What is a GDPR compliance scan?

A GDPR compliance scan (also called RGPD audit in French) is a comprehensive analysis of a website's compliance with the General Data Protection Regulation. RGPDScan automatically checks cookies, trackers, dark patterns, data transfers, security headers, user rights and legal basis.

Qu'est-ce qu'un audit RGPD ?

Un audit RGPD est une analyse complète de la conformité d'un site web au Règlement Général sur la Protection des Données. RGPDScan vérifie automatiquement les cookies, trackers, dark patterns, transferts de données, en-têtes de sécurité, droits des personnes et base légale du traitement.

How does the GDPR scanner work?

Our GDPR scanner uses a headless Chrome browser to simulate a real user visit. It detects cookies set before consent, analyzes cookie banners for dark patterns, maps non-EU data transfers, and checks compliance across 30+ GDPR checkpoints in under 60 seconds.

Is the GDPR scan free?

Yes, RGPDScan offers a free plan with 5 scans per month. You get GDPR, SEO, accessibility and visibility compliance scores. The Pro plan at €49/month gives access to detailed results, PDF reports, embeddable cookie banner and 200 scans/month.

What is the difference between RGPD and GDPR?

RGPD (Règlement Général sur la Protection des Données) is the French name for GDPR (General Data Protection Regulation). They refer to the same European regulation protecting personal data. RGPDScan supports both French and English-speaking users.

How is RGPDScan different from Cookiebot?

RGPDScan goes beyond cookie scanning by offering a complete 4-pillar audit: GDPR compliance, SEO analysis, WCAG accessibility audit, and social media visibility check. We use AI to detect dark patterns, analyze 400+ trackers, and provide an embeddable cookie consent banner with real-time analytics.

Quelle est l'alternative gratuite à Axeptio ?

RGPDScan propose une alternative gratuite à Axeptio avec bannière cookies conforme CNIL, scan RGPD (5 scans/mois), et générateur de documents juridiques. Contrairement à Axeptio, RGPDScan inclut aussi un scanner complet de dark patterns et trackers.

What is the best alternative to OneTrust for small businesses?

RGPDScan is the best OneTrust alternative for SMBs. It offers a complete GDPR audit platform — cookie scanner, dark pattern detection, AI document generator, and compliant cookie banner — starting at €0/month, compared to OneTrust's €15,000+/year pricing.

Comment éviter une amende CNIL ?

Pour éviter une amende CNIL : 1) Installez une bannière cookies avec bouton 'Tout refuser' aussi visible que 'Tout accepter'. 2) Ne déposez aucun cookie avant consentement. 3) Mettez à jour votre politique de confidentialité. 4) Documentez vos transferts hors UE. RGPDScan vérifie ces 30+ points automatiquement en 60 secondes.

Does RGPDScan work for German websites (DSGVO)?

Yes, RGPDScan works for all EU websites including German sites under DSGVO (Datenschutz-Grundverordnung). DSGVO is the German name for GDPR. RGPDScan detects DSGVO compliance issues including cookies, trackers, data transfers, and dark patterns.

Tarteaucitron est-il une bonne alternative à Cookiebot ?

Tarteaucitron est une bonne CMP open-source gratuite, mais nécessite un développeur pour l'installation. Il ne fait pas de scan RGPD complet, pas de génération de documents ni d'analytics. RGPDScan est une alternative tout-en-un qui inclut bannière cookies, scan RGPD et documents juridiques IA.

Dark Patterns on Cookie Banners: CNIL's New Target

Un bouton « Refuser » en gris pâle, un « Accepter » en vert vif, cinq sous-menus pour personnaliser : ces designs manipulatoires sont dans le collimateur de la CNIL. Depuis 2022, ils constituent un motif de sanction autonome. Voici ce qui est interdit, les amendes prononcées, et comment se mettre en conformité.

