What is a GDPR compliance scan?

A GDPR compliance scan (also called RGPD audit in French) is a comprehensive analysis of a website's compliance with the General Data Protection Regulation. RGPDScan automatically checks cookies, trackers, dark patterns, data transfers, security headers, user rights and legal basis.

Qu'est-ce qu'un audit RGPD ?

Un audit RGPD est une analyse complète de la conformité d'un site web au Règlement Général sur la Protection des Données. RGPDScan vérifie automatiquement les cookies, trackers, dark patterns, transferts de données, en-têtes de sécurité, droits des personnes et base légale du traitement.

How does the GDPR scanner work?

Our GDPR scanner uses a headless Chrome browser to simulate a real user visit. It detects cookies set before consent, analyzes cookie banners for dark patterns, maps non-EU data transfers, and checks compliance across 30+ GDPR checkpoints in under 60 seconds.

Is the GDPR scan free?

Yes, RGPDScan offers a free plan with 5 scans per month. You get GDPR, SEO, accessibility and visibility compliance scores. The Pro plan at €49/month gives access to detailed results, PDF reports, embeddable cookie banner and 200 scans/month.

What is the difference between RGPD and GDPR?

RGPD (Règlement Général sur la Protection des Données) is the French name for GDPR (General Data Protection Regulation). They refer to the same European regulation protecting personal data. RGPDScan supports both French and English-speaking users.

How is RGPDScan different from Cookiebot?

RGPDScan goes beyond cookie scanning by offering a complete 4-pillar audit: GDPR compliance, SEO analysis, WCAG accessibility audit, and social media visibility check. We use AI to detect dark patterns, analyze 400+ trackers, and provide an embeddable cookie consent banner with real-time analytics.

Quelle est l'alternative gratuite à Axeptio ?

RGPDScan propose une alternative gratuite à Axeptio avec bannière cookies conforme CNIL, scan RGPD (5 scans/mois), et générateur de documents juridiques. Contrairement à Axeptio, RGPDScan inclut aussi un scanner complet de dark patterns et trackers.

What is the best alternative to OneTrust for small businesses?

RGPDScan is the best OneTrust alternative for SMBs. It offers a complete GDPR audit platform — cookie scanner, dark pattern detection, AI document generator, and compliant cookie banner — starting at €0/month, compared to OneTrust's €15,000+/year pricing.

Comment éviter une amende CNIL ?

Pour éviter une amende CNIL : 1) Installez une bannière cookies avec bouton 'Tout refuser' aussi visible que 'Tout accepter'. 2) Ne déposez aucun cookie avant consentement. 3) Mettez à jour votre politique de confidentialité. 4) Documentez vos transferts hors UE. RGPDScan vérifie ces 30+ points automatiquement en 60 secondes.

Does RGPDScan work for German websites (DSGVO)?

Yes, RGPDScan works for all EU websites including German sites under DSGVO (Datenschutz-Grundverordnung). DSGVO is the German name for GDPR. RGPDScan detects DSGVO compliance issues including cookies, trackers, data transfers, and dark patterns.

Tarteaucitron est-il une bonne alternative à Cookiebot ?

Tarteaucitron est une bonne CMP open-source gratuite, mais nécessite un développeur pour l'installation. Il ne fait pas de scan RGPD complet, pas de génération de documents ni d'analytics. RGPDScan est une alternative tout-en-un qui inclut bannière cookies, scan RGPD et documents juridiques IA.

GDPR Client Access Request: How to Respond On Time

Un client vous demande une copie de ses données ? Vous avez exactement 1 mois pour répondre — sans quoi vous risquez une plainte CNIL. Ce guide décrit les 6 droits RGPD, la procédure recommandée, ce que vous devez fournir et comment gérer les cas de refus légaux.

Les 6 droits RGPD des personnes concernées

Le RGPD accorde aux personnes concernées six droits fondamentaux (articles 15 à 22). En tant que responsable de traitement, vous êtes tenu de répondre à tout exercice de ces droits, dans les délais et formes prescrits.

