Filtrage PPE : guide complet pour un screening conforme et efficace

L’identification des personnes politiquement exposées (PPE) conditionne la mise en œuvre des mesures de vigilance renforcée prévues par le Code monétaire et financier.

Le marché repose majoritairement sur une approche par listes : filtrer des noms pour détecter des PPE. Cette approche est nécessaire, mais elle ne couvre qu’une partie du périmètre.

Il n’existe pas de liste exhaustive des PPE. Certaines informations, notamment sur l’entourage et les relations d’affaires, ne peuvent pas être collectées de manière centralisée, fiable ou même légale.

Le dispositif doit donc être construit pour traiter un périmètre incomplet.

Un dispositif PPE articule données, filtrage et analyse afin de produire des décisions justifiables.

Ce guide reprend les fondamentaux :

  • le cadre réglementaire,
  • le périmètre des PPE,
  • le fonctionnement du filtrage LCB-FT,
  • les points clés pour structurer un dispositif opérationnel.

Qu’est-ce qu’une PPE ? Définition et cadre réglementaire

Définition légale : CMF, GAFI et directives européennes

La notion de PPE est définie par les textes, mais sa mise en œuvre soulève des difficultés opérationnelles.

En droit français, l’article R.561-18 du Code monétaire et financier vise les personnes qui exercent ou ont exercé des fonctions publiques importantes, ainsi que les personnes qui leur sont liées.

Cela couvre notamment :

  • chefs d’État et membres de gouvernement,
  • parlementaires,
  • magistrats des juridictions suprêmes,
  • dirigeants de banques centrales,
  • officiers généraux,
  • dirigeants d’organisations internationales.

L’arrêté du 17 mars 2023 précise les fonctions nationales concernées.

Le GAFI reprend cette logique en distinguant :

  • PPE nationales,
  • PPE étrangères,
  • PPE d’organisations internationales.

Les directives européennes vont dans le même sens et renforcent les exigences de vigilance.

Point clé : aucun de ces textes ne fournit de liste nominative.

👉 En pratique, cela signifie qu’aucun dispositif ne peut reposer uniquement sur une base de données pour identifier les PPE.

Les listes constituent un point d’entrée indispensable, mais elles ne couvrent qu’une partie du périmètre défini par les textes, notamment s’agissant des proches et des relations d’affaires.

Le dispositif doit donc intégrer, dès sa conception, cette limite structurelle.

Les 3 niveaux de PPE : fonctions, entourage et proches associés

Le périmètre PPE ne se limite pas à la personne elle-même.

Il repose sur trois niveaux :

  • Niveau 1 : la personne exerçant une fonction publique
  • Niveau 2 : son entourage familial
  • Niveau 3 : ses relations étroites, notamment d’affaires

Le premier niveau est relativement accessible.

Les fonctions publiques sont en grande partie documentées, même si leur accessibilité varie considérablement d’un pays à l’autre.

Les deux autres sont d’une autre nature. Les données relatives à l’entourage et aux relations :

  • ne sont pas centralisées
  • évoluent en permanence
  • relèvent en grande partie de la sphère privée

Ces informations ne peuvent pas être collectées de manière exhaustive, ni de manière fiable, à partir de sources externes.

Leur collecte généralisée est incompatible avec les principes de proportionnalité et de finalité du RGPD.

Elles ne peuvent être recueillies qu’au cas par cas, dans le cadre de la relation d’affaires.

👉 Toute approche prétendant couvrir de manière exhaustive les proches et relations d’affaires via des bases externes est, par construction, erronée.

👉 Un dispositif conforme ne peut pas reposer uniquement sur le screening. Il suppose une analyse du risque et de la relation d’affaires, permettant de qualifier les situations identifiées.

Cette limite s’inscrit plus largement dans le périmètre de la qualification elle-même.
Certaines fonctions locales, comme les maires, ne relèvent pas nécessairement de la qualification PPE en France. Leur prise en compte relève de l’approche par les risques.

L’identification des niveaux 2 et 3 repose nécessairement sur :
– le déclaratif client
– l’analyse de la relation d’affaires

PPE et déclin d’influence : quand cesse-t-on d’être PPE ?

La qualification de PPE ne s’arrête pas avec la fin des fonctions. En France, une personne reste PPE pendant un an après la cessation de ses fonctions. Au-delà, l’analyse relève d’une approche par les risques.

Le GAFI rappelle que la fin des fonctions n’entraîne pas la disparition du risque : une personne peut ne plus exercer de fonction officielle tout en conservant une capacité d’influence.

