Un client résidant à Monaco souscrit une assurance voyage à 45 € sur votre site. Monaco figure sur la liste grise du GAFI. Votre règle interne déclenche une vigilance renforcée à chaque fois qu’un client réside dans un pays inscrit sur cette liste. L’analyste passe 20 minutes sur un dossier qui n’en justifie pas 20 secondes. Multipliez par les centaines de souscriptions hebdomadaires touchées par un critère géographique de ce type : votre équipe s’épuise sur des faux positifs pendant que les vrais risques attendent.
Ce n’est pas un problème de compétence, c’est un problème de méthode. La classification discriminante, appliquée seule à tout le portefeuille, produit mécaniquement ce volume de blocages disproportionnés. Elle reste indispensable là où le risque est absolu (gel des avoirs, liste noire GAFI, embargos). Mais quand elle devient le seul outil, elle traite de la même façon un transfert à 500 000 € vers une structure opaque et une prime annuelle à 45 € payée par CB.
Par ailleurs, ce type de paramétrage interne se rencontre davantage en banque et sur les produits d’assurance à plus fort enjeu (assurance vie, contrats à valeur de rachat, transferts importants).
La mécanique reste la même partout : une règle binaire surcalibrée transforme un signal de risque en blocage automatique. Le scoring par pondération ne remplace pas la règle binaire, il vient la compléter là où la nuance est exigée par le régulateur (art. L561-4-1 CMF : approche fondée sur les risques, mesures proportionnées au risque identifié).
La classification discriminante : un fonctionnement en règle binaire
La classification discriminante est la forme la plus naturelle de classification LCB-FT. Son mécanisme : SI [critère X] ALORS [action Y]. Un seul critère suffit à déclencher une décision, indépendamment du contexte global du client ou de l’opération. C’est sa force, et selon les cas son angle mort.
Comment fonctionne une classification discriminante
Un critère positif entraîne systématiquement une conséquence, sans pondération des autres éléments du dossier. Exemples concrets :
- Règle interne « pays sur liste grise GAFI » → vigilance renforcée systématique, quel que soit le produit ou le montant. La réglementation n’impose pas cet automatisme : la liste grise GAFI est un signal de risque à intégrer dans l’analyse, pas un déclencheur de vigilance renforcée par lui-même. C’est l’assujetti qui a calibré cette règle binaire
- Montant > 15 000 € → blocage et analyse manuelle, même si le client est un professionnel identifié depuis 10 ans.
- Client PPE → refus d’entrée en relation, alors que le régulateur n’interdit pas de travailler avec une PPE.
Cette approche n’est pas un défaut de rigueur. Elle est souvent le résultat d’un manque d’outillage. Avec un tableur ou un CRM généraliste, il est très difficile de pondérer plusieurs critères, de croiser des sources de données différentes et de recalculer un score en temps réel. La règle binaire est la seule qui se maintienne facilement dans un tableur : une colonne « pays », un filtre, une couleur. Elle se construit, s’explique et s’audite facilement, en apparence mais cette simplicité a un coût.
Quand l’approche discriminante s’impose
Avant de montrer les limites, posons clairement les cas où la classification discriminante est non seulement pertinente, mais obligatoire. Certaines situations ne tolèrent pas de pondération.
- Gel des avoirs : toute personne inscrite sur les listes françaises et européennes (DG Trésor, UE) doit être bloquée immédiatement. L’interdiction est absolue (art. L562-1 CMF). Pas de scoring, pas de pondération.
- Liste noire GAFI : Iran, Corée du Nord, Myanmar. Des contre-mesures qui ne se négocient pas. À ne pas confondre avec la liste grise, qui appelle une vigilance renforcée, pas un blocage systématique.
- Interdictions légales explicites : embargos sectoriels, restrictions GAFI, contre-mesures réglementaires. Là où la loi pose une interdiction binaire, la règle binaire s’impose.
Le message cléLa classification discriminante n’est pas « mauvaise ». Elle est indispensable là où le risque est absolu. Le problème, c’est quand elle est utilisée comme seule méthode pour l’ensemble du portefeuille, y compris les situations qui nécessitent une évaluation contextuelle.
