What is a GDPR compliance scan?

A GDPR compliance scan (also called RGPD audit in French) is a comprehensive analysis of a website's compliance with the General Data Protection Regulation. RGPDScan automatically checks cookies, trackers, dark patterns, data transfers, security headers, user rights and legal basis.

Qu'est-ce qu'un audit RGPD ?

Un audit RGPD est une analyse complète de la conformité d'un site web au Règlement Général sur la Protection des Données. RGPDScan vérifie automatiquement les cookies, trackers, dark patterns, transferts de données, en-têtes de sécurité, droits des personnes et base légale du traitement.

How does the GDPR scanner work?

Our GDPR scanner uses a headless Chrome browser to simulate a real user visit. It detects cookies set before consent, analyzes cookie banners for dark patterns, maps non-EU data transfers, and checks compliance across 30+ GDPR checkpoints in under 60 seconds.

Is the GDPR scan free?

Yes, RGPDScan offers a free plan with 5 scans per month. You get GDPR, SEO, accessibility and visibility compliance scores. The Pro plan at €49/month gives access to detailed results, PDF reports, embeddable cookie banner and 200 scans/month.

What is the difference between RGPD and GDPR?

RGPD (Règlement Général sur la Protection des Données) is the French name for GDPR (General Data Protection Regulation). They refer to the same European regulation protecting personal data. RGPDScan supports both French and English-speaking users.

How is RGPDScan different from Cookiebot?

RGPDScan goes beyond cookie scanning by offering a complete 4-pillar audit: GDPR compliance, SEO analysis, WCAG accessibility audit, and social media visibility check. We use AI to detect dark patterns, analyze 400+ trackers, and provide an embeddable cookie consent banner with real-time analytics.

Quelle est l'alternative gratuite à Axeptio ?

RGPDScan propose une alternative gratuite à Axeptio avec bannière cookies conforme CNIL, scan RGPD (5 scans/mois), et générateur de documents juridiques. Contrairement à Axeptio, RGPDScan inclut aussi un scanner complet de dark patterns et trackers.

What is the best alternative to OneTrust for small businesses?

RGPDScan is the best OneTrust alternative for SMBs. It offers a complete GDPR audit platform — cookie scanner, dark pattern detection, AI document generator, and compliant cookie banner — starting at €0/month, compared to OneTrust's €15,000+/year pricing.

Comment éviter une amende CNIL ?

Pour éviter une amende CNIL : 1) Installez une bannière cookies avec bouton 'Tout refuser' aussi visible que 'Tout accepter'. 2) Ne déposez aucun cookie avant consentement. 3) Mettez à jour votre politique de confidentialité. 4) Documentez vos transferts hors UE. RGPDScan vérifie ces 30+ points automatiquement en 60 secondes.

Does RGPDScan work for German websites (DSGVO)?

Yes, RGPDScan works for all EU websites including German sites under DSGVO (Datenschutz-Grundverordnung). DSGVO is the German name for GDPR. RGPDScan detects DSGVO compliance issues including cookies, trackers, data transfers, and dark patterns.

Tarteaucitron est-il une bonne alternative à Cookiebot ?

Tarteaucitron est une bonne CMP open-source gratuite, mais nécessite un développeur pour l'installation. Il ne fait pas de scan RGPD complet, pas de génération de documents ni d'analytics. RGPDScan est une alternative tout-en-un qui inclut bannière cookies, scan RGPD et documents juridiques IA.

Transfert de données hors UE : êtes-vous en infraction ?

80 % des PME françaises transfèrent des données hors UE sans le savoir — via Google Analytics, Mailchimp, Stripe, Slack. Chaque outil SaaS américain utilisé est potentiellement un transfert. Voici comment auditer et se conformer.

Qu'est-ce qu'un transfert hors UE ?

Un transfert de données hors Union Européenne (et hors EEE — Espace Économique Européen) se produit dès qu'une donnée personnelle d'un résident européen est envoyée, stockée ou rendue accessible à une entité située dans un pays tiers. Cela inclut :

Envoyer des emails via Mailchimp (USA) : transfert.
Héberger un site sur AWS us-east-1 : transfert.
Utiliser HubSpot CRM stocké sur serveurs américains : transfert.
Intégrer Google Analytics (même avec anonymisation IP) : transfert.
Permettre à un sous-traitant US d'accéder à distance à vos serveurs EU : transfert.

L'arrêt Schrems II de la Cour de Justice de l'Union Européenne (juillet 2020) a invalidé le Privacy Shield (l'ancien accord UE-USA) et imposé des règles strictes : tout transfert vers un pays tiers doit reposer sur un mécanisme légal valide, et le responsable de traitement doit vérifier que le pays de destination offre un niveau de protection équivalent au RGPD.

Les 5 mécanismes légaux valides en 2026

1. Décision d'adéquation

L'UE reconnaît que certains pays offrent un niveau de protection équivalent : Suisse (reconduction 2024), Canada (PIPEDA), Japon, Royaume-Uni, Nouvelle-Zélande, Corée du Sud, Israël, Argentine. Transferts vers ces pays = pas de formalité supplémentaire.