👉 L’enjeu n’est pas de savoir si la personne “reste PPE”, mais de déterminer si le niveau de vigilance doit être maintenu, adapté ou allégé. Cette décision repose sur des éléments factuels, fonctions exercées, exposition, environnement relationnel, et doit être cohérente avec le profil de risque du client.

👉 Ce n’est pas une règle automatique. La décision doit être motivée et justifiable dans le cadre du dispositif.

Pourquoi un filtrage PPE est obligatoire

L’identification des personnes politiquement exposées est une exigence prévue par le Code monétaire et financier, qui impose la mise en œuvre de mesures de vigilance renforcée.

Sans identification des PPE, ces mesures ne peuvent ni être déclenchées ni appliquées de manière cohérente.

Le filtrage PPE permet :

  • d’identifier les situations à risque dès l’entrée en relation,
  • de mettre en œuvre les mesures de vigilance renforcée requises,
  • et d’assurer un suivi dans le temps.

Les obligations de vigilance renforcée (EDD)

Lorsqu’un client est identifié comme PPE, ou présente un lien avec une PPE, des mesures de vigilance renforcée doivent être mises en œuvre. Le cadre est fixé notamment par les articles L561-10 et L561-10-1 du Code monétaire et financier.

Concrètement, cela implique plusieurs actions.

Approbation de la relation d’affaires

L’entrée en relation avec une personne politiquement exposée, ainsi que la poursuite de la relation lorsqu’un client devient PPE en cours de relation, doivent être autorisées par un membre de la direction ou une personne habilitée.

Cette validation engage la responsabilité de l’établissement. Elle constitue un point de contrôle structurant du dispositif de vigilance renforcée.

Identification de l’origine des fonds et du patrimoine

L’établissement doit être en mesure de comprendre :

  • l’origine des fonds,
  • la constitution du patrimoine,
  • et leur cohérence avec le profil du client.

Cela suppose :  la collecte de justificatifs, l’analyse des flux, et une mise en cohérence avec l’activité déclarée.

Analyse de la finalité de la relation

L’identification d’une PPE doit être complétée par une analyse de la finalité de la relation :

  • pourquoi la relation est établie,
  • quels produits ou services financiers sont utilisés,
  • et dans quel objectif.

On peut ainsi identifier d’éventuelles incohérences.

Mise en place d’un suivi renforcé

Le suivi renforcé implique :

  • un suivi des opérations,
  • une fréquence de revue adaptée,
  • et une attention particulière aux évolutions du profil.

👉 Ces obligations ne peuvent être mises en œuvre que si les PPE sont correctement identifiées.
À défaut, la vigilance renforcée est soit absente, soit déclenchée trop tard.

Les risques en cas de manquement : sanctions ACPR et cas concrets

L’ACPR ne sanctionne pas un outil. Elle sanctionne un dispositif qui ne fonctionne pas.

👉 La présence d’un outil ne suffit pas.
C’est la capacité à démontrer l’efficacité du dispositif dans son ensemble qui est examinée.

Cas concret : Abeille Vie (2023)

Sanction : 3,5 millions d’euros + blâme
Autorité : ACPR
Principaux griefs :

  • détection insuffisante des PPE,
  • retards dans le traitement des alertes,
  • absence de détection de clients devenus PPE en cours de relation,
  • insuffisances dans les mesures de vigilance renforcée,
  • défaut de mise à jour de la connaissance client.

👉 Lecture opérationnelle :
le dispositif existait, mais :

  • il ne détectait pas correctement,
  • il ne suivait pas dans le temps,
  • et les alertes n’étaient pas traitées de manière satisfaisante.

Cas concret : La Banque Postale (2022)

Sanction : 50 millions d’euros
Autorité : ACPR
Principaux griefs :

  • dispositif LCB-FT globalement défaillant,
  • insuffisances dans la connaissance client,
  • lacunes dans la détection des profils à risque,
  • surveillance des opérations insuffisante,
  • traitement des alertes non maîtrisé.

Cette décision ne cible pas spécifiquement les PPE, elle met en évidence des défaillances qui impactent directement leur détection et leur suivi :

  • qualité des données KYC
  • efficacité du filtrage
  • capacité à traiter les alertes
  • cohérence du dispositif dans le temps

Autrement dit : les mécanismes qui échouent ici sont les mêmes que ceux qui permettent, ou non, d’identifier et de suivre les PPE.

