What is a GDPR compliance scan?

A GDPR compliance scan (also called RGPD audit in French) is a comprehensive analysis of a website's compliance with the General Data Protection Regulation. RGPDScan automatically checks cookies, trackers, dark patterns, data transfers, security headers, user rights and legal basis.

Qu'est-ce qu'un audit RGPD ?

Un audit RGPD est une analyse complète de la conformité d'un site web au Règlement Général sur la Protection des Données. RGPDScan vérifie automatiquement les cookies, trackers, dark patterns, transferts de données, en-têtes de sécurité, droits des personnes et base légale du traitement.

How does the GDPR scanner work?

Our GDPR scanner uses a headless Chrome browser to simulate a real user visit. It detects cookies set before consent, analyzes cookie banners for dark patterns, maps non-EU data transfers, and checks compliance across 30+ GDPR checkpoints in under 60 seconds.

Is the GDPR scan free?

Yes, RGPDScan offers a free plan with 5 scans per month. You get GDPR, SEO, accessibility and visibility compliance scores. The Pro plan at €49/month gives access to detailed results, PDF reports, embeddable cookie banner and 200 scans/month.

What is the difference between RGPD and GDPR?

RGPD (Règlement Général sur la Protection des Données) is the French name for GDPR (General Data Protection Regulation). They refer to the same European regulation protecting personal data. RGPDScan supports both French and English-speaking users.

How is RGPDScan different from Cookiebot?

RGPDScan goes beyond cookie scanning by offering a complete 4-pillar audit: GDPR compliance, SEO analysis, WCAG accessibility audit, and social media visibility check. We use AI to detect dark patterns, analyze 400+ trackers, and provide an embeddable cookie consent banner with real-time analytics.

Quelle est l'alternative gratuite à Axeptio ?

RGPDScan propose une alternative gratuite à Axeptio avec bannière cookies conforme CNIL, scan RGPD (5 scans/mois), et générateur de documents juridiques. Contrairement à Axeptio, RGPDScan inclut aussi un scanner complet de dark patterns et trackers.

What is the best alternative to OneTrust for small businesses?

RGPDScan is the best OneTrust alternative for SMBs. It offers a complete GDPR audit platform — cookie scanner, dark pattern detection, AI document generator, and compliant cookie banner — starting at €0/month, compared to OneTrust's €15,000+/year pricing.

Comment éviter une amende CNIL ?

Pour éviter une amende CNIL : 1) Installez une bannière cookies avec bouton 'Tout refuser' aussi visible que 'Tout accepter'. 2) Ne déposez aucun cookie avant consentement. 3) Mettez à jour votre politique de confidentialité. 4) Documentez vos transferts hors UE. RGPDScan vérifie ces 30+ points automatiquement en 60 secondes.

Does RGPDScan work for German websites (DSGVO)?

Yes, RGPDScan works for all EU websites including German sites under DSGVO (Datenschutz-Grundverordnung). DSGVO is the German name for GDPR. RGPDScan detects DSGVO compliance issues including cookies, trackers, data transfers, and dark patterns.

Tarteaucitron est-il une bonne alternative à Cookiebot ?

Tarteaucitron est une bonne CMP open-source gratuite, mais nécessite un développeur pour l'installation. Il ne fait pas de scan RGPD complet, pas de génération de documents ni d'analytics. RGPDScan est une alternative tout-en-un qui inclut bannière cookies, scan RGPD et documents juridiques IA.

Registre des traitements RGPD : obligatoire ou pas ?

Techniquement obligatoire à partir de 250 salariés, le registre des traitements est en réalité indispensable pour toute organisation qui gère des données clients ou RH. Voici quoi y mettre, un modèle simplifié pour PME, et les 5 traitements que vous avez forcément.

L'article 30 RGPD : ce qu'il dit vraiment

L'Art. 30 RGPD impose à tout responsable de traitement de tenir un registre des activités de traitement. L'exception théorique pour les organisations de moins de 250 salariés disparaît dès que l'une de ces trois conditions est remplie :

Le traitement est susceptible de présenter un risque pour les droits et libertés des personnes (données de santé, surveillance, profilage étendu)
Le traitement n'est pas occasionnel (une newsletter mensuelle, un CRM en continu = non occasionnel)
Le traitement porte sur des données sensibles (Art. 9) ou des données relatives à des condamnations

En pratique, quasiment toutes les PME remplissent au moins la deuxième condition (traitements non occasionnels : CRM, newsletter, facturation, RH). Le registre est donc de facto obligatoire pour l'immense majorité des entreprises françaises, quelle que soit leur taille.

La CNIL recommande explicitement à toutes les entreprises, même en dessous de 250 salariés, de tenir un registre des traitements. C'est l'outil de base de la démonstration de conformité (accountability, Art. 5(2) RGPD).

