Ce que Leyzly détecte sur votre site

Plus de 30 contrôles automatisés alignés sur le RGPD, la LCEN et les lignes directrices cookies de la CNIL, chacun accompagné de sa référence légale et de sa solution concrète.

Cookies et consentement

Nous détectons les cookies tiers déposés dès la première visite, avant même que l'internaute n'ait interagi avec le bandeau. Déposer des cookies non strictement nécessaires sans consentement préalable est l'infraction la plus sanctionnée par la CNIL au titre de l'article 82 de la loi Informatique et Libertés.

Leyzly distingue les cookies strictement nécessaires (session, CSRF, langue, gestion du consentement) des cookies de mesure d'audience ou de marketing. Les lignes directrices cookies de la CNIL sont claires : seuls les premiers peuvent être déposés sans recueillir le consentement.

Pour chaque constat, nous indiquons précisément quel cookie a été déposé, son domaine, sa durée de vie et, lorsque c'est possible, quel fournisseur le place. Vous pouvez ainsi remonter directement au plugin ou au script responsable.

Pour être conforme, la pratique la plus courante consiste à déployer une plateforme de gestion du consentement (CMP) et à bloquer les scripts tant que l'internaute n'a pas donné un consentement granulaire, finalité par finalité.

Règles actives (10)

fr_cookies_consent_before_depositCRITICAL

Traceurs déposés avant le consentement

Des traceurs non essentiels sont déposés ou lus avant le recueil du consentement.

fr_cookies_consent_proof_missingHIGH

Preuve du consentement non assurée

Aucun mécanisme ne permet de prouver le recueil d'un consentement valable.

fr_cookies_info_insufficientHIGH

Information sur les traceurs insuffisante

L'utilisateur n'est pas informé de manière claire et complète avant le dépôt des traceurs.

fr_cookies_navigation_as_consentHIGH

Navigation traitée comme consentement

La poursuite de navigation ou le scroll est traité comme un consentement valable.

fr_cookies_reject_button_missingHIGH

Bouton « Tout refuser » absent

La bannière n'offre pas de bouton « Tout refuser » au même niveau et dans le même format que « Tout accepter ».

fr_cookies_reject_not_as_easyHIGH

Refuser n'est pas aussi simple qu'accepter

Refuser les traceurs nécessite plus d'efforts que de les accepter.

fr_cookies_duration_missingMEDIUM

Durées des cookies absentes

Les cookies sont listés sans indiquer leur durée de conservation.

fr_cookies_inventory_missingMEDIUM

Inventaire des cookies absent ou incomplet

L'inventaire des cookies (nom, finalité, responsable) est absent ou incomplet.

fr_cookies_third_party_unidentifiedMEDIUM

Cookies tiers non identifiés

Les cookies tiers ne sont pas identifiés (finalité/responsable).

fr_cookies_withdraw_not_as_easyMEDIUM

Retrait du consentement difficile

Retirer le consentement n'est pas aussi simple que de le donner.

Traceurs et pixels

Nous identifions les traceurs les plus répandus qui déclenchent des cookies ou des requêtes avant le consentement : Google Analytics, Google Tag Manager, Meta Pixel, Hotjar, Microsoft Clarity, DoubleClick, LinkedIn Insight Tag, TikTok Pixel et X/Twitter Analytics.

Chaque traceur déclenché avant le consentement génère un constat distinct, accompagné des preuves capturées dans le trafic réseau et le DOM. Vous pouvez ainsi prioriser les scripts à placer derrière le bandeau.

L'arrêt Planet49 (CJUE C-673/17) et les lignes directrices de la CNIL sont sans équivoque : le consentement doit être préalable, libre, spécifique, éclairé et univoque. Charger Google Analytics « anonymisé » avant le consentement reste une infraction.

Bandeau cookies CNIL

Nous vérifions la présence du bandeau dès le premier niveau d'information, l'équivalence visuelle entre les boutons « Accepter » et « Refuser », ainsi que la présence d'un bouton « Paramétrer » pour un choix granulaire.

Les lignes directrices cookies de la CNIL interdisent explicitement les dark patterns : refuser ne peut pas exiger plus de clics qu'accepter, ni être relégué à un second niveau, ni présenter un contraste moindre. Le simple défilement de la page ne vaut pas non plus consentement implicite.

Si le bandeau permet d'accepter toutes les finalités mais pas de les refuser aussi facilement, Leyzly le signale comme une infraction de sévérité élevée, car c'est l'un des schémas les plus sanctionnés.

Pages légales

Nous vérifions que votre site propose trois documents essentiels : les mentions légales (LCEN art. 6-III), la politique de confidentialité (RGPD art. 13 et 14) et la politique de cookies (lignes directrices CNIL).

Nous recherchons les liens dans le pied de page et dans les zones du DOM les plus courantes. Si le document existe, nous effectuons une requête HEAD pour nous assurer qu'il ne renvoie pas une erreur 404. S'il est absent ou renvoie une erreur, nous générons un constat critique avec la citation textuelle de l'article concerné.

Ces trois documents ne sont pas facultatifs. Les mentions légales s'imposent à tout prestataire de services de la société de l'information, même si votre site est purement informatif.

