LCB-FT : tout comprendre sur la réglementation anti-blanchiment

20/5/2026
Tous les guides
📚 Notions de base

La LCB-FT (Lutte contre le Blanchiment de Capitaux et le Financement du Terrorisme) désigne l'ensemble des obligations réglementaires imposées aux professionnels pour détecter, prévenir et signaler les opérations financières suspectes. En France, ce dispositif est encadré par les articles L.561-1 et suivants du Code monétaire et financier, en application des directives européennes anti-blanchiment et des recommandations du GAFI. Tout professionnel assujetti doit mettre en place des procédures de vigilance client, de classification des risques, de déclaration de soupçon à Tracfin et de formation interne, sous peine de sanctions pouvant atteindre 10% du chiffre d'affaires annuel.

Qu'est-ce que la LCB-FT ?

La LCB-FT recouvre deux infractions pénales distinctes, souvent liées dans la pratique :

  • Le blanchiment de capitaux : processus par lequel des fonds d'origine illicite (trafic de drogue, fraude fiscale, corruption, cybercriminalité) sont réintégrés dans l'économie légale après un circuit de dissimulation. En France, le blanchiment est défini à l'article 324-1 du Code pénal.
  • Le financement du terrorisme : fait de fournir, réunir ou gérer des fonds destinés à financer des actes terroristes, qu'ils soient d'origine licite ou illicite. Défini à l'article 421-2-2 du Code pénal, il présente la particularité que les fonds peuvent provenir d'une activité légale (salaires, héritages).

Le blanchiment d'argent représente selon les estimations entre 2% et 5% du PIB mondial chaque année, soit 800 milliards à 2 000 milliards de dollars. En France, la cellule de renseignement financier Tracfin a reçu plus de 200 000 déclarations de soupçon en 2023, un chiffre en hausse constante depuis 2015.

Qui est assujetti à la LCB-FT ?

L'article L.561-2 du Code monétaire et financier dresse la liste des professionnels assujettis. On distingue deux grandes catégories :

Le secteur financier

  • Établissements de crédit et banques (BNP Paribas, Société Générale, Crédit Agricole, etc.)
  • Entreprises d'assurance vie et de capitalisation
  • Établissements de paiement et monnaie électronique (néobanques, fintechs)
  • Sociétés de gestion de portefeuille, OPCVM, fonds d'investissement
  • Prestataires de services sur actifs numériques (PSAN / PSCA sous MiCA)
  • Changeurs manuels
  • Entreprises d'investissement, courtiers en assurance

Le secteur non financier désigné

  • Notaires, avocats, experts-comptables, commissaires aux comptes
  • Agents immobiliers et administrateurs de biens
  • Casinos, jeux en ligne (ANJ)
  • Marchands de biens de haute valeur (bijoutiers, antiquaires, galeries d'art) pour les transactions en espèces ≥ 10 000 €
  • Prestataires de services aux sociétés (domiciliation, constitution)

Depuis la 5e directive AML (2018/843), les plateformes d'échange de cryptomonnaies et les prestataires de portefeuilles custodial sont également assujettis dans toute l'UE.

Les quatre piliers des obligations LCB-FT

1. La classification des risques

Tout assujetti doit réaliser une analyse nationale des risques (ANR) et une analyse sectorielle des risques (ASR), puis établir sa propre cartographie des risques. Cette cartographie identifie les risques de blanchiment et de financement du terrorisme liés à ses clients, ses produits/services, ses canaux de distribution et ses zones géographiques. Elle est mise à jour au minimum annuellement et sert de base au calibrage des mesures de vigilance (articles L.561-4-1 et suivants du CMF).

2. La vigilance client (KYC / CDD)

Le KYC (Know Your Customer) est le cœur opérationnel de la LCB-FT. Il se décline en trois niveaux :

  • Vigilance simplifiée : pour les clients à risque faible (ex : produit à faible plafond, entité publique cotée). Identification allégée, pas de vérification renforcée.
  • Vigilance standard : identification et vérification de l'identité du client et du bénéficiaire effectif (UBO), compréhension de la nature de la relation d'affaires, suivi des opérations.
  • Vigilance renforcée : obligatoire pour les Personnes Politiquement Exposées (PPE), les pays tiers à haut risque (liste GAFI), les relations d'affaires à risque élevé. Implique la collecte de pièces supplémentaires, l'approbation hiérarchique et un suivi renforcé.

L'identification du bénéficiaire effectif (UBO - Ultimate Beneficial Owner) est une obligation clé : tout client personne morale implique d'identifier la ou les personnes physiques détenant, directement ou indirectement, plus de 25% du capital ou des droits de vote (article R.561-1 du CMF). En France, le Registre national des bénéficiaires effectifs (RBE) tenu au greffe facilite cette vérification, mais ne dispense pas d'une vérification directe.

3. La déclaration de soupçon (DS) à Tracfin

Tracfin (Traitement du renseignement et action contre les circuits financiers clandestins) est la cellule de renseignement financier française, rattachée au ministère de l'Économie. Tout assujetti qui soupçonne qu'une opération est liée au blanchiment ou au financement du terrorisme doit effectuer une déclaration de soupçon (DS), et non une simple signalisation.

