What is a GDPR compliance scan?

A GDPR compliance scan (also called RGPD audit in French) is a comprehensive analysis of a website's compliance with the General Data Protection Regulation. RGPDScan automatically checks cookies, trackers, dark patterns, data transfers, security headers, user rights and legal basis.

Qu'est-ce qu'un audit RGPD ?

Un audit RGPD est une analyse complète de la conformité d'un site web au Règlement Général sur la Protection des Données. RGPDScan vérifie automatiquement les cookies, trackers, dark patterns, transferts de données, en-têtes de sécurité, droits des personnes et base légale du traitement.

How does the GDPR scanner work?

Our GDPR scanner uses a headless Chrome browser to simulate a real user visit. It detects cookies set before consent, analyzes cookie banners for dark patterns, maps non-EU data transfers, and checks compliance across 30+ GDPR checkpoints in under 60 seconds.

Is the GDPR scan free?

Yes, RGPDScan offers a free plan with 5 scans per month. You get GDPR, SEO, accessibility and visibility compliance scores. The Pro plan at €49/month gives access to detailed results, PDF reports, embeddable cookie banner and 200 scans/month.

What is the difference between RGPD and GDPR?

RGPD (Règlement Général sur la Protection des Données) is the French name for GDPR (General Data Protection Regulation). They refer to the same European regulation protecting personal data. RGPDScan supports both French and English-speaking users.

How is RGPDScan different from Cookiebot?

RGPDScan goes beyond cookie scanning by offering a complete 4-pillar audit: GDPR compliance, SEO analysis, WCAG accessibility audit, and social media visibility check. We use AI to detect dark patterns, analyze 400+ trackers, and provide an embeddable cookie consent banner with real-time analytics.

Quelle est l'alternative gratuite à Axeptio ?

RGPDScan propose une alternative gratuite à Axeptio avec bannière cookies conforme CNIL, scan RGPD (5 scans/mois), et générateur de documents juridiques. Contrairement à Axeptio, RGPDScan inclut aussi un scanner complet de dark patterns et trackers.

What is the best alternative to OneTrust for small businesses?

RGPDScan is the best OneTrust alternative for SMBs. It offers a complete GDPR audit platform — cookie scanner, dark pattern detection, AI document generator, and compliant cookie banner — starting at €0/month, compared to OneTrust's €15,000+/year pricing.

Comment éviter une amende CNIL ?

Pour éviter une amende CNIL : 1) Installez une bannière cookies avec bouton 'Tout refuser' aussi visible que 'Tout accepter'. 2) Ne déposez aucun cookie avant consentement. 3) Mettez à jour votre politique de confidentialité. 4) Documentez vos transferts hors UE. RGPDScan vérifie ces 30+ points automatiquement en 60 secondes.

Does RGPDScan work for German websites (DSGVO)?

Yes, RGPDScan works for all EU websites including German sites under DSGVO (Datenschutz-Grundverordnung). DSGVO is the German name for GDPR. RGPDScan detects DSGVO compliance issues including cookies, trackers, data transfers, and dark patterns.

Tarteaucitron est-il une bonne alternative à Cookiebot ?

Tarteaucitron est une bonne CMP open-source gratuite, mais nécessite un développeur pour l'installation. Il ne fait pas de scan RGPD complet, pas de génération de documents ni d'analytics. RGPDScan est une alternative tout-en-un qui inclut bannière cookies, scan RGPD et documents juridiques IA.

Bandeau cookies non conforme : les 7 erreurs qui coûtent cher

Les cookies sont la première source de sanctions CNIL. En 2025, plus de 60 % des mises en demeure concernaient la gestion du consentement. Sept erreurs reviennent systématiquement — et chacune peut suffire à déclencher une procédure.

Pourquoi les cookies restent la cible n°1 de la CNIL

Depuis les lignes directrices CNIL de septembre 2020, renforcées par celles de mai 2022, la réglementation sur les cookies est l'une des plus concrètes et des plus vérifiables du RGPD. Contrairement à d'autres obligations (registre des traitements, DPA), le bandeau cookies est visible publiquement — n'importe qui, y compris les agents de la CNIL, peut le contrôler en quelques secondes depuis un navigateur.