Droit d'accès (Art. 15)

Obtenir une copie des données détenues et les informations sur le traitement.

Droit de rectification (Art. 16)

Corriger des données inexactes ou incomplètes.

Droit à l'effacement (Art. 17)

Obtenir la suppression des données sous certaines conditions.

Droit à la limitation (Art. 18)

Suspendre le traitement sans effacer les données (contestation, litige).

Droit à la portabilité (Art. 20)

Recevoir ses données dans un format structuré et lisible par machine.

Droit d'opposition (Art. 21)

S'opposer à un traitement basé sur l'intérêt légitime ou à des fins de prospection.

Les délais légaux : 1 mois, prolongeable 2 mois

La règle des délais (Article 12§3 RGPD)

Délai standard : 1 mois à compter de la réception de la demande complète.
Prolongation possible : 2 mois supplémentaires si la demande est complexe ou nombreuse. L'information de prolongation doit être envoyée dans le premier mois.
Vérification d'identité : Vous pouvez demander des informations complémentaires pour vérifier l'identité. Le délai est suspendu jusqu'à réception.

Procédure recommandée en 5 étapes

Accusé de réception immédiat (J+1 à J+3) — Confirmez par email la réception de la demande, indiquez le délai de réponse (1 mois) et demandez si nécessaire une pièce d'identité pour vérification.
Vérification de l'identité (si doute) — Demandez uniquement les informations strictement nécessaires. Ne demandez pas de copie de pièce d'identité de manière systématique (disproportionné).
Collecte des données dans tous les systèmes (J+5 à J+15) — CRM, email, facturation, logs, base de données, outils tiers. Documentez la liste des systèmes consultés.
Rédaction et envoi de la réponse (avant J+30) — Réponse dans le même canal que la demande (email si demande par email), format lisible, données en annexe ou dans le corps de l'email selon volume.
Archivage de la réponse (preuve de conformité) — Conservez une trace de la demande, de votre réponse et de la date. En cas de contrôle CNIL, c'est votre preuve de conformité.

Votre site facilite-t-il l'exercice des droits RGPD ?

RGPDScan vérifie la présence d'un formulaire de contact RGPD, l'accessibilité de votre DPO et la conformité de votre politique de confidentialité.

Ce que vous devez fournir pour le droit d'accès

L'article 15 RGPD est précis sur le contenu de la réponse. Vous devez fournir une copie des données et les informations suivantes :

Les finalités du traitement (pourquoi vous traitez ces données)
Les catégories de données concernées (coordonnées, données de santé, etc.)
Les destinataires ou catégories de destinataires (qui a accès)
La durée de conservation prévue ou les critères pour la déterminer
L'existence du droit de rectification, effacement, limitation, opposition
Le droit de réclamation auprès de la CNIL (avec coordonnées)
La source des données si elles n'ont pas été collectées auprès de la personne
L'existence d'une prise de décision automatisée (profilage) et la logique utilisée

Cas de refus légaux

Vous pouvez légalement refuser ou limiter une réponse dans les cas suivants :

Demande manifestement infondée ou excessive

Notamment si la même personne effectue la même demande de manière répétitive sans motif. Vous devez documenter et pouvoir prouver ce caractère excessif.

Atteinte aux droits d'un tiers

Si les données demandées contiennent des données personnelles d'autres individus dont la communication violerait leurs droits. Dans ce cas, vous pouvez fournir les données partiellement (en anonymisant les tiers).

Obligations légales de confidentialité

Secret professionnel (avocat, médecin), secret défense, secret des affaires, enquête judiciaire en cours. La base légale de confidentialité prime sur le droit d'accès.

