What is a GDPR compliance scan?

A GDPR compliance scan (also called RGPD audit in French) is a comprehensive analysis of a website's compliance with the General Data Protection Regulation. RGPDScan automatically checks cookies, trackers, dark patterns, data transfers, security headers, user rights and legal basis.

Qu'est-ce qu'un audit RGPD ?

Un audit RGPD est une analyse complète de la conformité d'un site web au Règlement Général sur la Protection des Données. RGPDScan vérifie automatiquement les cookies, trackers, dark patterns, transferts de données, en-têtes de sécurité, droits des personnes et base légale du traitement.

How does the GDPR scanner work?

Our GDPR scanner uses a headless Chrome browser to simulate a real user visit. It detects cookies set before consent, analyzes cookie banners for dark patterns, maps non-EU data transfers, and checks compliance across 30+ GDPR checkpoints in under 60 seconds.

Is the GDPR scan free?

Yes, RGPDScan offers a free plan with 5 scans per month. You get GDPR, SEO, accessibility and visibility compliance scores. The Pro plan at €49/month gives access to detailed results, PDF reports, embeddable cookie banner and 200 scans/month.

What is the difference between RGPD and GDPR?

RGPD (Règlement Général sur la Protection des Données) is the French name for GDPR (General Data Protection Regulation). They refer to the same European regulation protecting personal data. RGPDScan supports both French and English-speaking users.

How is RGPDScan different from Cookiebot?

RGPDScan goes beyond cookie scanning by offering a complete 4-pillar audit: GDPR compliance, SEO analysis, WCAG accessibility audit, and social media visibility check. We use AI to detect dark patterns, analyze 400+ trackers, and provide an embeddable cookie consent banner with real-time analytics.

Quelle est l'alternative gratuite à Axeptio ?

RGPDScan propose une alternative gratuite à Axeptio avec bannière cookies conforme CNIL, scan RGPD (5 scans/mois), et générateur de documents juridiques. Contrairement à Axeptio, RGPDScan inclut aussi un scanner complet de dark patterns et trackers.

What is the best alternative to OneTrust for small businesses?

RGPDScan is the best OneTrust alternative for SMBs. It offers a complete GDPR audit platform — cookie scanner, dark pattern detection, AI document generator, and compliant cookie banner — starting at €0/month, compared to OneTrust's €15,000+/year pricing.

Comment éviter une amende CNIL ?

Pour éviter une amende CNIL : 1) Installez une bannière cookies avec bouton 'Tout refuser' aussi visible que 'Tout accepter'. 2) Ne déposez aucun cookie avant consentement. 3) Mettez à jour votre politique de confidentialité. 4) Documentez vos transferts hors UE. RGPDScan vérifie ces 30+ points automatiquement en 60 secondes.

Does RGPDScan work for German websites (DSGVO)?

Yes, RGPDScan works for all EU websites including German sites under DSGVO (Datenschutz-Grundverordnung). DSGVO is the German name for GDPR. RGPDScan detects DSGVO compliance issues including cookies, trackers, data transfers, and dark patterns.

Tarteaucitron est-il une bonne alternative à Cookiebot ?

Tarteaucitron est une bonne CMP open-source gratuite, mais nécessite un développeur pour l'installation. Il ne fait pas de scan RGPD complet, pas de génération de documents ni d'analytics. RGPDScan est une alternative tout-en-un qui inclut bannière cookies, scan RGPD et documents juridiques IA.

Droit à l'effacement RGPD : comment répondre à un client

Un client demande la suppression de toutes ses données. Vous avez 1 mois. Ce n'est pas aussi simple que cliquer 'Supprimer le compte'. Voici exactement ce que la loi exige — et ce qu'elle vous permet de refuser.

Le droit à l'effacement : ce que dit l'Art. 17 RGPD

L'Article 17 du RGPD consacre le 'droit à l'effacement', souvent appelé 'droit à l'oubli'. Il s'applique dans 5 cas :

Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées

La personne retire son consentement et il n'existe pas d'autre base légale

La personne s'oppose au traitement et il n'existe pas de motif légitime prévalant

Les données ont fait l'objet d'un traitement illicite

L'effacement est exigé pour respecter une obligation légale

Quand pouvez-vous légalement refuser ?

