Know Your Business (KYB) : guide complet pour la conformité LCB-FT

Votre dispositif KYC couvre vos clients personnes physiques. Mais dès qu’une personne morale entre en relation d’affaires, les questions se multiplient : qui contrôle vraiment cette société ? Faut-il identifier le gérant ou remonter jusqu’aux actionnaires ? Le registre des bénéficiaires effectifs suffit-il ?

C’est exactement ce périmètre que couvre le KYB, Know Your Business. Il s’agit d’une extension d’un dispositif KYC dédiée aux entreprises clientes. Les mêmes obligations de vigilance, appliquées à des structures, dont il faut systématiquement identifier la personne physique qui les contrôle en dernier ressort.

Le problème : la plupart des contenus disponibles sur le sujet sont rédigés par des éditeurs anglo-saxons, pour un cadre réglementaire qui n’est pas le vôtre. Ils parlent du sujet de la connaissance des personnes morales comme d’un concept universel, sans jamais citer le Code monétaire et financier, les lignes directrices de l’ACPR, ou ce que la jurisprudence française impose concrètement.

Cet article prend le parti inverse. Il le traite tel qu’il s’applique en France : les articles du CMF qui fondent les obligations, les trois paliers de détermination du bénéficiaire effectif, les décisions de sanction ACPR qui fixent la doctrine, et ce que le paquet AMLR/AMLD6 va changer à partir de 2027.

Qu’est-ce que le KYB et qu’exige le droit français ?

Le terme Know Your Business n’existe pas dans le Code monétaire et financier. C’est un usage opérationnel, né de la pratique, pour désigner l’ensemble des diligences de connaissance appliquées aux clients personnes morales. Les obligations, elles, existent bien : elles sont posées par les articles L561-5, L561-2-2 et L561-5-1 du CMF. Le cadre légal est celui du CMF et non d’un régime KYB autonome.

Définition opérationnelle et périmètre du Know Your Business

Ce concept couvre l’ensemble des diligences de connaissance de l’entreprise : forme juridique, actionnariat, bénéficiaires effectifs, activité économique réelle, profil de risque de la structure.

Ce que le concept de KYB exige, concrètement :

  • la forme juridique et la dénomination sociale
  • le numéro d’immatriculation (KBIS de moins de 3 mois ou équivalent étranger)
  • les statuts à jour
  • l’identification et la vérification des bénéficiaires effectifs
  • la compréhension de l’activité économique réelle
  • le screening des bénéficiaires effectifs

La connaissance des entreprises va au-delà de l’identification du représentant légal. Il exige de remonter jusqu’aux personnes physiques qui contrôlent la structure en dernier ressort, là où réside l’essentiel du risque et là où les dispositifs défaillants se font sanctionner.

KYB vs KYC : où passe la frontière exacte

KYB et KYC ne s’opposent pas, ils s’articulent. Le Know Your Customer couvre la connaissance client au sens large ; le KYB est sa déclinaison aux personnes morales.

Pour un client personne physique, le KYC s’applique seul.

Une personne morale appelle les deux simultanément : KYC du représentant légal qui agit au nom de la société, KYB sur la société elle-même, identification des bénéficiaires effectifs personnes physiques qui contrôlent la structure.

  Personne physique Personne morale
Périmètre KYC KYC + KYB
Identifiants requis État civil + document officiel KBIS + statuts + bénéficiaires effectifs
Référence CMF L561-5 L561-5 + L561-2-2

Enfin, nous pouvons également évoquer le concept de Know Your Supplier, où vous retrouverez généralement pas mal de similitudes sur les informations de contrôles réalisé dans le domaine de la connaissance des personnes morales. Dans ce cas, le champs d’action est focalisé sur les fournisseurs de l’entreprise, particulièrement important dans le cadre de Sapin 2 et de la lutte contre la corruption.

Cadre réglementaire applicable : CMF, AMLD6 et AMLR 20277

Les obligations KYB s’inscrivent dans un empilement de textes à quatre niveaux.

  1. Niveau national (CMF) : L561-5 impose l’identification du client personne morale et de son bénéficiaire effectif. L561-2-2 définit le bénéficiaire effectif ; le seuil de 25 % est fixé par l’article R.561-1. L561-5-1 impose la connaissance de la relation d’affaires. R.561-7 crée l’obligation autonome de consultation du registre des bénéficiaires effectifs depuis le 14 février 2020. L.561-47-1 impose le signalement des divergences au greffe.
  2. Niveau européen actuel (AMLD5) : transposée en droit français, elle constitue la base du dispositif RBE actuel.
  3. Niveau européen 2027 (paquet AMLR/AMLD6) : applicable au 10 juillet 2027. L’AMLR (règlement UE 2024/1624) est directement applicable aux assujettis. Il couvre la vigilance sur les personnes morales (art. 20-26), le bénéficiaire effectif (art. 51-52) et le LEI (art. 22). La directive AMLD6 (2024/1640) réforme l’accès au RBE post-arrêt CJUE. Ces textes sont quasi absents des contenus disponibles en français sur le sujet.
  4. Standard international (GAFI) : Recommandation 10 (vigilance clientèle) et Recommandation 24 (transparence des personnes morales).

