Le RGAA français : l'obligation d'audit du secteur public qui s'étend aux marchés privés

Description de l’image : un document officiel du gouvernement français arborant l’emblème Marianne et un tampon à cire reposant sur un bureau en bois poli — l’ancrage bureaucratique du cadre d’accessibilité RGAA de la France.

Temps de lecture : 10 minutes

Le Référentiel général d’amélioration de l’accessibilité (RGAA) est le référentiel technique national de la France pour l’accessibilité numérique. Dans sa version 4.1.2, il met en œuvre l’Article 47 de la Loi n° 2005-102 du 11 février 2005 pour l’égalité des droits et des chances et aligne la mise en conformité du secteur public français avec WCAG 2.1 niveau AA. Pour le contexte européen plus large, voir l’index national des réglementations en matière de droits des personnes handicapées et le primer Disability World sur l’Acte européen sur l’accessibilité (EAA).

Deux caractéristiques rendent le RGAA inhabituel parmi les référentiels nationaux européens. Premièrement, chaque entité couverte doit publier — sur la page d’accueil du service — une déclaration d’accessibilité annuelle appuyée par un audit documenté et un schéma pluriannuel. Deuxièmement, si l’obligation légale lie formellement le secteur public, le RGAA s’étend aux marchés privés via les marchés publics : tout fournisseur vendant un service numérique couvert à l’État français doit effectivement s’y conformer. Avec la Loi du 9 mars 2023 portant diverses dispositions d’adaptation au droit de l’Union européenne (BFG, la transposition française de l’EAA) entrant en vigueur le 28 juin 2025, l’obligation atteint désormais également un ensemble défini de services privés. Ce primer couvre ce qu’est le RGAA, qui il lie, comment il est appliqué, et quel est le tableau en 2026.

Objet et champ

Le RGAA est un référentiel technique maintenu par la Direction interministérielle du numérique (DINUM) — la direction interministérielle du numérique au sein des services du Premier ministre — qui traduit les critères de succès WCAG en une méthodologie d’audit structurée en langue française. Ce n’est pas, en soi, la source de l’obligation légale : l’obligation découle de l’Article 47 de la loi de 2005, précisée par le décret n° 2019-768 du 24 juillet 2019 et l’arrêté d’application du 20 septembre 2019 (révisé en 2020 et 2023). Le RGAA est le document que ces textes incorporent par renvoi comme référence de conformité.

La version 4 du RGAA, publiée en 2019 et mise à jour par des versions intermédiaires jusqu’à 4.1.2 en 2023, a restructuré le référentiel autour de WCAG 2.1 niveau AA. Il contient 106 tests regroupés sous 13 thématiques — images, cadres, couleurs, multimédia, tableaux, liens, scripts, éléments obligatoires, structure de l’information, présentation de l’information, formulaires, navigation et consultation. Chaque test correspond à un ou plusieurs critères de succès WCAG et est associé à une méthode d’audit fixe : ce que l’auditeur doit vérifier, avec quelle technologie d’assistance, et comment consigner le résultat comme conforme, non conforme ou non applicable.

Qui est couvert

L’obligation au titre de l’Article 47 de la loi de 2005, telle que modifiée par la Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, s’étend à :

• Les organismes du secteur public — administration centrale, collectivités territoriales (régions, départements, communes), hôpitaux publics, universités publiques et tout établissement public administratif.
• Les organismes de droit public — entités qui, bien que ne faisant pas strictement partie de l’administration, sont financées ou contrôlées par des fonds publics, telles que les caisses de sécurité sociale et certaines agences nationales.
• Les personnes privées chargées d’une mission de service public — opérateurs de transports en commun, diffuseurs publics et certains concessionnaires de services délégués.
• Les entités privées au-dessus du seuil — entreprises privées dont le chiffre d’affaires en France dépasse 250 millions d’euros sur les trois derniers exercices fiscaux, introduites par la Loi pour la liberté de choisir son avenir professionnel de 2018 et détaillées dans le décret de 2019.

