Risque Blanchiment
Guides pratiques·Tom Zielinger·15 min de lecture

KYC : les obligations de connaissance client en pratique

Identification, vérification d'identité, bénéficiaire effectif, vigilance renforcée : guide pratique des obligations KYC pour les professionnels assujettis à la LCB-FT.

KYCconnaissance clientbénéficiaire effectifvigilanceguide

Le KYC — Know Your Customer, ou « Connais ton client » — est la pierre angulaire du dispositif LCB-FT. Derrière ce sigle anglais se cache un ensemble d'obligations concrètes qui impose aux professionnels assujettis de savoir précisément à qui ils ont affaire. Voici comment mettre en œuvre ces obligations au quotidien.

Le KYC : bien plus qu'une vérification d'identité

Le KYC est souvent réduit à tort à une simple vérification de pièce d'identité. En réalité, il englobe un processus bien plus complet qui vise à connaître son client de manière approfondie pour évaluer le risque qu'il représente en matière de blanchiment ou de financement du terrorisme.

Le Code monétaire et financier (articles L. 561-5 à L. 561-14-2) décline cette obligation en plusieurs composantes : l'identification du client, la vérification de son identité sur la base de documents probants, l'identification du bénéficiaire effectif, la connaissance de l'objet et de la nature de la relation d'affaires, et la vigilance constante tout au long de cette relation.

L'identification et la vérification d'identité

Pour les personnes physiques

L'identification d'une personne physique requiert la collecte de ses nom, prénoms, date et lieu de naissance, nationalité, et adresse du domicile. La vérification s'effectue sur présentation d'un document officiel d'identité en cours de validité comportant une photographie : carte nationale d'identité, passeport, titre de séjour.

Le professionnel doit conserver une copie du document et, idéalement, documenter les circonstances de cette vérification. Dans les relations complexes (multinationales, structures imbriquées), il peut être nécessaire de vérifier également l'identité des principaux responsables opérationnels.

Pour les personnes morales

L'identification d'une personne morale est plus complexe. Elle nécessite la collecte de la dénomination sociale, la forme juridique, l'adresse du siège social, le numéro d'immatriculation (RCS, SIREN), l'identité des représentants légaux et des principaux dirigeants, et les statuts à jour.

La vérification s'appuie sur un extrait Kbis de moins de trois mois, les statuts certifiés conformes, et tout document officiel attestant de l'existence juridique de l'entité. Pour les entités étrangères, les équivalents locaux (certificat de constitution, registre du commerce) sont demandés.

Identification en face à face versus à distance

Identification en face à face : elle offre le niveau de certitude le plus élevé. Le professionnel constate directement l'identité et l'intégrité physique du client, examine les documents originaux, et peut poser des questions de clarification. Cette méthode demeure la référence dans les secteurs à haut risque.

Identification à distance : avec la digitalisation des services financiers, l'identification à distance est devenue courante. Elle est encadrée par des règles spécifiques et peut s'appuyer sur des moyens d'identification électronique certifiés (identité numérique eIDAS), la vérification par visioconférence avec contrôle documentaire, ou des solutions de vérification automatisée utilisant l'intelligence artificielle.

L'ACPR a précisé les conditions dans lesquelles ces méthodes sont acceptables, en insistant sur le fait qu'elles doivent offrir un niveau de fiabilité équivalent à l'identification en face à face. Les plateformes de fintech doivent particulièrement démontrer que leurs solutions respectent ce standard.

L'identification du bénéficiaire effectif

Définition et seuil AMLR

Le bénéficiaire effectif est la ou les personnes physiques qui contrôlent en dernier ressort le client personne morale. L'identification du bénéficiaire effectif vise à percer le « voile sociétaire » pour savoir qui se cache derrière les structures juridiques.

Sous le régime antérieur, le seuil était fixé à 25 % du capital ou des droits de vote. Le Règlement AMLR (qui remplace progressivement les directives transposées) maintient ce seuil mais renforce les exigences de traçabilité et de mise à jour régulière, imposant aux entités juridiques de maintenir à jour un registre interne des bénéficiaires effectifs.

