What is a GDPR compliance scan?

A GDPR compliance scan (also called RGPD audit in French) is a comprehensive analysis of a website's compliance with the General Data Protection Regulation. RGPDScan automatically checks cookies, trackers, dark patterns, data transfers, security headers, user rights and legal basis.

Qu'est-ce qu'un audit RGPD ?

Un audit RGPD est une analyse complète de la conformité d'un site web au Règlement Général sur la Protection des Données. RGPDScan vérifie automatiquement les cookies, trackers, dark patterns, transferts de données, en-têtes de sécurité, droits des personnes et base légale du traitement.

How does the GDPR scanner work?

Our GDPR scanner uses a headless Chrome browser to simulate a real user visit. It detects cookies set before consent, analyzes cookie banners for dark patterns, maps non-EU data transfers, and checks compliance across 30+ GDPR checkpoints in under 60 seconds.

Is the GDPR scan free?

Yes, RGPDScan offers a free plan with 5 scans per month. You get GDPR, SEO, accessibility and visibility compliance scores. The Pro plan at €49/month gives access to detailed results, PDF reports, embeddable cookie banner and 200 scans/month.

What is the difference between RGPD and GDPR?

RGPD (Règlement Général sur la Protection des Données) is the French name for GDPR (General Data Protection Regulation). They refer to the same European regulation protecting personal data. RGPDScan supports both French and English-speaking users.

How is RGPDScan different from Cookiebot?

RGPDScan goes beyond cookie scanning by offering a complete 4-pillar audit: GDPR compliance, SEO analysis, WCAG accessibility audit, and social media visibility check. We use AI to detect dark patterns, analyze 400+ trackers, and provide an embeddable cookie consent banner with real-time analytics.

Quelle est l'alternative gratuite à Axeptio ?

RGPDScan propose une alternative gratuite à Axeptio avec bannière cookies conforme CNIL, scan RGPD (5 scans/mois), et générateur de documents juridiques. Contrairement à Axeptio, RGPDScan inclut aussi un scanner complet de dark patterns et trackers.

What is the best alternative to OneTrust for small businesses?

RGPDScan is the best OneTrust alternative for SMBs. It offers a complete GDPR audit platform — cookie scanner, dark pattern detection, AI document generator, and compliant cookie banner — starting at €0/month, compared to OneTrust's €15,000+/year pricing.

Comment éviter une amende CNIL ?

Pour éviter une amende CNIL : 1) Installez une bannière cookies avec bouton 'Tout refuser' aussi visible que 'Tout accepter'. 2) Ne déposez aucun cookie avant consentement. 3) Mettez à jour votre politique de confidentialité. 4) Documentez vos transferts hors UE. RGPDScan vérifie ces 30+ points automatiquement en 60 secondes.

Does RGPDScan work for German websites (DSGVO)?

Yes, RGPDScan works for all EU websites including German sites under DSGVO (Datenschutz-Grundverordnung). DSGVO is the German name for GDPR. RGPDScan detects DSGVO compliance issues including cookies, trackers, data transfers, and dark patterns.

Tarteaucitron est-il une bonne alternative à Cookiebot ?

Tarteaucitron est une bonne CMP open-source gratuite, mais nécessite un développeur pour l'installation. Il ne fait pas de scan RGPD complet, pas de génération de documents ni d'analytics. RGPDScan est une alternative tout-en-un qui inclut bannière cookies, scan RGPD et documents juridiques IA.

RGPD pour e-commerce : guide complet 2026 + audit gratuit

5 GDPR obligations specific to E-commerce

These points are systematically checked during a DPA audit in your sector.

Bloquer Google Analytics, Meta Pixel et TikTok Pixel avant consentement

Aucun cookie analytique ou publicitaire ne doit être déposé tant que l'utilisateur n'a pas cliqué sur Accepter. Le bouton Refuser doit être aussi visible que Accepter (Art. 82 LIL + délibération CNIL 17 sept 2020).

