Conformité & RGPD

Comment auditer la conformité RGPD de son site internet en 2026

Avoir posé un bandeau cookies ne prouve rien. La conformité RGPD d'un site se constate dans le navigateur : ce qui se déclenche avant le moindre clic, et ce qui se passe vraiment quand on refuse. Voici comment auditer votre site — à la main, puis en 90 secondes.

Fred Gaveau28 juin 2026~9 min de lecture

La plupart des sites que l'on audite affichent un bandeau et se croient en règle. Pourtant, dans une majorité de cas, des traceurs — Google Analytics, Meta Pixel, retargeting — se déclenchent avant que le visiteur ait cliqué quoi que ce soit, ou continuent de tourner après un refus. Le bandeau rassure, mais ne bloque rien. Un audit RGPD sert exactement à mesurer cet écart entre ce que vous croyez et ce que votre site fait réellement.

Ce qu'un audit RGPD vérifie vraiment

Un audit utile ne lit pas vos mentions légales : il observe le comportement technique de la page. Les points à contrôler :

Traceurs avant consentement — quels cookies et scripts se déclenchent au chargement, avant toute action du visiteur.
Effectivité du refus — après un clic « Refuser », les traceurs marketing s'arrêtent-ils vraiment, ou seul le bandeau disparaît ?
Transferts hors UE — vers quels serveurs et CDN les données partent (souvent les États-Unis, sans garantie).
Bandeau de consentement — présence, et surtout symétrie « Accepter » / « Refuser ».
Google Consent Mode v2 — correctement configuré, ou en mode « accordé par défaut » ?
Traceurs masqués (CNAME cloaking) — des mouchards déguisés en sous-domaine first-party.

C'est précisément ce que liste notre audit RGPD gratuit : il charge votre page comme un vrai visiteur et déroule trois phases — avant consentement, après acceptation, après refus.

La méthode manuelle : 10 minutes avec les DevTools

Vous pouvez faire un premier constat vous-même, sans outil. Ouvrez votre site en navigation privée, puis les outils de développement du navigateur (touche F12) :

Onglet « Application » → Cookies : rechargez la page sans toucher au bandeau. Tout cookie autre que ceux strictement nécessaires (panier, session, sécurité, le cookie de consentement lui-même) ne devrait pas être là.
Onglet « Network » : repérez les domaines tiers. Voyez-vous des appels vers google-analytics.com, facebook.net ou doubleclick.net avant votre clic ? C'est un écart.
Cliquez « Refuser », puis rechargez : les mêmes appels reviennent-ils ? Si oui, votre refus n'est pas effectif.

Cette méthode est fiable mais fastidieuse, et elle rate les traceurs masqués par CNAME cloaking ou ceux déclenchés en différé. D'où l'intérêt d'un scan automatique.

À retenir

La conformité ne se lit pas dans une politique de confidentialité : elle se constate dans le navigateur, avant le clic et après un refus. Si un traceur marketing s'exécute dans l'une de ces deux phases, vous avez un écart à corriger.

La méthode automatique : 90 secondes

Notre outil rejoue ces trois phases pour vous et produit un rapport lisible : écarts observés, traceurs détectés, transferts hors UE, état du bandeau, Consent Mode. Il est gratuit, sans inscription, et ne conserve aucun rapport (tout vit au plus deux minutes en mémoire vive, depuis la France).

Lancez l'audit RGPD de votre site →

Lire le résultat : les écarts les plus fréquents

Quatre constats reviennent presque toujours :

Analytics avant consentement — Google Analytics chargé au premier rendu. C'est l'écart n°1 ; voir aussi notre article sur le coût SEO du bandeau cookie.
Refus inopérant — le bandeau se ferme mais les pixels continuent. Sur Shopify, c'est quasi systématique : comment le prouver en cinq minutes.
Pixels publicitaires — Meta, TikTok, Google Ads, souvent posés par un tag manager.
Dépendances hors UE — CDN et polices hébergés aux États-Unis, qui exposent l'IP de vos visiteurs.

Corriger : par où commencer

La logique n'est pas de « mieux demander le consentement », mais de réduire ce qui le rend nécessaire. Trois principes :

Séparez les usages : la mesure d'audience d'un côté, le marketing de l'autre. Un outil de mesure qui ne lit ni n'écrit rien sur le terminal ne déclenche pas l'obligation de consentement (article 5(3) de la directive ePrivacy, article 82 de la loi Informatique et Libertés).
Bloquez avant le clic : aucun traceur non essentiel ne doit s'exécuter tant que le visiteur n'a pas accepté, et un refus doit réellement les couper.
Choisissez des outils qui n'ouvrent pas le débat : un analytics sans cookie ni identifiant persistant retire la mesure d'audience de l'équation du consentement. C'est l'approche de Snorklee — sans bandeau, sans cookie.

Un audit est un constat technique indicatif, pas un avis juridique : il peut comporter des faux positifs. Pour une décision, faites valider par un DPO ou un juriste.

Au-delà du RGPD : la souveraineté

Être « conforme » ne dit rien de l'endroit où partent vos données. Un site peut respecter le RGPD tout en dépendant entièrement de services américains. Pour cartographier ces dépendances, complétez l'audit RGPD par notre checker de souveraineté : il révèle quels tiers exposent vos visiteurs hors UE et propose des alternatives européennes.

En clair

Auditer son site, ce n'est pas relire ses CGU : c'est ouvrir le navigateur et regarder ce qui se déclenche avant le clic et après un refus. Faites-le à la main pour comprendre, puis automatisez-le pour le suivre dans le temps.

Auditez gratuitement la conformité RGPD de votre site →

FAQ

Comment auditer la conformité RGPD de son site ?
Ouvrez votre site en navigation privée et inspectez, dans les DevTools, les cookies et requêtes réseau déclenchés avant tout clic et après un refus : seuls les éléments strictement nécessaires doivent apparaître. Un outil d'audit automatise ce constat sur les trois phases (avant consentement, après acceptation, après refus).

L'audit RGPD est-il gratuit ?
Oui. L'audit de Snorklee est 100 % gratuit, sans inscription, et affiche un rapport en environ 90 secondes. Aucun rapport n'est conservé : il vit au plus deux minutes en mémoire vive puis est effacé.

Un bandeau cookies suffit-il à être conforme ?
Non. Un bandeau qui n'empêche pas les traceurs de se déclencher avant le clic — ou qui ne les coupe pas après un refus — ne rend pas conforme. La conformité se constate dans le comportement technique de la page, pas dans la présence d'un bandeau.

Que vérifie un audit RGPD de site internet ?
Les traceurs déposés avant consentement, l'effectivité du refus, les transferts de données hors UE, la présence et la symétrie du bandeau, la configuration de Google Consent Mode v2 et les traceurs masqués par CNAME cloaking.

Publié en juin 2026. Cadre juridique : article 5(3) de la directive 2002/58/CE (ePrivacy) et article 82 de la loi Informatique et Libertés — information générale, pas un conseil juridique individualisé. Un audit automatisé est indicatif et peut comporter des faux positifs ou des faux négatifs.