Le KYC, ou Know Your Customer, est aujourd’hui l’une des procédures de conformité les plus répandues dans l’univers financier. Que vous ouvriez un compte bancaire, investissiez sur une plateforme de cryptomonnaies ou contractualisiez avec un prestataire financier, vous avez forcément été confronté à cette vérification d’identité. Mais derrière l’acronyme se cache un dispositif réglementaire d’une réelle complexité, renforcé en 2024 par l’entrée en application du règlement MiCA en Europe et par la montée en puissance de l’autorité de supervision AMLA. Cet article décrypte le fonctionnement du KYC, ses obligations légales, ses étapes concrètes et ses évolutions récentes — avec un regard particulier sur l’impact pour les acteurs de la finance et des cryptomonnaies.
Qu’est-ce que le KYC (Know Your Customer) : définition et origines
Le KYC est l’acronyme de l’expression anglaise Know Your Customer, que l’on traduit littéralement par « Connais ton client ». Il désigne l’ensemble des procédures mises en place par les entreprises — principalement dans le secteur financier — pour vérifier l’identité de leurs clients, évaluer les risques associés à la relation commerciale et s’assurer de leur conformité aux réglementations en vigueur.
Né aux États-Unis dans les années 1990 sous l’impulsion du Groupe d’action financière (GAFI), le KYC s’est progressivement imposé comme un standard international. En Europe, c’est la directive 2015/849 — entrée en application en juin 2017 — qui a posé les bases juridiques du dispositif, transposée ensuite dans le Code monétaire et financier français aux articles L561-1 et suivants.
À l’origine centré sur les banques, le périmètre du KYC s’est considérablement élargi. Il concerne aujourd’hui les établissements de crédit, les sociétés d’assurance, les plateformes de crowdfunding, les conseillers en investissement, les marchands d’art et, depuis 2020 avec la cinquième directive européenne, les prestataires de services sur cryptomonnaies.
En résumé : le KYC n’est pas une simple formalité administrative. C’est un dispositif de conformité à part entière, dont le non-respect expose les entités concernées à des sanctions financières lourdes et à des atteintes durables à leur réputation.
Pourquoi le KYC est-il obligatoire ? Le cadre réglementaire en France et en Europe
La procédure KYC répond à plusieurs obligations légales cumulatives, dont la principale est la lutte contre le blanchiment de capitaux et le financement du terrorisme, communément désignée sous l’acronyme LCB-FT.
Les textes fondateurs du KYC
Le cadre juridique du KYC repose sur plusieurs textes de référence :
- La directive européenne 2015/849, dite quatrième directive anti-blanchiment, entrée en application en juin 2017
- La cinquième directive (UE 2018/843), transposée en janvier 2020, qui a étendu les obligations aux plateformes d’échange de cryptomonnaies et aux marchands d’œuvres d’art
- Le Code monétaire et financier (articles L561-1 à L561-50) en droit français
- Le règlement AMLAR de 2024, qui a créé l’AMLA, une autorité européenne de supervision chargée de coordonner la lutte contre le blanchiment au niveau continental
Les sanctions en cas de non-conformité
La non-conformité KYC n’est pas un risque théorique. Entre 2007 et 2023, les établissements financiers ont versé plus de 200 milliards d’euros d’amendes mondiales pour des manquements au contrôle de conformité. En France, l’ACPR (Autorité de contrôle prudentiel et de résolution) et l’AMF (Autorité des marchés financiers) peuvent infliger des sanctions administratives dont les décisions sont rendues publiques, avec un impact réputationnel immédiat.
Depuis la loi Sapin 2, les grandes entreprises non financières sont également tenues d’évaluer leurs clients et fournisseurs dans une logique de conformité élargie, ce que l’on appelle parfois le KYS (Know Your Supplier).
Les 5 étapes clés de la procédure KYC
La procédure KYC ne se résume pas à la collecte d’une pièce d’identité. Elle s’articule en réalité autour de cinq étapes complémentaires, formant un dispositif de vigilance évolutif tout au long de la relation commerciale.
