LCB-FT 2026 : comment l'IA renforce la détection des risques sans alourdir l'onboarding CGP
Obligations LCB-FT pour les CGP en 2026 : comment l'IA automatise la détection des risques blanchiment sans rallonger l'onboarding client. Méthodes, outils, conformité TRACFIN.
La lutte contre le blanchiment et le financement du terrorisme est l'une des obligations les plus chronophages du cabinet CGP. Pour un conseiller gérant 150 à 300 clients actifs, le contrôle de l'identité, l'évaluation du risque de chaque relation d'affaires et la veille sur les changements de situation représentent entre 8 et 15 heures par mois — entièrement manuelles dans la plupart des cabinets.
En 2026, les moteurs d'IA intégrés aux logiciels CGP modernes automatisent une part substantielle de ces vérifications. Non pas pour remplacer le jugement professionnel — qui reste obligatoire et non-délégable — mais pour réduire le temps passé sur les tâches répétitives à faible valeur ajoutée : vérification documentaire, filtrage PEP/sanctions, alertes de changement de situation.
Les décisions de la Commission des sanctions AMF rappellent ce que l'autorité vérifie en priorité lors des contrôles CIF — qualité du dispositif LCB-FT, traçabilité des évaluations de risque, réactivité face aux signaux d'alerte. La préparation d'un contrôle est sensiblement allégée pour les cabinets disposant d'un outillage dédié — l'écart se chiffre généralement en jours pleins de travail récupérés.
Sur la période 2021-2026, 15 décisions AMF sur 72 contiennent un grief LCB-FT, soit environ 21 %. Quelques décisions récentes documentent les manquements types :
- Carat GP (SAN-2025-10, novembre 2025) — 2,5 M€ d'amendes cumulées. CIF sanctionné pour absence de procédure LCB-FT formalisée, défaut de cartographie des risques, KYC incomplet, défaillance d'archivage. Les deux dirigeants ont été sanctionnés à titre personnel, une première dans le secteur CIF. Décision officielle — AMF.
- SPI / Vincent Rhodes (SAN-2024-01, janvier 2024) — 30 000 € + interdiction d'exercice de 2 ans pour le dirigeant. CIF, manquement LCB-FT explicite et documentation non conforme. Décision — AMF.
- Sogenial Immobilier (SAN-2024-09, septembre 2024) — 180 000 €. SGP avec procédure LCB-FT existante mais non appliquée et diligences clients insuffisantes.
- Eternam (SAN-2025-08, septembre 2025) — 400 000 €. Dispositif LCB-FT jugé insuffisant.
- Altaroc Partners (SAN-2025-09, septembre 2025) — 1,3 M€. Formation des équipes insuffisante et défaillances documentaires KYB.
Les manquements types reviennent : absence de dispositif formalisé (procédure écrite + cartographie des risques), KYC incomplet (origine des fonds, justificatifs identité), formation insuffisante des équipes et absence de surveillance interne. À côté de cela, TRACFIN n'a reçu que 87 déclarations de soupçon des CIF en 2024 — pour 5 444 acteurs assujettis, un taux structurellement très faible que l'AMF lit comme un signal d'alerte sectoriel.
Voici ce que l'IA change concrètement — et ce qu'elle ne change pas.
Qu'est-ce que la LCB-FT impose concrètement à un CGP en 2026 ?
Les CGP exerçant sous statut CIF sont soumis aux obligations LCB-FT depuis l'ordonnance du 1er décembre 2016 transposant la 4e directive européenne, renforcées par la 5e directive (2020). Les textes applicables :
- Articles L. 561-1 à L. 561-50 du Code monétaire et financier — dispositif général
- Article L. 561-36 — désignation du correspondant TRACFIN
- Articles R. 561-5 à R. 561-22 — modalités d'identification et de vérification
- Lignes directrices AMF/ACPR LCB-FT pour les CIF (version 2022, mise à jour 2024)
Les obligations couvrent quatre domaines : identification et vérification de l'identité du client et du bénéficiaire effectif, évaluation du risque de la relation d'affaires, surveillance continue des opérations et mise à jour des informations, déclaration de soupçon à TRACFIN le cas échéant.