Bénéficiaire effectif : le point de contrôle prioritaire du KYB

L’identification du bénéficiaire effectif n’est pas un complément du KYB, c’est son cœur. C’est la mesure que l’ACPR vérifie en priorité lors de ses contrôles, et celle sur laquelle elle sanctionne le plus régulièrement, comme le démontrent les décisions BMW Finance (2023) et AXA France Vie (2016).

Les 3 paliers de détermination (R.561-1 à R.561-3-0 CMF)

Le CMF organise la détermination du bénéficiaire effectif en trois paliers successifs, alignés sur la Recommandation 24 du GAFI. Ils doivent être parcourus dans l’ordre, sans sauter d’étape.

  • Palier i, détention du capital ou des droits de vote : toute personne physique détenant directement ou indirectement plus de 25 % du capital ou des droits de vote est bénéficiaire effectif.
  • Palier ii, contrôle effectif par d’autres moyens : si aucune personne physique n’est identifiable au palier i, l’assujetti recherche un contrôle effectif par d’autres moyens (contrôle de fait, accord entre actionnaires, droit de nommer ou de révoquer les dirigeants au sens de l’article L.233-3 3° et 4° du code de commerce).
  • Palier iii, membre de l’organe de direction par défaut : si les paliers i et ii n’aboutissent pas, le membre de l’organe de direction est retenu comme bénéficiaire effectif par défaut.

Deux points opérationnels à retenir absolument.

D’abord, le palier iii est un dernier recours, pas une option de facilité. L’EBA/GL/2021/02 impose trois conditions cumulatives pour l’utiliser : l’incapacité à identifier la personne physique ne suscite pas de soupçon, la raison avancée est plausible, le choix est documenté. Utiliser le dirigeant comme bénéficiaire effectif par défaut sans avoir réellement parcouru les paliers i et ii, c’est un manquement.

Ensuite, une personne morale interposée n’est jamais elle-même un bénéficiaire effectif. C’est une structure à traverser pour remonter jusqu’à une personne physique.

BE ≠ représentant légal : l’erreur de concept qui invalide le dispositif

Une erreur fréquente, y compris dans des contenus largement diffusés sur le sujet, consiste à présenter le Know Your Business comme l’identification du représentant légal de l’entreprise. Cette présentation est inexacte au sens LCB-FT.

La distinction est fondamentale.

Le représentant légal est la personne habilitée à agir au nom de la société, le président d’une SAS, le gérant d’une SARL, le signataire des contrats.

Le bénéficiaire effectif est la personne physique qui contrôle la société en dernier ressort, au sens de l’article L561-2-2 CMF, celle qui détient plus de 25 % du capital ou des droits de vote, ou qui exerce un contrôle effectif par d’autres moyens.

Les deux peuvent être la même personne mais bien souvent, ils ne le sont pas.

Un exemple concret : une SAS dont le président est un manager salarié sans participation au capital, et dont le bénéficiaire effectif réel est un actionnaire à 60 % qui ne signe jamais rien.

Si votre solution de screening se limite à l’identification du représentant légal, le bénéficiaire effectif est manqué. Le dispositif est défaillant, et c’est exactement le type de manquement que l’ACPR sanctionne.

À retenir : ne jamais utiliser « dirigeant » comme synonyme de bénéficiaire effectif, sauf dans le cas précis du palier iii.

Chaînes complexes : exemples de calcul du seuil 25 %

La difficulté opérationnelle principale des équipes conformité n’est pas de connaître le principe du seuil à 25 %, c’est de savoir le calculer quand la chaîne de détention comporte plusieurs niveaux.

Trois exemples de calcul à titre d’illustration. Les principes ci-dessous sont applicables par analogie à l’ensemble des assujettis ; ils s’inscrivent dans la logique de la position-recommandation AMF DOC-2019-16 (PSI et sociétés de gestion).

  1. Exemple 1, deux niveaux de détention : l’actionnaire 5 détient indirectement 50 % de l’actionnaire 1, qui détient 66 % du capital du client. Participation indirecte de l’actionnaire 5 : 50 % × 66 % = 33 %. Seuil 25 % franchi, bénéficiaire effectif identifié au palier i.
  2. Exemple 2, actionnariat flottant : aucun actionnaire individuel ne dépasse 1 % via la chaîne de détention. Aucune personne physique n’est individuellement qualifiable au palier i, passage au palier ii (recherche d’un contrôle effectif par d’autres moyens).
  3. Exemple 3, trois niveaux, personne physique la mieux placée à 13 % : pas de personne physique au palier i, bascule au palier ii selon L.233-3 3° et 4° du code de commerce, puis au palier iii si le palier ii n’aboutit pas non plus.

