Retour aux articles
Audit RGPD
RGPD Audit Cookies Conformité Complio

Audit RGPD site web : guide complet 2026

14 janvier 2026 10 min de lecture DPLIANCE

Audit RGPD site web : le guide complet pour vérifier la conformité de votre site

Votre site web collecte des données personnelles. Formulaires de contact, cookies de mesure d’audience, scripts tiers, pixels de tracking : chaque page est un point d’entrée pour la CNIL. En 2025, 83 sanctions ont été prononcées pour un montant cumulé de 486,8 millions d’euros, dont 21 concernaient spécifiquement les cookies et traceurs (source : CNIL, bilan 2025). Un audit RGPD de site web est le seul moyen de savoir exactement où vous en êtes avant que la CNIL ne le fasse pour vous.

Ce guide détaille ce que couvre un audit RGPD de site web, les points précis à vérifier, les obligations légales qui s’appliquent, et comment l’automatiser avec Complio pour une fraction du coût d’un cabinet.

Pourquoi réaliser un audit RGPD de votre site web

La CNIL contrôle activement les sites web

La CNIL ne se contente plus d’attendre les plaintes. Depuis 2021, elle utilise des robots pour scanner automatiquement les sites web et détecter les manquements les plus courants : cookies déposés sans consentement, absence de bandeau conforme, bouton “Refuser” moins visible que “Accepter” (source : CNIL).

En 2025, plus de 60 % des sanctions concernaient des PME. La procédure simplifiée, mise en place en 2022, permet à la CNIL de prononcer des amendes jusqu’à 20 000 euros sans passer par la formation restreinte (source : vie-publique.fr). En clair : même une petite entreprise avec un site vitrine peut être sanctionnée rapidement.

Les montants des amendes sont dissuasifs

Les deux sanctions record de 2025 concernent les cookies : 325 millions d’euros pour Google et 150 millions d’euros pour Shein (source : France Info). Pour les entreprises françaises, les amendes liées aux cookies ont atteint 750 000 euros en 2025.

Au-delà des cookies, le cadre général du RGPD prévoit des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros (article 83 du RGPD). L’absence de mentions légales est sanctionnable jusqu’à 75 000 euros pour un entrepreneur individuel et 375 000 euros pour une société (loi LCEN).

Un audit protège votre entreprise et vos clients

Un audit RGPD de site web n’est pas une formalité administrative. Il vous permet de :

  • Identifier les failles avant qu’un contrôle CNIL ne les révèle
  • Protéger la confiance de vos utilisateurs en respectant leurs données
  • Éviter les sanctions financières qui peuvent mettre en péril une PME
  • Documenter votre démarche de conformité (principe d’accountability du RGPD)

Que vérifie un audit RGPD de site web

Un audit RGPD de site web se concentre sur les éléments techniques et juridiques visibles sur le site. Voici les huit domaines essentiels.

1. Le bandeau cookies et la CMP

Le premier point de contrôle est la présence et la conformité du bandeau de consentement aux cookies (CMP, Consent Management Platform). La CNIL impose que :

  • Le consentement soit recueilli avant tout dépôt de cookie non essentiel
  • L’utilisateur puisse refuser aussi facilement qu’accepter (même niveau, même visibilité)
  • Les finalités soient présentées de manière claire et spécifique
  • Le retrait du consentement soit possible à tout moment

Le non-respect de ces règles est la première cause de sanction en 2025 : 21 organismes sanctionnés pour des manquements liés aux traceurs (source : CNIL).

2. Les cookies déposés avant et après consentement

Il ne suffit pas d’avoir un bandeau. Il faut vérifier qu’aucun cookie non essentiel n’est effectivement déposé avant que l’utilisateur ait donné son consentement. Beaucoup de sites affichent un bandeau mais déposent des cookies Google Analytics, Facebook Pixel ou d’autres traceurs dès le chargement de la page, avant toute interaction.

Un audit technique doit scanner les cookies déposés à deux moments : avant toute interaction avec le bandeau, et après acceptation du consentement.

3. Les scripts tiers et transferts de données hors UE

Chaque script tiers chargé sur votre site (analytics, publicité, chat, polices, CDN) peut transférer des données personnelles vers des serveurs situés hors de l’Union européenne. Le RGPD encadre strictement ces transferts (chapitre V, articles 44 à 49).