Template de réponse type droit d'accès

Objet : Réponse à votre demande d'accès à vos données personnelles Madame, Monsieur [Nom], Nous avons bien reçu votre demande d'exercice de votre droit d'accès le [date]. Après vérification de votre identité, nous vous communiquons ci-dessous les données personnelles vous concernant que nous détenons : [Liste ou fichier joint des données] Ces données sont traitées aux fins suivantes : [finalités] Base légale : [consentement / contrat / intérêt légitime] Durée de conservation : [durée] Destinataires : [liste des destinataires] Vous disposez également des droits suivants : rectification, effacement, limitation, portabilité, opposition. Pour les exercer : [email/formulaire DPO]. En cas de réclamation : CNIL, 3 Place de Fontenoy, 75007 Paris, www.cnil.fr Cordialement, [Responsable de traitement]

Sanctions pour non-réponse

Procédure en cas de non-réponse

1. Plainte de la personne concernée auprès de la CNIL. 2. La CNIL notifie l'entreprise et peut prononcer une mise en demeure. 3. En cas de non-respect de la mise en demeure : sanction jusqu'à 20 M€ ou 4 % du CA mondial. Des mises en demeure ont été prononcées dans le secteur de la santé, de l'assurance et de la banque pour des délais non respectés.

Pour aller plus loin

Questions fréquentes

Quel est le délai légal pour répondre à une demande d'accès RGPD ?

1 mois à compter de la réception de la demande (article 12§3 RGPD). Ce délai peut être prolongé de 2 mois supplémentaires en cas de demandes nombreuses ou complexes, à condition d'informer le demandeur de la prolongation et de ses motifs dans le délai initial d'1 mois. Au total, le délai maximum est donc de 3 mois. En cas de doute sur l'identité du demandeur, vous pouvez demander des informations complémentaires, ce qui suspend le délai.

Que dois-je fournir en réponse à un droit d'accès RGPD ?

Une copie de toutes les données personnelles détenues sur la personne, plus les informations suivantes : finalités du traitement, catégories de données, destinataires ou catégories de destinataires, durée de conservation prévue, existence d'autres droits (rectification, effacement, limitation, opposition, portabilité), droit de réclamation auprès de la CNIL, source des données si elles n'ont pas été collectées auprès de la personne, existence éventuelle d'une prise de décision automatisée (dont le profilage).

Puis-je refuser une demande d'accès RGPD ?

Oui, dans des cas limités : si la demande est manifestement infondée ou excessive (notamment en raison de son caractère répétitif), si la réponse porterait atteinte aux droits ou libertés d'autrui (données de tiers mêlées aux données du demandeur), si des motifs légaux ou réglementaires imposent la confidentialité (secret des affaires, secret défense, enquête judiciaire en cours). En cas de refus, vous devez informer le demandeur des motifs et de son droit de recours auprès de la CNIL.

Puis-je facturer la réponse à une demande d'accès RGPD ?

Non, en règle générale. L'article 12§5 RGPD dispose que les informations sont fournies gratuitement. Exception : si les demandes d'une même personne sont manifestement infondées ou excessives, vous pouvez exiger des frais raisonnables (frais administratifs) ou refuser de donner suite. Vous devez alors pouvoir démontrer le caractère infondé ou excessif de la demande.

Comment gérer une demande de droit à l'effacement (droit à l'oubli) ?

Le droit à l'effacement (article 17 RGPD) s'applique notamment quand : les données ne sont plus nécessaires au regard des finalités, le consentement est retiré et il n'y a pas d'autre base légale, les données ont été collectées dans le cadre d'une offre de services de la société de l'information à un mineur. Exceptions : obligation légale de conservation, exercice de droits en justice, intérêt public. Délai de réponse : 1 mois.

Quelle sanction risque-t-on pour non-réponse à une demande RGPD ?

La non-réponse à une demande d'exercice de droits peut mener à une plainte auprès de la CNIL. La CNIL peut mettre en demeure l'entreprise d'y répondre. En cas de non-respect de la mise en demeure : sanction jusqu'à 20 000 000 € ou 4 % du CA mondial. Des mises en demeure ont été prononcées en France pour des délais dépassés, notamment dans le secteur de la santé et de l'assurance.

Demande d'accès RGPD client : comment répondre en temps et en heure