Pillar 4 of 4
The audit your privacy policy has been quietly failing
We find your policy in 8 languages, extract the clean text, and grade it clause-by-clause against a rubric your DPO would actually approve.
Why a rubric instead of a vibe check
An off-the-shelf LLM will happily tell you a policy 'looks comprehensive' when it's missing a third of the clauses regulators actually look for. We don't ask the LLM 'is this policy compliant?' — we ask 14 specific yes/no questions, each tied to a regulatory citation, each requiring an evidence quote when the answer is yes. The scoring is mechanical: percentage of rubric items passed. An 80%+ score is solid. A 60% score means several material gaps. Below 50% usually means the policy was templated quickly and never updated for GDPR or CCPA.
Multilingual policy discovery
If you're scanning a German bakery's website, looking for the word 'privacy' won't help. We match against link text in English, German, French, Spanish, Italian, Portuguese, Dutch, and Japanese — covering ~80% of the open web by traffic. If link text matching fails, we probe a short list of conventional URLs (/privacy, /datenschutz, /privacidad, etc.) before giving up. When no policy is found at all, the result is unambiguous: zero rubric items pass, and the report flags 'no policy detected' as the top issue.
What we don't do
We don't tell you whether your business is GDPR-compliant — that's a question for legal counsel and a real DPIA. What we do is surface the exact clauses your policy doesn't contain, so when your counsel sits down to review it they have a punch list instead of a blank page. The LLM output is cached against a hash of the policy text, so repeated scans of an unchanged policy don't burn tokens.
Exemples de constats
Description des droits des personnes concernées GDPR manquante
Votre politique de privacy ne décrit pas les droits accordés aux personnes concernées au titre des Articles 15–22 du GDPR (accès, rectification, effacement, portabilité, limitation, opposition). C’est une omission substantielle pour tout site qui traite des données de résidents de l’UE, et c’est l’une des déficiences les plus fréquemment citées dans des actions d’exécution liées aux DPA.
Rubric item: gdpr.data-subject-rights Framework : GDPR Result : FAIL Evidence : (none — policy contains no description of rights) Citation : GDPR Articles 15, 16, 17, 18, 20, 21
Aucune mention CCPA « Do Not Sell or Share »
La politique ne mentionne pas le droit des consommateurs californiens de s’opposer à la vente ou au partage des informations personnelles, ni la façon d’exercer ce droit. CCPA/CPRA exige cette divulgation pour toute entreprise qui atteint les seuils liés au chiffre d’affaires ou aux données, même si vous ne pensez pas vendre de données : la définition légale est plus large que l’usage courant.
Rubric item: ccpa.do-not-sell Framework : CCPA / CPRA Result : FAIL Evidence : (none — no opt-out mechanism described) Citation : Cal. Civ. Code §1798.135
Aucune durée de conservation des données spécifiée
La politique indique conserver les données « aussi longtemps que nécessaire » sans préciser les durées réelles ni les critères utilisés pour les déterminer. L’Article 13(2)(a) du GDPR exige la durée de conservation — ou, si ce n’est pas possible, les critères utilisés pour la déterminer. « Aussi longtemps que nécessaire » seul a été rejeté par plusieurs DPA comme insuffisant.
Rubric item: gdpr.retention-periods Framework : GDPR Result : FAIL Evidence : "We retain your data for as long as necessary to provide the Service." Citation : GDPR Article 13(2)(a), 14(2)(a) Fix: list specific durations per data category, e.g. "Account data: until deletion + 30 days. Logs: 30 days. Billing: 7 years (statutory)".
Scannez votre site en 60 secondes
25 credits gratuits. Pas de carte bancaire. Des constats réels sur la page qui vous intéresse.