Skip to content
Détection IA & DeepfakeNouveau

Signaux IA, synthétiques, deepfakes

Cas clientTarifsSécuritéComparatifBlog
GlossaireGuides paysChecklistsCalculateur ROI

Europe

Americas

Oceania

Conformité15 min de lecture

Guide conformité KYC/AML pour les néobanques et banques digitales 2026

Guide complet KYC et LCB-FT pour les néobanques et banques digitales en 2026 : AMLR, AMLD6, obligations ACPR/BaFin/FCA, détection de vivacité, et programme de conformité opérationnel.

L'équipe CheckFile
L'équipe CheckFile·
Illustration for Guide conformité KYC/AML pour les néobanques et banques digitales 2026 — Conformité

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Les néobanques et banques digitales sont soumises aux mêmes obligations KYC et LCB-FT que les établissements bancaires traditionnels — souvent dans des conditions opérationnelles plus contraignantes, car l'intégralité de l'entrée en relation se déroule à distance. En France, le cadre applicable est le Code monétaire et financier (CMF, articles L.561-1 à L.561-50), supervisé par l'ACPR ; à l'échelle européenne, le Règlement (UE) 2024/1624 (AMLR) sera directement applicable à partir du 10 juillet 2027, conjointement avec la Directive (UE) 2024/1640 (AMLD6). Les sanctions prononcées contre N26 (4,25 millions d'euros de la BaFin en 2021) et Starling Bank (29 millions de livres de la FCA en octobre 2024) montrent qu'une croissance rapide ne dispense pas d'investir dans une infrastructure de conformité solide dès le premier jour.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique, financier ou réglementaire.

Pour approfondir les processus de vérification documentaire lors de l'entrée en relation bancaire, consultez notre guide sur l'onboarding bancaire et la vérification KYC.

Cadre réglementaire applicable aux néobanques en 2026

Le cadre réglementaire des banques digitales converge entre les grandes juridictions. Le paquet AML européen, le cadre britannique post-Brexit et le Bank Secrecy Act américain imposent des obligations structurellement similaires — vérification d'identité, surveillance des transactions et déclaration de soupçon — mais avec des différences techniques que les néobanques opérant dans plusieurs pays doivent gérer de manière distincte.

Règlement Juridiction Obligation principale Calendrier
CMF art. L.561-1 à L.561-50 France Vigilance client, déclaration Tracfin, RCCI En vigueur
Règlement (UE) 2024/1624 (AMLR) UE Obligations CDD/EDD uniformes, application directe À partir du 10 juillet 2027
Directive (UE) 2024/1640 (AMLD6) UE Transposition nationale, coopération CRF Transposition avant le 10 juillet 2027
Règlement (UE) 2024/1620 (AMLA) UE Supervision directe de 40 entités transfrontalières Supervision directe à partir du 1er janvier 2028
Bank Secrecy Act, 31 USC §5318 États-Unis Programme LCB-FT, révision proposée le 7 avril 2026 par FinCEN En vigueur / révision en cours
EBA/GL/2021/21 (mis à jour oct. 2023) UE Détection de vivacité lors de l'entrée en relation à distance Applicable

L'AMLD6 (Directive (UE) 2024/1640) doit être transposée par les États membres de l'UE avant le 10 juillet 2027, date à laquelle l'AMLR entre également en application directe, supprimant les divergences d'implémentation nationale qui permettaient à certains acteurs de bénéficier d'un cadre plus souple.

Pour une présentation complète du paquet AML européen, consultez notre guide sur la conformité anti-blanchiment.

L'AMLA et la supervision directe

L'Autorité de lutte contre le blanchiment de capitaux (AMLA), créée par le Règlement (UE) 2024/1620 et dont le siège est à Francfort, sera pleinement opérationnelle pour la supervision directe à partir du 1er janvier 2028. Elle supervisera directement jusqu'à 40 entités financières transfrontalières présentes dans six États membres ou plus. Pour la grande majorité des néobanques, la supervision continuera d'être exercée par les autorités nationales compétentes (ACPR en France, BaFin en Allemagne, FCA au Royaume-Uni) — mais le règlement AMLR s'appliquera à toutes les entités assujetties, indépendamment du périmètre de supervision directe de l'AMLA.

