Pour les publics · Institutions financières

Accessibilité pour les banques, fintechs et établissements de paiement — conçu pour les environnements réglementés.

Les banques font face à un risque d'accessibilité sur deux axes : ADA Titre III, dont le dossier des services financiers est l'un des plus denses dans le contentieux américain de l'accessibilité numérique, et l'Acte européen sur l'accessibilité (EAA), qui inclut explicitement les services bancaires aux consommateurs dans son champ d'application à l'article 2, paragraphe 2, point e). Les applications mobiles, les flux de double authentification, les relevés PDF et les SVI nécessitent un traitement attentif. Cette page présente la liste de contrôle WCAG 2.2 AA de 30 points et les notes par plateforme spécifiquement destinées aux équipes d'ingénierie des IF déployant dans des environnements réglementés.

Lancer un scanner WCAG 2.2 gratuit → Accéder à la liste de contrôle de 30 points

Pourquoi les institutions financières sont une cible prioritaire en matière d'accessibilité

Deux régulateurs, l'un des dossiers les plus denses de l'accessibilité numérique.

Aux États-Unis, les services financiers figurent dans les cinq premiers secteurs pour les dépôts au titre de l'ADA Titre III en matière d'accessibilité numérique chaque année depuis que le dossier est suivi à grande échelle. Des banques ont réglé des actions collectives très médiatisées pour des applications mobiles inaccessibles, des relevés PDF non balisés et des SVI ne proposant aucune sortie vers un agent humain pour les utilisateurs de lecteurs d'écran. La défense du « lien physique inexistant » — jamais solide pour la banque de détail dotée d'agences — s'est encore effondrée avec la croissance des néobanques en ligne ; plusieurs circuits l'ont rejetée catégoriquement, et des actions parallèles sous la loi Unruh de Californie et la loi sur les droits de l'État de New York ont élargi l'exposition globale même lorsque les prétentions fédérales échouent.

Dans l'Union européenne, l'Acte européen sur l'accessibilité (EAA) cite explicitement les « services bancaires aux consommateurs » à l'article 2, paragraphe 2, point e) — couvrant les comptes courants de détail, l'épargne, les prêts à la consommation, les prêts immobiliers et les canaux numériques par lesquels ils sont fournis. Les banques du secteur public étaient déjà liées par la Directive sur l'accessibilité des sites web (WAD) depuis 2018 ; l'EAA intègre le secteur privé et la couche fintech orientée consommateur. L'exception pour les microentreprises n'exempte réaliste­ment aucune banque réelle ni aucun établissement de paiement agréé, et la norme EN 301 549 — à laquelle l'EAA renvoie pour la conformité technique — repose sur les critères de succès WCAG 2.2.

Les surfaces de risque spécifiques au produit se concentrent en cinq endroits. Premièrement, les flux d'authentification à deux facteurs utilisant des délais SMS-OTP agressifs de 30 à 60 secondes et des grilles de code à six champs sans aria-labelisation correcte. Deuxièmement, les archives de relevés PDF et la remise de formulaires fiscaux — un seul PDF non conforme à PDF/UA suffit pour étayer une lettre de mise en demeure. Troisièmement, les SVI sans sortie anticipée « appuyez sur 0 pour un agent » pour les utilisateurs ne pouvant pas naviguer dans les menus à l'oreille. Quatrièmement, les plateformes de signature et les flux de vérification d'identité reposant sur le glisser-déposer uniquement à la souris ou sur des widgets de signature non étiquetés. Cinquièmement, les surfaces d'application bancaire mobile — étiquetage VoiceOver / TalkBack, accessibilité des invites biométriques et widgets d'écran verrouillé, chacun constituant une surface d'audit distincte sur chaque plateforme.

