Logiciel KYC : guide comparatif 2026

« Logiciel KYC » est devenu un terme flou. Une bonne partie du marché l’emploie comme synonyme de vérification d’identité : un scan de pièce d’identité, une correspondance biométrique, un score de fraude documentaire. L’IDV est une brique du KYC, pas son équivalent.

Un logiciel KYC outille la connaissance client de bout en bout : recueil des informations, classification des risques, screening PPE et sanctions, vigilance dans le temps, piste d’audit. L’IDV alimente ce dispositif en entrée, elle ne le remplace pas.

Cet article compare les solutions KYC disponibles sur ce périmètre complet. Pas de classement imposé : le bon outil dépend de votre cartographie des risques. On détaille ce que chaque solution couvre, ce qu’elle ne couvre pas, et ce que l’ACPR sanctionne quand ce périmètre est mal outillé.

Résumé : notre sélection des meilleurs logiciels KYC en 2026

Cinq solutions reviennent dans les recherches sur le KYC en France. Elles ne couvrent pas le même périmètre : certaines vérifient l’identité, une autre orchestre des vérifications tierces sans opérer les siennes, une seule couvre la classification des risques et la vigilance LCB-FT de bout en bout.

  • BeCLM : plateforme de connaissance client et de conformité LCB-FT (classification hybride scoring et règles discriminantes, screening PPE, sanctions et médias, vigilance continue, piste d’audit non modifiable). N’opère pas l’IDV, exploite des données d’identité en entrée.
  • Sumsub : plateforme de vérification d’identité étendue au screening AML (opéré avec les données ComplyAdvantage), au scoring de risque et à la surveillance transactionnelle. Le cœur du produit reste la vérification (utilisateur, entreprise, document).
  • Ondorse : orchestrateur d’onboarding et de KYB pour les équipes opérations. Automatise workflows et gestion de dossiers en connectant des fournisseurs tiers (IDnow, ComplyAdvantage, Moody’s) plutôt qu’en opérant ses propres contrôles d’identité ou données de filtrage.
  • IDnow : spécialiste de la vérification d’identité (vidéo, document, biométrie) et des services de confiance (signature électronique). Le screening AML existe en option, avec un re-screening continu des listes ; la classification des risques et la revue périodique du dossier client ne font pas partie du périmètre.
  • Clustdoc : plateforme de collecte documentaire et de workflow d’onboarding client. Le KYC y est traité comme un processus de gestion de dossier, pas comme une évaluation du risque.

Retrouvez le détail complet de ce comparatif plus bas dans l’article : découvrir notre top des logiciels KYC →

Qu’est-ce qu’un logiciel KYC (et ce qu’il n’est pas)

La confusion dominante du marché tient en une phrase : logiciel KYC est trop souvent employé comme synonyme de logiciel de vérification d’identité.

Les paragraphes qui suivent posent une définition plus précise, et distinguent trois catégories d’outils qu’on retrouve mélangées dans la plupart des comparatifs.

Définition : outiller la connaissance client, pas seulement vérifier une identité

Le KYC désigne l’ensemble des dispositifs qui permettent à un assujetti de recueillir les informations sur un client et de les actualiser dans le temps. En découlent l’évaluation du profil de risque, l’adaptation des mesures de vigilance, et la traçabilité de chaque décision.

Le Code monétaire et financier ne définit pas le KYC en tant que tel. Il pose les obligations que ce terme recouvre dans la pratique : identification du client et vérification de son identité (L561-5), connaissance de l’objet et de la nature de la relation d’affaires (L561-5-1), classification des risques (L561-4-1), vigilance constante (L561-6). La Recommandation 10 du GAFI, sur la vigilance relative à la clientèle, pose le même socle au niveau international.

Le KYC n’est pas l’IDV. La vérification d’identité contrôle qu’une personne est bien celle qu’elle prétend être : un contrôle ponctuel, à l’entrée en relation. Le KYC couvre un périmètre plus large et continu : la connaissance du client se construit avant l’entrée en relation, se documente pendant, et se réévalue tout au long de la relation d’affaires.

Logiciel KYC, logiciel IDV, logiciel LCB-FT : trois catégories à ne pas confondre

Trois catégories de logiciels se recoupent dans les résultats de recherche, sans être équivalentes.

Le logiciel IDV vérifie l’identité d’une personne : lecture de document, biométrie, parcours vidéo (PVID). C’est un contrôle technique, borné dans le temps, réalisé à l’entrée en relation ou lors d’un contrôle ponctuel.

Un logiciel KYC, lui, outille la connaissance client dans sa globalité : recueil des informations, classification des risques, screening PPE et sanctions, vigilance dans la durée, documentation de chaque décision.

Enfin, le logiciel LCB-FT couvre le dispositif réglementaire complet : le KYC, le filtrage des sanctions, la surveillance des transactions, la détection des signaux faibles, la déclaration de soupçon à Tracfin, la formation des équipes. Le KYC est un prérequis du dispositif LCB-FT, pas son équivalent.

Ces trois catégories s’emboîtent.

