La conformité LCB-FT impose-t-elle la détection de documents falsifiés ?

La réglementation LCB-FT impose-t-elle aux établissements assujettis de détecter les documents d'identité falsifiés ? La réponse est oui. L'article L. 561-5 du Code monétaire et financier impose de vérifier l'identité du client sur la base de pièces justificatives — une obligation qui devient lettre morte si ces pièces sont des faux. Accepter un document falsifié ne constitue pas une vérification d'identité : c'est une défaillance de vigilance. L'ACPR et les lignes directrices européennes ne laissent aucune ambiguïté sur ce point.

Cet article est fourni à titre informatif et ne constitue pas un conseil juridique ou réglementaire. Les références législatives et réglementaires sont exactes à la date de publication. Consultez un professionnel qualifié pour un accompagnement adapté à votre situation.

Divulgation éditoriale : CheckFile propose des solutions de détection de fraude documentaire. Les analyses et benchmarks internes cités dans cet article sont issus des données de la plateforme CheckFile et sont identifiés comme tels.

Ce que dit la réglementation LCB-FT

L'article L. 561-5 du Code monétaire et financier impose à toute entité assujettie de vérifier l'identité de son client avant d'entrer en relation d'affaires ou d'exécuter une opération ponctuelle. La vérification doit s'appuyer sur "tout document écrit probant". Un document falsifié n'est pas probant — il est nul et de nul effet au regard de la norme.

L'article L. 561-5 du CMF (Légifrance) exige que l'identité soit établie sur la base de documents fiables et indépendants : un faux document ne satisfait pas cette exigence, rendant la vigilance cliente nulle et exposant l'établissement à des sanctions pouvant atteindre 100 millions d'euros ou 10 % du chiffre d'affaires annuel (Directive UE 2024/1640, Art. 56).

La Recommandation 10 du GAFI — transposée en droit français par le Code monétaire et financier — formule la même exigence : la vigilance cliente implique d'identifier le client et de vérifier son identité sur la base de documents, données ou informations obtenus de sources fiables et indépendantes. Le GAFI précise que cette vérification doit être "suffisamment robuste" pour garantir que le client est bien celui qu'il prétend être. Un document falsifié rompt cette chaîne de confiance dès la première étape.

La Directive (UE) 2024/1640 (6e directive anti-blanchiment, dite AMLD6) renforce cette exigence en harmonisant à l'échelle européenne les conditions de vérification d'identité. Elle impose aux États membres de veiller à ce que les entités assujetties appliquent des mesures de vigilance proportionnées au risque — ce qui suppose, en pratique, de s'assurer que les documents présentés sont authentiques.

Pour approfondir le cadre général, consultez notre guide de conformité documentaire et notre analyse de la 6e directive anti-blanchiment.

Pourquoi un document falsifié vide la vigilance de son sens

Un document falsifié vide la vigilance cliente de son sens : l'établissement croit connaître son client, mais il connaît en réalité une identité usurpée. L'ensemble du dispositif LCB-FT repose sur la qualité de l'identification initiale. Si cette base est compromise, les contrôles ultérieurs (surveillance des transactions, déclarations Tracfin, gel des avoirs) s'appliquent à une fiction.

Notre analyse de dossiers traités sur la plateforme CheckFile révèle que plus de 40 % des tentatives de fraude documentaire impliquent des pièces d'identité dont les données de sécurité ont été altérées. Cette réalité opérationnelle confirme que la détection de l'authenticité n'est pas une option technique mais une nécessité réglementaire.

Le GAFI identifie, dans ses typologies de blanchiment (FATF, Money Laundering Through the Use of False Identities), plusieurs mécanismes dans lesquels des documents falsifiés jouent un rôle central :

• Ouverture de comptes mules : des faux documents d'identité permettent d'ouvrir des comptes bancaires au nom de personnes fictives ou usurpées, utilisés pour recevoir et transférer des fonds illicites.
• Contournement des sanctions financières : des personnes visées par des mesures de gel d'avoirs utilisent des identités falsifiées pour accéder au système financier.
• Financement du terrorisme : des individus sous surveillance créent des identités de substitution pour opérer sans déclencher d'alertes.
• Fraude au crédit organisée : des réseaux de falsification produisent des pièces d'identité cohérentes avec des bulletins de salaire et des justificatifs de domicile également faux.

