Know Your Supplier (KYS) : vérification fournisseurs et conformité en Belgique
Guide KYS pour entreprises belges : obligations FSMA, BNB, loi du 18 septembre 2017 anti-blanchiment, CTIF et due diligence fournisseurs en 2026.
Résumer cet article avec
ChatGPT
Claude
Perplexity
Gemini
GrokLe Know Your Supplier (KYS) désigne l'ensemble des procédures de vigilance qu'une entreprise applique à ses fournisseurs avant et pendant une relation commerciale. En Belgique, le cadre juridique est structuré par la loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme (dite « loi AML »), qui transpose la 4e directive AML (2015/849/UE). Cette loi, complétée par la directive européenne CSDDD (progressivement transposée en droit belge depuis 2025), impose aux entités assujetties et, de plus en plus, à l'ensemble des entreprises d'importance, de procéder à une vérification rigoureuse de leurs tiers.
La fraude au faux fournisseur constitue l'un des types de fraude les plus répandus en Belgique. D'après les rapports annuels du Centre de Cybersécurité Belgique (CCB), les attaques de type Business Email Compromise (BEC) visant les services achats et financiers ont causé des pertes de plusieurs dizaines de millions d'euros au cours des dernières années. Un programme KYS structuré est l'une des mesures préventives les plus efficaces.
Cadre juridique belge du KYS
Un programme KYS efficace en Belgique couvre trois dimensions : l'identité légale du fournisseur (numéro BCE, extrait BCE, bénéficiaires effectifs), la solidité financière (comptes déposés à la Banque nationale, cotation Graydon ou Companyweb) et la réputation réglementaire (listes de sanctions, médias négatifs, connexions avec des personnes politiquement exposées).
La loi du 18 septembre 2017 (Moniteur belge, 6 octobre 2017) oblige les établissements de crédit, les compagnies d'assurance, les notaires, les avocats et les experts-comptables à identifier et à vérifier l'identité de leurs clients et, dans certaines situations, des tiers avec lesquels ils traitent. La FSMA (Autorité des services et marchés financiers) et la Banque Nationale de Belgique (BNB) supervisent la mise en œuvre pour leurs secteurs respectifs. Les sanctions pour violation de la loi AML peuvent atteindre 5 millions d'euros ou 10 % du chiffre d'affaires annuel.
Le CTIF (Cellule de traitement des informations financières) est l'unité de renseignement financier belge. Les entités assujetties sont tenues de lui déclarer toute opération ou tentative d'opération suspecte, y compris celles impliquant des fournisseurs présentant des signes anormaux.
La loi du 2 juin 2021 portant insertion d'un livre 6 dans le Code de droit économique a introduit des obligations de transparence sur les chaînes d'approvisionnement pour les entreprises belges de grande taille, en anticipation de la transposition de la CSDDD.
| Texte | Champ d'application | Obligation KYS principale |
|---|---|---|
| Loi du 18 sept. 2017 (AML) | Entités assujetties (banques, notaires, avocats, comptables) | Identification et vérification des tiers, bénéficiaires effectifs |
| Loi du 18 sept. 2017, art. 23 | Toutes entités assujetties | Déclaration CTIF des opérations suspectes avec des fournisseurs |
| CSDDD (transposition 2025-2026) | Entreprises >500 employés et >150M€ CA | Due diligence en matière de durabilité dans la chaîne d'approvisionnement |
| Code de droit économique | Grandes entreprises | Obligations de transparence sur les chaînes d'approvisionnement |
Les 5 étapes d'un processus KYS en Belgique
Étape 1 – Collecte documentaire. Avant tout engagement, demandez systématiquement : un extrait BCE (Banque-Carrefour des Entreprises) actualisé, le numéro de TVA belge vérifié via minfin.fgov.be, les statuts de la société publiés au Moniteur belge, la liste des bénéficiaires effectifs issus du registre UBO (ubo.fgov.be) et un document bancaire (RIB ou attestation bancaire) certifiant les coordonnées IBAN.
