Vos questions conformité, élucidées

Veracly est un service de surveillance de la conformité des sites web destiné aux petites et moyennes entreprises. Il évalue votre site au regard des règles numériques applicables à vos visiteurs — accessibilité (Acte européen sur l’accessibilité (EAA) / BFSG, ADA, UK Equality Act, AODA), vie privée (RGPD et les règles ePrivacy sur les cookies) et la transparence prévue à l’article 50 du règlement IA de l’UE — puis vous remet un rapport en langage clair, hiérarchisé par gravité, avec un correctif prêt à copier-coller pour chaque constatation.

Veracly explore vos pages, exécute le moteur d’accessibilité axe-core sur le DOM rendu et enregistre chaque requête réseau, cookie et écriture de stockage qui se produit avant qu’un visiteur n’interagisse avec votre bandeau de cookies. Il associe ensuite chaque constatation aux juridictions applicables et lui attribue un score. Chaque constatation est reproductible par vous-même dans les DevTools de votre propre navigateur — le rapport vous montre exactement comment.

L’analyse gratuite vérifie une seule page et vous envoie par e-mail un PDF signé en environ cinq minutes — même moteur, même notation, même signature cryptographique que la formule payante. Les formules payantes ajoutent une surveillance continue multipage, toutes les juridictions dans un même rapport, des ré-analyses planifiées, des alertes de régression et un historique d’attestations daté que vous pouvez partager.

Non — et c’est délibéré. Veracly est un service indépendant de surveillance et de reporting : il vous indique précisément quoi corriger et comment, mais il ne vend pas la remédiation. La conformité est atteinte lorsque votre développeur corrige les problèmes identifiés ; aucun outil ne peut à lui seul rendre un site web conforme. C’est cette indépendance qui permet aux constatations de Veracly d’être crédibles auprès d’un régulateur, d’un auditeur ou d’un conseil juridique.

Non. Un rapport Veracly est une analyse technique de conformité, générée par un logiciel automatisé. Il est purement informatif — ce n’est pas un conseil juridique, ni un avis réglementaire, ni un audit au sens du § 317 HGB / des normes ISA. Il est conçu pour être remis à votre conseil juridique, qui peut agir sur les constatations dans votre juridiction.

L’Acte européen sur l’accessibilité — Directive (UE) 2019/882 — impose qu’un large éventail de produits et services numériques vendus aux consommateurs de l’UE soient accessibles. Chaque État membre le transpose dans son droit national ; en Allemagne, il s’agit de la Barrierefreiheitsstärkungsgesetz (BFSG). En pratique, la conformité se mesure au regard de la norme EN 301 549, qui renvoie aux critères de succès WCAG 2.1 AA.

Les règles nationales de l’EAA s’appliquent à compter du 28 juin 2025. À partir de cette date, les entreprises concernées qui vendent aux consommateurs de l’UE sont tenues de respecter les exigences d’accessibilité. Certains États membres autorisent des périodes de transition limitées pour les contrats de service existants, mais les nouveaux services numériques sont couverts dès maintenant.

Il s’applique aux entreprises offrant des produits et services couverts aux consommateurs de l’UE — y compris le commerce électronique, la banque, les livres numériques, les transports et les télécommunications. Il existe un allègement pour les microentreprises prestataires de services comptant moins de 10 salariés et dont le chiffre d’affaires annuel ou le bilan est inférieur ou égal à 2 millions €, mais il est étroit et ne couvre pas les produits. Si vous vendez en ligne à des consommateurs de l’UE, partez du principe que vous êtes probablement concerné et confirmez-le avec votre conseil juridique.

Les WCAG (Web Content Accessibility Guidelines) sont la norme du W3C pour des contenus web accessibles, organisée en niveaux A, AA et AAA. Le niveau AA est la barre vers laquelle pointent la plupart des lois. Veracly évalue votre site au regard de WCAG 2.2 AA — la version actuelle — et rapporte également le score correspondant au plancher légal (WCAG 2.1 AA pour l’EAA, l’ADA et le UK Equality Act ; WCAG 2.0 AA pour l’AODA), afin que vous puissiez voir les deux.

