What is a GDPR compliance scan?

A GDPR compliance scan (also called RGPD audit in French) is a comprehensive analysis of a website's compliance with the General Data Protection Regulation. RGPDScan automatically checks cookies, trackers, dark patterns, data transfers, security headers, user rights and legal basis.

Qu'est-ce qu'un audit RGPD ?

Un audit RGPD est une analyse complète de la conformité d'un site web au Règlement Général sur la Protection des Données. RGPDScan vérifie automatiquement les cookies, trackers, dark patterns, transferts de données, en-têtes de sécurité, droits des personnes et base légale du traitement.

How does the GDPR scanner work?

Our GDPR scanner uses a headless Chrome browser to simulate a real user visit. It detects cookies set before consent, analyzes cookie banners for dark patterns, maps non-EU data transfers, and checks compliance across 30+ GDPR checkpoints in under 60 seconds.

Is the GDPR scan free?

Yes, RGPDScan offers a free plan with 5 scans per month. You get GDPR, SEO, accessibility and visibility compliance scores. The Pro plan at €49/month gives access to detailed results, PDF reports, embeddable cookie banner and 200 scans/month.

What is the difference between RGPD and GDPR?

RGPD (Règlement Général sur la Protection des Données) is the French name for GDPR (General Data Protection Regulation). They refer to the same European regulation protecting personal data. RGPDScan supports both French and English-speaking users.

How is RGPDScan different from Cookiebot?

RGPDScan goes beyond cookie scanning by offering a complete 4-pillar audit: GDPR compliance, SEO analysis, WCAG accessibility audit, and social media visibility check. We use AI to detect dark patterns, analyze 400+ trackers, and provide an embeddable cookie consent banner with real-time analytics.

Quelle est l'alternative gratuite à Axeptio ?

RGPDScan propose une alternative gratuite à Axeptio avec bannière cookies conforme CNIL, scan RGPD (5 scans/mois), et générateur de documents juridiques. Contrairement à Axeptio, RGPDScan inclut aussi un scanner complet de dark patterns et trackers.

What is the best alternative to OneTrust for small businesses?

RGPDScan is the best OneTrust alternative for SMBs. It offers a complete GDPR audit platform — cookie scanner, dark pattern detection, AI document generator, and compliant cookie banner — starting at €0/month, compared to OneTrust's €15,000+/year pricing.

Comment éviter une amende CNIL ?

Pour éviter une amende CNIL : 1) Installez une bannière cookies avec bouton 'Tout refuser' aussi visible que 'Tout accepter'. 2) Ne déposez aucun cookie avant consentement. 3) Mettez à jour votre politique de confidentialité. 4) Documentez vos transferts hors UE. RGPDScan vérifie ces 30+ points automatiquement en 60 secondes.

Does RGPDScan work for German websites (DSGVO)?

Yes, RGPDScan works for all EU websites including German sites under DSGVO (Datenschutz-Grundverordnung). DSGVO is the German name for GDPR. RGPDScan detects DSGVO compliance issues including cookies, trackers, data transfers, and dark patterns.

Tarteaucitron est-il une bonne alternative à Cookiebot ?

Tarteaucitron est une bonne CMP open-source gratuite, mais nécessite un développeur pour l'installation. Il ne fait pas de scan RGPD complet, pas de génération de documents ni d'analytics. RGPDScan est une alternative tout-en-un qui inclut bannière cookies, scan RGPD et documents juridiques IA.

Audit RGPD interne : la méthode en 7 étapes

La CNIL ne sanctionne pas uniquement les infractions : elle pénalise aussi l'absence de démarche de conformité. Un audit interne annuel documenté est votre meilleure protection — il prouve que vous avez agi de bonne foi. Voici la méthode en 7 étapes.

Les 7 étapes de l'audit RGPD interne

Inventaire des traitements

Listez exhaustivement tous les traitements de données personnelles de votre organisation : collecte web (formulaires, analytics), CRM, facturation, gestion RH, vidéosurveillance, emails marketing. Pour chaque traitement : finalité, données collectées, base légale, responsable interne.

Outil : tableur partagé ou logiciel de registre (Didomi, Privasee, OneTrust Starter)

Cartographie des flux de données

Pour chaque traitement : d'où viennent les données ? Qui y accède ? Où sont-elles stockées ? Sont-elles partagées avec des tiers ? Des transferts hors UE sont-ils impliqués ? Cette cartographie révèle les risques cachés (sous-traitant non identifié, transfert US non documenté).

