compliance
Ce que le RGPD nous a appris sur l'EAA
L'European Accessibility Act suit la même trajectoire d'application que le RGPD. Si votre organisation a appris le RGPD à ses dépens, voici comment ne pas répéter l'erreur.
Nous sommes déjà passés par là
En 2018, le RGPD est entré en vigueur et la réaction de la plupart des organisations a suivi une courbe prévisible. Une période de quasi-silence. Puis, à l’approche de l’échéance, une précipitation. Puis, lorsque l’application est réellement arrivée, une véritable urgence et une course à la conformité dans un délai bien plus court qu’il n’aurait dû l’être.
L’European Accessibility Act suit la même trajectoire. L’échéance — le 28 juin 2025 — est passée. L’application est en cours. Et les organisations qui ont traité l’accessibilité comme un sujet « on s’en occupera un jour » découvrent maintenant que ce jour est arrivé.
Si vous avez vécu le RGPD, une grande partie de ce qui suit vous semblera familière.
Ce qu’ils ont en commun
Une échéance de conformité que la plupart des organisations ont manquée
Lorsque le RGPD est entré en vigueur en mai 2018, les enquêtes montraient qu’une majorité d’entreprises de l’UE n’étaient pas conformes — dans certains rapports, le chiffre dépassait 60 %. L’histoire de l’EAA se ressemble. Les recherches publiées peu avant l’échéance de juin 2025 montraient systématiquement que seule une petite fraction des entreprises couvertes par la loi avaient atteint une conformité significative.
Les deux lois partagent le même schéma de base : une longue période de mise en route pendant laquelle la plupart des organisations agissent peu, suivie d’une flambée d’activité à l’approche de l’échéance, suivie d’une application continue pour celles qui n’ont pas agi assez vite.
Un champ d’application territorial que de nombreuses entreprises ont sous-estimé
Le RGPD s’applique à toute organisation qui traite les données de résidents de l’UE, quel que soit le lieu où l’organisation est établie. L’EAA fonctionne de manière similaire : si votre produit ou service numérique est vendu à des clients dans l’UE, et que votre organisation atteint les seuils de taille (plus de 10 employés et plus de 2 millions d’euros de chiffre d’affaires), vous devez vous conformer — que votre siège soit à Munich ou à San Francisco.
De nombreuses entreprises hors UE ont été surprises par la portée du RGPD. La même chose se produit avec l’EAA.
Un cadre de sanctions aux dents acérées
Les amendes du RGPD — jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, le montant le plus élevé étant retenu — ont fait la une. Des organisations se sont retrouvées à écoper de sanctions de plusieurs millions d’euros pour des manquements qui, dans de nombreux cas, étaient évitables.
Les sanctions de l’EAA sont fixées au niveau national, elles varient donc d’un État membre à l’autre. Mais elles ne sont pas anodines. L’Italie et la France prévoient toutes deux des amendes de l’ordre de plusieurs dizaines de milliers d’euros par violation. La mise en œuvre du Barrierefreiheitsstärkungsgesetz (BFSG) en Allemagne inclut des sanctions substantielles. Et contrairement au RGPD, où de nombreuses violations étaient découvertes à la suite de fuites de données ou de plaintes, les défauts d’accessibilité sont visibles pour quiconque visite votre site web avec un lecteur d’écran — ce qui inclut les organisations de défense des personnes handicapées qui déposent des plaintes pour accessibilité.
En quoi l’EAA diffère du RGPD
Les violations d’accessibilité sont visibles de l’extérieur
Les violations du RGPD nécessitaient souvent une plainte interne ou une notification de fuite pour être mises au jour. Les défauts d’accessibilité sont publiquement décelables. N’importe qui peut ouvrir votre site web, lancer une analyse automatisée ou le tester avec un lecteur d’écran et documenter ce qu’il trouve. Les groupes de défense des personnes handicapées font exactement cela, de manière systématique.
Cela signifie que le vivier de plaignants potentiels est bien plus large, et que la barrière au dépôt d’une plainte est bien plus basse. Vous n’avez pas besoin d’accéder à des systèmes internes ou à des documents fuités. Il vous suffit d’un navigateur.