👉 Lecture opérationnelle :
un dispositif peut être outillé… sans être maîtrisé.

Ce que ces décisions montrent

Les sanctions convergent sur les mêmes points :

  • identification tardive ou incomplète des PPE
  • alertes non traitées dans des délais acceptables
  • défaut de mise à jour des informations
  • documentation insuffisante des décisions.

Ce que l’ACPR attend concrètement

L’établissement doit être en mesure de démontrer :

  • comment une PPE est détectée
  • dans quels délais elle est traitée
  • et quelles mesures sont mises en œuvre.

👉 L’enjeu n’est pas d’éviter toute erreur. L’enjeu est d’avoir un dispositif opérationnel, cohérent et traçable

3 étapes pour mettre en place un processus de filtrage PPE efficace

Étape 1 : Collecte et vérification des données client (KYC)

Le filtrage PPE dépend directement de la qualité des données utilisées. Sans données fiables, les résultats sont mécaniquement dégradés :

  • augmentation des faux positifs,
  • difficultés de qualification,
  • risque de non-détection.

Les éléments de base incluent :

  • nom,
  • prénom,
  • date de naissance,
  • nationalité,
  • pays de résidence.

À cela s’ajoutent des informations utiles à l’analyse :

  • profession,
  • fonction exercée,
  • structure d’activité.

Sources de données : 

– Les sources externes
Elles permettent d’identifier les fonctions publiques et de détecter les PPE à partir de données structurées et traçables. Elles reposent notamment sur :

  • les registres publics,
  • les publications officielles,
  • les bases de données spécialisées.

Elles ne couvrent toutefois pas l’ensemble du périmètre PPE, notamment s’agissant des proches et des relations d’affaires.

– Le déclaratif client
Il permet de compléter les informations disponibles, notamment pour :

  • identifier un lien avec une PPE,
  • préciser les éléments utiles à l’analyse de la relation d’affaires.

Aucune base externe ne permet de couvrir ce périmètre de manière exhaustive.

Difficultés opérationnelles

Plusieurs limites doivent être prises en compte :

  • homonymies,
  • variations d’orthographe,
  • translittérations,
  • incohérences de saisie,
  • données incomplètes.

Le filtrage PPE n’améliore pas la qualité des données. Il en amplifie les défauts.

Un défaut de qualité en entrée se traduit directement par :

  • une augmentation des faux positifs,
  • une dégradation de la capacité de qualification,
  • ou une non-détection de certaines situations.

Étape 2 : Screening sur les listes PPE et sanctions

Le screening ne produit pas une décision, il produit des correspondances potentielles, issues de données et de sources externes incomplètes.

Fonder une décision uniquement sur ce résultat constitue une fragilité structurelle du dispositif : cela revient à qualifier une situation sans analyse ni vérification, sur la base d’informations partielles.

👉 Le screening est un outil de détection, pas un outil d’identification.

👉 Erreur fréquente : dans de nombreux dispositifs, le screening est utilisé comme un outil de qualification implicite. Une alerte “crédible” devient une PPE, une absence d’alerte devient une absence de risque.

Ce raisonnement est faux. Il revient à déléguer une décision réglementaire à un moteur de correspondance, fondé sur des données partielles et hétérogènes. En cas de contrôle, ce n’est pas le moteur qui sera interrogé.

C’est votre capacité à démontrer pourquoi une situation a été qualifiée ou écartée.

En pratique, toute alerte doit être analysée et qualifiée avant décision.

👉 Le screening ne détecte que ce qui est présent dans les sources utilisées.
Il ne permet pas d’identifier ce qui n’y figure pas, notamment certaines situations liées aux proches ou aux relations d’affaires.

👉 La définition des PPE varie selon les pays, ce qui impacte directement le périmètre du filtrage.
BeCLM met à votre disposition une carte des listes PPE par pays.
Elle est disponible ici : carte liste PPE

En pratique, l’absence d’alerte ne permet pas, à elle seule, de conclure à une absence de risque.

Elle peut également traduire une absence d’information dans les sources utilisées.

Paramétrage

Le paramétrage du moteur de filtrage a un impact direct sur les résultats :

seuils stricts → moins d’alertes, mais risque de non-détection
seuils larges → plus d’alertes, mais augmentation des faux positifs

Il n’existe pas de réglage universel.

👉 Le paramétrage doit être adapté au niveau de risque et justifié au regard du dispositif.