Périmètre Ce que l’outil fait Ce que l’outil ne fait pas
Logiciel IDV Vérifie l’identité d’une personne : contrôle de document (CNI, passeport), biométrie, parcours PVID. N’évalue pas le profil de risque du client, ne filtre pas les sanctions ni les PPE, n’assure pas la vigilance dans le temps.
Logiciel KYC Outille la connaissance client de bout en bout : recueil et actualisation des informations, classification des risques, screening PPE, sanctions et médias, vigilance constante, piste d’audit. Ne vérifie pas l’identité en propre lorsque le produit n’intègre pas d’IDV. Ne couvre pas le monitoring transactionnel ni la déclaration de soupçon.
Logiciel LCB-FT Couvre le dispositif complet : KYC, filtrage des sanctions, surveillance des transactions (KYT), détection de signaux faibles, déclaration de soupçon à Tracfin, formation des équipes. Rien n’est exclu par nature : c’est le périmètre le plus large. Mais toutes les solutions vendues comme LCB-FT ne couvrent pas effectivement ces cinq briques.

Un terme revient dans les trois catégories sans y avoir de case dédiée : le Know Your Business (KYB).

Ce n’est pas une quatrième catégorie de logiciel, mais un axe transversal : la même mécanique de connaissance client, appliquée à une personne morale plutôt qu’à une personne physique (vérification du représentant légal, identification des bénéficiaires effectifs, contrôle de l’existence et de la situation juridique de l’entreprise).

Un logiciel KYC qui traite des relations d’affaires avec des personnes morales fait nécessairement du KYB, qu’il le nomme ainsi ou non. C’est le cas de plusieurs solutions comparées plus loin dans cet article.

Les cinq fonctions d’un logiciel KYC complet

Cinq fonctions structurent un logiciel KYC complet.

  1. Identification et vérification de l’identité (IDV), en amont.
  2. Classification des risques : évaluation du profil client par scoring pondéré, par règles discriminantes, ou par une combinaison des deux.
  3. Screening : filtrage du client et de ses bénéficiaires effectifs contre les listes de sanctions, les PPE, les médias défavorables.
  4. Vigilance constante : revue périodique et événementielle du dossier, pour que la connaissance du client reste à jour pendant toute la relation d’affaires.
  5. Piste d’audit : traçabilité de chaque décision (classification, qualification d’alerte, clôture), avec conservation cinq ans.

Ces cinq fonctions ne pèsent pas le même poids selon les solutions du marché. Le comparatif plus loin détaille qui couvre quoi.

Pour approfondir ce panorama, notre livre blanc KYC développe les exigences réglementaires brique par brique et les critères de choix d’une solution.

livre blanc guide kyc

Pourquoi un tableur ou un CRM ne suffisent pas

Un tableur ou un CRM généraliste peuvent recueillir des informations client.

Ils ne sont pas conçus pour prouver, à la demande d’un contrôleur, que ces informations ont été traitées conformément à la loi. C’est une question de conformité.

Ce que l’ACPR attend d’un dispositif KYC outillé

L’ACPR n’exige pas un logiciel en particulier. Elle exige trois choses, quel que soit l’outil utilisé pour les satisfaire.

Une classification des risques formalisée et justifiable (L561-4-1) : l’assujetti doit pouvoir présenter les critères retenus (produits, canaux, clients, zones géographiques) et démontrer que le niveau de risque attribué à chaque client en découle, plutôt que d’un jugement non documenté.

Une vigilance proportionnée et actualisée dans le temps (L561-6) : le niveau de contrôle doit suivre le niveau de risque, et le profil du client doit être réévalué à mesure que sa situation évolue, pas figé à l’entrée en relation.

La conservation des pièces pendant cinq ans (L561-12) : documents d’identification, justificatifs, mesures de vigilance mises en œuvre.

Un tableur ou un CRM généraliste peuvent stocker ces informations. Ils ne peuvent pas démontrer que la classification a été appliquée de façon cohérente sur l’ensemble du portefeuille, ni reconstituer l’historique d’une décision sans intervention manuelle. C’est là que se loge l’écart avec l’exigence d’auditabilité.

L’auditabilité : rejouer un filtrage et tracer chaque décision

Rejouer un filtrage dans ses conditions exactes veut dire : reconstituer, à une date donnée, la liste de sanctions utilisée, les seuils de détection appliqués, et le résultat obtenu à ce moment-là. Un contrôleur ne demande pas seulement le résultat actuel d’un filtrage : il demande de prouver ce qu’il donnait six mois plus tôt, avec les paramètres d’alors.

C’est une exigence de conformité. Un tableur ne conserve pas de version des listes utilisées ni des seuils appliqués à chaque date. Un CRM généraliste trace des interactions commerciales, pas des décisions de conformité.

La même exigence porte sur chaque décision individuelle : pourquoi une alerte a été qualifiée de faux positif, pourquoi un dossier a été clos, pourquoi une diligence renforcée n’a pas été déclenchée. Ces décisions doivent être horodatées et non modifiables a posteriori : une piste d’audit, pas un historique éditable.

Chez BeCLM, cette fonction est portée par le PCR™ (Personal Control Result), qui historise chaque contrôle, chaque paramétrage et chaque qualification d’alerte sans possibilité de modification ultérieure.

Ce que révèlent les sanctions ACPR récentes

Deux décisions de l’ACPR illustrent ce que coûte un KYC mal outillé.