Pour la plupart des entreprises privées, les tribunaux américains ont appliqué l’Americans with Disabilities Act (Title III) aux sites web par la jurisprudence, comme Robles v. Domino’s et Gil v. Winn-Dixie, en se mesurant généralement au regard de WCAG 2.1 AA. Pour les sites des administrations publiques étatiques et locales, la règle Title II du DOJ de 2024 fixe explicitement WCAG 2.1 AA. Si vous avez des visiteurs américains, l’ADA représente une exposition réelle.

Le UK Equality Act 2010 (§20) impose aux prestataires de services une obligation d’aménagements raisonnables afin que les personnes handicapées puissent utiliser un service — ce que les tribunaux et l’EHRC considèrent comme incluant les sites web. WCAG 2.1 AA est la référence pratique utilisée pour démontrer que ces aménagements ont été réalisés.

L’Accessibility for Ontarians with Disabilities Act (AODA) impose aux organisations de l’Ontario de rendre leur contenu web accessible. Son Integrated Accessibility Standards Regulation (O. Reg. 191/11, §14) renvoie à WCAG 2.0 AA comme plancher légal. Veracly note l’AODA au regard de ce plancher 2.0 tout en présentant également la vue plus large 2.2 à titre de comparaison.

En vertu de la directive ePrivacy (Art. 5(3)) et du RGPD, les cookies et traceurs non essentiels — mesure d’audience, pixels publicitaires et similaires — ne peuvent être déposés qu’après que le visiteur a donné un consentement préalable, éclairé et libre. Les cookies strictement nécessaires sont exemptés. Le manquement le plus courant que Veracly détecte est celui des traceurs qui se déclenchent au chargement de la page, avant toute interaction avec le bandeau.

Le § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) est la transposition allemande de l’Art. 5(3) de la directive ePrivacy. Il exige un consentement avant de stocker ou de lire des informations sur l’appareil d’un utilisateur — c’est-à-dire avant de déposer des cookies non essentiels ou d’utiliser le stockage local/de session à des fins de suivi. Contrairement à la BFSG, il ne comporte aucune exemption pour les microentreprises.

Un traceur avant consentement est un cookie, une entrée de stockage ou une requête tierce qui se déclenche avant que le visiteur n’accepte le bandeau de cookies. Comme le consentement doit venir en premier, ce sont parmi les problèmes de vie privée les plus clairs et les plus reproductibles — vous pouvez les confirmer vous-même dans les DevTools (par ex. F12 → Network, puis rechargez et observez quelles requêtes se déclenchent avant tout clic).

Les régulateurs (dont l’EDPB et plusieurs autorités nationales) considèrent que refuser les cookies non essentiels doit être aussi facile que les accepter — généralement un bouton « Tout refuser » aussi visible que « Tout accepter » dès le premier niveau. Un bandeau qui ne propose que « Accepter » ou qui enfouit l’option de refus est une constatation courante et reproductible.

L’article 50 du règlement IA de l’UE fixe des obligations de transparence : vous devez indiquer aux personnes lorsqu’elles interagissent avec un système d’IA (tel qu’un chatbot), et les contenus générés ou manipulés par l’IA (texte, images, audio, vidéo) doivent être signalés comme tels. Il s’agit d’une obligation de transparence, distincte des règles du règlement relatives à l’IA à haut risque.

Les obligations de transparence de l’article 50 s’appliquent dans toute l’UE à compter du 2 août 2026. Si votre site utilise un chatbot ou publie des contenus générés par l’IA pour des visiteurs de l’UE, c’est la date pour laquelle vous devez être prêt.

Oui — en vertu de l’article 50(1), lorsqu’un visiteur interagit avec un système d’IA tel qu’un chatbot ou un assistant IA, vous devez indiquer clairement qu’il ne s’adresse pas à un humain (sauf si cela est évident d’après le contexte). Veracly détecte les widgets de chat/assistant courants et vérifie la présence d’une mention claire d’utilisation de l’IA.

