top of page

KYC : ce que les sanctions ACPR 2024 et 2026 nous apprennent sur les défaillances de vérification client

  • Photo du rédacteur: Anaïs Castelain.
    Anaïs Castelain.
  • 13 mai
  • 7 min de lecture

Dernière mise à jour : il y a 4 jours

Le KYC (Know Your Customer) est devenu un enjeu central pour les entreprises confrontées aux risques de fraude, d’usurpation d’identité et de blanchiment. Vérifier l’identité réelle de ses clients, partenaires ou intermédiaires permet non seulement de sécuriser les relations commerciales, mais aussi de protéger l’entreprise contre des risques juridiques, financiers et réputationnels.

Entre avril 2024 et avril 2026, la Commission des sanctions de l’ACPR a prononcé six décisions dans le secteur bancaire et des paiements. Six établissements très différents, six profils de risques distincts (un établissement de monnaie électronique filiale d’un grand groupe, une banque régionale française, une banque étrangère, deux établissements à clientèle diasporique, un opérateur mondial de transfert de fonds), et pourtant des défaillances qui se ressemblent.

 

Ce que ces dossiers montrent, ce n’est pas que certains établissements ont « mal fait leur KYC ». C’est que les défaillances les plus coûteuses ne sont pas des erreurs ponctuelles : elles sont généralement systémiques, souvent connues en interne, et rarement corrigées à temps.

Pour les entreprises non bancaires, fonds, cabinets d’avocats, groupes industriels, ces décisions sont également un signal. Les exigences de conformité s’étendent bien au-delà du secteur financier, et les mêmes failles s’y retrouvent.


Ce que recouvre réellement le KYC

Le terme Know Your Customer désigne l’ensemble des procédures par lesquelles une organisation vérifie l’identité de ses clients ou partenaires avant d’entrer en relation d’affaires, puis surveille cette relation dans le temps. Il ne s’agit ni d’une simple formalité administrative ni d’une copie de pièce d’identité conservée dans un dossier.

Un dispositif KYC complet repose sur trois dimensions indissociables :

-        l’identification de la contrepartie (qui est réellement en face de vous, y compris le bénéficiaire effectif) ;

-        la connaissance économique du client (origine des fonds, nature de l’activité, niveau d’exposition au risque) ;

-        et le suivi continu de la relation, qui doit être réévaluée dès que le profil de risque évolue.

 

Dans la pratique, un KYC entreprise s’appuie sur un socle documentaire minimal : extrait Kbis, statuts, organigramme capitalistique, pièces d’identité des dirigeants et des bénéficiaires effectifs, justificatifs d’origine des fonds. Ce socle est un point de départ, pas une fin en soi.

 

C’est précisément là que les décisions récentes sont éclairantes : les établissements sanctionnés disposaient tous de procédures formelles. Ce qui a failli, c’est leur mise en œuvre opérationnelle.


Six décisions, six leçons

Treezor (9 avril 2024) 1 million d’euros : quand l’audit interne ne suffit pas

Filiale du groupe Société Générale, Treezor a été sanctionnée pour un profilage client insuffisant, des déclarations de soupçon tardives et des examens renforcés inachevés. Ce qui rend ce dossier particulier : les défaillances avaient été identifiées dans un audit interne conduit par la Société Générale elle-même, sans qu’elles ne fassent l’objet de mesures correctives. L’ACPR l’a explicitement souligné. La leçon : identifier un problème de conformité en interne sans le corriger est, aux yeux du régulateur, plus grave encore que de ne pas l’avoir détecté.

 

BRED (27 juin 2024) 2,5 millions d’euros : des angles morts dans la surveillance

La BRED a été sanctionnée pour des défaillances dans son dispositif de surveillance : certains comptes exclus du système automatisé, des scénarios d’alerte mal paramétrés, des informations manquantes dans la base clients. Le système était là, mais il ne voyait pas ce qu’il aurait dû voir. Ce type de défaillance est parmi les plus dangereux : il donne une illusion de conformité tout en laissant des zones de risque entièrement non couvertes.

