L’approche par les risques en LCB-FT

En LCB-FT, l’approche par les risques est largement formalisée, elle est beaucoup plus rarement utilisée comme un véritable outil de pilotage.

Dans de nombreux dispositifs, elle se traduit par une cartographie produite une fois par an, un scoring plus ou moins automatisé et une classification qui évolue peu. Ces éléments permettent de structurer un cadre, mais ils ne suffisent pas toujours à orienter efficacement les décisions opérationnelles dans la durée.

Or l’approche par les risques ne vise pas uniquement à répondre à une exigence réglementaire. Lorsqu’elle est correctement construite, elle permet d’allouer les ressources conformité là où elles sont réellement nécessaires, d’évaluer les risques kyc précisément, d’éviter une vigilance uniforme et coûteuse, et de sécuriser les décisions d’entrée en relation comme de suivi.

Elle constitue un mode de pilotage fondé sur la priorisation, l’actualisation continue et la capacité à expliquer, en interne, pourquoi certaines situations appellent un traitement renforcé quand d’autres peuvent être gérées de manière standardisée.

Comprendre l’approche par les risques en LCB-FT

Cette méthodologie est largement mobilisée en LCB-FT, mais sa mise en œuvre reste hétérogène. Cette difficulté tient moins à une méconnaissance théorique qu’à une confusion récurrente avec les outils censés la matérialiser.

Dans de nombreux dispositifs, cette approche est assimilée à la cartographie des risques, voire réduite à un mécanisme de scoring ou à une classification figée. Le problème ne tient pas à ces outils, mais à la confusion entre le raisonnement et sa traduction opérationnelle.

Enjeu et objectif

Au quotidien, elle sert à trancher : où concentrer la vigilance et comment traiter les situations les plus exposées. Elle permet de hiérarchiser les risques, d’arbitrer entre des niveaux d’attention différents et d’adapter le dispositif aux réalités de l’activité.

Une approche par les risques efficace doit permettre :

  • d’identifier les situations sensibles, plutôt que de traiter indistinctement l’ensemble des clients ou opérations comme potentiellement à risque ;
  • de décider ce qui est accepté, ce qui doit être encadré et ce qui doit être refusé, en fonction du niveau de risque identifié ;
  • de réduire l’exposition effective de l’entreprise aux risques de blanchiment et de financement du terrorisme, sans transformer la vigilance en réflexe uniforme.

L’objectif n’est ni de multiplier les classifications élevées, ni d’appliquer une vigilance uniforme par précaution. Un dispositif dans lequel tout est considéré comme risqué ne discrimine plus le risque et perd en efficacité. L’approche par les risques suppose au contraire de différencier, de prioriser et d’assumer des choix.

C’est également dans cette logique que l’approche par les risques constitue un outil de pilotage du dispositif LCB-FT. Elle doit produire des effets concrets sur la manière dont la vigilance est organisée, sur la fréquence des revues, sur les contrôles réalisés et sur les décisions prises dans le temps. Lorsqu’elle est correctement mise en œuvre, elle ne se limite pas à un cadre méthodologique : elle structure le fonctionnement quotidien du dispositif.

Enfin, cet objectif opérationnel est indissociable d’une exigence de cohérence et de traçabilité. Les autorités n’attendent pas une approche par les risques théoriquement parfaite, mais un dispositif capable de démontrer que les décisions prises sont logiquement fondées sur le risque identifié, et qu’elles évoluent lorsque ce risque évolue.

Ce que cela signifie concrètement dans votre entreprise

  • L’approche par les risques n’est pas un document à produire, mais un raisonnement qui conduit à des choix explicites : accepter, encadrer, renforcer ou refuser certaines situations.
  • Sa valeur se mesure à ses effets concrets sur la vigilance, les décisions d’entrée en relation et le suivi dans le temps.

Clarification des concepts : approche, cartographie, classification

L’approche par les risques constitue le cadre de raisonnement, elle définit la manière dont l’entreprise pense le risque : quels facteurs sont pris en compte, comment ils sont pondérés, et comment le niveau de risque doit influencer les décisions opérationnelles.

