Conformité KYC/eIDV France : LCB-FT, RGPD, eIDAS 2.0 en 2026

Vos enjeux dictent la recherche de nos sources. La conformité Know Your Customer (vérification d'identité client) en France ne tient pas dans un texte unique : elle superpose des règlements européens et des codes nationaux. Sept dispositifs structurent aujourd'hui votre processus de connaissance client : RGPD (lois sur les données personnelles), lutte contre le blanchiment et le financement du terrorisme (LCB-FT), AMLD6 (sixième directive européenne anti-blanchiment), eIDAS 2.0 (règlement européen sur l'identification électronique), PSD2 (directive paiements), DORA (règlement de résilience opérationnelle numérique) et NIS2 (directive européenne cybersécurité). Nous vous proposons ici un panorama complet, une checklist actionnable et les obligations spécifiques à chaque secteur réglementé.

Le panorama réglementaire de la conformité KYC en France

La conformité Know Your Customer (vérification d'identité client) en banque, en fintech ou en assurance s'inscrit dans un maillage juridique complexe. Chaque texte porte une finalité distincte : protection des données personnelles, lutte anti-blanchiment, sécurisation de l'identité numérique, résilience des systèmes. Comprendre leur articulation est la première étape d'un dispositif robuste.

Les sept dispositifs réglementaires applicables en France sont les suivants :

  • RGPD (Règlement UE 2016/679, lois sur les données personnelles) : socle de la protection des données personnelles, applicable à toute collecte d'identité.
  • LCB-FT, lutte contre le blanchiment et le financement du terrorisme (Code monétaire et financier, art. L561-1 et suivants) : obligations de vigilance à l'égard de la clientèle, déclaration de soupçon Tracfin.
  • AMLD6, sixième directive européenne anti-blanchiment (Directive UE 2018/1673) : harmonisation européenne des infractions sous-jacentes au blanchiment de capitaux et financement du terrorisme.
  • eIDAS 2.0, règlement européen sur l'identification électronique (Règlement UE 2024/1183) : niveaux de garantie de l'eID (identité électronique), futur EUDI Wallet.
  • PSD2 (Directive UE 2015/2366) : authentification forte des paiements et accès aux données bancaires.
  • DORA, règlement de résilience opérationnelle numérique (Règlement UE 2022/2554) : résilience opérationnelle numérique des entités financières, en application depuis janvier 2025.
  • NIS2, directive européenne cybersécurité (Directive UE 2022/2555) : cybersécurité des entités essentielles et importantes, transposée en droit français.
Source officielle. Les textes sont consolidés sur EUR-Lex et Légifrance. Les autorités de référence sont l'ACPR (Autorité de contrôle prudentiel et de résolution), Tracfin, l'EBA (European Banking Authority), l'AMF (Autorité des marchés financiers), l'ANJ (Autorité nationale des jeux) pour l'iGaming et la CNIL pour le volet RGPD.

Beaucoup d'acteurs perçoivent une tension entre la minimisation des données imposée par le RGPD et la vigilance renforcée imposée par la LCB-FT. La CNIL et l'ACPR ont clarifié ce point : la conformité au RGPD n'exonère pas des obligations LCB-FT, et inversement. Concrètement, vous pouvez conserver les données collectées au titre de l'identification du client pendant cinq ans après la fin de la relation d'affaires, conformément à l'article L561-12 du Code monétaire et financier.

La base légale du traitement est l'obligation légale (article 6.1.c du RGPD) lorsque la collecte se fait au titre de la LCB-FT, et le contrat ou l'intérêt légitime lorsqu'elle se fait au titre de la connaissance client à des fins commerciales. Cette distinction conditionne le dispositif d'information du client et les durées de conservation. Nous auditons systématiquement chaque source que nous mobilisons : elle est conforme au RGPD et aux lois locales. La conformité auditée est la valeur cardinale de notre méthode.

Les quatre piliers réglementaires de la conformité KYC

100 M€
Amende maximale ACPR pour manquement LCB-FT
10 ans
Peine de prison maximale pour blanchiment aggravé (AMLD6)
2026
Déploiement opérationnel du portefeuille EUDI (eIDAS 2.0)
Jan 2025
Entrée en vigueur DORA pour les entités financières

LCB-FT : la pierre angulaire de la conformité KYC en banque

La lutte contre le blanchiment et le financement du terrorisme (LCB-FT) structure l'essentiel des obligations en France. Que vous opériez une banque, une assurance, une fintech régulée, un cabinet du chiffre ou du droit, une agence immobilière, un prestataire de services sur actifs numériques (PSAN) ou un opérateur de jeux en ligne sous agrément ANJ, vous appliquez un dispositif gradué en fonction du niveau de risque, imposé par le Code monétaire et financier.

