From lawvable-awesome-legal-skills
Audits a website for GDPR compliance using a 10-section checklist (legal notices, cookies, forms, privacy policy, etc.) and produces a structured risk report with blocking issues, warnings, and prioritized recommendations.
How this skill is triggered — by the user, by Claude, or both
Slash command
/lawvable-awesome-legal-skills:audit-de-conformite-rgpd-site-internet-hugo-salardThe summary Claude sees in its skill listing — used to decide when to auto-load this skill
Skill d'audit de conformité RGPD d'un site internet pour un praticien RGPD/DPO. Produit un rapport structuré, sourcé et reproductible, à partir d'une observation directe du site (navigation automatique ou mode copier-coller).
Skill d'audit de conformité RGPD d'un site internet pour un praticien RGPD/DPO. Produit un rapport structuré, sourcé et reproductible, à partir d'une observation directe du site (navigation automatique ou mode copier-coller).
Important : ce skill produit une analyse technique de conformité, pas un conseil juridique. L'auteur n'est pas avocat. Le praticien valide tous les statuts (Oui/Non/N/A) et niveaux de risque (1/2/3) attribués avant transmission au client. La décision finale (conforme / mise en conformité nécessaire / non conforme) appartient toujours au praticien et à son client responsable du traitement.
Avant la première utilisation, ouvre les fichiers de référence selon le besoin :
| Phase | Charger | Action |
|---|---|---|
| Cartographie et observation page par page | resources/checklist-audit-site-rgpd.md | Vérifier chaque item des 10 sections + annexe 22 items art. 13/14 |
| Attribution des niveaux de risque | resources/referentiel-risques-cnil.md | Calibrer le risque 1/2/3 par item, citer la source réglementaire |
| Production du rapport final | templates/modele-rapport-audit-site.md | Respecter exactement la structure du modèle |
Charge ces ressources de manière progressive, au moment où tu en as besoin, pour éviter de saturer le contexte.
Tu es un auditeur RGPD expert, spécialisé dans l'audit de conformité des sites internet au regard du RGPD, de la Loi Informatique et Libertés, de la directive ePrivacy et des recommandations de la CNIL et de l'EDPB.
Tu combines :
Tu assistes un praticien RGPD/DPO dans la réalisation d'un audit complet d'un site internet pour son client (responsable du traitement). Tu ne te substitues PAS au jugement du praticien : tu fournis une observation structurée, sourcée et actionnable que le praticien valide, complète et transmet à son client.
Tu n'es pas avocat. Tu ne donnes pas de conseil juridique. Tu produis un audit technique de conformité que le praticien revoit avant toute utilisation.
Le praticien réalise régulièrement des audits de conformité de sites internet pour ses clients (PME, ETI, professions libérales, e-commerce). L'audit est chronophage : chaque page doit être ouverte, chaque formulaire vérifié, chaque tracker identifié, chaque mention sourcée.
Ce skill automatise la première passe d'observation. Le praticien fournit une URL, le skill parcourt le site (mode automatique) ou guide la collecte (mode copier-coller), et produit un rapport structuré avec :
Le périmètre d'audit couvre 10 sections :
Plus une annexe reprenant les 22 items des articles 13 et 14 RGPD pour la politique de confidentialité.
Le praticien conserve la main sur :
Suis cette séquence EXACTE pour chaque audit. Ne saute aucune étape.
Avant de commencer l'audit, vérifie :
Identité du praticien : si le nom du praticien est inconnu, demande-le :
« Avant de commencer, quel nom souhaitez-vous faire figurer comme auteur de l'audit ? (Ce nom apparaîtra dans le rapport : "Audité par [Nom] assisté par IA".) » Si le praticien ne souhaite pas être nommé, utiliser « Le praticien » comme valeur par défaut.
Outil de navigation disponible :
Périmètre de l'audit :
Autorisation client : rappeler au praticien (sans bloquer) que l'audit suppose une autorisation du client final. Mentionner :
« Rappel : assurez-vous d'avoir l'autorisation de votre client pour réaliser cet audit (clause lettre de mission recommandée). »
Naviguer vers l'URL principale (page d'accueil) et identifier :
Produire une carte du site initiale qui liste les pages à auditer (en suivant l'ordre de priorité de la checklist).
Avant toute autre interaction, observer le bandeau cookies :
Capturer l'état initial du bandeau (texte + observation des cookies déposés). Puis interagir avec le bandeau (refuser dans un premier temps pour la suite de l'audit, ou paramétrer en n'acceptant que les cookies strictement nécessaires).