Le tableau ci-dessous synthétise les principales typologies de falsification documentaire et leur niveau de risque AML :

La falsification numérique mérite une attention particulière. Depuis la démocratisation des outils d'intelligence artificielle générative, des documents manipulés de haute qualité circulent dans les processus d'onboarding à distance. La détection de ces documents dépasse les capacités d'un contrôle visuel humain standard.

Ce qu'exigent concrètement l'ACPR et les lignes directrices

L'ACPR exige que la vérification d'identité soit "effective" : présenter un document ne suffit pas, encore faut-il s'assurer de son authenticité. Les lignes directrices de l'ACPR sur la vérification de l'identité précisent que les établissements doivent s'assurer de la "fiabilité et de la validité" des documents présentés, notamment en effectuant des contrôles de cohérence et, le cas échéant, en recourant à des moyens techniques de vérification.

L'ACPR a prononcé plus de 27 millions d'euros de sanctions LCB-FT en 2023 et 2024 combinés, dont plusieurs procédures ont directement visé des défaillances dans la vérification de l'identité des clients (ACPR, Décisions de la Commission des sanctions).

Les sanctions prononcées par la Commission des sanctions de l'ACPR illustrent l'exigence concrète :

• En 2023, un établissement de paiement s'est vu infliger une sanction significative pour avoir accepté des documents d'identité sans vérification d'authenticité suffisante dans son processus d'onboarding à distance.
• En 2024, la tendance s'est accentuée : l'ACPR a expressément mentionné l'absence de contrôles anti-falsification dans les griefs retenus contre plusieurs établissements.
• Les lignes directrices jointes ACPR-AMF précisent que la vigilance est "mise en défaut" dès lors que l'établissement ne dispose pas de moyens adaptés pour détecter les documents falsifiés courants.

L'instruction ACPR n° 2019-I-11 sur le dispositif anti-blanchiment établit la liste des pièces acceptables pour la vérification d'identité des personnes physiques. Elle précise que ces pièces doivent être "en cours de validité" et "authentiques" — deux conditions qui ne peuvent être remplies que si l'établissement dispose d'un processus de vérification adapté.

La direction générale des douanes (DGDDI), compétente pour les mouvements de capitaux aux frontières, impose des exigences similaires sur l'authenticité des justificatifs présentés dans le cadre des déclarations d'espèces et de valeurs mobilières.

Tracfin, le service de renseignement financier français, identifie régulièrement dans ses rapports d'activité des schémas de fraude documentaire à la base de déclarations de soupçon. L'utilisation de faux documents figure parmi les indicateurs d'alerte les plus fréquemment cités dans les typologies Tracfin.

Consultez notre article sur l'approche basée sur le risque en AML pour comprendre comment intégrer la vérification documentaire dans une segmentation des risques clients.

Les bonnes pratiques de détection documentaire en conformité LCB-FT

La détection des documents falsifiés repose sur une combinaison de contrôles humains et automatisés. Ni l'un ni l'autre n'est suffisant isolément.

La vérification humaine efficace exige une formation spécifique aux éléments de sécurité des documents d'identité français et étrangers — une compétence que seul un faible pourcentage des agents de conformité possède sans formation dédiée.

Les éléments de sécurité à contrôler sur les documents d'identité français (CNI, passeport) incluent :

• La zone de lecture automatique (MRZ) : les caractères OCR-B doivent être conformes à l'algorithme de contrôle OACI. Une MRZ altérée est souvent détectable par simple calcul du chiffre de contrôle.
• L'hologramme kinégrame : doit présenter un effet visuel dynamique sous différents angles d'inclinaison.
• Les micro-impressions : textes visibles uniquement à la loupe, absents sur la plupart des contrefaçons.
• Le filigrane et la guillochure : motifs de fond complexes, difficiles à reproduire par impression standard.
• La cohérence photographique : la photo doit être intégrée au support, pas collée ou imprimée par-dessus.
• La numérotation : le numéro de document doit être cohérent avec le format officiel en vigueur à la date d'émission.

Les signaux d'alerte typiques sur un document falsifié comprennent : des pixels visibles autour de la photo, des polices de caractères incohérentes, une luminosité uniforme sans relief, des métadonnées numériques révélant une manipulation (pour les documents transmis en PDF ou en image), et une incohérence entre les données de la MRZ et les données imprimées.

La vérification automatisée par OCR seul ne suffit pas. Un OCR peut lire les données d'un document falsifié et les valider si elles sont syntaxiquement correctes, sans détecter que le document lui-même a été altéré. La détection efficace requiert une analyse structurelle du document (cohérence des éléments graphiques), une analyse des métadonnées numériques (pour les documents soumis en ligne), et idéalement une analyse des textures et des anomalies d'impression.

