Explorer les deals
Se connecter
Retour au blog
Acquisition15 min de lecture2026-04-26

La checklist due diligence ultime pour acheter un site internet (édition 2025)

Un framework en 4 piliers pour auditer les finances, le trafic, les opérations et le juridique avant de signer.

Illustration éditoriale plate d'une loupe inspectant une grille de cartes-documents avec coches vertes et croix violettes — checklist de due diligence pour racheter une boutique en ligne

Qu'est-ce que la due diligence et pourquoi c'est essentiel ?

La due diligence, c'est le processus de vérification que ce que le vendeur affirme est effectivement vrai. C'est la différence entre acheter un actif rentable et hériter des problèmes de quelqu'un d'autre.

La plupart des primo-acquéreurs la négligent — ou la survolent — et le regrettent dans les 90 jours. Ils découvrent des coûts cachés, des chiffres de trafic gonflés ou des accords fournisseurs non transférables. À ce stade, l'argent est parti et le séquestre est libéré.

La période de due diligence dure en moyenne 14 à 30 jours après la signature d'une lettre d'intention (LOI). Cette fenêtre est votre dernière ligne de défense avant de signer un contrat de cession d'actifs (APA). Utilisez chaque jour. Ce guide vous donne un framework systématique en 4 piliers — Financier, Trafic, Opérationnel et Juridique — pour auditer n'importe quel site internet avant achat. Traitez-le comme une checklist imprimable. Si vous ne pouvez pas cocher chaque case, vous renégociez ou vous partez.

Pilier 1 : Due diligence financière (Les chiffres)

Les finances sont là où les vendeurs cachent le plus. Votre travail est de reconstituer le vrai compte de résultat à partir de sources primaires — pas à partir du tableur de synthèse du vendeur.

Vérification du compte de résultat (P&L)

Demandez un minimum de 24 mois de comptes de résultat. Douze mois ne suffisent pas — il faut voir au moins deux cycles saisonniers complets pour repérer les anomalies et déterminer si le business est vraiment stable ou en déclin.

Points à vérifier :

  • Cohérence mois par mois. Des variations brutales de chiffre d'affaires sans raison saisonnière évidente sont un signal d'alerte.
  • Croissance annuelle. Le business est-il en croissance, stagnant ou en déclin ? Un business stagnant à un multiple élevé est une mauvaise affaire.
  • Stabilité de la marge brute. Des marges qui se compressent dans le temps suggèrent une hausse du COGS ou une pression sur les prix.

Croisement avec les relevés bancaires et les déclarations fiscales

Ne faites jamais confiance aux tableurs fournis par le vendeur seuls. Le P&L n'est fiable que si les données sources le sont.

  • Les relevés bancaires montrent les flux réels. Comparez les dépôts aux revenus déclarés. Toute divergence est un signal d'alerte immédiat.
  • Les déclarations fiscales révèlent ce que le vendeur a réellement déclaré au fisc. Si la déclaration montre 80K$ de bénéfice mais que l'annonce affiche 150K$ de SDE, quelqu'un ment.
  • Les données des processeurs de paiement (Stripe, PayPal, Shopify Payments) fournissent un troisième point de vérification. Demandez un accès en lecture seule aux tableaux de bord, pas des CSV exportés qui peuvent être modifiés.

Analyse des "add-backs" et précision du SDE

Le SDE (Seller's Discretionary Earnings) est la métrique de valorisation standard pour les business sous 5M$. La formule :

SDE = Revenu - COGS - Charges d'exploitation + Salaire du dirigeant + Avantages du dirigeant + Charges exceptionnelles Le danger réside dans les add-backs — ces dépenses que le vendeur prétend personnelles ou exceptionnelles pour gonfler le SDE. Add-backs légitimes courants :
  • Salaire du dirigeant
  • Refonte ponctuelle du site
  • Voyages personnels imputés au business

Add-backs douteux à scruter :
  • "Tests marketing" qui ressemblent à des dépenses publicitaires régulières
  • Coûts de prestataires étiquetés "ponctuels" mais récurrents chaque trimestre
  • "Dépréciations de stock" qui arrivent chaque année
  • Dépenses personnelles passées dans le business qui sont en réalité des coûts opérationnels nécessaires

Règle d'or : Si retirer tous les add-backs fait chuter le SDE de plus de 30%, la valorisation est probablement gonflée.

