KYC pour les PSP : obligations LCB-FT des établissements de paiement 2026
Guide des obligations KYC/AML pour les prestataires de services de paiement (PSP) : cadre PSD3, AMLD6, seuils ACPR, déclarations TRACFIN et automatisation en 2026.
Résumer cet article avec
ChatGPT
Claude
Perplexity
Gemini
GrokLes prestataires de services de paiement (PSP) sont des entités assujetties aux obligations de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT). En France, ces obligations s'imposent à partir de l'article L.561-2 du Code monétaire et financier (CMF) et sont supervisées par l'ACPR (Autorité de Contrôle Prudentiel et de Résolution). En 2026, l'adoption du Règlement (UE) 2024/1624 (AMLR) et de la Directive (UE) 2024/1640 (AMLD6), dont la transposition est attendue pour le 10 juillet 2027, impose aux PSP une mise à niveau complète de leurs dispositifs KYC — sous peine de sanctions pouvant atteindre 10 % du chiffre d'affaires annuel.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique ou réglementaire. Consultez un professionnel qualifié pour toute situation spécifique.
Quels PSP sont soumis aux obligations KYC/LCB-FT ?
Les prestataires de services de paiement constituent une catégorie large, définie par l'ordonnance n° 2017-1252 du 9 août 2017 qui a transposé la directive PSD2 en droit français. Tous ne sont pas soumis aux mêmes obligations, mais la majorité figure dans le périmètre de l'article L.561-2 CMF :
| Catégorie de PSP | Exemples | Régulateur principal |
|---|---|---|
| Établissements de crédit | Banques, banques mutualistes, caisses d'épargne | ACPR |
| Établissements de paiement (EP) | Fintechs de paiement, processeurs, agrégateurs | ACPR |
| Établissements de monnaie électronique (EME) | Portefeuilles numériques, cartes prépayées | ACPR |
| Prestataires de services sur actifs numériques (PSAN) | Exchanges crypto, services de conservation | AMF + ACPR |
| Prestataires de services de financement participatif (PSFP) | Plateformes crowdfunding | AMF |
L'entrée en relation d'affaires ou l'exécution d'une opération ponctuelle déclenche l'obligation de vérification de l'identité du client, sans condition de montant pour les établissements de paiement non exemptés (article L.561-5 CMF). Les établissements de paiement dits « hybrides » peuvent bénéficier d'une dérogation limitée si leur activité principale est non financière et si les volumes de paiement restent inférieurs aux seuils fixés par l'ACPR.
Les PSAN sont explicitement soumis aux obligations LCB-FT depuis l'ordonnance n° 2020-115 du 12 février 2020, qui a transposé la cinquième directive anti-blanchiment (5AMLD). L'AMF et l'ACPR assurent conjointement la supervision de ces acteurs.
Le cadre légal : CMF, Règlement (UE) 2023/1113, AMLD6 et PSD3
La conformité KYC des PSP repose sur plusieurs couches réglementaires qu'il convient de distinguer clairement :
Code monétaire et financier (CMF) Les articles L.561-5 à L.561-14-1 CMF définissent les obligations de vigilance envers les clients. L'article L.561-5 impose la vérification de l'identité avant toute entrée en relation d'affaires. L'article L.561-14 oblige les PSP à appliquer des mesures de vigilance renforcée (EDD) pour les clients à risque élevé, y compris les personnes politiquement exposées (PPE).
Règlement (UE) 2023/1113 sur les virements de fonds Applicable depuis le 26 décembre 2024, ce règlement remplace le règlement (CE) n° 1781/2006. Il impose aux PSP de collecter et de transmettre les informations sur le donneur d'ordre et le bénéficiaire pour tous les virements électroniques, indépendamment de la devise et du montant. Les PSP proposant des virements instantanés doivent filtrer leurs bases de données immédiatement après toute modification des listes de sanctions européennes ou nationales, et au minimum quotidiennement. Source : Règlement (UE) 2023/1113, EUR-Lex
Directive (UE) 2024/1640 (AMLD6) et Règlement (UE) 2024/1624 (AMLR) Adoptés en juin 2024, ces textes doivent être transposés avant le 10 juillet 2027. L'AMLR est particulièrement structurant pour les PSP : il établit des seuils harmonisés de vigilance au niveau européen, étend le périmètre à certains prestataires de services crypto et crée l'AMLA (Autorité européenne de lutte contre le blanchiment), opérationnelle depuis début 2026. Source : Directive (UE) 2024/1640 sur EUR-Lex
PSD3 et règlement PSR Un accord politique provisoire a été conclu le 27 novembre 2025 entre le Parlement européen et le Conseil. PSD3 et le règlement PSR renforcent les exigences de gouvernance interne, rendent obligatoire la vérification IBAN/nom pour les virements SEPA et réorganisent la responsabilité en cas de fraude. La transposition nationale est attendue pour 2027-2028.