La DS doit être faite :

  • Avant l'exécution de l'opération suspecte si possible (gel de l'opération possible 8 jours ouvrables sur instruction de Tracfin)
  • Sans délai dès la détection du soupçon
  • Via la plateforme sécurisée Ermes (tracfin.gouv.fr)
  • Par le déclarant désigné (compliance officer ou dirigeant)

La DS est couverte par le secret professionnel : aucun assujetti ne peut informer le client qu'une DS a été déposée (tipping-off, article L.561-19 du CMF). La violation de cette règle constitue une infraction pénale.

4. La formation et la gouvernance interne

Les assujettis doivent mettre en place :

  • Un dispositif de formation LCB-FT pour tous les collaborateurs concernés (article L.561-34 du CMF)
  • Un responsable LCB-FT (compliance officer) nommément désigné, avec accès direct à la direction
  • Des procédures internes formalisées, mises à jour et testées régulièrement
  • Un système de filtrage des sanctions (listes OFAC, UE, ONU, gel des avoirs DGT)
  • Un dispositif d'alerte interne (whistleblowing) conforme à la directive Lanceurs d'alerte

Le cadre européen : des directives AML à l'AMLA

La réglementation LCB-FT française s'inscrit dans un cadre européen en constante évolution :

  • 1ère directive AML (1991) : ciblait uniquement le trafic de drogue.
  • 4ème directive AML (2015/849) : approche basée sur les risques, registre UBO, PPE.
  • 5ème directive AML (2018/843) : extension aux cryptoactifs, accès public aux registres UBO, renforcement des contrôles pays tiers.
  • 6ème directive AML (2018/1673) : harmonisation des infractions pénales de blanchiment dans l'UE.

Le paquet AML 2024 marque une rupture majeure avec la création de l'AMLA (Anti-Money Laundering Authority), nouvelle autorité européenne de supervision directe basée à Francfort, opérationnelle à partir de 2025-2026. L'AMLA supervisera directement les entités financières transfrontalières à risque élevé et coordinera les cellules de renseignement financier nationales (CRF).

Trois textes constituent le paquet AML 2024 :

  • Règlement AMLR (2024/1624) : directement applicable dans tous les États membres, harmonise les obligations de vigilance, la liste des assujettis et les critères UBO.
  • 6ème directive AML révisée (AMLD6) : cadre institutionnel des superviseurs nationaux et coopération avec l'AMLA.
  • Règlement AMLA (2024/1620) : création et statut de l'autorité européenne.

Les États membres ont jusqu'au 10 juillet 2027 pour transposer le paquet AML en droit national. Les entités assujetties devront mettre en conformité leurs procédures avec le règlement AMLR d'ici cette date.

Les sanctions en cas de manquement

La Commission des sanctions de l'ACPR (Autorité de contrôle prudentiel et de résolution) est l'autorité de sanction principale pour le secteur financier en France. Les sanctions prévues par l'article L.561-36-1 du CMF peuvent atteindre :

  • Pour les personnes morales : jusqu'à 10% du chiffre d'affaires annuel total, ou 5 millions d'euros si ce montant est supérieur pour certaines infractions
  • Pour les personnes physiques dirigeantes : jusqu'à 5 millions d'euros
  • Des sanctions complémentaires : interdiction temporaire d'activité, retrait d'agrément, publication de la décision (name and shame)

Exemples récents de sanctions ACPR :

  • 2023 : Société Générale sanctionnée à 3,5 millions d'euros pour des carences dans le dispositif LCB-FT (lacunes KYC et surveillance des opérations).
  • 2022 : Un établissement de paiement sanctionné à 900 000 euros pour absence de cartographie des risques actualisée et défaillances dans la formation des collaborateurs.
  • 2021 : Un opérateur de change manuel sanctionné à 150 000 euros pour défaut de déclaration de soupçon et absence de procédures formalisées.

Pour les professionnels non financiers (notaires, agents immobiliers), le Conseil supérieur du notariat ou les chambres professionnelles exercent la supervision, avec des sanctions disciplinaires pouvant aller jusqu'à la radiation.

LCB-FT et RGPD : une articulation délicate

La LCB-FT impose de collecter et conserver de nombreuses données personnelles (identité, revenus, UBO, pièces justificatives), ce qui crée une tension directe avec les principes du RGPD :

  • Base légale : le traitement LCB-FT repose sur l'obligation légale (article 6(1)(c) RGPD), ce qui dispense du consentement mais impose la proportionnalité.
  • Durée de conservation : l'article L.561-12 du CMF impose une conservation de 5 ans après la fin de la relation d'affaires pour les documents KYC, et de 5 ans après l'exécution pour les données de transaction. Cette durée prime sur le principe de minimisation du RGPD, mais n'autorise pas une conservation plus longue.
  • Droit d'accès restreint : dans le cadre LCB-FT, le droit d'accès de la personne concernée à ses données peut être restreint si cela risque de compromettre une enquête en cours (article 23 RGPD).
  • Transferts hors UE : la communication de données KYC à un groupe étranger hors UE (ex : maison mère américaine) doit respecter les garanties RGPD (SCCs, BCRs), même si la LCB-FT groupe l'impose.

