What is a GDPR compliance scan?

A GDPR compliance scan (also called RGPD audit in French) is a comprehensive analysis of a website's compliance with the General Data Protection Regulation. RGPDScan automatically checks cookies, trackers, dark patterns, data transfers, security headers, user rights and legal basis.

Qu'est-ce qu'un audit RGPD ?

Un audit RGPD est une analyse complète de la conformité d'un site web au Règlement Général sur la Protection des Données. RGPDScan vérifie automatiquement les cookies, trackers, dark patterns, transferts de données, en-têtes de sécurité, droits des personnes et base légale du traitement.

How does the GDPR scanner work?

Our GDPR scanner uses a headless Chrome browser to simulate a real user visit. It detects cookies set before consent, analyzes cookie banners for dark patterns, maps non-EU data transfers, and checks compliance across 30+ GDPR checkpoints in under 60 seconds.

Is the GDPR scan free?

Yes, RGPDScan offers a free plan with 5 scans per month. You get GDPR, SEO, accessibility and visibility compliance scores. The Pro plan at €49/month gives access to detailed results, PDF reports, embeddable cookie banner and 200 scans/month.

What is the difference between RGPD and GDPR?

RGPD (Règlement Général sur la Protection des Données) is the French name for GDPR (General Data Protection Regulation). They refer to the same European regulation protecting personal data. RGPDScan supports both French and English-speaking users.

How is RGPDScan different from Cookiebot?

RGPDScan goes beyond cookie scanning by offering a complete 4-pillar audit: GDPR compliance, SEO analysis, WCAG accessibility audit, and social media visibility check. We use AI to detect dark patterns, analyze 400+ trackers, and provide an embeddable cookie consent banner with real-time analytics.

Quelle est l'alternative gratuite à Axeptio ?

RGPDScan propose une alternative gratuite à Axeptio avec bannière cookies conforme CNIL, scan RGPD (5 scans/mois), et générateur de documents juridiques. Contrairement à Axeptio, RGPDScan inclut aussi un scanner complet de dark patterns et trackers.

What is the best alternative to OneTrust for small businesses?

RGPDScan is the best OneTrust alternative for SMBs. It offers a complete GDPR audit platform — cookie scanner, dark pattern detection, AI document generator, and compliant cookie banner — starting at €0/month, compared to OneTrust's €15,000+/year pricing.

Comment éviter une amende CNIL ?

Pour éviter une amende CNIL : 1) Installez une bannière cookies avec bouton 'Tout refuser' aussi visible que 'Tout accepter'. 2) Ne déposez aucun cookie avant consentement. 3) Mettez à jour votre politique de confidentialité. 4) Documentez vos transferts hors UE. RGPDScan vérifie ces 30+ points automatiquement en 60 secondes.

Does RGPDScan work for German websites (DSGVO)?

Yes, RGPDScan works for all EU websites including German sites under DSGVO (Datenschutz-Grundverordnung). DSGVO is the German name for GDPR. RGPDScan detects DSGVO compliance issues including cookies, trackers, data transfers, and dark patterns.

Tarteaucitron est-il une bonne alternative à Cookiebot ?

Tarteaucitron est une bonne CMP open-source gratuite, mais nécessite un développeur pour l'installation. Il ne fait pas de scan RGPD complet, pas de génération de documents ni d'analytics. RGPDScan est une alternative tout-en-un qui inclut bannière cookies, scan RGPD et documents juridiques IA.

Mise en demeure CNIL : que faire dans les 30 jours ?

Vous venez de recevoir une mise en demeure de la CNIL. L'horloge tourne : 30 jours pour vous mettre en conformité, ou risquer une sanction publique. Voici exactement quoi faire, dans quel ordre, et les erreurs qui transforment une procédure gérable en catastrophe.

Ce que vous risquez vraiment

Une mise en demeure CNIL n'est pas une lettre de politesse. C'est le signal que votre organisation a été identifiée comme non conforme et que la CNIL a décidé de passer à l'acte. En 2025, la CNIL a prononcé 72 sanctions pour un montant total de 101 millions d'euros — soit une augmentation de 37 % par rapport à 2024. La grande majorité des sanctions pécuniaires ont débuté par une mise en demeure ignorée ou insuffisamment traitée.