Analyse du COGS et des dépenses publicitaires

Les dépenses publicitaires sont le coût caché numéro 1 dans les acquisitions e-commerce. Les vendeurs réduisent parfois la publicité avant la mise en vente pour rendre les marges artificiellement élevées.
  • Demandez un accès en lecture seule aux comptes publicitaires (Facebook Ads Manager, Google Ads).
  • Calculez le vrai ROAS sur 12+ mois, pas seulement les 30 derniers jours.
  • Vérifiez si le ROAS s'améliore, est stable ou décline.
  • Vérifiez le COGS avec les factures fournisseurs.

Checklist due diligence financière :
  • Obtenu 24+ mois de comptes de résultat
  • Croisé le P&L avec les relevés bancaires
  • Croisé le P&L avec les déclarations fiscales
  • Obtenu un accès en lecture seule aux processeurs de paiement
  • Vérifié chaque add-back avec justificatifs
  • Confirmé que les add-backs représentent moins de 30% du SDE
  • Obtenu un accès en lecture seule aux comptes Facebook/Google Ads
  • Calculé le vrai ROAS sur 12+ mois
  • Vérifié le COGS avec les factures fournisseurs
  • Vérifié l'absence de dettes, privilèges ou passifs fiscaux
  • Confirmé l'absence de chargebacks ou litiges avec les processeurs de paiement

Pilier 2 : Due diligence trafic & marketing (La source)

Un business ne vaut que par sa capacité à acquérir des clients. Si le trafic disparaît après l'acquisition, le chiffre d'affaires suit.

Audit Google Analytics 4 (GA4) : Organique vs. Payant vs. Social

Demandez un accès en lecture seule à Google Analytics — n'acceptez jamais de screenshots. Les screenshots peuvent être modifiés en 30 secondes avec les outils de développement du navigateur.

Dans GA4, décomposez le trafic par source :

  • Recherche organique : Trafic gratuit de Google. La source la plus précieuse et défensible.
  • Publicité payante : Facebook, Google, TikTok. Précieux mais coûte de l'argent à maintenir.
  • Réseaux sociaux : Instagram, Pinterest, YouTube. Peut disparaître si le vendeur était le visage de la marque.
  • Direct/marque : Les gens tapent l'URL ou le nom de marque. Indique la force de la marque.
  • Referral : Liens depuis d'autres sites. Vérifiez s'ils viennent de vraies mentions éditoriales ou de liens PBN.

Répartition saine : Aucune source ne doit représenter plus de 50% du trafic total. Si 70% du CA vient de Facebook Ads, vous êtes à un changement d'algorithme du désastre.

Identifier les pics de trafic et le trafic de bots

Utilisez le Wayback Machine (web.archive.org) pour vérifier l'historique du site.

Points de vigilance :

  • Pics de trafic soudains 30-60 jours avant la mise en vente. Manipulation classique.
  • Trafic de bots. Vérifiez les taux de rebond par source. Un taux de rebond >90% avec une durée de session de 0:01, c'est probablement des bots.
  • Referral spam. Des referrals fantômes dans les analytics qui gonflent les chiffres de trafic.

Santé SEO : Audit du profil de backlinks et classements

Utilisez Ahrefs ou SEMrush pour auditer le profil de backlinks :
  • Domain Rating (DR) / Domain Authority (DA). Indicateur approximatif de la force SEO.
  • Qualité des backlinks. Les liens viennent-ils de vrais sites pertinents ou de réseaux PBN ?
  • Distribution des ancres. Des ancres sur-optimisées suggèrent du link building agressif pouvant déclencher une pénalité Google.
  • Pénalités manuelles. Vérifiez Google Search Console pour toute action manuelle.
  • Tendances des classements. Les rankings s'améliorent, sont stables ou déclinent ? Utilisez les données historiques sur 12+ mois.

