⚠️ Rapport fictif · Exemple uniquement

Aperçu complet d'un rapport ScanRGPD.

Tout ce qui suit est un exemple fictif basé sur une entreprise inventée (« Le Café Voyageur »). Votre rapport réel suivra exactement cette structure, avec vos vraies données.

Scanner mon site maintenant →

↓ Le rapport commence ici

SCANRGPD

Rapport d'audit RGPD

Le Café Voyageur SARL

lecafevoyageur.fr

/100

Vigilance ÉLEVÉE

Audit réalisé le : 29 mai 2026

SIRET : 850 123 456 00012

Activité : Café-restaurant + commande en ligne

Effectif : 3 salariés (artisan inscrit RM)

Sommaire

Synthèse exécutive
Score détaillé et méthodologie
Écarts critiques (2)
Écarts majeurs (3)
Écarts mineurs (3)
Plan d'action chiffré J+1 → J+30
Modèles juridiques pré-remplis (4)
1. Politique de confidentialité
2. Mentions légales LCEN
3. Registre des traitements (Art. 30)
4. Page de gestion des cookies
Kit Conformité Interne (4 docs éditables)
Checklist de mise en œuvre
Conclusion et limites

SECTION 1

Synthèse exécutive

Le site lecafevoyageur.fr présente 8 écarts RGPD qui exposent l'entreprise à un risque de sanction CNIL. Les manquements les plus graves concernent le dépôt de trackers publicitaires sans consentement (Google Analytics, Meta Pixel actifs dès l'ouverture du site) et l'absence de politique de confidentialité conforme.

Ces manquements correspondent précisément au profil de risque sanctionné en 2025 par la CNIL : 325 M€ et 150 M€ d'amendes records sur les cookies, 67 sanctions en procédure simplifiée (cap 20 000€), 16 organismes sanctionnés pour vidéosurveillance excessive.

La bonne nouvelle : tous les écarts identifiés sont corrigibles sans dev complexe. Le plan d'action en section 6 prévoit une remise à niveau complète en 30 jours, avec un coût total estimé entre 0 € (DIY) et 1 200 € (sous-traitance partielle).

⚡ Top 3 priorités absolues

Bloquer Google Analytics et Meta Pixel avant consentement — Installation d'une CMP conforme (Axeptio gratuit) en J+1.
Publier la politique de confidentialité fournie (Section 7.1) sur lecafevoyageur.fr/confidentialite en J+3.
Compléter les mentions légales LCEN (Section 7.2) — la page existe mais 4 champs sont manquants (SIRET, capital, hébergeur, directeur de publication).

SECTION 2

Score détaillé

Le score est calculé sur 10 domaines RGPD audités automatiquement par notre scanner. Plus le score est bas, plus le risque est élevé.

Domaine audité	Score	Évaluation
Bandeau cookies (CMP)	0/100	Critique
Trackers tiers	10/100	Critique
Politique de confidentialité	20/100	Majeur
Mentions légales LCEN	50/100	Majeur
Formulaires de contact	40/100	Majeur
Headers de sécurité HTTP	60/100	Mineur
Newsletter / opt-in	70/100	Mineur
Sous-traitants déclarés	30/100	Mineur
Transferts hors UE	N/A	Détecté indirectement via GA
Vidéosurveillance (mention)	Non applicable	Pas de vidéo détectée sur site

Score global : 38/100 (moyenne pondérée). Vigilance ÉLEVÉE.

SECTION 3

Écarts critiques (2)

CRITIQUE 1/2

Google Analytics chargé avant consentement

Constat technique : Le script gtag/js?id=G-X1Y2Z3 de Google Analytics 4 se charge dès l'ouverture du site, avant tout clic utilisateur sur le bandeau cookies. Détection confirmée dans le bundle JS principal (vérification via document.cookie au load).

Risque : Article 82 LIL — dépôt de cookies de mesure d'audience sans consentement préalable. La CNIL a sanctionné Google (325 M€) et SHEIN (150 M€) en septembre 2025 pour des manquements similaires (cookies publicitaires sans consentement valide).

Référence : Cour d'appel de Bordeaux (13 mai 2025, n° 23/02044) : agence web condamnée à rembourser 14 851 € à son client pour avoir livré un site avec GA sans consentement.

CRITIQUE 2/2

Meta Pixel (Facebook) actif sans consentement

Constat technique : Le pixel Meta (fbevents.js, ID 123456789012345) est chargé sur la page d'accueil pour le retargeting publicitaire. Aucun mécanisme de blocage avant consentement détecté.

Risque : Sanction de référence — Meta : 60 M€ (CNIL, décembre 2022) pour absence de bouton « Refuser » symétrique sur Facebook.fr. La sanction est applicable à tout site utilisant le Pixel sans consentement préalable.

Origine probable : Plugin de retargeting installé par le développeur du site (Wix App) ou code Meta inséré manuellement dans le head. Vérification recommandée.