En 2016, l’ACPR sanctionne AXA France Vie (blâme et 2,5 millions d’euros, décision n°2015-08). La classification des risques reposait sur des seuils de versement fixes (150 000 et 500 000 euros), sans rapport avec le montant moyen réel des clients, très inférieur à 50 000 euros. L’identification des bénéficiaires effectifs n’était pas renouvelée lors des opérations significatives : des Kbis anciens, sans vérification de l’actionnariat à jour, ont été jugés insuffisants dans 5 dossiers sur 8. Et des examens renforcés obligatoires n’avaient pas été déclenchés sur des opérations atypiques de bons de capitalisation au porteur.

En 2024, l’ACPR sanctionne Treezor (blâme et 1 million d’euros, décision n°2022-07). Le modèle de notation attribuait un niveau de risque faible ou moyennement faible à 99,8 % des clients, sans tenir compte des risques propres au modèle Banking-as-a-Service. La surveillance automatisée se limitait aux virements SEPA, laissant 8,81 % des flux hors périmètre, avec des seuils d’alerte à 10 000 et 50 000 euros pour une transaction moyenne de 52 euros. La Commission précise enfin que les défaillances des agents dans la collecte KYC ne constituent pas une circonstance atténuante pour l’établissement qui s’appuie sur eux.

Le point commun aux deux dossiers : un paramétrage déconnecté des montants réels du portefeuille. Des seuils fixés sans regarder la transaction ou le versement moyen produisent une classification et une surveillance qui ne détectent rien, et ce constat se lit dans l’outil lors d’un contrôle.

Les fonctions à exiger d’un logiciel KYC

Les cinq fonctions identifiées plus haut ne sont pas une liste de fonctionnalités parmi d’autres : c’est le processus KYC complet à opposer à tout éditeur qui se présente comme une solution pertinente.

Recueil et connaissance de la relation d’affaires

Le recueil est la première brique opérationnelle : il alimente toutes les autres. Un logiciel KYC doit structurer la collecte de quatre types d’informations : l’identité du client et de ses bénéficiaires effectifs, l’objet et la nature de la relation d’affaires (L561-5-1), l’origine des fonds, et le profil socio-économique.

L’identité se recueille en entrée, via une IDV ou une pièce justificative. Le profil socio-économique couvre l’activité, la zone géographique et le canal de distribution.

Ces informations ne sont pas figées à l’entrée en relation. L’article R561-12 impose de les recueillir, de les mettre à jour et de les analyser pendant toute la durée de la relation, avec une fréquence adaptée au risque présenté.

La qualité de la donnée collectée à ce stade conditionne tout ce qui suit. Un screening appliqué à une identité mal orthographiée ou incomplète génère plus de faux positifs et laisse passer plus de vrais positifs. Une classification des risques construite sur un profil socio-économique approximatif produit un score qui ne reflète pas le risque réel. Le recueil est la fondation du dispositif.

Classification des risques : scoring par pondération et règles discriminantes

La classification des risques combine deux méthodes, qui répondent à deux logiques différentes.

Le scoring par pondération attribue des points à plusieurs critères (géographie, profil client, produit, canal de distribution, montant de l’opération) sans qu’aucun ne soit déterminant à lui seul. Cette pondération produit un risque brut. Des mesures d’atténuation (paiement tracé, screening clean, produit à faible risque) viennent ensuite réduire ce score : le résultat est un risque net, qui détermine le niveau de vigilance à appliquer (simplifiée, standard ou renforcée).

La classification discriminante fonctionne à l’inverse : une règle binaire, où un seul critère déclenche une décision sans pondération du contexte. Elle s’impose pour les cas où aucune nuance n’est tolérée : personne sous gel des avoirs, entité sur la liste noire du GAFI, opération sous embargo.

Les deux méthodes sont complémentaires. Utiliser la règle binaire sur l’ensemble d’un portefeuille produit des faux positifs massifs et sature les équipes d’analystes. Utiliser uniquement le scoring sur les cas absolus expose à un grief de défaut de proportionnalité au regard de l’article L561-4-1. La bonne pratique, peu formalisée chez les éditeurs du marché, consiste à réserver la règle binaire aux interdictions absolues, et à traiter le reste du portefeuille par scoring multicritère. Nous détaillons cette articulation dans notre page dédiée : classification discriminante et scoring par pondération.

Screening PPE, sanctions et médias défavorables

Le screening filtre le client et ses bénéficiaires effectifs contre trois types de listes : les listes de gel des avoirs et de sanctions (ONU, UE, OFAC, listes nationales), les personnes politiquement exposées, et les médias défavorables. Gel des avoirs, sanctions et embargos sont trois régimes distincts, avec des logiques et des listes différentes : un logiciel qui les traite comme un bloc unique manque la nuance. Le fonctionnement du filtrage est détaillé dans notre page filtrage des sanctions.

La qualité du matching conditionne l’utilité du screening. Un appariement fondé sur l’exact matching seul est jugé inadapté par les autorités de supervision : translittérations, alias, variations orthographiques échappent à une correspondance stricte. Le fuzzy matching, documenté et paramétrable, réduit le risque de faux négatifs, au prix d’un volume de faux positifs à gérer en aval (voir notre page sur la gestion des faux positifs).

