Skip to content
Cas clientTarifsSécuritéComparatifBlog
GlossaireGuides paysChecklistsCalculateur ROI

Europe

Americas

Oceania

Tous les guides
🇫🇷

Obligations KYC en France — Guide complet 2026

Guide exhaustif des obligations KYC et anti-blanchiment en France : exigences de l'ACPR, déclarations Tracfin, vérification documentaire et bonnes pratiques pour les entités assujetties.

Régulateurs:ACPR, Tracfin, AMF
Lois clés:Code monétaire et financier, Ordonnance 2009-104, AMLD6
Mis à jour le 2026-03-28

Cadre réglementaire

La France dispose de l'un des dispositifs anti-blanchiment les plus structurés d'Europe. Le cadre juridique repose principalement sur le Code monétaire et financier (CMF), complété par l'ordonnance n° 2009-104 du 30 janvier 2009 qui a transposé la troisième directive européenne anti-blanchiment. Depuis lors, chaque directive successive — de la 4e directive (AMLD4, transposée en 2017) à la 6e directive (AMLD6, transposée en 2023) — a renforcé les exigences de vigilance, élargi le périmètre des entités assujetties et durci les sanctions.

L'architecture institutionnelle française s'articule autour de trois piliers. L'Autorité de contrôle prudentiel et de résolution (ACPR), adossée à la Banque de France, supervise les établissements de crédit, les entreprises d'investissement, les sociétés d'assurance et les intermédiaires financiers. Elle conduit des contrôles sur pièces et sur place, et peut prononcer des sanctions allant du blâme à l'interdiction d'exercer. Tracfin (Traitement du renseignement et action contre les circuits financiers clandestins), la cellule de renseignement financier française, reçoit et analyse les déclarations de soupçon émises par les professionnels assujettis. Enfin, l'Autorité des marchés financiers (AMF) assure la régulation des marchés et veille au respect des obligations LCB-FT par les sociétés de gestion et les prestataires de services d'investissement.

Le cadre français se distingue par son approche fondée sur le risque : les entités assujetties doivent réaliser une classification des risques propre à leur activité, adapter leurs mesures de vigilance en conséquence et documenter l'ensemble de leur démarche. L'ACPR publie régulièrement des lignes directrices et des principes d'application sectorielle, notamment pour les secteurs bancaire, assurantiel et immobilier, qui précisent les attentes du régulateur en matière de dispositif LCB-FT.

Entités assujetties

Le périmètre des professionnels assujettis aux obligations KYC en France est défini aux articles L.561-2 et suivants du Code monétaire et financier. Il couvre un spectre large de professions et d'activités :

  • Établissements de crédit et sociétés de financement : banques commerciales, banques en ligne, néobanques, établissements de crédit spécialisé
  • Entreprises d'investissement et sociétés de gestion : prestataires de services d'investissement (PSI), sociétés de gestion de portefeuille, conseillers en investissement financier
  • Sociétés d'assurance et intermédiaires : assureurs vie, courtiers, agents généraux pour les contrats comportant des opérations de capitalisation
  • Établissements de paiement et de monnaie électronique : fintechs, opérateurs de services de paiement, émetteurs de monnaie électronique
  • Prestataires de services sur actifs numériques (PSAN) : plateformes d'échange de crypto-actifs, services de conservation
  • Professions juridiques et comptables : notaires, avocats (pour certaines opérations), commissaires aux comptes, experts-comptables
  • Professions immobilières : agents immobiliers, administrateurs de biens, syndics de copropriété
  • Autres professions : marchands de biens de grande valeur, casinos, opérateurs de jeux en ligne, marchands d'art pour les transactions supérieures à 10 000 euros

Chaque catégorie est soumise à des obligations spécifiques définies par des textes réglementaires et des lignes directrices sectorielles. L'ACPR et les ordres professionnels (ordre des experts-comptables, chambre des notaires, etc.) émettent des recommandations adaptées à chaque secteur.