Obligation légale de conservation (comptabilité 10 ans, contrats 5 ans, bulletins de paie 5 ans)

Exercice de la liberté d'expression et d'information (presse, recherche, intérêt public)

Motifs d'intérêt public dans le domaine de la santé publique

Fins archivistiques, de recherche scientifique ou historique

Constatation, exercice ou défense de droits en justice

Important : si vous refusez, vous devez informer la personne du motif de refus et de son droit de saisir la CNIL ou un tribunal. Ne jamais refuser sans explication.

Vos outils SaaS permettent-ils l'effacement complet ?

Certains outils ne permettent pas la suppression granulaire. Vérifiez leur conformité RGPD avec RGPDScan.

Procédure recommandée en 5 étapes

Vérifier l'identité du demandeur

Demander une pièce d'identité si doute sur l'identité. Ne pas demander de pièce d'identité systématiquement — c'est disproportionné. Pour les comptes clients, la connexion au compte suffit généralement.

Inventorier tous les systèmes concernés

Base de données principale, CRM, outil email, logs serveur, sauvegardes, exports CSV, Google Analytics (purge segment), outils tiers. Tout système détenant les données doit être inclus.

Effacer ou anonymiser

Suppression complète OU anonymisation vraie (impossible de ré-identifier). La pseudonymisation ne suffit pas. Pour les données comptables obligatoirement conservées : anonymiser les données personnelles, conserver les montants.

Informer les sous-traitants

Si vous avez partagé les données avec des tiers (sous-traitants, partenaires), vous devez leur demander d'effacer également. Art. 19 RGPD.

Répondre et documenter

Confirmer par écrit l'effacement effectué (liste des systèmes purgés, date). Conserver ce document 5 ans. Si refus partiel : expliquer le motif légal et les données conservées.

Pour aller plus loin

Questions fréquentes

Un client peut-il demander l'effacement de toutes ses données ?

Il peut demander l'effacement, mais ce droit n'est pas absolu. Vous pouvez refuser si vous avez une obligation légale de conserver (comptabilité : 10 ans, contrats : 5 ans), si les données sont nécessaires à la défense de droits en justice, ou pour des motifs d'intérêt public. Informez le client du motif de refus et de son droit de recours auprès de la CNIL.

Supprimer le compte client suffit-il pour respecter le droit à l'effacement ?

Non. Supprimer le compte front-end ne suffit pas si les données persistent en base de données, dans les sauvegardes, les logs, les fichiers d'export, le CRM, l'outil email, etc. L'effacement doit être complet ou justifié par une obligation légale.

Faut-il effacer les données dans les sauvegardes ?

En principe oui, mais la CNIL admet une tolérance pratique : si la suppression immédiate dans les sauvegardes est techniquement très complexe (bandes magnétiques, archives froides), vous pouvez indiquer que les sauvegardes seront purgées à leur prochaine rotation, et garantir qu'elles ne seront pas restaurées pour utiliser ces données.

Quel délai pour répondre à une demande d'effacement ?

1 mois à compter de la réception de la demande. Ce délai peut être prolongé de 2 mois supplémentaires si la demande est complexe ou nombreuse, à condition d'informer le demandeur de la prolongation et de son motif dans le délai initial d'1 mois.

Peut-on refuser une demande d'effacement d'un ancien salarié ?

Certaines données doivent être conservées : bulletin de salaire (5 ans), documents RH liés à la paie (10 ans comptables), éléments de preuve en cas de litige prudhommal (5 ans). En dehors de ces obligations, l'effacement s'applique également aux données ex-salariés.

Comment prouver qu'on a bien effectué l'effacement ?

Tenez un journal des demandes : date de réception, nature de la demande, actions effectuées (liste des systèmes purgés), date de réponse. Conservez ce journal 5 ans. En cas de contrôle CNIL ou de litige, c'est votre preuve principale.

Droit à l'effacement RGPD : comment répondre quand un client demande