Comment LegScan analyse votre site

Directive ePrivacy 2002/58/CE, art. 5(3) — Lignes directrices CNIL du 17 sept. 2020

Le scanner exécute le JavaScript du site, attend 2 secondes, puis détecte les CMP connus (Axeptio, Didomi, OneTrust, CookieBot, Tarteaucitron, CookieConsent, Quantcast) et les bandeaux génériques via sélecteurs CSS et analyse des scripts.

CNIL, Lignes directrices cookies et traceurs, 17 sept. 2020, §15-18

Analyse du DOM rendu pour vérifier la présence de boutons de refus au même niveau visuel que le bouton d'acceptation.

RGPD art. 13 et 14 — Obligation d'information des personnes concernées

Le scanner recherche les liens de type "politique de confidentialité", "privacy policy", "données personnelles" dans le footer et la navigation, puis visite la page pour en extraire le contenu.

RGPD art. 6 — Licéité du traitement

Analyse du contenu de la politique de confidentialité pour vérifier la mention explicite des bases légales (consentement, contrat, obligation légale, intérêt légitime, etc.).

RGPD art. 15 à 22 — Droits d'accès, rectification, effacement, portabilité, opposition

Vérification dans la politique de confidentialité de la mention des droits et des modalités d'exercice (contact DPO, formulaire, email).

RGPD art. 37-39 — Désignation et missions du DPO

Recherche dans la politique de confidentialité et les mentions légales d'un contact DPO ou responsable de traitement identifié.

RGAA 4.1, critère 1.1 — WCAG 2.1, 1.1.1 (niveau A)

Comptage des images avec et sans attribut alt dans le DOM rendu. Les images décoratives avec alt="" sont exclues du comptage.

RGAA 4.1, critère 9.1 — WCAG 2.1, 1.3.1 (niveau A)

Analyse de la hiérarchie des titres h1-h6 : présence d'un h1 unique, absence de sauts de niveaux (h1 → h3 sans h2).

RGAA 4.1, critère 11.1 — WCAG 2.1, 1.3.1 et 4.1.2 (niveau A)

Vérification que chaque champ de formulaire (input, select, textarea) possède un label associé via l'attribut for/id ou aria-label.

RGAA 4.1, critère 9.2 — WCAG 2.1, 1.3.1 (niveau A)

Détection des landmarks sémantiques (main, nav, header, footer) ou des rôles ARIA correspondants dans la structure du document.

RGAA 4.1, critères 12.7-12.8 — WCAG 2.1, 2.1.1 (niveau A)

Vérification de l'absence de tabindex positifs qui perturbent l'ordre de navigation, et présence d'éléments interactifs focusables.

LCEN (Loi 2004-575), art. 6-III — Obligation d'identification de l'éditeur

Recherche dans le footer et la navigation d'un lien vers une page de mentions légales, puis visite et extraction du contenu.

LCEN art. 6-III-1 (personnes morales) et 6-III-2 (personnes physiques)

Analyse du contenu des mentions légales pour vérifier la présence de : raison sociale, forme juridique, adresse du siège, capital social, numéro RCS, email, téléphone.

LCEN art. 6-III-1 — Obligation de mentionner les coordonnées de l'hébergeur

Vérification dans les mentions légales de la présence du nom, adresse et contact de l'hébergeur du site.

Code de la consommation, art. L111-1 et L221-5

Recherche d'un lien vers les CGU ou CGV dans le footer et la navigation du site.

RGPD art. 32 — Sécurité du traitement — ANSSI, guide d'hygiène informatique, règle 28

Vérification que le site est accessible en HTTPS avec un certificat valide.

ANSSI, Recommandations pour la sécurisation des sites web — OWASP Secure Headers Project

Analyse des en-têtes HTTP de la réponse : X-Content-Type-Options, X-Frame-Options, X-XSS-Protection, Strict-Transport-Security, Referrer-Policy.

OWASP Top 10 — A7:2017 Cross-Site Scripting (XSS)

Vérification de la présence d'un en-tête Content-Security-Policy ou d'une balise meta CSP dans le HTML.

RGPD art. 32 — Garantir la confidentialité des données en transit

Détection de ressources HTTP chargées sur une page HTTPS (scripts, images, iframes).

ANSSI, Guide de sécurité des applications web — W3C Subresource Integrity

Vérification de la présence de l'attribut integrity sur les scripts et feuilles de style chargés depuis des CDN externes.