Les limites opérationnelles : quand la règle binaire ne suffit plus
Reprenons le cas Monaco. Si la règle interne traite la liste grise GAFI comme un déclencheur binaire de vigilance renforcée, indépendamment du produit, du montant et du profil, le résultat est mécanique : une assurance voyage à 45 € bloquée 24 à 48 heures. C’est ici que la pondération prend le relais. Trois conséquences concrètes :
- Perte de business. Des clients à faible risque réel sont bloqués, subissent des délais disproportionnés, abandonnent le parcours.
- Saturation des analystes. Les règles binaires génèrent un volume massif de faux positifs. Les équipes traitent des dossiers à faible enjeu au lieu de se concentrer sur les vrais risques.
- Fragilité face au régulateur. Paradoxalement, une approche trop restrictive n’est pas ce que l’ACPR attend. Répondre « on bloque tout ce qui vient de Monaco » n’est pas une justification recevable en contrôle.
Ce que le régulateur attendL’art. L561-4-1 du CMF impose une approche fondée sur les risques : les mesures de vigilance doivent être proportionnées au risque identifié. Un blocage systématique sur un critère unique est autant un défaut de conformité qu’une vigilance insuffisante. Surcalibrer en interne pour « être prudent » expose à un grief de défaut de proportionnalité (cf. doctrine ACPR Delubac 2025 sur la vigilance renforcée appliquée sans analyse documentée).
Le scoring par pondération : contextualiser le risque
Le scoring par pondération repose sur un principe différent : aucun critère n’est déterminant à lui seul. Le risque est évalué en agrégeant plusieurs axes, en tenant compte des mesures d’atténuation en place, et en calculant un score net qui détermine le niveau de vigilance applicable.
Le principe : risque brut → atténuation → risque net
Trois étapes :
Étape 1 : Risque brut. Le client est évalué sur les 5 axes réglementaires (géographie, profil client, produit, canal de distribution, opération/montant). Chaque axe reçoit un score pondéré selon les critères de l’entreprise. Le risque brut est le score agrégé avant toute mesure d’atténuation.
Étape 2 : Atténuation. Les mesures de maîtrise en place viennent réduire le score : moyen de paiement tracé (CB 3D Secure, virement depuis banque UE), screening PPE/sanctions/médias clean, produit à faible risque intrinsèque.
Étape 3 : Risque net. Score final = risque brut − atténuation. Ce score détermine le niveau de vigilance applicable. Si le risque net est inférieur au seuil de vigilance renforcée, la vigilance standard s’applique, même si un critère isolé (comme le pays) est élevé.
Cas concret : le client monégasque revu par le scoring
Voici comment un scoring multicritère traite ce dossier :
Tableau 1
Scoring multicritère : Client Monaco, assurance voyage 45 €
| Axe | Critère évalué | Score |
|---|---|---|
| Géographie | Monaco, liste grise GAFI | +30 pts |
| Client | Personne physique, non PPE, aucune correspondance sanctions | +5 pts |
| Produit | Assurance voyage, faible valeur de rachat | +5 pts |
| Canal | Souscription en ligne, sans intermédiaire | +10 pts |
| Opération | Prime 45 €, paiement unique | +5 pts |
| Risque brut | 55 / 100 | |
| Atténuation | CB 3D Secure banque UE · Screening PPE/sanctions clean · Adverse media clean | −30 pts |
| Risque net → vigilance standard | 25 / 100 | |
Seuil de vigilance renforcée : 40 pts. Le risque géographique (liste grise GAFI) pèse pour plus de la moitié du score brut. Il est pondéré comme facteur de risque, pas traité comme déclencheur binaire de VR. Approche conforme à L561-4-1 CMF.
Seuil de vigilance renforcée : 40 pts. Le risque géographique (liste grise GAFI) pèse pour plus de la moitié du score brut. Il est pondéré comme facteur de risque, pas traité comme déclencheur binaire de vigilance renforcée. Approche conforme à L561-4-1 CMF.
- Risque brut : 55/100 = élevé. Avec une classification discriminante, le dossier serait bloqué ici.
- Atténuation : CB 3D Secure banque UE (−15 pts), screening PPE/sanctions clean (−10 pts), adverse media clean (−5 pts) = −30 pts.
- Risque net : 25/100 = modéré. Seuil de vigilance renforcée : 40. Vigilance standard avec suivi. Souscription immédiate.