Étape 1 — Identification du client
Avant toute entrée en relation, l’entité doit établir l’identité du client. Pour une personne physique, cela implique la collecte d’une pièce d’identité officielle en cours de validité (carte nationale d’identité, passeport, permis de conduire), d’un justificatif de domicile de moins de trois mois et, le cas échéant, des informations relatives aux bénéficiaires effectifs de l’opération.
Pour une personne morale, les documents exigés sont différents : extrait Kbis, statuts à jour, liste des dirigeants et des actionnaires détenant plus de 25 % du capital.
Étape 2 — Vérification de l’authenticité des documents
La collecte seule ne suffit pas. Les informations fournies doivent être vérifiées, soit par comparaison avec des bases de données officielles, soit via des outils technologiques d’analyse documentaire. Les solutions modernes permettent aujourd’hui de détecter automatiquement les falsifications et de valider les documents en temps réel.
Étape 3 — Évaluation du risque client
Sur la base des informations collectées, l’entité attribue un niveau de risque à chaque client : faible, standard ou élevé. Cette cartographie des risques repose sur quatre critères principaux : le profil du client, la nature de la relation d’affaires, les types de transactions envisagées et les pays impliqués.
Les personnes politiquement exposées (PPE) — c’est-à-dire les personnes exerçant ou ayant exercé des fonctions publiques importantes — sont systématiquement classées comme clients à risque élevé et font l’objet de mesures de vigilance renforcée.
Étape 4 — Surveillance continue des transactions
Le KYC ne s’arrête pas à l’entrée en relation. Les entités sont tenues d’assurer une surveillance continue des opérations afin de détecter tout comportement suspect ou incohérent avec le profil déclaré du client. Cette obligation de monitoring est au cœur des enjeux actuels d’automatisation.
Étape 5 — Mise à jour régulière du dossier
Les informations KYC ont une durée de vie limitée. Les entités sont dans l’obligation de mettre à jour régulièrement les dossiers clients, notamment en cas de changement de situation ou lors de transactions significatives. Cette mise à jour périodique est vérifiée par les régulateurs lors de leurs contrôles.
KYC et AML : quelle différence ?
La confusion entre KYC et AML (Anti-Money Laundering) est fréquente, y compris chez des professionnels aguerris. Ces deux notions sont complémentaires mais leur périmètre diffère.
| Critère | KYC | AML |
|---|---|---|
| Définition | Processus d’identification et de vérification du client | Ensemble des mesures de lutte contre le blanchiment d’argent |
| Périmètre | Entrée en relation et suivi client | Surveillance globale des flux financiers suspects |
| Moment d’application | En amont de la relation commerciale | Tout au long de l’activité de l’entité |
| Lien | Composante de l’AML | Cadre plus large incluant le KYC |
| Obligations spécifiques | Collecte documentaire, évaluation du risque | Déclarations de soupçons, gel d’avoirs, reporting réglementaire |
En clair, le KYC est une composante essentielle de l’AML, mais l’AML englobe un spectre bien plus large : déclarations de soupçons à Tracfin, obligations de reporting, gel d’avoirs et coordination avec les autorités judiciaires.
Qui est concerné par le KYC en France ?
La liste des entités soumises à la procédure KYC ne cesse de s’allonger. Outre les acteurs historiques que sont les banques et assurances, les obligations KYC s’appliquent désormais à :
- Les établissements de paiement et de monnaie électronique
- Les sociétés de gestion de portefeuilles et entreprises d’investissement
- Les plateformes de crowdfunding et de financement participatif
- Les prestataires de services sur cryptomonnaies (PSAN, puis PSCA sous MiCA)
- Les notaires, avocats et experts-comptables dans le cadre de certaines missions
- Les agents immobiliers pour les transactions au-delà de certains seuils
- Les marchands d’art et de métaux précieux
- Les casinos et opérateurs de jeux en ligne
KYC et cryptomonnaies : les nouvelles obligations sous MiCA
C’est probablement l’évolution la plus significative de ces deux dernières années pour les acteurs de l’écosystème crypto. Le règlement européen MiCA (Markets in Crypto-Assets), entré en application le 30 décembre 2024, a profondément restructuré les obligations KYC dans le secteur des actifs numériques.