Exigences KYC pour l'entrée en relation à distance

L'entrée en relation 100 % digitale crée des obligations de conformité spécifiques que les banques disposant d'agences physiques ne rencontrent pas dans les mêmes proportions. En l'absence d'agent humain, le risque de fraude à l'identité synthétique, de falsification documentaire et de deepfakes est structurellement plus élevé.

Documents d'identité acceptables

Sous le régime du CMF et de l'AMLR à venir, les exigences minimales pour l'entrée en relation avec un client particulier sont les suivantes :

  • Document d'identité principal : passeport en cours de validité, carte nationale d'identité ou permis de conduire biométrique
  • Justificatif de domicile : facture d'énergie, relevé bancaire ou document administratif de moins de trois mois
  • Bénéficiaires effectifs : pour les comptes professionnels, statuts de la société, extrait Kbis et identification de tous les bénéficiaires effectifs détenant 25 % ou plus du capital ou des droits de vote

Pour les clients personnes morales, la complexité de la vérification augmente sensiblement. L'ACPR attend des établissements qu'ils remontent l'ensemble des chaînes de détention jusqu'aux personnes physiques contrôlantes, ce qui peut nécessiter la vérification de documents couvrant plusieurs juridictions.

Détection de vivacité : une exigence obligatoire

Les EBA/GL/2021/21, dans leur version mise à jour d'octobre 2023, imposent la détection de vivacité lors de l'entrée en relation à distance ou digitale lorsqu'aucun agent humain n'est présent. Il ne s'agit pas d'une recommandation — c'est une attente prudentielle vérifiée lors des contrôles ACPR et EBA. La détection de vivacité doit confirmer que la personne présentant le document est physiquement présente, et non une photographie, un replay vidéo ou un deepfake. Les contrôles de vivacité actifs et passifs satisfont tous deux à cette exigence, à condition de respecter les critères de la norme ISO/IEC 30107-3 (Presentation Attack Detection).

Une néobanque qui se contente d'un simple téléchargement de document sans vérification de vivacité est en situation de non-conformité matérielle avec les EBA/GL/2021/21 et s'expose à une remise en cause prudentielle dans le cadre du CMF (France) et de l'AMLR (UE).

Approche fondée sur les risques pour la vigilance client

La vigilance standard (CDD) s'applique à la majorité des clients particuliers. La vigilance renforcée (EDD) est obligatoire pour :

  • Les personnes politiquement exposées (PPE) et leurs proches
  • Les clients ressortissants ou résidant dans des pays à risque élevé selon la liste GAFI (Juridictions à haut risque — GAFI)
  • Les clients dont les opérations sont incohérentes avec leur profil déclaré
  • Les relations de correspondance bancaire

La vigilance simplifiée (SDD) n'est autorisée que lorsque le risque est démontrablement faible — par exemple, des produits de monnaie électronique à faible valeur avec des plafonds de transaction. L'article 22 de l'AMLR définit explicitement les conditions d'application de la vigilance simplifiée, remplaçant les approches nationales discrétionnaires.

Obligations LCB-FT : surveillance des transactions et déclarations de soupçon

La surveillance des transactions constitue le cœur opérationnel d'un programme LCB-FT. Pour les néobanques traitant des volumes élevés de paiements en temps réel, le défi n'est pas de collecter les données transactionnelles mais de construire une logique d'alerte qui produit des signaux exploitables sans générer un volume de faux positifs ingérable.

Architecture du dispositif de surveillance

Un dispositif de surveillance des transactions efficace pour une néobanque doit couvrir :

  1. Règles paramétrées : règles de vélocité (par exemple, cinq dépôts d'espèces ou plus en 24 heures), détection du fractionnement (transactions juste en dessous des seuils déclaratifs) et corridors de paiement inhabituels
  2. Analyse comportementale : déviation par rapport au profil transactionnel établi du client, signalement des comptes qui soudainement interagissent avec des contreparties à risque élevé
  3. Criblage des sanctions : correspondance en temps réel avec les listes consolidées de l'UE, d'OFAC et du Trésor britannique (HM Treasury)
  4. Criblage PPE et médias défavorables : surveillance continue, et non uniquement lors de l'entrée en relation

Aux termes de l'article L.561-6 du CMF, les établissements assujettis doivent exercer une vigilance constante sur la relation d'affaires et examiner les opérations effectuées de façon à s'assurer de leur cohérence avec la connaissance actualisée du client. L'obligation équivalente de l'AMLR (article 42) impose une surveillance continue des transactions proportionnelle au risque.