Mesures de vigilance à l'égard de la clientèle

Vigilance standard (CDD — Customer Due Diligence)

La vigilance standard constitue le socle des obligations KYC en France. Avant d'entrer en relation d'affaires ou de réaliser une transaction occasionnelle au-delà des seuils réglementaires, l'entité assujettie doit :

Identifier le client : recueillir les informations d'identité (nom, prénoms, date et lieu de naissance, nationalité, adresse) et vérifier ces éléments sur la base d'un document d'identité officiel en cours de validité. Pour les personnes physiques, les documents acceptés incluent la carte nationale d'identité, le passeport, le titre de séjour ou le permis de conduire dans certains cas. Pour les personnes morales, il s'agit de l'extrait Kbis ou équivalent, les statuts à jour, et l'identification des dirigeants et représentants légaux.

Vérifier l'identité : la vérification doit être effectuée par des moyens fiables et indépendants. L'ACPR accepte la vérification en face à face, la vérification à distance par visioconférence (dans les conditions prévues par le règlement eIDAS et les positions de l'ACPR), ou la vérification via un dispositif d'identité numérique qualifié (France Identité, identité numérique La Poste, etc.).

Identifier le bénéficiaire effectif : toute personne physique détenant, directement ou indirectement, plus de 25 % du capital ou des droits de vote d'une personne morale, ou exerçant par tout autre moyen un pouvoir de contrôle sur les organes de direction ou de gestion. Les informations sont recoupées avec le registre des bénéficiaires effectifs (RBE) tenu par les greffes des tribunaux de commerce et accessible via le site d'Infogreffe.

Connaître l'objet et la nature de la relation d'affaires : comprendre le profil économique du client, l'origine des fonds, la finalité des opérations projetées et le volume d'activité attendu.

Exercer une vigilance continue : actualiser les informations recueillies tout au long de la relation d'affaires, surveiller les transactions effectuées et s'assurer de leur cohérence avec le profil du client.

Vigilance renforcée (EDD — Enhanced Due Diligence)

Les mesures de vigilance renforcée s'appliquent lorsque le risque de blanchiment de capitaux ou de financement du terrorisme est élevé. Les situations identifiées par la réglementation française incluent :

  • Personnes politiquement exposées (PPE) : les personnes exerçant ou ayant exercé au cours des 12 derniers mois des fonctions politiques, juridictionnelles ou administratives de haut niveau, ainsi que les membres directs de leur famille et les personnes connues pour leur être étroitement associées. Les mesures incluent l'approbation par la direction, l'établissement de l'origine du patrimoine et des fonds, et un suivi renforcé de la relation.
  • Clients résidant dans des pays à haut risque : les pays figurant sur la liste de la Commission européenne des pays tiers à haut risque, ou identifiés comme tels par le GAFI. Des mesures complémentaires sont requises, pouvant aller jusqu'à l'interdiction de la relation.
  • Opérations complexes, inhabituelles ou d'un montant anormalement élevé : toute transaction qui ne correspond pas au profil du client ou qui présente des caractéristiques inhabituelles doit faire l'objet d'un examen renforcé.
  • Relations d'affaires à distance : lorsque le client n'est pas physiquement présent lors de l'identification, des mesures compensatoires doivent être mises en place (double vérification, signature électronique qualifiée, etc.).
  • Produits ou services favorisant l'anonymat : instruments de paiement anonymes, structures juridiques complexes rendant difficile l'identification du bénéficiaire effectif.

Les mesures de vigilance renforcée comprennent notamment : la collecte d'informations supplémentaires sur le client et l'opération, la recherche d'informations dans des bases de données externes, la validation par un niveau hiérarchique supérieur, et la réduction des seuils de déclenchement des alertes dans les systèmes de surveillance.

