What is a GDPR compliance scan?

A GDPR compliance scan (also called RGPD audit in French) is a comprehensive analysis of a website's compliance with the General Data Protection Regulation. RGPDScan automatically checks cookies, trackers, dark patterns, data transfers, security headers, user rights and legal basis.

Qu'est-ce qu'un audit RGPD ?

Un audit RGPD est une analyse complète de la conformité d'un site web au Règlement Général sur la Protection des Données. RGPDScan vérifie automatiquement les cookies, trackers, dark patterns, transferts de données, en-têtes de sécurité, droits des personnes et base légale du traitement.

How does the GDPR scanner work?

Our GDPR scanner uses a headless Chrome browser to simulate a real user visit. It detects cookies set before consent, analyzes cookie banners for dark patterns, maps non-EU data transfers, and checks compliance across 30+ GDPR checkpoints in under 60 seconds.

Is the GDPR scan free?

Yes, RGPDScan offers a free plan with 5 scans per month. You get GDPR, SEO, accessibility and visibility compliance scores. The Pro plan at €49/month gives access to detailed results, PDF reports, embeddable cookie banner and 200 scans/month.

What is the difference between RGPD and GDPR?

RGPD (Règlement Général sur la Protection des Données) is the French name for GDPR (General Data Protection Regulation). They refer to the same European regulation protecting personal data. RGPDScan supports both French and English-speaking users.

How is RGPDScan different from Cookiebot?

RGPDScan goes beyond cookie scanning by offering a complete 4-pillar audit: GDPR compliance, SEO analysis, WCAG accessibility audit, and social media visibility check. We use AI to detect dark patterns, analyze 400+ trackers, and provide an embeddable cookie consent banner with real-time analytics.

Quelle est l'alternative gratuite à Axeptio ?

RGPDScan propose une alternative gratuite à Axeptio avec bannière cookies conforme CNIL, scan RGPD (5 scans/mois), et générateur de documents juridiques. Contrairement à Axeptio, RGPDScan inclut aussi un scanner complet de dark patterns et trackers.

What is the best alternative to OneTrust for small businesses?

RGPDScan is the best OneTrust alternative for SMBs. It offers a complete GDPR audit platform — cookie scanner, dark pattern detection, AI document generator, and compliant cookie banner — starting at €0/month, compared to OneTrust's €15,000+/year pricing.

Comment éviter une amende CNIL ?

Pour éviter une amende CNIL : 1) Installez une bannière cookies avec bouton 'Tout refuser' aussi visible que 'Tout accepter'. 2) Ne déposez aucun cookie avant consentement. 3) Mettez à jour votre politique de confidentialité. 4) Documentez vos transferts hors UE. RGPDScan vérifie ces 30+ points automatiquement en 60 secondes.

Does RGPDScan work for German websites (DSGVO)?

Yes, RGPDScan works for all EU websites including German sites under DSGVO (Datenschutz-Grundverordnung). DSGVO is the German name for GDPR. RGPDScan detects DSGVO compliance issues including cookies, trackers, data transfers, and dark patterns.

Tarteaucitron est-il une bonne alternative à Cookiebot ?

Tarteaucitron est une bonne CMP open-source gratuite, mais nécessite un développeur pour l'installation. Il ne fait pas de scan RGPD complet, pas de génération de documents ni d'analytics. RGPDScan est une alternative tout-en-un qui inclut bannière cookies, scan RGPD et documents juridiques IA.

Newsletter and GDPR: How Not to Get Sanctioned

La CNIL a sanctionné plus de 200 entreprises pour prospection électronique non conforme depuis 2021. Newsletter, cold email, relance d'abandon de panier : chaque email envoyé sans base légale solide est une infraction. Voici les règles exactes.

B2C vs B2B : deux régimes différents

L'email marketing est régi par deux textes combinés : le RGPD pour la protection des données personnelles et l'article L34-5 du Code des Postes et Communications Électroniques (CPCE) qui transpose la directive ePrivacy. La règle diffère selon que vous vous adressez à des particuliers (B2C) ou des professionnels (B2B).

