What is a GDPR compliance scan?

A GDPR compliance scan (also called RGPD audit in French) is a comprehensive analysis of a website's compliance with the General Data Protection Regulation. RGPDScan automatically checks cookies, trackers, dark patterns, data transfers, security headers, user rights and legal basis.

Qu'est-ce qu'un audit RGPD ?

Un audit RGPD est une analyse complète de la conformité d'un site web au Règlement Général sur la Protection des Données. RGPDScan vérifie automatiquement les cookies, trackers, dark patterns, transferts de données, en-têtes de sécurité, droits des personnes et base légale du traitement.

How does the GDPR scanner work?

Our GDPR scanner uses a headless Chrome browser to simulate a real user visit. It detects cookies set before consent, analyzes cookie banners for dark patterns, maps non-EU data transfers, and checks compliance across 30+ GDPR checkpoints in under 60 seconds.

Is the GDPR scan free?

Yes, RGPDScan offers a free plan with 5 scans per month. You get GDPR, SEO, accessibility and visibility compliance scores. The Pro plan at €49/month gives access to detailed results, PDF reports, embeddable cookie banner and 200 scans/month.

What is the difference between RGPD and GDPR?

RGPD (Règlement Général sur la Protection des Données) is the French name for GDPR (General Data Protection Regulation). They refer to the same European regulation protecting personal data. RGPDScan supports both French and English-speaking users.

How is RGPDScan different from Cookiebot?

RGPDScan goes beyond cookie scanning by offering a complete 4-pillar audit: GDPR compliance, SEO analysis, WCAG accessibility audit, and social media visibility check. We use AI to detect dark patterns, analyze 400+ trackers, and provide an embeddable cookie consent banner with real-time analytics.

Quelle est l'alternative gratuite à Axeptio ?

RGPDScan propose une alternative gratuite à Axeptio avec bannière cookies conforme CNIL, scan RGPD (5 scans/mois), et générateur de documents juridiques. Contrairement à Axeptio, RGPDScan inclut aussi un scanner complet de dark patterns et trackers.

What is the best alternative to OneTrust for small businesses?

RGPDScan is the best OneTrust alternative for SMBs. It offers a complete GDPR audit platform — cookie scanner, dark pattern detection, AI document generator, and compliant cookie banner — starting at €0/month, compared to OneTrust's €15,000+/year pricing.

Comment éviter une amende CNIL ?

Pour éviter une amende CNIL : 1) Installez une bannière cookies avec bouton 'Tout refuser' aussi visible que 'Tout accepter'. 2) Ne déposez aucun cookie avant consentement. 3) Mettez à jour votre politique de confidentialité. 4) Documentez vos transferts hors UE. RGPDScan vérifie ces 30+ points automatiquement en 60 secondes.

Does RGPDScan work for German websites (DSGVO)?

Yes, RGPDScan works for all EU websites including German sites under DSGVO (Datenschutz-Grundverordnung). DSGVO is the German name for GDPR. RGPDScan detects DSGVO compliance issues including cookies, trackers, data transfers, and dark patterns.

Tarteaucitron est-il une bonne alternative à Cookiebot ?

Tarteaucitron est une bonne CMP open-source gratuite, mais nécessite un développeur pour l'installation. Il ne fait pas de scan RGPD complet, pas de génération de documents ni d'analytics. RGPDScan est une alternative tout-en-un qui inclut bannière cookies, scan RGPD et documents juridiques IA.

Google Analytics est-il encore légal en France en 2026 ?

Réponse courte : oui, sous conditions strictes. Réponse longue : la CNIL recommande de migrer. Voici exactement ce qui s'applique en 2026, les sanctions encourues et les alternatives qui éliminent le risque.

