Comment ça marche

Méthodologie & périmètre.

5 minutes de votre temps, tout le reste est automatisé. Et avant d'acheter, le détail exact de ce que vous obtenez.

Une méthode en 3 étapes, de la commande à la livraison.
Pas de rendez-vous, pas de questionnaire interminable. 5 minutes de votre temps, et tout le reste est automatisé.
ÉTAPE 01

Pré-diagnostic + contexte

Vous collez l'URL de votre site et précisez votre activité (et vos outils Mailchimp, Stripe, GA…) directement depuis la page d'accueil. Aucune installation, aucune inscription. Notre moteur ouvre un navigateur émulé (Puppeteer) et commence l'analyse en moins d'une seconde.

ÉTAPE 02

Scan Argus en 60 secondes

Le moteur Argus v2.8 exécute en parallèle : Consent Bypass Test (clic Refuser émulé + interception réseau), Server-Side Tracking (résolution CNAME), audit DMA 2024 (paramètres gcd/gcs), headers OWASP, mentions LCEN, et cross-check INSEE/SIRENE.

ÉTAPE 03

Rapport horodaté + plan d'action

Rapport PDF 20-30 pages, constat technique horodaté (appui à la mission de contrôle du DPO, Art. 39 RGPD), 4 modèles juridiques pré-remplis avec vos vraies données INSEE, plan d'action J+1 / J+7 / J+30, et fiches Markdown pour devs (intégration Jira / GitHub). Livré sous 24h ouvrées.

⚡ MOTEUR ARGUS v2.8 · DIFFÉRENTIATEUR

Détections que 95 % des scanners ne font pas.

01

Consent Bypass Test

On clique réellement sur « Refuser tout » via un navigateur émulé (Puppeteer) et on intercepte les requêtes réseau. Si un tracker part après refus, on le détecte. Aucun scanner classique (Cookiebot, Axeptio, Iubenda) ne fait ça.

02

Server-Side Tracking démasqué

On résout les chaînes CNAME des sous-domaines (metrics.client.fr*.cloudflare.com → GA). On détecte les conteneurs GTM Server-Side et les relais Meta CAPI que les annonceurs déploient pour contourner les bloqueurs.

03

Audit Consent Mode v2 / DMA 2024

On vérifie les paramètres gcd/gcs envoyés à Google. Si manquants, Google Ads rejette les conversions modélisées depuis mars 2024 — perte silencieuse de 30 à 60 % des données publicitaires.

04

Headers OWASP de sécurité

Au-delà de HTTPS, on vérifie HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, CSP. On signale les fuites de version (X-Powered-By: PHP/8.3.30 → fingerprinting serveur exploitable).

05

Bundles JS & trackers proxifiés

On télécharge et analyse les bundles JavaScript compilés, pas juste le HTML. On attrape Google Analytics et Meta Pixel même quand ils sont camouflés via Perfmatters, WP Rocket ou un plugin maison.

06

Cross-check INSEE/SIRENE

On extrait le SIREN/SIRET de vos mentions légales et on interroge l'API SIRENE officielle. On compare la forme juridique déclarée vs SIRENE (SASU vs SAS), le dirigeant publié, la raison sociale exacte. Détecte les mentions périmées.

07

Constat technique horodaté

Chaque rapport est horodaté (date et heure du scan) et accompagné d'une annexe « pièces probantes » (capture + journal réseau). Pour un DPO, c'est un élément de documentation de la conformité (principe d'accountability, Art. 5.2 RGPD) qui appuie sa mission de contrôle du respect du règlement (Art. 39 RGPD).

08

Audit contenu mentions / politique

On lit le contenu réel de vos mentions légales et politique de confidentialité, pas juste leur présence : SIRET, capital, hébergeur, durées, droits, DPO, sous-traitants, transferts hors UE, base légale. Vérifié champ par champ.