Étape 3 : Gestion des alertes et réduction des faux positifs

La majorité des alertes issues du screening sont des faux positifs. Elles résultent principalement :

  • d’homonymies,
  • de variations d’orthographe,
  • de données incomplètes.

👉 Point d’attention :

La réduction des faux positifs suppose de pouvoir expliquer selon quelles règles les alertes sont écartées.

L’établissement doit être en mesure d’identifier les paramètres utilisés, d’en comprendre l’effet et de reconstituer les décisions prises. Un mécanisme qui ne peut pas être explicité, notamment lorsqu’il repose sur des modèles d’IA, introduit une opacité dans le fonctionnement du filtrage.

Dans ce cas, il devient impossible de démontrer comment les alertes sont traitées, et donc de défendre le dispositif.

Traitement des alertes

Chaque alerte doit être qualifiée. Cela suppose :

  • de vérifier l’identité,
  • de comparer les éléments disponibles,
  • d’écarter ou de confirmer la correspondance.

Risques opérationnels

Un volume d’alertes non maîtrisé ne pose pas uniquement un problème de traitement.

Il modifie la manière dont les décisions sont prises :

  • qualification accélérée,
  • recours à des critères implicites,
  • hétérogénéité dans l’analyse de situations comparables.

👉 Ce n’est pas le volume en lui-même qui fragilise le dispositif, c’est la perte de cohérence dans les décisions qu’il entraîne.

Leviers de réduction

Plusieurs leviers permettent de réduire les faux positifs :

  • filtrage multicritère,
  • amélioration de la qualité des données en entrée,
  • ajustement des seuils de correspondance,
  • enrichissement des informations disponibles.

Arbitrage

Réduire les faux positifs revient à définir des règles qui écartent certaines alertes.

👉 L’enjeu n’est pas de trouver un “équilibre”, mais de pouvoir expliquer quelles situations ne sont plus remontées et pourquoi.

Ces choix doivent être explicites, cohérents et maîtrisés dans le cadre du dispositif.

Qui est concerné par le filtrage des PPE ? Spécificités sectorielles

Le filtrage des PPE concerne l’ensemble des entités assujetties aux obligations LCB-FT au sens de l’article L.561-2 du Code monétaire et financier. L’identification des PPE conditionne la mise en œuvre des mesures de vigilance renforcée prévues par la réglementation.

Si le cadre est commun, les contraintes opératinnelles varient selon la volumétrie, la complexité des structures et la nature des relations d’affaires.

👉 Ces différences ne tiennent pas uniquement à l’activité.
Elles déterminent la manière dont les alertes sont produites, traitées et justifiées dans le temps, ainsi que la capacité à appliquer de manière cohérente les mesures de vigilance renforcée.

Banque et services financiers

Le filtrage PPE est intégré au parcours d’entrée en relation, puis au suivi de la relation.

L’enjeu principal est la gestion du volume d’alertes.

Un paramétrage inadapté ne crée pas seulement un volume excessif.
Il rend le traitement hétérogène et les décisions difficilement comparables dans le temps.

Assurance

La vigilance porte sur le souscripteur, mais également sur le bénéficiaire du contrat.

La difficulté tient à l’écart possible entre ces deux profils : le bénéficiaire peut présenter un niveau de risque distinct, sans être identifié au moment de l’entrée en relation.

Le risque ne se situe pas nécessairement là où la relation est initiée.
Il peut apparaître chez un bénéficiaire identifié tardivement, sans que le dispositif soit ajusté en conséquence.

Gestion de patrimoine / CGP

Les relations d’affaires impliquent fréquemment des structures intermédiaires.

Le filtrage PPE ne peut pas se limiter au client apparent.
Le risque réside souvent dans la structure elle-même et dans ce qu’elle masque.

Il suppose une identification des personnes liées et une analyse de la structure dans son ensemble.

Immobilier

Le filtrage porte sur les parties à l’opération et, le cas échéant, sur les bénéficiaires effectifs.

La difficulté réside dans l’identification effective des personnes concernées lorsque l’opération implique des structures intermédiaires ou des montages juridiques.

L’enjeu n’est pas seulement d’identifier des personnes, mais de s’assurer que le périmètre analysé correspond réellement à la structure de l’opération.

Crypto-actifs / PSAN

Les caractéristiques des activités (rapidité des transactions, dimension internationale, pseudonymat) rendent le filtrage PPE insuffisant s’il est isolé.
Il doit être articulé avec la surveillance des opérations et l’analyse des flux. Isolé, le filtrage PPE donne une vision statique.
Or le risque se manifeste souvent dans la dynamique des opérations.