L'état réel du risque en 2026

Depuis février 2022, l'usage de Google Analytics en France repose sur un équilibre juridique précaire. La CNIL a explicitement déclaré l'outil non conforme au RGPD dans sa délibération MED-2022-008. Le motif : transferts de données personnelles vers les serveurs Google aux États-Unis sans garanties équivalentes à celles du RGPD européen, conformément à la jurisprudence Schrems II de la CJUE.

En juillet 2023, l'Union européenne et les États-Unis ont signé le Data Privacy Framework (DPF), un nouveau cadre légal censé sécuriser les transferts transatlantiques. Google y a immédiatement souscrit. Théoriquement, cela rend Google Analytics utilisable. Pratiquement, le DPF fait l'objet d'un recours devant la Cour de Justice de l'Union Européenne déposé par l'association autrichienne NOYB de Max Schrems. Une invalidation "Schrems III" est envisagée pour mi-2026 ou 2027.

Cette incertitude juridique se traduit concrètement par un risque de sanction permanent pour les sites français utilisant Google Analytics, surtout sans configuration RGPD-friendly stricte.

Le cadre légal applicable en 2026

Trois textes encadrent l'usage de Google Analytics en France :

Le RGPD (Règlement UE 2016/679) — impose une base légale (consentement pour les cookies analytiques non essentiels) et encadre les transferts internationaux (Art. 44 à 49).
L'article 82 de la Loi Informatique et Libertés — transpose la directive ePrivacy : tout dépôt de cookie non strictement nécessaire requiert le consentement préalable de l'utilisateur.
Les lignes directrices CNIL sur les cookies — publiées en septembre 2020 et durcies en 2022 : le bouton Refuser doit être aussi visible que Accepter, aucun dépôt avant le clic.

Pour utiliser Google Analytics légalement en France, il faut donc cumuler : consentement préalable explicite (cookies analytiques sont non essentiels), encadrement du transfert vers les USA (via DPF), information transparente dans la politique de confidentialité, et minimisation des données (anonymisation IP).

Votre site dépose-t-il Google Analytics avant consentement ?

C'est la première chose que la CNIL vérifie. RGPDScan détecte ces dépôts illégaux en 60 secondes.

Sanctions CNIL et européennes documentées

Février 2022

CNIL — Mise en demeure publique

Site web français anonymisé sanctionné publiquement pour usage de Google Analytics sans garanties suffisantes au sens de Schrems II. Délibération MED-2022-008. Déclenche la jurisprudence française défavorable.

Juin 2022

Cdiscount — 100 000 €

Géant français de l'e-commerce sanctionné notamment pour cookies analytiques (dont Google Analytics) déposés avant consentement. Délibération SAN-2022-016.

Mars 2024

Google Ireland — 250 M€

Sanction historique pour atteinte au droit voisin presse et non-respect d'engagements pris devant l'Autorité de la concurrence. Concerne directement les pratiques Google en France.

3 stratégies en 2026

Stratégie 1 — Conserver Google Analytics avec configuration stricte

Risque modéré, effort élevé. Conditions cumulatives obligatoires :

Bloquer le script avant tout clic Accepter (via CMP type Axeptio, Didomi, RGPDScan banner)
Activer l'anonymisation IP dans la configuration GA4
Signer le DPA Google (Conditions de traitement des données dans l'admin)
Mentionner Google Analytics + DPF dans la politique de confidentialité
Auditer mensuellement pour détecter toute fuite (cookie déposé avant consentement)

Stratégie 2 — Migrer vers Plausible Analytics

Risque zéro, effort faible. Plausible est édité depuis l'Estonie (UE), hébergé en Allemagne, sans aucun cookie. Aucune bannière requise. Tarifs : 9 €/mois pour 10 000 pageviews, 19 €/mois pour 100 000. Migration : ajouter le snippet dans le head, attendre 30 jours, supprimer Google Analytics. La plupart des fonctions de GA basiques (pages vues, sources, top contenus, conversions) sont couvertes. Manque : segments avancés et Google Ads attribution (workaround via UTM).