La cartographie des risques est un outil d’identification et d’analyse, elle vise à recenser les risques auxquels l’entreprise est exposée, à les structurer par typologie (clients, produits, zones géographiques, canaux, opérations) et à apprécier leur criticité. La cartographie donne une vision d’ensemble, mais elle ne décide rien en elle-même.

La classification des risques est un outil décisionnel, elle permet d’attribuer un score de risque à une relation d’affaires, sur la base de critères définis, et conditionne directement les mesures de vigilance appliquées : vigilance standard, renforcée, fréquence des revues, niveau de contrôle, intensité du suivi.

Le point clé est le suivant :

  • l’approche par les risques oriente le raisonnement,
  • la cartographie structure l’analyse,
  • la classification déclenche les actions.

Lorsque ces trois éléments sont confondus ou mal articulés, le dispositif perd en lisibilité et en efficacité. À l’inverse, lorsqu’ils sont cohérents entre eux, l’approche par les risques devient réellement opérante.

Les 5 piliers opérationnels pour une approche par les risques conforme

Une approche par les risques devient opérante lorsqu’elle repose sur des piliers structurants, clairement identifiés et correctement articulés.

Une identification des risques ancrée dans l’activité réelle

L’identification des expositions commence par une compréhension précise de l’activité de l’entreprise : types de clients, produits proposés, canaux de distribution, zones géographiques et usages observés, nous vous donnons plus de détails à ce sujet dans notre guide de la classification des risques. Une analyse déconnectée du modèle d’affaires conduit à une lecture générique du risque, peu discriminante et difficilement exploitable.

Ce pilier suppose de regarder les expositions réelles de l’entreprise, y compris lorsqu’elles sont inconfortables.

Une hiérarchisation explicite des risques

Identifier les expositions ne suffit pas ; encore faut-il les hiérarchiser. Tous les risques ne présentent ni le même degré de criticité, ni le même potentiel d’impact.

L’approche par les risques formalise cette hiérarchisation. Elle permet de distinguer ce qui relève d’un risque faible à encadrer, d’un risque significatif à surveiller et d’un risque élevé nécessitant des mesures renforcées, voire des décisions d’exclusion.

Sans hiérarchisation claire, la vigilance devient indifférenciée. Elle mobilise des ressources importantes sans traiter correctement les situations réellement exposées.

Une hiérarchisation pertinente suppose également un calibrage régulier des critères retenus. La proportion de clients classés en risque élevé, la stabilité des classifications dans le temps, le lien entre les profils identifiés comme sensibles et les incidents effectivement constatés constituent autant d’éléments permettant de vérifier que la grille discrimine réellement les situations à risque. Une classification qui ne produit pas d’écart observable dans la réalité opérationnelle ne pilote rien.

Une traduction opérationnelle via une classification discriminante

La classification constitue le point de bascule entre l’analyse et l’action. Elle transforme le raisonnement en décisions concrètes de vigilance.

Une classification pertinente doit être suffisamment discriminante pour refléter des niveaux de risque distincts, directement reliée aux mesures appliquées et compréhensible par les équipes qui l’utilisent au quotidien.

Ce que change concrètement le niveau de risque dans la lecture quotidienne des dossiers

Le score de risque ne modifie pas les informations du dossier, il change la manière dont un dossier est lu, et ce qui est attendu de celui qui le traite.

Un dossier classé en risque significatif appelle une vigilance structurée, fondée sur des critères explicitement définis. Les incohérences sont analysées, les justificatifs vérifiés, les explications évaluées. Le raisonnement reste principalement technique, centré sur la cohérence d’ensemble du dossier et sur l’adéquation des mesures de vigilance mises en place avec les facteurs de risque identifiés.

Un dossier classé en vigilance élevé modifie la posture de manière plus profonde.

À ce stade, la question devient celle de l’acceptation de l’exposition que représente le dossier.

Elle suppose un arbitrage. Elle oblige à se demander :

  • ce qui justifie le maintien de la relation
  • ce qui rend le risque acceptable
  • et ce qui, au contraire, ferait basculer la décision.

Le niveau de risque élevé déplace la responsabilité.

Ce déplacement implique une gouvernance claire. Les décisions de maintien ou de refus dans les situations les plus exposées doivent être formalisées, tracées et assumées au niveau approprié. Un dispositif dans lequel ces arbitrages ne sont ni documentés ni validés au bon score hiérarchique est fragilisé en cas de contrôle.