Deux obligations associées à bien distinguer.

L’identification du bénéficiaire effectif (R.561-5) consiste à relever nom, prénom, date et lieu de naissance, elle peut être effectuée oralement.

La vérification (R.561-7) exige la présentation d’un document écrit à caractère probant : rapport annuel, statuts, registre d’actionnariat, organigramme. La pièce d’identité du bénéficiaire effectif n’est pas exigée en principe, sauf en cas de doute ou de risque élevé.

Exception à noter : pour les sociétés dont les titres sont admis sur un marché réglementé, l’obligation d’identifier le bénéficiaire effectif ne s’applique pas (L.561-9 + R.561-8).

Cas particulier, trusts et fiducies. Les structures de type trust (droit anglo-saxon) ou fiducie (art. 2011 à 2030 du code civil) obéissent à des règles spécifiques : le constituant, le fiduciaire et les bénéficiaires doivent être identifiés.

Ces structures sont fréquentes dans les portefeuilles de gestion privée et banque privée. Leur traitement exige une procédure dédiée distincte du schéma en trois paliers.

Red flags : les signaux d’alerte à la lecture de la structure

Une chaîne de détention conforme sur le papier peut masquer un risque réel. Au-delà de l’identification, certains signaux doivent déclencher des diligences renforcées, voire un examen au titre de la déclaration de soupçon.

L’EBA/GL/2021/02 (§4.15-4.16) impose d’ailleurs de s’assurer qu’une structure de propriété n’est pas « excessivement complexe ou opaque » sans justification économique légitime, faute de quoi l’obligation de signalement est susceptible d’être déclenchée.

Les signaux les plus courants à intégrer dans un dispositif :

  • structure de détention opaque ou disproportionnée par rapport à l’activité réelle, sans justification économique (holdings empilées, juridiction offshore sans substance) ;
  • bénéficiaire effectif divergent des données du RBE, sans explication satisfaisante ;
  • société écran ou structure sans substance opérationnelle (pas de salariés, pas de locaux, objet social flou) ;
  • changements fréquents d’actionnariat ou de dirigeants, restructurations rapprochées sans logique économique ;
  • adresse de domiciliation partagée par un grand nombre de sociétés non liées ;
  • incohérence entre l’activité déclarée et les flux financiers observés ;
  • refus ou incapacité du client à documenter la chaîne de détention jusqu’à la personne physique.

Aucun de ces signaux n’impose à lui seul un refus. C’est leur combinaison, et l’absence de justification, qui fait basculer un dossier en vigilance renforcée. La décision ACPR Banque Delubac (2025) illustre le risque inverse : un portefeuille où 28,5 % des sociétés clientes n’avaient aucun bénéficiaire effectif identifié rendait le criblage structurellement impossible.

5 étapes pour mettre en place un dispositif KYB conforme

Ce déroulé s’applique à tous les assujettis visés par l’article L561-2 CMF, des banques aux PSAN. Les 5 étapes ne sont pas strictement chronologiques : elles s’enchaînent à l’entrée en relation, puis se poursuivent en continu pendant toute la durée de la relation d’affaires.

Étape 1 : Identification de la personne morale et de sa structure juridique

Avant d’attaquer la chaîne de contrôle, l’assujetti doit d’abord identifier la personne morale elle-même. Les éléments à collecter :

  • forme juridique et dénomination sociale
  • numéro d’immatriculation (KBIS de moins de 3 mois pour la France ; Companies House au Royaume-Uni, Handelsregister en Allemagne, etc.)
  • adresse du siège social et lieu de direction effective (les deux peuvent différer)
  • statuts à jour : objet, capital, organes de direction, modalités de prise de décision

L’identification (R.561-5) et la vérification (R.561-7) sont distinctes mais cumulatives. L’identification est déclarative ; la vérification est probante. L’une sans l’autre rend le dispositif incomplet.

Pour les structures étrangères : l’AMLR impose de vérifier les informations sur les bénéficiaires effectifs dans les registres nationaux du pays d’enregistrement, ou par d’autres moyens fiables.

Étape 2 : Identification et vérification des bénéficiaires effectifs

On reprend ici les 3 paliers décrits plus haut, cette fois sous forme opérationnelle.

  • Vérifier la chaîne de détention (statuts, registre d’actionnariat, pactes d’actionnaires) pour identifier toute personne physique détenant plus de 25 % directement ou indirectement.
  • À défaut, rechercher tout contrôle effectif par d’autres moyens : droit de nommer ou révoquer les dirigeants, accord entre actionnaires, contrôle de fait.
  • En dernier recours, retenir le membre de l’organe de direction comme bénéficiaire effectif par défaut, sous les 3 conditions cumulatives EBA (absence de soupçon, raison plausible, documentation).

À ne pas confondre avec l’étape suivante : la consultation du RBE est un point de contrôle supplémentaire, pas un raccourci qui dispense de la vérification documentaire interne.