Ce que ça change Le risque géographique est pris en compte (il pèse pour plus de la moitié du score brut). Mais il ne déclenche pas à lui seul une réaction disproportionnée. Chaque critère et son poids sont tracés dans le rapport d’audit, ce qui compte autant que la décision elle-même en cas de contrôle ACPR.
Cas inversé : quand le scoring détecte mieux qu’une règle binaire
L’approche inverse illustre le risque symétrique : un dossier qui ne génère aucune plainte client, aucun ticket support, aucune alerte interne, jusqu’au jour où il génère tout. Cas concret : une SCI domiciliée en France, détenue par une holding luxembourgeoise dont le bénéficiaire effectif réside dans un pays à IPC dégradé (35/100, Transparency International). Mandat de gestion à 500 000 €, entrée en relation via un intermédiaire non lié à la structure.
Tableau 2
Scoring multicritère : SCI domiciliée en France, mandat de gestion 500 000 €
| Axe | Critère évalué | Score |
|---|---|---|
| Géographie | France, aucun signal GAFI | +5 pts |
| Client | Personne morale, structure complexe, bénéficiaire effectif dans pays à IPC dégradé (35/100) | +40 pts |
| Produit | Mandat de gestion, valeur élevée, transferts possibles | +25 pts |
| Canal | Entrée via intermédiaire, relation indirecte | +15 pts |
| Opération | 500 000 €, apport initial en plusieurs virements | +15 pts |
| Risque brut | 100 / 100 | |
| Atténuation | Historique bancaire propre (aucune mesure de maîtrise structurante) | −10 pts |
| Risque net → vigilance renforcée + EDD | 90 / 100 | |
Avec une classification discriminante orientée « pays », ce client passerait en vigilance standard. Le scoring détecte ce que la règle binaire laisse passer.
Risque brut : 100/100 = élevé. Avec une classification discriminante orientée « pays » : zéro signal géographique, le client passe en vigilance standard.
Atténuation : aucune mesure significative (−10 pts pour un historique bancaire propre).
Risque net : 90/100 = vigilance renforcée. EDD déclenchée. Identification du bénéficiaire effectif, justification de l’origine des fonds, examen renforcé de la structure.
À retenir : Les faux positifs ont un coût visible (plaintes, délais, saturation des analystes). Les faux négatifs ont un coût invisible, jusqu’au jour où il devient visible. Le scoring travaille sur les deux fronts.
L’approche hybride : combiner les deux méthodes
En pratique, les dispositifs les plus robustes ne font pas un choix entre règle discriminante et scoring. Ils combinent les deux selon une logique claire : la règle binaire comme filet de sécurité absolu, le scoring comme mécanisme de calibration du reste du portefeuille.
Contextualisation par score cumulatif
Plutôt que de déclencher une alerte sur chaque critère isolé, le système attribue des points de risque à différents éléments. L’alerte ne remonte aux analystes que si le score total dépasse un seuil défini. Deux clients, la même opération : 12 000 € vers la Chine. Socle commun : montant > 10 000 € (+15 pts), destination hors EEE (+15 pts) = 30 pts de base.
Tableau 3
La même opération, deux profils : ce que la règle binaire ne voit pas
| Client | Opération | Règle binaire | Scoring multicritère |
|---|---|---|---|
| PME import/export Client depuis 10 ans, virements réguliers cohérents |
12 000 € vers la Chine | Alerte | Passe 30 pts socle − 25 pts (profil cohérent) = 5 pts |
| Étudiant boursier Compte ouvert il y a 2 mois, opération atypique |
12 000 € vers la Chine | Alerte | Alerte prioritaire 30 pts socle + 45 pts (profil incohérent) = 75 pts |
| Socle commun : montant > 10 000 € (+15 pts) + destination hors EEE (+15 pts) = 30 pts de base. La règle binaire s’arrête là. Le scoring continue et diverge selon le profil : 5 pts pour la PME, 75 pts pour l’étudiant. | |||
La même opération, deux profils radicalement différents, deux décisions opposées. Avec une règle strictement discriminante, les deux déclenchent la même alerte. L’analyste perd son temps sur le cas A et traite le cas B avec le même niveau de priorité.
