Approche Basée sur le Risque en LCB-FT : Guide de Notation du Risque Client 2026

La lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) repose sur un principe fondamental : toutes les situations ne présentent pas le même niveau de risque. L'approche basée sur le risque (ABR) traduit ce constat en obligations concrètes — elle impose aux entités assujetties de calibrer leurs mesures de vigilance en fonction de l'exposition réelle au risque, et non d'appliquer des contrôles uniformes à l'ensemble de leur portefeuille client. Ce guide présente la méthode, les critères de notation, les seuils de vigilance et les outils disponibles pour automatiser cette évaluation en 2026. Consultez également notre guide AML pour un panorama complet du cadre réglementaire.

L'approche basée sur le risque : fondements juridiques et obligations

L'approche basée sur le risque constitue le socle de tout dispositif LCB-FT moderne. Elle exige des entités assujetties qu'elles identifient, évaluent et comprennent leurs expositions avant de déterminer les mesures de vigilance à déployer. Ce n'est pas une option parmi d'autres : c'est le prérequis légal à toute décision d'entrée en relation, de surveillance continue ou de déclaration de soupçon.

Selon la Recommandation 1 du GAFI (2012, révisée 2023), les entités assujetties doivent identifier, évaluer et comprendre les risques de blanchiment avant d'appliquer toute mesure de vigilance.

Le cadre européen a ensuite codifié cette exigence. L'article 8 de la Directive (UE) 2021/1640 — communément appelée AMLD6 — précise que les États membres doivent veiller à ce que les entités assujetties prennent des mesures appropriées pour identifier et évaluer les risques liés au blanchiment de capitaux et au financement du terrorisme, en tenant compte des facteurs de risque propres à leurs clients, pays, produits et canaux de distribution. En droit français, cette obligation se traduit par l'article L561-4-1 du Code monétaire et financier, qui impose à chaque entité assujettie de mettre en place une classification des risques documentée et proportionnée à la nature et au volume de son activité.

L'ABR n'est donc pas un document de politique interne qu'on produit une fois pour satisfaire un audit. C'est l'architecture décisionnelle qui conditionne l'ensemble des choix de vigilance : quel niveau de vérification appliquer, à quelle fréquence réviser le dossier client, quand saisir TRACFIN. Une classification des risques mal construite ou non documentée expose l'établissement à des sanctions administratives et pénales significatives.

Les quatre dimensions du risque client en LCB-FT

Quatre catégories de facteurs structurent l'analyse du risque client. Leur combinaison détermine le profil global et le niveau de vigilance applicable.

Le risque géographique porte sur la localisation du client, de ses activités ou de ses flux financiers. Un client résidant ou opérant dans un pays figurant sur la liste grise ou noire du GAFI, dans une juridiction sous sanctions de l'Union européenne ou des Nations unies, ou identifiée par l'ACPR comme présentant des déficiences stratégiques, génère automatiquement un facteur aggravant. Les listes de référence évoluent régulièrement — une mise à jour manuelle trimestrielle est insuffisante dans la plupart des contextes opérationnels.

Le risque lié au client couvre la nature juridique et la transparence de la contrepartie. Les personnes politiquement exposées (PPE) — au sens de l'article L561-10 du Code monétaire et financier — font l'objet de mesures de vigilance renforcée obligatoires. Les structures sans transparence sur les bénéficiaires effectifs (holdings multiniveaux, trusts, fondations anonymes) ou dont le bénéficiaire effectif reste non identifiable malgré les diligences accomplies constituent des signaux d'alerte majeurs.

Le risque produit ou service concerne les caractéristiques intrinsèques de la relation commerciale. Les actifs numériques, les transferts transfrontaliers vers des zones à risque, les opérations à fort contenu en espèces ou les produits d'épargne à forte liquidité présentent des expositions structurellement plus élevées. Ce facteur doit être évalué en combinaison avec les précédents, et non de façon isolée.

Le risque canal de distribution mesure la distance entre l'entité assujettie et son client. Une relation initiée entièrement à distance, sans face-à-face présentiel, et surtout introduite par un intermédiaire non régulé, réduit la capacité à vérifier l'authenticité des documents et la réalité de l'identité déclarée. Les dispositifs de vérification à distance doivent alors être compensés par des contrôles complémentaires.