Faux positif, vrai positif et alerte légitime ne sont pas synonymes, et le screening ne tranche pas entre eux : il détecte, il ne décide pas. La qualification de chaque alerte reste une étape distincte, documentée, qui alimente la vigilance sans la remplacer.

Vigilance constante et remédiation

La connaissance client n’est pas un acquis figé à l’entrée en relation. L’article L561-6 impose une vigilance constante pendant toute la durée de la relation d’affaires, avec un examen des opérations cohérent avec le profil actualisé du client.

Deux mécanismes structurent cette vigilance dans le temps. La revue périodique réévalue le dossier à intervalle régulier, avec une fréquence resserrée pour les profils à risque élevé. Le règlement européen anti-blanchiment (AMLR, article 26(2)) fixe un plafond d’un an entre deux mises à jour pour les clients à risque élevé, et de cinq ans pour les autres, que l’AMLA précise par un projet de lignes directrices dédié à la surveillance continue. La revue événementielle se déclenche hors calendrier : changement d’actionnariat ou de dirigeant, apparition dans les médias négatifs, transaction atypique, changement de statut PPE.

Un logiciel KYC doit aussi gérer les campagnes de remédiation : la mise à jour, en masse, de dossiers existants dont le profil est devenu obsolète (le manquement relevé dans la décision AXA France Vie citée plus haut). C’est la logique du KYC continu : la connaissance du client se maintient dans le temps.

Le cadre lui-même change d’échelle. L’AMLR remplace progressivement les transpositions nationales par un corpus unique au niveau européen, et l’AMLA prendra la supervision directe de certains établissements à partir de 2027-2028. Un logiciel choisi en 2026 doit pouvoir absorber ce basculement sans refonte complète du dispositif.

Piste d’audit et reporting

La piste d’audit documente chaque décision prise par le dispositif : classification attribuée, résultat de screening, qualification d’une alerte, mesure de vigilance appliquée, approbation ou refus d’entrée en relation. Chaque événement est horodaté et conservé pendant cinq ans, conformément à l’article L561-12.

Cette brique est souvent la première vérifiée en contrôle : un examinateur de l’ACPR ne demande pas seulement le résultat final d’un dossier, il demande à reconstituer le raisonnement qui y a mené. Un dispositif qui ne peut pas produire cette reconstitution (parce que les décisions ne sont pas tracées, ou parce qu’elles peuvent être modifiées a posteriori) échoue au premier contrôle, indépendamment de la qualité du reste du dispositif.

Le reporting qui en découle doit être exploitable directement en contrôle, sans retraitement manuel ni reconstitution a posteriori.

Logiciel KYC tout-en-un ou best of breed ?

Une fois les fonctions attendues posées, reste une question d’architecture : les réunir dans une suite unique, ou assembler des briques spécialisées. L’arbitrage dépend davantage de votre organisation que des outils eux-mêmes.

Deux architectures, deux logiques

Deux logiques s’opposent pour construire un dispositif KYC : une suite unique qui couvre les cinq fonctions, ou un assemblage de briques spécialisées, choisies et intégrées une à une.

L’architecture tout-en-un mise sur la cohérence : une seule interface, un seul modèle de données, une piste d’audit unifiée sur l’ensemble du parcours. La mise en œuvre est plus rapide, la maintenance repose sur un seul interlocuteur. En contrepartie, l’assujetti dépend d’un éditeur unique, et l’intégration de briques externes spécifiques peut être plus rigide.

L’architecture best of breed mise sur la spécialisation : chaque brique est confiée à l’outil le plus pointu sur son périmètre, avec une évolutivité indépendante d’un composant à l’autre. En contrepartie, elle suppose une DSI structurée pour maintenir l’interopérabilité entre les outils, avec un risque de silos si la piste d’audit n’est pas centralisée.

Aucune architecture ne domine l’autre par principe, le tableau ci-dessous résume les compromis de chacune.

Si vous souhaitez approfondir ce sujet et ces deux architectures, nous le traitons au sein de notre livre blanc sur le KYC.

Architecture Avantages Limites
Tout-en-un Interface homogène, implémentation rapide clé en main, maintenance facilitée, piste d’audit unifiée sur l’ensemble du parcours. Moins de flexibilité sur les cas complexes, dépendance à un éditeur unique, intégration de briques externes plus rigide.
Best of breed Qualité de chaque composant sur son périmètre, évolutivité indépendante d’un outil à l’autre, adaptation rapide à un besoin ponctuel. DSI structurée nécessaire, interopérabilité à maintenir dans la durée, risque de silos si la piste d’audit n’est pas centralisée.

Le critère décisif : périmètre, volumétrie, gouvernance

Le choix entre les deux architectures ne se tranche pas sur une préférence de principe, mais sur trois critères.

Le périmètre d’assujettissement d’abord : la liste de l’article L561-2 couvre des profils très différents (établissement de crédit, courtier en financement participatif, agent immobilier, expert-comptable). Un assujetti au périmètre étroit et stable a moins à gagner d’une suite complète qu’un établissement soumis à l’ensemble des obligations LCB-FT.

La volumétrie ensuite : le nombre de dossiers à traiter, mais aussi les pics. Une campagne de re-screening de portefeuille après une mise à jour de liste ne se pilote pas de la même façon avec dix mille dossiers qu’avec cent.