L'approche complémentaire : détection IA et LCB-FT

L'intelligence artificielle apporte une capacité de détection que les processus manuels ne peuvent pas atteindre à grande échelle. Un modèle entraîné sur des milliers de documents authentiques et falsifiés peut identifier des anomalies imperceptibles à l'œil humain : variations de compression JPEG localisées, incohérences de grain dans les zones reconstruites, ou artefacts caractéristiques des outils de manipulation courants.

La détection IA des deepfakes et documents falsifiés que propose CheckFile s'intègre dans les workflows KYC existants via API, sans imposer de refonte du processus d'onboarding. Le résultat est un signal de risque binaire (authentique / suspect) accompagné d'un rapport détaillant les anomalies détectées, utilisable comme pièce justificative dans le dossier de conformité.

Cette approche répond à l'exigence réglementaire de documentation de la vigilance : l'ACPR attend des établissements qu'ils soient en mesure de démontrer, en cas de contrôle, que des mesures concrètes ont été prises pour s'assurer de l'authenticité des documents. Un rapport d'analyse IA constitue un élément probatoire plus solide qu'une simple attestation manuelle.

Pour les établissements qui traitent des volumes importants de demandes à distance — en particulier les néobanques, les plateformes de financement participatif et les courtiers en ligne — l'automatisation de la détection documentaire n'est plus un avantage compétitif mais une nécessité réglementaire. Les solutions KYC pour le secteur bancaire permettent d'industrialiser ce contrôle sans dégrader l'expérience client.

La page d'accueil CheckFile présente l'ensemble des capacités de la plateforme pour la conformité LCB-FT.

Questions fréquemment posées

Un établissement est-il en faute s'il accepte un faux document de bonne foi ?

La bonne foi ne constitue pas une défense suffisante au regard de la réglementation LCB-FT. L'obligation de vigilance est une obligation de moyens renforcée : l'établissement doit démontrer qu'il a mis en place des procédures adaptées pour détecter les documents falsifiés courants. Si ces procédures étaient manifestement insuffisantes, la bonne foi ne l'exonère pas de sa responsabilité. L'ACPR peut prononcer des sanctions même en l'absence d'intention frauduleuse de la part de l'établissement.

Quels documents d'identité sont acceptés pour la vérification d'identité LCB-FT en France ?

Pour les personnes physiques de nationalité française, les documents acceptés sont la carte nationale d'identité en cours de validité et le passeport en cours de validité. Pour les ressortissants étrangers, le titre de séjour, le passeport ou la carte d'identité nationale du pays d'origine peuvent être acceptés selon le niveau de risque. L'instruction ACPR n° 2019-I-11 détaille les pièces acceptables par catégorie de client. Dans tous les cas, l'authenticité du document doit être vérifiée.

La vérification à distance (onboarding digital) est-elle soumise aux mêmes exigences ?

Oui. L'onboarding à distance est soumis aux mêmes obligations d'identification et de vérification qu'un entretien en face à face. L'ACPR admet des modalités adaptées — transmission d'une image du document, vidéo-identification, recours à un prestataire de vérification d'identité tiers — à condition que le niveau de fiabilité obtenu soit "équivalent" à celui d'une vérification physique. En pratique, cela impose l'utilisation d'outils de détection d'authenticité documentaire et souvent d'une vérification biométrique avec détection de vivacité.

Quelle est la différence entre la vérification d'identité et la détection de documents falsifiés ?

La vérification d'identité consiste à s'assurer que la personne avec qui l'on traite est bien celle qu'elle prétend être. La détection de documents falsifiés est un sous-ensemble technique de cette vérification : elle porte sur l'authenticité du support physique ou numérique présenté. Une vérification d'identité complète requiert à la fois la détection de documents falsifiés ET la vérification que le détenteur du document est bien son titulaire légitime (via biométrie ou vidéo-identification).

La détection de deepfakes est-elle désormais requise par la réglementation LCB-FT ?

La réglementation ne cite pas explicitement les deepfakes, mais l'obligation de vérifier l'authenticité des documents s'étend aux documents numériques transmis lors de l'onboarding à distance. L'ACPR attend des établissements qu'ils adaptent leurs procédures à l'évolution des techniques de falsification — ce qui inclut les documents générés ou manipulés par intelligence artificielle. En pratique, la détection de deepfakes est devenue une composante nécessaire de tout dispositif de vigilance robuste pour les établissements traitant des demandes d'entrée en relation à distance.