KYC : qu'est-ce que la connaissance client et comment la mettre en place ?

29/5/2026
Tous les guides
📚 Notions de base
⚙️ Mise en oeuvre

Le KYC - abréviation de Know Your Customer - désigne l'ensemble des procédures de connaissance client que les entités assujetties doivent mettre en oeuvre pour identifier et vérifier l'identité de leurs clients avant d'entrer en relation d'affaires. Encadré en France par les articles L.561-1 et suivants du Code monétaire et financier (CMF), il constitue le premier rempart contre le blanchiment de capitaux et le financement du terrorisme.

Concrètement, le KYC répond à une question simple : qui est vraiment votre client ? Il s'agit de collecter, vérifier et conserver des informations suffisantes pour évaluer le risque LCB-FT que présente chaque relation d'affaires, et d'en assurer le suivi tout au long de cette relation.

Définition du KYC et lien avec la LCB-FT

Le KYC est l'un des piliers centraux du dispositif LCB-FT (lutte contre le blanchiment de capitaux et le financement du terrorisme). Sans connaissance client solide, impossible d'évaluer correctement le risque posé par une relation d'affaires, de détecter des opérations suspectes ou de répondre à une demande de Tracfin.

Les obligations KYC découlent de la 5e directive anti-blanchiment (2018/843/UE), transposée en droit français par l'ordonnance du 12 février 2020. Elles sont codifiées aux articles L.561-5 à L.561-14-1 du CMF. Les principaux régulateurs sectoriels sont l'Autorité de contrôle prudentiel et de résolution (ACPR) pour le secteur financier et la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) pour les professions réglementées non financières.

Les entités assujetties au KYC sont notamment :

  • Les établissements de crédit, de paiement et de monnaie électronique
  • Les entreprises d'assurance-vie et de capitalisation
  • Les agents immobiliers et les administrateurs de biens
  • Les notaires, avocats et experts-comptables (dans le cadre de certaines activités)
  • Les prestataires de services sur crypto-actifs (PSAN/PSCA)
  • Les opérateurs de jeux en ligne et de jeux dans les casinos

Le KYC ne se réduit pas à une vérification d'identité initiale. C'est un processus continu : l'article L.561-6 du CMF impose une surveillance permanente des opérations et une actualisation régulière des informations collectées tout au long de la relation d'affaires.

Les 3 niveaux de vigilance clientèle

Le régime de vigilance LCB-FT est modulé selon le niveau de risque évalué. L'article L.561-10 du CMF distingue trois régimes, que chaque entité assujettie doit appliquer à bon escient selon son analyse du risque client.

Vigilance simplifiée

La vigilance simplifiée s'applique lorsque le risque de blanchiment est faible et documenté. Elle permet d'alléger la profondeur des vérifications sans les supprimer. Elle concerne notamment :

  • Les clients qui sont eux-mêmes des entités assujetties (banques, assureurs, établissements de paiement agréés dans l'UE)
  • Certains produits d'épargne réglementée à faible risque (Livret A, LDDS)
  • Les relations avec des sociétés cotées sur un marché réglementé de l'UE ou soumises à des obligations d'information équivalentes

Point d'attention : la vigilance simplifiée n'exempte jamais de l'obligation d'identifier le client. Elle réduit l'intensité des diligences, pas leur existence. Une classification erronée en vigilance simplifiée est l'un des manquements régulièrement sanctionnés par l'ACPR.

Vigilance standard

La vigilance standard est le régime de droit commun, applicable à toute relation d'affaires qui ne relève ni de la vigilance simplifiée ni de la vigilance renforcée. Elle comprend trois composantes :

  • Identification et vérification de l'identité du client (et du bénéficiaire effectif si applicable)
  • Compréhension de l'objet et de la nature de la relation d'affaires
  • Surveillance continue des transactions et mise à jour régulière du dossier client

Vigilance renforcée

La vigilance renforcée (art. L.561-10-2 CMF) s'impose lorsque le risque est élevé. Elle est obligatoire notamment dans les situations suivantes :

  • Le client ou le bénéficiaire effectif est une personne politiquement exposée (PPE) ou un proche de PPE
  • La relation d'affaires implique un pays ou territoire à risque (listes GAFI, liste UE des juridictions non coopératives)
  • La relation est établie entièrement à distance, sans contact physique préalable
  • Le profil du client ou les transactions présentent des caractéristiques inhabituelles ou incohérentes avec l'activité déclarée

La vigilance renforcée implique des diligences complémentaires concrètes : recueil d'informations sur l'origine des fonds et du patrimoine, obtention d'une validation hiérarchique avant d'entrer en relation, fréquence de révision accrue du dossier (souvent annuelle), et documentation renforcée de l'ensemble de la démarche.