Pour une vue d'ensemble du cadre AMLD6, consultez notre guide de conformité AMLD6 pour les entités assujetties.
Les obligations KYC concrètes pour les PSP en 2026
Vigilance standard (CDD) : identifier, vérifier, documenter
La vigilance standard s'applique dès l'entrée en relation d'affaires ou lorsqu'une opération ponctuelle non liée à une relation d'affaires dépasse 15 000 € (article R.561-5 CMF). Pour un client personne physique, les PSP doivent collecter et vérifier :
- Nom, prénoms, date et lieu de naissance, nationalité
- Adresse de résidence
- Pièce d'identité officielle en cours de validité (carte nationale d'identité, passeport ou titre de séjour)
- Objet et nature projetée de la relation d'affaires
Pour un client personne morale, les obligations s'étendent à l'identification des bénéficiaires effectifs — personnes physiques détenant directement ou indirectement plus de 25 % du capital ou des droits de vote — via le registre des bénéficiaires effectifs (RBE) tenu au greffe du tribunal de commerce, les statuts de la société et, si nécessaire, des déclarations complémentaires.
L'approche multi-couche de CheckFile — combinant extraction OCR, vérification des métadonnées et validation croisée inter-documents — permet aux PSP d'automatiser ces contrôles tout en maintenant un niveau de fiabilité compatible avec les exigences de l'ACPR.
Vigilance renforcée (EDD) : cas déclencheurs et procédures
La vigilance renforcée est obligatoire dans les situations listées aux articles L.561-10 à L.561-14 CMF :
- Personnes politiquement exposées (PPE) : dirigeants politiques, membres du gouvernement, juges des hautes juridictions, et membres de leur famille proche
- Clients domiciliés ou actifs dans un pays à haut risque GAFI : la liste GAFI est mise à jour régulièrement (FATF High-Risk Jurisdictions)
- Opérations inhabituelles : montants disproportionnés, complexité injustifiée, recours inhabituel au cash
- Relation d'affaires établie à distance : clients onboardés exclusivement en ligne, sans rencontre physique
Depuis l'ordonnance n° 2020-115 du 12 février 2020, l'EDD inclut obligatoirement la vérification de l'origine du patrimoine pour les PPE — une vérification documentaire qui implique bulletins de salaire, relevés bancaires sur 12 mois, contrats de travail ou actes notariaux. L'approbation d'un membre de la direction est requise avant l'entrée en relation avec une PPE.
Pour approfondir les procédures de due diligence renforcée, consultez notre guide complet de l'EDD.
Surveillance continue des transactions
Les PSP sont soumis à une obligation de surveillance continue de la relation d'affaires (article L.561-6 CMF). Les mesures minimales comprennent :
| Mesure | Fréquence minimale | Déclencheur automatique |
|---|---|---|
| Revue des transactions | Continue | Anomalies détectées par le système de monitoring |
| Mise à jour du dossier KYC | Selon profil de risque | Expiration de pièce d'identité, changement d'activité |
| Criblage listes de sanctions | Quotidien (minimum) | Modification des listes UE, ONU, OFAC |
| Revue PPE | Continue | Élections, nominations, révocations |
| Déclaration de soupçon (DS) | Dès identification | Opération suspecte ou inexpliquée |
La politique interne de contrôle doit définir des intervalles de révision du dossier KYC selon le profil de risque : au minimum tous les cinq ans pour les clients à faible risque, tous les deux ans pour les clients à risque moyen, et annuellement pour les clients à risque élevé (PPE, pays à haut risque).
Prêt à automatiser vos vérifications ?
Pilote gratuit sur vos propres documents. Résultats en 48 h.
Demander un pilote gratuitSeuils réglementaires spécifiques aux PSP
La réglementation prévoit des seuils différenciés selon la nature des opérations :
| Type d'opération | Vigilance simplifiée | Vigilance standard | Vigilance renforcée |
|---|---|---|---|
| Virement électronique ponctuel | < 1 000 € | ≥ 1 000 € | Profil de risque élevé |
| Opération de change manuel | < 2 500 € | ≥ 2 500 € | Pays à haut risque GAFI |
| Monnaie électronique rechargeable | < 200 €/mois non rechargeable anonymement | Rechargeable ou > 200 €/mois | Usage international, profil suspect |
| Carte prépayée non rechargeable | ≤ 150 € en valeur faciale | > 150 € ou rechargeable | PPE ou client inconnu |
Les transports physiques de fonds égaux ou supérieurs à 10 000 € doivent faire l'objet d'une déclaration auprès de la Direction Générale des Douanes et Droits Indirects (DGDDI).
