What is a GDPR compliance scan?

A GDPR compliance scan (also called RGPD audit in French) is a comprehensive analysis of a website's compliance with the General Data Protection Regulation. RGPDScan automatically checks cookies, trackers, dark patterns, data transfers, security headers, user rights and legal basis.

Qu'est-ce qu'un audit RGPD ?

Un audit RGPD est une analyse complète de la conformité d'un site web au Règlement Général sur la Protection des Données. RGPDScan vérifie automatiquement les cookies, trackers, dark patterns, transferts de données, en-têtes de sécurité, droits des personnes et base légale du traitement.

How does the GDPR scanner work?

Our GDPR scanner uses a headless Chrome browser to simulate a real user visit. It detects cookies set before consent, analyzes cookie banners for dark patterns, maps non-EU data transfers, and checks compliance across 30+ GDPR checkpoints in under 60 seconds.

Is the GDPR scan free?

Yes, RGPDScan offers a free plan with 5 scans per month. You get GDPR, SEO, accessibility and visibility compliance scores. The Pro plan at €49/month gives access to detailed results, PDF reports, embeddable cookie banner and 200 scans/month.

What is the difference between RGPD and GDPR?

RGPD (Règlement Général sur la Protection des Données) is the French name for GDPR (General Data Protection Regulation). They refer to the same European regulation protecting personal data. RGPDScan supports both French and English-speaking users.

How is RGPDScan different from Cookiebot?

RGPDScan goes beyond cookie scanning by offering a complete 4-pillar audit: GDPR compliance, SEO analysis, WCAG accessibility audit, and social media visibility check. We use AI to detect dark patterns, analyze 400+ trackers, and provide an embeddable cookie consent banner with real-time analytics.

Quelle est l'alternative gratuite à Axeptio ?

RGPDScan propose une alternative gratuite à Axeptio avec bannière cookies conforme CNIL, scan RGPD (5 scans/mois), et générateur de documents juridiques. Contrairement à Axeptio, RGPDScan inclut aussi un scanner complet de dark patterns et trackers.

What is the best alternative to OneTrust for small businesses?

RGPDScan is the best OneTrust alternative for SMBs. It offers a complete GDPR audit platform — cookie scanner, dark pattern detection, AI document generator, and compliant cookie banner — starting at €0/month, compared to OneTrust's €15,000+/year pricing.

Comment éviter une amende CNIL ?

Pour éviter une amende CNIL : 1) Installez une bannière cookies avec bouton 'Tout refuser' aussi visible que 'Tout accepter'. 2) Ne déposez aucun cookie avant consentement. 3) Mettez à jour votre politique de confidentialité. 4) Documentez vos transferts hors UE. RGPDScan vérifie ces 30+ points automatiquement en 60 secondes.

Does RGPDScan work for German websites (DSGVO)?

Yes, RGPDScan works for all EU websites including German sites under DSGVO (Datenschutz-Grundverordnung). DSGVO is the German name for GDPR. RGPDScan detects DSGVO compliance issues including cookies, trackers, data transfers, and dark patterns.

Tarteaucitron est-il une bonne alternative à Cookiebot ?

Tarteaucitron est une bonne CMP open-source gratuite, mais nécessite un développeur pour l'installation. Il ne fait pas de scan RGPD complet, pas de génération de documents ni d'analytics. RGPDScan est une alternative tout-en-un qui inclut bannière cookies, scan RGPD et documents juridiques IA.

RGPD vs directive ePrivacy : la différence que tout le monde ignore

La plupart des entreprises pensent que « respecter le RGPD » suffit. Erreur : en matière de cookies et d'emails commerciaux, c'est la directive ePrivacy — transposée en France à l'article 82 de la LIL — qui prime. Comprendre les deux textes, c'est éviter les sanctions invisibles.

Deux textes distincts, deux champs d'application

Le RGPD (Règlement général sur la protection des données, UE 2016/679) est entré en application en mai 2018. Il s'agit d'un règlement européen directement applicable dans tous les États membres, sans transposition nationale nécessaire. Son champ : tout traitement de données personnelles, quelle qu'en soit la forme (fichier client, email, analytics, RH…). Sa logique : une base légale pour chaque traitement, des droits pour les personnes, des obligations pour les responsables de traitement.

La directive ePrivacy (2002/58/CE, modifiée par la directive 2009/136/CE) est plus ancienne et plus spécifique. Elle régit les communications électroniques : confidentialité des emails, cookies, tracking sur le terminal de l'utilisateur, prospection commerciale par voie électronique. Étant une directive (et non un règlement), elle a nécessité une transposition dans chaque État membre. En France, cette transposition figure à l'article 82 de la Loi Informatique et Libertés (LIL).