Historique des comptes publicitaires : Vérification du ROAS et du CAC

  • Coût d'acquisition client (CAC) : Dépense publicitaire totale / nombre de nouveaux clients. Est-il en hausse ou en baisse ?
  • Tendance du ROAS sur 12+ mois.
  • Fatigue des creatives publicitaires. Des creatives fatiguées signifient un CAC en hausse post-acquisition.
  • Saturation d'audience. Sur Facebook Ads, vérifiez les métriques de fréquence. Une fréquence élevée (>3x) sur les campagnes de prospection suggère que l'audience est épuisée.
  • Ratio LTV:CAC. Un business sain a un LTV au moins 3x le CAC. En dessous de 2x, c'est insoutenable.

Checklist due diligence trafic & marketing :
  • Obtenu un accès en lecture seule à Google Analytics 4
  • Vérifié qu'aucune source de trafic ne dépasse 50% du total
  • Vérifié l'absence de pics de trafic dans les 60 jours avant la mise en vente
  • Vérifié les taux de rebond et durées de session par source (détection de bots)
  • Réalisé un audit de backlinks via Ahrefs/SEMrush
  • Vérifié l'absence de liens PBN ou de backlinks spammy
  • Confirmé l'absence de pénalités manuelles dans Google Search Console
  • Confirmé que les classements sont stables ou en croissance (tendance 12+ mois)
  • Obtenu un accès en lecture seule aux comptes Facebook/Google Ads
  • Calculé la tendance du CAC sur 12+ mois
  • Vérifié que le ratio LTV:CAC est supérieur à 3x
  • Vérifié la fraîcheur des creatives et la saturation d'audience

Pilier 3 : Due diligence opérationnelle (Le moteur)

Les opérations déterminent si le business fonctionne sans le vendeur — ou s'effondre en quelques semaines.

Accords fournisseurs et délais de livraison

  • Les contrats sont-ils écrits ou verbaux ? Les accords verbaux n'ont aucune force exécutoire.
  • Les contrats sont-ils transférables ? Certains incluent des clauses de non-transférabilité.
  • Quels sont les délais ? Un fournisseur en Chine avec 60 jours de délai nécessite un stock suffisant pour couvrir la transition.
  • Y a-t-il des accords d'exclusivité ? Vérifiez qu'ils se transfèrent avec le business.

Gestion des stocks et coûts de stockage

  • Valeur actuelle du stock. Incluse dans le prix de vente ou séparée ?
  • Stock mort. Quel pourcentage du stock n'a pas été vendu depuis 6+ mois ?
  • Risque d'obsolescence. Vérifiez Google Trends pour les mots-clés produits principaux.
  • Coûts de stockage. Frais d'entrepôt, frais FBA Amazon, ou coûts 3PL.
  • Risque saisonnier. Le business nécessite-t-il de grosses commandes saisonnières à l'avance ?

Charge du service client et taux de remboursement

  • Un taux de remboursement supérieur à 5% est un signal d'alerte. La moyenne du secteur est de 2-3%.
  • Le taux de chargebacks. C'est le tueur de profit caché. Les chargebacks coûtent non seulement le montant de la vente mais aussi des frais (15-25$ par chargeback). Un taux supérieur à 1% peut entraîner la résiliation de votre compte de paiement.
  • Volume du service client. Combien de tickets par jour/semaine ?
  • Métriques de satisfaction client. Vérifiez les avis produits (Amazon, Trustpilot, Google Reviews).

Checklist due diligence opérationnelle :
  • Examiné tous les contrats fournisseurs (écrits, pas verbaux)
  • Confirmé que les accords fournisseurs sont transférables
  • Vérifié les délais de livraison et quantités minimales de commande
  • Évalué la valeur et l'état du stock actuel
  • Identifié le pourcentage de stock mort (>20% = préoccupant)
  • Vérifié Google Trends pour la trajectoire de la catégorie produit
  • Calculé les coûts de stockage en pourcentage du CA
  • Vérifié que le taux de remboursement est inférieur à 5%
  • Vérifié que le taux de chargebacks est inférieur à 1%
  • Évalué le volume du service client et les besoins en personnel
  • Examiné les avis clients sur toutes les plateformes
  • Documenté toutes les SOPs (procédures opérationnelles standard)
  • Identifié les employés/prestataires clés et leur volonté de rester

Pilier 4 : Due diligence juridique & technique (La protection)

Les problèmes juridiques et techniques sont les plus coûteux à résoudre post-acquisition.

