What is a GDPR compliance scan?

A GDPR compliance scan (also called RGPD audit in French) is a comprehensive analysis of a website's compliance with the General Data Protection Regulation. RGPDScan automatically checks cookies, trackers, dark patterns, data transfers, security headers, user rights and legal basis.

Qu'est-ce qu'un audit RGPD ?

Un audit RGPD est une analyse complète de la conformité d'un site web au Règlement Général sur la Protection des Données. RGPDScan vérifie automatiquement les cookies, trackers, dark patterns, transferts de données, en-têtes de sécurité, droits des personnes et base légale du traitement.

How does the GDPR scanner work?

Our GDPR scanner uses a headless Chrome browser to simulate a real user visit. It detects cookies set before consent, analyzes cookie banners for dark patterns, maps non-EU data transfers, and checks compliance across 30+ GDPR checkpoints in under 60 seconds.

Is the GDPR scan free?

Yes, RGPDScan offers a free plan with 5 scans per month. You get GDPR, SEO, accessibility and visibility compliance scores. The Pro plan at €49/month gives access to detailed results, PDF reports, embeddable cookie banner and 200 scans/month.

What is the difference between RGPD and GDPR?

RGPD (Règlement Général sur la Protection des Données) is the French name for GDPR (General Data Protection Regulation). They refer to the same European regulation protecting personal data. RGPDScan supports both French and English-speaking users.

How is RGPDScan different from Cookiebot?

RGPDScan goes beyond cookie scanning by offering a complete 4-pillar audit: GDPR compliance, SEO analysis, WCAG accessibility audit, and social media visibility check. We use AI to detect dark patterns, analyze 400+ trackers, and provide an embeddable cookie consent banner with real-time analytics.

Quelle est l'alternative gratuite à Axeptio ?

RGPDScan propose une alternative gratuite à Axeptio avec bannière cookies conforme CNIL, scan RGPD (5 scans/mois), et générateur de documents juridiques. Contrairement à Axeptio, RGPDScan inclut aussi un scanner complet de dark patterns et trackers.

What is the best alternative to OneTrust for small businesses?

RGPDScan is the best OneTrust alternative for SMBs. It offers a complete GDPR audit platform — cookie scanner, dark pattern detection, AI document generator, and compliant cookie banner — starting at €0/month, compared to OneTrust's €15,000+/year pricing.

Comment éviter une amende CNIL ?

Pour éviter une amende CNIL : 1) Installez une bannière cookies avec bouton 'Tout refuser' aussi visible que 'Tout accepter'. 2) Ne déposez aucun cookie avant consentement. 3) Mettez à jour votre politique de confidentialité. 4) Documentez vos transferts hors UE. RGPDScan vérifie ces 30+ points automatiquement en 60 secondes.

Does RGPDScan work for German websites (DSGVO)?

Yes, RGPDScan works for all EU websites including German sites under DSGVO (Datenschutz-Grundverordnung). DSGVO is the German name for GDPR. RGPDScan detects DSGVO compliance issues including cookies, trackers, data transfers, and dark patterns.

Tarteaucitron est-il une bonne alternative à Cookiebot ?

Tarteaucitron est une bonne CMP open-source gratuite, mais nécessite un développeur pour l'installation. Il ne fait pas de scan RGPD complet, pas de génération de documents ni d'analytics. RGPDScan est une alternative tout-en-un qui inclut bannière cookies, scan RGPD et documents juridiques IA.

How much does a CNIL fine cost for an e-commerce site?

Entre 0 € (mise en demeure simple) et 32 millions € (Amazon France 2023). Le montant dépend de votre taille, de la gravité, et surtout de votre coopération. Données réelles, fourchettes par taille, et stratégies pour réduire le risque.

Les sanctions e-commerce documentées en France

La CNIL publie l'intégralité de ses sanctions sur son site (rubrique "Délibérations"). Voici les sanctions e-commerce françaises les plus importantes de la décennie :

32 M€

2023

Amazon France Logistique

Surveillance des salariés via scanners de productivité sans information ni base légale claire. Le quantum reflète la taille du groupe Amazon (CA mondial 514 Mds$). Délibération SAN-2023-021.

2,25 M€

2020

Carrefour France

Manquements multiples : information clients, cookies, durées de conservation, droits des personnes. Programme fidélité PASS Carrefour non conforme. Délibération SAN-2020-008.

400 000 €

2019

SERGIC (immobilier)

Manquement à la sécurité (fuite de 6 000 fichiers candidats locataires accessibles publiquement) + durées de conservation non respectées. Précédent souvent cité. Délibération SAN-2019-005.

100 000 €

2022

Cdiscount

Cookies déposés avant consentement, bouton refus difficile à localiser sur la bannière. Première sanction post-lignes directrices CNIL 2020 sur les cookies. Délibération SAN-2022-016.

60 000 €

2021

eBay France

Non-respect des durées de conservation des données clients inactifs, défaut de purge automatique. Délibération SAN-2021-001.

Êtes-vous dans le viseur CNIL ?

Les 5 motifs de sanction Cdiscount sont vérifiables en 60 secondes. RGPDScan détecte cookies pré-consentement, dark patterns, durées.