Qu'est-ce qu'un dark pattern et pourquoi c'est sanctionné

Le terme « dark pattern » désigne les techniques de conception d'interface qui exploitent les biais cognitifs des utilisateurs pour les amener à effectuer des actions contraires à leurs intérêts ou à leurs intentions. Sur un bandeau cookies, l'objectif est de maximiser le taux d'acceptation en rendant le refus difficile, peu visible ou décourageant.

Sur le plan juridique, les dark patterns invalident le consentement obtenu. Le RGPD exige que le consentement soit « libre, spécifique, éclairé et univoque » (article 4§11). Un consentement obtenu par manipulation ou asymétrie de design n'est pas libre au sens du RGPD. Résultat : toutes les données collectées via ce consentement vicié constituent un traitement sans base légale valide.

Les 7 pratiques sanctionnées par la CNIL

1. Asymétrie Accepter/Refuser

Bouton « Accepter tout » immédiatement visible, bouton « Refuser » absent ou accessible seulement via un lien textuel discret ou plusieurs clics. La CNIL exige que les deux options soient au même niveau hiérarchique.

2. Couleurs asymétriques

Bouton « Accepter » en couleur vive et contrastée (vert, bleu), bouton « Refuser » en gris neutre ou blanc. Le contraste visuel crée un biais d'attention qui avantage l'acceptation.

3. Framing trompeur

Textes qui présentent le refus comme une perte (« Continuer sans les avantages personnalisés ») ou l'acceptation comme un acte positif (« Améliorer mon expérience »). La neutralité du texte est requise.

4. Labyrinthe du refus

Multiplier les étapes pour refuser : cliquer sur « Gérer mes préférences », désactiver 15 curseurs un par un, confirmer, puis valider. La CNIL impose que le refus soit aussi simple que l'acceptation.

5. Pré-cochage

Cases à cocher pré-cochées pour les cookies non nécessaires. Interdit par le RGPD depuis 2018 (arrêt CJUE Planet49). Le consentement par inaction n'est pas valide.

6. Bannière réapparaissante

Afficher la bannière à chaque visite, chaque page ou très fréquemment même après un refus explicite, dans l'espoir de lasser l'utilisateur jusqu'à l'acceptation.

7. Lier refus et dégradation du service

Conditionner l'accès à certaines fonctionnalités non essentielles à l'acceptation de cookies non nécessaires (cookie wall). Toléré uniquement si une alternative gratuite et équivalente est proposée.

Votre bandeau cookies contient-il des dark patterns ?

RGPDScan analyse automatiquement la conformité de vos bandeaux cookies : asymétrie, dépôt avant consentement, options de refus manquantes.

Le rapport CEPD 2022 : la référence européenne

En mars 2022, le Comité européen de la protection des données (CEPD) a publié ses lignes directrices 3/2022 sur les dark patterns dans les interfaces des plateformes de réseaux sociaux. Ce document de référence européen classe les dark patterns en 6 catégories conceptuelles :

Overloading — surcharge d'information pour décourager la lecture (10 pages de politique, options trop nombreuses)
Skipping — conception qui incite l'utilisateur à ignorer les paramètres de protection de la vie privée
Stirring — manipulation des émotions ou des biais (peur de rater quelque chose, sentiment de perte)
Obstructing — obstacles dans le processus de retrait ou de refus du consentement
Faking — faux choix, fausse hiérarchie visuelle, fausses urgences
Hindering — entraver l'exercice des droits des personnes concernées

Sanctions documentées en France et en Europe

Janvier 2022 — France

Google LLC — 150 M€ · Meta — 60 M€

La CNIL a sanctionné Google et Meta pour avoir rendu le refus des cookies plus difficile que l'acceptation. Google : bouton « J'accepte » immédiat, refus nécessitant plusieurs clics. Meta : même pratique sur Facebook. Délibérations SAN-2021-024 et SAN-2021-023. Les plus grandes amendes cookies jamais infligées en France.

Décembre 2022 — France

Orange — 150 000 €

Orange sanctionné notamment pour des dark patterns sur son bandeau cookies (asymétrie des boutons, texte orienté). Délibération SAN-2022-025.