Critères d'identification

Sont considérés comme bénéficiaires effectifs les personnes physiques détenant directement ou indirectement plus de 25 % du capital ou des droits de vote de la société, les personnes physiques exerçant par tout autre moyen un pouvoir de contrôle sur les organes de gestion ou de direction (par exemple par la détention d'une place au conseil d'administration ou par la signature de contrats clés), ou, à défaut, le représentant légal de la société.

Cette identification doit être documentée et mise à jour lors de tout changement de contrôle. Une personne morale peut avoir plusieurs bénéficiaires effectifs ; le professionnel doit les identifier tous.

Structures complexes et chaînes de détention

Pour les structures complexes — trusts, fiducies, fondations, sociétés holding — des critères spécifiques s'appliquent. Le professionnel doit remonter toute la chaîne de détention pour identifier la ou les personnes physiques qui exercent le contrôle effectif.

Exemple : une SARL dont l'unique associée est une SAS, elle-même détenue à 60 % par une personne A et 40 % par une personne B. Les bénéficiaires effectifs de la SARL sont A et B. Le professionnel doit documenter cette chaîne complète.

Le Registre des bénéficiaires effectifs

Le Registre des bénéficiaires effectifs (RBE), tenu par les greffes des tribunaux de commerce, est une source de vérification essentielle mais non suffisante : le professionnel doit croiser ces informations avec ses propres investigations. Il doit notamment vérifier auprès du client lui-même et examiner les pièces justificatives (statuts, procès-verbaux d'assemblée, certificats d'actions).

L'approche par les risques appliquée au KYC

Le niveau de diligence KYC n'est pas uniforme. Il s'adapte au profil de risque du client selon trois niveaux : simplifié, standard, et renforcé. Cette approche proportionnée permet une allocation efficace des ressources sans compromettre la conformité.

Vigilance simplifiée

Elle s'applique lorsque le risque de blanchiment est considéré comme faible. Les critères incluent les sociétés cotées en bourse (dont les informations sont publiques), les entités publiques de pays à faible risque, les grandes organisations multinationales bien établies avec des antécédents clairs, et les structures financières simples.

Exemple concret : une PME française enregistrée depuis dix ans, dirigée par un entrepreneur français opérant dans le secteur de la fabrication, sans opérations internationales. Les vérifications demeurent obligatoires (identification, bénéficiaire effectif) mais la documentation peut être moins détaillée et la fréquence de mise à jour moins intensive.

Les vérifications ne peuvent jamais être supprimées : identification et bénéficiaire effectif restent obligatoires, ainsi qu'une compréhension basique de la nature de la relation d'affaires.

Vigilance standard

C'est le niveau de base, applicable à la majorité des relations d'affaires. Il comprend l'ensemble des diligences : identification complète, vérification documentaire, identification du bénéficiaire effectif, compréhension de l'objet et de la nature de la relation, vérification contre les listes de sanctions et les bases de PPE, et suivi régulier des opérations.

Exemple concret : un cabinet d'avocats effectuant des achats immobiliers réguliers, un importateur avec des partenaires stables dans des zones à risque modéré, une SARL classique en secteur ordinaire. Le professionnel documente toutes les diligences, les met à jour annuellement, et réexamine la classification des risques en cas d'opération anormale.

Vigilance renforcée

Elle s'impose dans les situations à risque élevé : personnes politiquement exposées (PPE) et leurs proches, clients résidant dans des pays tiers à haut risque, opérations complexes ou montants inhabituellement élevés, structures de propriété opaques, opérations sans objet économique apparent, secteurs sensibles (jeux d'argent, extraction de minéraux, armes).

Exemple concret 1 — PPE : un client dirigeant ou ancien dirigeant d'une entité gouvernementale, même sans position officielle actuelle. Le professionnel mène une enquête approfondie sur la source de la richesse, les transactions antérieures connues, la réputation publique, et effectue une vérification spécifique sur les sanctions internationales.