La gouvernance des données enfin : une organisation où les équipes conformité, technique et métier sont cloisonnées gagne à limiter le nombre d’interlocuteurs et de flux de données à sécuriser, un argument qui penche vers le tout-en-un, sans l’imposer.

Comment choisir le bon logiciel KYC pour son entreprise ?

Architecture choisie ou non, le processus de sélection reste le même : formaliser ses besoins, puis confronter chaque fournisseur à une grille de questions dont les réponses s’évaluent objectivement.

Définir les besoins de l’entreprise

Avant de comparer des solutions, il faut définir ce qu’on attend d’elles. Huit critères reviennent, quel que soit le secteur d’activité : la section suivante les traduit en questions concrètes à poser en RFP.

Couverture fonctionnelle sur les cinq fonctions du KYC, pas seulement l’IDV.

  • Licéité et traçabilité des sources de données.
  • Qualité du matching et maîtrise des faux positifs.
  • Auditabilité : piste de contrôle non modifiable, filtrage rejouable.
  • Intégration API dans le parcours client existant.
  • Hébergement et souveraineté des données.
  • Accompagnement au paramétrage, à partir de la cartographie des risques de l’entreprise.
  • Modèle tarifaire aligné sur l’usage réel, pas sur un forfait déconnecté du volume.

L’accompagnement ne se résume pas à une formation à l’outil : c’est un travail de paramétrage à partir de la cartographie des risques de l’entreprise.

La checklist à soumettre au fournisseur

Chacun des huit critères ci-dessus se traduit, en pratique, par une question précise à poser au fournisseur. La checklist suivante oppose, pour chacun, une bonne réponse à une réponse insuffisante : de quoi structurer un appel d’offres.

  1. D’où viennent les données, et sont-elles traçables ? Bonne réponse : sources nommées et officielles. Insuffisante : « des données fiables », sans détail.
  2. Fréquence de mise à jour des listes ? Bonne réponse : calendrier précis, mises à jour d’urgence incluses. Insuffisante : « régulièrement ».
  3. Peut-on rejouer un filtrage à une date donnée ? Bonne réponse : oui, version de liste et seuils d’origine restitués. Insuffisante : seul le résultat actuel existe.
  4. Comment les décisions sont-elles tracées ? Bonne réponse : horodatage non modifiable et exportable. Insuffisante : un historique éditable.
  5. Où sont hébergées les données ? Bonne réponse : localisation et régime juridique précisés. Insuffisante : « dans le cloud ».
  6. Quelle intégration API ? Bonne réponse : documentation publique, exemples concrets. Insuffisante : « à étudier au cas par cas ».
  7. Quel modèle tarifaire ? Bonne réponse : grille liée au volume, communiquée d’emblée. Insuffisante : « cela dépend ».
  8. Comment se déroule le paramétrage initial ? Bonne réponse : construit à partir de votre cartographie des risques, avec vos équipes. Insuffisante : une configuration standard, identique pour tous les clients.

Comparatif des tops solutions KYC du marché

Ce comparatif prolonge notre comparatif des logiciels LCB-FT, sans classement top 5 : certaines solutions se cantonnent à la vérification d’identité, d’autres couvrent la connaissance client de bout en bout.

Note de méthode : le comparatif applique aux cinq solutions les critères de la checklist fournisseur présentée plus haut (origine des données, actualisation des listes, auditabilité, hébergement, accompagnement, modèle tarifaire), complétés du périmètre couvert sur les cinq fonctions du KYC. La grille est appliquée de la même façon aux cinq solutions, y compris à BeCLM sur ses propres limites (l’absence d’IDV en particulier). Ce n’est pas un standard de marché indépendant : à confronter à votre propre cartographie des risques.

Tableau comparatif par critères de choix

Le tableau ci-dessous applique aux cinq solutions les critères qu’un assujetti opposerait à n’importe quel fournisseur en appel d’offres.

Méthode : chaque cellule reflète la communication publique de l’éditeur (site produit, documentation technique, pages sécurité et tarification) consultée les 2 et 15 juillet 2026, pas un audit indépendant ni un test du produit.

« Non communiqué » signifie que l’information n’apparaît pas dans la communication publique de l’éditeur à ces dates, pas que le produit en est nécessairement dépourvu. Le détail des pages consultées figure sous le tableau et sous chaque fiche.