Le seuil de 250 millions d’euros est le pont qui surprend les observateurs non français : le RGAA est souvent décrit comme un référentiel « secteur public », mais en pratique les grandes entreprises privées opérant en France — banques, opérateurs télécoms, distributeurs, fournisseurs d’énergie — sont déjà dans son périmètre, indépendamment de l’EAA. Avec la transposition BFG entrant en vigueur en 2025, le périmètre s’est élargi pour couvrir des services privés orientés consommateurs spécifiques, quelle que soit leur taille.

Dispositions clés : l’obligation d’audit

Ce qui distingue le RGAA d’un simple référentiel de recommandations est l’architecture opérationnelle de mise en conformité inscrite dans le décret et l’arrêté de 2019. Chaque entité couverte doit faire quatre choses, selon un cycle annuel renouvelable.

La déclaration d’accessibilité

Premièrement, publier une déclaration d’accessibilité sur chaque service numérique couvert — site web, application mobile, intranet, extranet et outil de back-office utilisé par le public — accessible depuis la page d’accueil. La déclaration doit suivre le modèle de l’arrêté : état de conformité déclaré (totalement / partiellement / non conforme), le taux de conformité en pourcentage des tests RGAA réussis, une liste des contenus non accessibles avec justifications, la méthode et la date d’audit, ainsi que les canaux de contact permettant aux utilisateurs de signaler des problèmes d’accessibilité et de demander des alternatives.

Une déclaration d’accessibilité affirmant « totalement conforme » doit reposer sur un audit réalisé par un auditeur externe ou interne qualifié sur la totalité de la grille RGAA à 106 tests. « Partiellement conforme » requiert l’audit et un taux de conformité d’au moins 50 % des tests applicables. En dessous de 50 %, le service doit déclarer « non conforme » — une déclaration qui, en 2026, est devenue inconfortable à afficher publiquement compte tenu de l’attention des médias et des délégués à la protection des données.

Le schéma pluriannuel

Deuxièmement, chaque entité couverte doit publier un schéma pluriannuel de mise en accessibilité — une feuille de route d’accessibilité sur trois ans — et un plan d’action annuel qui en découle. Les deux documents sont publics. La feuille de route nomme les services couverts, le budget alloué, les dispositifs de gouvernance (le référent accessibilité nommé) et les jalons ; le plan d’action liste les travaux de correction concrets programmés pour l’année. La DINUM publie sa propre feuille de route à titre d’exemple, et l’Anct (l’Agence nationale de la cohésion des territoires) aide les petites collectivités locales à rédiger la leur.

Retour utilisateur et recours au Défenseur des droits

Troisièmement, chaque déclaration d’accessibilité doit offrir aux utilisateurs un canal de retour et expliquer la voie vers le Défenseur des droits — le médiateur français — si aucune réponse satisfaisante n’est reçue. Le Défenseur des droits traite depuis 2019 les plaintes en matière d’accessibilité numérique comme une catégorie à part entière, et ses rapports annuels citent les entités couvertes reconnues en infraction. Bien que les recommandations du Défenseur ne soient pas contraignantes, elles sont publiées et ont fait évoluer plusieurs grandes migrations de services publics.

Formation obligatoire

Quatrièmement, le décret de 2019 impose aux entités couvertes de former les agents qui conçoivent, développent ou publient des contenus numériques. La formation n’est pas spécifiée en heures, mais le schéma pluriannuel doit nommer les agents formés et les prestataires utilisés. Les lignes directrices Design Gouv de la DINUM et le catalogue de formations Accessibilité numérique maintenu par l’organisme public de formation professionnelle constituent les offres de référence de facto ; les universités privées et les formations accélérées dispensant des cursus alignés sur la grille RGAA se sont multipliées depuis 2022.