Il ne s’agit plus uniquement d’appliquer des mesures, mais d’assumer une décision et d’être en capacité de l’expliquer.

L’approche par les risques ne supprime ni l’incertitude ni le doute ; elle permet de les hiérarchiser et de décider malgré eux.

C’est à cet endroit que la classification prend tout son sens :
non comme un seuil déclencheur de contrôles supplémentaires, mais comme un outil qui oblige à clarifier le raisonnement, à expliciter les choix et à accepter que certaines situations ne relèvent plus d’un traitement standard.

Une capacité d’adaptation dans le temps

Les expositions évoluent et l’approche par les risques doit évoluer avec elles. Ce pilier repose sur la capacité du cadre à intégrer des événements, des changements de comportement ou des évolutions du contexte d’activité.

L’actualisation ne peut pas être purement périodique. Elle doit également être déclenchée par des événements significatifs : incidents internes, déclarations marquantes, évolutions réglementaires, constats issus du contrôle permanent ou du contrôle périodique. Un dispositif qui demeure inchangé malgré des signaux d’alerte répétés est difficilement défendable.

Une approche figée, même correctement construite à l’origine, devient rapidement inadaptée. L’actualisation doit répondre à des signaux identifiés et à des évolutions significatives, et non à une logique purement périodique.

Une traçabilité des raisonnements et des décisions

Enfin, une approche par les risques conforme suppose une traçabilité claire des choix effectués, des arbitrages retenus et des évolutions apportées au cadre.

Cette traçabilité ne vise pas uniquement à répondre aux contrôles. Elle est indispensable pour assurer la continuité du raisonnement dans le temps et permettre de comprendre pourquoi certaines décisions ont été prises.

Une approche par les risques ne se joue pas à un seul niveau

Elle s’inscrit dans un cadre à plusieurs étages, qui vont du national jusqu’au cadre propre à chaque entreprise assujettie. Cette articulation est déterminante pour la cohérence du dispositif : des cadres construits en vase clos, qui ignorent les signaux de risque reconnus au plan national ou sectoriel, ou, à l’inverse, des cadres reproduits mécaniquement, formellement conformes mais inadaptés à l’activité réelle.

Le cadre national : l’Analyse nationale des risques

Plus largement, cette approche s’appuie sur l’Analyse nationale des risques de blanchiment de capitaux et de financement du terrorisme (ANR). Ce document, élaboré sous l’égide du ministère de l’Économie et des Finances et publié par le Conseil d’orientation de la lutte contre le blanchiment de capitaux et le financement du terrorisme, identifie, à l’échelle nationale, les principales menaces, vulnérabilités et typologies de risques.

L’Analyse nationale des risques est un document public, accessible ici :
https://acpr.banque-france.fr/fr/publications-et-statistiques/publications/analyse-nationale-des-risques-de-blanchiment-de-capitaux-et-de-financement-du-terrorisme-publiee-par

Pour les entreprises assujetties, l’enjeu n’est pas de reprendre cette analyse telle quelle, mais d’en tirer les enseignements pertinents au regard de leur activité. L’ANR constitue un socle de référence, qui permet de situer son propre cadre dans un environnement plus large et d’identifier les expositions structurelles reconnues au niveau national.

Les analyses sectorielles : une déclinaison opérationnelle

À ce cadre national s’ajoutent les analyses sectorielles publiées par les autorités de supervision. Ces analyses déclinent les risques en fonction des spécificités propres à chaque secteur d’activité.

En France, il s’agit principalement des analyses publiées par l’ACPR pour les secteurs de la banque et de l’assurance, et par l’AMF pour les acteurs des marchés financiers. Ces documents mettent en évidence les produits et services exposés, les typologies de clientèle sensibles et les scénarios de risque observés en pratique.

Ils constituent un point d’appui structurant pour calibrer une approche cohérente avec les attentes du superviseur, sans pour autant se substituer à l’analyse propre de l’entreprise ni appeler une application mécanique.

Si vous souhaitez pouvoir évaluez le niveau de risque BC/FT en fonction du secteur d’activité, nous avons développé un outil qui s’appuie sur les données de l’ANR, l’ASR et de TRACFIN.