Règles actives (23)

fr_legal_mentions_missingCRITICAL

Mentions légales absentes

Le site ne publie pas de mentions légales conformes.

fr_privacy_identity_missingCRITICAL

Identité du responsable du traitement absente

La politique n'identifie pas le responsable du traitement ni ses coordonnées.

fr_terms_no_retractationCRITICAL

Droit de rétractation (14 jours) absent

Les CGV n'informent pas du droit de rétractation de 14 jours en vente à distance.

fr_legal_editor_identity_incompleteHIGH

Identité de l'éditeur incomplète

L'identification de l'éditeur (personne physique ou morale) est incomplète.

fr_legal_host_missingHIGH

Hébergeur non identifié

Les mentions légales n'identifient pas l'hébergeur (nom, adresse, téléphone).

fr_privacy_complaint_cnil_missingHIGH

Droit de réclamation auprès de la CNIL non mentionné

La politique n'informe pas du droit d'introduire une réclamation auprès de la CNIL.

fr_privacy_international_transfers_missingHIGH

Transferts hors UE non déclarés

Des prestataires hors UE sont utilisés mais la politique ne déclare pas le transfert.

fr_privacy_no_legal_basisHIGH

Aucune base juridique valable

Le traitement ne s'appuie sur aucune des bases juridiques de l'art. 6.1 RGPD.

fr_privacy_purposes_legal_basis_missingHIGH

Finalités ou base juridique non indiquées

Les finalités du traitement et/ou la base juridique ne sont pas clairement indiquées.

fr_terms_mediateur_missingHIGH

Médiateur de la consommation non indiqué

Les coordonnées du médiateur de la consommation compétent ne sont pas communiquées.

fr_terms_precontractual_info_missingHIGH

Information précontractuelle incomplète

En vente à distance, le bloc d'informations précontractuelles obligatoires (art. L221-5 C. conso.) est incomplet ou absent.

fr_terms_retractation_form_missingHIGH

Formulaire de rétractation non fourni

Les conditions, le délai et les modalités du droit de rétractation et le formulaire type ne sont pas fournis (art. L221-5, 7° C. conso.).

fr_privacy_dpo_missingLOW

Coordonnées du DPO absentes

Les coordonnées du délégué à la protection des données ne sont pas fournies lorsqu'un DPO est requis.

fr_privacy_outdatedLOW

Politique de confidentialité obsolète

Références à des normes abrogées ou « dernière mise à jour » de plus de 24 mois : l'information fournie à la personne concernée doit rester exacte et à jour.

fr_terms_outdatedLOW

CGV obsolètes

Références normatives obsolètes ou « dernière mise à jour » de plus de 24 mois : les informations précontractuelles doivent rester exactes et à jour.

fr_legal_director_missingMEDIUM

Directeur de la publication non indiqué

Le directeur (ou codirecteur) de la publication n'est pas indiqué.

fr_legal_rcs_missingMEDIUM

Mention RCS absente

Société immatriculée sans mention « RCS [ville] » ni numéro SIREN sur le site.

fr_privacy_consent_withdrawal_missingMEDIUM

Retrait du consentement non mentionné

La possibilité de retirer le consentement, aussi simplement que de le donner, n'est pas mentionnée.

fr_privacy_contradiction_internalMEDIUM

Contradiction interne dans la politique

Le document se contredit (p. ex. durées ou finalités divergentes), ce qui nuit à la transparence de l'information.

fr_privacy_retention_missingMEDIUM

Durée de conservation non indiquée

La durée de conservation des données (ou ses critères) n'est pas indiquée.

fr_privacy_rights_access_missingMEDIUM

Droit d'accès non informé

Le droit d'accès de la personne concernée n'est pas mentionné.

fr_privacy_rights_erasure_missingMEDIUM

Droit à l'effacement non informé

Le droit à l'effacement (« droit à l'oubli ») n'est pas mentionné.

fr_privacy_rights_object_missingMEDIUM

Droit d'opposition non informé

Le droit d'opposition au traitement n'est pas mentionné.

Formulaires et consentement

Pour chaque formulaire détecté, nous vérifions la présence d'une case de consentement explicite reliée à la politique de confidentialité, et nous contrôlons que la base juridique du traitement est clairement indiquée.

L'article 7 du RGPD exige que le consentement soit libre, spécifique, éclairé et univoque, et qu'il puisse être démontré. Une case pré-cochée n'est pas valable (arrêt CJUE Planet49) et un texte vague non plus.

Nous détectons également les champs sensibles (e-mail, téléphone, adresse, numéro fiscal) dans les formulaires dépourvus de lien vers la politique de confidentialité, ce qui constitue un manquement à l'obligation d'information de l'article 13 du RGPD.

Sécurité de base du site

L'article 32 du RGPD impose au responsable du traitement et au sous-traitant de mettre en œuvre des mesures techniques appropriées. Un site sans HTTPS ou dépourvu d'en-têtes de sécurité de base manque à ce principe de sécurité par défaut.

Nous contrôlons le HTTPS obligatoire, la présence de HSTS, X-Content-Type-Options, Referrer-Policy et des attributs Secure/HttpOnly sur les cookies de session.

Nous n'avons pas vocation à remplacer un audit de sécurité offensif, mais nous détectons les oublis les plus courants, qui figurent aussi souvent comme circonstance aggravante dans les décisions de la CNIL.