SECTION 4

Écarts majeurs (3)

MAJEUR 1/3

Politique de confidentialité incomplète (20/100)

La page /politique-confidentialite existe mais le contenu est générique (texte de template Wix non personnalisé). Mentions absentes : durées de conservation, contact DPO ou responsable de traitement, transferts hors UE (alors que GA actif = transfert US), base légale Art. 6 RGPD, droits des personnes (Art. 15-22).

Action : Remplacer par le modèle pré-rempli fourni en Section 7.1 (adapté à votre activité café/restauration).

MAJEUR 2/3

Mentions légales LCEN incomplètes (50/100)

La page /mentions-legales existe mais 4 champs obligatoires manquent (Article 6-III LCEN) : capital social, numéro RCS, directeur de publication nommément, contact email pour signalement de contenu illicite.

Action : Compléter via le modèle en Section 7.2 (déjà pré-rempli avec vos données SIRENE).

MAJEUR 3/3

Formulaire de commande sans case de consentement

Le formulaire de commande en ligne (/commander) collecte nom, email, téléphone, adresse de livraison, allergies/régimes alimentaires (donnée sensible Art. 9 RGPD). Aucune case de consentement explicite, aucun lien vers la politique de confidentialité.

Action : Ajouter une case « J'ai lu et j'accepte la politique de confidentialité » obligatoire avant validation, et un texte court d'information sur la finalité (préparation de votre commande).

SECTION 5

Écarts mineurs (3)

MINEUR 1/3

Header HTTP de sécurité absents

Headers manquants : X-Frame-Options (protection clickjacking), Content-Security-Policy (protection XSS), Strict-Transport-Security. Présents : X-Content-Type-Options: nosniff.

Action : Sur Wix, contacter le support pour activer ces headers ou utiliser le module Custom Code (Settings → Tracking & Analytics).

MINEUR 2/3

Newsletter : opt-in pré-coché

La case « Inscrivez-moi à la newsletter » est pré-cochée par défaut sur le formulaire de commande. C'est interdit (Art. 7 RGPD : le consentement doit être positif et actif).

Action : Décocher par défaut et séparer cette case du reste du formulaire.

MINEUR 3/3

Sous-traitants non listés dans la politique

Détectés sur le site mais non mentionnés dans la politique de confidentialité : Wix (hébergement, Israël — décision d'adéquation OK), Google (Analytics, US — DPF), Meta (Pixel, US — DPF), Stripe (paiement, US — DPF).

Action : Compléter la section « Destinataires des données » de la politique fournie en 7.1.

SECTION 6

Plan d'action chiffré (30 jours)

Délai	Action	Coût	Durée
J+1	Installer Axeptio (CMP gratuite, Wix App Market). Configurer pour bloquer GA + Meta Pixel avant consentement.	0 €	1 h
J+3	Publier la politique de confidentialité (Section 7.1) à l'URL /confidentialite	0 €	2 h
J+5	Compléter les mentions légales (Section 7.2) avec les 4 champs manquants	0 €	30 min
J+7	Ajouter case consentement + lien politique sur formulaire de commande	0 € si Wix natif, 150 € si dev	1 h
J+10	Décocher l'opt-in newsletter par défaut, séparer du reste du formulaire	0 €	15 min
J+15	Compléter le Registre Art. 30 (Section 7.3) — fichier Excel dans le Kit Conformité Interne	0 €	2 h
J+20	Mettre en place la Procédure de notification violation 72h (Kit Conformité, document Word)	0 €	1 h
J+30	Re-scanner le site (gratuit, illimité) pour vérifier que le score est passé en vert	0 €	5 min

Coût total estimé : 0 € à 150 €. Le coût varie selon que vous faites les ajustements vous-même (DIY) ou que vous sous-traitez le développement du formulaire.

SECTION 7

Modèles juridiques pré-remplis (4)

Les 4 documents suivants sont fournis prêts à adapter et publier. Ils sont pré-remplis avec vos données SIRENE et adaptés à votre activité de café-restaurant. Important : ces modèles sont conformes RGPD dans leur structure standard mais doivent être relus et adaptés à votre situation spécifique avant publication.

7.1 Politique de confidentialité — extrait

POLITIQUE DE CONFIDENTIALITÉ

Dernière mise à jour : [À COMPLÉTER]

1. Responsable de traitement

Le Café Voyageur SARL, dont le siège social est situé au [À COMPLÉTER], inscrite au RCS de Paris sous le numéro 850 123 456, représentée par son gérant [À COMPLÉTER].

