Classification des risques LCB-FT : guide pratique + modèle Excel

La classification des risques LCB-FT permet d’attribuer, pour chaque typologie de client, de produit, d’opération, de zone géographique ou de canal, le niveau de vigilance à appliquer.

Elle s’appuie sur les principes définis dans la cartographie des risques, sans s’y substituer : la cartographie identifie les risques structurels d’un établissement, tandis que la classification les traduit en décisions opérationnelles, dossier par dossier et relation par relation. Les autorités attendent que les deux soient cohérentes, mais elles ne relèvent ni de la même granularité ni du même objectif.

La classification est l’un des outils utilisés pour démontrer, lors d’un contrôle, l’alignement entre la connaissance des risques, les mesures de vigilance et les contrôles mis en place (GAFI – Recommandation 1 ; ACPR – Bilan LCB-FT 2023).

La fiche pratique publiée par la Direction générale des douanes et droits indirects (DGDDI, juillet 2025) formalise les axes généralement retenus pour structurer une classification, ainsi que les critères usuels d’évaluation. Le présent guide reprend cette logique et l’organise sous une forme directement exploitable, en s’appuyant sur les sources officielles, les textes applicables et les travaux reconnus (GAFI, ACPR, AMF, DGDDI).

Les cinq axes de classification des risques

La classification des risques LCB-FT s’inscrit dans l’approche fondée sur les risques définie par le GAFI  (Recommandation 1) et mise en œuvre par les autorités de supervision françaises : principalement l’ACPR et l’AMF.

Les obligations déclaratives et les orientations publiées par TRACFIN, cellule de renseignement financier, complètent ce cadre, sans relever de la supervision.

Les cinq axes présentés ci-dessous sont ceux que l’on retrouve dans la pratique des contrôles ACPR/AMF, dans les recommandations du GAFI et dans les documents méthodologiques disponibles, notamment la fiche pratique publiée par la Direction générale des douanes (DGDDI) en 2025, qui en propose une structuration claire. Cette source est utile pour l’organisation des axes, mais n’est pas une norme sectorielle pour les établissements financiers.

Une granularité suffisante
Chaque axe doit permettre de distinguer réellement les situations de risque. Une classification dont la majorité du portefeuille se retrouve dans une même catégorie est considérée comme insuffisamment discriminante.

1. Risques liés aux clients

Facteurs couramment pris en compte par les autorités de supervision :

• statut du client (personne physique / morale),
• statut particulier (PPE, BE), selon les définitions réglementaires (GAFI pour les PPE, CMF pour les BE),
• pays de résidence ou nationalité (listes du GAFI),
• secteur d’activité exposé selon les typologies GAFI,
• complexité de la structure juridique ou capitalistique (point récurrent dans les décisions ACPR),
• comportements atypiques ou historiques d’anomalies.

2. Risques liés aux produits et services

Facteurs attendus dans la majorité des classifications LCB-FT :

• degré d’anonymat offert par le produit,
• complexité du produit ou du mécanisme,
• volumes ou montants usuels des opérations,
• liquidité du produit,
• exposition internationale.

Ces critères apparaissent dans les typologies sectorielles du GAFI et dans les constats ACPR sur la vigilance.

3. Risques géographiques

Éléments de référence :

• pays sous sanctions internationales (ONU, UE),
• pays placés sous surveillance par le GAFI (grey list, black list),
• indices internationaux de gouvernance ou de corruption (sources externes fiables, par exemple Transparency International, ou la Banque mondiale),
• zones de conflit ou de tension.

Le risque géographique constitue un facteur aggravant dans l’ensemble des cadres officiels.

4. Risques liés aux canaux de distribution

Facteurs couramment observés dans les inspections :

• entrée en relation en face-à-face,
• entrée en relation à distance (avec ou sans vérification vidéo),
• intervention de tiers ou d’intermédiaires,
• recours à un tiers introducteur.

Ces éléments influent directement sur la capacité à vérifier l’identité et à prévenir les usurpations.

5. Risques liés aux opérations

Facteurs généralement utilisés dans les classifications :

• montants ou volumes inhabituels,
• fréquence accrue ou irrégulière d’opérations,
• fragmentation ou structuration,
• usage important de numéraire,
• schémas opérationnels complexes.

Ces risques figurent dans toutes les typologies publiées par le GAFI et dans les retours d’expérience des contrôles ACPR.

Choisir des indicateurs pertinents : l’étape la plus critique

Les indicateurs ne doivent jamais être choisis isolément : ils doivent dériver directement des risques identifiés dans la cartographie. C’est ce lien : cartographie → indicateurs → classification, que les autorités examinent de près lors des contrôles.