La CNIL avait mis en demeure plusieurs sites français pour leur utilisation de Google Analytics en raison de transferts de données vers les États-Unis (source : CNIL). Même si le Data Privacy Framework a depuis apporté un cadre juridique, chaque script tiers reste un point de vigilance.

4. Les formulaires et la collecte de données personnelles

Chaque formulaire de votre site (contact, newsletter, devis, inscription) collecte des données personnelles. L’article 13 du RGPD impose d’informer l’utilisateur au moment de la collecte : finalité, base légale, durée de conservation, droits de la personne, destinataires des données (source : CNIL).

Un audit vérifie que chaque formulaire est associé à une mention d’information conforme et que les champs collectés sont proportionnés à la finalité (principe de minimisation des données).

5. Les pages légales obligatoires

Trois documents doivent être accessibles sur tout site web professionnel :

  • Mentions légales : identité de l’éditeur, hébergeur, directeur de publication (loi LCEN, article 6)
  • Politique de confidentialité : 9 mentions obligatoires selon les articles 13 et 14 du RGPD (identité du responsable de traitement, finalités, base légale, durée de conservation, droits des personnes, destinataires, mesures de sécurité, transferts hors UE, droit de réclamation auprès de la CNIL)
  • Politique cookies : détail des cookies utilisés, finalités, durée de conservation, moyens de refus

L’absence de ces pages est un manquement direct aux obligations légales.

6. Les headers de sécurité

La CNIL recommande de sécuriser les sites web en implémentant des headers HTTP de sécurité : HTTPS obligatoire via TLS 1.2 ou 1.3, options HttpOnly et Secure sur les cookies, en-têtes de protection contre le clickjacking et les injections (source : CNIL). Ces mesures relèvent de l’obligation de sécurité de l’article 32 du RGPD.

7. Le protocole HTTPS

L’utilisation du protocole HTTPS n’est pas optionnelle. La CNIL recommande de rendre TLS obligatoire sur toutes les pages du site (source : CNIL). Un site qui transmet des données de formulaire en HTTP clair expose les données personnelles de ses utilisateurs.

8. La classification et l’identification des cookies

Tous les cookies déposés sur un site doivent être identifiés, classifiés par finalité (essentiel, analytique, marketing, fonctionnel) et documentés. Les bases de données ouvertes comme l’Open Cookie Database permettent de classifier les cookies connus et de détecter ceux qui ne sont pas déclarés.

Les trois approches pour réaliser un audit RGPD de site web

L’audit manuel par un cabinet conseil

Un cabinet spécialisé (DPO externalisé, avocat RGPD, cabinet de conseil) réalise un audit complet qui couvre à la fois le site web et les processus organisationnels de l’entreprise. Le périmètre est large : registre des traitements, contrats de sous-traitance, procédures internes, formation des équipes, en plus de l’analyse technique du site.

Coût : entre 3 000 et 7 000 euros pour une PME, jusqu’à 15 000 euros et plus pour une ETI. Délai : 3 à 6 jours de prestation, soit 3 à 6 semaines calendaires avec les allers-retours (source : leto.legal).

C’est la solution adaptée quand vous avez besoin d’un audit organisationnel complet. Mais pour vérifier la conformité technique de votre site web, c’est un investissement disproportionné.

Les outils gratuits et basiques

Plusieurs outils en ligne proposent des vérifications partielles :

  • Cookiebot compliance test : scan gratuit limité aux cookies, édité par une entreprise américaine (Usercentrics)
  • rgpdkit.fr : checklist basique à remplir soi-même, sans scan technique
  • MonAuditRGPD.fr : questionnaire d’auto-évaluation déclaratif, sans aucun scan du site

Ces outils ont le mérite d’exister, mais ils ne crawlent pas réellement votre site, ne détectent pas les scripts tiers, ne vérifient pas les formulaires et ne produisent pas de rapport exploitable.

L’audit automatisé avec Complio

Complio est un outil d’audit RGPD automatisé de site web, développé par DPLIANCE. Propulsé par l’intelligence artificielle Mistral, il crawle jusqu’à 15 pages de votre site (profondeur 2) avec un navigateur headless Playwright pour analyser votre site exactement comme le ferait un utilisateur réel.

