KYC obligatoire en 2026 : qui doit s'y conformer et sous quels seuils ?

Le KYC (Know Your Customer, soit la vérification d'identité client) n'est pas une bonne pratique : c'est une obligation légale. En France et dans toute l'Union européenne, des dizaines de secteurs doivent identifier leurs clients, vérifier leur identité et déclarer les soupçons à Tracfin (la cellule française de renseignement financier). Le périmètre s'élargit chaque année. En 2024 et 2025, les prestataires de services sur crypto-actifs (PSCA) sont entrés dans la cible, sous l'effet conjugué de MiCA et du Travel Rule Regulation (TFR). Si vous opérez dans un secteur régulé, vous êtes probablement concerné.
Parlons de votre projet

Le KYC, une obligation pour les secteurs régulés

L'obligation KYC trouve sa source dans les recommandations du GAFI (Groupe d'action financière, l'organisme intergouvernemental qui édicte les règles anti-blanchiment), transposées progressivement par les six directives anti-blanchiment européennes (1996 → AMLD6, c'est-à-dire la sixième directive de lutte contre le blanchiment) et désormais consolidées par le Règlement (UE) 2024/1624 (AMLR6), directement applicable dans les États membres.

En France, l'architecture juridique repose sur :

  • le Code monétaire et financier, articles L561-1 et suivants,
  • les lignes directrices ACPR-Tracfin LCB-FT — l'ACPR (Autorité de contrôle prudentiel et de résolution) et Tracfin pilotent ensemble le dispositif de lutte contre le blanchiment et le financement du terrorisme (LCB-FT) — mises à jour en 2025,
  • le Code pénal, article 324-1 (blanchiment),
  • les règlements sectoriels (MiCA, TFR, eIDAS 2.0 sur l'identité électronique, DSP2 sur les services de paiement).
Selon l'ACPR et Tracfin, les lignes directrices LCB-FT 2025 renforcent la vigilance attendue des assujettis sans introduire de nouveaux seuils, tout en précisant les attentes en matière de procedure kyc. (Efficiale — Lignes directrices LCB-FT 2025)

La logique est constante : prévenir le blanchiment, le financement du terrorisme et la corruption, en imposant aux acteurs assujettis une vigilance proportionnée au risque. La connaissance client kyc devient ainsi une condition d'accès au marché, pas un avantage concurrentiel.

Les 9 catégories de secteurs soumis au KYC

BANQUE

Banques et établissements de crédit

Obligation totale : vigilance dès l'entrée en relation, quelle que soit la nature du compte (particulier, corporate, association). Les banques sont soumises à la supervision directe de l'ACPR. Le secteur bancaire concentre l'essentiel des contrôles et des sanctions LCB-FT.

ASSURANCE

Compagnies d'assurance

Vigilance accrue sur souscripteurs et bénéficiaires effectifs des contrats. Pour l'assurance dommages, le régime est assoupli sauf en cas de prime exceptionnelle. L'assurance vie reste un vecteur historique de blanchiment, ce qui justifie une customer diligence renforcée.

PAIEMENT

Établissements de paiement et monnaie électronique

Sous régime DSP2 et agrément ACPR, ces établissements doivent vérifier l'identité de leurs clients à l'entrée en relation et lors de chaque opération significative. La supervision est strictement alignée sur celle des banques.

FINTECH

Néobanques et fintechs

Toute néobanque sous agrément ACPR ou en passeport européen est soumise au régime bancaire complet. Les sanctions récentes le démontrent : une amende significative et un blâme ont été notifiés à une fintech française en 2025 pour insuffisances de son dispositif know your customer (source ACPR, Pulse of Fintech France 2025).

CRYPTO

Prestataires de services sur crypto-actifs (PSCA)

Depuis l'entrée en application de MiCA (juin 2024) et du TFR (30 décembre 2024), les exchanges, custodians et émetteurs de stablecoins sont assujettis à un dispositif KYC complet, dès le premier euro pour certaines opérations. Tous les CASP sont inclus dans le périmètre AMLR6.

PROFESSIONS JURIDIQUES

Notaires, avocats et experts-comptables

Pour les transactions à risque (opérations immobilières, ingénierie sociétaire, fiducies), ces professions sont soumises à la déclaration de soupçon Tracfin et à une procedure kyc documentée.

