What is a GDPR compliance scan?

A GDPR compliance scan (also called RGPD audit in French) is a comprehensive analysis of a website's compliance with the General Data Protection Regulation. RGPDScan automatically checks cookies, trackers, dark patterns, data transfers, security headers, user rights and legal basis.

Qu'est-ce qu'un audit RGPD ?

Un audit RGPD est une analyse complète de la conformité d'un site web au Règlement Général sur la Protection des Données. RGPDScan vérifie automatiquement les cookies, trackers, dark patterns, transferts de données, en-têtes de sécurité, droits des personnes et base légale du traitement.

How does the GDPR scanner work?

Our GDPR scanner uses a headless Chrome browser to simulate a real user visit. It detects cookies set before consent, analyzes cookie banners for dark patterns, maps non-EU data transfers, and checks compliance across 30+ GDPR checkpoints in under 60 seconds.

Is the GDPR scan free?

Yes, RGPDScan offers a free plan with 5 scans per month. You get GDPR, SEO, accessibility and visibility compliance scores. The Pro plan at €49/month gives access to detailed results, PDF reports, embeddable cookie banner and 200 scans/month.

What is the difference between RGPD and GDPR?

RGPD (Règlement Général sur la Protection des Données) is the French name for GDPR (General Data Protection Regulation). They refer to the same European regulation protecting personal data. RGPDScan supports both French and English-speaking users.

How is RGPDScan different from Cookiebot?

RGPDScan goes beyond cookie scanning by offering a complete 4-pillar audit: GDPR compliance, SEO analysis, WCAG accessibility audit, and social media visibility check. We use AI to detect dark patterns, analyze 400+ trackers, and provide an embeddable cookie consent banner with real-time analytics.

Quelle est l'alternative gratuite à Axeptio ?

RGPDScan propose une alternative gratuite à Axeptio avec bannière cookies conforme CNIL, scan RGPD (5 scans/mois), et générateur de documents juridiques. Contrairement à Axeptio, RGPDScan inclut aussi un scanner complet de dark patterns et trackers.

What is the best alternative to OneTrust for small businesses?

RGPDScan is the best OneTrust alternative for SMBs. It offers a complete GDPR audit platform — cookie scanner, dark pattern detection, AI document generator, and compliant cookie banner — starting at €0/month, compared to OneTrust's €15,000+/year pricing.

Comment éviter une amende CNIL ?

Pour éviter une amende CNIL : 1) Installez une bannière cookies avec bouton 'Tout refuser' aussi visible que 'Tout accepter'. 2) Ne déposez aucun cookie avant consentement. 3) Mettez à jour votre politique de confidentialité. 4) Documentez vos transferts hors UE. RGPDScan vérifie ces 30+ points automatiquement en 60 secondes.

Does RGPDScan work for German websites (DSGVO)?

Yes, RGPDScan works for all EU websites including German sites under DSGVO (Datenschutz-Grundverordnung). DSGVO is the German name for GDPR. RGPDScan detects DSGVO compliance issues including cookies, trackers, data transfers, and dark patterns.

Tarteaucitron est-il une bonne alternative à Cookiebot ?

Tarteaucitron est une bonne CMP open-source gratuite, mais nécessite un développeur pour l'installation. Il ne fait pas de scan RGPD complet, pas de génération de documents ni d'analytics. RGPDScan est une alternative tout-en-un qui inclut bannière cookies, scan RGPD et documents juridiques IA.

RGPD pour SaaS : guide DPA, sous-traitants, IA

5 GDPR obligations specific to SaaS

These points are systematically checked during a DPA audit in your sector.

Signer un DPA conforme Art. 28 avec chaque client B2B

Le Data Processing Agreement doit lister précisément les catégories de données traitées, les sous-traitants ultérieurs (avec droit d'opposition client), les mesures de sécurité, la procédure breach et les modalités de fin de contrat.

Tenir un registre des sous-traitants ultérieurs publiable

Hébergeur, monitoring (Sentry, Datadog), CRM interne, support (Intercom), AI provider : chaque sous-traitant doit être listé avec sa localisation, ses mesures de sécurité et son mécanisme légal de transfert.