Selon les priorités de supervision AMF publiées en janvier 2026 (#IMPACT2027), les contrôles CIF ciblent en priorité la complétude et la mise à jour du dossier client, la formalisation de l'évaluation de risque par client, la traçabilité des décisions de surveillance renforcée, et l'existence d'un dispositif interne LCB-FT documenté. La décision Carat GP (2025) illustre les conséquences d'une absence de dispositif : 5 ans de manquements systémiques, archivage défaillant, conflits d'intérêts non documentés.
Comment l'IA automatise la détection des risques LCB-FT
Vérification documentaire et identification automatique
La vérification de l'identité d'un client requiert la lecture et le recoupement de plusieurs documents. Manuellement, cette étape prend 15 à 25 minutes par client, avec un risque d'erreur humaine sur les dates d'expiration, les cohérences nom/adresse ou les documents falsifiés.
Un moteur OCR couplé à des modèles de vérification documentaire extrait automatiquement les données d'identité, la date d'expiration du document et son statut de validité, la cohérence entre données déclarées et données extraites, et les anomalies visuelles élémentaires sur les zones MRZ.
Temps moyen avant IA : 20 à 25 minutes par dossier. Temps moyen avec IA : 3 à 5 minutes, relecture humaine des alertes uniquement. La validation finale reste du ressort du CGP — l'IA signale, le professionnel décide.
Filtrage PEP et listes de sanctions
Le filtrage des Personnes Exposées Politiquement et la vérification contre les listes de sanctions sont des obligations continues — pas seulement à l'entrée en relation. Un client peut devenir PEP après l'ouverture du dossier : nomination à une fonction publique, mariage avec une PEP.
L'automatisation permet un filtrage initial lors de l'ouverture du dossier, un rescreening périodique automatique (hebdomadaire ou mensuel selon le profil de risque), et une alerte immédiate lors d'un changement de statut sur les listes officielles.
Sur le taux de faux positifs : il dépend significativement de la qualité des données d'entrée. L'IA réduit ce taux en croisant plusieurs attributs plutôt qu'un seul — nom seul génère beaucoup de faux positifs, nom + date de naissance + nationalité donne un taux très faible.
Sources officielles gratuites pour le screening sanctions
Beaucoup de cabinets paient aujourd'hui pour des bases tierces (LexisNexis World Compliance, Thomson Reuters World-Check, Refinitiv) sans savoir que les sources primaires officielles sont publiques, gratuites et exploitables par API. Pour un cabinet CGP, deux sources sont incontournables :
- Registre national des personnes et entités faisant l'objet d'une mesure de gel des avoirs (RNGA) — tenu par la Direction générale du Trésor (DG Trésor). API publique JSON/XML, mise à jour quotidienne, sans authentification. Endpoint :
https://gels-avoirs.dgtresor.gouv.fr/ApiPublic/api/v1/publication/derniere-publication-fichier-xml. C'est la source officielle française des mesures restrictives applicables sur le territoire — toute opération impliquant une personne listée doit être bloquée et déclarée. - Liste consolidée des sanctions de l'Union européenne (EEAS) — Service européen pour l'action extérieure, format XML temps réel. Endpoint :
https://webgate.ec.europa.eu/fsd/fsf/public/files/xmlFullSanctionsList_1_1/content. Couvre les régimes de sanctions UE (Russie, Iran, Corée du Nord, terrorisme, cyber).
Une architecture de screening légère consiste à cron quotidien sur ces deux endpoints, parser local des fichiers XML, comparaison fuzzy contre la base clients, alerte si match. Les bases payantes ajoutent de la valeur sur les listes PEP et les bases internationales (OFAC US, HM Treasury UK, listes ONU) — mais la base RNGA + EEAS couvre l'obligation française minimale sans coût récurrent.