JEUX

Casinos et opérateurs de jeux

Seuils stricts dès l'entrée en jeu. Les opérateurs en ligne et physiques sont supervisés par l'ANJ (Autorité nationale des jeux) avec coordination Tracfin.

ART & ANTIQUITÉS

Marchands d'art et antiquaires

Au-delà de 10 000 € (loi du 6 août 2015), obligation de KYC sur l'acheteur et, pour certaines œuvres, sur la chaîne de provenance.

IMMOBILIER

Agents immobiliers et professions du chiffre

Déclaration de soupçon Tracfin sur transactions atypiques, vigilance accrue dès 100 000 €. Le secteur immobilier reste l'un des plus surveillés par Tracfin pour blanchiment de fonds étrangers.

Les seuils LCB-FT à connaître en 2026

1 000 €
Transferts crypto, déclaration occasionnelle (Art. L561-15 CMF, AMLD)
10 000 €
Paiement espèces, vigilance renforcée (Directive UE 2015/849)
15 000 €
Vigilance LCB-FT en relation occasionnelle (Code monétaire et financier)
25 000 €
Crypto-actifs, vigilance accrue (MiCA + TFR)
100 000 €
Immobilier et transactions notariales (lignes directrices Tracfin)
À retenir : franchir un seuil ne dispense pas de vigilance en deçà — cela impose une vigilance renforcée au-dessus.

Le Règlement (UE) 2024/1624 (AMLR6) harmonise ces seuils à l'échelle de l'Union européenne et supprime certaines disparités nationales. Les acteurs paneuropéens doivent désormais piloter une matrice unique qui intègre les particularités de chaque marché.

Sanctions en cas de non-conformité KYC

Sanctions financières

Amendes administratives jusqu'à 10 % du chiffre d'affaires ou 100 millions d'euros par infraction (article L561-36 CMF). L'ACPR publie systématiquement ses décisions sur son site, ce qui ajoute un risque réputationnel à la sanction financière.

Sanctions pénales

Article 324-1 du Code pénal : 5 ans d'emprisonnement et 375 000 € d'amende pour les personnes physiques, jusqu'à 5 fois ce montant pour les personnes morales. La complicité de blanchiment expose les dirigeants en propre.

Sanctions réputationnelles

Les décisions ACPR sont reprises par la presse économique. Une seule sanction publique suffit à compromettre une levée de fonds, un agrément ou un partenariat bancaire.
Selon l'ACPR, en 2023, 71 274 comptes ont été clôturés pour motif fraude pour un total de 982 millions d'euros transités non restitués ou saisis ; en 2025, 90 % des comptes suspects sont clôturés en moins d'un an, dont 70 % en moins de trois mois. (ACPR — Forum FinTech 2025)

Ces volumes traduisent la mécanisation du contrôle : l'ACPR, l'AMF (Autorité des marchés financiers) et Tracfin disposent désormais d'outils d'analyse qui détectent en quasi-temps réel les défaillances de dispositif.

Cas particuliers à surveiller en 2026

Crypto-actifs et NFT — avec l'entrée en application complète de MiCA + TFR, toutes les transactions en crypto-actifs réalisées via un PSCA sont soumises à KYC, dès le premier euro. La piece identite et la preuve de domicile sont systématiques. Les portefeuilles non hébergés (self-hosted) restent en zone grise mais font l'objet d'une vigilance accrue.

Assurance vie et bénéficiaires effectifs — la vigilance porte non seulement sur le souscripteur mais sur chaque bénéficiaire effectif désigné. Le registre beneficiaires effectifs (RBE) doit être consulté à l'entrée en relation et actualisé à chaque modification.

BNPL et crédit court terme — les acteurs du Buy Now Pay Later sont assujettis dès qu'ils accordent un crédit ou un paiement différé au-delà de 200 € dans la plupart des juridictions européennes. Le KYC est obligatoire au-delà de ce seuil, parfois en deçà selon le risque.

Marketplaces e-commerce avec encaissement pour compte de tiers — si la plateforme encaisse les fonds pour le compte de vendeurs tiers, elle peut être qualifiée d'établissement de paiement et tomber sous régime DSP2 + LCB-FT. La frontière est mince et l'ACPR a clarifié sa doctrine en 2025.

Pourquoi un dispositif KYC bien dimensionné protège votre entreprise

Au-delà des sanctions, un dispositif know your customer robuste agit comme un filtre de risques à l'entrée et tout au long de la relation d'affaires. Il sécurise trois plans simultanément.