Les DPO des entités assujetties doivent documenter cette articulation dans leur registre de traitements, en distinguant les finalités LCB-FT des finalités commerciales sur les mêmes données clients.

Comment Leto aide les entités assujetties

Leto est une plateforme SaaS de conformité RGPD et réglementaire conçue pour les DPO et responsables conformité des ETI. Dans le contexte LCB-FT, Leto permet de :

  • Documenter l'articulation LCB-FT / RGPD dans le registre des traitements : création de fiches de traitement pour les activités KYC, surveillance des opérations, déclarations Tracfin, avec les bases légales et durées de conservation spécifiques.
  • Gérer les durées de conservation : alertes automatiques à l'approche de l'expiration des délais de 5 ans imposés par le CMF, pour éviter les conservations excessives et les défauts de purge.
  • Préparer les analyses d'impact (AIPD) : pour les traitements KYC à grande échelle ou impliquant des données sensibles, l'outil guide la réalisation de l'analyse de risques RGPD en cohérence avec la cartographie LCB-FT.
  • Tracer les échanges avec Tracfin : journalisation des déclarations de soupçon dans l'espace de documentation interne, pour répondre aux contrôles ACPR.

Pour les entités cherchant à structurer leur conformité LCB-FT dans une logique intégrée avec leur programme RGPD, Leto propose une démonstration personnalisée pour évaluer le périmètre et le retour sur investissement de l'outil.

FAQ LCB-FT

Quelle est la différence entre LCB-FT et KYC ?

La LCB-FT est le dispositif réglementaire global (obligations légales, sanctions, gouvernance). Le KYC (Know Your Customer) est l'une des obligations opérationnelles de ce dispositif : il désigne les procédures d'identification et de vérification de l'identité des clients. Le KYC est un sous-ensemble de la LCB-FT, qui comprend également la surveillance des opérations, les déclarations Tracfin, la formation et la cartographie des risques.

Un DPO est-il concerné par la LCB-FT ?

Le DPO n'est pas le responsable LCB-FT (ce rôle revient au compliance officer ou au dirigeant désigné), mais il est directement concerné par l'articulation LCB-FT / RGPD. Il doit s'assurer que les traitements de données personnelles effectués dans le cadre de la LCB-FT (KYC, surveillance, Tracfin) sont correctement documentés dans le registre, avec les bonnes bases légales et durées de conservation. En cas de contrôle ACPR ou CNIL conjoint, le DPO et le responsable LCB-FT doivent présenter une documentation cohérente.

Qu'est-ce que l'AMLA et quand entre-t-elle en vigueur ?

L'AMLA (Anti-Money Laundering Authority) est la nouvelle autorité européenne de supervision LCB-FT créée par le règlement (UE) 2024/1620. Basée à Francfort, elle est opérationnelle depuis 2025 et supervisera directement les entités financières transfrontalières les plus risquées à partir de 2028. Les États membres ont jusqu'au 10 juillet 2027 pour transposer le paquet AML 2024 en droit national. Le règlement AMLR (2024/1624), directement applicable, harmonise les obligations de vigilance dans toute l'UE.

Combien de temps conserver les documents KYC ?

L'article L.561-12 du Code monétaire et financier impose une conservation de 5 ans après la fin de la relation d'affaires pour les documents d'identification et de vérification KYC. Pour les données relatives aux opérations, la durée est également de 5 ans après l'exécution de l'opération. Cette durée est d'ordre public : elle ne peut être réduite par accord contractuel, mais ne justifie pas non plus une conservation au-delà de 5 ans au titre de la LCB-FT (d'autres obligations légales peuvent toutefois imposer des durées plus longues, ex : conservation comptable 10 ans).

Mon entreprise SaaS B2B est-elle assujettie à la LCB-FT ?

Une entreprise SaaS B2B n'est pas automatiquement assujettie à la LCB-FT. L'assujettissement dépend de l'activité exercée : si le SaaS fournit des services de paiement, de gestion d'actifs, d'échange de cryptomonnaies ou des services aux sociétés au sens de l'article L.561-2 du CMF, il peut être assujetti. Un éditeur de logiciel de conformité, de comptabilité ou de CRM, en revanche, n'est généralement pas assujetti. Il convient de vérifier avec un juriste spécialisé si certaines fonctionnalités (ex : initiation de paiement, conservation d'actifs) déclenchent l'assujettissement.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

Claude et RGPD 2026 : Conformité, Sécurité, DPA
27/1/2026
Tout savoir sur les données personnelles : définition, exemples et enjeux 2026
23/12/2022
Employeurs : quel est le sort des données personnelles de votre salarié ?
16/11/2022
SOC 2 : Définition et Checklist de Conformité pour les Entreprises Tech
14/5/2025
Sous-traitant RGPD : définition, obligations et audit de conformité
2/4/2024
Modèle droit à l’image : guide pour entreprises
2/10/2024

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026