Les 8 informations obligatoires par traitement

Pour chaque activité de traitement, le registre doit contenir les éléments suivants :

1. Nom et coordonnées du responsable

Votre raison sociale, adresse, email DPO ou référent RGPD

2. Finalité du traitement

L'objectif précis : "gestion de la relation client", "recrutement", "envoi de newsletters commerciales"

3. Catégories de personnes concernées

Clients, prospects, salariés, prestataires, visiteurs du site

4. Catégories de données traitées

Nom, email, téléphone, données de navigation, historique achats — sans lister chaque champ

5. Catégories de destinataires

Qui accède aux données : équipes internes, sous-traitants (hébergeur, CRM, email), partenaires

6. Transferts hors UE

Si les données partent vers USA, Inde ou autre : base légale du transfert (DPF, CCT, dérogations)

7. Délais d'effacement

Durée de conservation prévue avant suppression ou anonymisation

8. Mesures de sécurité

Description générale : chiffrement, contrôle d'accès, sauvegardes, pseudonymisation

Commencez votre registre par l'audit cookies de votre site

RGPDScan détecte tous les sous-traitants actifs (analytics, pub, support) à documenter dans votre registre.

Modèle simplifié : les 5 traitements classiques d'une PME

Voici un modèle directement utilisable pour les 5 traitements que toute PME possède. Il suffit d'adapter les informations à votre contexte.

Traitement	Finalité	Base légale	Durée
CRM / Prospects	Gestion relation commerciale	Intérêt légitime	3 ans après dernier contact
Facturation / Clients	Exécution contrat, obligations fiscales	Contrat + obligation légale	10 ans (prescription comptable)
Newsletter	Communication commerciale	Consentement	Jusqu'au désabonnement + 3 ans
Ressources humaines	Gestion salariés, paie	Contrat + obligation légale	5 ans après départ
Vidéosurveillance (si applicable)	Sécurité des locaux	Intérêt légitime	1 mois (CNIL)

Comment maintenir le registre à jour

Un registre statique est peu utile. Les bonnes pratiques pour le maintenir vivant :

Revue annuelle — Chaque début d'année, passez en revue tous les traitements. Supprimez ceux abandonnés, mettez à jour les sous-traitants et durées.
Déclencheurs d'update — Tout nouveau outil SaaS adopté, nouveau prestataire accédant à des données, nouvelle fonctionnalité collectant des données doit déclencher une mise à jour.
Un responsable identifié — Nommez une personne propriétaire du registre (DPO, DSI, responsable juridique). Sans responsable nommé, le registre se périme.
Lien avec les PIA — Les traitements à risque élevé dans le registre doivent renvoyer vers l'Analyse d'Impact sur la Protection des Données (AIPD/PIA) correspondante.

Pour aller plus loin

Questions fréquentes

Le registre des traitements est-il obligatoire pour une petite entreprise ?

Strictement, l'Art. 30 RGPD impose le registre aux organisations de plus de 250 salariés. Mais il y a une exception importante : si vos traitements sont susceptibles de présenter un risque pour les droits et libertés (données sensibles, surveillance), ou si vos traitements ne sont pas occasionnels, le registre est obligatoire quelle que soit la taille. En pratique, toute PME qui gère un CRM, envoie des newsletters ou stocke des données clients devrait tenir un registre.

Que doit contenir le registre des traitements ?

Pour chaque traitement : (1) nom et coordonnées du responsable de traitement, (2) finalité du traitement, (3) catégories de personnes concernées, (4) catégories de données traitées, (5) catégories de destinataires, (6) transferts vers pays tiers et garanties, (7) délais d'effacement prévus, (8) description des mesures de sécurité. Les sous-traitants doivent aussi tenir un registre de leurs activités de traitement pour le compte de leurs clients.

Sous quel format tenir le registre ?

Aucun format imposé par le RGPD. Vous pouvez utiliser un tableau Excel, Google Sheets, Notion, ou un outil RGPD dédié. La CNIL propose un modèle Excel gratuit sur son site. L'essentiel : le registre doit être tenu à jour, consultable en cas de contrôle CNIL, et couvrir toutes les activités de traitement réelles de l'organisation.

Quelle est la différence entre registre et politique de confidentialité ?

La politique de confidentialité est un document public destiné aux personnes concernées (vos utilisateurs/clients) pour les informer de leurs droits et des traitements qui les concernent. Le registre des traitements est un document interne destiné à la CNIL et à votre DPO pour prouver votre conformité. Les deux sont complémentaires mais distincts.

Faut-il un DPO pour tenir le registre ?

Non, un DPO (Délégué à la Protection des Données) n'est obligatoire que pour les organismes publics, les organisations dont l'activité principale implique un suivi régulier et systématique à grande échelle, ou le traitement à grande échelle de données sensibles. Les PME sans DPO obligatoire peuvent tenir leur registre elles-mêmes ou faire appel à un prestataire RGPD externe.

Que risque-t-on sans registre des traitements ?

Lors d'un contrôle CNIL, l'absence de registre est un manquement direct à l'Art. 30. La CNIL peut prononcer une mise en demeure de le constituer dans un délai imparti. Si non respecté, sanction financière possible (jusqu'à 10 M€ ou 2 % du CA pour violation documentaire). En pratique, les contrôles débutent souvent par la demande du registre — son absence aggrave toujours la suite du contrôle.