What is a GDPR compliance scan?

A GDPR compliance scan (also called RGPD audit in French) is a comprehensive analysis of a website's compliance with the General Data Protection Regulation. RGPDScan automatically checks cookies, trackers, dark patterns, data transfers, security headers, user rights and legal basis.

Qu'est-ce qu'un audit RGPD ?

Un audit RGPD est une analyse complète de la conformité d'un site web au Règlement Général sur la Protection des Données. RGPDScan vérifie automatiquement les cookies, trackers, dark patterns, transferts de données, en-têtes de sécurité, droits des personnes et base légale du traitement.

How does the GDPR scanner work?

Our GDPR scanner uses a headless Chrome browser to simulate a real user visit. It detects cookies set before consent, analyzes cookie banners for dark patterns, maps non-EU data transfers, and checks compliance across 30+ GDPR checkpoints in under 60 seconds.

Is the GDPR scan free?

Yes, RGPDScan offers a free plan with 5 scans per month. You get GDPR, SEO, accessibility and visibility compliance scores. The Pro plan at €49/month gives access to detailed results, PDF reports, embeddable cookie banner and 200 scans/month.

What is the difference between RGPD and GDPR?

RGPD (Règlement Général sur la Protection des Données) is the French name for GDPR (General Data Protection Regulation). They refer to the same European regulation protecting personal data. RGPDScan supports both French and English-speaking users.

How is RGPDScan different from Cookiebot?

RGPDScan goes beyond cookie scanning by offering a complete 4-pillar audit: GDPR compliance, SEO analysis, WCAG accessibility audit, and social media visibility check. We use AI to detect dark patterns, analyze 400+ trackers, and provide an embeddable cookie consent banner with real-time analytics.

Quelle est l'alternative gratuite à Axeptio ?

RGPDScan propose une alternative gratuite à Axeptio avec bannière cookies conforme CNIL, scan RGPD (5 scans/mois), et générateur de documents juridiques. Contrairement à Axeptio, RGPDScan inclut aussi un scanner complet de dark patterns et trackers.

What is the best alternative to OneTrust for small businesses?

RGPDScan is the best OneTrust alternative for SMBs. It offers a complete GDPR audit platform — cookie scanner, dark pattern detection, AI document generator, and compliant cookie banner — starting at €0/month, compared to OneTrust's €15,000+/year pricing.

Comment éviter une amende CNIL ?

Pour éviter une amende CNIL : 1) Installez une bannière cookies avec bouton 'Tout refuser' aussi visible que 'Tout accepter'. 2) Ne déposez aucun cookie avant consentement. 3) Mettez à jour votre politique de confidentialité. 4) Documentez vos transferts hors UE. RGPDScan vérifie ces 30+ points automatiquement en 60 secondes.

Does RGPDScan work for German websites (DSGVO)?

Yes, RGPDScan works for all EU websites including German sites under DSGVO (Datenschutz-Grundverordnung). DSGVO is the German name for GDPR. RGPDScan detects DSGVO compliance issues including cookies, trackers, data transfers, and dark patterns.

Tarteaucitron est-il une bonne alternative à Cookiebot ?

Tarteaucitron est une bonne CMP open-source gratuite, mais nécessite un développeur pour l'installation. Il ne fait pas de scan RGPD complet, pas de génération de documents ni d'analytics. RGPDScan est une alternative tout-en-un qui inclut bannière cookies, scan RGPD et documents juridiques IA.

RGPD et IA en 2026 : ce que change l'AI Act pour votre site

Chatbot IA, moteur de recommandation, scoring client : l'IA s'est glissée partout sur les sites web. L'AI Act européen est entré en vigueur en 2024 et ses obligations s'appliquent désormais. Voici ce qui change concrètement — et ce que vous devez faire avant la fin 2026.

Calendrier AI Act : où en sommes-nous en 2026 ?

L'AI Act (Règlement UE 2024/1689) a été publié au Journal officiel de l'UE le 12 juillet 2024 et est entré en vigueur le 1er août 2024. Son application est progressive selon les catégories de risque :

Février 2025 — Applicable

Pratiques d'IA interdites

Manipulation subliminale, exploitation des vulnérabilités, notation sociale généralisée, reconnaissance faciale en temps réel dans les espaces publics.

Août 2025 — Applicable

Modèles IA à usage général (GPAI) et transparence

Obligations de transparence pour les systèmes à risque limité (chatbots, deepfakes). Les fournisseurs de modèles fondation (GPT, Claude, Gemini) doivent documenter leurs systèmes.

Août 2026 — Applicable

Systèmes IA à haut risque

Évaluation de la conformité, documentation technique, enregistrement dans la base EU IA, supervision humaine obligatoire pour recrutement, crédit, justice, santé.

AI Act et RGPD : deux textes complémentaires

Une confusion fréquente : penser que l'AI Act remplace ou suspend le RGPD pour les systèmes IA. C'est faux. Les deux règlements s'appliquent en parallèle, avec des champs d'application distincts mais souvent superposés :

Dimension	RGPD	AI Act
Objet principal	Protection des données personnelles	Sécurité et transparence des systèmes IA
Qui est visé	Responsable de traitement	Fournisseur et déployeur d'IA
Sanction max	4 % CA ou 20 M€	6 % CA ou 35 M€
Droits individuels	Accès, effacement, portabilité, décision automatisée	Transparence, recours humain (haut risque)

Cas concrets : l'IA sur votre site sous le double prisme RGPD + AI Act

Cas 1 — Chatbot IA (support, FAQ, qualification lead)

Un chatbot alimenté par GPT-4 ou Claude traite nécessairement des données personnelles dès que l'utilisateur tape son nom, email, numéro de commande. Sous le RGPD : traitement de données personnelles, base légale requise (intérêt légitime ou exécution du contrat pour le support), durée de conservation à définir, sous-traitant (OpenAI/Anthropic) à encadrer via DPA. Sous l'AI Act : système à risque limité, obligation de transparence — l'utilisateur doit savoir qu'il interagit avec une IA (mention visible dans l'interface).