Marques, brevets et propriété intellectuelle

  • Vérifiez l'enregistrement de la marque. Recherchez dans les bases de l'INPI (France), EUIPO (UE) ou USPTO (US).
  • Vérifiez les litiges actifs. Recherchez toute procédure d'opposition ou d'annulation.
  • Protection par brevet. Si le produit est breveté, vérifiez que le brevet est actif et détenu par le vendeur.
  • Actifs de contenu et de marque. Qui possède la photographie, les textes et les fichiers de design ?

Propriété du domaine et transférabilité

  • Vérification WHOIS. Vérifiez que le vendeur est bien le titulaire du domaine.
  • Dates d'expiration. Un domaine qui expire dans 30 jours pendant la transition est un risque.
  • Historique du domaine. Utilisez le Wayback Machine pour vérifier si le domaine a été utilisé pour du spam ou du contenu inapproprié.
  • Infrastructure email. Assurez-vous que les comptes email et les listes de diffusion associées se transfèrent avec le domaine.

Stack logicielle et coûts d'abonnement SaaS

Les coûts SaaS mensuels peuvent silencieusement manger les marges. Une boutique Shopify peut sembler rentable jusqu'à ce que vous réalisiez qu'elle tourne avec 500$/mois d'applications.

  • Listez chaque outil payé. Apps Shopify, email marketing (Klaviyo, Mailchimp), outils analytics, gestion de stock, service client, etc.
  • Calculez le coût SaaS mensuel total. Comparez au P&L.
  • Identifiez les apps essentielles vs. optionnelles.
  • Vérifiez les contrats annuels. Héritez-vous d'engagements annuels non résiliables ?
  • Lock-in plateforme. À quel point serait-il difficile de migrer de la plateforme actuelle ?

Checklist due diligence juridique & technique :
  • Vérifié l'enregistrement et la propriété de la marque
  • Recherché les litiges ou oppositions de marque actifs
  • Confirmé la propriété des brevets (si applicable)
  • Vérifié que tous les actifs de marque se transfèrent avec la vente
  • Vérification WHOIS effectuée — le vendeur est bien titulaire
  • Confirmé que l'expiration du domaine est à 2+ ans
  • Vérifié l'historique du domaine via le Wayback Machine
  • Vérifié que l'infrastructure email se transfère avec le domaine
  • Listé tous les outils SaaS payés et coûts mensuels
  • Confirmé que les coûts SaaS correspondent aux charges du P&L
  • Identifié les abonnements essentiels vs. optionnels
  • Vérifié les contrats annuels non résiliables
  • Vérifié la conformité RGPD/vie privée
  • Confirmé l'absence de litiges juridiques en cours ou passés

Tableau comparatif : "Données normales" vs. "Données alarmantes"

MétriqueSainSignal d'alerte
Sources de trafic3+ canaux, aucun >50%Source unique >70%
Tendance du CAStable ou en croissance 12+ moisEn baisse 3+ mois consécutifs
Taux de remboursementInférieur à 3%Supérieur à 5%
Taux de chargebacksInférieur à 0.5%Supérieur à 1%
Tendance ROASStable ou en améliorationEn baisse trimestre après trimestre
Ratio LTV:CACSupérieur à 3xInférieur à 2x
Add-backs en % du SDEInférieur à 15%Supérieur à 30%
Contrats fournisseursÉcrits et transférablesVerbaux ou non transférables
Stock mortInférieur à 10% du stockSupérieur à 20% du stock
SOPs documentéesManuel opérationnel completAucune documentation
Marque déposéeEnregistrée et activeNon enregistrée ou en litige
Expiration du domaine2+ ansMoins de 6 mois

5 signaux d'alerte majeurs

1. Le vendeur refuse l'accès aux analytics ou aux comptes publicitaires. C'est non négociable. Aucun vendeur légitime n'a de raison de refuser. Partez. 2. Revenus concentrés sur un seul produit ou une seule source de trafic. Un business qui fait 80% de son CA sur un seul SKU ou reçoit 70%+ de son trafic d'un seul canal est un point de défaillance unique. 3. Niche en déclin. Vérifiez Google Trends pour les mots-clés produits principaux. Si la niche décline depuis 12+ mois, vous achetez un glacier qui fond. 4. Le vendeur a arrêté la publicité avant la mise en vente. Manipulation classique. En mettant la pub en pause, le vendeur élimine une dépense majeure, rendant les derniers mois de P&L artificiellement rentables. 5. Pas de SOPs ni de documentation. Si le business ne fonctionne que grâce aux connaissances personnelles du vendeur, vous achetez un emploi, pas un business.