Ce que MiCA change concrètement pour le KYC crypto
Désormais, tout prestataire de services sur crypto-actifs (PSCA) opérant dans l’Union européenne doit avoir obtenu un agrément auprès de l’autorité nationale compétente — l’AMF en France. Les anciens PSAN (Prestataires de Services sur Actifs Numériques) issus du régime PACTE bénéficient d’une période transitoire jusqu’au 1er juillet 2026 pour se mettre en conformité.
Parallèlement, la Transfer of Funds Regulation (TFR), dite travel rule, impose aux PSCA de transmettre les informations relatives à l’émetteur et au bénéficiaire pour toutes les transactions supérieures à 1 000 euros. Cette obligation, calquée sur les standards bancaires internationaux, représente un changement structurel majeur pour les plateformes d’échange. Si vous investissez en cryptomonnaies via des plateformes régulées, notre analyse d’Aster Crypto illustre concrètement ce que ces exigences de conformité impliquent pour un investisseur particulier.
Les portefeuilles auto-hébergés dans le viseur
L’une des mesures les plus discutées concerne les portefeuilles auto-hébergés (self-custodial wallets). Des mesures de vigilance adaptées s’appliquent désormais aux transferts vers ou depuis ces portefeuilles, ce qui implique pour les PSCA d’identifier l’origine des fonds et d’évaluer le risque associé à chaque transaction. Pour un investisseur qui utilise un wallet hardware comme Ledger, cela se traduit concrètement par des demandes de justification lors de dépôts importants sur des plateformes régulées.
Comment se déroule concrètement un KYC en ligne ?
L’essor des néobanques et des plateformes d’investissement digitales a profondément transformé l’expérience utilisateur du KYC. Ce qui prenait autrefois plusieurs jours en agence se fait aujourd’hui en quelques minutes depuis un smartphone.
Le processus type d’un KYC en ligne comprend généralement :
- La prise de photo ou le téléchargement d’une pièce d’identité officielle
- Une vérification biométrique par selfie ou vidéo (liveness check) pour s’assurer que le document correspond bien au demandeur
- La fourniture d’un justificatif de domicile récent
- Dans certains cas, une déclaration sur l’origine des fonds pour les montants significatifs
- Une vérification automatisée par croisement avec des listes de sanctions internationales et la liste des PPE
Les solutions technologiques comme Onfido, Jumio ou les modules proposés par des acteurs français permettent aujourd’hui d’automatiser ces vérifications en quelques secondes. La digitalisation du KYC représente une révolution opérationnelle pour les institutions financières, qui réduisent leurs coûts tout en améliorant leur niveau de conformité.
KYC renforcé : quand la vigilance ordinaire ne suffit pas
Le cadre réglementaire distingue plusieurs niveaux de vigilance, adaptés au profil de risque du client. La vigilance simplifiée s’applique aux clients présentant un risque particulièrement faible ; la vigilance standard constitue le régime de droit commun ; la vigilance renforcée est réservée aux cas présentant un risque élevé.
Les situations nécessitant une vigilance renforcée comprennent notamment :
- Les clients identifiés comme personnes politiquement exposées (PPE) ou leurs proches
- Les transactions impliquant des pays tiers à risque élevé figurant sur les listes du GAFI
- Les relations d’affaires présentant des incohérences inexpliquées entre le profil déclaré et les flux observés
- Les transferts de cryptomonnaies depuis des portefeuilles auto-hébergés d’un montant significatif
Dans ces situations, l’entité doit approfondir ses diligences : vérification de l’origine des fonds et du patrimoine, approbation hiérarchique pour l’entrée en relation, contrôles renforcés et réguliers des transactions.