Les axes de risque ne suffisent pas : une classification n’est opérationnelle que si chaque axe est décliné en indicateurs précis, observables et documentables. Un axe désigne une catégorie de risque ; un indicateur permet de le mesurer. C’est là que les utilisateurs rencontrent le plus de difficultés.

Ces indicateurs traduisent chaque axe en éléments mesurables et permettent de produire une classification cohérente. À l’inverse, des indicateurs flous ou non observables génèrent des classifications imprécises et difficilement défendables.

Exemples :

• Axe client → statut PPE (définition GAFI), complexité capitalistique, secteur exposé dans les typologies.
• Axe produits → niveau d’anonymat, exposition internationale, présence éventuelle de flux numéraires.
• Axe opérations → montants inhabituels, fréquence anormale, fractionnement.

La qualité des indicateurs conditionne directement la qualité du risque inhérent et du risque résiduel : une classification n’est jamais meilleure que les indicateurs qu’elle utilise.

Les autorités ne contrôlent pas uniquement la classification en tant que document : elles vérifient sa cohérence avec la vigilance effectivement appliquée et avec les scénarios de surveillance. Une classification qui n’alimente pas la vigilance et la surveillance est considérée comme inopérante.

Les autorités vérifient que cette articulation cartographie → classification est documentée et effectivement appliquée dans les dossiers.

La valeur ajoutée de BeCLM dans la sélection des indicateurs

BeCLM ne se limite pas à restituer des données : la plateforme transforme les sources officielles en indicateurs directement exploitables pour la classification.

Statuts PPE, données d’entreprises (INPI, Bodacc, RBE, ORIAS), exposition géographique, informations issues des listes de sanctions et de gel des avoirs (ONU, UE, OFAC, DGT), médias négatifs qualifiés, cohérence économique (activité, revenus, CSP), nature et fréquence des flux.

Ces indicateurs sont normalisés et structurés de manière à pouvoir être combinés entre eux dans l’évaluation du risque, par exemple : complexité capitalistique + exposition pays + signaux de presse + caractéristiques opérationnelles.

Cette structuration permet une lecture cohérente et exploitable du risque inhérent.

Méthodologie de classification en 11 étapes

La méthodologie décrite ci-dessous est alignée sur :

• l’approche fondée sur les risques du GAFI (Recommandation 1),
• les attentes de l’ACPR en matière de cohérence classification → vigilance → cartographie (Bilan LCB-FT 2023),
• et les pratiques méthodologiques observables dans les documents sectoriels disponibles, dont la fiche publiée par la Direction générale des douanes (DGDDI) en 2025, utilisée ici uniquement comme support structurant.

Elle reflète les étapes logiques permettant de déterminer un risque inhérent, d’en apprécier la maîtrise et de définir le risque résiduel.

1. État des lieux des caractéristiques de l’établissement

L’approche fondée sur les risques, telle que définie par le GAFI, impose d’adapter la classification au contexte opérationnel réel : activité, clients, zones, produits, volumes.

L’ACPR rappelle dans ses contrôles que toute classification doit être cohérente avec la réalité de l’activité, faute de quoi elle est considérée comme théorique ou inopérante.

Cette étape consiste donc à documenter clairement :

• les activités exercées,
• les typologies de clients,
• les zones géographiques couvertes,
• les canaux d’entrée en relation,
• la nature et le volume des opérations.

2. Identifier et formaliser les critères d’évaluation du risque

Les facteurs de risque attendus sont ceux du GAFI et des autorités de supervision :

• caractéristiques du client (incluant PPE/BE),
• nature du produit ou service,
• zone géographique,
• canal de distribution,
• caractéristiques opérationnelles.

La mission consiste à sélectionner les critères objectifs, documentés et justifiables qui reflètent l’exposition réelle de l’établissement.

L’ACPR sanctionne régulièrement les classifications présentant des critères :

• non explicités
• non documentés
• ou déconnectés de l’activité

3. Assurer l’alignement méthodologique

La classification doit être explicitement reliée aux procédures internes, aux règles de vigilance et aux scénarios de surveillance.

Une classification qui n’est pas cohérente avec les mesures réellement appliquées, ou avec les capacités de l’outil utilisé, est systématiquement jugée inopérante lors des contrôles.

Cet alignement doit être formalisé et documenté.

4. Choisir une méthode d’évaluation

Aucune autorité ne prescrit une méthode unique. Les méthodes observées dans les documents officiels reposent généralement sur :

• échelles qualitatives (faible / moyen / élevé),
• notations semi-quantitatives (1–3, 1–4…),
• pondérations permettant de hiérarchiser les critères selon leur criticité ou leur fréquence.

