âge, système d'exploitation et état de maintenance
Sauvegardes des donnéesPerte définitive du fichier clients et de la comptabilité en cas de sinistreDémonstration d'une restauration réussie et emplacement des copies
Contrats de maintenance et abonnementsEngagements coûteux reconduits tacitement, services inutiles ou interrompusListe des contrats, échéances, montants et délais de résiliation
Conformité des données personnellesPassif de non-conformité transmis au repreneur, responsabilité engagéeRegistre des traitements, mentions d'information et mesures de sécurité
Accès et mots de passeDépendance à une personne partie, impossibilité de reprendre la mainCartographie complète des comptes et remise organisée des accès

Cette grille se remplit idéalement à deux : le repreneur et un professionnel de l'informatique qui sait poser les bonnes questions et lire les réponses. Chaque ligne laissée vide est un risque non évalué, donc un risque que vous acceptez sans le savoir. Mieux vaut une case rouge identifiée avant la signature qu'une mauvaise surprise après.

Les questions à poser au cédant, et ce qui doit figurer dans l'acte

L'audit ne vaut que si l'on interroge le cédant, franchement et par écrit. Un vendeur de bonne foi n'a rien à cacher et sera même rassuré de pouvoir démontrer que son entreprise est saine. Un vendeur qui esquive ces questions vous envoie un signal qu'il faut entendre.

Les questions clés à poser avant de s'engager

  • Au nom de qui sont enregistrés le nom de domaine, l'hébergement et les adresses e-mail, et comment m'en transférez-vous la propriété ?
  • Quels sont les logiciels utilisés, sous quelles licences, à quel nom, et l'éditeur assure-t-il encore la maintenance ?
  • Qui détient aujourd'hui les identifiants de la fiche d'établissement, des réseaux sociaux et du compte publicitaire ?
  • Existe-t-il des sauvegardes, où sont-elles, et pouvez-vous me prouver qu'une restauration a déjà fonctionné ?
  • Quel est l'âge du serveur et des postes, et sur quels systèmes tournent-ils encore ?
  • Quels contrats de maintenance et abonnements sont en cours, à quelles échéances et avec quels préavis de résiliation ?
  • Comment le fichier clients a-t-il été constitué, et existe-t-il un registre des traitements de données personnelles ?
  • Qui, en interne ou à l'extérieur, connaît et gère aujourd'hui l'informatique, et cette personne reste-t-elle joignable après la cession ?

Ce que l'acte de cession doit prévoir noir sur blanc

Les réponses obtenues doivent se traduire en clauses écrites. Une promesse orale ne vaut rien le jour où le cédant est injoignable. Faites inscrire dans l'acte, avec l'aide de votre conseil juridique, au minimum les engagements suivants :

  • Le transfert effectif du nom de domaine et des adresses e-mail au nom de l'entreprise reprise, avec une obligation de coopération du cédant jusqu'à sa réalisation.
  • Le transfert ou la cession des licences logicielles, avec l'accord des éditeurs quand il est requis, et l'identification des outils qui ne pourront pas suivre.
  • La remise organisée de tous les accès et mots de passe : comptes en ligne, hébergement, réseaux sociaux, serveur, messagerie, sous forme d'un inventaire daté et signé.
  • La remise des sauvegardes et des données, dans un format exploitable, avec la garantie qu'aucune copie ne sera conservée par le cédant au-delà de ce qui est nécessaire.
  • Une clause de garantie et une période d'assistance pendant laquelle le cédant s'engage à rester joignable pour résoudre les questions techniques de transition.

Ces clauses ne relèvent pas du luxe : elles sont l'assurance que ce que vous croyez racheter, vous le posséderez réellement. Le rôle de votre avocat est de les rédiger et de les sécuriser juridiquement ; le nôtre, chez ELS Conseil, est de vous dire quels actifs techniques doivent y figurer et comment vérifier qu'ils vous ont bien été transmis une fois l'affaire conclue.

Auditer avant de signer, c'est acheter en connaissance de cause

Reprendre une entreprise est une aventure exigeante, où l'on scrute chaque chiffre et chaque contrat. Il serait dommage que le seul angle mort de cette vigilance soit précisément celui qui fait tourner l'entreprise au quotidien : son informatique. La due diligence informatique n'est pas un caprice de technicien, c'est une protection élémentaire du repreneur. Elle transforme des mauvaises surprises futures en points de négociation présents, et elle vous évite de payer le prix fort pour une identité numérique que vous ne contrôlerez jamais.

La démarche tient en une phrase : inventorier chaque actif immatériel et technique, évaluer le risque en cas de non-transfert, exiger une preuve, et inscrire les engagements dans l'acte. Les logiciels et leurs licences, le nom de domaine et les e-mails, les comptes en ligne, le serveur et les sauvegardes, les contrats dormants et la conformité des données : rien de tout cela n'est hors de portée d'un audit mené avec méthode, avant que la signature ne vous prive de tout moyen de pression.

Chez ELS Conseil, à Saint-Rémy-de-Provence, nous accompagnons les repreneurs des Alpilles, d'Avignon, d'Arles, de Cavaillon et de Châteaurenard dans cet audit informatique de reprise, du recensement des actifs jusqu'à la vérification, après signature, que tout a bien été transmis. Si une opération de reprise se profile, ne signez pas sans avoir ouvert le capot du système d'information. Contactez-nous pour un audit avant signature, ou appelez-nous au 04 13 41 85 81. Nous ferons le point ensemble, en toute confidentialité, et vous repartirez avec votre checklist d'audit et la liste des preuves à exiger du cédant.

Une question sur votre informatique ?

Nos conseils s'appliquent à votre cas. Faisons le point ensemble, sans engagement.

Demander un diagnostic Tous les articles