Étape 2 – Vérification des données légales. Confirmez le numéro BCE sur le portail public de la Banque-Carrefour des Entreprises pour vérifier le statut actif, l'activité principale et les représentants légaux. Contrôlez l'absence de faillite via le registre central de la solvabilité (RegsOL). Consultez les publications au Moniteur belge pour les actes récents.
Étape 3 – Screening des sanctions et des PEPs. Le contrôle doit couvrir au minimum les listes de sanctions de l'Union européenne (via sanctionsmap.eu), de l'OFAC américain pour les paiements en dollars, et des Nations Unies. Pour les entités assujetties, la vérification des Personnes Politiquement Exposées (PPE) est obligatoire conformément à l'article 28 de la loi du 18 septembre 2017.
Étape 4 – Analyse ESG et médias négatifs. Réalisez des recherches structurées sur les médias négatifs (corruption, infractions du travail, violations environnementales). Pour les entreprises soumises à la CSDDD, intégrez un questionnaire d'auto-évaluation conforme aux standards ISO 20400 (achats responsables). En Belgique, le SPF Économie publie des guides sur la conformité dans les marchés publics, incluant les obligations vis-à-vis des fournisseurs.
Étape 5 – Surveillance continue. Configurez des alertes sur les modifications au registre BCE (changements de représentants légaux, mises en liquidation) et les publications au Moniteur belge. Toute demande de modification de coordonnées bancaires doit déclencher un protocole de vérification indépendant — c'est le point d'entrée privilégié de la fraude au faux fournisseur.
La fraude au faux fournisseur : le risque majeur pour les entreprises belges
Le Centre pour la Cybersécurité Belgique (CCB) a documenté un schéma récurrent : des fraudeurs usurpent l'identité d'un fournisseur habituel et envoient une demande de modification de compte bancaire juste avant une échéance de paiement importante. L'email imite le domaine du fournisseur légitime à un caractère près.
Trois contrôles opérationnels préviennent la majorité de ces fraudes :
- Rappel téléphonique obligatoire. Toute demande de modification de coordonnées bancaires par email doit être confirmée par un appel sur le numéro enregistré dans l'ERP, indépendamment du numéro figurant dans l'email.
- Double validation. Toute modification bancaire doit être approuvée par deux personnes distinctes, dont au moins un responsable financier.
- Vérification automatisée de l'IBAN. Utilisez un service de vérification documentaire automatisée qui recroupe la titularité du compte avec les données légales du fournisseur. CheckFile prend en charge plus de 3 200 types de documents dans 32 juridictions, incluant les documents d'entreprise belges.
La directive AMLD6 (Directive (UE) 2024/1640), avec une entrée en vigueur progressive dès 2027, renforce les obligations de due diligence des entités financières belges vis-à-vis de leurs prestataires de services à risque élevé.
Consultez également notre article sur la détection de fraude documentaire par l'IA pour comprendre les signaux faibles à surveiller dans les documents fournisseurs.
Prêt à automatiser vos vérifications ?
Pilote gratuit sur vos propres documents. Résultats en 48 h.
Demander un pilote gratuitParticularités belges : bilinguisme, registre UBO et CTIF
La Belgique présente plusieurs spécificités en matière de KYS :
Registre UBO (Ultimate Beneficial Owner) : Le registre UBO belge (ubo.fgov.be) est géré par le SPF Finances. Toute entité juridique belge est obligée d'y enregistrer ses bénéficiaires effectifs depuis la loi du 18 septembre 2017 (art. 73). Le registre est accessible aux entités assujetties et aux personnes justifiant d'un intérêt légitime.
Bilinguisme du dossier : Pour les entreprises actives en Belgique, les documents peuvent être en français, néerlandais ou allemand selon la région du siège social. Les procédures KYS doivent pouvoir traiter ces trois langues.