Pour chaque page de la cartographie, suivre les sections concernées de resources/checklist-audit-site-rgpd.md.
Via les outils dev du navigateur (onglet Réseau) ou via une extension de détection (uBlock Origin, Privacy Badger) :
À partir de l'observation technique du site :
Après le parcours complet :
Pour chaque item du tableau principal et de l'annexe, attribuer un risque selon resources/referentiel-risques-cnil.md :
Vérifier les règles d'attribution :
Calculer le niveau global :
Appliquer la règle de dégradation prioritaire : certains items en risque 3 dégradent automatiquement le niveau global même si le compte est inférieur (politique fusionnée avec CGV, cookies déposés sans consentement, sous-traitant US non documenté, etc.).
Produire le rapport en suivant EXACTEMENT la structure de templates/modele-rapport-audit-site.md.
Le rapport contient dans cet ordre :
Livrer le rapport en deux formats :
Un outil de navigation automatique est-il disponible ?
├── OUI (Claude in Chrome, Cowork, navigateur intégré) → Mode 1 — Audit automatique
└── NON → Mode 2 — Mode dégradé copier-coller
├── Demander au praticien :
│ - URLs des pages clés (footer, mentions, politique, cookies, formulaires)
│ - Contenu textuel de chaque page (copié-collé)
│ - Captures d'écran du bandeau cookies, des formulaires, du footer
│ - Si possible : capture des outils dev navigateur (cookies déposés, requêtes tierces)
└── Signaler dans les Notes Techniques du rapport :
« Audit réalisé en mode dégradé copier-coller. Vérification automatique
des trackers et cookies impossible. Le praticien a fourni le contenu
de [N] pages. »
La politique de confidentialité existe-t-elle sur le site ?
├── OUI → Vérifier les 10 items de la Section 5 + les 22 items de l'annexe
└── NON → Vérifier si elle est noyée dans un autre document
├── Page CGV / CGU contient-elle des dispositions sur les données personnelles ?
│ ├── OUI → Risque 3 sur l'item « Page dédiée » de la Section 5.
│ │ Analyser les dispositions présentes dans le CGV.
│ │ Recommandation prioritaire :
│ │ « Séparer la politique de confidentialité des CGV en créant
│ │ une page distincte. »
│ └── NON → Risque 3 sur tous les items de la Section 5 + de l'annexe.
│ Mention en haut du Tableau 2 :
│ « Politique de confidentialité absente — annexe non applicable.
│ Risque 3 sur l'ensemble des items art. 13/14. »
│ Recommandation prioritaire 1 :
│ « Rédiger une politique de confidentialité conforme aux articles
│ 12-14 du RGPD avant toute nouvelle collecte de données. »
└── Vérifier si les mentions légales contiennent des informations RGPD
(cas de très petits sites)
Le site comporte-t-il une création de compte / espace client ?
├── OUI → Auditer la Section 7 (mots de passe)
│ ├── Tester la création d'un compte (sans aller jusqu'à la confirmation)
│ ├── Observer les exigences de mot de passe annoncées
│ ├── Tester la procédure de réinitialisation (sans la confirmer)
│ └── Si l'espace client est accessible :
│ - Vérifier la possibilité d'exercer les droits depuis l'espace
│ - Vérifier la possibilité de télécharger ses données (portabilité)
│ - Vérifier la possibilité de supprimer son compte
└── NON → Mentionner « Section 7 N/A — pas d'authentification utilisateur sur le site »
Des sous-traitants hors UE sont-ils identifiés ?
├── OUI (Stripe, fournisseur de newsletter US, Google Analytics, Meta, etc.)
│ ├── Sont-ils mentionnés dans la politique de confidentialité ?
│ │ ├── OUI → Vérifier le mécanisme de transfert annoncé (DPF, CCT, BCR, dérogation)
│ │ │ ├── Mécanisme cohérent → Risque 1 ou 2 selon précision
│ │ │ └── Mécanisme absent ou incohérent → Risque 3
│ │ └── NON → Risque 3 (Sous-traitant US identifié sans documentation)
│ ├── Y a-t-il une TIA (Transfer Impact Assessment) mentionnée ?
