Un audit RGPD consiste à examiner méthodiquement un site et ses traitements de données pour identifier les écarts avec le règlement, les hiérarchiser et définir un plan de correction. Voici la méthode que nous appliquons, étape par étape, et la checklist des points à contrôler — que vous meniez l'audit vous-même ou que vous le fassiez automatiser.
Analysez gratuitement votre site en 30 secondes :
Un audit RGPD est un examen structuré des traitements de données personnelles d'un organisme visant à mesurer leur conformité au RGPD, à identifier les non-conformités et les risques, puis à recommander des actions correctives. Pour un site web, il combine un volet technique (ce qui est observable en ligne) et un volet organisationnel (documents et process internes).
Un audit répond à trois questions simples : où en êtes-vous, qu'est-ce qui est prioritaire, et par quoi commencer. Sans audit, on corrige au hasard — souvent des détails visibles pendant que des risques plus sérieux passent inaperçus. Un audit remet de l'ordre : il transforme une inquiétude diffuse (« mon site est-il conforme ? ») en une liste d'actions concrètes et priorisées.
Lister ce que votre site collecte et pourquoi : formulaires, comptes clients, newsletter, mesure d'audience, paiement. Chaque traitement a une finalité et une base légale.
Identifier tous les cookies et scripts tiers, distinguer ceux qui sont essentiels de ceux qui exigent un consentement, et vérifier qu'aucun traceur non essentiel ne se dépose avant le choix de l'internaute.
Vérifier la présence et la complétude de la politique de confidentialité, des mentions légales et de l'information sur les formulaires.
HTTPS effectif, en-têtes de sécurité (HSTS, CSP…), protection des e-mails (SPF, DKIM, DMARC) : l'obligation de sécurité de l'article 32.
Repérer les outils tiers (analytics, polices, cartes, CDN) qui envoient des données hors d'Europe et vérifier les garanties associées.
Classer les écarts par gravité et par effort, puis établir un plan d'action : ce qui se corrige tout de suite, ce qui demande un projet, ce qui relève d'un accompagnement.
Voici les contrôles les plus structurants d'un audit de site web. Une analyse automatisée en couvre la majeure partie ; les derniers relèvent d'un examen manuel.
Un audit RGPD complet en cabinet (avocat ou DPO externe) analyse en profondeur vos process, vos contrats et vos bases légales. Il est précieux pour les organisations qui traitent des données sensibles ou à grande échelle, mais il coûte généralement de 1 500 à plusieurs milliers d'euros et prend du temps.
Un audit technique automatisé couvre la partie observable en ligne — celle qui concentre les manquements les plus fréquents et les plus sanctionnés. Il est immédiat, peu coûteux et parfaitement adapté à un premier diagnostic de TPE/PME. Les deux approches sont complémentaires : l'audit automatisé identifie et corrige le gros des risques visibles, l'audit humain traite les cas complexes et documente la conformité.
La conformité se dégrade avec le temps : un nouvel outil marketing, un plug-in ajouté, une refonte du site peuvent réintroduire un traceur non conforme sans que personne ne s'en aperçoive. Un audit à chaque évolution significative du site, complété d'un contrôle automatisé régulier, permet de ne pas laisser réapparaître des écarts déjà corrigés.
Cette page est une aide à la compréhension et à la conformité. Elle ne constitue pas un avis juridique et ne préjuge pas de l'analyse de la CNIL en cas de contrôle.