Exemple concret 2 — Montant inhabituel : une TPE réalisant habituellement des transactions de 50 000 € mais soudain demandant un crédit de 2 millions d'euros. Une vigilance renforcée exige une justification détaillée de la source des fonds, des vérifications clients dans la chaîne (que finance-t-elle vraiment ?), et une approbation hiérarchique.

Exemple concret 3 — Secteur sensible : un revendeur de bijoux de luxe opérant en cash intensif. Obligation d'une documentation stricte de la provenance des pierres précieuses, des sources de trésorerie, et d'un suivi de chaque transaction notable.

La vigilance renforcée implique des vérifications supplémentaires sur l'origine des fonds et du patrimoine, une validation obligatoire par un membre de la direction, un suivi plus fréquent (au minimum semestriel), et une documentation détaillée justifiant le maintien de la relation.

La vigilance continue

Le KYC n'est pas un contrôle ponctuel effectué à l'entrée en relation. C'est un processus continu qui s'exerce tout au long de la relation d'affaires et constitue un élément central de la détection des activités suspectes.

Calendrier de mise à jour

Les informations client doivent être mises à jour régulièrement : au minimum annuellement pour les clients classés à haut risque, tous les trois à cinq ans pour les autres. Cette mise à jour porte sur l'identité, la domiciliation, la structure de propriété, les bénéficiaires effectifs, et l'objet des opérations.

Une mise à jour immédiate s'impose en cas d'événement significatif : changement de dirigeant, modification du capital, fusion-acquisition, changement de secteur d'activité, augmentation majeure du volume transactionnel.

Suivi des opérations et détection d'anomalies

Le professionnel doit contrôler régulièrement que les opérations effectuées sont cohérentes avec la connaissance du client et son profil de risque. Un importateur de textiles qui effectue soudainement des virements vers des comptes en paradis fiscal, ou un cabinet médical réalisant des opérations répétées et circulaires sans justification : ces signaux doivent être détectés et investigués.

Les outils technologiques (détection par règles, intelligence artificielle) facilitent ce suivi sur des volumes importants, mais le jugement professionnel reste indispensable pour interpréter les alertes.

Toute anomalie déclenche un examen renforcé

Toute anomalie détectée — opération inhabituelle, changement de profil, information contradictoire, modification des bénéficiaires effectifs — doit déclencher un examen renforcé documenté. Si cet examen révèle un risque de blanchiment ou de financement du terrorisme, une déclaration de soupçon doit être adressée à Tracfin sans délai.

Les cas de refus ou de rupture de la relation

Refus de nouer la relation

Le professionnel ne doit pas accepter un client si les diligences KYC ne peuvent être effectuées correctement. Les motifs incluent : refus du client de fournir les documents demandés, informations obtenues insuffisantes ou contradictoires, indices de fraude ou de fausseté des documents, risque de blanchiment manifeste, incapacité à identifier le bénéficiaire effectif réel.

Exemple : un client refuse catégoriquement de divulguer ses bénéficiaires effectifs, prétextant le secret commercial, ou fournit des documents contradictoires qu'il refuse de clarifier. Le professionnel est fondé à refuser la relation, peu importe le montant proposé.

Rupture de la relation établie

Lorsqu'une relation d'affaires existe déjà mais que les diligences KYC ne peuvent plus être respectées, ou que le risque devient inacceptable, le professionnel doit envisager d'y mettre fin. Les motifs incluent : découverte d'informations falsifiées ou frauduleuses, nouvelles sources d'information révélant un profil à risque incompatible avec l'acceptation antérieure, changement dans la situation du client rendant la relation trop risquée.

Exemple : un client établi depuis trois ans, soudainement listée comme PPE suite à une élection, ou dont la structure de propriété est transformée en le rendant contrôlé par une entité listée aux sanctions internationales. La rupture peut être envisagée.

Déclaration de soupçon en cas de refus ou rupture

Avant de refuser une relation ou de la rompre, le professionnel doit examiner attentivement s'il existe des indices de blanchiment ou de financement du terrorisme. Si c'est le cas, une déclaration de soupçon doit être adressée à Tracfin, même avant la notification du refus au client. Cette déclaration peut révéler des opérations antérieures passées inaperçues et alerter les autorités sur un client suspect.