2. Data Privacy Framework UE-USA (DPF)

Adopté en juillet 2023, remplace le Privacy Shield. Couvre les entreprises américaines certifiées (liste sur dataprivacyframework.gov). Google, Meta, Amazon, Microsoft, Stripe, Mailchimp y sont. Risque : recours CJUE en cours.

3. Clauses Contractuelles Types (SCC)

Contrats types publiés par la Commission Européenne (version 2021). Encadrent contractuellement les transferts. Disponibles sur le site de la CNIL. Applicable à tout pays tiers non adéquat. Doivent s'accompagner d'une évaluation du risque (TIA — Transfer Impact Assessment).

4. Règles d'Entreprise Contraignantes (BCR)

Pour les groupes multinationaux : politique interne de protection des données approuvée par la CNIL. Processus long et coûteux (12-18 mois), réservé aux grandes entreprises.

5. Dérogations Art. 49 (limitées)

Consentement explicite de la personne, nécessité contractuelle, intérêt vital, mission d'intérêt public. Ces dérogations sont strictement limitées et ne peuvent pas être utilisées comme mécanisme général de transfert.

Votre site envoie-t-il des données aux USA sans le savoir ?

RGPDScan détecte en 60 secondes tous les scripts tiers qui transfèrent des données hors UE depuis votre site.

Les transferts les plus risqués pour les PME françaises

Outil	Pays	Mécanisme	Risque
Google Analytics	USA	DPF	Modéré
Meta Pixel	USA	DPF	Élevé
Mailchimp	USA	DPF + SCC	Modéré
Stripe	USA	DPF + SCC	Faible
HubSpot	USA	DPF + SCC	Modéré
Brevo	France	UE	Minimal
Plausible	Estonie	UE	Aucun

Sanctions documentées pour transferts illicites

Meta Ireland — 1,2 Md€ (2023)

Irish DPC (DPA irlandaise) — transferts systématiques de données UE vers les USA via Facebook sans mécanisme légal suffisant. Sanction record mondiale RGPD. Décision DPC IN-18-5-5.

TikTok — 345 M€ (2023)

Irish DPC — transferts vers la Chine, accès aux données d'enfants par des employés en Chine, défaut de transparence. Décision DPC IN-22-9-1.

CNIL → Google Analytics (2022)

Mise en demeure de plusieurs sites français pour transferts illicites via Google Analytics vers les USA. Délibération MED-2022-008 — jurisprudence de référence pour les PME.

Comment auditer vos transferts en 4 étapes

Inventorier tous vos outils SaaS

Liste complète : CRM, email, analytics, support, paiement, collaboration, RH. Chaque outil accédant à des données personnelles est un transfert potentiel.

Identifier le pays de l'éditeur

Pays ≠ serveur. Un outil hébergé en EU mais édité par une société US = transfert potentiel (accès US possible). Consulter la politique de confidentialité de chaque outil.

Vérifier le mécanisme légal

Pour les USA : vérifier la certification DPF sur dataprivacyframework.gov. Signer le DPA proposé par le prestataire. Garder une copie horodatée.

Documenter dans le registre

Pour chaque traitement impliquant un transfert : noter le mécanisme légal, la date de signature DPA, et le pays de destination. Indispensable en cas de contrôle CNIL.

Pour aller plus loin

Questions fréquentes

Utiliser Stripe constitue-t-il un transfert hors UE ?

Oui. Stripe Inc. est une entreprise américaine. Même si vos données transitent par des serveurs européens, Stripe peut y accéder depuis les USA. Stripe est certifié DPF et propose un DPA conforme Art. 28. Signable en ligne depuis votre dashboard Stripe.

Le Data Privacy Framework est-il fiable en 2026 ?

Théoriquement oui — l'UE a reconnu un niveau de protection adéquat en juillet 2023. Pratiquement, le DPF fait l'objet d'un recours devant la CJUE (NOYB / Max Schrems). Une invalidation 'Schrems III' est possible à moyen terme. Documenter les SCC en complément reste prudent.

AWS Frankfurt = conformité RGPD assurée ?

Non automatiquement. AWS EMEA (Luxembourg) est le responsable légal pour la région EU, mais AWS peut accéder aux données depuis les USA (Cloud Act). Configurer AWS pour désactiver les diagnostics globaux, signer le DPA AWS, et activer la politique 'données UE uniquement' dans IAM Organizations.

Google Workspace peut-il être conforme pour une entreprise française ?

Oui sous conditions : abonnement Business/Enterprise avec Data Regions EU activé, DPA signé, engagement de traitement dans les régions UE, désactivation des améliorations de modèles IA sur vos données. Documenter dans la politique de confidentialité.

Que faire si mon sous-traitant refuse de signer des SCC ?

Changer de prestataire ou accepter le risque documenté. Un sous-traitant refusant les SCC sans mécanisme alternatif valide expose votre entreprise à une sanction CNIL directe. Notez-le dans votre registre des traitements avec la décision prise.

Slack, Notion, Zoom sont-ils conformes RGPD pour une entreprise française ?

Conditionnellement. Les trois sont certifiés DPF et proposent des DPA conformes. Slack et Zoom offrent des options de stockage EU. Notion moins robuste sur ce point. Dans tous les cas : signer le DPA, activer la région EU si disponible, documenter dans le registre.