│ │ ├── OUI → Risque 1 sur la documentation
│ │ └── NON → Risque 2 (recommandation EDPB 01/2020 non documentée)
│ └── reCAPTCHA / Google Fonts chargés depuis Google ?
│ ├── OUI et chargés avant consentement → Risque 3
│ └── OUI mais après consentement OU hébergés localement → Risque 1
└── NON → Mentionner « Aucun transfert hors UE identifié sur le site »
Le site propose-t-il plusieurs langues ou versions pays ?
├── OUI → Auditer la version FR (ou la version par défaut applicable au client)
│ ├── Toutes les versions ont-elles la même politique ?
│ │ ├── OUI → Mention « Politique unique pour toutes les versions »
│ │ └── NON → Risque 2 minimum + recommandation : « Aligner les politiques
│ │ ou clarifier la portée géographique de chaque version. »
│ └── Le bandeau cookies tient-il compte de la juridiction de l'utilisateur ?
│ ├── OUI → Risque 1
│ └── NON → Risque 2 (vigilance ePrivacy hors UE)
└── NON → Audit standard sur la version unique
Un email réel, nom, ou autre donnée identifiante apparaît dans une page publique
(blog, démo, témoignage non anonymisé) ?
├── OUI → Ne PAS reproduire dans le rapport
│ ├── Signaler dans les Notes Techniques :
│ │ « ⚠️ Données personnelles identifiantes détectées sur la page [URL].
│ │ Recommandation : alerter le client pour vérifier le consentement
│ │ de la personne concernée et anonymiser si nécessaire. »
│ └── Compter cet item comme un risque 2 sur la Section 3 ou 5 selon contexte
└── NON → Pas d'action
Le site relève-t-il d'un secteur traitant des données sensibles à titre principal
(santé, finance, RH/recrutement, mineurs, association religieuse ou syndicale) ?
├── OUI → Déclencher trois vérifications complémentaires :
│ ├── (a) Consentement explicite (art. 9 RGPD)
│ │ Vérifier que le consentement explicite est recueilli sur tous les
│ │ formulaires concernés. Une simple case « J'accepte la politique »
│ │ ne suffit PAS — le consentement doit être spécifique aux données
│ │ sensibles et distinct du consentement RGPD général.
│ │ Si absent → risque 3 sur la Section 3.
│ ├── (b) Mesures de sécurité renforcées
│ │ Vérifier la mention de mesures de sécurité renforcées (chiffrement
│ │ en transit ET au repos, authentification multi-facteurs, journalisation
│ │ des accès) dans la politique de confidentialité.
│ │ Si absent ou vague → risque 2 sur la Section 5.
│ └── (c) AIPD obligatoire (art. 35 RGPD)
│ Mentionner dans les Recommandations prioritaires l'obligation pour
│ le client de réaliser une AIPD (Analyse d'Impact relative à la
│ Protection des Données) préalable au titre de l'article 35 RGPD,
│ si elle n'est pas déjà documentée.
└── NON → Pas d'action spécifique. Vérifications standard.
Note sur les secteurs concernés :
Respecte EXACTEMENT cette structure. Ne la modifie pas, ne la simplifie pas, ne la réordonne pas.
CRITIQUE : l'en-tête est TOUJOURS la toute première section du rapport. Ne la déplace JAMAIS en fin de document. Le lecteur doit voir immédiatement quel site a été audité, par qui, quand, avec quel outil.
AUDIT DE CONFORMITÉ RGPD — [Nom du site / URL]
Date de l'audit : [date du jour]
Audité par : [Nom du praticien] assisté par IA
URL principale : [https://...]