Le mécanisme est simple mais brutal : vous avez généralement 30 jours (parfois 15 ou 60 selon la gravité) pour démontrer votre mise en conformité. Si vous ne le faites pas, le dossier remonte automatiquement à la formation restreinte de la CNIL, la chambre qui prononce les sanctions. Elle peut imposer jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial — le plus élevé des deux.

Pour une PME avec 5 millions d'euros de CA, cela représente 200 000 euros d'exposition maximale théorique. En pratique, les sanctions CNIL pour PME observées entre 2022 et 2025 se situent entre 20 000 et 150 000 euros — et s'accompagnent d'une publication nominative sur le site de la CNIL, visible de vos clients, partenaires et investisseurs.

La procédure CNIL : textes et mécanismes

La mise en demeure est encadrée par l'article 20-I de la loi Informatique et Libertés (LIL), modifiée pour transposer le RGPD. Deux types coexistent :

Mise en demeure simple (Art. 20-I-b LIL) — La plus courante. Fixe un délai (15 à 90 jours) pour se conformer. Peut rester confidentielle si la CNIL le décide. Débouche sur une sanction si non respectée.
Mise en demeure publique — La CNIL rend la mise en demeure publique pour adresser un signal sectoriel. Utilisée quand le manquement concerne de nombreuses organisations ou un secteur spécifique. Plus rare mais redoutable pour la réputation.

La CNIL peut émettre une mise en demeure suite à : une plainte d'un particulier (source la plus fréquente), un contrôle en ligne de ses agents (veille automatisée), un contrôle sur place, ou une coopération avec une autre autorité européenne dans le cadre du mécanisme de guichet unique.

La différence cruciale avec une sanction : la mise en demeure est une dernière chance de corriger avant que la formation restreinte ne soit saisie. Elle ne comporte pas en elle-même d'amende. C'est l'escalade qui coûte — à condition de la traiter sérieusement.

Identifiez vos manquements avant de répondre à la CNIL

RGPDScan détecte en 60 secondes les cookies illégaux, les bandeaux non conformes et les transferts hors UE non encadrés sur votre site.

Cas documentés : ce qui arrive vraiment

2022 — Cdiscount

100 000 € — Cookies sans consentement

Mise en demeure non respectée pour dépôt de cookies publicitaires et analytiques sans consentement préalable. La CNIL a constaté le maintien des manquements après le délai imparti. Délibération SAN-2022-016 publiée nominativement. Le dossier initial : des plaintes d'utilisateurs sur le bandeau cookies insuffisant.

2023 — Site e-commerce anonymisé

30 000 € — Défaut de base légale

PME française anonymisée sanctionnée après mise en demeure pour absence de politique de confidentialité conforme et cookies tiers déposés sans base légale. La réponse partielle fournie dans les 30 jours n'a pas convaincu la CNIL. Leçon : une réponse incomplète est presque aussi dommageable que l'absence de réponse.

2024 — Cabinet médical

Mise en demeure clôturée sans sanction

Cabinet médical ayant reçu une mise en demeure pour hébergement de dossiers patients hors hébergeur agréé HDS. En 30 jours : migration vers un hébergeur HDS certifié, mise à jour des DPA, notification CNIL avec preuves. Dossier clos. Exemple de réponse exemplaire : rapide, documentée, complète.