Règlement vs Directive : la différence clé

Un règlement européen (comme le RGPD) s'applique directement, de manière uniforme dans tous les États membres. Une directive fixe des objectifs mais laisse chaque État la transposer dans son droit national — d'où des variations entre pays. C'est pourquoi la directive ePrivacy s'appelle différemment selon les pays (PECR au Royaume-Uni, article 82 LIL en France, TDDDG en Allemagne).

Les cookies : pourquoi ePrivacy, pas le RGPD ?

C'est la confusion la plus répandue. Beaucoup d'entreprises pensent que leur bandeau de cookies est une obligation RGPD. Techniquement, c'est faux — ou du moins incomplet.

L'article 82 de la LIL (transposant ePrivacy) dispose que « tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète […] et doit disposer d'un moyen de refus » avant tout dépôt ou lecture de cookies non strictement nécessaires. Ce texte exige le consentement préalable pour les cookies analytiques, publicitaires, de personnalisation, etc.

Le RGPD intervient en complément : les données collectées via ces cookies (adresses IP, identifiants, comportements de navigation) constituent des données personnelles, soumises aux exigences RGPD (base légale, finalité, durée de conservation, droits des personnes). Mais le consentement préalable au dépôt relève bien d'ePrivacy/article 82 LIL.

L'article 82 LIL en détail

L'article 82 de la Loi Informatique et Libertés est le texte central de la réglementation cookies en France. Voici ce qu'il prévoit concrètement :

Champ d'application — Tout dépôt, lecture, ou accès à des informations stockées sur le terminal de l'utilisateur (cookies, traceurs, fingerprinting, LocalStorage, etc.).
Règle générale — Consentement préalable obligatoire, sauf exception.
Exceptions (sans consentement) — Traceurs strictement nécessaires à la fourniture du service (panier d'achat, authentification, préférences de langue, équilibrage de charge).
Sanction CNIL — Jusqu'à 20 000 € ou 4 % du chiffre d'affaires mondial pour violation de l'article 82 LIL.

Vos cookies respectent-ils l'article 82 LIL ?

RGPDScan détecte automatiquement les dépôts de cookies avant consentement et les violations ePrivacy sur votre site.

Emails commerciaux : ePrivacy + RGPD en pratique

La prospection par email est un autre terrain où les deux textes s'appliquent de manière complémentaire. La directive ePrivacy (article L. 34-5 du Code des postes et des communications électroniques en France) interdit l'envoi d'emails commerciaux à des personnes physiques sans leur consentement préalable. Exception : si la personne est déjà cliente et si l'email porte sur un produit ou service analogue à celui qu'elle a acheté.

Le RGPD intervient sur les données elles-mêmes : comment les adresses email ont été collectées (base légale), combien de temps les conserver, comment gérer les désabonnements, comment répondre aux demandes d'exercice de droits. Un email peut être légalement envoyable selon ePrivacy mais violer le RGPD si les données n'ont pas été collectées avec une base légale valide ou si leur durée de conservation n'est pas définie.

Le règlement ePrivacy : serpent de mer depuis 2017

En janvier 2017, la Commission européenne a proposé un règlement ePrivacy pour remplacer la directive 2002/58/CE. Ce règlement aurait dû accompagner le RGPD lors de son entrée en vigueur en mai 2018. Neuf ans plus tard, il n'est toujours pas adopté.

Les raisons du blocage sont principalement le lobbying intense des acteurs de la publicité numérique (Google, Meta, IAB Europe) et les divergences entre États membres sur la base légale applicable aux cookies analytiques. Le Conseil de l'UE a proposé plusieurs textes de compromis successifs, tous rejetés ou abandonnés.

Le règlement ePrivacy, s'il est un jour adopté, apporterait des changements significatifs : application directe dans tous les États (harmonisation), nouvelles règles sur les metadata, extension aux communications OTT (WhatsApp, Signal), potentiellement un assouplissement sur certains cookies analytiques. En attendant, la directive 2002/58/CE et ses transpositions nationales restent applicables.