Trois niveaux de vigilance s'appliquent selon le profil de risque du client :

1. Vigilance simplifiée — clients à faible risque (entités cotées, autorités publiques européennes), allègement des mesures d'identification. 2. Vigilance standard — régime de droit commun : identification, vérification de l'identité, connaissance de l'objet et de la nature de la relation d'affaires. 3. Vigilance renforcée — clients à haut risque : personnes politiquement exposées (PEP), pays tiers à haut risque, opérations complexes ou inhabituelles. Mesures additionnelles : autorisation hiérarchique, origine des fonds documentée, suivi renforcé.

Le rapport annuel de Tracfin publie chaque année des indicateurs : en 2023, plus de 175 000 déclarations de soupçon ont été reçues, en hausse continue depuis cinq ans. Cette progression illustre la pression croissante sur les dispositifs LCB-FT et la nécessité d'industrialiser la détection des signaux faibles. Nous vous aidons à fiabiliser ce travail de détection en mobilisant des sources transactionnelles, gouvernementales, télécoms et médias auditées une à une.

Cas concret. Une banque en ligne reçoit chaque année 60 000 nouveaux clients. Sans dispositif de vérification d'identité électronique (eIDV) intégré au parcours, le taux d'abandon à l'onboarding atteint 25 %, soit 15 000 clients perdus. Avec un dispositif fondé sur la donnée transactionnelle, le taux d'abandon descend à 5 %, soit 3 000 abandons. Le différentiel représente 39,4 millions d'euros de CLTV net sur la base d'un coût d'acquisition de 300 € et d'une valeur vie client de 3 600 €.

AMLD6 : les sanctions pénales pour blanchiment de capitaux

La directive AMLD6 (sixième directive européenne anti-blanchiment), transposée en droit français en 2020, a élargi le champ des infractions sous-jacentes au blanchiment d'argent. Vingt-deux catégories d'infractions sont désormais reconnues : trafic de stupéfiants, traite d'êtres humains, corruption, fraude fiscale, cybercriminalité, infractions environnementales. La directive harmonise également le quantum des peines : jusqu'à quatre ans d'emprisonnement pour les personnes physiques et des sanctions financières dissuasives pour les personnes morales.

L'AMLD6 introduit également la responsabilité des personnes morales : une banque, une fintech ou un prestataire de services sur actifs numériques peut être poursuivi pour défaillance dans son dispositif de prévention du blanchiment. Cette responsabilité élargie rend critique la traçabilité des contrôles d'identité effectués. Que vous opériez en France ou dans la zone euro, nous sélectionnons pour vous des sources dont la chaîne de traitement est documentée et auditable, conformes au RGPD et aux lois locales.

eIDAS 2.0 : la révolution silencieuse de l'identité numérique européenne

Adopté en 2024, le règlement eIDAS 2.0 (règlement européen sur l'identification électronique) instaure le portefeuille européen d'identité numérique (EUDI Wallet) à horizon 2026. Trois niveaux de garantie structurent l'eID (identité électronique) :

  • Niveau faible : authentification simple, faible probabilité d'usurpation.
  • Niveau substantiel : combinaison de facteurs, probabilité réduite d'usurpation.
  • Niveau élevé : authentification forte avec preuve documentaire vérifiée et lien biométrique, probabilité très réduite d'usurpation.

Pour la connaissance client, eIDAS 2.0 impose aux États membres de reconnaître mutuellement les schémas d'identification notifiés. Vous pourrez ainsi onboarder un résident allemand depuis une banque française via son EUDI Wallet sans demande de pièce justificative supplémentaire, sous réserve que le niveau de garantie soit suffisant.

La directive PSD2 impose depuis 2019 l'authentification forte (SCA) pour la majorité des paiements en ligne. Cette obligation s'articule avec le KYC : l'identification du payeur doit reposer sur au moins deux facteurs parmi connaissance, possession et inhérence. PSD2 ouvre également l'accès aux données de paiement (DSP open banking), créant des opportunités nouvelles pour la fiabilisation de l'identité par la donnée transactionnelle. Nous mobilisons cette donnée d'achats vérifiés en complément des autres briques KYC.

DORA et NIS2 : la conformité s'étend à la cybersécurité

Depuis janvier 2025, le règlement DORA (règlement de résilience opérationnelle numérique) impose aux entités financières un cadre de gestion des risques liés aux technologies de l'information. Quatre piliers structurent l'obligation : gestion des risques TIC, signalement des incidents majeurs, tests de résilience opérationnelle numérique et gestion des risques liés aux prestataires tiers critiques. Pour un dispositif s'appuyant sur des prestataires externes (eIDV, biométrie, screening sanctions), DORA impose une due diligence renforcée sur ces partenaires.