Documents requis

La réglementation française exige la collecte de documents spécifiques selon la nature du client :

Pour les personnes physiques :

  • Pièce d'identité officielle en cours de validité (CNI, passeport, titre de séjour)
  • Justificatif de domicile de moins de 3 mois (facture d'énergie, avis d'imposition, quittance de loyer)
  • Le cas échéant, justificatif d'activité professionnelle
  • Pour les PPE : déclaration sur l'honneur, justificatifs d'origine du patrimoine

Pour les personnes morales :

  • Extrait Kbis de moins de 3 mois (ou équivalent pour les associations, fondations, etc.)
  • Statuts à jour certifiés conformes
  • Pièce d'identité du ou des représentants légaux
  • Document attestant de la répartition du capital social et de l'identification des bénéficiaires effectifs
  • Procès-verbal de nomination des dirigeants
  • Le cas échéant, délégation de pouvoir pour les mandataires

Pour les trusts et fiducies :

  • Acte constitutif
  • Identification du constituant, du fiduciaire, des bénéficiaires et de toute personne exerçant un contrôle effectif
  • Justificatif du patrimoine apporté au trust

Les documents doivent être conservés pendant une durée de 5 ans après la fin de la relation d'affaires ou après l'exécution de la transaction occasionnelle, conformément à l'article L.561-12 du CMF.

Obligations déclaratives

Le dispositif déclaratif français repose sur deux mécanismes principaux :

La déclaration de soupçon : les entités assujetties doivent déclarer à Tracfin les sommes inscrites dans leurs livres ou les opérations portant sur des sommes dont elles savent, soupçonnent ou ont de bonnes raisons de soupçonner qu'elles proviennent d'une infraction passible d'une peine d'emprisonnement supérieure à un an, ou qu'elles participent au financement du terrorisme. La déclaration doit être effectuée via la plateforme ERMES de Tracfin, dans les meilleurs délais après la détection du soupçon. En 2024, Tracfin a reçu plus de 180 000 déclarations de soupçon, soit une augmentation de 12 % par rapport à l'année précédente.

Les déclarations systématiques : certaines opérations doivent être déclarées indépendamment de tout soupçon. Cela inclut les transferts de fonds transfrontaliers au-delà de certains seuils, les opérations en espèces supérieures à 10 000 euros pour les changeurs manuels, et les informations requises par les règlements européens relatifs aux transferts de fonds.

Le droit d'opposition de Tracfin : Tracfin peut exercer un droit d'opposition qui suspend l'exécution d'une opération pendant un délai pouvant aller jusqu'à 10 jours ouvrables, renouvelable par décision du président du tribunal de grande instance. Ce mécanisme permet de bloquer temporairement des fonds suspects le temps de compléter l'analyse.

La communication systématique d'informations (COSI) : introduite par l'ordonnance du 1er décembre 2016, elle permet aux assujettis de transmettre à Tracfin des informations relatives à des opérations présentant un risque élevé de blanchiment, même en l'absence de soupçon formalisé.

Sanctions en cas de non-conformité

Le régime de sanctions en France est particulièrement dissuasif et couvre à la fois les sanctions administratives et pénales :

Sanctions administratives (prononcées par l'ACPR ou l'AMF) :

  • Avertissement ou blâme
  • Interdiction d'effectuer certaines opérations ou limitation dans l'exercice de l'activité
  • Suspension temporaire de dirigeants
  • Retrait total ou partiel d'agrément ou d'autorisation
  • Sanction pécuniaire pouvant atteindre 100 millions d'euros ou 10 % du chiffre d'affaires annuel net (le montant le plus élevé étant retenu), conformément aux dispositions transposant l'AMLD4 et l'AMLD5

Sanctions pénales :

  • Le blanchiment de capitaux est puni de 5 ans d'emprisonnement et 375 000 euros d'amende (article 324-1 du Code pénal), portés à 10 ans et 750 000 euros en cas de circonstances aggravantes (bande organisée, récidive, utilisation des facilités procurées par l'exercice d'une activité professionnelle)
  • Le financement du terrorisme est puni de 10 ans d'emprisonnement et 225 000 euros d'amende
  • Le manquement à l'obligation déclarative est puni de 22 500 euros d'amende

Sanctions disciplinaires : les ordres professionnels (notaires, experts-comptables, avocats) peuvent prononcer des sanctions disciplinaires allant de l'avertissement à la radiation.