 

Tunisian Foreign Bank (9 octobre 2024) 1,7 million d’euros : les mêmes erreurs pendant dix ans

C’est le cas le plus frappant de 2024. La TFB a été sanctionnée pour de graves carences de contrôle interne, des manquements que l’ACPR avait déjà relevés lors d’un contrôle en 2011 et sanctionnés en 2013. Plus d’une décennie s’est écoulée sans que les corrections n’aient été apportées. Un dispositif KYC qui fonctionne à l'entrée en relation mais n'est jamais revu ni actualisé finit toujours par créer des vulnérabilités, et ce dossier en est la démonstration la plus claire.

 

Banque Delubac (19 juin 2025) 600 000 euros : quand la croissance dépasse la conformité

Delubac a opéré un virage stratégique à partir de 2021 : expansion commerciale, ouverture à des flux internationaux, y compris vers des juridictions à risque élevé ; sans que son dispositif de conformité n’ait suivi. La surveillance automatisée était défaillante, le traitement des alertes insuffisant, et la banque ne vérifiait pas systématiquement la nécessité d’une déclaration de soupçon lors des fermetures de comptes pour motif LCB-FT. Un cas qui illustre un risque fréquent : la conformité dimensionnée pour un modèle d’activité qui n’existe plus.

 

Banque Chaabi du Maroc (7 novembre 2025) 250 000 euros : des retards de déclaration mesurés en années

La BCDM a été sanctionnée pour cinq griefs, dont des déclarations de soupçon tardives, avec des délais moyens excédant deux ans, et certains cas non déclarés pendant près de cinq ans. Comme la TFB, la banque avait déjà fait l’objet d’une sanction en 2013 pour des manquements similaires. La Commission a tenu compte des mesures correctrices engagées, ce qui explique une sanction relativement clémente au regard des griefs retenus, mais la publication nominative pendant cinq ans reste un signal fort.

 

MoneyGram (15 avril 2026) 1,3 million d’euros : un dispositif inadapté à son propre profil de risque

MoneyGram traite 8,6 millions d’opérations par an, avec un montant moyen de 296 euros par transfert. Ses seuils d’alerte étaient paramétrés à 2 000 dollars. Le résultat : seulement 0,4 % des opérations généraient une alerte, sur une activité pourtant explicitement classée à risque élevé. S’ajoutent une connaissance insuffisante de la clientèle, des examens renforcés réalisés sans recueil de justificatifs, et 29 défauts de déclaration de soupçon identifiés sur un échantillon de 53 dossiers. Le cas MoneyGram illustre une faille sérieuse : un dispositif formellement en place mais structurellement inadapté au profil de risque réel de l’activité.

 


Les enseignements à en tirer

Pris isolément, chaque cas a sa propre explication : un audit ignoré ici, un paramétrage inadéquat là, une croissance mal accompagnée ailleurs. Mais lus ensemble, ils dessinent un profil de défaillance cohérent.

 

Le premier point commun est que les problèmes étaient connus. Dans la quasi-totalité des dossiers, les manquements avaient été identifiés, en interne, lors d'un contrôle précédent, ou par le régulateur lui-même. Ce n'est pas l'ignorance qui a conduit à la sanction, c'est l'inaction.

 

Le deuxième est que les outils existaient. Aucun de ces établissements ne s'est présenté sans dispositif LCB-FT. Ils avaient des systèmes de surveillance, des procédures, des équipes dédiées. Ce qui manquait, c'est l'adéquation entre l'outil et la réalité de l'activité ; et la volonté de vérifier régulièrement que cette adéquation tenait dans le temps.

 

Le troisième est peut-être le plus structurel : dans tous ces dossiers, la conformité semble avoir été traitée comme un coût fixe plutôt que comme un processus vivant. Or une activité qui évolue, une clientèle qui change de profil, un modèle qui s'internationalise, tout cela devrait déclencher une réévaluation du dispositif. Dans aucun de ces cas, ce réflexe ne semble avoir fonctionné.