La directive NIS2 (directive européenne cybersécurité), transposée en droit français, élargit le champ des entités soumises à des obligations de cybersécurité. Les fintechs, prestataires de services de paiement et plateformes de financement participatif sont désormais concernés. Vous ne pouvez plus penser la connaissance client indépendamment de la cybersécurité du système d'information qui la supporte. Nous auditons chaque source que nous vous proposons sous l'angle de la résilience opérationnelle, en cohérence avec votre chaîne de prestataires critiques.

Checklist conformité KYC : les six étapes opérationnelles

Le dispositif KYC français articule six étapes opérationnelles, encadrées par le Code monétaire et financier (CMF). Chaque étape correspond à une obligation légale précise et à une référence d'article applicable.

01

Identification

Obligation : recueillir les éléments d'identité du client. Référence légale : Art. L561-5 CMF.

Recueil du nom, prénom, date et lieu de naissance, adresse, et de la nature de l'activité professionnelle pour les personnes physiques. Pour les personnes morales : dénomination, forme juridique, adresse du siège social, identité des bénéficiaires effectifs (registre RBE).

02

Vérification

Obligation : vérifier l'identité par tout moyen probant. Référence légale : Art. R561-5 CMF.

Vous pouvez vous appuyer sur la pièce d'identité, sur un schéma d'identification électronique notifié eIDAS, ou sur des données transactionnelles, gouvernementales et télécoms dont l'agrégation prouve l'existence réelle de l'individu. Cette dernière approche, fondée sur la philosophie « tout est falsifiable, sauf la vie réelle », fluidifie l'onboarding tout en sécurisant le dispositif. Nous sélectionnons pour vous, parmi 4 000 sources mondiales, celles qui couvrent votre cas d'usage en restant conformes au RGPD et aux lois locales.

03

Évaluation du risque

Obligation : établir un profil de risque (PEP, sanctions, pays tiers). Référence légale : Art. L561-4-1 CMF.

Croisement avec les listes de sanctions internationales (UE, ONU, OFAC), les bases PEP et les pays tiers à haut risque publiés par le GAFI (Groupe d'action financière). Un client classé à haut risque déclenche les mesures de vigilance renforcée.

04

Surveillance continue

Obligation : suivre les opérations et actualiser les données. Référence légale : Art. L561-6 CMF.

05

Conservation

Obligation : conserver les données pendant cinq ans. Référence légale : Art. L561-12 CMF.

06

Déclaration

Obligation : déclarer les soupçons à Tracfin. Référence légale : Art. L561-15 CMF.

Obligations de conformité par secteur réglementé

Chaque secteur réglementé applique le socle LCB-FT en l'adaptant à ses risques métier. Le panorama ci-dessous synthétise les obligations spécifiques par secteur.

Banque

Banque — LCB-FT, PSD2, AMLD6, DORA

Spécificités : refresh KYC périodique, screening sanctions continu.

La conformité bancaire combine vigilance à l'entrée en relation, surveillance des opérations et actualisation périodique des données. La page dédiée KYC Banque détaille la méthode appliquée à l'onboarding bancaire.

Fintech

Fintech — PSD2, AMLD6, eIDAS 2.0, MiCA

Spécificités : onboarding API-first, conformité paneuropéenne.

Les acteurs DSP2 et MiCA (règlement européen sur les crypto-actifs) ont des obligations renforcées en matière d'identification électronique et de screening continu. Voir la page KYC Fintech pour le détail des cas d'usage.

Crypto / PSAN

Crypto / PSAN — MiCA, TFR, AMLD6

Spécificités : Travel Rule, agrément AMF.

Depuis l'entrée en application progressive de MiCA et du règlement TFR (Transfer of Funds Regulation), les prestataires de services sur actifs numériques (PSAN) sont soumis à un régime KYC aligné sur celui des établissements bancaires. Notre article sur la réglementation KYC crypto 2026 en détaille les implications opérationnelles.

Assurance

Assurance — LCB-FT, directive distribution

Spécificités : vigilance à la souscription et au rachat.

iGaming

iGaming — LCB-FT, agrément ANJ

Spécificités : vérification d'âge et d'identité avant la première mise.

Sous le contrôle de l'ANJ, les opérateurs de jeux en ligne doivent vérifier l'identité et l'âge du joueur avant la première mise et tracer les flux pour prévenir le blanchiment.

Immobilier

Immobilier — LCB-FT, déclaration de soupçon

Spécificités : identification des bénéficiaires effectifs.

Sanctions en cas de non-conformité

Les sanctions encourues en cas de manquement aux obligations de conformité KYC sont multiples et cumulables.

