KYC pour PME : 7 obligations souvent ignorées en 2026

En 2024, 31 % des déclarations de soupçon reçues par Tracfin (la cellule française anti-blanchiment, rattachée à Bercy) provenaient d'entreprises non financières : agences immobilières, marchands d'art, négociants de biens précieux, professions libérales, places de marché en ligne. Le rapport du GAFI sur la France pointait déjà la faiblesse des contrôles anti-blanchiment sur ces profils. Depuis, la supervision se durcit, et les PME sont en première ligne.

Les PME concernées par la lutte anti-blanchiment (souvent à leur insu)

Vous dirigez une PME et vous vous demandez si vous êtes concerné par le KYC (Know Your Customer, c'est-à-dire la vérification d'identité de vos clients) et la LCB-FT (lutte contre le blanchiment et le financement du terrorisme) ? La réponse est probablement oui, et plus souvent qu'on ne le croit.

L'article L561-2 du Code monétaire et financier dresse la liste des professionnels assujettis. Au-delà des banques, assurances et fintechs déjà bien outillées, voici les PME assujetties dès qu'elles dépassent un seuil d'activité :

  • Négociants en biens précieux (bijoux, métaux, pierres, montres) : seuil de 10 000 € par opération ou par opérations liées
  • Marchands d'art et antiquaires : seuil de 10 000 €, sans exception même pour des œuvres uniques
  • Agents immobiliers, administrateurs de biens, syndics : assujettis sans seuil dès qu'il y a transaction ou mandat
  • Plateformes d'enchères (physiques et en ligne)
  • Marketplaces B2B et B2C qui hébergent des transactions entre tiers
  • Vendeurs de véhicules de luxe (voitures, bateaux) au-delà du seuil
  • Notaires et avocats sur opérations financières, experts-comptables
  • Commissaires aux comptes, conseils en gestion de patrimoine
  • Domiciliataires d'entreprises, prestataires de services aux sociétés

Ces PME se découvrent souvent assujetties au moment d'un contrôle, ou au moment d'une déclaration tardive. La mise en conformité réactive coûte alors trois à cinq fois plus cher qu'un dispositif préventif.

::: callout-info En bref

  • 201 437 déclarations de soupçon reçues par Tracfin en 2024
  • 31 % proviennent d'entreprises non financières
  • Seuil générique de vigilance : 10 000 € par opération
  • Sanctions : jusqu'à 5 M€ ou 10 % du chiffre d'affaires pour une personne morale

:::

Obligation 1 — Cartographie des risques anti-blanchiment formalisée

Toute PME assujettie doit établir une cartographie de ses risques anti-blanchiment (article L561-4-1). Concrètement, ce document décrit :

  • Les typologies de clients : particuliers, professionnels, étrangers, personnes politiquement exposées (PPE — élus, hauts fonctionnaires, dirigeants publics et leurs proches)
  • Les typologies de produits ou services : espèces, virement, paiement fractionné
  • Les canaux de distribution : face à face, à distance, via une plateforme
  • Les zones géographiques d'activité

Cette cartographie est le fondement de l'approche par les risques, principe directeur des lignes de l'ACPR (l'Autorité de contrôle prudentiel et de résolution, le superviseur français pour la conformité bancaire et assurance). Elle est exigible à tout moment par le superviseur. Beaucoup de PME n'en disposent pas, ou en disposent d'une version datée de plusieurs années.

Obligation 2 — Procédures écrites d'identification client

Vos diligences KYC doivent reposer sur des procédures écrites qui répondent à quatre questions simples :

  • Quoi identifier : état civil, bénéficiaire effectif, origine des fonds
  • Comment identifier : pièces acceptées, niveaux de vigilance — standard, simplifié ou renforcé
  • Quand : à l'entrée en relation, lors des mises à jour périodiques, à l'occasion d'événements déclencheurs
  • Qui : un responsable conformité désigné, et l'équipe opérationnelle

Ces procédures doivent être lisibles par toute personne en charge d'accueillir un client. La formation annuelle des collaborateurs est une obligation distincte (article L561-33).

Obligation 3 — Identification du bénéficiaire effectif

Pour toute personne morale cliente, vous devez identifier le bénéficiaire effectif, c'est-à-dire la personne physique qui détient plus de 25 % du capital ou qui exerce un contrôle. Les sources mobilisables sont le RBE (le Registre des Bénéficiaires Effectifs, tenu par les greffes des tribunaux de commerce), les déclarations du client lui-même, et l'enrichissement par des bases de données entreprises.

L'absence de bénéficiaire effectif identifié dans le dossier KYC est l'une des non-conformités les plus fréquemment sanctionnées par l'ACPR sur les entreprises non financières.

Obligation 4 — Vigilance continue sur la relation client

Le KYC n'est pas un acte ponctuel. La vigilance est continue (article L561-12). Cela signifie :

  • Mise à jour périodique des informations client (typiquement tous les ans)
  • Détection des opérations atypiques : usage d'espèces, fractionnement, destinations inhabituelles
  • Renforcement de la vigilance sur les personnes politiquement exposées et les clients à risque élevé
  • Conservation des preuves de vigilance pendant cinq ans

Beaucoup de PME réalisent une identification initiale puis n'effectuent plus aucune mise à jour. Cette carence est typiquement révélée à l'occasion d'une alerte bancaire ou d'un contrôle.

