Notre méthodologie de scanner conformité RGPD & base légale
Sitetals est un projet de recherche indépendant en matière de conformité. Cette page explique comment nous découvrons les problèmes de conformité RGPD, pourquoi nous contactons les opérateurs de sites web, et quel cadre juridique régit nos démarches — en toute transparence.
Qui sommes-nous
Sitetals est un projet de recherche indépendant en sécurité et conformité, et non un cabinet juridique ni un prestataire de services. Nous effectuons des examens techniques systématiques de sites web accessibles au public afin d'identifier les risques potentiels de non-conformité aux réglementations UE (RGPD, TDDDG, TMG) et transmettons nos conclusions aux opérateurs de sites web de bonne foi, conformément aux principes de la divulgation responsable.
Nous n'avons aucune relation commerciale avec une autorité de réglementation (CNIL, autorités allemandes de protection des données ou autres) et ne leur sommes affiliés d'aucune façon.
Notre méthodologie technique
Découverte passive uniquement
Toutes les vérifications de conformité sont effectuées exclusivement via des requêtes HTTP(S) GET publiques standard, non authentifiées — la même méthode utilisée par n'importe quel navigateur web ordinaire visitant un site. Nous ne procédons pas à :
- L'utilisation d'accès authentifiés, d'identifiants ou de jetons de session
- Le bruteforce de répertoires ou le fuzzing de chemins
- Des tentatives de contournement des pare-feux applicatifs (WAF) ou des limites de débit
- L'accès à des zones non publiques, protégées par mot de passe ou réservées aux membres
- Le stockage, l'indexation ou la conservation du contenu de sites web, ni des données personnelles des visiteurs
- La création de profils, l'enrichissement ou la réidentification des opérateurs que nous contactons
La seule donnée personnelle que nous conservons à l'issue d'un scan est l'adresse e-mail de contact professionnel publiquement répertoriée, que nous traitons dans le cadre de notre évaluation de l'intérêt légitime documentée (Art. 6(1)(f) RGPD) dans le seul but d'envoyer un e-mail de divulgation et d'honorer les demandes d'opt-out.
Notre scanner conformité RGPD ne lit que ce qu'un visiteur anonyme peut voir. Les journaux techniques sont conservés pour démontrer un accès passif et légal en cas d'enquête réglementaire.
Découverte de l'e-mail de contact
Nous localisons les adresses e-mail de contact exclusivement depuis :
- Les adresses e-mail publiquement répertoriées sur la page d'accueil, l'Impressum, les Mentions Légales ou la page de contact du site
- Le champ
Contact:d'un fichier/.well-known/security.txt(privilégié — conformément à la RFC 9116, il s'agit du canal désigné pour la divulgation responsable)
Nous privilégions les adresses génériques professionnelles (info@, contact@, security@). Nous ne contactons pas les adresses nominatives personnelles, sauf si elles sont explicitement indiquées dans un fichier security.txt.
Évaluation de l'intérêt légitime (LIA)
Base légale du traitement des adresses e-mail de contact : Art. 6(1)(f) RGPD / Art. 6 Abs. 1 lit. f DSGVO
Finalité : Notification de bonne foi des risques potentiels de non-conformité aux réglementations UE aux opérateurs de sites web pouvant ignorer leur exposition.
Nécessité : Le contact par e-mail est le seul canal viable pour atteindre les opérateurs de sites web lorsqu'aucun autre mécanisme de divulgation désigné (tel que security.txt) n'existe.
Test d'équilibre : La faible intrusion que représente la réception d'un seul e-mail d'information est proportionnelle à l'avantage potentiel — qui peut prévenir des sanctions réglementaires (notamment des amendes RGPD) pour l'entreprise du destinataire — et est contrebalancée par celui-ci. L'e-mail est envoyé une seule fois, sans relance, sans suivi et avec un mécanisme d'opt-out immédiat. Les notifications sont informatives et peuvent inclure un lien optionnel vers un rapport d'analyse payant, que le destinataire est libre d'ignorer.
Un document LIA signé complet est conservé en interne par Sitetals et est disponible pour les autorités de protection des données sur demande dans un délai de 14 jours.
Notre politique d'e-mail
Un seul e-mail
Nous envoyons exactement une notification par domaine. Nous n'envoyons jamais de rappels, de suivis, ni ne re-contactons les opérateurs qui ne répondent pas. S'ils n'agissent pas, l'affaire s'arrête là.
Adresses professionnelles génériques uniquement
Nous privilégions les adresses professionnelles génériques (info@, contact@, security@, etc.) et excluons les adresses associées à un individu nommé. Nous ne contactons pas les adresses e-mail nominatives personnelles, sauf si elles sont explicitement publiées en tant que contact de divulgation dans un fichier security.txt.
Zéro suivi
Nos e-mails de sensibilisation ne contiennent aucun pixel de suivi d'ouverture, aucun traqueur de clics sur les liens, aucun accusé de lecture. Nous ne savons délibérément pas si nos e-mails sont ouverts — c'est un choix délibéré, non un oubli.
Opt-out immédiat
Toute réponse avec l'objet "Abmelden" / "Désabonner" / "Unsubscribe", ou un e-mail à optout@compliance.sitetals.com, entraîne une suppression permanente de toutes les listes de diffusion. Aucune confirmation requise. Aucun délai. L'adresse est immédiatement supprimée et ne sera plus jamais contactée.
Allemagne : scan uniquement — aucun outreach
Nous n'envoyons aucun e-mail de notification aux opérateurs de sites allemands (.de). En Allemagne, Sitetals fonctionne strictement comme un scanner à la demande : l'utilisateur demande une analyse et nous lui renvoyons les résultats. Notre démarche de divulgation responsable s'applique uniquement aux autres juridictions de l'UE (ex. France) et à Singapour.
Methodik & Rechtsgrundlage (Deutsch)
Sitetals ist ein unabhängiges Sicherheits- und Compliance-Forschungsprojekt. Auf Anfrage prüfen wir eine vom Nutzer angegebene, öffentlich zugängliche Webseite auf potenzielle Datenschutzrisiken und geben das Ergebnis an den anfragenden Nutzer zurück. Für Webseiten mit deutscher (.de) Domain versenden wir keine Benachrichtigungen — reiner Scan, kein Outreach.
Technische Methodik
Alle Prüfungen erfolgen ausschließlich durch den passiven Abruf öffentlich zugänglicher Daten über Standard-HTTP(S)-GET-Anfragen ohne Authentifizierung — identisch mit dem Vorgehen eines normalen Websitebesuchers. Wir führen kein aktives Scannen, kein Directory-Fuzzing und keinen nicht autorisierten Zugriff durch.
Unsere technische Verfahrensbeschreibung (SOP) steht Datenschutzbehörden auf Anfrage innerhalb von 14 Tagen zur Verfügung.
Questions ou préoccupations ?
Si vous avez reçu l'un de nos e-mails de divulgation et avez des questions sur notre méthodologie, souhaitez être retiré de nos listes, ou pensez que nos résultats de scan sont inexacts — contactez-nous directement.
Nous contacter →