Cas 2 — Scoring client ou lead scoring

Un système qui attribue un score à chaque visiteur (propension à acheter, risque de churn, qualité de lead) basé sur le comportement ou des données démographiques. Sous le RGPD : constitue du profilage au sens de l'Art. 4(4), et potentiellement une décision automatisée au sens de l'Art. 22 si ce score déclenche automatiquement une action discriminante (offre refusée, accès restreint). Obligation d'information, droit d'accès au score, et droit d'intervention humaine. Sous l'AI Act : selon l'usage, peut être classé haut risque (scoring de crédit, scoring de recrutement).

Cas 3 — Moteur de recommandation (e-commerce, contenu)

"Les clients qui ont acheté X ont aussi acheté Y" ou "Articles recommandés pour vous" : ces systèmes constituent du profilage RGPD. La base légale est généralement l'intérêt légitime (Art. 6(1)(f)) pour la personnalisation commerciale — à condition que l'intérêt du responsable de traitement prévale sur celui de la personne, ce qui n'est pas automatique pour les mineurs ou les catégories sensibles. Sous l'AI Act : risque minimal si purement commercial et sans effets significatifs. Mais si la recommandation influence l'accès à des services essentiels, le niveau de risque monte.

Votre site traite-t-il des données via IA sans base légale documentée ?

Auditez vos traceurs, scripts IA et sous-traitants en 60 secondes avec RGPDScan.

Obligations pratiques si vous utilisez ChatGPT/Anthropic dans vos outils B2B

De nombreuses PME utilisent les API OpenAI ou Anthropic pour automatiser la rédaction, l'analyse de documents clients, la génération de réponses support, ou la synthèse de données commerciales. Dès que des données personnelles transitent par ces API, les obligations RGPD s'appliquent :

Signer le DPA — OpenAI propose un Data Processing Agreement pour les offres API Business (disponible dans les paramètres du compte). Anthropic dispose de clauses contractuelles similaires pour ses offres Enterprise.
Désactiver l'entraînement sur vos données — Par défaut, certaines offres utilisent vos inputs pour entraîner les modèles. Pour les offres API, cela est généralement désactivé. Vérifiez les paramètres et documentez-le dans votre registre.
Anonymiser avant d'envoyer — Si possible, anonymisez ou pseudonymisez les données personnelles avant de les inclure dans les prompts. Remplacez les noms par des identifiants. Cela réduit considérablement le risque.
Documenter dans le registre Art. 30 — Créez une entrée "Traitement IA" dans votre registre avec : finalité, base légale, catégories de données, sous-traitant (OpenAI LLC / Anthropic PBC), localisation USA + mécanisme de transfert DPF.

Pour les modèles hébergés sur infrastructure européenne (ex. Azure OpenAI avec région EU, Mistral AI en France), le risque de transfert hors UE est supprimé. C'est une option à considérer pour les traitements les plus sensibles.

Pour aller plus loin

Questions fréquentes

L'AI Act remplace-t-il le RGPD pour les systèmes d'IA ?

Non, l'AI Act complète le RGPD sans le remplacer. Les deux règlements s'appliquent en parallèle. L'AI Act porte sur la sécurité et la transparence des systèmes d'IA selon leur niveau de risque. Le RGPD porte sur le traitement des données personnelles. Un chatbot IA sur votre site est soumis aux deux textes simultanément.

Mon chatbot IA est-il un système à haut risque selon l'AI Act ?

Généralement non, si votre chatbot sert à répondre aux questions clients ou à automatiser du support. Il sera classé "risque limité" et soumis principalement aux obligations de transparence (informer l'utilisateur qu'il parle à une IA). En revanche, un chatbot de recrutement ou d'évaluation de crédit serait à haut risque.

Qu'est-ce que l'article 22 RGPD et quand s'applique-t-il à l'IA ?

L'article 22 RGPD donne aux personnes le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques significatifs. Il s'applique si votre IA prend seule une décision impactante : refus de crédit automatisé, rejection d'une candidature sans intervention humaine, suspension de compte. Dans ce cas, vous devez permettre un recours humain.

Peut-on utiliser ChatGPT ou Claude dans ses outils B2B sans risque RGPD ?

Oui, sous conditions : ne jamais envoyer de données personnelles non anonymisées aux API OpenAI/Anthropic sans DPA signé et base légale valide. OpenAI et Anthropic proposent des DPA pour leurs offres API Business/Enterprise. L'utilisation de données clients dans les prompts sans consentement ou base légale constitue une violation RGPD.

Quand les obligations de l'AI Act s'appliquent-elles pour les PME ?

L'AI Act est entré en vigueur en août 2024. Les pratiques d'IA interdites (manipulation, notation sociale) sont applicables depuis février 2025. Les obligations pour les systèmes à haut risque s'appliquent progressivement jusqu'en août 2026. Pour les PME utilisant des systèmes IA à risque limité (chatbots, recommandations), les obligations principales (transparence) s'appliquent depuis août 2025.

Que dois-je mentionner dans ma politique de confidentialité si j'utilise une IA ?

Vous devez mentionner : (1) l'existence du traitement automatisé et ses finalités, (2) la base légale (consentement, intérêt légitime ou exécution du contrat), (3) les tiers auxquels vous envoyez des données (ex. OpenAI, Anthropic), (4) si des décisions automatisées significatives sont prises, l'existence d'un droit au recours humain. Si le fournisseur IA est hors UE, mentionner le mécanisme de transfert.