Seuils dynamiques ajustés au profil de risque
L’approche hybride la plus avancée ne se contente pas d’ajouter des points : le scoring KYC du client ajuste la règle discriminante elle-même. La règle n’est plus « 10 000 € pour tout le monde » :
Tableau 4
Seuils dynamiques : la règle binaire calibrée par le scoring KYC
| Profil de risque client | Seuil d’alerte hors EEE | Posture de surveillance transactions |
|---|---|---|
| Score faible (< 30 pts) | 50 000 € | Allégée |
| Score moyen (30–60 pts) | 10 000 € | Standard |
| Score élevé (> 60 pts) | Dès le 1er euro | Renforcée |
| La règle discriminante existe toujours, il y a un seuil. Mais elle est modulée par le scoring KYC. Réf. : art. R561-12-1 CMF, GAFI Recommandation 1. | ||
Priorisation du travail des analystes
Si le monitoring génère 500 alertes un lundi matin, l’approche par pondération permet de les trier par gravité. L’analyste traite en priorité l’alerte à 120 points plutôt que celle qui a juste franchi le seuil à 51 points. Avec une règle strictement discriminante, les 500 alertes sont sur un pied d’égalité, sans hiérarchie. Le premier client traité est celui dont le nom commence par « A », pas celui qui présente le risque le plus élevé. C’est une allocation de ressources absurde qui met en danger la conformité et épuise les analystes.
La bascule fondamentale En introduisant la pondération dans le processus d’alerte, on passe d’une logique de contrôle des opérations (chaque transaction évaluée isolément) à une logique de contrôle des comportements (chaque transaction évaluée dans le contexte du profil client). C’est cette bascule qui réduit drastiquement les faux positifs sans compromettre la détection.
Construire son scoring : les bonnes pratiques
Un scoring mal paramétré vaut moins qu’une classification discriminante bien construite. Cinq piliers pour un scoring opérationnel.
1. Définir des critères et des pondérations adaptés à votre activité
Les 5 axes réglementaires sont le socle. Mais les critères et les pondérations doivent refléter votre portefeuille réel, pas un modèle générique. Un assureur vie n’a pas les mêmes pondérations qu’un assureur non-vie. Un CGP n’a pas les mêmes critères qu’un courtier en assurance. La question à se poser : est-ce que mon scoring capture les risques spécifiques à mon activité, ou est-ce que j’applique une grille standard qui ne correspond pas à la réalité de mes clients ?
2. Intégrer les mesures d’atténuation
C’est la clé de la logique risque brut → risque net. Les mesures d’atténuation doivent être documentées et vérifiables : moyen de paiement tracé, résultats du screening, ancienneté de la relation, historique des transactions cohérent. L’atténuation n’est pas un « bonus » discrétionnaire. C’est une composante structurante du scoring qui doit être justifiable en contrôle. Si vous ne pouvez pas démontrer que l’atténuation repose sur des données vérifiables, elle ne tient pas.
3. Documenter et rendre le scoring auditable
Un scoring sans traçabilité n’a pas plus de valeur qu’une règle binaire. Chaque décision doit être tracée : quels critères ont été évalués, quel score attribué, quelles atténuations appliquées, quel niveau de vigilance en résulte. Un inspecteur qui voit une souscription à 45 € pour un client monégasque classé en vigilance standard doit pouvoir reconstituer le raisonnement en 30 secondes. Si le scoring ne produit pas ce niveau de traçabilité, il ne remplit pas sa fonction.
4. Faire vivre le scoring dans le temps
Le scoring n’est pas figé à l’entrée en relation. Il doit être recalculé quand le contexte change : évolution des listes de sanctions, changement de statut PPE, événement GAFI (ajout ou retrait d’un pays de la liste grise), changement d’activité du client. Un client classé en vigilance standard en 2022 peut devenir un client à vigilance renforcée en 2024 si son pays de résidence passe sur la liste grise. Le scoring statique est un scoring périmé. C’est le lien avec le monitoring continu qui fait tenir le dispositif dans la durée.