Le coût de l'inaction est concret et se manifeste à deux endroits simultanément : l'exposition juridique et le risque de réputation. Les règlements ADA contre les banques aux États-Unis sont généralement nettement supérieurs à la base de 20 000 à 50 000 dollars observée dans les dossiers de pur e-commerce, car les cabinets d'avocats côté demandeurs savent que la couche réglementaire est plus dense — un angle de fair-banking, une possible ordonnance de consentement du CFPB, une question de supervision de l'OCC — et fixent leur tarif en conséquence. Dans l'UE, le barème des amendes de l'EAA est fixé au niveau des États membres et va de quelques dizaines de milliers d'euros dans certaines juridictions à un pourcentage significatif du chiffre d'affaires dans d'autres ; l'Allemagne, la France, l'Italie, l'Espagne et les Pays-Bas ont tous constitué des équipes d'application en 2025 et ont commencé à émettre les premières amendes en 2026. Le coût réputationnel s'accumule : une seule capture d'écran d'une application bancaire mobile inaccessible, partagée par un client disposant d'une large audience dans la communauté des personnes handicapées, a influencé le cours de l'action d'au moins une grande banque américaine ces cinq dernières années.

La bonne nouvelle est que l'accessibilité des IF a une forme reconnaissable. La même douzaine de modes de défaillance se retrouve dans pratiquement chaque audit d'un produit de banque de détail, de néobanque ou d'application de paiement, et la plupart sont corrigeables avec des tokens de design, des bibliothèques de composants partagés ou un sprint d'ingénierie ciblé — pas une refonte complète. La liste de contrôle ci-dessous est ce que nous remettons aux équipes d'ingénierie et de conformité des IF quand elles demandent « par où commencer concrètement ? » — six surfaces, cinq vérifications concrètes par surface, toutes ancrées dans WCAG 2.2 AA et dans les énoncés de performances fonctionnelles de la norme EN 301 549 à laquelle l'EAA renvoie techniquement.

La liste de contrôle de 30 points pour les produits des IF

Six surfaces × cinq vérifications. Imprimez, cochez, puis auditez.

  1. 01 Compte et inscription

  2. 02 Authentification et 2FA

  3. 03 Transactions et paiements

  4. 04 Relevés et documents

  5. 05 Applications mobiles

  6. 06 Service client

Notes d'implémentation par plateforme

Où la liste de contrôle se traduit en code, par les plateformes que les équipes des IF utilisent réellement.

Temenos, FIS, Finastra — hébergement sur cœur bancaire

Les trois grands éditeurs de cœur bancaire livrent des front-ends de banque en ligne orientés client sous forme de modèles configurables par le locataire superposés à un shell de plateforme. La plateforme fournit un niveau de base, mais chaque personnalisation — vos couleurs de marque, vos widgets personnalisés, votre transfert vers un CSR/agent — ajoute un risque qui vous appartient, pas au fournisseur. Demandez à Temenos / FIS / Finastra leur VPAT ou rapport de conformité EN 301 549 à jour pour la version de produit spécifique sur laquelle vous êtes déployé, puis auditez séparément votre propre couche de personnalisation. Le mode de défaillance récurrent est celui des widgets de transaction personnalisés intégrés dans un shell par ailleurs conforme, sans hériter de la gestion clavier et lecteur d'écran du shell.

Plaid, Yodlee, MX — agrégateurs de données intégrés

La liaison de comptes est l'un des flux les plus utilisés dans la fintech moderne et est presque universellement fournie sous forme d'iframe intégré par un tiers. Plaid Link, Yodlee FastLink et MX Connect proposent tous des widgets sensibles à l'accessibilité, mais la frontière de l'iframe rompt la gestion du focus à l'entrée et à la sortie — le focus tombe souvent sur <body> lorsque la modale se ferme, et les lecteurs d'écran perdent l'annonce « lié avec succès ». Encapsulez l'intégration dans votre propre région aria-live, restaurez le focus sur une ancre connue à la fermeture, et testez explicitement les chemins d'échec (établissement indisponible, défi MFA) avec les technologies d'assistance.

Stripe, Adyen — accessibilité de l'élément de paiement

Stripe Payment Element et Adyen Drop-in sont tous deux nettement meilleurs que la génération legacy « iframe de carte », mais chacun est livré dans un iframe avec sa propre gestion du focus et des régions aria-live. Le bogue le plus courant est que le bouton de soumission de la page parente n'attend pas que l'état du focus de l'iframe se stabilise — entraînant des échecs de soumission silencieux que le lecteur d'écran n'annonce jamais. Connectez les événements iframe-onReady / onChange à une région de statut aria-live au niveau parent, et ne désactivez jamais le bouton de soumission sans une raison textuelle annoncée via aria-describedby.