Veracly effectue une vérification de l’état de préparation à la transparence prévue par l’article 50 — il signale un chatbot non divulgué ou l’absence d’une mention d’utilisation de l’IA afin que vous puissiez y remédier avant l’échéance. Il s’agit d’un signal de préparation, et non d’une détermination selon laquelle votre site serait « conforme au règlement IA », et il ne couvre pas les exigences du règlement en matière de gouvernance de l’IA à haut risque.

Chaque rapport est signé cryptographiquement (Ed25519) et ancré dans le registre d’audit de Veracly. La signature couvre le PDF exact, de sorte que toute altération est détectable. Le rapport porte un identifiant de vérification et une URL de vérification permettant d’en confirmer la provenance de façon indépendante.

Oui. Quiconque détient le PDF peut consulter le lien de vérification et rapprocher la signature de la clé publique de Veracly, publiée à l’adresse veracly.app/.well-known/veracly-signing-key.json. La vérification s’exécute dans son navigateur — sans compte Veracly ni serveur Veracly dans la chaîne de confiance — ce qui la rend crédible auprès d’un tiers.

Un rapport d’analyse gratuite reste téléchargeable pendant 60 jours, et son enregistrement de vérification cryptographique est conservé pendant la même durée ; le rapport lui-même n’expire jamais une fois le PDF enregistré. Les rapports payants restent disponibles pour votre compte, et leurs ancrages dans le registre d’audit persistent afin que le rapport demeure vérifiable de façon indépendante dans le temps.

Oui — c’est précisément pour cela qu’il est conçu. Comme le rapport est vérifiable de façon indépendante sans avoir à faire confiance à Veracly, vous pouvez le remettre à un conseil juridique, à un auditeur, à un régulateur ou à un acquéreur menant une due diligence, et ils peuvent confirmer qu’il est authentique et non altéré. Les sites payants peuvent également partager une chronologie d’attestations datée et en direct.

Une analyse d’une page est gratuite. Les formules payantes sont facturées mensuellement par site et évoluent selon le nombre de pages et de sites que vous surveillez ; les paliers et les prix actuels figurent dans la section tarifs de veracly.app. Lancer l’analyse gratuite et consulter d’abord un rapport signé complet ne coûte rien.

Les formules payantes ajoutent une surveillance continue et planifiée sur plusieurs pages ; les cinq juridictions ainsi que la vérification du règlement IA de l’UE dans un seul rapport ; des alertes de régression lorsqu’un nouveau problème apparaît ; un historique d’attestations daté et vérifiable de façon indépendante ; et des rapports PDF signés que vous pouvez partager avec un conseil juridique ou des acquéreurs.

Veracly n’analyse que ce que le navigateur d’un visiteur ordinaire chargerait : le contenu public des pages, les requêtes tierces que vos pages effectuent, ainsi que les cookies et le stockage qu’elles écrivent. Il détecte le suivi côté client ; les flux de données côté serveur (tels que les API de pixels de serveur à serveur) sont hors champ et signalés comme tels dans le rapport.

Les résultats d’analyse et les rapports générés ne sont conservés que le temps nécessaire au service, puis supprimés selon un calendrier fixe — les rapports d’analyse gratuite pendant 60 jours, avec des durées plus longues pour les données d’analyse payantes et les ancrages du registre d’audit qui maintiennent les rapports vérifiables. Les durées de conservation complètes et actuelles sont publiées dans la politique de confidentialité de Veracly.

Veracly vérifie la conformité mais ne vend pas le correctif — ses constatations ne comportent donc aucun conflit d’intérêts. Un outil qui vous vendrait aussi la remédiation ne pourrait pas la certifier de façon crédible. C’est cette indépendance qui fait d’un rapport Veracly quelque chose que vous pouvez présenter à un régulateur, un auditeur ou un acquéreur.