Bannière pour accéder à l'outil pour évaluer le niveau risque BC-FT par secteur d'activité

Le niveau de l’entreprise : une responsabilité non transférable

Enfin, l’approche par les risques s’exerce sur chaque entreprise assujettie. C’est ici que le raisonnement doit être le plus fin, car il tient compte du modèle d’affaires réel, de la clientèle effectivement servie, ainsi que des produits et canaux effectivement utilisés.

Aucune analyse nationale ou sectorielle ne peut se substituer à cette évaluation interne. Les autorités attendent des entreprises qu’elles soient capables d’expliquer leurs propres expositions, et non de reproduire des cadres généraux.

Une articulation indispensable entre les niveaux

Ces différents niveaux ne s’opposent pas ; ils se complètent. Une approche robuste repose sur la capacité à articuler un cadre national, une lecture sectorielle et une analyse interne, afin de construire un raisonnement cohérent et exploitable.

Cette articulation conditionne la lisibilité du cadre de gestion du risque et permet d’éviter que l’approche par les risques ne se réduise à un exercice formel sans effet sur le pilotage.

Adapter l’approche par les risques selon le secteur d’activité

Elle repose sur des principes communs, mais sa mise en œuvre varie selon le secteur d’activité et les contraintes opérationnelles propres à chaque environnement. Ces différences n’affectent pas le cadre de raisonnement, mais conditionnent la manière dont il est décliné et utilisé.

Banque : discriminer le risque pour éviter la saturation du dispositif

Dans le secteur bancaire, l’enjeu central n’est pas la diversité des situations, mais l’effet de masse. Les volumes traités, le degré d’automatisation et la taille des portefeuilles exposent directement le dispositif à un risque de saturation.

Des critères de risque insuffisamment discriminants conduisent rapidement à une inflation des classifications élevées, à une multiplication des vigilances renforcées et, in fine, à une perte de qualité dans le traitement des dossiers réellement sensibles.

Dans ce contexte, l’approche par les risques doit avant tout permettre de cibler finement les situations les plus exposées, afin d’éviter une vigilance indifférenciée qui affaiblirait l’ensemble du dispositif.

Assurance : adapter la vigilance à l’hétérogénéité des situations

En assurance, l’enjeu est d’une autre nature. La difficulté ne tient pas tant aux volumes qu’à l’hétérogénéité des produits, des usages et des réseaux de distribution. Une même grille de lecture appliquée indistinctement conduit à lisser artificiellement des expositions très différentes.

Une classification trop générique ne reflète alors ni la réalité des risques liés à certains contrats, ni les spécificités des modes de souscription ou de distribution.

L’approche par les risques doit donc permettre d’éviter une vigilance “moyenne”, en adaptant les critères de risque aux caractéristiques propres des produits et des parcours clients, afin de préserver la pertinence des mesures mises en œuvre.

Pour aller plus loin, vous pouvez télécharger notre modèle de cartographie pour l’assurance.

Immobilier et gestion du patrimoine : sécuriser l’entrée en relation

Dans l’immobilier et la gestion du patrimoine, le risque se joue largement dès l’entrée en relation. Une qualification initiale insuffisamment précise expose durablement le cadre de vigilance, les montants en jeu laissant peu de marge de correction a posteriori.

L’approche par les risques doit donc permettre une identification précoce des situations à fort enjeu et un ajustement adapté des mesures de vigilance.

PSAN et crypto-actifs : actualiser le risque dans un environnement en évolution rapide

Pour les prestataires sur actifs numériques, l’approche par les risques s’inscrit dans un environnement en évolution rapide. Les usages, les produits et les typologies de risque évoluent plus vite que les cadres formels.

Dans ce contexte, des critères figés conduisent à une approche rapidement obsolète. La capacité d’actualisation régulière constitue un élément central du cadre de gestion du risque.

Les entreprises concernées par la loi Sapin II : articuler les cadres sans les confondre

Pour les entreprises concernées par la loi Sapin II, l’enjeu n’est pas de dupliquer les exercices existants, mais d’articuler l’approche par les risques LCB-FT avec la cartographie de corruption.