La norme technique est déjà spécifiée
Le RGPD exigeait des organisations qu’elles mettent en œuvre des « mesures techniques et organisationnelles appropriées » pour protéger les données — une norme délibérément vague pour permettre l’évolution technologique. L’EAA spécifie une norme technique concrète : EN 301 549, qui renvoie aux Web Content Accessibility Guidelines (WCAG 2.1/2.2) au niveau AA.
Cette clarté est une arme à double tranchant. D’un côté, les organisations savent exactement ce qu’elles doivent atteindre. De l’autre, il devient facile de démontrer la non-conformité — les outils automatisés peuvent générer un rapport de violations détaillé en quelques secondes.
L’application précoce a déjà commencé
Le RGPD a connu une première année d’application relativement calme avant l’arrivée des amendes majeures. L’application de l’EAA avance plus rapidement. Les autorités françaises ont commencé à adresser des mises en demeure à de grands distributeurs peu après l’échéance. Un tribunal parisien a statué sur une affaire d’accessibilité d’une plateforme scolaire prévoyant des amendes potentielles de 25 000 € par an. Des organisations de défense dans l’ensemble des États membres de l’UE déposent activement des plaintes.
Les leçons du RGPD applicables à l’EAA
« Nous serons conformes avant que l’application ne nous atteigne » n’est pas une stratégie
De nombreuses organisations ont fait ce calcul avec le RGPD et ont constaté que l’application était plus rapide et plus ciblée qu’elles ne l’avaient prévu. Les plaintes pour accessibilité sont déposées dès maintenant. Les organisations qui prennent de l’avance sur ce sujet sont celles qui commencent à auditer et à remédier avant de recevoir une mise en demeure.
La documentation compte autant que la correction technique
Le RGPD exigeait des organisations qu’elles tiennent des registres des activités de traitement, des analyses d’impact relatives à la protection des données et des preuves de consentement. L’EAA exige des plateformes accessibles et, dans de nombreuses transpositions nationales, des déclarations d’accessibilité qui documentent les niveaux de conformité actuels, les exceptions connues et les mécanismes de contact permettant aux utilisateurs de signaler des obstacles.
Disposer d’une déclaration d’accessibilité qui reflète fidèlement votre état actuel — et être en mesure de démontrer une amélioration continue — constitue une preuve significative de conformité de bonne foi.
La conformité est un processus, pas un projet
Le piège de la mentalité RGPD consistait à traiter la conformité comme une case à cocher : mobiliser une équipe juridique, mettre à jour la politique de confidentialité, ajouter des bandeaux de cookies, terminé. De nombreuses organisations se sont alors arrêtées, pour finalement constater qu’elles devaient revoir leur conformité au lancement de nouveaux produits ou à la mise à jour de produits existants.
L’accessibilité fonctionne de la même manière. Chaque nouvelle fonctionnalité, chaque composant tiers, chaque refonte de design peut introduire de nouveaux obstacles. Une conformité durable exige d’intégrer l’accessibilité dans vos flux de développement et de contenu, plutôt que de la traiter comme une remédiation ponctuelle. Notre guide sur l’accessibilité dans le cycle de vie du développement logiciel explique à quoi cela ressemble en pratique.
Commencez par un état des lieux
Avant de pouvoir planifier la remédiation, vous devez comprendre où vous en êtes actuellement. Cela signifie réaliser un audit — à la fois automatisé et manuel — pour documenter les défaillances, les hiérarchiser par impact et par fréquence, et créer un plan de remédiation réaliste.
Si vous ne l’avez pas encore fait, le point de départ le plus rapide est une analyse automatisée gratuite, qui vous donne un aperçu immédiat des violations automatisables. Pour une image complète — y compris les 60 à 70 % environ d’obstacles que les outils automatisés ne peuvent pas détecter — des tests manuels par des personnes qui utilisent des technologies d’assistance sont nécessaires.
Les organisations qui ont bien géré le RGPD n’ont pas attendu l’application. Elles ont évalué leur position, élaboré un plan et l’ont exécuté avec la même urgence qu’elles appliqueraient à tout autre risque commercial important. L’EAA mérite le même traitement.
Vérifiez si votre site respecte les exigences de l'EAA