B2C — Particuliers

Consentement préalable obligatoire (opt-in)
Exception : clients existants pour produits similaires
Intérêt légitime insuffisant pour B2C
Double opt-in recommandé (preuve)

B2B — Professionnels

Intérêt légitime possible si pertinence métier
Obligation d'information + droit d'opposition
Adresse perso (gmail) = règle B2C s'applique
contact@ / info@ = moins risqué

Les 5 obligations minimales pour chaque email

Identité claire de l'expéditeur

Nom + raison sociale en From et signature. L'adresse reply-to doit être fonctionnelle et répondre dans les 48h à une demande de désinscription.

Objet non trompeur

L'objet ne doit pas simuler une réponse (Re:), induire en erreur sur le contenu, ou masquer la nature commerciale (Art. L34-5 CPCE).

Lien de désinscription visible

Obligatoire dans chaque email. Un clic maximum pour se désinscrire. Traitement sous 72h maximum. Le 'désabonnement' dans le footer doit fonctionner réellement.

Mention de la base légale

Dans la politique de confidentialité liée depuis l'email : base légale (consentement ou intérêt légitime), finalité, durée de conservation, droits de la personne.

Traçabilité du consentement

Horodatage de l'inscription, adresse IP, source (formulaire, import, événement), version du formulaire. Conserver 3 ans minimum. Indispensable en cas de plainte.

Votre outil d'email marketing dépose-t-il des cookies avant consentement ?

Mailchimp, Klaviyo, Brevo... leurs scripts de tracking posent souvent des cookies dès le chargement de la page. RGPDScan le détecte en 60s.

Sanctions CNIL documentées en email marketing

Société de prospection commerciale — 200 000 € (2023)

CNIL délibération SAN-2023-014 : envoi de 4,8 millions d'emails à des particuliers sans consentement valable, absence de lien de désinscription fonctionnel, refus de traiter les plaintes. Sanction renforcée par le caractère répété.

Opérateur télécom — 300 000 € (2022)

CNIL délibération SAN-2022-023 : prospection par SMS sans consentement, désinscription non respectée, tracking d'ouvertures d'emails sans information préalable. Sanctions multiples cumulées.

Les outils d'emailing les plus RGPD-conformes en 2026

Outil	Hébergement	Conformité
Brevo (Sendinblue)	France (FR)	Excellente
Mailjet	France (FR)	Excellente
Mailchimp	USA (US)	Conditionnelle
Klaviyo	USA (US)	Conditionnelle

Pour aller plus loin

Questions fréquentes

Le double opt-in est-il obligatoire par le RGPD ?

Non, le RGPD n'impose pas le double opt-in. Mais il exige un consentement 'libre, spécifique, éclairé et univoque' (Art. 7). Le double opt-in reste la meilleure preuve de ce consentement. En cas de contrôle CNIL, c'est votre bouclier principal.

Puis-je envoyer des newsletters à mes clients B2B sans consentement ?

Oui, sous conditions strictes (Art. L34-5 CPCE) : l'email doit concerner un produit/service similaire à ce que le client a acheté, vous devez l'avoir informé lors de la collecte, et lui offrir la possibilité de s'opposer à chaque email. L'adresse email professionnelle générique (contact@, info@) relève de la personne morale, pas de la personne physique — terrain plus souple.

Combien de temps puis-je conserver les adresses de ma liste newsletter ?

Tant que la personne est abonnée et active, vous pouvez conserver. La CNIL recommande de purger les inactifs (aucune ouverture, aucun clic) après 3 ans. Un email de réactivation avant purge est une bonne pratique documentée.

Puis-je importer une liste achetée ou obtenue via scraping ?

Non. Une liste achetée ou scrapée ne remplit pas les conditions de consentement RGPD. La personne n'a pas consenti à recevoir vos emails spécifiquement. Utiliser de telles listes expose à des sanctions CNIL (amende + injonction) et à des problèmes de délivrabilité (spam).

Que doit contenir l'email de confirmation double opt-in ?

Le lien de confirmation, l'identité de l'expéditeur, la finalité (newsletter + fréquence approximative), la mention que sans clic l'adresse ne sera pas utilisée. Conserver l'horodatage et l'adresse IP de la confirmation pendant 3 ans minimum.

Comment traiter une demande de désinscription immédiate ?

Désinscrire sous 72h maximum (immédiatement en pratique). Ne jamais reconditionner l'adresse dans une autre liste. Conserver une trace de la désinscription pour prouver l'absence d'envoi ultérieur si contesté. Le lien de désinscription doit être visible dans chaque email.

Newsletter et RGPD : comment ne pas se faire sanctionner