Comment la CNIL calcule le montant

L'article 83 du RGPD fixe les critères. Le quantum n'est pas un calcul mathématique mais une appréciation pondérée :

Nature et gravité — violation cookies = base 1x, fuite de données = base 3-5x, données sensibles (santé, enfants) = base 5-10x.
Durée — manquement persistant depuis 3 ans = multiplicateur 2-3x vs ponctuel.
Intentionnalité — négligence (méconnaissance) = quantum réduit ; volontaire (savait et n'a rien fait) = quantum doublé.
Coopération — très fortement valorisée. Mesures correctives spontanées avant contrôle = mise en demeure plutôt que sanction.
Taille et CA — TPE/PME ne paient pas comme Amazon. Adaptation systématique.

Fourchettes constatées par taille

Taille e-commerce	CA annuel	Mise en demeure	Sanction constatée
TPE	< 500 k€	Très probable	5 - 20 k€
PME	500 k - 50 M€	Probable	20 - 150 k€
ETI	50 M - 1,5 Md€	Possible	100 k - 2 M€
Grand groupe	> 1,5 Md€	Rare	1 M - 32 M€+

Source : analyse 87 délibérations CNIL 2018-2024 dans le secteur e-commerce et retail.

Comment éviter une sanction

La probabilité de contrôle CNIL d'un site e-commerce français est d'environ 1 sur 200 par an. Mais en cas de plainte (consommateur, ex-employé, concurrent), elle monte à 80 %. Les 5 actions qui réduisent le risque à quasi-zéro :

1. Bannière cookies conforme CNIL
Bouton Refuser aussi visible que Accepter. Aucun cookie analytique/publicitaire avant clic. Granularité par finalité. Mémorisation du choix 6-13 mois.
2. Politique de confidentialité à jour
Tous les sous-traitants nommés (Stripe, Mailchimp, Klaviyo, HubSpot…), durées de conservation précises, droits exerçables, contact DPO ou responsable.
3. Procédure DSAR documentée
Toute demande d'accès, suppression, opposition traitée < 1 mois. Mail dédié (dpo@…), formulaire en ligne, registre des demandes.
4. Registre des traitements
Modèle CNIL simplifié pour PME. Liste : gestion clients, marketing, paie, vidéosurveillance, prospection. Mis à jour annuellement.
5. Audit RGPD trimestriel automatisé
Chaque nouvelle app Shopify ou plugin WordPress peut casser la conformité. Audit automatique 4x/an minimum (RGPDScan, Cookiebot scanner). Rapport archivé.

Pour aller plus loin

Questions fréquentes

Quelle est l'amende minimum CNIL pour un e-commerçant ?

Pas de minimum légal. La mise en demeure est gratuite mais publique (publication sur le site CNIL). Les sanctions financières constatées pour PME e-commerce commencent autour de 20 000 €. Le plafond est de 20 millions € ou 4 % du chiffre d'affaires mondial annuel — le plus élevé des deux.

Comment la CNIL calcule-t-elle le montant d'une amende ?

Critères de l'Art. 83 RGPD : nature et gravité, durée, intentionnalité, mesures prises pour atténuer, antécédents, coopération, catégories de données concernées, notification volontaire. La CNIL valorise fortement la coopération : un site qui corrige avant contrôle reçoit généralement une mise en demeure plutôt qu'une sanction financière.

Une PME e-commerce peut-elle être ruinée par une amende CNIL ?

Théoriquement oui (4 % CA mondial), pratiquement non. La CNIL adapte les sanctions à la taille de l'entreprise. Pour TPE : généralement mise en demeure puis sanction 10-50 k€ si non respect. Pour PME : 20-150 k€. Pour ETI : 100 k€ à 2 M€. Les sanctions "ruinantes" sont réservées aux grands groupes (Amazon 32 M€).

Mon assurance RC professionnelle couvre-t-elle une amende CNIL ?

Non en France. La jurisprudence (Cour de cassation 2019, Cass. crim. 14 mai 2019) confirme qu'une amende administrative ne peut être couverte par une assurance — sinon l'effet dissuasif disparaît. Seuls les frais de défense juridique peuvent être pris en charge. Vérifier votre contrat cyber-risk.

Combien de temps entre un contrôle CNIL et une sanction ?

Procédure type : contrôle (1 jour) → analyse (2-6 mois) → mise en demeure (30 jours pour se conformer) → audition formation restreinte (3-6 mois) → délibération de sanction (publication dans 30 jours). Délai moyen : 12-24 mois entre contrôle et sanction finale.

Comment réduire le risque d'amende CNIL en e-commerce ?

Cinq actions prioritaires : (1) audit RGPD trimestriel — bannière cookies, scripts, formulaires ; (2) bouton refuser cookies aussi visible qu'accepter ; (3) politique de confidentialité à jour avec sous-traitants nommés ; (4) procédure DSAR (réponse demandes < 1 mois) ; (5) registre des traitements documenté. Un site Shopify/WooCommerce mal configuré est sanctionné en 95 % des contrôles ; un site bien configuré passe le contrôle sans sanction.

Combien coûte une amende CNIL pour un site e-commerce ?