Déclarations de soupçon (DS)

En France, les déclarations de soupçon sont transmises à Tracfin via le portail Ermes. Le responsable de la conformité (RCCI ou RCSI) est chargé d'examiner les signalements internes, de prendre la décision de déclaration et de conserver la traçabilité complète du processus. L'absence de déclaration alors qu'un soupçon est constitué est une infraction pénale en vertu des articles L.561-15 et L.561-29 du CMF.

Dans l'UE, les cellules de renseignement financier (CRF) sont des organismes nationaux coordonnés dans le cadre de l'AMLD6 et du Groupe Egmont. L'article 69 de l'AMLR fixe des délais obligatoires pour le dépôt des déclarations de soupçon une fois le soupçon identifié.

Aux États-Unis, les Suspicious Activity Reports (SAR) sont déposés auprès du FinCEN en vertu du 31 CFR §1020.320. Le FinCEN a publié le 7 avril 2026 une proposition de révision des exigences de programme LCB-FT au titre du 31 USC §5318, avec un accent particulier sur la documentation de l'évaluation des risques et la mesure de l'efficacité du programme.

Prêt à automatiser vos vérifications ?

Pilote gratuit sur vos propres documents. Résultats en 48 h.

Demander un pilote gratuit

Manquements courants et sanctions réglementaires

Le bilan des mesures coercitives contre les néobanques et les banques en ligne est désormais suffisamment étoffé pour en tirer des enseignements clairs. Les actions réglementaires ne visent pas principalement la mauvaise foi — elles sanctionnent des défaillances structurelles de programme qui persistent à mesure que les organisations se développent.

N26 : croissance plafonnée à 50 000 nouveaux clients par mois

La BaFin a infligé à N26 une amende de 4,25 millions d'euros en 2021 pour des carences dans la déclaration des actes de blanchiment et a plafonné l'acquisition de nouveaux comptes à 50 000 par mois jusqu'à l'achèvement des mesures correctives. Les défaillances sous-jacentes comprenaient des déclarations de soupçon tardives, une couverture incomplète de la surveillance des transactions et des dossiers KYC ne répondant pas aux normes requises. Le plafonnement de la croissance — plutôt que l'amende elle-même — a constitué la sanction commercialement significative : il a directement contraint l'expansion de N26 à une phase critique de son développement.

Starling Bank : amende de 29 millions de livres de la FCA en octobre 2024

La FCA a infligé à Starling Bank une amende de 29 millions de livres sterling en octobre 2024 pour des carences dans les contrôles de lutte contre la criminalité financière. L'enquête de la FCA a révélé que le criblage des sanctions financières de Starling ne couvrait pas l'ensemble de ses clients et que son dispositif de contrôle de la criminalité financière n'avait pas suivi le rythme de sa croissance rapide. Ce cas illustre directement le risque pour toute néobanque qui postule que l'infrastructure de conformité peut être mise en place après la phase de croissance.

Revolut : licence bancaire britannique accordée en juillet 2024

Revolut a obtenu sa licence bancaire britannique auprès de la PRA et de la FCA en juillet 2024, au terme d'un processus de demande prolongé comprenant un examen approfondi de ses dispositifs de conformité et de lutte contre la criminalité financière. L'octroi de la licence confirme que l'autorisation réglementaire est accessible aux néobanques — mais le calendrier illustre l'investissement en conformité nécessaire.

Schémas récurrents dans les sanctions visant les néobanques

Type de manquement Conséquence réglementaire Exemples
Déclarations de soupçon tardives ou absentes Responsabilité pénale ; sanction prudentielle N26 (BaFin 2021)
Criblage des sanctions insuffisant Conditions de licence ; amendes substantielles Starling (FCA 2024)
Dossiers KYC ne satisfaisant pas la norme CDD Ordres de mise en conformité ; suivi renforcé Multiples contrôles EBA
Lacunes dans la surveillance des transactions Mesures coercitives ; plan de conformité NYDFS — néobanques 2023-2025

Construire un programme de conformité LCB-FT pour une néobanque

Un programme conforme n'est pas un assemblage de solutions ponctuelles — c'est un cadre intégré qui relie la vérification lors de l'entrée en relation, la surveillance continue, le traitement des alertes et le reporting réglementaire en un système défendable avec des responsabilités clairement définies.