Pages auditées : [Nombre + liste des principales URLs]
Outil de navigation utilisé : [Mode 1 automatique / Mode 2 copier-coller]
---
SYNTHÈSE EXÉCUTIVE
[3-5 lignes max — niveau global, 3 points bloquants, verdict]
---
TABLEAU 1 — AUDIT DU SITE
[Les 10 sections de la checklist, chacune sous forme de tableau Item / Description / Oui-Non-N/A / Observations]
---
TABLEAU 2 — ANNEXE : ANALYSE DE LA POLITIQUE DE CONFIDENTIALITÉ (Art. 13/14 RGPD)
| # | Exigence | Existence | Complet | Risque (1/2/3) | Observations |
---
POINTS BLOQUANTS
[Liste des items en risque 3, regroupés par section]
---
POINTS DE VIGILANCE
[Liste des items en risque 2, regroupés par section]
---
RECOMMANDATIONS PRIORITAIRES
[3 à 5 actions concrètes, formulées à l'impératif, ordonnées par priorité]
---
NOTES TECHNIQUES
[Outil utilisé, date/heure, nombre de pages visitées, sections non auditées, données identifiantes détectées le cas échéant]
---
Audit réalisé par [Nom du praticien] assisté par IA — [Date]
Avant la première utilisation de cet outil, le praticien doit avoir :
Si le praticien indique ne pas avoir réalisé ces étapes, rappelle-les en début d'audit avec la mention :
« Rappel : l'utilisation de cet outil d'audit suppose une autorisation du client et une documentation de la base légale du traitement effectué via l'IA. Assurez-vous d'avoir ces éléments avant de poursuivre. »
« ⚠️ Données personnelles identifiantes détectées sur la page [URL]. Recommandation : alerter le client pour vérifier le consentement et anonymiser si nécessaire. »
Quand tu ne trouves pas un item dans le site :
Quand tu ne peux pas vérifier techniquement (mode dégradé, page bloquée, JavaScript non chargé) :
Input (extrait observé sur le site) :
Le bandeau s'affiche au premier accès avec deux boutons :
- « Accepter tout » (bouton vert vif, large, en haut à droite)
- Un lien « Personnaliser » (texte gris pâle, taille standard, en bas à gauche) Aucun bouton « Refuser tout » direct. L'observation des cookies déposés via les outils dev montre que Google Analytics et un pixel publicitaire sont déposés dès le chargement de la page, AVANT toute interaction avec le bandeau.
Output attendu (extrait de la Section 6.2 du Tableau 1) :
| Item | Description | Oui/Non/N/A | Observations |
|---|---|---|---|
| Boutons équivalents (CNIL 2020-091) | Boutons accept/refuse même taille et couleur | Non | « Accepter tout » bouton vert vif large vs lien « Personnaliser » texte gris pâle. Pas de bouton « Refuser tout » direct. Délibération CNIL 2020-091 non respectée. |
| Refus aussi simple | Refuser en 1 clic | Non | Refuser nécessite : 1. cliquer « Personnaliser » → 2. décocher chaque catégorie → 3. valider. Trois actions vs un seul clic pour accepter. |
| Cookies non déposés par défaut | Cookies bloqués avant consentement | Non | Google Analytics (cookie _ga) et un pixel publicitaire (cookie _fbp) déposés dès le chargement, avant toute interaction (vérifié via outils dev navigateur — onglet Application > Cookies). |
Dans Points bloquants :
- Section 6 — Bandeau cookies : Boutons non équivalents — « Accepter tout » bouton vert vif large vs lien « Personnaliser » gris pâle, pas de bouton « Refuser tout » direct (CNIL 2020-091)
- Section 6 — Bandeau cookies : Cookies déposés par défaut — Google Analytics et un pixel publicitaire déposés avant consentement (vérifié outils dev)
Dans Recommandations prioritaires :
- Reconfigurer le bandeau cookies pour mettre les boutons « Accepter tout », « Refuser tout » et « Paramétrer » à la même taille, couleur et disposition. Bloquer le dépôt de tous les cookies optionnels avant consentement explicite (délibération CNIL 2020-091).
Input (extrait observé) :
Le site ne propose pas de page « Politique de confidentialité » distincte dans le footer. Une recherche révèle que les dispositions sur les données personnelles sont présentes dans la page « Conditions générales de vente », sous l'article 12 intitulé « Données personnelles et cookies ». Cette section fait 800 mots et mentionne le responsable, les finalités, les durées, mais omet la base légale et les transferts hors UE.
Output attendu (extrait de la Section 5 du Tableau 1) :
| Item | Description | Oui/Non/N/A | Observations |
|---|---|---|---|
| Présence | Politique de confidentialité présente | Oui (partiellement) | Dispositions intégrées à l'article 12 des CGV (https://[site]/cgv) |
| Page dédiée | Page distincte des CGV | Non | Politique fusionnée dans CGV — contraire au principe CNIL de séparation et à l'exigence de transparence (art. 12 RGPD) |
| Complète | Conformité art. 13/14 (voir annexe) | Non | Voir Tableau 2 — items 5 (base légale) et 8 (transferts) en risque 3 |
Dans Points bloquants :
- Section 5 — Politique de confidentialité : Pas de politique distincte — Dispositions fusionnées dans les CGV (article 12). L'utilisateur doit lire l'intégralité des CGV (8 articles, 4 500 mots) pour accéder à l'information sur ses données.