Jeux d’argent

Le filtrage intervient à l’entrée en relation, puis lors des opérations significatives.

Le principal enjeu réside dans la capacité à détecter et qualifier des comportements atypiques dans un environnement de volume élevé.

Dans ce contexte, le filtrage PPE ne prend sens que s’il est relié à l’analyse des comportements.
À défaut, il reste déconnecté du risque effectivement observé.

Choisir un outil de filtrage PPE : critères clés

Le choix d’un outil de filtrage PPE ne peut pas se limiter à la couverture des listes. Il doit permettre de répondre aux exigences LCB-FT en matière de détection, d’analyse et de justification des décisions.

Les critères essentiels d’évaluation

Qualité et traçabilité des sources

L’établissement doit être en mesure d’identifier l’origine des données utilisées.
La traçabilité ne suffit pas. Les données doivent également être documentées et justifiables, afin d’expliquer les décisions prises en cas de contrôle.
L’utilisation de sources non documentées ou agrégées de manière opaque constitue d’évidence une fragilité face au régulateur.

Fréquence de mise à jour

Les données doivent être mises à jour de manière régulière et documentée, afin de refléter les évolutions (nominations, cessations de fonctions).

Un décalage entre la réalité et les données utilisées peut conduire à des défauts de détection.

Capacité à documenter les alertes

Chaque correspondance doit pouvoir être analysée et justifiée.
L’outil doit permettre de conserver les éléments ayant conduit à la décision (validation ou rejet).

Paramétrage du filtrage

Le moteur doit permettre d’ajuster les seuils et les règles de correspondance.

Un paramétrage inadapté peut conduire soit à un volume excessif d’alertes, soit à des défauts de détection.

Gestion des faux positifs

La question n’est pas seulement de savoir si l’outil réduit les correspondances non pertinentes, mais comment il le fait.

L’établissement doit pouvoir comprendre sur quels critères les alertes sont écartées, priorisées ou maintenues.

Une réduction des faux positifs qui ne peut pas être expliquée introduit une opacité sur le fonctionnement du filtrage et fragilise l’évaluation de l’outil.

Intégration dans le dispositif existant

Un outil de filtrage ne produit de valeur que s’il est intégré au dispositif KYC et au suivi de la relation.
À défaut, les alertes ne sont ni exploitées de manière cohérente, ni intégrées dans la connaissance client, ce qui fragilise le dispositif en cas de contrôle.

Conformité réglementaire et protection des données

Le traitement des données doit être conforme aux exigences LCB-FT et au RGPD. En particulier, les données relatives aux proches et relations d’affaires ne peuvent pas être traitées sans base légale adéquate.

Questions à poser à votre fournisseur

  • D’où proviennent les données utilisées ? Les sources sont-elles identifiables et documentées ?
  • Quelle est la fréquence de mise à jour des données ?
  • Comment les alertes sont-elles expliquées et justifiées ?
  • Quels sont les paramètres de filtrage disponibles ?
  • Comment est géré le volume de faux positifs ?
  • L’outil s’intègre-t-il dans le parcours KYC existant ?
  • Où sont hébergées les données ?
  • Quelles garanties sont apportées en matière de conformité RGPD ?

Ce qui fait un dispositif PPE solide

Le filtrage PPE s’inscrit dans une chaîne de traitement combinant données, sources externes, outils de détection et décisions opérationnelles.

Les listes constituent un point d’entrée. Elles permettent d’industrialiser la détection et de structurer le traitement des alertes, mais elles ne couvrent pas l’ensemble du périmètre défini par la réglementation.

Le dispositif repose donc sur plusieurs niveaux complémentaires :

  • la qualité des données en entrée,
  • le paramétrage du filtrage,
  • la capacité à qualifier les alertes,
  • et la cohérence des décisions dans le temps.

Un défaut sur l’un de ces éléments se répercute sur l’ensemble du dispositif.

L’enjeu n’est pas de maximiser la couverture. Il est de disposer d’un dispositif opérationnel, cohérent et justifiable.

Un dispositif PPE ne se juge pas à sa capacité à tout détecter.

Il se juge à sa capacité à expliquer ce qu’il détecte et ce qu’il ne peut pas détecter.

A propos de l'auteur

Après une carrière dans des agences conseil en communication, Olivier a rejoint BeCLM en 2021. Depuis il est charge de la production de contenu avec le souci constant de répandre la bonne parole de l'entreprise et de répondre à de vrais enjeux métier.
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.