Composantes du programme

1. Politique et appétit pour le risque Le programme de conformité doit commencer par une déclaration d'appétit pour le risque formalisée, définissant les types de clients, les zones géographiques et les produits que l'établissement accepte ou refuse. Ce document ancre chaque décision de contrôle ultérieure et démontre aux superviseurs que le programme reflète une gestion réelle des risques.

2. Processus de vigilance client Le processus CDD doit être documenté, versionné et testé. Il doit préciser : quels documents sont acceptables pour chaque type de client, comment l'authenticité des documents est vérifiée, ce qui déclenche une vigilance renforcée, et comment les décisions sont enregistrées. L'analyse multi-couche (structurelle, métadonnées, cohérence inter-documents) mise en œuvre par CheckFile — couvrant plus de 3 200 types de documents dans 32 juridictions — permet une exécution cohérente de la vigilance client à grande échelle, y compris pour les documents provenant de marchés où les néobanques intègrent fréquemment des clients à distance.

3. Technologie et contrôles de vivacité La vérification automatisée des documents, la détection de vivacité et le criblage des sanctions doivent être intégrés à l'étape d'entrée en relation, et non exécutés comme des contrôles manuels a posteriori. L'exigence des EBA/GL/2021/21 en matière de détection de vivacité lors de l'entrée en relation à distance signifie qu'il s'agit d'une obligation de conformité, et non d'une amélioration facultative.

4. RCCI et gouvernance Le CMF impose la désignation d'un responsable de la conformité et du contrôle interne (RCCI) disposant d'une autorité et de ressources suffisantes. Le RCCI doit avoir accès direct à la direction générale et au conseil d'administration, et la capacité d'escalader les problèmes sans interférence organisationnelle. L'article 10 de l'AMLR exige de manière similaire qu'un membre de l'organe de direction soit désigné comme responsable de la conformité AML.

5. Formation L'ensemble du personnel en contact avec les clients ou traitant des transactions doit recevoir une formation LCB-FT adaptée à son rôle. Les registres de formation doivent être conservés et mis à jour lors de chaque évolution réglementaire.

6. Audit et assurance Un audit interne indépendant du programme LCB-FT doit être réalisé au moins annuellement, avec transmission des conclusions au comité d'audit du conseil. Le périmètre doit couvrir la qualité des dossiers CDD, le processus de déclaration de soupçon, l'efficacité de la surveillance des transactions et le taux d'achèvement des formations.

Pour un guide détaillé sur la structuration de la vérification documentaire dans un programme de conformité plus large, consultez le guide de la conformité documentaire.

Choisir un partenaire technologique KYC/AML

Lors de l'évaluation des prestataires technologiques, les équipes de conformité doivent vérifier :

  • La couverture des types de documents au regard de la géographie réelle des clients de l'établissement
  • La certification de détection de vivacité selon la norme ISO/IEC 30107-3 PAD Niveau 2 ou supérieur
  • La capacité d'intégration API avec les plateformes d'entrée en relation et les systèmes cœur bancaire existants
  • Les fonctionnalités de traçabilité et de conservation des données satisfaisant aux obligations de conservation de cinq ans
  • CheckFile propose des flux de vérification structurés pour les établissements financiers, avec une couverture de plus de 3 200 types de documents dans 32 juridictions

La plateforme CheckFile maintient des contrôles de sécurité des données robustes adaptés aux exigences du secteur financier. Pour les tarifs et la conception de programme, consultez la page tarifs CheckFile.

Questions fréquemment posées

Quels documents KYC une néobanque doit-elle collecter lors de l'entrée en relation ?