Ce que Complio détecte :

  • Les cookies déposés avant et après consentement
  • La présence et la conformité de la CMP (via analyse visuelle par le LLM Pixtral)
  • Les scripts tiers chargés sur chaque page
  • Les formulaires et les champs de données personnelles collectées
  • La présence des pages légales (mentions légales, politique de confidentialité, politique cookies)
  • Les headers de sécurité HTTP
  • Les transferts de données hors Union européenne

Ce que vous recevez :

Un rapport PDF structuré comprenant une synthèse exécutive, le détail de chaque page analysée, un score de conformité sur 100, et des recommandations concrètes générées par Mistral AI. Le score est calculé sur le ratio items conformes / items applicables.

Conditions :

  • 89 euros HT par audit (106,80 euros TTC)
  • Résultats en environ 10 minutes
  • Aucun compte à créer : paiement sécurisé via Mollie, rapport envoyé par email
  • Classement des cookies via l’Open Cookie Database

Ce que Complio ne fait pas

La transparence est une valeur. Complio ne réalise pas :

  • De tests de sécurité applicative (OWASP, pentest)
  • De tests de compatibilité mobile ou d’accessibilité
  • De vérification que les pratiques internes sont réellement appliquées (il vérifie la présence des documents, pas leur application effective)
  • D’audit organisationnel (registre des traitements, procédures internes, contrats sous-traitants)

Pour un audit organisationnel complet, un cabinet reste nécessaire. Complio couvre le volet technique visible du site web, celui que la CNIL peut contrôler en ligne à tout moment.

FAQ : audit RGPD de site web

Un audit RGPD de site web est-il obligatoire ?

Le RGPD n’impose pas explicitement un “audit” en tant que tel. En revanche, l’article 24 impose au responsable de traitement de mettre en oeuvre des mesures appropriées pour démontrer que le traitement est conforme (principe d’accountability). L’article 32 impose de garantir la sécurité des données. Dans les faits, un audit régulier est le seul moyen de remplir ces obligations et de documenter votre conformité.

À quelle fréquence faut-il auditer son site ?

La CNIL recommande une vérification régulière, notamment après chaque modification significative du site (ajout de formulaire, changement de CMP, intégration de nouveaux scripts). En pratique, un audit trimestriel ou semestriel est un rythme raisonnable pour un site actif. À 89 euros l’audit avec Complio, le coût n’est plus un frein.

Mon site vitrine sans e-commerce est-il concerné ?

Oui. Un simple formulaire de contact collecte des données personnelles (nom, email, message). Un outil de mesure d’audience dépose des cookies. Les mentions légales sont obligatoires pour tout site professionnel. La taille du site ou l’absence de vente en ligne ne dispense d’aucune obligation RGPD.

Que risque-t-on concrètement en cas de non-conformité ?

La procédure simplifiée de la CNIL permet de prononcer des amendes jusqu’à 20 000 euros rapidement, sans procédure lourde. La formation restreinte peut aller jusqu’à 20 millions d’euros ou 4 % du CA mondial. En 2025, 67 des 83 sanctions ont été prononcées via la procédure simplifiée : la CNIL cible aussi les petites structures.

Complio remplace-t-il un DPO ou un cabinet ?

Non. Complio audite le volet technique et visible de votre site web. Un DPO ou un cabinet couvre l’ensemble de la conformité organisationnelle : registre des traitements, analyse d’impact, contrats de sous-traitance, formation des équipes. Les deux approches sont complémentaires. Complio vous permet de sécuriser rapidement votre site pendant que vous structurez votre conformité globale.

Mieux vaut le savoir avant la CNIL

La CNIL intensifie ses contrôles automatisés et cible désormais les PME avec la procédure simplifiée. Chaque jour où votre site n’est pas conforme est un risque. Un audit RGPD automatisé avec Complio prend 10 minutes et coûte 89 euros HT. Un contrôle CNIL peut coûter 20 000 euros minimum, sans compter l’atteinte à votre réputation.

Auditer mon site avec Complio

Écrivez-nous

contact@dpliance.com
Nous contacter