Quels documents collecter dans le cadre du KYC ?

Les pièces justificatives exigées varient selon la nature juridique du client. Les standards suivants sont alignés sur les recommandations de l'ACPR (lignes directrices du 18 mai 2021 sur les obligations de vigilance à l'égard de la clientèle).

Pour une personne physique

  • Pièce d'identité officielle en cours de validité (carte nationale d'identité recto-verso, passeport) - copie certifiée conforme ou vérification électronique pour les relations à distance
  • Justificatif de domicile récent (moins de 3 mois) : facture d'énergie, avis d'imposition, relevé bancaire
  • En cas de vigilance renforcée : document sur l'origine des fonds (bulletins de salaire, avis d'imposition, acte de vente, attestation notariale)

Pour une personne morale

  • Extrait Kbis ou document équivalent pour les sociétés étrangères (moins de 3 mois)
  • Statuts à jour et certifiés conformes par le représentant légal
  • Justificatif d'identité du représentant légal et des mandataires autorisés à agir pour le compte de la société
  • Liste des dirigeants et des actionnaires détenant une participation significative
  • En cas de vigilance renforcée : informations sur l'objet social réel, les flux financiers attendus, et l'origine des fonds apportés

Le bénéficiaire effectif

L'identification du bénéficiaire effectif est une obligation centrale du KYC (art. L.561-5-1 CMF). Est bénéficiaire effectif toute personne physique qui, in fine, possède ou contrôle une entité directement ou indirectement, au-delà d'un seuil de 25 % du capital ou des droits de vote. En l'absence de personne remplissant ce critère, les dirigeants sont considérés comme bénéficiaires effectifs.

Pour chaque bénéficiaire effectif identifié, il faut recueillir :

  • Nom, prénom, date et lieu de naissance, nationalité et pays de résidence
  • Nature et étendue du contrôle exercé sur l'entité (pourcentage de détention, pouvoirs de direction)
  • Tout élément permettant de déterminer s'il est PPE ou proche de PPE

Depuis le décret du 18 novembre 2020, les sociétés immatriculées en France sont tenues de déclarer leurs bénéficiaires effectifs au Registre des bénéficiaires effectifs (RBE). Ce registre est consultable partiellement par les entités assujetties pour faciliter leurs diligences KYC.

À quelle fréquence mettre à jour les dossiers KYC ?

Le KYC n'est pas un exercice ponctuel réalisé à l'entrée en relation : il doit être maintenu à jour tout au long de la relation d'affaires. L'article L.561-6 du CMF impose une surveillance continue et une actualisation des informations collectées dès que la situation du client change ou que son profil de risque évolue.

En pratique, les professionnels définissent des fréquences de révision périodique selon le niveau de risque :

  • Risque faible (vigilance simplifiée) : révision tous les 3 à 5 ans
  • Risque standard : révision tous les 1 à 3 ans
  • Risque élevé (PPE, pays à risque, vigilance renforcée) : révision annuelle, parfois semestrielle

Des événements déclencheurs imposent une mise à jour immédiate, quelle que soit la fréquence de révision standard :

  • Changement de représentant légal ou modification significative de l'actionnariat
  • Entrée dans ou sortie du statut PPE pour le client ou son bénéficiaire effectif
  • Transaction inhabituelle détectée par le système de surveillance interne
  • Modification du pays de résidence ou de la nationalité

L'absence de révision des dossiers KYC est l'un des manquements les plus fréquemment relevés lors des contrôles ACPR. Pour les établissements de crédit, les sanctions peuvent atteindre plusieurs millions d'euros.

Le KYC par secteur d'activité

Si les principes fondamentaux du KYC sont communs à toutes les entités assujetties, leur mise en oeuvre concrète varie selon le secteur d'activité, le régulateur compétent et les lignes directrices sectorielles applicables.