Les outils technologiques au service du KYC

Le KYC a considérablement évolué grâce aux technologies. Les solutions de regtech (technologie réglementaire) permettent aujourd'hui d'automatiser et d'accélérer les diligences sans sacrifier la rigueur.

Vérification d'identité automatisée (IDV)

Les solutions IDV (Identity Document Verification) utilisent la reconnaissance optique et la biométrie pour capturer et vérifier les documents d'identité. Elles extraient les données, les comparent à des bases publiques ou privées, et détectent les signes de fraude (altération, document contrefait). Exemples : lecteurs RFID pour passeports électroniques, reconnaissance faciale comparée au document.

Screening contre les listes de sanctions et les PPE

Les plateformes de screening comparent automatiquement chaque client contre les listes de sanctions OFAC (États-Unis), les listes européennes (gels d'avoirs), la liste noire du GAFI, les bases de PPE publiques, et les listes de criminels financiers. Ce filtrage se fait en temps réel lors de l'intégration et régulièrement en cours de relation.

L'ACPR recommande d'effectuer ce screening au-delà de simples correspondances de nom : les systèmes modernes intègrent la phonétique, les variations de translittération (pour les noms non-latins), et les règles métier (par exemple, identifier un PPE même avec un nouveau nom d'épouse).

Surveillance transactionnelle et détection d'anomalies

Les algorithmes de détection d'anomalies analysent les flux transactionnels pour identifier les opérations incohérentes avec le profil client : montants anormalement élevés, fréquence inaccoutumée, destinations géographiques inhabituelles, structures de paiement complexes ou circulaires, patterns sans logique économique.

Ces outils réduisent considérablement le volume de faux positifs comparé aux approches manuelles, permettant aux équipes de conformité de se concentrer sur les cas vraiment suspects.

Gestion documentaire et archivage sécurisé

Les plateformes de gestion documentaire centralisent l'ensemble des pièces justificatives (documents d'identité, statuts, Kbis, justificatifs de domiciliation, originaux ou copies numériques). Elles proposent la signature électronique, le versioning des modifications, et un audit trail complet des accès.

Cet archivage sécurisé simplifie les audits externes et les inspections des autorités, et répond aux obligations de conservation (6 ans en France pour les données clients).

Limites et nécessité du jugement humain

Ces outils ne remplacent pas le jugement humain mais le complètent efficacement. Une alerte de screening sur un homonyme d'une PPE requiert un professionnel pour déterminer s'il y a une réelle confusion ou une fausse alerte. Un pattern transactionnel détecté par algorithme mérite une interprétation contextuelle : est-ce un incident, une modification normale du profil d'activité, ou un vrai signal suspect ?

Les professionnels doivent maintenir leurs compétences analytiques et critiquer les résultats technologiques, particulièrement dans les dossiers complexes.

KYC par secteur : adaptations pratiques

Secteur immobilier

L'immobilier est un vecteur privilégié du blanchiment : acquisition par intermédiaires, volumes importants, justification facile des provenance de fonds. Les professionnels (agents immobiliers, notaires) doivent non seulement vérifier l'acheteur mais aussi la source déclarée du financement.

Pour les achats comptant, documentation de la source de fonds demandée (emprunt bancaire, héritage, activité professionnelle). Pour les achats via structures interposées, identification renforcée du bénéficiaire effectif réel. Les acquisitions d'immeuble d'investissement par des entités nouvelles, sans trace d'activité antérieure, justifient une vigilance renforcée.

Secteur des bijoux, métaux précieux et art

Ces secteurs offrent une liquidité rapide, peu de traçabilité, et une demande légitime de confidentialité. Les obligations KYC s'intensifient pour les revendeurs et galeries.

Documentation de la chaîne de provenance des pièces (expertises, certificats d'authenticité, historique connu du bien), registres détaillés des transactions en cash, et seuils bas d'alerte pour les montants (vigilance renforcée à partir de 10 000 € en cash par exemple, bien que légalement l'obligation démarre à 15 000 €).

