What is a GDPR compliance scan?

A GDPR compliance scan (also called RGPD audit in French) is a comprehensive analysis of a website's compliance with the General Data Protection Regulation. RGPDScan automatically checks cookies, trackers, dark patterns, data transfers, security headers, user rights and legal basis.

Qu'est-ce qu'un audit RGPD ?

Un audit RGPD est une analyse complète de la conformité d'un site web au Règlement Général sur la Protection des Données. RGPDScan vérifie automatiquement les cookies, trackers, dark patterns, transferts de données, en-têtes de sécurité, droits des personnes et base légale du traitement.

How does the GDPR scanner work?

Our GDPR scanner uses a headless Chrome browser to simulate a real user visit. It detects cookies set before consent, analyzes cookie banners for dark patterns, maps non-EU data transfers, and checks compliance across 30+ GDPR checkpoints in under 60 seconds.

Is the GDPR scan free?

Yes, RGPDScan offers a free plan with 5 scans per month. You get GDPR, SEO, accessibility and visibility compliance scores. The Pro plan at €49/month gives access to detailed results, PDF reports, embeddable cookie banner and 200 scans/month.

What is the difference between RGPD and GDPR?

RGPD (Règlement Général sur la Protection des Données) is the French name for GDPR (General Data Protection Regulation). They refer to the same European regulation protecting personal data. RGPDScan supports both French and English-speaking users.

How is RGPDScan different from Cookiebot?

RGPDScan goes beyond cookie scanning by offering a complete 4-pillar audit: GDPR compliance, SEO analysis, WCAG accessibility audit, and social media visibility check. We use AI to detect dark patterns, analyze 400+ trackers, and provide an embeddable cookie consent banner with real-time analytics.

Quelle est l'alternative gratuite à Axeptio ?

RGPDScan propose une alternative gratuite à Axeptio avec bannière cookies conforme CNIL, scan RGPD (5 scans/mois), et générateur de documents juridiques. Contrairement à Axeptio, RGPDScan inclut aussi un scanner complet de dark patterns et trackers.

What is the best alternative to OneTrust for small businesses?

RGPDScan is the best OneTrust alternative for SMBs. It offers a complete GDPR audit platform — cookie scanner, dark pattern detection, AI document generator, and compliant cookie banner — starting at €0/month, compared to OneTrust's €15,000+/year pricing.

Comment éviter une amende CNIL ?

Pour éviter une amende CNIL : 1) Installez une bannière cookies avec bouton 'Tout refuser' aussi visible que 'Tout accepter'. 2) Ne déposez aucun cookie avant consentement. 3) Mettez à jour votre politique de confidentialité. 4) Documentez vos transferts hors UE. RGPDScan vérifie ces 30+ points automatiquement en 60 secondes.

Does RGPDScan work for German websites (DSGVO)?

Yes, RGPDScan works for all EU websites including German sites under DSGVO (Datenschutz-Grundverordnung). DSGVO is the German name for GDPR. RGPDScan detects DSGVO compliance issues including cookies, trackers, data transfers, and dark patterns.

Tarteaucitron est-il une bonne alternative à Cookiebot ?

Tarteaucitron est une bonne CMP open-source gratuite, mais nécessite un développeur pour l'installation. Il ne fait pas de scan RGPD complet, pas de génération de documents ni d'analytics. RGPDScan est une alternative tout-en-un qui inclut bannière cookies, scan RGPD et documents juridiques IA.

GDPR Sub-Processor: The Missing Clause in Your Contract

70 % des PME françaises n'ont pas signé de DPA avec leurs prestataires. Hébergeur, CRM, outil email, agence web : chacun qui touche à vos données clients doit signer un accord de sous-traitance conforme Art. 28 RGPD. Sans ça, vous portez seul le risque.

Qui est sous-traitant ?

Un sous-traitant au sens du RGPD (Art. 4.8) est toute personne physique ou morale qui traite des données personnelles pour le compte du responsable de traitement, sur ses instructions. La relation est asymétrique : vous décidez de la finalité et des moyens, le sous-traitant exécute.

Exemples concrets de sous-traitants pour une PME :

Hébergement & Cloud

OVH, AWS, Scaleway, Cloudflare

Email marketing

Mailchimp, Brevo, Klaviyo, Mailjet

CRM

HubSpot, Salesforce, Pipedrive

Support client

Zendesk, Intercom, Freshdesk, Crisp

Paiement

Stripe, PayPal, Mollie

Analytics

Google Analytics, Plausible, Matomo

RH & Paie

PayFit, Lucca, Silae, ADP

Agence web

Accès à la base de données ou au CMS

Les 7 clauses obligatoires d'un DPA Art. 28

Objet et durée du traitement

Description précise du traitement (ex : hébergement application SaaS, envoi emails marketing), catégories de données concernées, durée du contrat et procédure en fin de contrat.

