Qu'est-ce qu'un audit de conformité de site web ? Guide pratique pour PME

Si vous gérez une PME avec un site internet, les règles à respecter se sont multipliées ces cinq dernières années. Les lois d'accessibilité atteignent désormais les entreprises privées dans l'UE, au Royaume-Uni, aux États-Unis, au Canada et en Australie. Les régulateurs de la vie privée sont passés des lettres d'avertissement aux amendes proportionnelles au chiffre d'affaires. Le consentement aux cookies, jadis casse-tête purement européen, apparaît désormais en Californie, dans le Colorado, le Connecticut, le Texas et une liste croissante d'États.

Un audit de conformité vous indique si votre site respecte vraiment les lois qui le concernent. Cet article décrit ce que couvre l'audit, comment le mener sans des semaines de prestation, et ce qu'une PME doit corriger en priorité.

Ce que l'audit vérifie réellement

Il n'existe pas de loi mondiale unique sur la « conformité web ». L'audit est une check-list issue des règlements applicables là où vivent vos visiteurs. Pour les PME opérant en UE, au UK ou aux US, les quatre listes ci-dessous couvrent 90 % du risque réel.

1. Accessibilité

Le standard est WCAG 2.1 Niveau AA. Il est référencé par l'AGAPL (Acte européen sur l'accessibilité, en vigueur depuis le 28 juin 2025), le UK Equality Act, l'ADA Title III, l'AODA et la plupart des autres lois mondiales. Un scan automatisé détecte 30–40 % des problèmes — contraste de couleur, alt manquants, étiquettes de formulaire, pièges au clavier, mauvais usage d'ARIA. Le reste demande un test manuel, mais le scan vous dit déjà si les problèmes évidents existent.

À lire : l'audit d'accessibilité WCAG 2.1 AA expliqué.

2. Vie privée et consentement

Pour les visiteurs UE/UK, le consentement aux cookies et trackers non essentiels est requis avant le déclenchement du script. Un véritable audit capture le trafic réseau au tout premier chargement, avant tout clic. Les bannières du type « en poursuivant la navigation, vous acceptez » ou celles qui posent des trackers au load sont les défaillances les plus fréquentes — et les plus visibles pour la CNIL.

À lire : qu'est-ce qu'un audit RGPD cookies ?

3. Tracking et analytics

Sont passés au crible les pixels (Meta, TikTok, LinkedIn, Google Ads), les session-recorders (Hotjar, FullStory, Microsoft Clarity), les tags publicitaires et tout outil qui transmet le comportement visiteur à un tiers. Chacun a des implications RGPD, ePrivacy et de plus en plus de droit US d'État. La solution n'est presque jamais de les retirer — mais de les charger après consentement et de les divulguer.

À lire : audit des pixels de tracking : RGPD et ePrivacy.

4. Pages légales obligatoires

• Politique de confidentialité conforme à ce que fait réellement le site
• Politique cookies avec inventaire à jour
• Déclaration d'accessibilité (obligatoire sous AGAPL depuis juin 2025)
• Mentions légales (obligatoires en France pour les e-commerces et services pros)
• CGV/CGU si vous vendez quoi que ce soit

Audit manuel vs. scan continu

Un audit par un cabinet coûte 5 000–20 000 € et prend 2 à 6 semaines pour un site PME. Très bien comme photographie ponctuelle — mais la plupart des régressions arrivent après l'audit, dans les sorties produit normales. Un nouveau widget, un formulaire redessiné, un outil d'analytics ajouté par le marketing sans prévenir la tech. Le scan continu détecte ces régressions le jour même, plutôt que des mois plus tard avec la lettre du régulateur.

Ce qu'une PME doit corriger en premier

1. Cesser de déclencher des trackers avant consentement. Risque le plus élevé, correctif le plus simple. Mettez chaque pixel Meta/TikTok/LinkedIn et tout analytics non essentiel derrière une vérification de consentement.
2. Remplacer la bannière « en poursuivant vous acceptez » par une bannière à boutons Accepter et Refuser de poids égal. La CNIL a sanctionné l'inverse.
3. Corriger les principales infractions WCAG. Contraste, alt manquants, labels, focus, pièges clavier. Cinq points qui concentrent l'essentiel des plaintes.
4. Publier une déclaration d'accessibilité. L'AGAPL l'impose depuis juin 2025 pour les produits dans son périmètre.
5. Mettre à jour la politique de confidentialité. La plupart des politiques PME sont des templates sans rapport avec le site réel.

Erreurs fréquentes

Faire confiance à un overlay d'accessibilité. La FTC a infligé 1 M$ à accessiBe en janvier 2025 pour marketing trompeur. Les overlays masquent les problèmes au runtime, le code reste défaillant et reste une base de plainte juridique.

Traiter la conformité comme un sujet US ou UE seulement. La plupart des sites PME accueillent aujourd'hui des visiteurs de plusieurs juridictions.

Auditer une seule fois. Le scénario le plus fréquent : un audit sérieux, un rapport propre, six mois de releases, puis une lettre du régulateur. Intégrez l'audit au processus de release.

Comment Veracly aborde le problème

Veracly a été conçu pour la version PME de cette problématique. Un scan génère simultanément des rapports AGAPL, RGPD, ADA, UK Equality Act, AODA et lois US d'État, avec des correctifs prêts à coller pour chaque problème et un monitoring continu ensuite. Lancez un scan gratuit et voyez votre site comme un régulateur le verrait — avant qu'il ne le voie.