Évaluation automatique du profil de risque LCB-FT
Le dispositif LCB-FT impose une évaluation documentée du risque pour chaque relation d'affaires. Cette évaluation combine le risque client (PEP, antécédents, structure patrimoniale complexe, bénéficiaire effectif indirect), le risque géographique (pays de résidence, origine des fonds, liste GAFI) et le risque produit (type de produits conseillés).
Un moteur d'évaluation automatique calcule un score de risque à partir de ces paramètres, documente le raisonnement et détermine le niveau de vigilance applicable : simplifiée, standard, renforcée ou très renforcée.
Ce que l'IA ne fait pas : décider si une déclaration de soupçon doit être transmise à TRACFIN. Cette décision engage la responsabilité personnelle du correspondant TRACFIN désigné — elle ne peut pas être automatisée.
Surveillance continue et alertes de changement de situation
L'obligation de surveillance continue est souvent le point le plus difficile à opérationnaliser dans un cabinet sans outil dédié. Elle implique de détecter les changements qui modifient le profil de risque : nouveaux revenus ou patrimoine significatifs, changement de résidence vers un pays à risque, opérations atypiques au regard du profil.
L'automatisation permet la détection des opérations hors profil (montant, fréquence, nature), des alertes sur les événements de vie capturés lors des mises à jour annuelles du profil, et un rescreening automatique sur les listes sanctions/PEP.
Ce que les logiciels CGP existants ne font pas
La majorité des outils CGP en production aujourd'hui appartiennent au groupe Harvest (O2S, Big Expert, Quantalys, Fidroit, Manymore, Feefty), détenu depuis août 2024 par TA Associates et Montagu Private Equity. Ces outils proposent des modules de gestion documentaire et de KYC, mais ne couvrent pas nativement les briques d'IA décrites plus haut. À côté du stack historique, plusieurs éditeurs nouvelle génération se positionnent justement sur l'écart fonctionnel :
- Wealthcome (Canéjan, fondé 2022) — agrégation patrimoniale + suivi clients. Levée de 7 M€ avec BlackFin Capital Partners en 2025, 600 entités utilisatrices, 40 Md€ d'encours agrégés. IA en renforcement post-levée.
- Karbonalpha (Aix-Marseille, fondé ~2021) — élu Fintech de l'année 2024 par Gestion de Fortune. Différenciateur : piste d'audit fiable (PAF) sur blockchain et archivage à valeur probante (SAE) — réponse directe aux exigences de traçabilité non altérable.
- Majors.finance — positionnement IA-native le plus assumé du marché : 7 assistants IA spécialisés (fiscalité, conformité AMF, succession, droit des sociétés), hébergement souverain France, génération de DER en 3 minutes revendiquée.
Tableau comparatif sur les briques LCB-FT :
| Fonction LCB-FT | Stack Harvest historique | Nouvelle génération (Wealthcome, Karbonalpha, Majors, Fyneo) |
|---|---|---|
| OCR vérification pièce d'identité | Non (import manuel) | Oui (natif) |
| Filtrage PEP/sanctions automatique | Non ou via module externe payant | Oui (intégré, sources publiques RNGA + EEAS) |
| Score de risque LCB-FT calculé | Non | Oui |
| Rescreening périodique automatique | Non | Oui |
| Traçabilité horodatée des décisions | Partielle | Complète (Karbonalpha sur blockchain) |
| Alerte changement de situation | Non | Oui |
| LLM hébergé en France | Non concerné | Oui (Mistral, OVH, Scaleway) |
L'écart se creuse sur la traçabilité : les outils existants stockent des documents mais ne produisent pas de journal d'audit structuré des décisions de vigilance. Or c'est précisément ce que l'AMF demande lors d'un contrôle.
Mettre en place un dispositif LCB-FT outillé : les 4 critères à vérifier
Couverture fonctionnelle complète
L'outil doit couvrir les quatre modules : identification, filtrage PEP/sanctions, évaluation de risque, surveillance continue. Un outil couvrant seulement le KYC à l'entrée n'est pas conforme — la surveillance continue est une obligation distincte.