Faites défiler le tableau horizontalement pour comparer les cinq solutions

Critère BeCLM Sumsub Ondorse IDnow Clustdoc
Périmètre fonctionnel Connaissance client de bout en bout : recueil, classification, screening, vigilance, piste d’audit. IDV exploitée en entrée, non opérée. Vérification d’identité étendue : IDV, KYB, screening AML, surveillance des transactions. Orchestration d’onboarding et case management ; contrôles opérés par des apps tierces. Vérification d’identité et services de confiance ; screening AML en option. Collecte documentaire et workflows d’onboarding ; IDV et scoring en modules séparés.
Origine des données de screening Sources officielles et publiques : ONU, UE, OFAC, DGT, SIRENE, INPI, BODACC, ORIAS. Fournisseur tiers : ComplyAdvantage, documenté dans la documentation technique Sumsub. Selon l’app choisie sur la marketplace (ComplyAdvantage, Dow Jones, LexisNexis, Salv). Sources non nommées dans la communication publique. Pas de screening mis en avant.
Actualisation des listes Synchronisation continue, versions historisées. Cadence non publiée (dépend du fournisseur tiers). Cadence non publiée (dépend du fournisseur choisi). Cadence non publiée. Sans objet.
Classification des risques Approche hybride documentée : scoring par pondération et règles discriminantes. Scoring de risque configurable. Constructeur de règles et évaluation dynamique des risques. Non communiquée. Scoring de premier niveau, en module séparé.
Vigilance continue Revues périodiques et événementielles, campagnes de remédiation. Re-screening continu (listes, risque crypto, transactions). Planification des revues périodiques, déclencheurs sur événements. Re-screening AML inclus dans l’option ; pas de revue du dossier client mise en avant. Mise à jour programmée des données KYC/KYB.
Traçabilité et auditabilité PCR™ : piste non modifiable, filtrage rejouable dans sa configuration d’origine. Non détaillée publiquement. Journaux d’audit dès la première offre ; rejouabilité non communiquée. Non détaillée publiquement. Traçabilité des validations de dossier ; rejouabilité non communiquée.
Intégration API-first ; cloud privé ou on-premise. API et SDK web/mobile. API et connecteurs (CRM, apps de la marketplace). SDK, API ou plateforme d’orchestration. Portail en marque blanche, API documentée.
Hébergement et souveraineté UE, cloud privé ou on-premise. AWS ; localisation régionale sur demande (traitement complet : États-Unis, Émirats, Singapour). Non communiqué. Non détaillé publiquement. Datacenters en France pour les clients européens.
Sécurité et certifications Conformité DORA et RGPD, mesures détaillées publiquement. ISO 27001, SOC 2 Type II, SOC 3. ISO 27001:2022, SOC 2 Type II. ISO 27001 (entités du groupe). SOC 2 Type II, conformité RGPD.
Accompagnement au paramétrage Construit à partir de la cartographie des risques du client, assistance en cas de contrôle. Self-service, interlocuteur dédié sur l’offre entreprise. Soutien à l’intégration et conseil conformité selon l’offre. Non détaillé publiquement. Non détaillé publiquement.
Modèle tarifaire Offre essentielle à partir de 250€ HT/mois. Sinon sur devis, indexé sur le volume de relations d’affaires. Grille publiée : à partir de 1,35 $ par vérification, screening AML à partir de 1,85 $. Grille retirée du site ; sur devis. À titre indicatif, les derniers tarifs affichés étaient à partir de 18 000€/an pour l’offre essentielle et 48 000€/an pour l’offre Growth. Non publié. Grille publiée sur le site. À partir de 190€/mois.

Trois lignes concentrent l’essentiel des écarts.

Sur l’origine des données : BeCLM n’est dépendant d’aucun acteur tiers et opère son filtrage sur des sources officielles, Sumsub s’appuie sur ComplyAdvantage (sa documentation technique le précise), Ondorse dépend de l’app sélectionnée dans sa marketplace, et IDnow ne nomme pas ses sources.

Sur l’auditabilité : seule la rejouabilité du filtrage BeCLM est documentée publiquement ; les autres cellules restent muettes, ce qui ne condamne pas les produits mais oblige à poser la question 3 de la checklist en consultation.

Sur la souveraineté : Clustdoc affiche un hébergement en France. C’est également le cas de BeCLM, chez OVH, et nous permettons d’envisager du cloud privé ou on-premise, quand la localisation Sumsub s’active sur demande avec des régions garanties hors Europe. Pour rappel, ce n’est pas la localisation qui prévaut,  un datacenter installé en Europe mais opéré par une société de droit américain reste dans le champ (de mines) du CLOUD Act. Ce qui compte, c’est la juridiction dont dépend l’hébergeur.

Le tableau ne désigne pas un gagnant. Sumsub publie sa grille tarifaire et ses certifications, Ondorse assume la flexibilité de son modèle d’orchestration, IDnow reste une référence sur la brique identité. Une cellule « non communiqué » est une question à poser au fournisseur, pas un verdict sur le produit.

Sources consultées le 17 juillet 2026 , ce tableau est amené à être mis à jour et à évoluer pour vous donner les informations les plus précises pour vous aider dans vos démarches.

BeCLM

BeCLM est une plateforme française de connaissance client et de conformité LCB-FT en architecture tout-en-un, qui couvre les cinq fonctions du KYC sans opérer l’IDV : les données d’identité alimentent le dispositif en entrée.

fonctionnement et interface de la plateforme beclm

  • Filtrage sanctions, PPE et médias négatifs sur listes officielles (ONU, UE, OFAC, DGT), synchronisées en continu et versionnées.
  • KYC et KYB pour personnes physiques et morales, adossés aux registres SIRENE, INPI, BODACC et ORIAS.
  • Classification hybride : le scoring par pondération produit le risque net sur l’ensemble du portefeuille, les règles discriminantes traitent les interdictions absolues.
  • Double Run™ : requalification automatique des alertes récurrentes après le filtrage standard, ce qui permet de diminuer les faux positifs en restant irréprochable.
  • Piste de conformité (PCR™) : historisation horodatée et non modifiable de chaque contrôle, paramétrage et qualification d’alerte, avec filtrage rejouable dans sa configuration d’origine.
  • Architecture API-first, déploiement en cloud privé européen ou on-premise.