Il s’agit de préserver la cohérence et la lisibilité des raisonnements, sans confondre des cadres poursuivant des objectifs distincts.

Ce que les instances de contrôle attendent réellement de l’approche par les risques

L’existence d’une cartographie à jour, d’une classification formalisée et de procédures documentées ne suffit pas à garantir la robustesse d’un dispositif. Ce qui fait la solidité d’une approche par les risques, c’est la cohérence d’ensemble et sa capacité à produire des décisions claires.

Une approche par les risques robuste doit permettre à l’organisation d’expliquer ses choix, d’aligner ses pratiques et d’assurer une continuité dans le temps.

Une approche réellement comprise et appropriée

Une approche par les risques efficace suppose que l’entreprise comprenne ses propres expositions.

Cela implique de décrire les facteurs de risque liés à l’activité, d’identifier les situations les plus sensibles et d’expliquer pourquoi certains profils nécessitent une vigilance renforcée.
Si les critères retenus ne peuvent pas être expliqués simplement en interne, ils ne pourront pas être appliqués de manière cohérente.

Une traduction effective dans les décisions de vigilance

Une classification n’a de valeur que si elle entraîne des différences concrètes de traitement.

Les scores de risque doivent modifier la fréquence des revues, la profondeur des analyses et le niveau d’escalade des décisions.

À défaut, le dispositif devient formel et perd sa fonction de pilotage.

Une approche évolutive et ajustée à l’activité

Un dispositif utile évolue avec l’activité.

Les changements de produits, de clientèle ou de contexte doivent pouvoir conduire à des ajustements des critères ou des statuts de vigilance.

Une approche figée se déconnecte progressivement de la réalité opérationnelle et devient moins pertinente.

Des arbitrages assumés et alignés avec la stratégie

L’approche par les risques implique nécessairement des choix : accepter, encadrer, renforcer ou refuser certaines situations.

Ces arbitrages doivent être cohérents avec la stratégie de l’entreprise et son appétence au risque.

Un dispositif solide est celui qui éclaire la décision, sans la remplacer, et qui permet d’assumer les choix effectués.

Ce qui permet d’évaluer la solidité du dispositif

  • La capacité à expliquer clairement les expositions propres à l’activité
  • L’alignement entre l’analyse des risques, la classification et les mesures appliquées
  • L’existence de différences de traitement effectives selon les niveaux de risque.
  • La capacité du cadre à évoluer lorsque l’activité évolue.
  • La cohérence et la traçabilité des décisions prises dans le temps.

Tester la solidité réelle de votre approche par les risques

À ce stade, la question n’est plus de savoir si un cadre existe, la question est de vérifier s’il pilote effectivement les décisions.

Une approche par les risques produit des effets observables, elle modifie les arbitrages, les circuits, les validations et l’allocation des ressources.

Voici des points de vérification concrets :

La classification discrimine-t-elle réellement ?

  • Quelle proportion de votre portefeuille est classée en risque élevé ?
  • Cette proportion évolue-t-elle lorsque l’activité, la clientèle ou le contexte changent ?
  • Les incidents significatifs concernent-ils majoritairement des profils identifiés comme sensibles ?
  • Existe-t-il des refus ou des sorties de relation directement liés au niveau de risque ?

Si le risque élevé ne conduit ni à des arbitrages documentés, ni à des décisions différenciées, la classification n’oriente rien. Elle classe, mais elle ne décide pas.

Les niveaux de risque modifient-ils réellement le traitement des dossiers ?

  • Le circuit de validation change-t-il en cas de risque élevé ?
  • Le niveau hiérarchique d’arbitrage est-il différent ?
  • Les exigences documentaires sont-elles formellement distinctes ?
  • Les délais de traitement varient-ils selon le degré de risque ?

Si, en pratique, tous les dossiers suivent le même parcours, la hiérarchisation est théorique. Un dispositif qui traite 70 ou 80 % du portefeuille en “risque significatif” sans différence observable n’est pas piloté par le risque.

Le cadre évolue-t-il lorsqu’un signal apparaît ?

  • À quand remonte le dernier recalibrage des critères ?
  • A-t-il été déclenché par un événement concret (incident, évolution produit, constat de contrôle) ?
  • Combien de requalifications ont été opérées après un signal significatif ?