Les autorités attendent uniquement que la méthode soit :

• documentée,
• reproductible,
• comprise par les équipes,
• et cohérente dans le temps.

5. Calculer le risque inhérent

Le risque inhérent correspond au risque avant toute mesure de maîtrise. C’est un concept central dans l’approche du GAFI et dans les pratiques de supervision.

Il est déterminé en combinant les critères retenus dans les cinq axes :

• type de client,
• produit ou service,
• pays ou zone,
• canal d’entrée en relation,
• caractéristiques opérationnelles.

Le risque inhérent est donc la photographie brute de l’exposition.

6. Identifier les mesures de maîtrise existantes

Les mesures de maîtrise sont celles prévues par :

• le CMF (vigilance à l’entrée en relation, vigilance adaptée, actualisation),
• les obligations de surveillance continue (LCB-FT),
• les exigences de documentation et de traçabilité rappelées par l’ACPR.

Il s’agit, par exemple, des :

• vérifications d’identité,
• contrôles renforcés dans certains cas (PPE, pays à risque),
• dispositifs de surveillance des opérations,
• contrôles permanents et périodiques.

L’ACPR insiste sur la nécessité de documenter ces mesures : existence, périmètre, effectivité.

7. Évaluer l’efficacité des mesures de maîtrise

Cette évaluation consiste à déterminer dans quelle mesure les dispositifs en place réduisent réellement le risque inhérent.

Les autorités examinent notamment :

• la pertinence des contrôles,
• leur fréquence,
• la qualité de la documentation,
• la cohérence entre mesures appliquées et risques identifiés.

L’efficacité n’est jamais supposée : elle doit être démontrable.

8. Calculer le risque résiduel

Le risque résiduel correspond au risque restant après prise en compte des mesures de vigilance, de surveillance et de contrôle appliquées par l’établissement.

Les autorités n’imposent aucune formule mathématique : il s’agit d’apprécier dans quelle mesure ces dispositifs réduisent effectivement le risque initial.

L’important, pour l’ACPR, est que le résultat soit :

• cohérent,
• justifiable,
• aligné avec les niveaux de vigilance appliqués.

9. Justifier et rejouer l’évaluation

Le niveau de risque attribué doit être explicable et rejouable : critères utilisés, méthode d’évaluation, seuils, données ayant fondé la décision. Une classification qui ne peut pas être reconstituée à l’identique est considérée comme non fiable.

10. Gouvernance de la classification

La classification doit relever d’une gouvernance claire : validation par une instance interne, responsabilité identifiée (RCCI/RCSI), documentation des ajustements et contrôle périodique de son adéquation avec les risques réels.

Un dispositif sans gouvernance établie est considéré comme non maîtrisé.

Enfin, le versionnage est indispensable : chaque évolution du dispositif doit être datée, tracée et justifiée. À défaut, les autorités considèrent le dispositif comme imparfaitement maîtrisé.

11. Déterminer la vigilance applicable

Le niveau de vigilance découle du risque résiduel, conformément au CMF :

• vigilance allégée (L.561-9 CMF) : cas limitativement prévus,
• vigilance normale : régime usuel,
• vigilance renforcée : notamment PPE, pays à risque, opérations atypiques.

Les autorités s’assurent que la vigilance effectivement appliquée correspond au risque résiduel documenté. C’est l’un des points les plus fréquemment sanctionnés par l’ACPR.

Cartographie des risques : un modèle Excel téléchargeable

Le modèle Excel mis à disposition par BeCLM reprend la structure de classification présentée dans cet article : cinq axes de risques, méthode d’évaluation du risque inhérent, prise en compte des mesures de maîtrise et détermination du risque résiduel.

Il s’agit d’un support de travail permettant d’organiser les critères retenus, d’appliquer la méthode d’évaluation choisie et de documenter les niveaux de vigilance associés. Ce fichier suit l’approche fondée sur les risques telle que définie par le GAFI et attendue par les autorités de supervision (ACPR, AMF), en intégrant les facteurs habituellement présents dans les classifications LCB-FT.

Plus d’informations et lien de téléchargement du modèle Excel juste ici.

Je télécharge le modèle

Solution LCB-FT : rendre votre classification des risques opérationnelle

La classification des risques fournit une base méthodologique indispensable, mais son exploitation peut devenir difficile lorsqu’elle repose uniquement sur des traitements manuels.

Plusieurs limites sont régulièrement observées dans les pratiques des assujettis.