DocuSign, Adobe Sign — flux de signature électronique

Les flux de signature électronique sont l'une des surfaces les plus citées dans les contentieux ADA contre les banques aux États-Unis, car le widget de signature est souvent le contrôle bloquant d'un contrat de prêt, d'une divulgation hypothécaire ou d'un document de demande de carte. DocuSign et Adobe Sign proposent tous deux des fonctionnalités d'accessibilité (signature au clavier, champs annoncés par les lecteurs d'écran), mais chacun exige que le concepteur d'enveloppes de votre côté les applique — les valeurs par défaut de la plateforme ne le font pas. Configurez les modèles d'enveloppes avec des étiquettes de champs explicites, un ordre de lecture accessible et une option de signature sans image (signature par nom saisi) avant d'envoyer toute enveloppe en production.

Interfaces de trading de type Bloomberg Terminal

Les interfaces de trading spécialisées de bureau et web constituent un angle mort d'accessibilité connu, la plupart des plateformes étant optimisées pour la vitesse au clavier pour les utilisateurs voyants expérimentés — pas pour les utilisateurs de lecteurs d'écran. Si vous construisez une interface de trading ou de trésorerie personnalisée, traitez chaque cellule de la liste de surveillance / carnet d'ordres comme un repère étiqueté, exposez les mises à jour via aria-live avec régulation (au risque de saturer la file d'attente des technologies d'assistance), et proposez un mode lecture seule non temps réel pour les utilisateurs dont les technologies d'assistance ne peuvent pas suivre des mises à jour sub-secondes. La densité de type Bloomberg est réalisable de manière accessible, mais uniquement avec une ingénierie délibérée — ce n'est pas gratuit, et ce n'est pas ce que les valeurs par défaut de votre framework vous donneront.

Applications bancaires natives iOS / Android

L'application bancaire mobile est la surface à plus fort trafic pour la plupart des banques de détail et la cible la plus dense dans les dossiers ADA mobiles aux États-Unis. Sur iOS, chaque élément interactif doit porter une étiquette d'accessibilité, des traits d'accessibilité correctement définis (button, header, adjustable) et un ordre d'éléments d'accessibilité logique qui ne saute pas le sélecteur de compte actif ni le montant du virement. Sur Android, les exigences parallèles sont content-description sur chaque vue cliquable, importantForAccessibility correct sur les éléments décoratifs, et un ordre TalkBack vérifié manuellement — pas simplement déduit de la mise en page. Exécutez des assertions d'accessibilité XCUITest et Espresso en CI comme filet de sécurité, mais jamais comme substitut à un vrai passage avec technologies d'assistance sur chaque candidat à la publication.

Le cycle surveillance + audit

Un audit ponctuel ne survit pas à un seul sprint bancaire.

Les banques et les fintechs déploient aussi fréquemment que n'importe quelle équipe logicielle moderne. Le marketing change une image hero le mardi, l'équipe crédit livre un nouveau flux de préqualification le jeudi, un widget tiers pousse une mise à jour le week-end. Une correction d'accessibilité ponctuelle dure à peu près jusqu'au prochain sprint — c'est pourquoi le modèle qui tient réellement pour les équipes des IF est à trois couches, pas une. Chaque couche détecte des défauts différents, et les couches ne se substituent pas les unes aux autres.

Premièrement, lancez un scanner WCAG 2.2 gratuit contre votre site marketing public et vos pages de banque en ligne dès aujourd'hui, pour établir une référence. Deuxièmement, branchez une surveillance automatisée continue sur chaque build de prévisualisation et chaque déploiement en production — c'est la couche qui détecte les régressions avant le client, et la seule qui s'adapte au rythme de déploiement d'une vraie banque. Troisièmement, commandez un audit manuel par des testeurs en situation de handicap au moins annuellement, et après toute refonte majeure, changement de plateforme ou lancement de nouveau produit — les outils automatisés ne détecteront jamais la lisibilité par lecteur d'écran d'une confirmation de transaction, l'intentionnalité de l'ordre de focus sur un flux 2FA, ni si un flux d'inscription est réellement utilisable de bout en bout. Les archives de relevés nécessitent en particulier des tests manuels ; voir les PDFs accessibles de bout en bout pour le workflow PDF/UA.

