What is a GDPR compliance scan?

A GDPR compliance scan (also called RGPD audit in French) is a comprehensive analysis of a website's compliance with the General Data Protection Regulation. RGPDScan automatically checks cookies, trackers, dark patterns, data transfers, security headers, user rights and legal basis.

Qu'est-ce qu'un audit RGPD ?

Un audit RGPD est une analyse complète de la conformité d'un site web au Règlement Général sur la Protection des Données. RGPDScan vérifie automatiquement les cookies, trackers, dark patterns, transferts de données, en-têtes de sécurité, droits des personnes et base légale du traitement.

How does the GDPR scanner work?

Our GDPR scanner uses a headless Chrome browser to simulate a real user visit. It detects cookies set before consent, analyzes cookie banners for dark patterns, maps non-EU data transfers, and checks compliance across 30+ GDPR checkpoints in under 60 seconds.

Is the GDPR scan free?

Yes, RGPDScan offers a free plan with 5 scans per month. You get GDPR, SEO, accessibility and visibility compliance scores. The Pro plan at €49/month gives access to detailed results, PDF reports, embeddable cookie banner and 200 scans/month.

What is the difference between RGPD and GDPR?

RGPD (Règlement Général sur la Protection des Données) is the French name for GDPR (General Data Protection Regulation). They refer to the same European regulation protecting personal data. RGPDScan supports both French and English-speaking users.

How is RGPDScan different from Cookiebot?

RGPDScan goes beyond cookie scanning by offering a complete 4-pillar audit: GDPR compliance, SEO analysis, WCAG accessibility audit, and social media visibility check. We use AI to detect dark patterns, analyze 400+ trackers, and provide an embeddable cookie consent banner with real-time analytics.

Quelle est l'alternative gratuite à Axeptio ?

RGPDScan propose une alternative gratuite à Axeptio avec bannière cookies conforme CNIL, scan RGPD (5 scans/mois), et générateur de documents juridiques. Contrairement à Axeptio, RGPDScan inclut aussi un scanner complet de dark patterns et trackers.

What is the best alternative to OneTrust for small businesses?

RGPDScan is the best OneTrust alternative for SMBs. It offers a complete GDPR audit platform — cookie scanner, dark pattern detection, AI document generator, and compliant cookie banner — starting at €0/month, compared to OneTrust's €15,000+/year pricing.

Comment éviter une amende CNIL ?

Pour éviter une amende CNIL : 1) Installez une bannière cookies avec bouton 'Tout refuser' aussi visible que 'Tout accepter'. 2) Ne déposez aucun cookie avant consentement. 3) Mettez à jour votre politique de confidentialité. 4) Documentez vos transferts hors UE. RGPDScan vérifie ces 30+ points automatiquement en 60 secondes.

Does RGPDScan work for German websites (DSGVO)?

Yes, RGPDScan works for all EU websites including German sites under DSGVO (Datenschutz-Grundverordnung). DSGVO is the German name for GDPR. RGPDScan detects DSGVO compliance issues including cookies, trackers, data transfers, and dark patterns.

Tarteaucitron est-il une bonne alternative à Cookiebot ?

Tarteaucitron est une bonne CMP open-source gratuite, mais nécessite un développeur pour l'installation. Il ne fait pas de scan RGPD complet, pas de génération de documents ni d'analytics. RGPDScan est une alternative tout-en-un qui inclut bannière cookies, scan RGPD et documents juridiques IA.

RGPD pour freelances : ce que personne ne vous dit

Le RGPD s'applique aussi aux freelances et auto-entrepreneurs. Mais les obligations sont souvent bien plus simples qu'on ne le croit — et le vrai risque n'est pas forcément là où on l'attend. Ce guide démonte les mythes et vous donne le strict nécessaire pour travailler en conformité.

Oui, le RGPD vous concerne aussi

La confusion est fréquente : beaucoup de freelances pensent que le RGPD est réservé aux grandes entreprises ou aux structures avec un service informatique. C'est faux. Le RGPD s'applique dès lors que vous traitez des données personnelles dans un cadre professionnel — ce qui inclut un fichier clients, un formulaire de contact, ou une base de prospects.