Contact RGPD : [email à compléter]

2. Données collectées

Dans le cadre de notre activité de café-restaurant avec commande en ligne, nous collectons les catégories de données suivantes :

Données de contact (nom, prénom, email, téléphone)
Adresse de livraison
Préférences alimentaires (allergies, régimes — donnée sensible Art. 9 RGPD)
Historique de commande et de paiement
Données de navigation (IP, cookies — voir Section 6)

3. Finalités et bases légales (Art. 6 RGPD)

Préparation et livraison de vos commandes — Exécution du contrat (Art. 6.1.b) — Conservation : 3 ans après dernière commande
Facturation et obligations comptables — Obligation légale (Art. 6.1.c) — Conservation : 10 ans
Newsletter (si vous y avez consenti) — Consentement (Art. 6.1.a) — Conservation : jusqu'au retrait
Mesure d'audience anonyme — Intérêt légitime (Art. 6.1.f) — Conservation : 13 mois max

[... 8 sections supplémentaires : sous-traitants, transferts hors UE, sécurité, vos droits, cookies, mineurs, modifications, contact ...]

7.2 Mentions légales LCEN — extrait

MENTIONS LÉGALES

Hébergeur

Wix.com Ltd.
40 Namal Tel Aviv St., Tel Aviv 6350671, Israël
Décision d'adéquation UE 2011/61/UE applicable

[... sections propriété intellectuelle, limitation de responsabilité, droit applicable, contact ...]

7.3 Registre des traitements (Art. 30) — extrait

Traitement	Finalité	Base légale	Durée	Destinataires
Commande en ligne	Préparation, livraison, paiement	Art. 6.1.b (contrat)	3 ans	Équipe interne, Stripe
Newsletter	Promotion offres et événements	Art. 6.1.a (consentement)	Jusqu'au retrait	Mailchimp
Facturation	Comptabilité, obligations fiscales	Art. 6.1.c (obligation légale)	10 ans	Expert-comptable
Mesure audience	Statistiques anonymes du site	Art. 6.1.f (intérêt légitime)	13 mois	Google Analytics 4

[... fichier Excel complet livré dans le Kit Conformité Interne, éditable et personnalisable ...]

7.4 Page de gestion des cookies — extrait

GESTION DES COOKIES

Notre site utilise les catégories de cookies suivantes. Vous pouvez à tout moment modifier vos préférences via le bouton « Gérer mes cookies » en bas de page.

Cookie	Émetteur	Finalité	Durée	Consentement
session_id	Wix	Session technique (panier)	Session	Exempté Art. 82 LIL
_ga, _ga_X1Y2Z3	Google Analytics	Mesure d'audience	13 mois	Requis ✓
_fbp	Meta (Facebook)	Retargeting publicitaire	3 mois	Requis ✓
stripe_session	Stripe	Paiement sécurisé	Session	Exempté Art. 82 LIL

SECTION 8

Kit Conformité Interne

En plus des 4 modèles publiables ci-dessus, votre espace client contient un Kit Conformité Interne de 4 documents pré-rédigés et éditables :

📄

Contrat de sous-traitance Art. 28

Modèle prêt à signer avec vos prestataires (hébergeur, plateforme de paiement, livraison). Conforme aux exigences de la CNIL.

🚨

Procédure violation 72h (Art. 33-34)

Procédure formalisée à activer en cas de fuite de données. Identifie qui appeler, comment notifier la CNIL et vos clients.

✉️

13 templates emails droits Art. 15-22

Réponses pré-rédigées pour chaque type de demande client (accès, rectification, effacement, portabilité, opposition).

📊

Registre Excel éditable

Le registre Art. 30 au format Excel, avec 33 exemples sectoriels pré-remplis à adapter à votre activité réelle.

SECTION 9

Checklist de mise en œuvre

J+1 — Installer Axeptio (CMP gratuite Wix App Market) J+1 — Configurer Axeptio : bloquer GA + Meta Pixel jusqu'au consentement J+3 — Publier Politique de confidentialité (modèle 7.1) J+5 — Compléter Mentions légales (modèle 7.2 — 4 champs) J+7 — Ajouter case consentement sur formulaire commande J+10 — Décocher opt-in newsletter par défaut J+15 — Compléter Registre Art. 30 (Kit Excel) J+20 — Activer Procédure violation 72h (Kit Word) J+30 — Re-scanner le site (gratuit, illimité) pour vérifier le score

SECTION 10

Conclusion et limites

Le Café Voyageur présente un profil de risque élevé mais corrigible. Les 8 écarts identifiés peuvent être résolus en 30 jours pour un coût compris entre 0 € et 150 €. Une fois ces actions menées, le score devrait passer de 38/100 à 95+/100.

Ce rapport est un audit opérationnel automatisé. Il ne constitue pas un conseil juridique. Les modèles fournis doivent être adaptés à votre situation réelle et, pour les cas complexes (vidéosurveillance en cuisine, sous-traitance avec une nouvelle plateforme, contrôle CNIL en cours), une consultation avec un avocat spécialisé RGPD ou un DPO certifié reste recommandée.

Audit réalisé par ScanRGPD.fr · 29 mai 2026 · Re-scans gratuits illimités pendant 12 mois depuis votre espace client.

↑ Fin du rapport fictif

Prêt à recevoir votre rapport ?

Le vôtre sera personnalisé avec vos vraies données et vos vrais sous-traitants détectés.

Scanner mon site gratuitement →