Déclaration CTIF : Les entités assujetties qui détectent des anomalies lors de la vérification KYS — suspicion de blanchiment, de financement du terrorisme ou de fraude grave — sont tenues de déclarer l'opération suspecte au CTIF (ctif-cfi.be). Le non-respect de cette obligation peut entraîner des sanctions pénales.
Pour comprendre les bonnes pratiques de due diligence dans un contexte transfrontalier, consultez notre guide sur la vérification KYB des entreprises.
Construction et conservation du dossier KYS
La loi du 18 septembre 2017 (art. 60) impose aux entités assujetties de conserver les documents de vérification pendant dix ans après la fin de la relation d'affaires. Pour les entreprises non assujetties, la bonne pratique est de conserver le dossier KYS pendant la durée du contrat plus cinq ans supplémentaires.
Le dossier KYS belge comprend :
- Les documents collectés et la date de leur vérification
- Les résultats des contrôles (listes de sanctions, registre UBO, screening médias)
- L'identité des personnes ayant réalisé et validé chaque vérification
- L'historique des modifications bancaires avec les preuves de vérification associées
CheckFile stocke tous les enregistrements de vérification dans une piste d'audit infalsifiable conforme à la norme ISO 27001. Consultez nos tarifs pour les workflows de vérification fournisseurs.
Questions fréquemment posées
La loi AML belge s'applique-t-elle aux PME ?
La loi du 18 septembre 2017 s'applique directement aux entités assujetties (banques, assurances, notaires, avocats, experts-comptables). Pour les autres entreprises, les obligations KYS découlent de la CSDDD (grandes entreprises) et des pratiques de conformité de leurs donneurs d'ordre. Les PME belges travaillant avec de grands groupes reçoivent de plus en plus des questionnaires KYS comme condition de qualification.
Comment accéder au registre UBO belge ?
Les entités assujetties au sens de la loi du 18 septembre 2017 ont accès direct au registre UBO via ubo.fgov.be. Les autres personnes peuvent y accéder en justifiant d'un intérêt légitime, conformément à l'arrêté royal du 30 juillet 2018. Les informations incluent le nom, la date de naissance, la nationalité, la résidence et la nature de la participation de chaque bénéficiaire effectif.
Quelle est la différence entre le CTIF et la FSMA en matière de KYS ?
La FSMA supervise la conformité des entités financières (sociétés de bourse, sociétés de gestion, intermédiaires d'assurance) aux obligations de la loi AML. La BNB supervise les établissements de crédit et les entreprises d'assurance. Le CTIF est l'unité de renseignement financier qui reçoit les déclarations d'opérations suspectes de toutes les entités assujetties. En pratique, le KYS d'une entreprise belge soumise à la loi AML doit satisfaire aux exigences de son superviseur (FSMA ou BNB) et prévoir un circuit de déclaration vers le CTIF.
Que faire si un fournisseur refuse de communiquer ses bénéficiaires effectifs ?
En Belgique, les sociétés et autres entités juridiques sont légalement tenues d'inscrire leurs bénéficiaires effectifs dans le registre UBO (loi du 18 septembre 2017, art. 73). Un refus de communication directe ne libère pas l'entité assujettie de son obligation de vérification — elle doit consulter le registre UBO. Si les données UBO sont absentes ou manifestement incorrectes, cela constitue un signal d'alerte justifiant des mesures de vigilance renforcée ou le refus de la relation d'affaires.
À quelle fréquence renouveler la vérification KYS pour les fournisseurs belges ?
Au minimum une fois par an pour tous les fournisseurs actifs, et immédiatement à chaque événement déclencheur : changement de représentant légal, modification bancaire, renouvellement de contrat ou signalement dans les médias. Pour les fournisseurs à risque élevé (secteurs sensibles, pays sous surveillance GAFI), une surveillance en continu avec alertes automatiques est recommandée.
Cet article est fourni à titre informatif et ne constitue pas un conseil juridique. Les obligations légales varient selon la taille de l'entreprise, le secteur et la nature des relations commerciales. Consultez un conseiller juridique spécialisé en droit belge pour une analyse adaptée à votre situation.
Restez informé
Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.