Nature et finalité du traitement

Ce que le sous-traitant est autorisé à faire avec les données. Il ne peut pas utiliser les données à ses propres fins (ex : entraîner des modèles IA) sauf consentement explicite.

Obligation de confidentialité

Les employés du sous-traitant accédant aux données doivent être liés par une obligation de confidentialité. Clause de non-divulgation à des tiers.

Sous-traitants ultérieurs

Liste des sous-traitants ultérieurs autorisés (ex : AWS pour l'hébergement Mailchimp). Obligation d'informer le responsable de tout nouveau sous-traitant. Droit d'opposition possible.

Mesures de sécurité techniques et organisationnelles

Art. 32 RGPD : chiffrement, contrôle d'accès, sauvegardes, tests de sécurité. Le DPA doit décrire les mesures ou renvoyer vers une politique de sécurité annexée.

Notification des violations de données

Obligation du sous-traitant d'alerter le responsable de traitement sans délai injustifié (idéalement sous 24h) en cas de breach, pour permettre la notification CNIL sous 72h.

Suppression ou restitution en fin de contrat

À la fin du contrat : restitution complète des données dans un format structuré ET suppression définitive (y compris les sauvegardes). Délai maximum recommandé : 30 jours. Attestation de suppression à conserver.

Vos outils SaaS déposent-ils des cookies avant votre consentement ?

Un sous-traitant qui dépose des cookies avant consentement engage votre responsabilité RGPD. Détectez-le en 60s.

Sanctions pour absence de DPA

DEDALUS BIOLOGIE — 1,5 M€ (2022)

CNIL délibération SAN-2022-009 : sous-traitant SaaS médical ayant exposé 491 000 dossiers patients. Absence de clause contractuelle adéquate avec les clients responsables de traitement. Double condamnation : sécurité insuffisante + encadrement contractuel absent.

Entreprise logistique — 800 000 € (2024)

CNIL délibération SAN-2024-003 : absence de DPA avec plusieurs sous-traitants accédant aux données de 500 000 clients, dont transferts hors UE non encadrés.

Pour aller plus loin

Questions fréquentes

Mon hébergeur doit-il signer un DPA ?

Oui, absolument. Votre hébergeur (OVH, AWS, Scaleway, Cloudflare) accède potentiellement aux données de vos utilisateurs. OVH et Scaleway proposent des DPA conformes dans leurs CGU. AWS et Cloudflare ont des DPA disponibles en ligne à accepter dans votre compte.

Puis-je utiliser le DPA fourni par mon prestataire ou dois-je rédiger le mien ?

Vous pouvez utiliser le DPA proposé par le prestataire à condition qu'il couvre toutes les obligations Art. 28. Vérifiez : liste des sous-traitants ultérieurs, droit d'audit, procédure breach, engagement de suppression en fin de contrat. Si une clause manque, négociez un avenant.

Mon agence web qui développe mon site est-elle un sous-traitant ?

Oui, si elle accède à des données personnelles de vos utilisateurs (base de données, logs, fichiers clients). DPA obligatoire. Exception : si elle travaille uniquement sur la partie front-end statique sans accès aux données.

Combien de temps dois-je conserver les DPA signés ?

5 ans minimum après la fin du contrat. En cas de contrôle CNIL ou de litige, c'est votre preuve de diligence. Conserver la version signée avec la date de signature et les annexes (liste des sous-traitants ultérieurs, mesures de sécurité).

Mon outil SaaS ne veut pas signer de DPA personnalisé. Que faire ?

La plupart des grands SaaS proposent un DPA standard conforme Art. 28 (accessible dans les paramètres du compte ou via la page légale). Si le prestataire refuse catégoriquement tout DPA, c'est un signal fort : envisagez une alternative. Documentez le refus dans votre registre des traitements.

Faut-il un DPA avec un avocat, un comptable, un prestataire RH ?

Oui si ces prestataires traitent des données personnelles de vos clients ou salariés (dossiers RH, données comptables clients). Un expert-comptable accédant à votre logiciel de comptabilité = sous-traitant. Clause DPA dans la lettre de mission ou contrat séparé.

Sous-traitant RGPD : la clause manquante dans votre contrat