Selon l'ACFE (2024 Report to the Nations), les contrôles manuels ne détectent que 37 % des fraudes, avec un délai moyen de 87 jours entre le début de la fraude et sa découverte. Ce chiffre illustre pourquoi une évaluation du risque structurée et automatisée n'est pas seulement une exigence réglementaire, mais un impératif opérationnel. Consultez notre article sur l'évaluation des risques en conformité pour approfondir les méthodes de détection.

Construire une matrice de notation du risque client

Un modèle de scoring du risque client repose sur l'affectation d'une pondération à chaque catégorie de risque, puis sur la combinaison des scores partiels pour produire un score global. La pondération doit refléter l'exposition propre à l'établissement : une banque de détail à dominante retail n'a pas le même profil de risque qu'un établissement de paiement spécialisé en transferts internationaux.

Le tableau suivant présente une structure de référence adaptée à la majorité des entités assujetties françaises.

Chaque facteur reçoit une note entre 0 et 100, pondérée selon le tableau ci-dessus pour produire un score global. Quatre paliers de risque correspondent à quatre niveaux de vigilance.

Un score entre 0 et 30 indique un risque faible : le client présente des caractéristiques objectivement peu risquées — société cotée sur un marché réglementé, administration publique, produit simple sans dimension transfrontalière. La diligence client simplifiée (DCE simplifiée) est applicable.

Un score entre 31 et 60 correspond à un risque moyen : c'est le cas de la majorité des clients retail et PME. La DCE standard s'applique, avec une révision annuelle du dossier.

Un score entre 61 et 80 signale un risque élevé : la relation requiert des mesures renforcées, une approbation hiérarchique à l'entrée en relation, et une surveillance transactionnelle plus fréquente.

Un score entre 81 et 100 traduit un risque très élevé : la DCE renforcée est obligatoire. La poursuite de la relation doit être validée par la direction générale et documentée de façon circonstanciée.

Vigilance simplifiée, standard et renforcée : choisir le bon niveau

Le score de risque détermine directement le régime de vigilance applicable. Les trois niveaux sont définis par la directive AMLD6 et transposés dans le Code monétaire et financier.

La DCE simplifiée (article 27 AMLD6 / article L561-9 CMF) s'applique lorsque le risque est objectivement et documentairement faible. Elle concerne principalement les sociétés cotées sur des marchés réglementés européens, les entités publiques et certains produits d'épargne réglementée. Elle autorise une vérification d'identité allégée, des mises à jour moins fréquentes et une surveillance transactionnelle proportionnée. Mais elle ne supprime pas l'obligation de vigilance : en cas de soupçon, le régime change immédiatement.

La DCE standard constitue le régime de droit commun pour la majorité des clients particuliers et professionnels. Elle impose la collecte et la vérification des pièces d'identité, la détermination du bénéficiaire effectif, la compréhension de l'objet et de la nature de la relation d'affaires, et une révision annuelle du dossier.

La DCE renforcée (article 28 AMLD6 / article L561-10 CMF) est obligatoire dans un ensemble de situations nommément listées : personnes politiquement exposées et leurs proches, pays tiers à haut risque selon la liste de la Commission européenne, correspondant bancaire, et relations initiées à distance sans face-à-face présentiel. Elle exige l'approbation formelle de la direction générale pour tout nouvel entrant, des vérifications documentaires approfondies sur l'origine des fonds, et une surveillance transactionnelle continue renforcée. La documentation de ces diligences doit être conservée pendant cinq ans après la fin de la relation.

Concernant TRACFIN, la déclaration de soupçon est obligatoire dès que des soupçons existent, sans seuil monétaire minimal. L'absence de déclaration expose les dirigeants à une responsabilité pénale personnelle.

L'ACPR peut infliger des sanctions pouvant atteindre 100 millions d'euros ou 10 % du chiffre d'affaires annuel en cas de manquements graves à l'ABR (ACPR, cadre de sanctions). Cette fourchette place la France parmi les régimes de sanction les plus stricts d'Europe, ce qui rend la robustesse du dispositif de classification des risques non négociable pour tout établissement soumis au contrôle prudentiel.