Étape 3 : Consultation du RBE et signalement des divergences

Depuis le 14 février 2020, la consultation du registre des bénéficiaires effectifs est une obligation autonome, posée par l’article R.561-7 CMF. Ce n’est pas une option, même si l’assujetti dispose déjà d’un dispositif de vérification des bénéficiaires effectifs. La décision ACPR BMW Finance (2023) l’a confirmé sans ambiguïté.

L’assujetti doit recueillir un extrait pertinent du RBE, tenu par les greffes des tribunaux de commerce, pour toute personne morale cliente.

Si les informations obtenues du client divergent des données du RBE, l’assujetti doit signaler la divergence au greffe compétent (L.561-47-1). Ce signalement est actif : la simple notation au dossier client est insuffisante.

Quelques limites pratiques à connaître : la qualité des données déclarées au RBE est hétérogène, les délais de mise à jour variables, et l’accès difficile pour certaines formes juridiques (associations, fondations, fonds de dotation). Ces difficultés n’exonèrent pas de l’obligation, la jurisprudence BMW Finance l’a dit explicitement.

Étape 4 : Screening des bénéficiaires effectifs et évaluation du risque

La connaissance des entreprises ne s’arrête pas à l’identification. Une fois les bénéficiaires effectifs identifiés et vérifiés, ils doivent être screenés contre :

  • les listes de gel des avoirs (CSNU, UE, national, art. L562-1 et suivants CMF)
  • les listes PPE (Recommandation 12 GAFI, R.561-18 CMF)
  • les médias défavorables (adverse media)

L’article L.562-4-1 CMF impose à l’ensemble des personnes mentionnées à l’article L561-2 de mettre en place une organisation et des procédures internes de gel des avoirs, y compris l’interdiction de contournement.

Le filtrage LCB-FT doit porter sur les bénéficiaires effectifs des personnes morales, par participation au capital et par contrôle (EBA/GL/2024/15 §18, critères de l’art. 3§6 de la directive 2015/849), et sera renforcé par l’AMLR (art. 20-26) à compter du 10 juillet 2027.

Le screening des bénéficiaires effectifs alimente ensuite l’évaluation du risque global de la personne morale cliente :

  • Risque inhérent (avant atténuation) : forme juridique, secteur d’activité, zone géographique, structure de détention, présence de PPE ou de personnes sous sanctions parmi les bénéficiaires effectifs.
  • Risque résiduel (après mesures d’atténuation) : conditionne le niveau de vigilance appliqué, simplifiée, standard ou renforcée.

Sur le plan méthodologique, une solution KYB mature combine deux mécanismes complémentaires plutôt que d’en opposer un à l’autre.

La classification discriminante repose sur des règles binaires : si un bénéficiaire effectif figure sur une liste de gel des avoirs ou si la structure relève d’un pays sous contre-mesures du GAFI, la décision est immédiate et non négociable, sans pondération possible. Le scoring par pondération, lui, attribue des points de risque à plusieurs critères (pays, secteur, opacité de la structure, présence de PPE), agrège un risque brut, applique les mesures d’atténuation, et produit un risque net qui détermine le niveau de diligences.

Les cas absolus relèvent du premier mécanisme ; la graduation du risque sur le reste du portefeuille relève du second. Réduire le KYB à des règles binaires (tout partenaires commerciaux hors UE en risque élevé, par exemple) produit un dispositif inexploitable et des faux positifs en masse ; le réduire à un score gomme les interdictions non négociables. C’est l’articulation des deux qui est défendable en contrôle.

Pour aller plus loin sur les listes applicables par pays, BeCLM propose une carte interactive des listes PPE et une carte interactive des sanctions disponibles librement.

Quand les mesures de diligences révèlent une anomalie : une structure opaque sans justification, un bénéficiaire effectif divergent du RBE sans explication satisfaisante, une activité déclarée incohérente avec les opérations observées, autant de situations qui doivent conduire à évaluer si une déclaration de soupçon à Tracfin (L.561-15 CMF) est justifiée.

Étape 5 : Monitoring continu et déclencheurs de mise à jour

La structure de détention d’une personne morale évolue. Cessions de parts, changements de dirigeant, restructurations, fusions, autant d’événements qui peuvent modifier le profil de bénéficiaire effectif sans que l’assujetti en soit spontanément informé.

L’obligation de vigilance constante posée par l’article L561-6 CMF impose de maintenir le dossier KYB à jour tout au long de la relation.

  • Les déclencheurs typiques d’une mise à jour du KYB :
  • modification de l’actionnariat (cession de parts, augmentation de capital, entrée d’un nouvel investisseur)
  • changement de dirigeants ou de représentants légaux
  • restructuration juridique (fusion, scission, apport partiel d’actifs)
  • opération significative (versement complémentaire, rachat, garantie consentie)
  • apparition d’un signal de risque (sanctions, PPE, adverse media, échange fiscal)
  • échéance périodique selon le niveau de risque (annuelle pour risque élevé, triennale pour risque faible, par exemple)

La décision ACPR AXA France Vie (2016) a posé un principe clair : l’obligation d’identifier et de vérifier l’identité du bénéficiaire effectif se renouvelle à l’occasion des opérations significatives en cours de vie du contrat, pas seulement à l’entrée en relation.