Chronologie : comment le RGAA est parvenu à la version 4.1.2

• 11 février 2005 — L’Article 47 de la loi pour l’égalité des droits et des chances pose le principe que les services en ligne du secteur public doivent être accessibles.
• 2009 — Publication du RGAA version 1. Construit sur WCAG 1.0 ; immédiatement critiqué par les délégués à la protection des données comme trop favorable aux éditeurs.
• 2014 — RGAA version 2 aligné sur WCAG 2.0 niveau AA.
• 7 octobre 2016 — La Loi pour une République numérique étend l’obligation aux organismes publics en ligne et introduit le seuil de chiffre d’affaires du secteur privé (alors 250 millions d’euros).
• 2017 — Publication du RGAA version 3.2017 ; première version à intégrer une grille d’audit conçue pour l’auto-évaluation de routine.
• 2019 — Décret n° 2019-768 du 24 juillet 2019 et arrêté d’application du 20 septembre 2019 fixant les obligations opérationnelles — déclaration d’accessibilité, schéma pluriannuel, plan annuel, formation. RGAA version 4 publié la même année, aligné sur WCAG 2.1 AA et les exigences de la Directive sur l’accessibilité des sites web (2016/2102).
• 2020–2023 — Versions intermédiaires 4.0, 4.1, 4.1.1 et 4.1.2 affinant la méthodologie d’audit, élargissant la couverture des applications mobiles et clarifiant les règles de notation.
• 9 mars 2023 — Loi portant diverses dispositions d’adaptation au droit de l’Union européenne (BFG) transposant l’Acte européen sur l’accessibilité en droit français, avec les décrets d’application adoptés plus tard en 2023.
• 28 juin 2025 — Les dispositions BFG pour les services privés orientés consommateurs entrent en vigueur, reprenant la date d’application de l’EAA dans l’ensemble de l’UE.
• 2026 — première année de reporting complète sous le périmètre élargi ; le rapport de transparence de l’ARCOM intègre pour la première fois des données de conformité sur les services du secteur privé.

Application : ARCOM, DGCCRF et Défenseur des droits

L’application de l’accessibilité numérique en France mobilise trois autorités aux mandats qui se recoupent mais restent distincts. Comprendre quelle autorité fait quoi est la différence entre une posture de conformité symbolique et une posture défendable.

ARCOM — le régulateur des plateformes avec la mission accessibilité

L’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) — créée en 2022 par la fusion du régulateur audiovisuel CSA et de l’organisme de lutte contre le piratage HADOPI — a hérité de la responsabilité de la surveillance de l’accessibilité numérique des services publics et des grandes entreprises privées au titre de l’Article 47. L’ARCOM publie un rapport périodique sur l’application de l’article 47 qui cite les entités couvertes, leurs taux de conformité déclarés et les entités n’ayant pas publié de déclaration. Le rapport 2025 couvrait environ 4 800 organisations dans le périmètre ; environ un tiers n’avait pas de déclaration d’accessibilité sur la page d’accueil dans la forme prescrite.

Depuis 2020, l’ARCOM a le pouvoir d’émettre des amendes administratives allant jusqu’à 50 000 € par service pour défaut de publication d’une déclaration d’accessibilité conforme, défaut de production d’un schéma pluriannuel, ou publication d’une déclaration représentant matériellement de manière inexacte l’état de conformité. Le plafond de l’amende a été relevé de 25 000 € par la réforme de 2023 et est doublé en cas de récidive. En 2026, l’ARCOM a émis plus d’une vingtaine d’amendes, presque toutes à l’encontre d’entités du secteur privé au-dessus du seuil de chiffre d’affaires ; les amendes visant le secteur public restent rares et la pression réputationnelle fait l’essentiel du travail à la place.