Stratégie 3 — Matomo (Cloud EU ou self-hosted)

Risque zéro, effort moyen. Matomo (anciennement Piwik) propose une parité fonctionnelle quasi-complète avec Google Analytics : segments, attribution multi-touch, heatmaps optionnelles. Matomo Cloud EU : 24 €/mois, hébergement allemand. Matomo On-Premise : gratuit, à installer sur votre serveur. Mode "cookieless" disponible : aucune bannière nécessaire. Recommandé pour les équipes marketing data-driven.

Tableau comparatif rapide

Critère	GA4	Plausible	Matomo
RGPD natif
Cookies requis	Oui	Non	Optionnel
Hébergement	USA	DE	DE
Prix (10k pv/mois)	Gratuit	9 €	Gratuit*
Risque sanction	Élevé	Aucun	Aucun

* Matomo self-hosted gratuit, Cloud EU 24 €/mois.

Conclusion : que faire concrètement ?

Si vous gérez un site B2C ou e-commerce avec trafic significatif (10 000+ visiteurs/mois), migrez vers Plausible ou Matomo. Le ratio risque/bénéfice de Google Analytics ne se justifie plus en 2026, surtout face à l'incertitude pesant sur le DPF. Si vous êtes une grande entreprise dépendante de Google Ads et BigQuery, configurez GA4 avec rigueur (CMP, anonymisation, DPA, audit mensuel) et préparez un plan de migration en parallèle. Dans tous les cas, vérifiez immédiatement qu'aucun cookie GA n'est déposé avant consentement sur votre site — c'est la sanction la plus fréquente.

Pour aller plus loin

Questions fréquentes

Puis-je utiliser Google Analytics en France en 2026 ?

Oui sous conditions strictes : consentement préalable explicite, anonymisation IP, signature du DPA Google, mention dans la politique de confidentialité, blocage du script avant clic Accepter. La CNIL recommande toutefois de migrer vers une alternative européenne comme Plausible ou Matomo pour éliminer le risque résiduel.

La décision CNIL de février 2022 contre Google Analytics est-elle toujours valable ?

Oui, la délibération CNIL MED-2022-008 du 10 février 2022 n'a jamais été abrogée. Le Data Privacy Framework signé en juillet 2023 entre l'UE et les USA fournit un cadre théorique pour les transferts, mais il fait l'objet d'un recours devant la CJUE et son maintien à long terme reste incertain.

Combien risque mon site avec Google Analytics sans consentement ?

Mise en demeure CNIL en premier (gratuite mais publique). Si non respectée sous 30 jours : sanction de 20 000 € à 4 % du chiffre d'affaires mondial. Pour une PME, les sanctions constatées varient entre 30 000 et 150 000 €. Cdiscount a écopé de 100 000 € en 2022, Google Ireland de 250 000 € en 2024.

Quelle est la meilleure alternative gratuite à Google Analytics ?

Plausible Analytics (Estonie/France, 9 €/mois avec essai gratuit) est la référence : aucun cookie, données hébergées en UE, conforme sans bannière. Matomo offre une version Cloud (24 €/mois) et une version self-hosted gratuite. Umami est open-source self-hosted gratuit. Toutes 100 % RGPD-friendly.

GA4 est-il plus conforme RGPD que Universal Analytics ?

Non, GA4 hérite des mêmes problèmes RGPD que UA : transferts vers les USA, croisement de données avec l'écosystème Google. Légèrement meilleur sur l'anonymisation IP par défaut, mais l'architecture globale reste inchangée. La décision CNIL 2022 s'applique aux deux.

Comment migrer de Google Analytics vers Plausible sans perdre l'historique ?

Exportez vos données GA via Google Analytics Data API ou Looker Studio (BigQuery export pour GA4). Importez dans Plausible via leur Data Import tool. Période de double-tracking 2-3 mois recommandée pour valider la cohérence. Pas de migration automatique parfaite, mais l'historique reste consultable côté Google si compte conservé.