09

Embeds tiers (YouTube, Vimeo, Maps…)

On détecte les iframes YouTube, Vimeo, SoundCloud, Spotify, Twitter/X, Facebook, Instagram, TikTok, Google Maps. Un iframe youtube.com/embed charge des cookies tiers Google AVANT consentement — sanctionnable Art. 82 LIL. On distingue le mode privacy-friendly (youtube-nocookie.com, Vimeo ?dnt=1) du mode tracking. Référence : CJUE Fashion ID C-40/17 (2019).

10

Storage tracking (localStorage / IndexedDB)

L'angle mort n°1 du marketing privacy 2026. Avec la fin des cookies tiers Chrome 2025, les outils analytics migrent vers localStorage et IndexedDB — invisibles pour les CMPs basiques. On détecte 27 trackers (GA4, Meta Pixel, Klaviyo, HubSpot, Mixpanel, Amplitude, Segment, FullStory…) via leurs signatures Storage. Référence : CNIL délibération 2020-091 (les "traceurs" ne se limitent PAS aux cookies HTTP).

11

Session Replay & Error Tracking

On détecte 15 outils RUM : LogRocket, FullStory, Sentry Replay, Hotjar Recordings, Datadog RUM, New Relic Browser, Bugsnag, Raygun, Rollbar… Ces outils capturent vidéo de session + stack traces JS = risque massif de fuite emails / mots de passe / données bancaires saisies dans les formulaires. Cadre : Art. 82 LIL (accès au terminal soumis au consentement) — la CNIL a ouvert en 2025 une consultation publique sur les outils de suivi de navigation (session replay).

12

A/B testing & feature flags

L'oubli #1 du registre Art. 30 : Optimizely, VWO, AB Tasty, Adobe Target, Convert, Kameleoon, Crazy Egg, Mouseflow. La CMP du site bloque GA et Meta Pixel mais laisse tourner Optimizely → l'utilisateur a refusé les cookies mais le visitor_id A/B est écrit quand même = fail Art. 82 LIL. On détecte aussi les feature flags (LaunchDarkly, Statsig, GrowthBook).

13

Service Workers & Push Notifications

On audite les Service Workers enregistrés (tracking persistant qui survit au clear cookies) et les 10 services Push : OneSignal, Firebase Cloud Messaging, Pushwoosh, Airship, Iterable, Braze, WonderPush. Chaque push notification crée un endpoint UNIQUE par utilisateur = identifiant persistant tiers. Cadre : Art. 82 LIL + Art. 7 RGPD — consentement explicite préalable obligatoire avant toute activation.

Ce que cet audit fait — et ce qu'il ne fait pas.
Transparence totale sur le périmètre. Vous savez exactement ce que vous achetez.

✓ Inclus dans l'audit

  • Scan technique de votre site web (cookies, formulaires, trackers, headers, pages légales)
  • Analyse contextuelle de votre activité, vos outils, vos sous-traitants
  • Identification des écarts de conformité documentaire
  • Plan d'action priorisé en 3 phases (J+7, J+30, J+90)
  • Politique de confidentialité — modèle pré-rempli à adapter
  • Mentions légales — modèle pré-rempli à adapter (LCEN)
  • Registre des traitements — base à compléter (Art. 30 RGPD)
  • Citations des articles RGPD applicables et exemples de sanctions CNIL

✗ Hors périmètre — non inclus

  • Conseil juridique personnalisé (faire appel à un avocat ou DPO)
  • Représentation devant la CNIL en cas de contrôle
  • Analyse d'impact (AIPD) pour traitements à risque élevé
  • Audit des systèmes internes (CRM, RH, logiciel de caisse, ERP)
  • Mise en œuvre technique des recommandations sur votre site
  • Validation juridique de vos contrats de sous-traitance (DPA)
  • Garantie d'absence de sanction CNIL
  • Surveillance continue ou alertes en temps réel

Note importante : ScanRGPD.fr propose un audit opérationnel automatisé. Les livrables sont des modèles à adapter à votre activité réelle — ils ne constituent pas des actes juridiques personnalisés. Pour les situations complexes (santé, finance, transferts internationaux sensibles, contentieux), une consultation avec un conseil compétent reste recommandée.

Voir nos offres →Pré-diagnostic gratuit →