Publication des sanctions : l'ACPR et l'AMF publient systématiquement leurs décisions de sanction sur leur site internet, ce qui entraîne un risque réputationnel majeur pour les entités sanctionnées. En 2024, l'ACPR a prononcé 14 sanctions en matière de LCB-FT, pour un montant total dépassant 35 millions d'euros.

Comment CheckFile vous accompagne

Face à la complexité croissante des obligations KYC en France, CheckFile offre une solution de vérification documentaire par intelligence artificielle qui permet aux entités assujetties de se conformer aux exigences réglementaires tout en optimisant l'expérience client.

La plateforme CheckFile automatise l'ensemble du processus de vérification documentaire : extraction des données à partir des pièces d'identité (CNI, passeports, titres de séjour), vérification de l'authenticité des documents grâce à l'analyse des éléments de sécurité (hologrammes, filigranes, polices, zones MRZ), et cross-validation des informations avec les données déclarées par le client. L'IA de CheckFile détecte les tentatives de fraude documentaire — falsification, contrefaçon, usurpation d'identité — avec un taux de détection supérieur à 99 %, réduisant considérablement le risque de laisser passer un document frauduleux.

Pour répondre aux exigences d'audit de l'ACPR, CheckFile génère automatiquement une piste d'audit complète pour chaque vérification : horodatage, résultat de chaque contrôle, score de confiance, motifs de rejet le cas échéant, et archivage sécurisé des documents pendant la durée réglementaire de 5 ans. Cette traçabilité permet aux équipes conformité de démontrer la rigueur de leur dispositif lors des contrôles sur place et sur pièces.

CheckFile s'intègre nativement aux processus d'onboarding des établissements financiers, des assureurs et des professions réglementées via son API RESTful. La solution prend en charge plus de 6 000 types de documents d'identité issus de 200 pays, ce qui est particulièrement pertinent pour les établissements français opérant à l'international ou accueillant une clientèle étrangère. Le traitement est conforme au RGPD, avec un hébergement des données en Europe et des mécanismes de pseudonymisation et de suppression automatique.

FAQ

Quels documents sont requis pour le KYC en France ?

Pour les personnes physiques, les entités assujetties doivent collecter une pièce d'identité officielle en cours de validité (carte nationale d'identité, passeport ou titre de séjour) et un justificatif de domicile de moins de 3 mois. Pour les personnes morales, un extrait Kbis de moins de 3 mois, les statuts à jour, la pièce d'identité des représentants légaux et les documents relatifs à l'identification des bénéficiaires effectifs sont requis. L'ensemble de ces documents doit être conservé pendant 5 ans après la fin de la relation d'affaires, conformément à l'article L.561-12 du Code monétaire et financier.

Quelles sont les sanctions en cas de non-conformité KYC en France ?

Les sanctions sont à la fois administratives et pénales. L'ACPR peut prononcer des sanctions pécuniaires allant jusqu'à 100 millions d'euros ou 10 % du chiffre d'affaires annuel, ainsi que des interdictions d'activité ou des retraits d'agrément. Sur le plan pénal, le blanchiment est passible de 5 à 10 ans d'emprisonnement et de 375 000 à 750 000 euros d'amende. Les décisions de sanction sont systématiquement publiées, exposant les entités à un risque réputationnel considérable.

À quelle fréquence les vérifications KYC doivent-elles être actualisées en France ?

La réglementation française impose une vigilance continue tout au long de la relation d'affaires. La fréquence de mise à jour dépend du niveau de risque du client : les clients à risque élevé (PPE, pays à haut risque) doivent faire l'objet d'une revue au moins annuelle, tandis que les clients à risque standard sont généralement revus tous les 3 à 5 ans. Tout événement significatif (changement de dirigeant, modification de l'actionnariat, opération inhabituelle) doit déclencher une mise à jour immédiate du dossier KYC. L'ACPR vérifie systématiquement la tenue à jour des dossiers lors de ses contrôles.

Questions fréquentes

Automatisez votre conformité

CheckFile simplifie la vérification documentaire conforme aux exigences locales.