DGCCRF — application de la protection des consommateurs côté privé

La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) — la direction de la protection des consommateurs et de la concurrence du ministère de l’Économie — assure l’application de la réglementation sur les services aux consommateurs du secteur privé mis dans le périmètre par le BFG. Là où l’ARCOM contrôle l’obligation de l’Article 47 comme telle, la DGCCRF contrôle les obligations découlant de l’EAA sur le commerce électronique, la banque, la billetterie dans les transports, les livres numériques et les autres catégories listées à l’Annexe I de la Directive 2019/882. Les agents de la DGCCRF disposent de pouvoirs d’inspection, peuvent émettre des sanctions administratives allant jusqu’à 75 000 € pour les personnes morales et renvoient les cas les plus graves aux procureurs.

La répartition importe parce qu’un site web d’un grand distributeur français se trouve, simultanément, dans le périmètre de l’ARCOM au titre du seuil de 250 millions d’euros et dans celui de la DGCCRF comme service de commerce électronique aux consommateurs au titre du BFG. Les deux autorités peuvent agir ; en pratique, la DINUM a coordonné un protocole d’accord clarifiant quelle autorité pilote quel dossier.

Le Défenseur des droits — plaintes individuelles

Le Défenseur des droits traite les plaintes individuelles des utilisateurs ne pouvant pas accéder à un service couvert. Les recommandations de l’institution ne sont pas contraignantes mais sont publiées, et dans les cas répétés, le Défenseur a transmis des dossiers à l’ARCOM pour une action administrative complémentaire. Le rapport annuel 2024 a enregistré plus de 1 600 plaintes en matière d’accessibilité numérique, le chiffre annuel le plus élevé depuis la création de la catégorie.

Comment le RGAA s’étend aux marchés privés

L’extension du RGAA au-delà de son périmètre formel est largement une conséquence de la commande publique française. L’Article L2112-2 du Code de la commande publique et les modèles de cahier des clauses administratives générales (CCAG) publiés par Bercy imposent aux acheteurs publics d’intégrer des exigences d’accessibilité dans les spécifications techniques des services numériques. En pratique, tout appel d’offres de l’État, d’une région, d’un département, d’une commune, d’un hôpital, d’une université ou d’un établissement public pour un site web, une application, un CMS, un système de gestion clientèle ou un intranet comporte désormais une clause de conformité RGAA.

Pour les fournisseurs, la conséquence est directe. Une société SaaS vendant une plateforme de billetterie au secteur public doit démontrer sa conformité au RGAA à la signature du contrat, intégrer une obligation d’audit annuel dans le SLA et accepter des clauses de pénalités liées à la non-conformité. Un cabinet de conseil soumissionnant pour une refonte de site web doit avoir des développeurs formés à la grille de tests du RGAA. Un système de conception qui ne passe pas la grille des 13 thématiques du RGAA ne remporte pas de marché public en France. L’empreinte géographique et sectorielle du référentiel est donc bien plus large que l’obligation légale ne le suggère — et c’est l’une des raisons pour lesquelles les cabinets français d’ingénierie de l’accessibilité ont développé des pratiques de conseil matures autour des audits RGAA.

L’élargissement EAA : à partir de 2025

L’Acte européen sur l’accessibilité (Directive 2019/882) a été transposé en droit français par le BFG du 9 mars 2023, avec des décrets d’application adoptés plus tard en 2023. L’application a commencé le 28 juin 2025, reprenant la date à l’échelle de l’UE. La transposition ne remplace pas le RGAA ; elle s’y juxtapose. Le RGAA reste le référentiel d’audit pour les services du secteur public et pour les grands services privés déjà dans le périmètre de l’Article 47. Le BFG étend une obligation parallèle à une liste définie de services privés orientés consommateurs — commerce électronique, banque de détail et crédit à la consommation, livres numériques et logiciels de lecture dédiés, services de communications électroniques, accès aux services de médias audiovisuels, billetterie et information dans les transports, et DAB et terminaux en libre-service — quelle que soit la taille de l’entreprise, sous réserve de l’exemption harmonisée pour les micro-entreprises de l’UE.