Pour le transfert entre surveillance et audit manuel spécifiquement, notre guide d'achat de surveillance couvre les plateformes qui gèrent le workflow de l'analyse à l'audit de bout en bout — Qualibooth, axe Monitor, Siteimprove et Level Access. Choisissez sur trois critères spécifiques aux IF : l'adéquation de l'intégration avec votre CI et votre processus de gestion des changements ; si le réseau d'audit manuel de la plateforme inclut réellement des testeurs avec les handicaps que vos clients ont (cognitifs, moteurs, malvoyants, aveugles, sourds et malentendants — pas seulement des aveugles) ; et si le reporting de la plateforme correspond à l'artefact à destination du régulateur dont votre équipe de conformité a besoin (VPAT/ACR, rapport de conformité EN 301 549, déclaration d'accessibilité). Toutes ne le font pas.

Une note spécifique aux IF sur la gouvernance : la couche de surveillance doit s'intégrer dans le processus de gestion des changements que votre banque ou fintech agréée applique déjà pour les modifications en production. Si votre processus de publication exige une validation de l'équipe sécurité, un point de contrôle accessibilité s'insère au même endroit — généralement sous forme de vérification CI dans le pipeline de déploiement, plus une revue trimestrielle dans le même forum qui traite les preuves SOC 2, PCI-DSS et ISO 27001. Traiter l'accessibilité comme un silo de conformité distinct, c'est ainsi qu'elle tombe aux oubliettes ; la traiter comme un élément de risque et de contrôle supplémentaire aux côtés de ceux que votre équipe gère déjà, c'est ainsi qu'elle s'ancre durablement.

FAQ

Les questions que les équipes d'ingénierie et de conformité des IF posent avant de s'engager.

Les applications bancaires sont-elles dans le champ d'application de l'Acte européen sur l'accessibilité ?

Oui. L'EAA cite explicitement les « services bancaires aux consommateurs » à l'article 2, paragraphe 2, point e), couvrant les comptes courants de détail, l'épargne, les prêts personnels, les prêts immobiliers et les canaux numériques par lesquels ils sont fournis — sites web, applications mobiles, DAB et terminaux en libre-service. Les services bancaires interentreprises sont largement hors du champ de l'EAA, mais tout produit qu'un consommateur européen peut ouvrir et utiliser en ligne est inclus. L'exception pour les microentreprises (moins de 10 salariés ET moins de 2 M€ de chiffre d'affaires) n'exempte réaliste­ment aucune banque agréée dans l'UE.

Les relevés PDF comptent-ils comme un « service bancaire » aux fins de l'accessibilité ?

Oui, et c'est l'une des surfaces les plus contentieuses dans les dossiers ADA aux États-Unis contre les banques. Un relevé mensuel livré sous forme de PDF non conforme à PDF/UA est fonctionnellement inaccessible à de nombreux utilisateurs de lecteurs d'écran — l'EAA le traite comme faisant partie du service dans le champ d'application, et les tribunaux américains ont constamment jugé que la remise des relevés est indissociable de la relation bancaire. Émettez des PDFs conformes PDF/UA et proposez une alternative HTML ou CSV pour l'historique des transactions.

Comment la 2FA fonctionne-t-elle concrètement pour un utilisateur de lecteur d'écran ?

Cela dépend du canal. Le SMS-OTP est largement accessible, mais les délais d'expiration sont agressifs — la plupart des banques appliquent une expiration de 30 à 60 secondes qui ne satisfait pas le critère WCAG 2.2.1 Timing Adjustable. Les codes d'application d'authentification fonctionnent bien si le champ accepte le collage ; ils posent problème lorsque les banques répartissent les six chiffres sur six champs séparés sans aria-labelisation correcte. Les clés matérielles et les passkeys sont de plus en plus l'option la plus accessible car le primitif d'interaction utilisateur (toucher un appareil, invite biométrique) est natif au système d'exploitation et bien annoncé — mais un accès de secours pour les utilisateurs sans clé est obligatoire.