5. Gérer la transition (et ne pas la sous-estimer)
Ce point est rarement traité dans les articles sur le scoring. C’est pourtant là que beaucoup de projets déraillent. Passer d’une classification discriminante à un scoring par pondération, c’est rarement une affaire de quelques semaines. Cela implique de convaincre la direction que changer de méthode n’est pas un risque en soi, de travailler avec le métier pour calibrer les pondérations (et accepter qu’il pousse à sous-pondérer ce qui gêne le business), de former les analystes à lire un score plutôt qu’à appliquer une règle, et de convaincre le contrôle interne qu’une « boîte noire » peut être auditée. Sur ce dernier point, le régulateur ne sanctionne pas le changement de méthode. Il sanctionne l’absence de justification. La transition doit être documentée : pourquoi l’ancienne classification ne suffisait plus, comment la nouvelle a été paramétrée, quels tests ont été réalisés avant mise en production, comment les écarts entre l’ancien et le nouveau classement ont été examinés. Un dossier de transition bien construit est une protection, pas une charge supplémentaire.
Ce que ça coûte vraiment Le coût d’un scoring n’est pas que technique. Il y a le temps de conviction interne : expliquer à la direction pourquoi un client franco-français peut scorer plus haut qu’un Monégasque, montrer au contrôle interne qu’un score à 25/100 sur un dossier GAFI n’est pas une faiblesse du dispositif mais le résultat attendu.
FAQ
La classification discriminante est-elle interdite par la réglementation ? Non. La réglementation n’impose pas de méthode spécifique, elle impose un résultat : une approche fondée sur les risques, proportionnée (art. L561-4-1 CMF). La classification discriminante est légalement valide, à condition qu’elle produise une classification proportionnée. Quand elle génère des blocages systématiques sur des clients à faible risque réel, elle ne répond plus à cette exigence.
Peut-on mixer les deux méthodes sur le même portefeuille ?
C’est même la recommandation. Les cas d’interdiction absolue (sanctions, liste noire) appellent la règle binaire. Le reste du portefeuille gagne à être traité par scoring multicritère. L’approche hybride avec seuils dynamiques est la version la plus avancée de cette combinaison.
Comment justifier un scoring en cas de contrôle ACPR ?
Trois éléments sont attendus :
- la documentation de la méthode (comment les critères et les pondérations ont été définis)
- la traçabilité de chaque décision (quel score, quelles atténuations, quel niveau de vigilance)
- la mise à jour du scoring dans le temps. Un scoring qui ne produit pas ces trois éléments n’est pas plus défendable qu’un tableur mal tenu.
Point souvent négligé : la proportionnalité est un argument à double tranchant. Elle vous protège quand vous expliquez pourquoi Monaco en vigilance standard était justifié. Elle se retourne contre vous si vous avez sous-évalué un risque réel avec les mêmes pondérations. L’ACPR ne juge pas que la méthode, elle juge la cohérence entre la méthode et les décisions prises.
Comment aborder la transition en interne ?
C’est la vraie question que personne ne pose dans les articles sur le scoring. La direction voit un projet IT. Le métier voit un frein potentiel. Le contrôle interne voit une boîte noire difficile à auditer. Et vous, vous devez faire tenir tout ça. Deux points d’appui concrets. Premier : montrez les chiffres de faux positifs actuels. Le volume d’alertes traitées, le taux de faux positifs, le temps analyste consommé sur des dossiers à faible enjeu. C’est l’argument business, et il est recevable par une direction. Deuxième : cadrez la transition comme une exigence réglementaire, pas comme une préférence. L’art. L561-4-1 n’est pas une option. L’approche fondée sur les risques implique que votre dispositif soit proportionné. Si votre classification actuelle ne l’est pas, ce n’est pas un projet d’amélioration, c’est une mise en conformité.
Le scoring est-il réservé aux grandes structures ?
Non. La complexité du scoring doit être adaptée à la taille et au profil de risque de la structure. Un scoring sur 3 ou 4 axes avec des pondérations simples est parfaitement valable, à condition que la méthode soit documentée, cohérente et auditable. L’outil importe moins que la rigueur de la démarche.
Combien de critères faut-il intégrer dans un scoring ?
Les 5 axes réglementaires sont le minimum structurant. Au-delà, le nombre de critères dépend de la capacité à les alimenter en données fiables et à les maintenir dans le temps. Un scoring à 20 critères dont 10 ne sont jamais renseignés est moins robuste qu’un scoring à 7 critères parfaitement alimentés.