Sanctions administratives

Prononcées par l'ACPR, l'AMF ou l'ANJ : avertissement, blâme, sanction pécuniaire pouvant atteindre 100 millions d'euros ou 10 % du chiffre d'affaires annuel.

Sanctions pénales

Prononcées par le juge : jusqu'à dix ans d'emprisonnement et 750 000 euros d'amende pour blanchiment aggravé.

Sanctions RGPD

Prononcées par la CNIL : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial.

Sanctions réputationnelles

Publication des décisions de l'ACPR, perte de confiance des clients et des partenaires.

À retenir — Précédents européens

Plusieurs banques et fintechs européennes ont été sanctionnées au cours des trois dernières années pour défaillance de leur dispositif KYC, avec des amendes cumulant plusieurs centaines de millions d'euros. La traçabilité des contrôles et la qualité de la donnée d'identité sont les premières lignes de défense — et c'est précisément là que Euroleads n'est pas juge et partie : nous ne vous vendons pas une base que nous éditons, nous sélectionnons celle qui résiste à un contrôle ACPR ou CNIL.

Foire aux questions sur la conformité KYC

Quelles entités sont soumises à l'obligation KYC ?

Sont soumis à l'obligation KYC les entités assujetties listées à l'article L561-2 du Code monétaire et financier : banques, sociétés de financement, établissements de paiement, sociétés de gestion de portefeuille, entreprises d'assurance, intermédiaires en assurance, prestataires de services sur actifs numériques (PSAN), opérateurs iGaming sous agrément ANJ, agents immobiliers, notaires, avocats, experts-comptables, commissaires aux comptes, et certaines professions du chiffre et du jeu.

Quelle est la différence entre vigilance standard et vigilance renforcée ?

La vigilance standard correspond au régime de droit commun : identification, vérification d'identité, connaissance de l'objet de la relation d'affaires. La vigilance renforcée s'applique aux clients à haut risque (PEP, pays tiers à haut risque, opérations complexes) et impose des mesures additionnelles : autorisation hiérarchique, origine des fonds documentée, suivi continu renforcé.

Comment AMLD6 a-t-elle été transposée en droit français ?

AMLD6 a été transposée en droit français par l'ordonnance de 2020 modifiant le Code monétaire et financier. L'application opérationnelle passe par la mise à jour de la cartographie des risques, le renforcement des dispositifs de détection des infractions sous-jacentes (notamment cybercriminalité et fraude fiscale) et la traçabilité des décisions de vigilance.

Qu'est-ce qu'une personne politiquement exposée (PEP) ?

Une personne politiquement exposée (PEP) est une personne exerçant ou ayant exercé une fonction publique importante : chef d'État, ministre, parlementaire, magistrat, dirigeant d'entreprise publique, dirigeant de parti politique. Sont également concernés les membres de la famille proche et les associés connus. Vous pouvez détecter ces profils par l'interrogation de bases PEP commerciales ou par croisement avec des sources gouvernementales et médiatiques que nous auditons pour vous.

Quelles sanctions encourt-on en cas de non-conformité KYC ?

Les sanctions cumulent voies administrative, pénale et RGPD. L'ACPR peut prononcer jusqu'à 100 millions d'euros d'amende, le juge pénal jusqu'à dix ans d'emprisonnement pour blanchiment aggravé, la CNIL jusqu'à 4 % du chiffre d'affaires mondial pour manquement RGPD.

Comment s'articule la LCB-FT avec le RGPD ?

L'articulation repose sur le principe que la conformité LCB-FT constitue une obligation légale au sens de l'article 6.1.c du RGPD. Vous pouvez conserver les données collectées au titre de la LCB-FT cinq ans après la fin de la relation d'affaires, elles sont exclues du droit à l'effacement et bénéficient d'un régime spécifique de transmission à Tracfin.

De la réglementation à l'opérationnel

La connaissance client n'est pas une fin en soi : elle conditionne votre capacité à entrer en relation d'affaires sans friction et à protéger l'institution contre la fraude et les sanctions. Nous mobilisons la donnée transactionnelle, gouvernementale et télécoms pour fiabiliser l'identification, en réduisant les frictions de l'onboarding tout en respectant les exigences de la lutte contre le blanchiment et le financement du terrorisme (LCB-FT) et de l'eIDAS 2.0. Que vous soyez banque, fintech ou PSAN, vous accédez à des sources conformes au RGPD et aux lois locales, en cohérence avec MiCA, DORA et NIS2 lorsque votre secteur l'impose.

« Le rôle d'Euroleads n'est pas de vous vendre de la donnée à tout prix. C'est de trouver, pour vous, celle qui résout votre cas d'usage. »

Pour aller plus loin : pilier KYC, pilier eIDV, KYC Banque, KYC Fintech.

Échanger avec nos experts