Plan réglementaire — la conformité aux obligations LCB-FT (AMLR6, AMLD6, MiCA, TFR, eIDAS 2.0) s'inscrit dans un cadre contrôlé par l'ACPR, l'AMF, l'ANJ et Tracfin. Une procédure documentée permet de répondre rapidement à toute demande des autorités regulation et de produire les déclarations de soupçon dans les délais prescrits.

Plan opérationnel — un processus automatisé fluidifie l'onboarding et réduit les frictions. Les profils à risque faible passent en frictionless, les profils à risque élevé déclenchent une customer diligence renforcée (EDD, Enhanced Due Diligence). Le secteur bancaire gagne en conversion sans dégrader la qualité de la connaissance client.

Plan financier — la fraude détectée à l'entrée évite les pertes opérationnelles. Sur un e-commerce avec services financiers, sur une banque en ligne, sur un PSCA crypto, l'évaluer risques en amont divise par cinq les coûts de remédiation aval.

À retenir : un dispositif conforme, c'est une solution défensive (régulateur), offensive (conversion) et économique (fraude évitée), simultanément.

Cartographie des risques : comment l'établir ?

La cartographie des risques — pierre angulaire des obligations LCB-FT — repose sur trois axes croisés.

Axe géographique — listes FATF/GAFI (juridictions à haut risque et juridictions sous surveillance), liste UE, liste française. Un client résidant ou opérant dans un pays listé déclenche une vigilance egard clientele renforcée.

Axe profil client :

  • Personne politiquement exposee (PPE) : EDD systématique
  • Bénéficiaires effectifs offshore : EDD avec validation hiérarchique
  • Entreprises à structure complexe (holdings empilées, fiducies)
  • Secteurs à risque (jeux, crypto, métaux précieux)

Axe produit/canal :

  • Crédit, paiement, e-money, crypto, assurance vie : risques différenciés
  • Volume et fréquence des transactions
  • Canal de distribution (à distance vs présentiel)
  • Services numériques transfrontaliers

L'ACPR demande une revue annuelle de cette cartographie, au minimum. Toute évolution — nouveau produit, nouveau marché, nouveau canal — déclenche une mise à jour. La connaissance client kyc dépend directement de la qualité de cette cartographie.

FAQ — KYC obligatoire en France et en Europe

Qui est concerné par le KYC ? Toute entreprise assujettie à la LCB-FT : banques, institutions financières, fintechs, PSCA, services de paiement, notaires, avocats, experts-comptables pour transactions à risque, marchands d'art au-delà de 10 000 €, secteur immobilier, casinos. Les secteurs non financiers sont également concernés sur certaines activités.

Existe-t-il un formulaire KYC obligatoire ? Oui pour toutes les institutions financières et les secteurs assujettis. Le formulaire formalise l'identification du client et la collecte des documents probants. Sa forme est libre mais son contenu est encadré par le code monetaire financier.

Quelles sont les 4 étapes d'un processus KYC ? 1. Identification : information d'état civil, piece identite, informations postale email telephone. 2. Vérification d'identité : sources opposables (data, biométrie, OCR). 3. Évaluer risques : matrice pays × profil × produit. 4. Surveillance continue : transactions, screening PEP et sanctions, refresh périodique.

Quelles obligations LCB-FT pour une entreprise assujettie ?

  • Identifier le client et le bénéficiaire effectif avant l'entrée en relation
  • Évaluer risques et calibrer la vigilance egard clientele
  • Surveillance transactions et déclaration de soupçon Tracfin
  • Conservation des documents 5 ans après la fin de la relation affaires
  • Formation continue des équipes et reporting LCB-FT

Quelle différence entre KYC et KYB ? KYC = know your customer (clients particuliers). KYB = know your business (clients entreprises). Le KYB exige un Kbis, les statuts, le registre des bénéficiaires effectifs (RBE) et l'identification des dirigeants. Les risques et les contrôles sont structurellement différents.

Que change AMLR6 par rapport à AMLD6 ? Le Règlement (UE) 2024/1624 (AMLR6) est directement applicable sans transposition nationale. Il harmonise les seuils, unifie la définition du bénéficiaire effectif, renforce la coopération entre cellules de renseignement et étend le périmètre aux PSCA crypto et au commerce de luxe. Les entreprises paneuropéennes pilotent désormais une matrice unique.