C’est le choix pertinent pour un assujetti dont l’enjeu est la classification des risques, la vigilance dans la durée et la tenue d’un dossier justifiable en contrôle. Le filtrage quotidien du portefeuille est inclus sans surcoût : la tarification est indexée sur le volume de relations d’affaires, pas sur le nombre de filtrages. Ce point pèse plus qu’il n’y paraît, la jurisprudence ACPR jugeant insuffisants les filtrages mensuel et hebdomadaire, et le règlement (UE) 2024/886 imposant un filtrage au moins quotidien aux prestataires qui proposent le virement instantané. En contrepartie, la vérification d’identité doit être apportée par une brique tierce ou par la collecte de pièces justificatives, le produit ne l’opérant pas.

Sumsub

Sumsub est une plateforme de vérification d’identité étendue aux couches de conformité, construite pour sécuriser le parcours utilisateur du contrôle d’identité à la détection de fraude.

Interface logiciel Sumsub

  • Vérification d’identité : document, biométrie, détection de deepfake, non-doc verification.
  • Vérification d’entreprise (KYB) et cartographie des bénéficiaires effectifs.
  • Filtrage sanctions et PPE et surveillance des médias défavorables, opérés avec les données et le moteur de ComplyAdvantage.
  • Surveillance continue AML : re-screening sur les listes, le risque crypto et les transactions.
  • Scoring de risque et orchestration de workflows sans code.
  • Gestion de dossiers assistée par IA, avec export de rapports pour les cellules de renseignement financier.

Le périmètre couvre les cinq fonctions du KYC sous une même plateforme, avec une communication orientée produits numériques, paiement et crypto plutôt que sur le cadre réglementaire français. La classification y est présentée comme du scoring de risque configurable. Un point ressort de la documentation technique : le screening sanctions et watchlists est opéré via ComplyAdvantage, avec la possibilité pour le client de brancher son propre compte. C’est un profil adapté à un acteur digital qui construit son dispositif depuis l’onboarding ; l’adéquation au référentiel français et la localisation effective des données restent à instruire en consultation.

Ondorse

Ondorse est une plateforme française d’orchestration KYC/KYB destinée aux équipes opérations, qui automatise les workflows d’onboarding et le case management sans opérer elle-même les contrôles d’identité ni les données de filtrage.

Interface logiciel ondorse

  • Portail d’onboarding et collecte de données avec pré-remplissage des informations d’entreprise.
  • Moteur de règles et de scoring de risque configurable.
  • Orchestration de plus de 35 fournisseurs tiers certifiés pour l’identité, l’AML et les données d’entreprise (IDnow, Ubble, ComplyAdvantage, Moody’s, Dun & Bradstreet).
  • Case management et suivi de dossier en temps réel.
  • Planification des revues périodiques et surveillance continue.
  • Piste d’audit sur l’ensemble du parcours.

Le point fort d’Ondorse est la rapidité d’implémentation et la flexibilité de configuration des workflows. La contrepartie est mécanique : la qualité du filtrage sanctions ou de l’IDV dépend du fournisseur choisi dans la marketplace, pas d’un moteur propriétaire. C’est le profil adapté à une organisation qui assemble un dispositif best of breed sans vouloir développer l’intégration elle-même.

IDnow

IDnow est un spécialiste allemand de la vérification d’identité et des services de confiance, dont le cœur de métier est l’IDV (vidéo, document, biométrie, NFC), complété par la signature électronique qualifiée.

  • Vérification d’identité automatisée (AutoIdent) et par vidéo experte (VideoIdent).
  • Vérification en personne, en point de vente ou en agence.
  • eID et intégration au portefeuille d’identité numérique européen.
  • Signature électronique qualifiée et cachet électronique (Trust Services).
  • Filtrage AML disponible en option payante (sanctions, PPE, médias défavorables), avec re-screening continu et alertes.

IDnow traite un volume élevé d’identités vérifiées avec une couverture documentaire large. Le filtrage AML reste un module que l’éditeur qualifie lui-même de « add-on » ; la classification des risques et la revue périodique du dossier client n’apparaissent pas dans sa communication publique. C’est un choix pertinent pour qui cherche un spécialiste IDV à intégrer dans un dispositif KYC plus large, pas un dispositif KYC complet en soi.

Clustdoc

Clustdoc est une plateforme française de collecte documentaire et de workflow d’onboarding client, déclinée sur plusieurs cas d’usage (financement, ouverture de compte, subvention), où le KYC est traité comme un processus de gestion de dossier plus que comme une évaluation du risque.

  • Portail client en marque blanche pour la collecte de documents.
  • Workflows conditionnels selon le profil ou le risque déclaré du client.
  • Module de vérification d’identité et module de scoring client, proposés séparément.
  • Signature électronique et mise à jour programmée des données KYC/KYB.
  • Gestion de plusieurs parcours KYC/KYB en parallèle par ligne métier.