Conservation des pièces. L’article L561-12 CMF impose la conservation pendant 5 ans de l’ensemble des pièces justificatives relatives à l’identification et à la vérification du bénéficiaire effectif, à compter de la fin de la relation d’affaires ou de l’opération.

L’absence de pièce au dossier vaut absence de diligence pour l’ACPR. Ce principe, établi dans la décision AXA France Vie, s’applique aussi bien à l’entrée en relation qu’aux révisions périodiques.

C’est ici que le KYT (Know Your Transaction) joue un rôle clé : la surveillance des transactions alimente en temps réel les déclencheurs de mise à jour du KYB. KYC, KYB et KYT forment un processus continu, pas trois dispositifs indépendants.

Jurisprudence ACPR : ce que les contrôles révèlent sur le KYB

L’ACPR sanctionne régulièrement des manquements KYB. Deux décisions structurent la doctrine et fixent ce que l’autorité attend concrètement des assujettis.

BMW Finance (2023) : l’obligation autonome de consultation du RBE

Décision ACPR n°2022-04, prononcée le 20 avril 2023, grief 2.

Les faits. BMW Finance n’a demandé l’accès au RBE qu’en novembre 2020, soit neuf mois après l’entrée en vigueur de l’obligation R.561-7 CMF le 14 février 2020. L’accès n’a été validé qu’en décembre 2020. Un mode opératoire de consultation n’a été formalisé qu’en mars 2022, soit plus de deux ans après la date d’obligation.

La sanction. Blâme et 500 000 €. La spécificité du portefeuille retail de BMW Finance (99,5 % de dossiers classés à risque faible) a été retenue comme facteur atténuant. Sa qualité de filiale d’un groupe international a constitué un facteur aggravant.

Trois enseignements à retenir.

  1. Premier enseignement : les lignes directrices de l’ACPR ne peuvent pas contredire l’obligation légale. BMW Finance arguait que les LD ACPR du 16 décembre 2021 qualifiaient la consultation du RBE d' »élément d’aide important ». La Commission a rejeté l’argument : une qualification dans une ligne directrice ne peut pas exonérer d’une obligation réglementaire. La loi prime.
  2. Deuxième enseignement : disposer d’un dispositif antérieur de vérification des bénéficiaires effectifs ne dispense pas de consulter le RBE. L’obligation R.561-7 a un objet autonome, permettre de vérifier les informations obtenues par d’autres moyens et de signaler les divergences au greffe. Les deux obligations coexistent, elles ne se substituent pas l’une à l’autre.
  3. Troisième enseignement : les difficultés d’accès au RBE ne justifient pas le retard. L’argument a été écarté par la Commission sans développement particulier.

AXA France Vie (2016) : l’actualisation du bénéficiaire effectif en cours de vie

Décision ACPR n°2015-08, prononcée le 8 décembre 2016, grief 5.

Les faits. AXA France Vie n’a pas actualisé l’identification des bénéficiaires effectifs de plusieurs clients personnes morales en cours de vie du contrat. Sur 8 dossiers examinés, la Commission a retenu le manquement dans 5 cas.

La sanction. Blâme et 2,5 millions d’euros, pour 13 griefs au total.

Quatre enseignements sur le bénéficiaire effectif.

  • Un versement complémentaire ou un rachat partiel déclenche l’obligation de vérifier que les informations sur le bénéficiaire effectif sont actualisées. L’opération significative en cours de vie n’est pas une simple transaction, c’est un point de contrôle.
  • Un extrait K-bis récent, sans vérification que la répartition du capital n’a pas été modifiée depuis les statuts détenus, est insuffisant. La fraîcheur du document ne remplace pas la vérification du fond.
  • Pour une société coopérative avec clause statutaire limitant la participation à 0,5 % du capital, donc aucun bénéficiaire effectif identifiable au palier i, la recherche d’un contrôle de fait sur les organes de direction reste obligatoire. Le palier ii ne s’applique qu’après avoir vérifié l’absence de palier i, même quand la structure rend ce résultat évident.
  • La dissolution d’une société cliente impose d’identifier le bénéficiaire effectif de la structure cessionnaire avant la première opération suivant la dissolution.

Un rappel doctrinal important. L’obligation R.561-7 CMF d’être « en mesure de justifier ses diligences auprès des autorités de contrôle » signifie que la trace de la vérification doit être présente au dossier, pas seulement que la vérification a été faite. L’absence de documentation vaut absence de diligence.