Notifier les breaches sous 72h à la CNIL et aux clients

Une fuite de données client (même partielle) déclenche une notification CNIL en 72h via téléservice. Notification client immédiate si risque élevé. Documentation obligatoire de toutes les violations, même non notifiables.

Encadrer l'usage d'IA générative qui voit les données client

Les API OpenAI, Anthropic, Mistral sont des sous-traitants. Soit zero-retention contractuel (Tier Enterprise), soit consentement explicite client, soit anonymisation préalable. L'AI Act 2026 renforce ces obligations.

Permettre l'export et la suppression complète à la fin du contrat

Le client doit pouvoir exporter ses données dans un format structuré (CSV, JSON) et obtenir leur suppression complète (y compris sauvegardes) sous 30 jours après résiliation. Logs de suppression à conserver 5 ans.

Real DPA fines in this sector

Documented cases. Official sources available on cnil.fr.

2022

20 M€

Clearview AI (B2B)

Collecte et traitement de données biométriques sans base légale, refus d'exercer les droits.

CNIL délibération SAN-2022-019

2023

5,6 M€

Replika (Luka Inc.)

Absence de vérification d'âge et de base légale pour le traitement IA des mineurs.

Garante (DPA Italien) - décision n° 9852214

2022

1,5 M€

DEDALUS BIOLOGIE (SaaS médical)

Manquement à la sécurité, fuite de 491 000 dossiers patients suite à mauvaise configuration.

CNIL délibération SAN-2022-009

How to check your GDPR compliance as SaaS

RGPDScan automatically audits your website against 30+ DPA checkpoints. Detailed report in 60 seconds, with sector-specific recommendations.

Cookies and trackers detection
AI dark pattern analysis
Non-EU data transfers detected
Quantified fine risk

Frequently asked questions

Quelle différence entre responsable de traitement et sous-traitant pour un SaaS ?

Pour votre site marketing, votre facturation et votre support : vous êtes responsable. Pour les données de vos clients dans votre app : vous êtes sous-traitant — votre client est responsable. Les deux rôles coexistent et imposent des obligations distinctes.

Mon DPA Stripe ou AWS suffit-il à couvrir mes clients ?

Non. Vous devez signer votre propre DPA avec chaque client (vous comme sous-traitant), et lister Stripe/AWS comme sous-traitants ultérieurs avec leurs DPA respectifs.

Puis-je utiliser OpenAI dans mon SaaS sans casser la conformité RGPD ?

Oui sous conditions : tier Enterprise OpenAI (zero-retention contractuel) OU anonymisation avant envoi OU consentement explicite client. Ajouter OpenAI comme sous-traitant dans le DPA.

Combien de temps puis-je conserver les données d'un client après résiliation ?

Suppression sous 30 jours sauf obligation légale (facturation comptable : 10 ans en France). Logs de suppression à conserver 5 ans pour prouver la conformité.

Le RGPD s'applique-t-il à mon SaaS si je n'ai aucun client UE ?

Oui dès qu'un visiteur UE accède à votre site (offre de service ou tracking comportemental). Le critère est le ciblage, pas l'établissement. Voir Art. 3.2 RGPD.

Dois-je nommer un DPO pour mon SaaS de 5 personnes ?

Obligatoire si traitement à grande échelle de données sensibles ou suivi régulier. Pour un SaaS B2B classique : recommandé mais pas obligatoire. DPO externalisé : 300-1000 €/mois.

Mes intégrations Slack, Zapier, HubSpot sont-elles RGPD ?

Chacune est un sous-traitant ultérieur. Lister dans le registre, signer leurs DPA respectifs, et informer le client de leur usage avec droit d'opposition.

Mon hébergement Cloudflare Workers (USA) est-il conforme ?

Oui via le Data Privacy Framework signé par Cloudflare en 2023. Documenter dans le DPA et la politique. Alternative EU : Cloudflare avec contraintes EU-only ou Scaleway/OVH.

GDPR for SaaS: complete guide and free audit 2026