Au minimum, les néobanques doivent collecter un document d'identité officiel avec photographie (passeport, carte nationale d'identité ou permis de conduire biométrique) et un justificatif de domicile auprès de chaque client particulier. Pour les comptes professionnels, l'obligation s'étend aux documents constitutifs de la société, à la preuve du siège social et à la vérification d'identité de tous les bénéficiaires effectifs détenant 25 % ou plus. Les documents spécifiquement acceptables peuvent varier selon la juridiction, mais le niveau de vérification requis — sources fiables et indépendantes — s'applique uniformément en vertu du CMF et de l'AMLR à venir.

La détection de vivacité est-elle obligatoire pour les néobanques ?

Oui. Les EBA/GL/2021/21, dans leur version mise à jour d'octobre 2023, imposent la détection de vivacité lors de l'entrée en relation 100 % digitale lorsqu'aucun agent humain n'est présent. Pour la quasi-totalité des parcours d'entrée en relation des néobanques, cela signifie que les contrôles de vivacité sont obligatoires et non facultatifs. Les superviseurs en France, dans l'UE et au Royaume-Uni ont identifié l'onboarding digital sans contrôles de vivacité comme une défaillance de conformité matérielle.

Comment l'AMLD6 affecte-t-elle les néobanques opérant dans plusieurs États membres de l'UE ?

L'AMLD6 (Directive (UE) 2024/1640) doit être transposée dans le droit national avant le 10 juillet 2027. Elle fonctionne conjointement avec l'AMLR (Règlement (UE) 2024/1624), qui est directement applicable à la même date. Ensemble, ces instruments créent un règlement LCB-FT uniforme dans tous les États membres de l'UE, éliminant l'arbitrage réglementaire qui permettait auparavant aux néobanques de structurer leurs opérations européennes autour de l'implémentation nationale la plus souple. Une néobanque agréée dans n'importe quel État membre de l'UE doit se conformer à l'AMLR à partir du 10 juillet 2027.

Quelles sont les obligations de déclaration de soupçon pour les néobanques françaises ?

Les néobanques françaises doivent déposer une déclaration de soupçon auprès de Tracfin via le portail Ermes dès lors que le RCCI détermine qu'il existe des raisons plausibles de soupçonner un blanchiment de capitaux ou un financement du terrorisme. Il n'existe pas de seuil minimum de montant pour la déclaration de soupçon — le déclencheur est le soupçon, pas la valeur de l'opération. L'absence de déclaration alors qu'un soupçon est constitué est une infraction pénale en vertu des articles L.561-15 et L.561-29 du CMF. Le RCCI doit conserver la trace de tous les signalements internes reçus et de toutes les décisions de déclaration prises.

Une néobanque peut-elle appliquer la vigilance simplifiée à l'ensemble de ses clients particuliers ?

Non. La vigilance simplifiée (SDD) n'est autorisée que lorsque le client et le produit présentent un risque de blanchiment et de financement du terrorisme démontrablement faible. L'article 22 de l'AMLR fixe des conditions explicites pour la vigilance simplifiée — notamment des plafonds de transaction bas et des restrictions sur les types d'opérations pouvant être effectuées. Un compte courant ou de paiement standard sans limitation de valeur ou géographique ne remplit pas les conditions de la vigilance simplifiée. La grande majorité des comptes de néobanques destinés au grand public requiert au minimum la vigilance standard.

Restez informé

Recevez nos analyses conformité et guides pratiques, directement dans votre boîte mail.

Prêt à automatiser vos vérifications ?

Pilote gratuit sur vos propres documents. Résultats en 48 h.

Articles associés

Conformité9 min

Know Your Supplier (KYS) : vérification et conformité fournisseurs

Guide complet sur la démarche KYS : obligations légales, étapes de vérification, outils et bonnes pratiques pour sécuriser vos relations fournisseurs en 2026.

Lire
Conformité9 min

Conformité LCB-FT pour les gestionnaires de patrimoine 2026

Obligations LCB-FT des CGP, CIF et gérants de fortune en 2026 : KYC, vigilance renforcée, déclarations TRACFIN, sanctions ACPR et comment automatiser la vérification documentaire.

Lire
Conformité10 min

Directive lanceurs d'alerte : guide conformité et documentation 2026

Obligations documentaires complètes pour la conformité à la Directive UE 2019/1937 et la loi française 2022-401 : canaux de signalement, gestion des dossiers, sanctions.

Lire