Glossaire express des *obligations* KYC

  • AML : Anti-Money Laundering, équivalent anglais de LCB-FT.
  • AMLR6 : Règlement (UE) 2024/1624, directement applicable.
  • CASP /fr/ PSCA : Crypto-Asset Service Provider /fr/ Prestataire de Services sur Crypto-Actifs.
  • EBA : European Banking Authority, autorité bancaire européenne.
  • eIDAS 2.0 : règlement européen sur l'identité électronique et les services de confiance.
  • GAFI /fr/ FATF : Groupe d'action financière, organisme intergouvernemental qui édicte les recommandations anti-blanchiment.
  • MiCA : Markets in Crypto-Assets, règlement européen sur les services crypto.
  • PEP : personne politiquement exposee.
  • RBE : registre des bénéficiaires effectifs.
  • TFR : Travel Rule Regulation, traçabilité des transferts crypto.
  • Tracfin : cellule française de renseignement financier.

Comment le KYC protège vos clients et vos partenaires bancaires

Le dispositif n'est pas un coût défensif : c'est un levier de confiance qui sécurise vos publics, vos partenaires bancaires et vos investisseurs.

Côté usagers finaux — une connaissance client rigoureuse protège vos publics contre l'usurpation d'identité, la fraude et le blanchiment. Une entreprise qui investit dans ce volet démontre son sérieux et son alignement avec les obligations AMLR6. Les comptes B2B exigent désormais cette transparence avant tout partenariat.

Côté partenaires bancaires — les banques de paiement et correspondantes exigent un dispositif auditable de leurs clients corporate. Elles refusent désormais d'ouvrir un compte à une entreprise dont les obligations LCB-FT ne sont pas démontrablement maîtrisées. La conformité devient une condition d'accès aux services bancaires.

Côté investisseurs et M&A — les fonds d'investissement et les acquéreurs intègrent l'audit du dispositif dans leur due diligence. Une entreprise exposée à des sanctions ACPR voit sa valorisation chuter. Les profils à risque mal filtrés sont une dette cachée qui resurgit lors d'une cession.

À retenir : un dispositif robuste vous protège sur trois fronts — usagers finaux, partenaires bancaires, investisseurs. La conformité devient un actif stratégique, pas un coût d'opportunité.

Solutions KYC : critères de choix face aux obligations 2026

Face aux obligations renforcées par AMLR6, MiCA et TFR, le marché des solutions a évolué. Trois familles coexistent.

Suites tout-en-unsolutions qui combinent data, biométrie et OCR documentaire (eIDV, vérification d'identité électronique) dans un seul contrat. Avantage : facilité d'intégration. Inconvénient : performances moyennes sur chaque couche, pas de meilleure solution sur chaque maillon.

Briques spécialisées — eIDV par data (notre approche), biométrie pure, OCR pur. Avantage : meilleure performance par couche, plus faible taux de faux positifs. Inconvénient : intégration plus complexe.

Orchestration multi-fournisseurs — approche que nous recommandons : un orchestrateur indépendant qui mobilise les meilleures solutions sur chaque couche, sans biais éditeur. Notre connaissance du marché — 4 000 sources mondiales, 197 pays — nous permet d'identifier la solution optimale pour chaque cas d'usage, chaque secteur, chaque profil.

Pour un acteur du secteur bancaire ou une fintech soumise à AMLR6, le bon contrat combine plusieurs briques dans un dispositif unique, avec routage automatique selon le profil et le niveau de risques.

Vous n'êtes pas certain de vos obligations KYC ?

L'écosystème réglementaire est vivant. Entre AMLD6 transposée fin 2024, AMLR6 directement applicable, MiCA + TFR pour la crypto et lignes directrices ACPR-Tracfin 2025, votre matrice d'obligations a probablement évolué depuis votre dernier audit.

Filiale du groupe MV Group, Euroleads vous propose un audit gratuit qui identifie le périmètre exact de vos obligations, les seuils applicables à votre activité, les angles morts éventuels et les optimisations possibles sur votre dispositif actuel — que vous opériez dans la finance, l'immobilier, l'IT, l'e-commerce, l'assurance ou les médias.

Notre indépendance — nous ne vendons aucune base de données — vous garantit une recommandation fondée sur votre seul intérêt opérationnel. Une connaissance client fiable, c'est une entreprise mieux protégée et plus performante.
Parlons de votre projet