Qu'est-ce que WebConforme ?

WebConforme est un outil en ligne d'audit de conformité web qui analyse automatiquement un site en 30 secondes. Il couvre 4 modules : accessibilité RGAA 4.1.2, conformité RGPD, SEO technique et éco-conception (EcoIndex). Il génère un rapport PDF avec des corrections code avant/après et une déclaration d'accessibilité au format officiel DINUM.

Quelle est la différence entre WebConforme et Ara (DINUM) ?

Ara est l'outil officiel de la DINUM pour les audits RGAA manuels — il nécessite un expert certifié et plusieurs jours de travail. WebConforme est un outil automatisé qui scanne un site en 30 secondes sans expertise requise. WebConforme couvre ~40% des critères RGAA testables par machine, plus le RGPD, le SEO et l'éco-conception. Les deux outils sont complémentaires : WebConforme pour le pré-audit rapide et le monitoring, Ara pour l'audit complet par un expert.

WebConforme est-il gratuit ?

Le scan d'une page (homepage) est gratuit et sans inscription. Il donne le score sur 4 modules et un aperçu des violations. Les corrections détaillées avec code avant/après, le scan multi-pages, le rapport PDF et la déclaration d'accessibilité DINUM sont disponibles à partir de 49 €/mois avec 14 jours d'essai gratuit sans carte bancaire.

Combien de critères RGAA WebConforme couvre-t-il ?

WebConforme teste automatiquement environ 40 critères du RGAA 4.1.2 sur les 106 du référentiel, soit environ 38%. Ce sont les critères testables par machine (images sans alt, contrastes insuffisants, labels manquants, structure des titres, etc.). Les 60% restants nécessitent un audit manuel. WebConforme identifie les violations critiques rapidement et permet de les corriger avant un audit complet.

Qu'est-ce que la déclaration d'accessibilité et est-elle obligatoire ?

La déclaration d'accessibilité est un document obligatoire (article 47 de la loi n°2005-102, décret n°2019-768) pour tous les sites publics et les entreprises privées de plus de 250 salariés. Elle indique le niveau de conformité RGAA du site, les non-conformités et le plan de correction. WebConforme génère automatiquement cette déclaration au format officiel DINUM, pré-remplie avec les résultats du scan.

Quelles sont les amendes pour un site web non accessible en France ?

Depuis l'entrée en vigueur de l'European Accessibility Act (EAA) le 28 juin 2025, les sanctions pour non-conformité peuvent atteindre 25 000 € par service non conforme et par an. L'ARCOM est l'autorité de contrôle en France. Les grandes entreprises du secteur privé (CA > 250M€ ou > 250 salariés) sont concernées depuis 2025.

Quel est le meilleur outil d'audit d'accessibilité web en France ?

Les principaux outils d'audit d'accessibilité web en France sont : Ara (DINUM, gratuit, manuel, réservé aux experts), WebConforme (automatisé, 4 modules RGAA+RGPD+SEO+éco, corrections code, déclaration DINUM), WAVE (extension navigateur, anglais), axe DevTools (extension Chrome, technique). WebConforme est le seul outil français qui combine accessibilité RGAA, RGPD, SEO et éco-conception en un seul scan automatisé avec des corrections code avant/après.

Amendes CNIL & RGPD 2025-2026 : panorama, PME, grille de risque

1. Panorama 2025-2026

Selon le rapport annuel de la CNIL, 2024 a vu un record de sanctions cumulées en Europe : plus d'1,2 milliard d'euros, dont une part significative en France. 2025-2026 continue la tendance avec une orientation vers la chaîne de sous-traitance et les traitements automatisés.

Trois thématiques concentrent la majorité des sanctions :

Cookies et trackers — absence de consentement, interface trompeuse, équivalence accepter/refuser non respectée.
Durées de conservation excessives — données clients gardées indéfiniment, logs conservés au-delà du raisonnable.
Sécurité des données — chiffrement manquant, mots de passe faibles, fuites de données évitables.

2. Top sanctions grands comptes

Année	Organisation	Montant	Manquement principal
2024	Meta (Irlande)	310 M€	Traitement des données Facebook pour publicité comportementale sans base légale valable
2024	TikTok (Irlande)	345 M€	Traitement des données d'enfants, transparence insuffisante
2023	Criteo (France)	40 M€	Consentement cookies mal recueilli, traitements non documentés
2022	Google LLC (France)	150 M€	Cookies : refus plus difficile que l'acceptation
2022	Facebook Ireland	60 M€	Même motif : pratiques cookies non conformes

Ces chiffres illustrent la politique CNIL sur les GAFAM. Attention à ne pas en déduire que seuls les grands comptes sont visés (voir section suivante).