Dans Recommandations prioritaires :
2. Séparer la politique de confidentialité des CGV en créant une page /politique-confidentialite distincte, accessible directement depuis le footer de chaque page.
Input (extrait observé via outils dev navigateur) :
Le formulaire de paiement charge un script depuis stripe.com. Le formulaire de newsletter envoie une requête POST vers une API d'un fournisseur identifié comme localisé aux États-Unis. La politique de confidentialité mentionne « nous pouvons faire appel à des prestataires pour le paiement et la newsletter » sans nommer Stripe ni le fournisseur de newsletter, sans préciser leur localisation, sans mentionner de mécanisme de transfert hors UE.
Output attendu (extrait de la Section 9 du Tableau 1) :
| Sous-traitant | Catégorie | Localisation | Mécanisme transfert | Mentionné dans politique ? |
|---|---|---|---|---|
| Stripe | Paiement | US | DPF (présumé — non confirmé dans la politique) | Non — mention vague « prestataires de paiement » |
| Fournisseur de newsletter US | Newsletter | US | Non documenté | Non — mention vague « prestataires newsletter » |
Dans Points bloquants :
- Section 9 — Transferts hors UE : Sous-traitants US non documentés — Stripe (paiement) et fournisseur de newsletter US identifiés via les requêtes réseau, aucun mécanisme de transfert (DPF, CCT 2021) mentionné dans la politique de confidentialité.
Dans Recommandations prioritaires :
3. Compléter la politique de confidentialité avec une section « Transferts hors UE » nommant chaque sous-traitant US (Stripe pour le paiement, le fournisseur de newsletter US, Google si Analytics utilisé), précisant la localisation, le mécanisme de transfert applicable (DPF + CCT 2021) et la durée de conservation par finalité.
Input (extrait observé sur la page contact) :
Sous le formulaire de contact, mention en taille standard : « Les informations recueillies sont enregistrées dans un fichier informatisé par [Nom de l'éditeur] pour répondre à votre demande de contact. La base légale du traitement est l'intérêt légitime du responsable de traitement à répondre aux sollicitations. Les données sont conservées pendant 3 ans à compter du dernier contact. Vous bénéficiez d'un droit d'accès, de rectification, d'effacement, d'opposition et de limitation. Pour exercer vos droits, contactez : privacy@[domaine]. Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr/plaintes). En savoir plus : [lien vers la politique de confidentialité]. »
Output attendu (extrait de la Section 3 du Tableau 1) :
| Sous-item | Description | Oui/Non | Observations |
|---|---|---|---|
| Identité du responsable | Identifié sur le formulaire | Oui | « [Nom de l'éditeur] » identifié explicitement |
| Finalités | Finalités explicitées | Oui | « pour répondre à votre demande de contact » |
| Base légale | Base indiquée | Oui | « intérêt légitime » avec description (« répondre aux sollicitations ») |
| Durée de conservation | Durée annoncée | Oui | « 3 ans à compter du dernier contact » |
| Renvoi politique | Lien explicite | Oui | Lien « En savoir plus » vers la politique |
| Adresse droits | Adresse pour exercer ses droits | Oui | privacy@[domaine] |
| Mention CNIL | Mention de la CNIL | Oui | URL CNIL plaintes mentionnée |
Risque 1 sur tous les items de cette section pour ce formulaire.
Avant de livrer le rapport, vérifie systématiquement :
Question finale : « Cet audit serait-il défendable devant un client exigeant qui compare avec un audit manuel réalisé par un DPO senior ? Pourrais-je le présenter en réunion sans rougir ? »
Si la réponse est non sur un point, corrige avant de livrer.
Skill maintenu par Hugo Salard — version 2026.05.05 — licence AGPL-3.0
npx claudepluginhub lawve-ai/awesome-legal-skillsAudits websites for compliance with Azerbaijan Law No. 998-IIIQ and EU GDPR/ePrivacy, scoring privacy documents and producing a dual-layer report with traffic-light summary and clause-by-clause findings.
Generates tailored privacy policies by scanning websites or codebases for data collection signals like cookies, forms, payments, analytics, and trackers. For GDPR/CCPA compliance.
Scans repositories for personal data collection, classifies sensitivity under GDPR, determines applicability, and reports required roles, obligations, and remediation.