La CNIL a développé des outils automatisés de veille qui scannent des milliers de sites français chaque mois, détectant les cookies déposés avant consentement, les bandeaux asymétriques et les finalités mal documentées. Le résultat : une multiplication par 3 des mises en demeure liées aux cookies entre 2021 et 2025.

Les sanctions ne frappent pas qu'Amazon ou Google. En 2024 et 2025, des e-commerçants, des médias en ligne, des SaaS B2B et des sites institutionnels ont reçu des amendes entre 15 000 et 200 000 euros pour des erreurs que vous allez reconnaître dans cet article.

Le cadre réglementaire des cookies en France

Article 82 de la loi Informatique et Libertés — tout dépôt de traceur non strictement nécessaire requiert le consentement préalable et éclairé de l'utilisateur.
RGPD Art. 4(11) et Art. 7 — le consentement doit être libre, spécifique, éclairé et univoque (action positive, pas de case précochée).
Lignes directrices CNIL cookies (2020, révisées 2022) — refuser doit être aussi simple qu'accepter, durée consentement 13 mois max, liste des sous-traitants dans la politique de confidentialité.
Recommandation CNIL sur les CMP (2024) — les gestionnaires de consentement doivent être audités régulièrement et leurs DPA signés.

Votre bandeau cookies est-il vraiment conforme ?

RGPDScan vérifie en 60 secondes si des cookies sont déposés avant votre consentement et si votre bandeau respecte les exigences CNIL 2026.

Les 7 erreurs documentées par la CNIL

Bouton 'Refuser' moins visible que 'Accepter'

C'est l'erreur la plus sanctionnée par la CNIL. Un bouton 'Accepter' coloré face à un lien gris 'Refuser', une taille différente, ou le bouton de refus relégué en page 2 — tout cela constitue un "dark pattern" explicitement interdit. Sanction type : mise en demeure avec publication. Correction : harmoniser la taille, la couleur et le niveau de hiérarchie des deux boutons.

Cases précochées pour les finalités non essentielles

Le RGPD interdit explicitement les cases précochées pour recueillir le consentement (Considérant 32). Présenter des finalités publicitaires ou analytiques avec une case déjà cochée est illégal — le consentement doit être actif. Cette erreur était courante avant 2022 ; en 2026, elle entraîne une sanction quasi-automatique.

Scroll ou navigation continue = consentement implicite

"En continuant à naviguer vous acceptez nos cookies" — une formule encore présente sur des centaines de sites français en 2026. Elle est illégale depuis 2020. Le consentement ne peut résulter que d'une action positive et délibérée. Un bandeau qui se ferme au défilement, une mention dans le footer sans vrai choix, ou l'absence de bandeau avec mention dans les CGU sont tous non conformes.

Durée de conservation du consentement supérieure à 13 mois

La CNIL recommande une durée maximale de 13 mois pour les cookies de consentement (le traceur qui mémorise le choix de l'utilisateur). Des durées de 24 mois, 36 mois, voire indéfinies ont été relevées lors des contrôles CNIL. Au-delà de 13 mois, le consentement doit être recueilli à nouveau. Vérifiez l'expiration de votre cookie CMP dans les DevTools.

Finalités vagues ou absentes dans le bandeau

"Nous utilisons des cookies pour améliorer votre expérience" n'est pas une finalité au sens du RGPD. L'utilisateur doit savoir précisément à quoi il consent : mesure d'audience, publicité ciblée, personnalisation, partage sur réseaux sociaux. Chaque finalité doit être lisible, séparée et permettre un choix granulaire. Les bandeaux trop génériques ont été spécifiquement ciblés dans les rapports CNIL 2024.

Dépôt de cookies avant le clic sur 'Accepter'

C'est techniquement la violation la plus grave. Même avec un beau bandeau conforme, si des cookies Google Analytics, Meta Pixel ou Hotjar sont déposés dès le chargement de la page (avant tout clic), le consentement n'a aucune valeur. La CNIL le vérifie avec des outils automatiques qui interceptent les requêtes réseau. Cdiscount (100 000 €) et des dizaines d'autres ont été sanctionnés sur ce seul point.