Les 5 manquements que l’ACPR sanctionne

  1. Absence de consultation autonome du RBE. Ne pas accéder au registre, même en disposant d’un dispositif propre de vérification des bénéficiaires effectifs. L’obligation R.561-7 a un objet autonome : les deux coexistent. (BMW Finance, 2023)
  2. Absence d’actualisation du BE en cours de vie. Ne pas réviser le bénéficiaire effectif lors d’opérations significatives (versement, rachat, restructuration). L’obligation ne se limite pas à l’entrée en relation. (AXA France Vie, 2016)
  3. Utilisation abusive du palier iii. Retenir le dirigeant comme bénéficiaire effectif par défaut sans avoir réellement parcouru les paliers i et ii, et sans en documenter les raisons. Le palier iii est un dernier recours, pas une commodité. (EBA/GL/2021/02)
  4. Documentation insuffisante. L’absence de trace de la vérification au dossier vaut absence de diligence devant l’ACPR. Avoir fait la vérification ne suffit pas : il faut pouvoir le prouver.
  5. Confondre dispositif de sécurité et dispositif LCB-FT. Détecter des faux documents à l’onboarding est un contrôle fraude. Ce n’est pas vérifier qui contrôle réellement la structure cliente. Les deux obligations sont distinctes et cumulatives. (Treezor, 2024)

AMLR 2027 et AMLD6 : ce qui change pour la connaissance des personnes morales

Le paquet AMLR/AMLD6 entre en application le 10 juillet 2027. Pour les assujettis, deux changements majeurs sont à anticiper dès maintenant : l’évolution du seuil bénéficiaire effectif et la réforme de l’accès au registre des bénéficiaires effectifs.

Seuil BE 25 % / 15 % et identifiant LEI

L’AMLR (Règlement UE 2024/1624) apporte plusieurs évolutions sur le bénéficiaire effectif.

  • Art. 2§1 point 28 : confirme la définition harmonisée du bénéficiaire effectif comme « toute personne physique qui, en dernier ressort, détient ou contrôle une entité juridique ». Aucun changement de fond pour les assujettis français, le droit national était déjà aligné.
  • Art. 51 : confirme le seuil standard à 25 % du capital ou des droits de vote. Là encore, continuité avec le droit français en vigueur.
  • Art. 52 : c’est la nouveauté à surveiller. La Commission européenne ou les États membres pourront abaisser ce seuil à 15 % pour les secteurs présentant un risque BC-FT plus élevé. C’est une faculté, pas une obligation. La France devra se positionner lors de la transposition de l’AMLD6 ou par voie réglementaire nationale. Aucune décision n’a encore été rendue publique à ce jour.
  • Art. 22 : introduit le LEI (Legal Entity Identifier) comme outil potentiel de rattachement standardisé des personnes morales à leurs bénéficiaires effectifs dans les registres nationaux. Les modalités seront définies par les actes d’exécution de l’ALBC. À surveiller pour les outils KYB : la capacité à intégrer le LEI comme identifiant pivot pourrait devenir un critère de sélection.

Pour les structures enregistrées dans des pays tiers : l’AMLR pose explicitement l’obligation de vérifier les informations sur les bénéficiaires effectifs dans les registres nationaux de ces pays ou par d’autres moyens fiables. Ce qui était une bonne pratique devient une exigence formelle.

Réforme de l’accès au RBE post-CJUE 2022

La chaîne juridique se comprend en deux temps.

L’arrêt CJUE C-37/20 et C-301/20 (novembre 2022) a annulé l’obligation AMLD5 d’accès public universel au RBE, jugée incompatible avec les droits fondamentaux à la vie privée et à la protection des données personnelles. Du jour au lendemain, plusieurs États membres ont fermé l’accès public à leurs registres.

L’AMLD6 Art. 12 (Directive UE 2024/1640) tire les conséquences de cet arrêt et remplace l’accès public universel par un régime à trois niveaux :

  • Accès sans restriction : autorités compétentes et CRF, Tracfin en France.
  • Accès dans le cadre de la vigilance clientèle : toutes les entités assujetties, pour les besoins du KYB.
  • Accès sur intérêt légitime : personnes physiques ou morales le démontrant.

Les données accessibles a minima : nom, mois et année de naissance, pays de résidence, nationalité du bénéficiaire effectif, nature et étendue des intérêts détenus.

La transposition française était due avant le 10 juillet 2025. L’échéance est passée, la France a dû modifier son dispositif RBE en conséquence.

À noter également : l’AMLD6 Art. 16 impose l’interconnexion européenne des registres nationaux via le système BRIS/BORIS. La France doit notifier à la Commission la liste des autorités et entités assujetties ayant accès à son registre avant le 10 octobre 2026.

Point de stabilité important : la réforme porte sur les conditions d’accès au RBE, pas sur les obligations des assujettis. L’obligation de consultation (R.561-7) et l’obligation de signalement des divergences (L.561-47-1) restent applicables indépendamment.

Spécificités sectorielles du KYB

Tous les assujettis visés par l’article L561-2 CMF sont concernés par le KYB. Mais les obligations pratiques et les points de vigilance varient selon le secteur. Les obligations de fond sont les mêmes pour tous, les points de vigilance varient selon le secteur.