L’avenir du KYC : intelligence artificielle, eIDAS 2 et identité numérique
Le KYC est un chantier en constante évolution. Plusieurs tendances majeures dessinent les contours de ce que sera la conformité client dans les prochaines années.
L’intelligence artificielle au service de la conformité
Les modèles d’apprentissage automatique permettent désormais de détecter des schémas de transactions suspects avec une précision bien supérieure aux règles statiques traditionnelles. L’analyse comportementale en temps réel, le scoring de risque dynamique et la détection de documents falsifiés par computer vision sont autant d’outils qui transforment en profondeur les équipes compliance des institutions financières.
eIDAS 2 et le portefeuille d’identité numérique européen
Le règlement eIDAS 2, en cours de déploiement, prévoit la création d’un portefeuille d’identité numérique européen (European Digital Identity Wallet). À terme, ce portefeuille permettra à chaque citoyen européen de partager ses données d’identité vérifiées avec n’importe quel prestataire de services en un clic, sans avoir à refournir les mêmes documents à chaque nouveau service. Pour les acteurs financiers, cela représente une simplification considérable du processus KYC et une réduction drastique des friction à l’entrée en relation.
Le KYC mutualisé et les utilities de conformité
Plusieurs initiatives émergent autour d’un KYC mutualisé, où les données vérifiées d’un client seraient partagées entre plusieurs institutions dans un cadre sécurisé. Ce modèle, déjà expérimenté dans les pays nordiques, pourrait réduire considérablement les coûts de conformité pour les établissements et améliorer l’expérience utilisateur en éliminant les vérifications redondantes.
FAQ — Les questions fréquentes sur le KYC
Combien de temps dure un KYC ?
Un KYC en ligne prend aujourd’hui entre 5 et 15 minutes pour les cas standards, grâce aux solutions d’automatisation. Des délais plus longs (24 à 72 heures) peuvent s’appliquer pour les dossiers nécessitant une revue manuelle ou une vigilance renforcée.
Mes données KYC sont-elles en sécurité ?
Les entités soumises au KYC sont également soumises au RGPD. Vos données ne peuvent être utilisées qu’à des fins de conformité, conservées pour une durée maximale de cinq ans après la fin de la relation commerciale, et ne peuvent être transmises qu’aux autorités compétentes dans le cadre légal prévu.
Peut-on refuser de se soumettre au KYC ?
Techniquement, oui. Mais en pratique, le refus de fournir les documents requis entraîne systématiquement le refus d’entrée en relation ou la clôture du compte. Les entités ont l’obligation légale de ne pas établir de relation commerciale sans avoir accompli les diligences KYC requises.
Le KYC est-il obligatoire pour les cryptomonnaies ?
Oui, depuis la cinquième directive anti-blanchiment de 2020 et plus encore depuis l’entrée en application de MiCA en décembre 2024. Toute plateforme d’échange de cryptomonnaies régulée dans l’Union européenne est dans l’obligation de vérifier l’identité de ses utilisateurs.
Quelle est la différence entre KYC et due diligence ?
La due diligence est un concept plus large qui englobe le KYC. Elle désigne l’ensemble des vérifications menées avant toute décision d’investissement ou de partenariat commercial. Le KYC est la composante de la due diligence centrée sur l’identification et la vérification de l’identité du client.
Conclusion
Le KYC est bien plus qu’une formalité d’onboarding : c’est un pilier de la conformité financière moderne, dont les exigences se renforcent année après année. L’entrée en application de MiCA fin 2024 a considérablement élargi son champ d’application dans l’écosystème crypto, tandis que la montée en puissance de l’IA et des outils d’identité numérique promet une transformation profonde de son exécution opérationnelle. Pour les professionnels de la finance comme pour les investisseurs particuliers, comprendre les mécanismes du KYC est devenu une compétence à part entière dans un environnement réglementaire qui ne laisse plus de place à l’approximation.