Pour ces services privés, la conformité est mesurée par rapport à la norme européenne harmonisée EN 301 549, qui intègre elle-même WCAG 2.1 AA pour le web et le mobile. Autrement dit, le contenu pratique de la mise en conformité est le même que celui du RGAA — mais le véhicule juridique, l’autorité d’application (la DGCCRF plutôt que l’ARCOM) et le modèle de documentation diffèrent. Nombre de fournisseurs privés français déjà conformes au RGAA pour les marchés publics ont profité de 2024 et 2025 pour étendre le même programme d’audit à leurs produits grand public, estimant raisonnablement que gérer deux régimes de conformité parallèles coûte plus cher qu’en gérer un seul.

Implications pratiques : ce qu’il faut préparer pour 2026

Pour les organisations nouvellement dans le périmètre — en particulier les services privés français de taille moyenne dans les catégories BFG — l’effort opérationnel se décompose en quatre flux de travail. Aucun n’est exotique ; tous sont implacables sur les délais.

• Réaliser l’audit. Qu’il soit mené sur la grille de 13 thématiques du RGAA (secteur public et grands privés) ou EN 301 549 (services privés BFG), l’audit doit être documenté, daté et signé par un auditeur identifiable. Les auto-audits sont permis mais un audit tiers a matériellement plus de poids si l’ARCOM ou la DGCCRF conteste ultérieurement la déclaration publiée.
• Publier la déclaration. La déclaration d’accessibilité doit figurer sur la page d’accueil de chaque service couvert, suivre le modèle officiel et être mise à jour au moins annuellement. Une déclaration absente ou non conforme est la défaillance que l’ARCOM sanctionne le plus fréquemment — plus facile à détecter, plus facile à prouver, plus facile à traiter que des manquements substantiels aux WCAG.
• Rédiger le schéma pluriannuel. Les organismes du secteur public ont une obligation de feuille de route triennale. Les entités privées au titre du BFG n’ont pas d’obligation formelle équivalente, mais la plupart des grands fournisseurs publient des feuilles de route volontaires pour gérer les risques liés aux marchés publics et le contrôle des délégués à la protection des données.
• Former et nommer un référent. Chaque entité couverte doit former ses équipes de conception, de développement et éditoriales, et nommer un référent accessibilité. Les coordonnées du référent appartiennent à la déclaration d’accessibilité ; le programme de formation appartient au schéma pluriannuel.

Conclusion : un référentiel national aux contours façonnés par l’UE

Vingt et un ans après que la loi de 2005 ait posé le principe, le RGAA est devenu l’un des référentiels nationaux d’accessibilité numérique les plus opérationnellement précis d’Europe — une méthodologie d’audit à 106 tests, une auto-évaluation annuelle obligatoire, une déclaration d’accessibilité publique, une feuille de route triennale, des référents nommés, une formation obligatoire, et deux régulateurs (ARCOM et DGCCRF) dotés de pouvoirs d’amende administrative. Le référentiel n’est pas bruyant, mais il est dense, et via les marchés publics il façonne une empreinte commerciale bien plus large que son périmètre formel.

La question intéressante pour le reste de la décennie est de savoir si le RGAA et l’EAA s’installent dans un régime propre à deux voies — RGAA pour le secteur public et le grand périmètre privé préexistant, EN 301 549 plus le BFG pour les nouveaux services privés aux consommateurs — ou si la DINUM publie finalement un RGAA de cinquième génération qui absorbe la grille EAA et présente aux organisations couvertes un référentiel unique en langue française. La consultation RGAA de 2024 a laissé entrevoir cette dernière option. Pour l’heure, les organisations opérant en France doivent supposer que les deux régimes s’appliquent et concevoir leur programme de mise en conformité autour du plus large des deux. Pour approfondir le sujet, voir le primer Disability World sur l’Acte européen sur l’accessibilité et l’index national des réglementations en matière de droits des personnes handicapées.