Secteur Obligations KYB spécifiques Point de vigilance clé
Banque / Crédit Identification BE + consultation RBE + monitoring continu Structures holdings complexes, chaînes internationales, sociétés écran
Assurance non-vie Sur souscripteur PM + gel des avoirs sur tiers Obligation de résultat sur le gel des avoirs : le secteur non-vie n’est pas exonéré (Mutuelle de Poitiers Assurances, n°2022-06, 2023)
Assurance vie / capitalisation Sur souscripteur ET sur bénéficiaire du contrat sans que le souscripteur le soit Le bénéficiaire du contrat peut être PPE
Fintech / EME / PSP contrôle renforcé sur clients commerçants (BaaS, agents, distributeurs) Détecter des faux documents n’est pas vérifier la structure de contrôle (Treezor, 2024)
PSAN / Crypto-actifs Obligations identiques aux PSCA + travel rule Pseudonymat, transactions transfrontalières rapides
Immobilier (EPNFD) Filtrage acheteur + vendeur + BE en cas de PM Personnes publiques (élus, fonctionnaires) hors définition PPE : appréciation individuelle du risque requise
Marchand d’art Procédures internes (arrêté du 24 juin 2019) Critères client PP/PM, opérations, caractéristiques de l’objet

Trois secteurs méritent un développement particulier.

Banque. L’intégration du KYB à l’onboarding se fait majoritairement via API, avec un paramétrage multicritère du screening des bénéficiaires effectifs.

La densité de la chaîne de contrôle, holdings internationaux, sociétés-écrans, structures à plusieurs niveaux, est le premier facteur de complexité et d’alerte. La volumétrie impose une automatisation solide, mais chaque décision doit rester justifiable.

Assurance vie. Le KYB porte à la fois sur le souscripteur personne morale et sur le bénéficiaire désigné du contrat. Ces deux personnes peuvent avoir des profils de risque très différents.

La décision AXA France Vie (2016) a établi que l’actualisation en cours de vie du contrat est obligatoire et sanctionnée si négligée, une opération de versement ou de rachat suffit à déclencher l’obligation de révision.

Fintech / EME. Le modèle BaaS (Banking as a Service) crée une responsabilité étendue sur les commerçants, agents et distributeurs qui utilisent l’infrastructure.

La décision ACPR Treezor (2024) l’a rappelé : la fraude documentaire détectée à l’onboarding ne constitue pas un dispositif LCB-FT. Identifier que des documents sont faux est un contrôle de sécurité ; vérifier qui contrôle réellement la structure cliente en est un autre.

Choisir un outil KYB : critères clés

Le marché des solutions de vérification et connaissance des personnes morales est hétérogène. Couverture des registres, qualité des données, capacité à traiter les chaînes complexes, intégration dans le parcours KYC existant : les écarts entre solutions sont réels, et se révèlent aussi bien dans l’usage quotidien qu’à l’occasion d’un contrôle. Cette section présente les critères d’évaluation essentiels.

Les critères essentiels d’évaluation

Couverture des registres. Combien de pays ? Quels registres officiels sont intégrés nativement, Infogreffe en France, Companies House au Royaume-Uni, Handelsregister en Allemagne ? Le marché des registres bénéficiaires effectifs européens est en cours de restructuration post-AMLD6 ; vérifier que la solution suit ces évolutions.

Fraîcheur des données. Pour les registres officiels, la fraîcheur dépend de la diligence des greffes. Pour les données enrichies, PPE, sanctions, adverse media, exiger une mise à jour quotidienne au minimum.

Traitement des chaînes de contrôle complexes. La solution remonte-t-elle automatiquement la chaîne de détention multi-niveaux jusqu’aux personnes physiques ? Calcule-t-elle le seuil de 25 % indirect ? C’est la difficulté principale des équipes conformité, une solution qui ne la traite pas force à des calculs manuels, source d’erreurs et de non-traçabilité.

Couverture des 3 paliers. La solution alerte-t-elle quand aucun bénéficiaire effectif au palier i n’est identifié ? Propose-t-elle un workflow pour les paliers ii et iii, avec documentation des conditions EBA ?
Intégration du screening. Le filtrage sanctions, PPE et adverse media sur les bénéficiaires effectifs est-il intégré dans le même dispositif, ou faut-il une seconde solution ?

Signalement L.561-47-1. La solution facilite-t-elle la détection des divergences entre les informations client et le RBE, et leur signalement au greffe ?

Conformité RGPD. Où sont hébergées les données ? Hébergement souverain sur le territoire français ou européen ?

Intégration API. Facilité d’intégration dans le parcours KYC existant et dans le SI, CRM, core banking, ERP.

Auditabilité. Chaque décision, bénéficiaire effectif retenu, paliers parcourus, sources consultées, est-elle tracée et exportable pour un contrôle ACPR ? C’est une exigence, pas un confort.