3. Cas PME sous-estimés

Les sanctions PME sont moins médiatisées mais proportionnellement plus destructrices. Quelques exemples documentés dans les rapports CNIL récents :

E-commerce 45 salariés — 50 000 € pour conservation de données clients sans limite + cookies non conformes.
Start-up RH 20 salariés — 75 000 € pour vidéosurveillance continue des salariés sans base légale suffisante.
Cabinet médical 8 praticiens — 15 000 € pour défaut de sécurisation d'un espace patient (mots de passe en clair).
Association 12 salariés — 20 000 € pour prospection sans consentement + absence de registre des traitements.

Ordre de grandeur : pour une PME réalisant 2-10 M€ de CA, une sanction à 5-chiffres + frais juridiques + temps de mise en conformité urgence = coût cumulé de 50 000 à 150 000 €. Souvent supérieur au coût d'une conformité préventive sur 2-3 ans.

4. Grille de risque par type de manquement

Manquement	Probabilité	Impact	Priorité
Cookies non consentis	Très élevée	Fort	Critique
Absence de politique de confidentialité	Élevée	Fort	Critique
Formulaires sans information RGPD	Élevée	Moyen	Majeur
Conservation illimitée	Moyenne	Fort	Majeur
Registre des traitements manquant	Moyenne	Moyen	Majeur
Mots de passe faibles en BDD	Faible	Très fort	Majeur
Sous-traitants non contractualisés	Moyenne	Moyen	Important
Violation non notifiée (72h)	Faible	Très fort	Critique

5. Règles de prévention (actionables en 48h)

Auditer le bandeau cookies : « Accepter » et « Refuser » doivent avoir le même niveau de visibilité. Tracker aucun tracker avant consentement.
Mettre à jour la politique de confidentialité avec : finalités, durées de conservation, droits, contact DPO/référent, base légale.
Ajouter une mention RGPD synthétique sur chaque formulaire (finalité + durée + droits + contact).
Vérifier tous les sous-traitants : ont-ils signé un DPA (art. 28) ? Télécharger le DPA WebConforme →
Établir ou mettre à jour le registre des traitements — obligation pour toute structure de plus de 250 salariés ou traitant des données à risque, vivement recommandé en deçà.
Durcir la sécurité : chiffrement at-rest, hash bcrypt pour les passwords, MFA admin, sauvegardes chiffrées.
Préparer une procédure de notification de violation (72 h cible). Toutes les PME de plus de 20 salariés devraient avoir un template prêt.

6. Scénarios de contrôle CNIL

Scénario A — Contrôle en ligne (le plus fréquent)

La CNIL visite votre site anonymement, teste la bannière cookies, consulte la politique de confidentialité, vérifie les formulaires. Résultat : un rapport est envoyé avec demande d'explications sous 30 jours. 90 % des cas se règlent par simple mise en conformité.

Scénario B — Contrôle sur plainte

Un utilisateur signale sur la plateforme CNIL. L'autorité vérifie si le manquement est caractérisé. Si oui : mise en demeure ou sanction directe selon la gravité.

Scénario C — Contrôle sur place

Plus rare mais plus lourd. L'équipe CNIL se déplace, accède aux systèmes, interroge les équipes. Généralement déclenché par un signalement grave, une fuite de données, ou un secteur à risque (santé, éducation, marketing comportemental).

FAQ

Quelle est la sanction maximale RGPD ?

20 millions d'euros ou 4 % du CA annuel mondial (le plus élevé des deux), pour les manquements les plus graves (art. 83.5). Pour les manquements moins graves (art. 83.4), le plafond est à 10 M€ ou 2 % du CA.

Les PME sont-elles vraiment contrôlées ?

Oui. La CNIL mène chaque année environ 300 contrôles sur place et plus de 1 000 contrôles en ligne. Sur 2024, plus de 50 % des sanctions ont visé des PME ou ETI, souvent pour des manquements basiques (cookies non consenties, absence d'information, données conservées au-delà du nécessaire).

Que risque-t-on en cas de cookies sans consentement ?

Sanction financière pouvant aller de 5 000 € (start-up) à plusieurs millions (grands groupes). La CNIL a fait du respect des règles cookies une priorité annuelle depuis 2022 (doctrine cookies-walls, consentement actif, équivalence accepter/refuser).

Faut-il un DPO pour une PME ?

Obligatoire seulement si : traitement à grande échelle, traitement de données sensibles à grande échelle, ou traitement systématique et à grande échelle pour surveillance. Cependant, désigner un point de contact interne (même non DPO) est recommandé et facilite la conformité.

Comment anticiper un contrôle CNIL ?

Trois documents minimum doivent être prêts à présenter : (1) le registre des traitements à jour, (2) la politique de confidentialité du site, (3) un rapport d'audit RGPD récent (cookies, formulaires, sous-traitants, conservation). WebConforme scanne ces trois dimensions en quelques minutes.

Vérifiez votre exposition RGPD en 30 secondes

Scan gratuit : cookies, politique, formulaires, sous-traitants. Zéro installation.

Lancer le scan RGPD →

Guide lié

EAA 2026 — sanctions et obligations

Guide lié

Déclaration DINUM — modèle 2026