Absence de mécanisme de retrait du consentement

Le droit de retrait est aussi important que le droit de consentement. L'utilisateur doit pouvoir retirer son consentement à tout moment, aussi facilement qu'il l'a donné (Art. 7-3 RGPD). Un lien discret dans les mentions légales accessible en 4 clics ne remplit pas cette condition. Exigence minimale : un lien 'Gérer mes cookies' ou 'Retirer mon consentement' visible depuis toutes les pages, généralement dans le footer.

Check-list : votre bandeau en 10 points

Bouton Refuser aussi visible que Accepter (taille, couleur, hiérarchie identiques)
Aucune case précochée pour les finalités non essentielles
Zéro cookie non essentiel déposé avant le clic Accepter (test DevTools > Network > cookies)
Finalités listées précisément : analytics, pub, personnalisation, réseaux sociaux séparément
Cookie de consentement expirant dans 13 mois maximum (vérifier dans DevTools > Application > Cookies)
Lien 'Gérer mes cookies' visible depuis toutes les pages (footer)
DPA signé avec votre CMP (Axeptio, Didomi, Cookiebot, etc.)
Pas de dark patterns : pas de pop-up de culpabilisation, pas de gamification pour accepter
Bandeau réactivé après 13 mois automatiquement
Audit mensuel automatisé pour détecter toute régression (script tiers ajouté hors consentement)

Pour aller plus loin

Questions fréquentes

Mon bandeau cookies doit-il apparaître à chaque visite ?

Non. Il doit apparaître lors de la première visite et à chaque fois que le consentement est expiré (13 mois maximum selon les lignes directrices CNIL). Si l'utilisateur a donné son consentement valide, ne pas le solliciter à nouveau pendant 13 mois. En revanche, si vous ajoutez de nouvelles finalités ou de nouveaux sous-traitants, un nouveau consentement est nécessaire.

Le bouton 'Refuser' doit-il être au même niveau visuel que 'Accepter' ?

Oui, c'est une exigence explicite des lignes directrices CNIL de 2022. Les deux boutons doivent être présentés avec la même facilité d'accès — même taille, même niveau de hiérarchie visuelle. Un lien texte pour refuser face à un bouton coloré pour accepter est non conforme. Cette asymétrie est l'erreur la plus sanctionnée par la CNIL.

Peut-on utiliser le défilement ou la navigation comme consentement ?

Non. Le RGPD et les lignes directrices CNIL exigent un consentement positif et explicite. La continuation de la navigation, le défilement de page ou la simple fermeture du bandeau ne constituent pas un consentement valide. L'utilisateur doit effectuer une action positive (clic sur un bouton d'acceptation) pour que le consentement soit légalement recueilli.

Quelle est la durée maximale de conservation du consentement ?

13 mois selon les recommandations CNIL. Au-delà, le consentement doit être recueilli à nouveau. Cette durée court à partir du dépôt du cookie traceur lié au recueil du consentement. Des durées supérieures à 13 mois ont été relevées par la CNIL comme manquements lors de ses contrôles.

Faut-il détailler les finalités dans le bandeau cookies ?

Oui. Selon l'article 82 de la loi Informatique et Libertés et le RGPD (Art. 13), l'utilisateur doit être informé des finalités avant de donner son consentement. Un bandeau indiquant simplement 'Nous utilisons des cookies pour améliorer votre expérience' sans détailler les finalités (publicité, analytics, personnalisation) est insuffisant.

Mon CMP (Axeptio, Didomi, Cookiebot) me protège-t-il automatiquement ?

Partiellement. Un CMP correctement configuré couvre la présentation du bandeau et la gestion du consentement. Mais la conformité dépend aussi de votre configuration spécifique : cookies chargés avant consentement (côté technique), liste des finalités à jour, DPA signé avec le CMP, absence de finalités présélectionnées. Un CMP mal configuré peut donner une fausse impression de conformité.