Un dispositif qui ne change jamais malgré des alertes ou des incidents ne reflète plus le risque réel, il reflète une photographie ancienne.

Les arbitrages sont-ils assumés et traçables ?

  • Une décision d’acceptation d’un client classé en risque élevé peut-elle être expliquée clairement et synthétiquement ?
  • Le raisonnement est-il formalisé ou implicite ?
  • Les arbitrages sont-ils validés au niveau hiérarchique approprié ?
  • Peut-on démontrer la cohérence entre l’appétence au risque affichée et les décisions effectivement prises ?

Si le raisonnement n’est pas traçable, la classification ne protège pas la décision en cas de contrôle.

Les ressources sont-elles alignées avec le risque affiché ?

  • Le volume de dossiers classés en risque élevé est-il compatible avec les capacités réelles des équipes ?
  • Les équipes sont-elles dimensionnées en fonction de la distribution réelle du risque ?
  • Les contrôles permanents ciblent-ils prioritairement les zones identifiées comme sensibles ?

Si l’allocation des ressources ne reflète pas la hiérarchisation affichée, l’approche par les risques n’est pas un outil de pilotage, elle devient un cadre formel.

Gérer durablement une approche par les risques : en faire un outil utile

Dans de nombreux dispositifs LCB-FT, l’approche par les risques est correctement construite à un instant donné, mais elle perd progressivement sa capacité à orienter réellement les décisions. Le problème tient moins à la conception initiale qu’à la difficulté de maintenir un cadre simple, lisible et adapté à l’évolution de l’activité.

La question n’est pas seulement celle de la conformité initiale, elle est celle de l’utilité du dispositif dans le temps.

Éviter la rigidité et la surcharge

Les approches trop manuelles ou excessivement complexes finissent par s’alourdir.

À mesure que les volumes augmentent et que les situations se diversifient, le dispositif peut devenir difficile à maintenir sans générer de surcharge ou de perte de lisibilité.

Cette rigidité peut conduire à deux dérives opposées : une inflation des situations classées à risque élevé, qui mobilise excessivement les équipes, ou, à l’inverse, une classification peu discriminante qui dilue l’attention.

Dans les deux cas, l’approche par les risques cesse d’aider à décider.

Faire évoluer le cadre sans le complexifier

Un dispositif durable n’est pas celui qui se complexifie à chaque évolution, c’est celui qui sait s’ajuster sans perdre en clarté.

Identifier les événements réellement significatifs, concentrer les réévaluations sur les situations pertinentes et éviter les révisions uniformes permet de préserver l’équilibre entre maîtrise du risque et efficacité opérationnelle.

Intégrer le monitoring et l’IA comme outils d’éclairage et d’efficacité

Le monitoring continu n’a pas vocation à produire une accumulation d’alertes, il doit éclairer la lecture des dossiers et contribuer, lorsque cela est pertinent, à ajuster le niveau de risque.

Lorsqu’il est correctement articulé à la classification, il renforce la cohérence du dispositif sans générer de surcharge inutile.

Les solutions fondées sur l’analyse de données et l’intelligence artificielle peuvent amplifier cette capacité de détection, à condition de s’inscrire dans un cadre méthodologique maîtrisé et supervisé. Leur apport réside dans l’identification de signaux faibles ou d’évolutions progressives qu’un suivi strictement manuel détecterait plus difficilement, tout en permettant de concentrer l’intervention humaine sur les situations réellement significatives.

Un instrument de pilotage assumé

Une approche par les risques réellement maîtrisée n’est ni un exercice formel, ni un mécanisme automatique.

C’est un outil de décision.

Elle permet de prioriser, d’assumer certains risques choisis, d’en écarter d’autres et d’allouer les ressources de manière cohérente avec la stratégie de l’entreprise. Sa valeur ne tient pas à son existence, mais à son influence sur les décisions.

A propos de l'auteur

Après une carrière dans des agences conseil en communication, Olivier a rejoint BeCLM en 2021. Depuis il est charge de la production de contenu avec le souci constant de répandre la bonne parole de l'entreprise et de répondre à de vrais enjeux métier.
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.