Secteur financier et fintech

Les intermédiaires financiers doivent effectuer des contrôles croisés : vérification du client, du bénéficiaire (destinataire du virement), et des sources de fonds. Pour les fintechs offrant des comptes de paiement ou du crédit, les vérifications d'identité à distance doivent attester un niveau de sécurité équivalent à celui en face à face.

Les transferts de fonds internationaux méritent une attention particulière : documentation du bénéficiaire destinataire, raison du transfert, et vigilance envers les petits transferts répétitifs contournant les seuils de déclaration.

Secteur des jeux d'argent et du casino

Secteur à haut risque inhérent. Les établissements de jeu doivent documenter la source de fonds (légitimité du patrimoine de la personne), justifier les gros gains tirés du jeu, et refuser les joeurs dont le profil (occupation, domiciliation, antécédents) ne correspond pas aux montants misés.

Suivi renforcé des gagnants majeurs et des parieurs professionnels, documentation du mode de paiement des gains (virement bancaire de préférence au cash).

Les changements du Règlement AMLR

Le Règlement AMLR (Anti-Money Laundering Regulation), qui remplace progressivement les directives antérieures, apporte plusieurs évolutions au cadre KYC.

Renforcement de la traçabilité des bénéficiaires effectifs

Le AMLR impose aux entités juridiques (SARL, SAS, associations, etc.) de tenir à jour un registre interne des bénéficiaires effectifs. Ce registre, distinct du Registre public tenu par les greffes, doit être tenu avec rigueur et fourni rapidement aux autorités en cas de demande.

Pour les professionnels assujettis, cela signifie qu'ils peuvent désormais demander directement ce registre au client, en sus du RBE public, pour corroborer les informations.

Obligations accrues pour les structures complexes et les arrangements non réglementés

Le AMLR élargit la définition des structures posant risque élevé et accroît les obligations d'identification pour les arrangements fiduciaires non réglementés (trusts étrangers, structures sans entité juridique propre). Les chaînes de détention deviennent plus exigeantes à documenter.

Vigilance continue renforcée

Le AMLR insiste davantage sur la « vigilance continue appropriée » : elle doit être proportionnée au risque et effectuée « à titre continu », pas seulement annuellement. Pour les clients à risque élevé, un suivi semestriel voire trimestriel peut être exigé.

Données détenues par les autorités compétentes

Le AMLR prévoit que les autorités nationales LCB-FT (Tracfin en France) devront progressivement centraliser les données KYC des professionnels assujettis, améliorant l'efficacité des enquêtes transnationales. Les professionnels doivent donc s'attendre à des demandes d'accès plus fréquentes de la part des autorités.

Conclusion

Le KYC est le socle sur lequel repose l'ensemble du dispositif LCB-FT. Sans une connaissance approfondie et actualisée de ses clients, aucun professionnel ne peut prétendre détecter efficacement les opérations suspectes. L'investissement dans des procédures KYC robustes n'est pas seulement une obligation réglementaire : c'est un gage de sécurité pour l'entreprise et ses clients.

Cet article a été rédigé à titre informatif et ne constitue pas un avis juridique. Pour toute question sur la mise en œuvre de vos obligations KYC, consultez les lignes directrices de votre autorité de supervision ou un professionnel du droit.

Partager :

La veille LCB-FT, chaque mois

Recevez les dernières analyses, évolutions réglementaires et guides pratiques directement dans votre boîte mail. Gratuit, sans spam.

Simplifiez votre mise en conformité LCB-FT.

Découvrez LutteBlanchiment, la plateforme pensée pour les professionnels du luxe, de l'art et des biens de grande valeur.

Essayer LutteBlanchiment →

À lire aussi

Analyses

Immobilier, premier secteur sanctionné en France : ce que révèle la brochure DGCCRF/TRACFIN de février 2026

Actualités

Marseille : 350 objets de luxe saisis aux trafiquants mis aux enchères — 800 000 € de butin judiciaire

Analyses

Monaco sur la liste grise du GAFI : ce que ça change concrètement pour un bijoutier niçois ou un agent immobilier de la Côte d'Azur