Déclarations à TRACFIN : l'obligation de signalement des PSP
TRACFIN (Traitement du renseignement et action contre les circuits financiers clandestins) est l'unité de renseignement financier française. Tout PSP assujetti doit déclarer toute opération dont il soupçonne, ou a de bonnes raisons de soupçonner, qu'elle participe au blanchiment de capitaux ou au financement du terrorisme — y compris la tentative avortée.
La déclaration de soupçon (DS) s'effectue via la plateforme sécurisée ERMES (Échange de Renseignements et de Mesures Entrantes Sécurisées). Les PSP ont obligation :
- D'effectuer la déclaration avant l'exécution de l'opération lorsque c'est possible
- De ne pas alerter le client de la déclaration (interdiction légale de divulgation — « tipping off »)
- De conserver tous les éléments motivant la déclaration pendant cinq ans
- De désigner un responsable de la conformité LCB-FT (RCLB) chargé des relations avec TRACFIN
Source : TRACFIN, guide pratique des déclarants
Sanctions ACPR : le coût réel du non-respect
L'ACPR dispose de pouvoirs de sanction substantiels en vertu des articles L.612-38 à L.612-42 CMF. Pour les manquements graves aux obligations LCB-FT :
- Amende administrative : jusqu'à 10 % du chiffre d'affaires annuel ou 5 millions d'euros (montant le plus élevé), pour les personnes morales
- Blâme ou mise en garde publique : sanction rendue publique sur le site de l'ACPR, avec impact immédiat sur la réputation commerciale
- Interdiction temporaire ou définitive d'exercer pour les dirigeants responsables
- Retrait d'agrément : sanction ultime mettant fin à l'activité du PSP
Les rapports d'activité de l'ACPR identifient régulièrement comme manquements prioritaires : l'insuffisance du dispositif de surveillance continue des transactions, les lacunes dans l'identification des bénéficiaires effectifs, et les délais excessifs dans les déclarations à TRACFIN. Source : ACPR, réglementation LCB-FT
Automatiser la conformité KYC : solutions pour PSP
La vérification automatisée des documents est devenue une nécessité opérationnelle pour les PSP qui gèrent des volumes importants d'onboarding. CheckFile offre une API intégrable directement dans les workflows d'entrée en relation :
- Vérification de plus de 3 200 types de documents officiels couvrant 32 juridictions
- Extraction automatique des données biographiques avec détection des incohérences
- Identification des documents modifiés, générés par IA ou dont les métadonnées sont altérées
- Archivage conforme des preuves de vérification pendant cinq ans pour audit ACPR
- Intégration directe avec les systèmes de gestion des risques clients (CRM, core banking)
Pour compléter votre dispositif de segmentation des risques clients, CheckFile permet d'associer automatiquement un profil de risque à chaque dossier vérifié. Consultez notre guide tarifaire pour connaître les modalités d'accès à l'API.
Questions fréquemment posées
Un PSP doit-il vérifier l'identité de tous ses clients ?
Oui, mais l'intensité des diligences varie selon le profil de risque. La vigilance simplifiée s'applique aux produits à faible risque (ex. : cartes prépayées non rechargeables ≤ 150 €), la vigilance standard à la majorité des clients, et la vigilance renforcée aux PPE, aux clients en pays à haut risque GAFI et aux opérations complexes sans justification économique apparente.
Quand faut-il renouveler le KYC d'un client existant ?
Le dossier KYC doit être actualisé lors de tout changement significatif de la situation du client et selon des intervalles définis par la politique interne de risque. L'ACPR recommande au minimum : tous les cinq ans pour les clients à faible risque, tous les deux ans pour le risque moyen, et annuellement pour les clients à risque élevé ou PPE.
Les néobanques et fintechs ont-elles les mêmes obligations que les banques traditionnelles ?
Oui, pour les services couverts par leur agrément ACPR. Un établissement de paiement agréé a les mêmes obligations LCB-FT qu'une banque pour les services de paiement qu'il propose. La portée des obligations varie uniquement selon la nature des services agréés et non selon le modèle technologique de l'entité.
PSD3 va-t-il modifier les obligations KYC des PSP ?
PSD3 et le règlement PSR renforcent principalement les exigences de gouvernance et l'obligation de vérification IBAN/nom pour les virements SEPA. Les changements les plus substantiels en matière de vigilance client viendront de l'AMLR et d'AMLD6, avec transposition attendue au 10 juillet 2027.
Quelles informations doivent accompagner un virement selon le Règlement (UE) 2023/1113 ?
Pour les virements d'un montant supérieur à 1 000 €, les PSP sont tenus de collecter et de transmettre : le nom complet du donneur d'ordre, son numéro de compte (ou identifiant unique de transaction), son adresse, son numéro de document d'identité et sa date de naissance. Pour les virements inférieurs à 1 000 €, seuls le nom et le numéro de compte sont exigés, sauf suspicion de blanchiment.
Restez informé
Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.