Modèle tarifaire. Tarification à l’usage, au volume de requêtes ou à l’abonnement fixe : le coût réel d’un outil KYB intègre aussi le coût de traitement des alertes et des faux positifs.

Questions à poser à votre fournisseur

Une grille de questions à intégrer dans une consultation (RFP) pour comparer les solutions sur le fond, et pas seulement sur la démo commerciale :

  1. Quels registres officiels intégrez-vous nativement, et dans combien de pays ? Comment suivez-vous la restructuration des RBE européens post-AMLD6 ?
  2. Remontez-vous automatiquement la chaîne de détention multi-niveaux et calculez-vous le seuil de 25 % indirect ?
  3. Que se passe-t-il quand aucun bénéficiaire effectif n’est identifiable au palier i ? Proposez-vous un workflow documenté pour les paliers ii et iii ?
  4. Le screening sanctions, PPE et adverse media des bénéficiaires effectifs est-il intégré, ou nécessite-t-il une seconde solution ?
  5. Quelle est la fréquence de mise à jour des données enrichies (sanctions, PPE, adverse media) ?
  6. Comment détectez-vous et facilitez-vous le signalement des divergences avec le RBE (L.561-47-1) ?
  7. Où sont hébergées les données ? Proposez-vous un hébergement souverain France ou UE ?
  8. Chaque décision (BE retenu, paliers parcourus, sources) est-elle tracée et exportable pour un contrôle ACPR ?

BeCLM centralise les données légales, financières et structurelles des personnes morales issues de registres officiels, Sirene, Bodacc, INPI, Infogreffe, RBE, ORIAS, y compris les informations sur les dirigeants et les bénéficiaires effectifs. Ces données alimentent un scoring dynamique, paramétré sur votre cartographie des risques et recalculé automatiquement à chaque changement détecté : modification de dirigeants, de capital, procédures collectives, nouvelles sanctions.

Le filtrage sanctions/GDA, PPE et médias négatifs couvre la personne morale et ses personnes liées. L’ensemble est traçable et justifiable en cas de contrôle ACPR, AMF ou Tracfin. Pour aller plus loin, demandez une démo BeCLM.

FAQ

Faut-il recueillir la pièce d’identité du bénéficiaire effectif ?

Pas en principe. L’identification du bénéficiaire effectif (nom, prénom, date et lieu de naissance) peut être recueillie oralement (R.561-5). La vérification (R.561-7) repose sur un document écrit à caractère probant : statuts, registre d’actionnariat, rapport annuel, organigramme. La pièce d’identité du bénéficiaire effectif n’est exigée qu’en cas de doute sur son identité ou de risque élevé.

Point souvent négligé, rappelé par la position AMF DOC-2019-16 : la seule consultation de bases de données privées ne suffit pas à vérifier l’identité du bénéficiaire effectif, même lorsqu’elles contiennent tous les éléments d’identification.

Un actionnaire détenant moins de 25 % peut-il être bénéficiaire effectif ?

Oui. Le seuil de 25 % (R.561-1) déclenche une présomption au palier i, mais il n’épuise pas la notion de contrôle.

Une personne sous le seuil peut être bénéficiaire effectif au titre du palier ii si elle exerce un contrôle effectif par d’autres moyens : pacte d’actionnaires lui conférant la majorité des droits de vote, droit de nommer ou de révoquer les dirigeants, contrôle de fait. Le seuil de 25 % est un point de départ, pas une limite haute du périmètre d’analyse.

Know Your Business et crypto-actifs (PSAN, PSCA) : quelles obligations ?

Les prestataires de services sur crypto-actifs sont des assujettis à part entière : mêmes obligations que les autres établissements financiers (identification de la personne morale cliente, remontée des bénéficiaires effectifs, screening).

S’y ajoute le travel rule (règlement UE 2023/1113), qui impose de joindre les informations d’identification du donneur d’ordre et du bénéficiaire à chaque transfert. À noter : la transition du régime national PSAN vers le régime européen PSCA (MiCA) prend fin le 30 juin 2026 ; les acteurs non agréés PSCA perdent le droit d’exercer après cette date.

Comment un assujetti accède-t-il au RBE depuis la restriction d’accès de 2024 ?

L’accès public universel a été supprimé après l’arrêt CJUE de novembre 2022, mais les entités assujetties conservent un accès au titre de la vigilance clientèle (deuxième niveau du régime AMLD6 art. 12).

Cet accès « métier » est distinct de l’accès « intérêt légitime » désormais exigé du grand public et de la presse. Pour un dispositif de contrôle, l’accès reste donc ouvert dans le cadre des diligences, ce qui ne dispense ni de la vérification documentaire interne, ni du signalement des divergences au greffe (L.561-47-1).

A propos de l'auteur

Après une carrière dans des agences conseil en communication, Olivier a rejoint BeCLM en 2021. Depuis il est charge de la production de contenu avec le souci constant de répandre la bonne parole de l'entreprise et de répondre à de vrais enjeux métier.