Documenter la base légale de chaque traitement marketing

Le retargeting publicitaire et l'enrichissement de profils clients reposent obligatoirement sur le consentement (pas l'intérêt légitime). Les CGV générées par le CMS ne suffisent pas — la politique de confidentialité doit être distincte.

Conserver les données de paiement selon les durées CNIL

Données de transaction : 13 mois pour la lutte anti-fraude. Données clients actifs : 3 ans après dernière commande. Comptes inactifs : suppression ou anonymisation après 3 ans (référentiel CNIL 2018 amendé 2023).

Lister tous les sous-traitants dans la politique de confidentialité

Stripe, Mailchimp, Shopify, Klaviyo, fournisseurs de logistique : chacun doit apparaître nommément avec son pays d'hébergement, sa finalité et le mécanisme légal de transfert (SCC, DPF, BCR).

Implémenter un mécanisme de demande d'accès et de suppression

Toute personne peut demander accès à ses données et leur effacement (Art. 15 et 17 RGPD). Délai de réponse : 1 mois. Procédure documentée obligatoire, traçabilité des demandes pendant 5 ans.

Real DPA fines in this sector

Documented cases. Official sources available on cnil.fr.

2023

32 M€

Amazon France Logistique

Surveillance des salariés via scanners de productivité sans information ni base légale claire.

CNIL délibération SAN-2023-021

2022

100 000 €

Cdiscount

Cookies déposés avant consentement, bouton refus difficile à localiser sur la bannière.

CNIL délibération SAN-2022-016

2021

60 000 €

eBay France

Non-respect des durées de conservation des données clients inactifs, défaut de purge automatique.

CNIL délibération SAN-2021-001

How to check your GDPR compliance as E-commerce

RGPDScan automatically audits your website against 30+ DPA checkpoints. Detailed report in 60 seconds, with sector-specific recommendations.

Cookies and trackers detection
AI dark pattern analysis
Non-EU data transfers detected
Quantified fine risk

Frequently asked questions

Mon Shopify est-il conforme RGPD par défaut ?

Non. Shopify offre une fonctionnalité Customer Privacy à activer manuellement (Paramètres > Confidentialité du client). Sans activation, les apps marketing et analytics déposent cookies avant consentement.

Combien coûte une mise en demeure CNIL pour un e-commerçant ?

La mise en demeure elle-même est gratuite mais publique. Si non respectée dans 30 jours, sanction de 20 000 € à 4 % du CA mondial. Le coût moyen constaté pour PME : 50 000 à 200 000 €.

Puis-je utiliser Google Analytics sur ma boutique en ligne ?

Légalement possible uniquement avec consentement préalable, anonymisation IP, signature du DPA Google et information dans votre politique cookies. Plausible Analytics ou Matomo restent plus sûrs.

Dois-je déclarer un DPO pour ma boutique en ligne ?

Obligatoire si le suivi régulier à grande échelle est l'activité principale (typiquement +10 000 clients actifs/an). Sinon recommandé. Coût externalisé : 200 à 800 €/mois.

Le checkout invité dispense-t-il du consentement ?

Non. Même sans création de compte, les cookies analytics et publicitaires nécessitent consentement préalable. Seuls les cookies strictement nécessaires (panier, session) sont exemptés.

Comment gérer le droit à l'oubli d'un client ayant commandé ?

Anonymiser les données personnelles dans la commande (conserver pour comptabilité et lutte anti-fraude) mais supprimer compte, historique de navigation et données marketing. Délai légal : 1 mois.

Mes avis clients sont-ils soumis au RGPD ?

Oui. Le nom du client (même prénom seul) est une donnée personnelle. Modération obligatoire, droit de rectification, conservation limitée à la durée d'utilité de l'avis.

Que faire si mon prestataire de paiement transfère vers les USA ?

Stripe et PayPal disposent du Data Privacy Framework (DPF) certifié 2023, ce qui sécurise le transfert. À mentionner explicitement dans la politique de confidentialité avec le mécanisme légal.

GDPR for E-commerce: complete guide and free audit 2026