Plan d'action : les 30 jours heure par heure

Jours 1–3 : comprendre et mobiliser

Lire attentivement la mise en demeure : identifier précisément les manquements reprochés (article de loi violé, traitement concerné)
Constituer une équipe de crise : direction, DPO ou consultant RGPD externe, DSI, éventuellement avocat spécialisé
Lancer un audit technique immédiat sur les points cités : cookies, politique de confidentialité, registre des traitements, DPA
Archiver l'état initial (captures d'écran, logs) avant toute modification — preuves de votre bonne foi

Jours 4–20 : correction et documentation

Corriger chaque manquement identifié, dans l'ordre de gravité : cookies avant consentement en priorité absolue
Documenter chaque correction : date, nature de la modification, captures avant/après, responsable
Mettre à jour le registre des traitements, signer les DPA manquants avec les sous-traitants
Vérifier les points connexes non cités dans la mise en demeure : la CNIL peut les relever lors du contrôle de conformité

Jours 21–30 : rédiger et envoyer la réponse

Rédiger une réponse structurée : pour chaque manquement cité, description de la correction effectuée + preuve jointe
Joindre les preuves : captures d'écran datées, logs techniques, copies des DPA signés, politique de confidentialité mise à jour
Envoyer par courrier recommandé avec AR ET par email à l'adresse indiquée dans la mise en demeure
Conserver l'accusé de réception — il prouve que vous avez répondu dans les délais

Les 4 erreurs fatales à éviter absolument

Ignorer la mise en demeure — escalade automatique vers la sanction, facteur aggravant reconnu
Répondre sans preuves — "nous avons corrigé" sans documentation = réponse considérée insuffisante
Corriger partiellement — traiter seulement les points cités sans vérifier le contexte global donne à la CNIL matière à une seconde procédure
Contester sans se conformer — vous pouvez contester juridiquement la mise en demeure, mais en parallèle, pas à la place de la mise en conformité

Pour aller plus loin

Questions fréquentes

Une mise en demeure CNIL est-elle publique ?

Pas automatiquement. La CNIL peut choisir de rendre publique une mise en demeure pour envoyer un signal sectoriel, mais ce n'est pas systématique. En revanche, si une sanction pécuniaire fait suite à la mise en demeure, elle est publiée sur le site de la CNIL et dans sa délibération accessible publiquement. La mise en demeure elle-même reste souvent confidentielle pour les PME.

Peut-on négocier le délai de 30 jours avec la CNIL ?

Oui, dans certains cas. Si la mise en conformité implique des développements techniques complexes (refonte CMP, migration d'infrastructure), vous pouvez adresser un courrier motivé à la CNIL pour demander une prolongation. La CNIL l'accorde parfois, mais ne compte pas dessus : priorisez les actions visibles (bandeau cookies, politique de confidentialité) dans les 30 jours et documentez le plan pour le reste.

Que se passe-t-il si on ignore une mise en demeure CNIL ?

C'est l'erreur la plus grave. Sans réponse dans le délai imparti, le dossier est automatiquement transmis à la formation restreinte de la CNIL (la chambre de sanction). Elle peut prononcer une sanction financière jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial, rendre la décision publique et ordonner une injonction de cesser le traitement. L'absence de réponse est systématiquement aggravante.

Dois-je nommer un DPO pour répondre à une mise en demeure ?

Pas obligatoirement, sauf si votre structure y est déjà tenue (traitement à grande échelle de données sensibles, organisme public). Cependant, nommer ou mandater un DPO ou consultant RGPD externe pour piloter la réponse est fortement recommandé : il sait quelles preuves documenter, comment structurer la réponse écrite et anticiper les questions de la CNIL. Son implication montre aussi votre bonne foi.

Quelle est la différence entre une mise en demeure et un rappel à l'ordre ?

Le rappel à l'ordre (Art. 20-I-a LIL) est une mesure correctrice sans délai impératif, souvent adressée pour des manquements mineurs ou techniques. La mise en demeure (Art. 20-I-b LIL) est plus formelle : elle fixe un délai pour se conformer et peut déboucher sur une sanction. En pratique, la CNIL commence parfois par un rappel à l'ordre avant d'escalader vers une mise en demeure si les manquements perdurent.

Comment savoir si mon site est conforme avant de répondre à la CNIL ?

Commencez par un audit automatisé (cookies déposés avant consentement, bandeau conforme, politique de confidentialité à jour). RGPDScan détecte les manquements techniques en 60 secondes. Complétez avec une revue manuelle : registre des traitements, DPA avec sous-traitants, durées de conservation. Rassemblez les captures d'écran, logs et documents comme preuves pour votre réponse à la CNIL.