La décision "Go/No-Go"

Après avoir complété les quatre piliers, c'est le moment de décider :

Feu vert : Toutes les checklists complétées sans préoccupation majeure. Financials vérifiés depuis 3+ sources indépendantes. Feu orange : 1-2 préoccupations mineures adressables par un ajustement de prix. Documentation incomplète que le vendeur peut compléter. Feu rouge : 3 signaux d'alerte ou plus dans le tableau ci-dessus. Le vendeur est évasif ou refuse l'accès aux données clés. Les financials ne concordent pas entre les sources. Rappel : Il ne manque pas de business en ligne en vente. Si ce deal ne passe pas la due diligence, le prochain le fera peut-être. Le pire résultat n'est pas de rater un deal — c'est d'en acheter un mauvais. Prêt à trouver votre prochaine acquisition ? Parcourez 1 000+ deals sur 10+ marketplaces sur Flipagora — gratuit, mis à jour quotidiennement. Comparez les annonces côte à côte et filtrez par revenu, profit, niche et prix demandé.

FAQ

Comment vérifier le trafic d'un site internet que je veux acheter ?

Demandez un accès en lecture seule à Google Analytics 4 — n'acceptez jamais de screenshots, car ils peuvent être facilement falsifiés. Dans GA4, analysez le trafic par source sur au moins 12 mois. Croisez avec des outils tiers comme Ahrefs ou SEMrush pour vérifier les estimations de trafic organique. Utilisez le Wayback Machine pour vérifier l'historique du site. Enfin, détectez le trafic de bots en examinant les taux de rebond et durées de session.

Qu'est-ce qu'un "signal d'alerte" pendant la due diligence ?

Un signal d'alerte est toute donnée ou comportement qui suggère que le business est plus risqué que ce que le vendeur présente. Les signaux courants incluent : refus d'accès aux analytics, revenus concentrés sur un seul produit ou source de trafic (>70%), CA ou trafic en baisse sur 3+ mois consécutifs, taux de remboursement supérieur à 5%, et absence de SOPs documentées. Trois signaux d'alerte ou plus ensemble devraient vous faire renoncer au deal.

Combien de temps dure la due diligence e-commerce ?

Une due diligence approfondie prend généralement 14 à 30 jours après la signature de la lettre d'intention (LOI). Les business simples (boutique Shopify mono-produit avec des finances propres) peuvent être audités en 14 jours. Les opérations plus complexes (Amazon FBA multi-références, modèles d'abonnement) peuvent nécessiter 30 jours ou plus. Ne laissez pas le vendeur vous presser pour raccourcir la période de DD.

Articles similaires

Migrer un business en ligne acquis en 2026 : le playbook technique et opérationnel

Le risque caché après le closing. Audit, continuité SEO, réconciliation des données, warm-up email, staging et cutover — le playbook 6 à 10 semaines pour migrer un business en ligne acquis sans le casser.

Fiscalité du rachat d'un business en ligne en 2026 : le guide acheteur

Asset deal vs share deal, choix du véhicule d'acquisition, exposition fiscale transfrontalière, ventilation du prix d'achat, déductibilité des intérêts et préparation de la sortie. Les décisions fiscales qui font bouger le TRI net de 15 à 40 points — et que presque tous les primo-acquéreurs prennent après LOI au lieu d'avant.

Recruter un opérateur pour ton business en ligne racheté : le playbook du propriétaire hands-off

Pourquoi la plupart des acheteurs restent opérateurs par défaut, les trois archétypes d'opérateur, quand recruter, où sourcer, comment designer la rémunération, et le playbook de passation à 90 jours pour transformer un business en ligne racheté en un véritable actif hands-off.

Tous les articles