KYC : les obligations de connaissance client en pratique
KYC : les obligations de connaissance client en pratique
Temps de lecture : 8 minutes Dernière mise à jour : mars 2026
Le KYC — Know Your Customer, ou « Connais ton client » — est la pierre angulaire du dispositif LCB-FT. Derrière ce sigle anglais se cache un ensemble d'obligations concrètes qui impose aux professionnels assujettis de savoir précisément à qui ils ont affaire. Voici comment mettre en œuvre ces obligations au quotidien.
Le KYC : bien plus qu'une vérification d'identité
Le KYC est souvent réduit à tort à une simple vérification de pièce d'identité. En réalité, il englobe un processus bien plus complet qui vise à connaître son client de manière approfondie pour évaluer le risque qu'il représente en matière de blanchiment ou de financement du terrorisme.
Le Code monétaire et financier (articles L. 561-5 à L. 561-14-2) décline cette obligation en plusieurs composantes : l'identification du client, la vérification de son identité sur la base de documents probants, l'identification du bénéficiaire effectif, la connaissance de l'objet et de la nature de la relation d'affaires, et la vigilance constante tout au long de cette relation.
L'identification et la vérification d'identité
Pour les personnes physiques
L'identification d'une personne physique requiert la collecte de ses nom, prénoms, date et lieu de naissance, nationalité, et adresse du domicile. La vérification s'effectue sur présentation d'un document officiel d'identité en cours de validité comportant une photographie : carte nationale d'identité, passeport, titre de séjour. Le professionnel doit en conserver une copie.
Pour les personnes morales
L'identification d'une personne morale est plus complexe. Elle nécessite la collecte de la dénomination sociale, la forme juridique, l'adresse du siège social, le numéro d'immatriculation (RCS, SIREN), l'identité des représentants légaux et des principaux dirigeants, et les statuts à jour. La vérification s'appuie sur un extrait Kbis de moins de trois mois, les statuts certifiés conformes, et tout document officiel attestant de l'existence juridique de l'entité.
L'identification à distance
Avec la digitalisation des services financiers, l'identification à distance est devenue courante. Elle est encadrée par des règles spécifiques et peut s'appuyer sur des moyens d'identification électronique certifiés (identité numérique), la vérification par visioconférence avec contrôle documentaire, ou des solutions de vérification automatisée utilisant l'intelligence artificielle. L'ACPR a précisé les conditions dans lesquelles ces méthodes sont acceptables, en insistant sur le fait qu'elles doivent offrir un niveau de fiabilité équivalent à l'identification en face à face.
L'identification du bénéficiaire effectif
Le bénéficiaire effectif est la ou les personnes physiques qui contrôlent en dernier ressort le client personne morale. L'identification du bénéficiaire effectif vise à percer le « voile sociétaire » pour savoir qui se cache derrière les structures juridiques.
Sont considérés comme bénéficiaires effectifs les personnes physiques détenant directement ou indirectement plus de 25 % du capital ou des droits de vote de la société, les personnes physiques exerçant par tout autre moyen un pouvoir de contrôle sur les organes de gestion ou de direction, ou, à défaut, le représentant légal de la société.
Pour les structures complexes — trusts, fiducies, fondations — des critères spécifiques s'appliquent. Le professionnel doit remonter toute la chaîne de détention pour identifier la ou les personnes physiques qui exercent le contrôle effectif.
Le Registre des bénéficiaires effectifs (RBE), tenu par les greffes des tribunaux de commerce, est une source de vérification essentielle mais non suffisante : le professionnel doit croiser ces informations avec ses propres investigations.
L'approche par les risques appliquée au KYC
Le niveau de diligence KYC n'est pas uniforme. Il s'adapte au profil de risque du client selon trois niveaux.
Vigilance simplifiée
Elle s'applique lorsque le risque de blanchiment est considéré comme faible, par exemple pour des clients présentant un profil simple et transparent (sociétés cotées en bourse, entités publiques de pays à faible risque). Les vérifications peuvent être allégées, mais jamais supprimées.
Vigilance standard
C'est le niveau de base, applicable à la majorité des relations d'affaires. Il comprend l'ensemble des diligences d'identification, de vérification et de suivi décrites dans cet article.
Vigilance renforcée
Elle s'impose dans les situations à risque élevé, notamment pour les personnes politiquement exposées (PPE) et leurs proches, les clients résidant dans des pays tiers à haut risque identifiés par le GAFI ou l'Union européenne, les opérations complexes ou d'un montant inhabituellement élevé, les relations d'affaires avec des clients dont la structure de propriété est opaque, et les opérations sans objet économique apparent. La vigilance renforcée implique des vérifications supplémentaires sur l'origine des fonds et du patrimoine, une validation par un membre de la direction, et un suivi plus fréquent de la relation.
La vigilance continue
Le KYC n'est pas un contrôle ponctuel effectué à l'entrée en relation. C'est un processus continu qui s'exerce tout au long de la relation d'affaires. Cela implique la mise à jour régulière des informations client (au minimum tous les ans pour les clients à haut risque, tous les trois à cinq ans pour les autres), le suivi des opérations pour détecter celles qui sont incohérentes avec la connaissance du client, et la revue périodique de la classification des risques.
Toute anomalie détectée dans le cadre de cette surveillance continue — opération inhabituelle, changement de profil, information contradictoire — doit déclencher un examen renforcé et, le cas échéant, une déclaration de soupçon.
Les cas de refus ou de rupture de la relation
Lorsque le professionnel n'est pas en mesure d'effectuer les diligences KYC requises — parce que le client refuse de fournir les documents demandés, parce que les informations obtenues sont insuffisantes ou contradictoires, ou parce que le risque est jugé inacceptable — il ne doit pas nouer la relation d'affaires ou, si elle est déjà établie, il doit envisager d'y mettre fin. Il doit également examiner la nécessité d'effectuer une déclaration de soupçon.
Les outils technologiques au service du KYC
Le KYC a considérablement évolué grâce aux technologies. Les solutions de regtech (technologie réglementaire) permettent aujourd'hui d'automatiser la vérification d'identité par reconnaissance biométrique, de filtrer les clients contre les listes de sanctions et les bases de PPE en temps réel, de surveiller les transactions par des algorithmes de détection d'anomalies, et de centraliser la gestion documentaire dans des plateformes sécurisées. Ces outils ne remplacent pas le jugement humain mais le complètent efficacement, permettant aux professionnels de traiter des volumes importants tout en maintenant un haut niveau de rigueur.
Conclusion
Le KYC est le socle sur lequel repose l'ensemble du dispositif LCB-FT. Sans une connaissance approfondie et actualisée de ses clients, aucun professionnel ne peut prétendre détecter efficacement les opérations suspectes. L'investissement dans des procédures KYC robustes n'est pas seulement une obligation réglementaire : c'est un gage de sécurité pour l'entreprise et ses clients.
Cet article a été rédigé à titre informatif et ne constitue pas un avis juridique. Pour toute question sur la mise en œuvre de vos obligations KYC, consultez les lignes directrices de votre autorité de supervision ou un professionnel du droit.