Les interactions pratiques entre les deux textes

Cas	ePrivacy (Art. 82 LIL)	RGPD
Dépôt cookie analytique	Consentement requis	Base légale (consentement ou LI)
Cookie panier d'achat	Exempt (nécessaire)	Intérêt légitime ou contrat
Email prospection B2C	Consentement requis	Consentement requis
Email prospection B2B	Intérêt légitime possible	Intérêt légitime
Fingerprinting	Consentement requis	Base légale requise

Ce que cela signifie pour votre site

La confusion entre RGPD et ePrivacy génère deux types d'erreurs de conformité fréquentes. La première : des entreprises qui ont une politique de confidentialité RGPD irréprochable mais qui déposent des cookies avant que l'utilisateur ait cliqué sur « Accepter ». Elles violent l'article 82 LIL même si leur RGPD est en ordre. La seconde : des entreprises qui pensent que refuser les cookies analytiques suffit, sans réaliser que le RGPD impose aussi un registre des traitements, des DPA avec les sous-traitants, des durées de conservation documentées.

La bonne approche consiste à traiter les deux textes comme des couches complémentaires. ePrivacy régit le moment du dépôt (avant/après consentement, exemptions). Le RGPD régit la vie entière de la donnée collectée (finalité, durée, droits, sécurité). Respecter l'un sans l'autre expose toujours à une sanction.

Les 3 règles à retenir

ePrivacy s'applique avant tout dépôt de cookie : vérifiez que vos scripts ne s'exécutent pas avant le consentement.
Le RGPD s'applique à toutes les données collectées : tenez un registre des traitements, rédigez vos DPA, documentez les durées.
Les deux textes s'appliquent cumulativement : la conformité RGPD ne dispense pas de la conformité ePrivacy, et vice versa.

Pour aller plus loin

Questions fréquentes

Quelle est la principale différence entre le RGPD et la directive ePrivacy ?

Le RGPD est un règlement général sur la protection des données personnelles : il encadre toute collecte et traitement de données. La directive ePrivacy (transposée en France à l'article 82 LIL) est une lex specialis qui régit spécifiquement les communications électroniques, les cookies et les emails commerciaux. Les deux s'appliquent simultanément : un cookie peut violer ePrivacy (sans consentement préalable) ET le RGPD (si les données collectées sont mal gérées).

Pourquoi les cookies sont-ils régis par ePrivacy et non par le RGPD ?

La directive ePrivacy 2002/58/CE (amendée en 2009) a précédé le RGPD et traite spécifiquement de la confidentialité dans les communications électroniques. Elle couvre l'accès au terminal de l'utilisateur (dépôt de cookies), ce que le RGPD ne régit pas directement. En France, l'article 82 de la LIL transpose cette directive : tout dépôt ou lecture d'informations sur le terminal requiert un consentement préalable, sauf exception (cookies strictement nécessaires).

Qu'est-ce que le règlement ePrivacy prévu pour remplacer la directive ?

La Commission européenne a proposé en janvier 2017 un règlement ePrivacy pour remplacer la directive 2002/58/CE. Contrairement à une directive, un règlement s'appliquerait directement dans tous les États membres sans transposition nationale. Après des années de blocage au Conseil de l'UE (lobbying intense des acteurs publicitaires), les négociations avancent mais aucune date d'adoption n'est confirmée en 2026. La directive actuelle reste donc en vigueur.

L'article 82 LIL s'applique-t-il aux traceurs autres que les cookies ?

Oui. L'article 82 LIL parle de « toute action tendant à accéder, par voie de transmission électronique, aux informations stockées dans l'équipement terminal de l'utilisateur, ou à inscrire des informations dans cet équipement ». Cela couvre les cookies mais aussi le fingerprinting, le pixel tracking, le localStorage, l'IndexedDB, etc. Toute technique permettant de suivre un utilisateur sur son terminal est concernée.

Les emails commerciaux sont-ils régis par ePrivacy ou le RGPD ?

Les deux ! ePrivacy interdit la prospection par email sans consentement préalable de l'utilisateur (sauf exception client existant et produit similaire). Le RGPD régit les données personnelles contenues dans ces emails et leur traitement (base légale, durée conservation, droits des personnes). En pratique : ePrivacy conditionne l'envoi, le RGPD encadre la gestion des listes.

Si je respecte le RGPD, suis-je automatiquement conforme à ePrivacy ?

Non, et c'est l'erreur la plus fréquente. ePrivacy est plus stricte sur les cookies : elle impose le consentement préalable alors que le RGPD admet d'autres bases légales (intérêt légitime, exécution de contrat). Un site peut avoir une base légale RGPD valide pour ses données analytiques mais violer quand même ePrivacy en déposant des cookies analytiques sans consentement. Les deux textes s'appliquent cumulativement.