Vous pouvez approfondir ce sujet en consultant notre article sur comment bien choisir sa solution LCB-FT.

Limites d’une gestion manuelle

• Charge de travail importante pour collecter, mettre à jour et analyser les données.
• Risques d’erreurs ou d’incohérences lors de la saisie ou de la notation.
• Classement souvent statique, qui ne reflète pas l’évolution des profils ou des informations.
• Absence de vision consolidée permettant de piloter le dispositif en temps réel.

Apports des solutions technologiques

Les solutions spécialisées permettent d’automatiser une partie du traitement et d’améliorer la cohérence opérationnelle :

• Scoring automatisé des critères définis en interne.
• Mise à jour dynamique lorsque les données ou les paramètres évoluent.
• Détection d’anomalies et de variations significatives.
• Tableaux de bord facilitant le pilotage et les contrôles permanents.
• Intégration directe dans le système d’information pour limiter les ressaisies.

Ces outils n’ont pas vocation à remplacer la méthodologie : ils permettent d’en assurer l’application fidèle, continue et documentée.

Ce que l’ACPR sanctionne réellement (constats 2021–2023)

Les Bilans LCB-FT de l’ACPR soulignent, année après année, plusieurs faiblesses récurrentes dans les dispositifs analysés :

• Incohérence entre le risque évalué et la vigilance réellement appliquée, notamment lorsque des profils classés “à risque élevé” bénéficient d’une vigilance normale.
• Méthodologie non documentée : absence de définition des critères, absence de justification des niveaux de risque, absence de formalisation des modalités d’appréciation.
• Évaluations insuffisamment discriminantes, avec une proportion trop importante de profils classés en risque faible ou moyen (« classifications peu différenciantes »).
• Absence de mise à jour périodique, conduisant à des classifications figées qui ne reflètent plus l’évolution du portefeuille ou des risques.
• Absence de versionnage ou de justification des modifications, interprétée comme un défaut de maîtrise du dispositif.

Ces constats sont explicitement mentionnés dans les Bilans LCB-FT ACPR 2021, 2022 et 2023.

Erreurs fréquentes à éviter

Certaines faiblesses se retrouvent régulièrement dans les dispositifs de classification LCB-FT. Elles ne proviennent pas des textes, mais de pratiques opérationnelles qui compromettent la cohérence de l’ensemble et, in fine, la capacité à justifier les niveaux de vigilance appliqués.

• Une classification trop générale : une classification trop large, fondée sur des catégories imprécises ou peu discriminantes, empêche d’identifier correctement les zones d’exposition. Lorsque les critères ne sont pas suffisamment détaillés, la vigilance appliquée devient difficile à justifier.
• Un nivellement par le bas : attribuer systématiquement des niveaux de risque faibles ou moyens pour simplifier la gestion opérationnelle conduit à une classification qui ne reflète plus les risques réels. Ce type de nivellement est régulièrement relevé lors des contrôles.
• Des critères non pondérés ou mal hiérarchisés : lorsqu’aucune hiérarchisation n’est prévue entre les critères, des facteurs réellement structurants (géographie, complexité du client, exposition du produit) se retrouvent dilués au même niveau que des éléments secondaires. La classification perd alors sa capacité à orienter la vigilance.
• Un calibrage des seuils inadapté : des seuils trop larges neutralisent la classification ; des seuils trop étroits créent une surcharge opérationnelle et des effets de seuil artificiels. Leur définition doit être cohérente avec les niveaux de risque identifiés dans la cartographie.
• L’absence de mise à jour : une classification figée ne reflète plus l’évolution des clients, des produits ou des zones géographiques. Les autorités attendent une révision périodique documentée, permettant de prendre en compte les évolutions du profil de risque.
• L’absence de documentation méthodologique : une classification non documentée, absence de définition des critères, absence de justification de la méthode, absence de versionnage, empêche de démontrer la cohérence entre risque résiduel et vigilance. C’est l’une des causes récurrentes d’insatisfaction lors des contrôles.

Comment BeCLM facilite l’application opérationnelle de la classification LCB-FT

BeCLM ne remplace pas la méthodologie de classification : il l’exécute et la rend exploitable au quotidien.

Sur le volet scoring, la plateforme s’appuie sur la cartographie des risques définie par l’établissement : celle-ci devient la base d’un scoring dynamique, personnalisé et mis à jour en continu.