La bonne nouvelle : les obligations sont proportionnées à la taille et au risque. Un développeur freelance qui accède à la BDD d'un client e-commerce et un groupe bancaire n'ont pas les mêmes obligations. L'article 30-5 du RGPD prévoit même une exemption partielle du registre des traitements pour les structures de moins de 250 personnes — ce qui couvre tous les freelances.

La mauvaise nouvelle : certaines obligations ne souffrent d'aucune exception de taille — notamment les clauses de sous-traitance (DPA) et la sécurité des données. Et surtout, le marché B2B évolue : de plus en plus de donneurs d'ordre exigent une conformité RGPD de leurs prestataires comme prérequis contractuel. Ne pas être en ordre peut vous coûter des contrats.

Vos obligations réelles en 2026

Voici ce que le RGPD impose réellement à un freelance, sans gonfler la liste :

Registre des traitements (allégé) — documenter vos traitements non occasionnels. Pour la plupart des freelances : gestion de la clientèle, facturation, site web. Un tableur partagé suffit, pas de logiciel spécifique requis.
Clause DPA dans vos contrats — obligatoire dès que vous traitez des données pour le compte d'un client (Art. 28 RGPD). Peut tenir en un paragraphe de 10 lignes dans votre contrat de prestation.
Sécurité des données — mesures techniques proportionnées au risque : chiffrement des fichiers clients, mots de passe forts, pas de données clients sur des outils grand public non sécurisés.
Politique de confidentialité sur votre site — obligatoire si votre site collecte des données (formulaire, analytics, newsletter). Peut être courte et simple.
Bandeau cookies — si vous utilisez des analytics ou des scripts tiers sur votre site. Pas de cookie non essentiel avant consentement.

Vérifiez votre site freelance en 60 secondes

Cookies avant consentement, bandeau non conforme, transferts hors UE non encadrés — RGPDScan détecte les points à corriger immédiatement.

Le risque réel : commercial avant tout

Exigence B2B croissante

Les grandes entreprises (ETI, grands comptes, secteur public) intègrent désormais la conformité RGPD dans leurs due diligences fournisseurs. Un freelance qui ne peut pas produire un DPA, une politique de confidentialité ou un registre des traitements peut se voir écarté d'un appel d'offres ou d'une mission. Ce phénomène s'est accéléré depuis 2023 et les premières sanctions CNIL publiques touchant des sous-traitants.

Risque plainte client / prospect

Un freelance peut recevoir une plainte CNIL d'un prospect qui considère que ses données ont été utilisées sans base légale (démarchage sans consentement, conservation longue d'un devis non signé). La CNIL traite ces plaintes et peut contacter le freelance. Le risque d'amende directe reste faible, mais la procédure prend du temps et peut nuire à la réputation.

Ce que la CNIL ne contrôle généralement pas

La CNIL ne lance pas de contrôles proactifs sur les micro-structures. Elle cible les organisations traitant des données à grande échelle (millions de personnes) ou des données sensibles (santé, paiement). Un freelance solo gérant quelques dizaines ou centaines de contacts ne sera pas dans le radar CNIL sauf plainte directe ou connexion à un dossier client plus large.

Plan d'action : se mettre en conformité en 1 journée

Étape 1 — Inventaire de vos traitements (2h)

Listez vos outils qui contiennent des données de personnes : CRM, outil facturation, tableur clients, email, newsletter
Pour chaque outil : quelle donnée, combien de personnes, où est-ce hébergé, combien de temps conservé
Créez un registre simple dans un tableur (modèle CNIL disponible gratuitement sur cnil.fr)

Étape 2 — Contrats clients : ajouter la clause DPA (1h)

Intégrez une clause Art. 28 dans votre contrat type : nature des données traitées, finalité, durée, vos mesures de sécurité, vos sous-sous-traitants
Pour les missions en cours : envoyez un avenant DPA par email. Conservez l'accord du client
Si votre client vous impose son propre DPA (grandes entreprises) : lisez-le avant de signer, vérifiez vos obligations de notification en cas d'incident

