What is a GDPR compliance audit?

A GDPR compliance audit is a systematic review of how your organization processes personal data, assessing compliance with GDPR requirements including Article 32 security measures, data subject rights, consent management, and data processing agreements.

How much does a security audit cost?

Our security audits start with a free initial assessment. Comprehensive GDPR compliance audits and penetration testing packages are priced based on scope, infrastructure size, and complexity. Contact us for a customized quote.

What is the GDPR fine for non-compliance?

GDPR fines can reach up to 4% of annual global turnover or €20 million, whichever is higher. Our compliance audits help identify and fix gaps before regulators do, protecting your business from these substantial penalties.

How long does a GDPR compliance audit take?

A standard GDPR compliance audit takes 2-4 weeks depending on the size and complexity of your organization. We provide a detailed report with findings, risk ratings, and remediation steps.

Do you offer ongoing security monitoring?

Yes, we provide 24/7 continuous security monitoring with real-time alerts for threats, vulnerabilities, and compliance drift. Our monitoring platform scans your infrastructure continuously and notifies you immediately of any issues.

Hub

Excellence RGPD

Alignement avec les exigences de sécurité de l'article 32

Liste de contrôle de conformité GA4

Aucun tracker préalable

Aucune transmission de données

gtag.js chargé uniquement sur consentement

Pas de violation d'AVV

Protocole d'audit Zero-State GA4

Méthodologie technique pour vérifier que la porte de consentement aux cookies empêche la collecte non autorisée de données. Inclut les modèles de surveillance réseau, la validation de la console et l'analyse de bibliothèque.

Guide de surveillance réseau

Surveillez l'onglet Réseau des DevTools pour les demandes non autorisées. Recherchez : collect?v=2, config/update, gtm.js avant consentement, POST vers google-analytics.com/g/collect, transmission gtag. Avant le clic Accepter constitue une violation RGPD.

Le test Zero-State

Étape 1 : Ouvrir une fenêtre Incognito/Privée. Étape 2 : Effacer toutes les données du site. Étape 3 : Désactiver toutes les extensions de navigateur. Étape 4 : Ouvrir l'onglet Réseau des DevTools. Étape 5 : Naviguer vers votre site web. Étape 6 : Vérifier ZERO demandes vers google-analytics.com ou googletagmanager.com. Étape 7 : Vérifier toutes les sous-ressources pour les scripts de suivi. Étape 8 : Documenter l'état initial par capture d'écran.

Commandes de console

Commande 1 : typeof gtag === undefined (doit être true avant consentement). Commande 2 : typeof ga === undefined (doit être true). Commande 3 : window.dataLayer === undefined || window.dataLayer.length === 0 (doit être vide avant consentement). Commande 4 : Object.keys(window).filter(k => k.includes("tag")).length === 0 (aucun objet tag avant consentement). Tout résultat false indique des violations.

Analyse Bibliothèque vs Beacon

CRITIQUE : Le chargement de gtag.js depuis le CDN Google transmet l'adresse IP du client à Google sans consentement. Les requêtes de récupération de script sont effectuées avant toute logique de consentement. Cela peut constituer une violation RGPD car les adresses IP sont des données personnelles selon le considérant 26. Approche de conformité : Utilisez Google Analytics via Measurement Protocol (POST beacons) uniquement après consentement explicite, ou utilisez des alternatives préservant la vie privée comme Plausible, Matomo, ou des analytics auto-hébergés avec anonymat IP activé.

Évaluation des fuites d'adresses IP

Le chargement de scripts depuis googletagmanager.com/gtag/js et google-analytics.com/analytics.js crée des requêtes DNS et handshakes TLS qui révèlent l'IP du client aux serveurs Google. Même sans déclencher d'événements, le simple chargement de ressources constitue une transmission de données. Audit : Vérifiez les requêtes initiales de l'onglet Réseau pour les chargements de fichiers gtag.js ou analytics.js. Vérifiez le timing : si chargé avant l'apparition de la bannière cookies = violation. Vérifiez DNS : les domaines pré-résolus indiquent un pré-chargement.

Liste de contrôle finale d'audit

Vérifier : gtag.js NON présent dans le DOM initial ; dataLayer est un tableau vide [] ; Aucune demande vers *.google-analytics.com dans les 5 premières secondes ; Aucune demande vers *.googletagmanager.com dans les 5 premières secondes ; La bannière cookies est le PREMIER élément interactif ; Aucun appel gtag() dans la source avant gestion du consentement ; Le callback de consentement injecte effectivement gtag.js (vérifier timing) ; L'option Refus termine immédiatement toutes les connexions GA ; Le refus de cookies efface tous les cookies définis ; L'AVV inclut Google comme sous-traitant ; L'adresse IP n'est pas transmise dans les demandes préalables au consentement ; Les POST beacons ne se déclenchent qu'après opt-in explicite ; Les données mesurables ne contiennent aucune donnée personnelle avant consentement.

Lire l'article 32