Outil : diagramme de flux (Miro, Lucidchart), entretiens avec chefs de service

Audit cookies et trackers

Scannez chaque page de votre site pour identifier les cookies déposés avant consentement, les trackers tiers actifs, les scripts de publicité ou analytics non bloqués. C'est souvent la source principale de risque CNIL pour les PME.

Outil : RGPDScan (60s/page), Cookie Monster (Chrome), analyse Network DevTools

Revue des sous-traitants et DPA

Pour chaque outil SaaS et prestataire identifié : DPA signé ? Sous-traitants ultérieurs listés ? Mécanisme légal de transfert documenté ? Mesures de sécurité satisfaisantes ? Procédure breach définie ? Terminer par une liste des DPA manquants à obtenir.

Outil : tableau comparatif prestataires, pages légales des SaaS (DPA section)

Évaluation des mesures de sécurité

Art. 32 RGPD impose des mesures techniques et organisationnelles 'appropriées'. Vérifiez : chiffrement des données sensibles, HTTPS partout, politique de mots de passe, contrôle d'accès (least privilege), sauvegardes testées, procédure de signalement interne des incidents.

Outil : checklist ANSSI PME, scan SSL, audit accès comptes SaaS

Vérification de l'exercice des droits

Votre site permet-il aux personnes d'exercer leurs droits (accès, rectification, effacement, opposition, portabilité) ? Existe-t-il une procédure documentée ? Les demandes sont-elles traitées dans le délai d'1 mois ? La politique de confidentialité mentionne-t-elle ces droits ?

Outil : formulaire de contact dédié ou email DPO, test en situation réelle

Mise à jour du registre et plan d'action

Consolidez toutes les informations dans votre registre des traitements (Art. 30). Documentez chaque écart constaté avec : niveau de risque (rouge/orange/vert), action corrective, responsable, date cible. Ce plan de mise en conformité est votre preuve de bonne foi en cas de contrôle.

Outil : tableur ou outil de gestion de projet (Notion, Asana, ClickUp)

Accélérez l'étape 3 avec RGPDScan

L'audit cookies prend en général 1-2 jours manuellement. RGPDScan le fait en 60 secondes par page : trackers, cookies avant consentement, scripts publicitaires.

Ce que la CNIL contrôle en priorité

Cookies sans consentementTrès élevé

Absence de politique de confidentialitéÉlevé

Transferts hors UE non documentésÉlevé

Non-réponse aux demandes de droitsÉlevé

Absence de DPA avec sous-traitantsModéré

Registre des traitements absentModéré

Pour aller plus loin

Questions fréquentes

À quelle fréquence faire un audit RGPD interne ?

Minimum une fois par an. Et obligatoirement après un changement majeur : nouveau traitement de données, nouveau logiciel SaaS accédant à des données personnelles, incident de sécurité, changement d'activité ou de structure juridique.

Un audit interne suffit-il ou faut-il un cabinet externe ?

Pour une PME de moins de 50 salariés, un audit interne rigoureux suffit en général. Au-delà ou pour des traitements sensibles (santé, fintech, RH à grande échelle), un audit externe (cabinet DPO, avocat privacy) apporte une validation indépendante indispensable en cas de contrôle CNIL.

Combien de temps prend un audit RGPD pour une PME ?

Pour une PME de 10-50 salariés : 2-5 jours de travail la première fois, 1-2 jours pour les suivants. L'outil RGPDScan couvre l'étape cookies/trackers en 60 secondes, ce qui représente souvent 30 % du temps d'audit.

Que faire des écarts identifiés pendant l'audit ?

Prioriser par niveau de risque : critique (à corriger sous 30 jours), important (sous 90 jours), mineur (à planifier). Documenter chaque écart, l'action corrective, le responsable et la date cible. C'est votre plan de mise en conformité — garder-le à jour.

L'audit RGPD doit-il être transmis à la CNIL ?

Non, l'audit interne n'est pas à transmettre spontanément à la CNIL. Il est confidentiel. En revanche, en cas de contrôle CNIL, vous devrez démontrer votre démarche de conformité — l'audit et le plan d'action sont vos principales preuves.

Qui doit conduire l'audit RGPD en interne ?

Le DPO s'il existe. Sinon, la direction juridique, le DSI ou la direction générale selon la structure. L'audit doit avoir un sponsor au niveau direction pour avoir les accès nécessaires (tous les outils SaaS, tous les contrats prestataires).