Clustdoc simplifie la partie la plus chronophage du parcours (la collecte et l’instruction documentaire) avec une mise en œuvre rapide. C’est un outil d’efficacité opérationnelle à positionner en amont d’un dispositif de conformité qu’il ne remplace pas : le filtrage et la classification des risques, absents de sa communication publique, restent à couvrir par ailleurs ou à vérifier en détail avec l’éditeur.

Logiciel KYC selon le secteur d’activité

Tous les assujettis de l’article L561-2 du Code monétaire et financier sont soumis aux obligations de connaissance client, mais les points de vigilance qui pèsent sur l’outil diffèrent d’un secteur à l’autre.

En banque et dans les services de paiement, l’enjeu dominant est la volumétrie et l’intégration : le KYC doit s’insérer dès l’onboarding dans un parcours digital, et les re-screenings de portefeuille portent sur des dizaines de milliers de dossiers. La décision Treezor citée plus haut vient de ce secteur, sur un modèle Banking-as-a-Service.

En assurance vie, la vigilance porte sur deux personnes distinctes : le souscripteur à l’entrée en relation, et le bénéficiaire du contrat, dont l’identité doit être vérifiée au plus tard au moment du versement des prestations. Un logiciel qui ne gère que l’onboarding du souscripteur manque la moitié de l’obligation, et la jurisprudence AXA France Vie montre que le régulateur regarde la vie du contrat, pas seulement sa souscription.

Pour les professions du chiffre et du droit (experts-comptables, notaires, avocats dans certaines de leurs activités) et pour l’immobilier, la volumétrie est plus faible mais l’exigence de traçabilité identique : l’outil doit produire un dossier justifiable devant le superviseur sans mobiliser une équipe conformité dédiée.

Les prestataires de services sur crypto-actifs, agréés sous le règlement MiCA depuis 2024, cumulent les obligations LCB-FT de droit commun et une exposition forte au risque géographique et au risque d’anonymat : le screening et la vigilance continue y constituent le cœur du besoin.

FAQ

1. Combien coûte une solution KYC ?

Le prix varie selon trois paramètres : le volume de dossiers traités, le nombre d’utilisateurs, et le périmètre fonctionnel couvert.

Une solution IDV seule coûte moins cher qu’une plateforme qui ajoute la classification, le screening et la vigilance continue. Peu d’éditeurs publient une grille tarifaire complète : la plupart pratiquent un devis sur mesure, indexé sur le volume prévisionnel, selon trois modèles courants : abonnement, facturation au volume de requêtes, ou au nombre de relations d’affaires suivies.

La gestion des alertes, poste de coût le plus élevé sur la durée de vie du dispositif, représente a minima 2 € par mois et par relation d’affaires surveillée. Un point à vérifier en amont : ce que le prix inclut. L’accompagnement au paramétrage, par exemple, n’est pas toujours dans le forfait de base. En ce qui nous concerne, vous pouvez découvrir nos tarifs.

2. Existe-t-il un logiciel KYC gratuit ?

Pas sur le périmètre complet des obligations. Les listes officielles (registre national des gels de la DG Trésor, listes ONU et UE) sont consultables gratuitement, et des registres publics comme SIRENE ou le RNE donnent accès aux données d’entreprise. Cette consultation manuelle peut suffire pour une vérification ponctuelle, mais elle ne produit ni piste d’audit, ni filtrage automatisé capable d’absorber les variations orthographiques, ni vigilance dans le temps sur un portefeuille. L’écart entre ce bricolage gratuit et les attentes du régulateur se mesure aux sanctions citées dans cet article.

3. Dans quels cas le KYC est-il obligatoire ?

Le KYC est obligatoire pour les personnes assujetties listées à l’article L561-2 du Code monétaire et financier. Cette liste couvre, entre autres : établissements de crédit et de paiement, assurances, sociétés de gestion, intermédiaires en financement participatif, prestataires de services sur crypto-actifs (agréés sous le règlement MiCA depuis 2024), gestionnaires de crédits, professions juridiques et du chiffre (avocats, notaires, experts-comptables, commissaires aux comptes), agents immobiliers, négociants en biens de grande valeur au-delà de certains seuils, opérateurs de jeux.

La liste évolue régulièrement : la loi n°2025-532 y a par exemple ajouté, avec des entrées en vigueur différées, les vendeurs et loueurs de véhicules, de navires et d’aéronefs, ainsi que les clubs de football professionnels. Vérifiez la version en vigueur de l’article à la date de votre lecture.

4. Les solutions KYC sont-elles conformes au RGPD ?

Le KYC traite un volume important de données personnelles (identité, situation financière), dont certaines relèvent de régimes protecteurs particuliers, comme les données relatives aux infractions, ce qui impose une conformité RGPD à l’éditeur comme à l’assujetti. Les questions à poser à un fournisseur : la base légale du traitement, la durée de conservation (cinq ans pour les documents KYC, distincte des durées RGPD génériques), la localisation d’hébergement, et les modalités d’exercice des droits d’accès et de rectification. Un logiciel certifié ou hébergé en Europe ne garantit pas à lui seul la conformité : elle dépend aussi de l’usage qu’en fait l’assujetti.

Pour structurer votre évaluation, notre livre blanc KYC rassemble le panorama réglementaire complet, les briques fonctionnelles et les critères de choix d’une solution : télécharger le livre blanc KYC.

A propos de l'auteur

Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.