Existe-t-il une certification d'accessibilité spécifique aux services financiers ?

Il n'existe pas d'équivalent bancaire de la norme EN 301 549 — les mêmes normes s'appliquent qu'à tout service numérique. Ce qui est spécifique aux institutions financières, c'est la couche réglementaire : aux États-Unis, le CFPB et l'OCC ont publié des orientations renvoyant à l'accessibilité dans le cadre des obligations de fair-banking, et l'application de l'EAA dans l'UE est assurée au niveau des États membres par les mêmes autorités qui supervisent la conduite de la banque de détail. Les banques commandent généralement un VPAT/ACR conforme à WCAG 2.2 AA et un rapport de conformité EN 301 549 parallèle.

Quelle est l'exposition juridique pour une application bancaire mobile inaccessible ?

Aux États-Unis, les applications bancaires mobiles sont l'une des surfaces de dépôt les plus denses en vertu du Titre III de l'ADA, plusieurs grandes banques ayant réglé des actions collectives se chiffrant entre six et sept chiffres. Le DOJ a formellement déclaré que les services des établissements d'accès du public doivent être accessibles, et les positions des 11e et 9e circuits sur la défense du « lien physique » se sont affaiblies au point qu'une néobanque en ligne n'est pas mieux protégée qu'une banque traditionnelle avec des agences. Dans l'UE, les premières amendes EAA ont commencé à être émises en 2026 dans plusieurs États membres.

Un utilisateur de lecteur d'écran peut-il vérifier une transaction sans aide voyante ?

Il devrait pouvoir — et sur un produit bancaire bien conçu, il le peut. Les exigences minimales sont les suivantes : l'écran de confirmation de transaction restitue le montant, la devise, le bénéficiaire et la date sous forme de phrase cohérente ; le bouton de confirmation est libellé sans ambiguïté (pas seulement « Confirmer » mais « Confirmer le virement de 250 € à Jean Dupont ») ; l'état de succès est annoncé via aria-live ; et le reçu résultant est disponible en texte sélectionnable, pas sous forme d'image. Si l'un de ces éléments est absent, l'utilisateur ne peut pas vérifier indépendamment ce qu'il vient d'autoriser — ce qui est un problème de fair-banking autant que d'accessibilité.

À quelle fréquence une banque ou une fintech doit-elle auditer ses surfaces numériques ?

L'analyse automatisée doit s'exécuter à chaque déploiement. La surveillance continue doit s'appliquer à la production quotidiennement. Les audits manuels par des testeurs en situation de handicap doivent être commandés au moins annuellement pour les produits établis, et après toute refonte majeure, changement de plateforme ou modification imposée par le régulateur. Les banques évoluent fréquemment — une page d'accueil marketing mise à jour le mardi, un ajustement de la 2FA le vendredi — et un audit annuel ne survit pas à un seul sprint.

Trois prochaines étapes

Choisissez celle qui correspond à la situation actuelle de votre équipe.

  1. Lancer le scanner

    Un scanner WCAG 2.2 gratuit en direct sur n'importe quelle URL publique. Propulsé par Qualibooth, s'ouvre dans un nouvel onglet. Meilleur point de départ si vous n'avez pas de référence actuelle pour vos surfaces de banque en ligne ou marketing.

    Ouvrir le scanner →

  2. Lire le guide d'achat de surveillance

    Notre guide d'achat de surveillance couvre les plateformes qui gèrent l'analyse jusqu'à l'audit de bout en bout — avec les critères spécifiques aux IF (intégration CI, reporting aligné sur le régulateur, vrais réseaux de testeurs) qui comptent réellement pour les banques et les fintechs agréées.

    Lire le guide →

  3. Obtenir un devis d'audit

    Lisez notre guide pour commander un audit manuel par des testeurs en situation de handicap — ce qu'il faut demander, quel budget prévoir pour un engagement IF, et quelles plateformes disposent d'un vrai réseau de testeurs par rapport à celles qui le sous-traitent.

    Lire le guide →