Étape 3 — Site web et outils (2h)

Auditez votre site : quels cookies, quels analytics, quels formulaires ? RGPDScan fait cela en 60 secondes
Rédigez ou mettez à jour votre politique de confidentialité (courte, claire, spécifique à votre activité)
Remplacez Google Analytics sans consentement par Plausible (pas de cookie, pas de bandeau nécessaire, 9€/mois)
Vérifiez l'hébergement de vos outils : préférez les outils EU ou avec DPA signable (Notion EU, Proton, Infomaniak)

Les outils à privilégier pour un freelance RGPD

Besoin	À risque	Alternative EU
Analytics	Google Analytics	Plausible, Matomo
Email pro	Gmail (personnel)	Proton Mail, Infomaniak Mail
Stockage fichiers	Dropbox (US)	Infomaniak kDrive, Nextcloud
Facturation	Outils US sans DPA	Pennylane, Freebe, Zoho EU
Notes / docs	Notion (US par défaut)	Notion EU, Outline, Obsidian

Pour aller plus loin

Questions fréquentes

Un freelance est-il un responsable de traitement ou un sous-traitant ?

Les deux, selon le contexte. Lorsque le freelance traite des données pour son propre compte (gestion de sa comptabilité, base clients, newsletter), il est responsable de traitement. Lorsqu'il traite des données pour le compte d'un client (développement d'une application, gestion de données marketing), il est sous-traitant. Dans ce second cas, un DPA (accord de sous-traitance) doit être signé avec le client. Un freelance peut donc être les deux simultanément.

Mon registre des traitements freelance doit-il être complexe ?

Non. Pour les petites structures (moins de 250 salariés), le RGPD prévoit une exemption partielle : seuls les traitements non occasionnels, ou portant sur des données sensibles, ou susceptibles de créer un risque pour les personnes, doivent figurer dans le registre. En pratique, un freelance solo a souvent 3-5 traitements à documenter : gestion clients/devis, comptabilité, newsletter éventuelle. Un tableur suffit.

Dois-je signer un DPA avec chaque client pour lequel je traite des données ?

Oui, si vous accédez à des données personnelles de leurs utilisateurs ou employés dans le cadre de votre mission (accès à la BDD, analytics, outil CRM). Le DPA (ou accord de sous-traitance Art. 28 RGPD) peut être une clause dans votre contrat de prestation. Beaucoup de contrats freelance en sont dépourvus — c'est une lacune que vos clients B2B grandes entreprises commencent à exiger de corriger.

Quels outils SaaS posent problème pour un freelance RGPD ?

Les outils US sans DPA signé ou sans certifications adéquates : certains outils de facturation en ligne, Notion (données US si non configuré EU), des outils de communication (Slack gratuit, certaines versions de Teams), outils de prise de rendez-vous collectant plus de données que nécessaire. En priorité : vérifiez où sont hébergées les données de vos clients quand vous utilisez ces outils dans leurs projets.

La CNIL contrôle-t-elle les freelances et auto-entrepreneurs ?

Rarement en proactif. La CNIL cible prioritairement les organisations traitant des millions de personnes. Pour un freelance, le risque réel vient des plaintes individuelles (un client ou prospect mécontent) ou d'un contrôle déclenché par un client lui-même en difficulté avec la CNIL. Le risque réglementaire direct est faible ; le risque commercial (perte de contrats B2B exigeants) est plus concret.

Ai-je besoin d'une politique de confidentialité sur mon site de freelance ?

Oui, si votre site collecte des données (formulaire de contact, Google Analytics, newsletter). La politique doit mentionner les finalités, les durées de conservation, vos sous-traitants (hébergeur, outil d'emailing), et les droits des personnes. Si votre site ne collecte strictement rien (vitrine statique sans cookie, sans formulaire, sans analytics), la politique reste recommandée mais n'est pas légalement obligatoire.