Automatiser l'évaluation du risque avec CheckFile

La notation manuelle du risque client souffre d'un défaut structurel : deux analystes confrontés au même dossier produiront des évaluations différentes. La subjectivité inhérente à l'interprétation des signaux — un document présentant une légère incohérence de mise en page, un nom de bénéficiaire effectif difficile à rapprocher des registres publics — génère une dispersion des notes qui fragilise la cohérence du dispositif et complexifie la justification devant les inspecteurs de l'ACPR.

L'automatisation répond à ce problème non pas en remplaçant le jugement humain, mais en standardisant les données brutes sur lesquelles ce jugement s'exerce. Une vérification documentaire automatisée — analyse structurelle, contrôle des métadonnées, cohérence inter-documents — produit une sortie homogène, indépendante de l'analyste qui traite le dossier.

La plateforme CheckFile couvre plus de 3 200 types de documents dans 32 juridictions, permettant une vérification documentaire automatisée à l'échelle. Cette couverture est particulièrement déterminante pour les entités gérant des flux clients internationaux : la capacité à vérifier un justificatif de domicile émis en Roumanie avec la même fiabilité qu'un avis d'imposition français élimine les angles morts géographiques qui constituent souvent des vecteurs de fraude documentaire.

Les solutions pour le secteur bancaire intègrent des workflows KYC et KYB automatisés qui s'articulent directement avec les matrices de scoring : le résultat de la vérification documentaire alimente en temps réel la note de risque du client, déclenche automatiquement le niveau de vigilance approprié et génère une trace d'audit consultable lors des inspections sur place. Cette traçabilité est précisément ce que les contrôleurs de l'ACPR recherchent : non pas un score isolé, mais la démonstration que ce score résulte d'un processus reproductible et documenté.

Sur le plan de la protection des données, notre approche sécurité détaille les mesures techniques et organisationnelles mises en place pour garantir la conformité RGPD des traitements documentaires, notamment les mécanismes de pseudonymisation, les durées de conservation paramétrables et les procédures de gestion des droits des personnes concernées.

Pour approfondir les méthodes de validation croisée des documents dans le cadre de l'évaluation des risques, consultez notre article sur l'évaluation des risques en conformité.

Pour en savoir plus sur la tarification des solutions d'automatisation, consultez nos tarifs ou contactez notre équipe.

Questions fréquemment posées

L'approche basée sur le risque est-elle obligatoire pour toutes les entités assujetties ?

Oui, l'Art. L561-4-1 du Code monétaire et financier impose à toutes les entités assujetties à la LCB-FT — banques, assureurs, notaires, avocats, agents immobiliers — de mettre en place une évaluation du risque proportionnelle à leur activité. L'ACPR vérifie l'existence et la qualité de cette évaluation lors de ses contrôles sur place.

Quelle est la différence entre la DCE simplifiée et la DCE renforcée ?

La DCE simplifiée s'applique aux clients dont le risque est objectivement faible (sociétés cotées, administrations publiques) et allège les obligations de collecte et de vérification. La DCE renforcée, à l'inverse, s'impose pour les PPE, les pays tiers à haut risque et les relations non présentielles : elle exige l'approbation de la direction générale et une surveillance continue renforcée.

Comment calculer un score de risque client conforme au référentiel GAFI ?

Un modèle de scoring conforme au GAFI combine des facteurs géographiques, client, produit et canal, chacun affecté d'une pondération reflétant l'exposition de l'entreprise. Le score obtenu détermine le niveau de vigilance applicable. La méthode doit être documentée, révisée au moins annuellement et mise à jour lors d'événements déclencheurs (changement d'activité, apparition d'une sanction, etc.).

Quelles sont les sanctions de l'ACPR en cas de non-respect de l'ABR ?

L'ACPR dispose d'un arsenal de sanctions allant de l'avertissement au blâme, en passant par des sanctions pécuniaires pouvant atteindre 100 millions d'euros ou 10 % du chiffre d'affaires. En 2023-2024, plusieurs établissements financiers ont été sanctionnés pour des carences dans leur évaluation des risques et l'absence de documentation de leur ABR. Consultez également notre guide de conformité documentaire pour les bonnes pratiques associées.

---

Avertissement : Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les exigences réglementaires peuvent évoluer. Consultez un professionnel qualifié pour toute question spécifique à votre situation.