Obligation 5 — Déclaration de soupçon à Tracfin

Dès qu'un doute sérieux survient sur l'origine des fonds, sur le bénéficiaire effectif ou sur la finalité d'une opération, vous devez effectuer une déclaration de soupçon à Tracfin via le portail ERMES (la plateforme officielle de télédéclaration).

Cette déclaration est confidentielle : il est interdit de prévenir le client. Elle est protégée : vous bénéficiez d'une immunité civile et pénale dès lors que vous agissez de bonne foi. Elle est opposable : la preuve doit être conservée. En 2024, 31 % des 201 437 déclarations Tracfin provenaient d'entreprises non financières. Signe que la culture de la conformité se diffuse, mais aussi que la non-déclaration est lourdement sanctionnée.

Obligation 6 — Conservation des données KYC pendant 5 ans

Tous les éléments KYC (pièces d'identité, justificatifs, traces de vigilance, profil client, déclarations de soupçon) doivent être conservés cinq ans après la fin de la relation commerciale (article L561-12). La conservation doit aussi respecter le RGPD, le règlement européen sur les données personnelles : durée proportionnée, sécurité du stockage, information du client.

L'articulation entre RGPD et anti-blanchiment a été précisée par la CNIL (la Commission nationale de l'informatique et des libertés, gendarme français des données personnelles) dans ses lignes directrices 2025. La base juridique de la conservation est l'obligation légale, le principe de minimisation s'applique, et l'information du client doit être simplifiée mais effective.

Obligation 7 — Désignation d'un correspondant Tracfin

Toute structure assujettie doit désigner un correspondant Tracfin, c'est-à-dire l'interlocuteur opérationnel qui prendra en charge les déclarations. Selon la taille de la structure, un déclarant Tracfin distinct peut être désigné. Pour les PME, le correspondant Tracfin est le plus souvent le dirigeant lui-même ou le responsable conformité.

Cette désignation doit être formelle, communiquée à Tracfin, et mise à jour en cas de changement.

::: callout-warning Erreurs fréquentes constatées par Tracfin

  • Identification partielle ou datée, sans mise à jour
  • Bénéficiaire effectif absent du dossier
  • Déclaration de soupçon omise ou tardive
  • Conservation non conforme : papier seul, sans accès rapide
  • Cartographie des risques inexistante ou non actualisée

:::

Sanctions encourues

Le régime de sanctions anti-blanchiment est gradué (article L561-32) :

  • Sanctions disciplinaires : avertissement, blâme, interdiction temporaire d'exercice
  • Sanctions pécuniaires : jusqu'à 1 M€ pour une personne physique, jusqu'à 5 M€ ou 10 % du chiffre d'affaires pour une personne morale
  • Sanctions complémentaires : publication de la décision, retrait d'agrément ou de carte professionnelle
  • Sanctions pénales : jusqu'à 5 ans de prison en cas de complicité de blanchiment caractérisée

Au-delà du chiffre, l'impact sur la réputation d'une sanction publique est durablement dommageable pour une PME, particulièrement dans les professions réglementées (immobilier, négoce de luxe, art).

Comment se mettre en conformité simplement

Le piège, pour une PME, est de surdimensionner le dispositif. Une bijouterie indépendante n'a pas besoin du même outillage qu'une banque. Cinq principes pragmatiques :

  • Cartographier vos risques réels, pas un modèle générique recopié
  • Documenter des procédures simples et applicables par vos équipes
  • Choisir une approche eIDV (vérification d'identité électronique) adaptée à votre volume — par exemple, une vérification par données, sans scan de pièce, dans la majorité des cas
  • Former annuellement les collaborateurs en contact avec le client
  • Documenter la cartographie, les procédures, la formation et la vigilance continue

L'eIDV par données transactionnelles est particulièrement adaptée aux PME : elle évite le scan de pièce d'identité côté client, traite les vérifications en back-office, et délivre une preuve opposable conforme au règlement européen eIDAS sur l'identité électronique. La friction côté client est nulle.

::: callout-success Cas d'usage : agence immobilière indépendante Une agence immobilière de cinq collaborateurs a structuré son dispositif KYC en six semaines : cartographie des risques par typologie de transaction, procédure d'identification du vendeur et de l'acquéreur, désignation du correspondant Tracfin, vérification d'identité automatisée par données sans scan de pièce. Coût annuel inférieur à 2 000 € pour une conformité opposable. :::

Le rôle d'Euroleads pour les PME

Sur le métier de la donnée depuis 45 ans, nous avons structuré depuis 2016 une approche eIDV adaptée aux assujettis anti-blanchiment de toutes tailles. La vérification par données transactionnelles est particulièrement efficace pour les PME :

  • Sources mutualisées sur 4 000 référentiels mondiaux
  • Vérification en back-office, friction client nulle
  • Conformité eIDAS niveau substantiel ou élevé selon le profil
  • Articulation RGPD et anti-blanchiment documentée
  • Tarification proportionnée aux volumes des PME

Nous pouvons également effectuer un audit gratuit de vos données existantes, et ainsi mesurer votre patrimoine de data actuel et l'optimum atteignable selon vos objectifs.

::: cta-final Vérifier votre assujettissement anti-blanchiment et structurer un dispositif KYC adapté à votre PME ? Notre audit gratuit délivre en une heure votre cartographie d'assujettissement, vos obligations prioritaires et l'approche eIDV adaptée à votre volume et à votre secteur. Échanger avec nos experts :::