Un risque qui ne se limite pas eu secteur bancaire

Les sanctions de l’ACPR concernent les établissements financiers. Mais les mêmes failles existent dans toute organisation qui contractualise avec des tiers sans disposer d’un processus de vérification structuré.

 

L’affaire Lafarge l’illustre sans ambiguïté. Les développements judiciaires récents trouvent leur origine dans des paiements effectués à des groupes armés en Syrie. Une due diligence renforcée sur les intermédiaires et les flux financiers aurait probablement permis d’identifier les risques beaucoup plus tôt. La leçon dépasse largement ce seul dossier : toute entreprise opérant dans des zones sensibles, avec des partenaires internationaux ou des structures opaques, est exposée à des risques pénaux, fiscaux et réputationnels si ses vérifications sont insuffisantes.

 

Ce n’est pas une question de taille ou de secteur. C’est une question de méthode.


Ce que ces décisions annoncent pour la suite

 Avec l’arrivée de l’AMLA et l’entrée en vigueur du paquet anti-blanchiment européen à partir de 2027, les exigences vont encore se durcir. Le règlement AMLR prévoit une harmonisation des obligations de surveillance et de conservation des données KYC à l’échelle européenne, avec des standards plus objectivables et donc plus facilement opposables. (pour plus d'informations voir notre article sur le Paquet anti-blanchiment européen 2027)

 

Les six décisions analysées ici sont à lire comme un signal avant-coureur. Ce que le régulateur sanctionne aujourd’hui dans le secteur bancaire, il le scrutera demain dans un périmètre bien plus large. Et les défaillances qu’il sanctionne (paramétrage inadéquat, alertes non traitées, absences de déclaration…) ne sont pas des spécificités bancaires.

 

La bonne approche ne consiste pas à attendre d’être contrôlé pour revoir ses procédures. Elle consiste à ne pas attendre d'être contrôlé pour se poser la vraie question : est-ce qu'on sait réellement avec qui on travaille ? ; et à traiter le KYC comme ce qu’il est devenu : un enjeu de gouvernance, pas une procédure déléguée à la conformité.


Comment Kermeur intervient sur les missions KYC

Kermeur accompagne les entreprises, fonds d’investissement et cabinets d’avocats qui doivent vérifier leurs contreparties sans disposer en interne des ressources nécessaires, ou qui souhaitent compléter leurs procédures internes par une analyse extérieure indépendante.

 

Nos investigations combinent l’analyse de sources ouvertes françaises et internationales, des vérifications OSINT structurées, le contrôle systématique des listes de sanctions (OFAC, UE, ONU, DGT) et, lorsque la mission le justifie, des investigations de terrain. Elles couvrent aussi bien l’entrée en relation avec un nouveau client ou investisseur que les revues périodiques, les opérations de fusion-acquisition ou les alertes liées à une évolution du profil de risque.


Sources et références

•          Ordonnance n. 2009 104 du 30 janvier 2009 relative à la lutte contre le blanchiment, legifrance.gouv.fr

•          Directive (UE) 2024/1640 du 31 mai 2024 (6e directive), eur-lex.europa.eu

•          Règlement (UE) 2024/1620 instituant l’AMLA, eur-lex.europa.eu

•          ACPR, décision 2022 07 contre Treezor du 9 avril 2024, acpr.banque-france.fr

•          ACPR, décision 2023 01 contre la BRED du 27 juin 2024, acpr.banque-france.fr

•          ACPR, décision contre la banque Delubac et Cie du 19 juin 2025, acpr.banque-france.fr

•          ACPR, rapport annuel 2024 (publié en mai 2025), acpr.banque-france.fr

•          Tracfin, rapport d’activité 2024, economie.gouv.fr/tracfin

•          GAFI, listes grise et noire à jour, fatf-gafi.org

•          ICIJ, Panama Papers (2016), Pandora Papers (2021), icij.org

•          Cour de Justice de l’Union européenne, arrêt du 22 novembre 2022 sur le RBE

•          Cour de cassation, arrêt Lafarge du 16 janvier 2024


Commentaires

bottom of page