Banque et établissements de crédit

Les banques et établissements de paiement sont soumis aux exigences les plus poussié sous la supervision de l'ACPR. Leur dispositif KYC doit notamment intégrer :

  • Une approche par les risques documentée avec une classification formelle de la clientèle (faible, standard, élevé)
  • La détection automatisée des personnes politiquement exposées via des bases de données spécialisées (World-Check, Dow Jones, etc.)
  • Le filtrage des listes de sanctions internationales (OFAC, UE, ONU) en temps réel, à l'entrée en relation et en continu
  • La conservation des dossiers KYC pendant 5 ans après la fin de la relation d'affaires (art. L.561-12 CMF)

Assurance

Les entreprises d'assurance-vie sont assujetties à des obligations KYC spécifiques à deux moments clés : la souscription du contrat et le versement des prestations. L'ACPR contrôle régulièrement ces obligations. Les produits concernés incluent l'assurance-vie, les contrats de capitalisation et les produits d'épargne retraite individuelle (PER individuel). Pour les contrats d'assurance non-vie, les obligations KYC sont allégées mais pas supprimées dès lors que les primes dépassent certains seuils.

Immobilier

Les agents immobiliers, les administrateurs de biens et les syndics de copropriété sont assujettis pour toute transaction dépassant des seuils définis par décret. Le régulateur compétent est la DGCCRF via les directions départementales de la protection des populations (DDPP). Les notaires interviennent à la vente et doivent appliquer leurs propres procédures KYC, supervisées par le Conseil supérieur du notariat (CSN). Les transactions immobilières sont particulièrement exposées aux risques de blanchiment via des montages de sur/sous-valorisation ou des structures de SCI opaques.

Avocats, notaires et experts-comptables

Les professions juridiques et comptables sont assujetties dans le cadre de leurs activités non contentieuses : conseil en opérations financières, montages juridiques et fiscaux, gestion de fonds clients, constitution ou cession de sociétés. Leurs régulateurs sont respectivement le Conseil national des barreaux (CNB), le Conseil supérieur du notariat (CSN) et l'Ordre des experts-comptables (OEC).

Pour les cabinets concernés, la formation LCB-FT de l'ensemble des collaborateurs exposés est une obligation réglementaire. Elle doit être dispersée à l'embauche et renouvelée régulièrement, avec une traçabilité documentée.

La digitalisation du KYC : l'e-KYC

La dématérialisation du KYC - l'e-KYC ou KYC électronique - transforme en profondeur les processus de connaissance client, en particulier pour les établissements digitaux (banques en ligne, fintechs, PSAN). Elle permet de réduire les délais d'entrée en relation de plusieurs semaines à quelques minutes, tout en maintenant un niveau de conformité documenté et auditable.

Les principales composantes d'un dispositif e-KYC sont :

  • Vérification d'identité à distance : capture de pièce d'identité par OCR, contrôle d'authenticité automatisé, vérification biométrique (selfie + liveness detection pour éviter les usurpations)
  • Filtrage automatisé : interrogation en temps réel des listes de sanctions et des bases PPE à chaque étape
  • Signature électronique qualifiée : pour la formalisation réglementaire de la relation d'affaires
  • Piste d'audit complète : horodatage et conservation de l'ensemble des preuves de vérification

En France, l'ACPR a publié en 2021 une doctrine sur l'entrée en relation à distance (décision normative 2021-P-01) qui encadre précisément les conditions d'utilisation de l'e-KYC. Les prestataires d'identité numérique certifiés par l'ANSSI au niveau eIDAS "substantiel" ou "élevé" offrent un niveau de confiance qui simplifie les obligations de vérification pour les établissements qui y recourent.

L'e-KYC améliore aussi la cohérence du dispositif : toutes les vérifications sont tracées de manière uniforme, indépendamment de l'agent ou du canal utilisé, ce qui facilite les audits et les contrôles ACPR.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

RGPD : définition, signification et règles essentielles (2026)
8/11/2023
Mort numérique : comment gérer efficacement les données des défunts ? 
12/2/2024
AI Act : quelles sont autorités compétentes en France ?
15/9/2025
Comment faciliter l'exercice des droits dans le RGPD ?
26/7/2023
6 astuces pour répondre efficacement aux questionnaires de sécurité
8/10/2024
Formation anticorruption (Sapin 2) : comment sensibiliser vos collaborateurs ?
14/5/2026

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026