BeCLM propose des modèles de cartographie adaptés aux métiers, personnalisables, ainsi qu’une bibliothèque de critères sectoriels (catégorie juridique, exposition géographique, nature des produits ou services, type de clientèle, volume et nature des flux, incohérence revenus/CSP, etc.). Chaque paramètre est documenté, traçable et défini avec le client à partir de sa cartographie des risques, afin d’aboutir à un score aligné sur son propre dispositif.

Sur le volet données, BeCLM travaille exclusivement sur des sources officielles ou publiques :

• listes de sanctions et de gel des avoirs synchronisées en temps réel avec les sites des autorités (ONU, UE, OFAC, DGT), retraitées pour être nettoyées, structurées et juridiquement opposables ;
• listes PPE construites selon une méthodologie explicite, mises à jour régulièrement, conformes aux exigences françaises et européennes ;
• médias négatifs issus de titres de presse sélectionnés, qualifiés et hiérarchisés en fonction de leur portée juridique ; données d’entreprises vérifiées à la source (INPI, Bodacc, RBE, ORIAS), enrichies et actualisées à chaque nouvelle publication des registres.

Ces données ne sont pas seulement restituées : elles sont structurées pour la conformité (harmonisation des formats, clarification des statuts, enrichissement des champs) et peuvent être intégrées dans les processus KYC, le screening, le scoring et la surveillance continue.

Les informations collectées sont transformées en scores de risque multi-critères alignés sur la cartographie de l’établissement, ce qui permet une lecture immédiate et homogène des tiers.

Sur le volet traçabilité et audit, chaque contrôle effectué dans BeCLM est archivé avec un niveau de détail qui permet de reconstituer le filtrage : source des listes, date d’effet, paramètres utilisés, résultat et décision.

Le Personal Control Result™ (PCR) fournit une trace complète, horodatée et opposable, exploitée ensuite dans le Reporting Hub pour produire statistiques et exports directement présentables aux autorités ou aux auditeurs.

En pratique, BeCLM permet donc d’appliquer la classification des risques dans trois dimensions :

1. des données fiabilisées et légalement maîtrisées ;
2. un scoring cohérent avec la cartographie des risques définie par l’établissement ;
3. une piste d’audit exploitable pour démontrer, à tout moment, comment le risque a été évalué et quelle vigilance en a découlé.

Questions fréquentes sur la classification LCB-FT

Le modèle Excel téléchargeable calcule-t-il automatiquement le risque résiduel ?

Non, le modèle structure votre analyse mais ne remplace pas votre jugement d’expert. Les colonnes « Niveau de risque inhérent » et « Niveau de risque résiduel » (onglets 2 à 6) sont à sélectionner manuellement. L’Excel sert à documenter la logique de classification exigée par l’ACPR. Pour obtenir un calcul automatisé et dynamique du risque sur l’ensemble de votre base, l’utilisation d’une solution logicielle comme BeCLM est nécessaire.

Quelle est la différence concrète entre le « Screening » (filtrage) et la « Classification » ?

Il ne faut pas les confondre. Le screening est une recherche binaire (Présence/Absence sur une liste de sanctions ou de PPE). La classification est une évaluation globale et pondérée qui prend en compte le résultat du screening, mais aussi le pays, le produit, le canal et le comportement. Le screening alimente l’axe « Client » de la classification, mais ne constitue pas à lui seul une classification des risques LCB-FT.

À partir de quel volume de clients le modèle Excel devient-il insuffisant ?

Le modèle Excel atteint sa limite dès que la mise à jour manuelle devient un risque opérationnel. Une classification LCB-FT ne doit pas être statique : elle doit évoluer si un client change d’activité, si un pays est sanctionné ou si une opération atypique survient. Si vous gérez un volume de tiers qui rend impossible la révision de chaque ligne en temps réel, il est recommandé de passer à une solution de scoring automatisé pour garantir la conformité dans la durée.

Comment pondérer les « médias négatifs » sans que tous les clients soient classés « à risque » ?

L’intégration de la presse adverse est délicate. Pour éviter les « faux positifs » qui noieraient vos équipes, il ne faut pas traiter tous les articles de la même manière. Il est crucial d’appliquer une pondération basée sur la fiabilité de la source (presse généraliste vs blog), la nature des faits (fraude vs litige commercial) et surtout l’ancienneté. Un fait datant de 10 ans n’a pas le même impact sur le risque résiduel qu’une mise en examen récente.

Le modèle Excel suffit-il pour être conforme en cas de contrôle ACPR ? »

Le modèle Excel est une excellente base méthodologique conforme aux axes du GAFI. Cependant, pour les volumes importants, l’ACPR exige une traçabilité et une mise à jour dynamique que seul un outil automatisé comme BeCLM peut garantir dans la durée (versionnage, audit).