2023 — Italie (Garante)

OpenAI — 20 M€ (dont dark patterns)

Le Garante italien a sanctionné OpenAI pour plusieurs violations, dont l'absence de bandeau cookies conforme et des pratiques assimilables à des dark patterns sur le site ChatGPT.

Le bandeau conforme : exemples concrets avant/après

Non conforme

Bouton vert « Accepter tout »
Lien gris « Gérer les préférences »
15 catégories à désactiver une à une
Pas de « Refuser tout » direct

Conforme

Bouton bleu « Accepter tout »
Bouton bleu identique « Refuser tout »
Lien neutre « Personnaliser »
1 clic pour refuser = 1 clic pour accepter

Checklist de conformité bandeau cookies

Bouton « Refuser tout » aussi visible que « Accepter tout » (taille, couleur, contraste)
Aucun cookie non nécessaire déposé avant le clic « Accepter »
Le bandeau n'est pas réaffiché après un refus explicite
Textes neutres (pas de framing émotionnel)
Aucune case pré-cochée pour les cookies non nécessaires
Consentement par catégorie possible (pas uniquement tout ou rien)
Option de retrait du consentement aussi simple que le consentement initial

Pour aller plus loin

Questions fréquentes

Qu'est-ce qu'un dark pattern sur un bandeau cookies ?

Un dark pattern (interface trompeuse) est une technique de conception qui manipule l'utilisateur pour l'amener à consentir à des cookies sans en avoir pleinement conscience ou sans vouloir le faire. Exemples : bouton « Accepter » en vert vif, bouton « Refuser » en gris discret, 5 clics nécessaires pour refuser vs 1 clic pour accepter, texte ambigu comme « Continuer » qui équivaut à accepter.

Les dark patterns sur les cookies sont-ils sanctionnés en France ?

Oui. La CNIL a explicitement intégré la lutte contre les dark patterns dans ses lignes directrices cookies de 2020 (mises à jour en 2022). Le principe : le refus doit être aussi simple que l'acceptation. En pratique, le bouton « Refuser tout » doit être aussi visible que « Accepter tout » en termes de taille, position et contraste des couleurs. Des sanctions ont été prononcées en France et en Europe sur ce fondement.

Qu'est-ce que le rapport CEPD 2022 sur les dark patterns ?

Le Comité européen de la protection des données (CEPD) a publié en mars 2022 des lignes directrices 3/2022 sur les dark patterns dans les interfaces des plateformes de réseaux sociaux. Ce rapport classe les dark patterns en 6 catégories : overloading (surcharge d'information), skipping (omission), stirring (manipulation émotionnelle), obstructing (obstacles), faking (tromperie), hindering (entraves). Bien que ciblant les réseaux sociaux, ces lignes directrices servent de référence pour tous les types de sites.

Un bouton « Fermer » ou « Continuer » vaut-il consentement ?

Non. Selon les lignes directrices CNIL et CEPD, le consentement doit être une action positive et non ambiguë. Fermer une bannière, continuer à naviguer ou faire défiler la page ne constitue PAS un consentement valide. La CNIL a sanctionné plusieurs sites utilisant cette pratique.

Mon CMP du marché (Axeptio, Didomi, Cookiebot) me protège-t-il des dark patterns ?

Pas automatiquement. Les CMP fournissent la technologie, mais la configuration vous appartient. Un CMP peut très bien être configuré avec des dark patterns (bouton refuser caché, couleurs asymétriques). Vérifiez que votre configuration respecte le principe d'équité : mêmes couleurs, même taille, même position pour Accepter et Refuser.

Quelle est la sanction maximale pour dark patterns sur cookies ?

En France, la CNIL peut infliger jusqu'à 20 000 € pour violation de l'article 82 LIL (dépôt sans consentement valide). Si les dark patterns constituent également une violation du RGPD (base légale invalide, atteinte à la liberté du consentement), la sanction peut atteindre 4 % du chiffre d'affaires mondial. Orange a écopé de 150 000 € en 2022 pour bandeau cookie problématique.

Dark patterns sur les bandeaux cookies : la nouvelle cible de la CNIL