Traçabilité et archivage conforme
L'article R. 561-10-2 du Code monétaire et financier impose la conservation des pièces et informations LCB-FT pendant 5 ans après la fin de la relation d'affaires. L'archivage doit être horodaté, non altérable et restituable sur demande de l'AMF. Un système de fichiers partagés (Google Drive, SharePoint) ne satisfait pas à cette exigence — il n'offre pas de journal d'audit non altérable.
Hébergement des données — et du LLM — en France ou dans l'UE
Les données LCB-FT sont des données personnelles sensibles. Le RGPD impose que leur traitement soit localisé dans l'UE, avec des garanties documentées sur les sous-traitants. Le règlement DORA (en vigueur depuis janvier 2025) ajoute une obligation de tenir un registre des prestataires TIC, de contractualiser la localisation, le droit d'audit sur site et la stratégie de sortie — conditions absentes des CGU grand public d'OpenAI ou d'Anthropic. Une concentration sur un fournisseur tiers de services TIC critiques (CTPP) hors UE expose le cabinet à une supervision ESMA directe.
Le piège du LLM cloud US. Beaucoup d'éditeurs CGP qui revendiquent "l'IA" branchent en réalité un appel direct à une API américaine (OpenAI, Anthropic, Google Gemini) au moment de générer un rapport d'adéquation, une note d'analyse de profil ou une synthèse de dossier. À ce moment précis, des données KYC nominatives traversent l'Atlantique. Trois textes rendent cette pratique fragile :
- CJUE Schrems II (juillet 2020) — invalidation du Privacy Shield. Le Data Privacy Framework qui l'a remplacé en juillet 2023 est aujourd'hui contesté devant la CJUE par noyb — un "Schrems III" rendrait illégaux les transferts US du jour au lendemain.
- DORA — la concentration sur un CTPP non établi dans l'UE doit faire l'objet d'une analyse de risque documentée et d'une stratégie de sortie effective.
- AI Act (Règlement UE 2024/1689) — applicable aux systèmes haut risque en finance à partir d'août 2026 : le profilage de risque LCB-FT et la génération automatisée de documents réglementaires entrent typiquement dans cette catégorie. L'auditabilité du modèle, sa documentation technique et la traçabilité des décisions deviennent obligatoires — difficile à obtenir d'un fournisseur de modèle propriétaire fermé.
Solutions souveraines exploitables aujourd'hui pour un cabinet CGP qui veut rester aligné :
| Solution | Hébergement | Modèles | Tarif API entrée | Notes |
|---|---|---|---|---|
| Mistral La Plateforme | Paris | Large 3, Medium 3, Small 3 | 0,1 à 2 $/M tokens | Clé en main, pas d'infra. Aussi via Azure France Central et AWS Bedrock Frankfurt. |
| Scaleway Generative APIs | Paris | Mistral + Llama 3.3 70B | À partir de 0,2 €/M tokens (1M offerts) | <200 ms latence UE. |
| OVHcloud AI Endpoints | Gravelines (FR) | 40+ modèles open-source (DeepSeek, Qwen, Llama) | Pay-per-token | Souveraineté maximale, pas de dépendance US. |
C'est exactement la posture de Fyneo : tous les appels IA dans le SaaS passent par un proxy LiteLLM hébergé sur Azure France Central, qui route vers Mistral en priorité. Aucune donnée KYC ne quitte le territoire UE.
Point de vigilance complémentaire : les bases sanctions/PEP américaines (LexisNexis World Compliance, Thomson Reuters World-Check, Refinitiv) peuvent transiter par des serveurs hors UE. Vérifier les clauses de transfert et privilégier les sources officielles publiques décrites plus haut (RNGA Trésor + EEAS UE) pour la base obligatoire.
Formation et mise à jour réglementaire intégrées
L'obligation de formation LCB-FT des collaborateurs (15 heures par an minimum selon les lignes directrices ACPR) doit être documentée. Un bon outil intègre le suivi des formations et envoie des alertes de mise à jour réglementaire lors des modifications des listes officielles ou des lignes directrices.
Correspondant TRACFIN : ce que l'IA ne délègue pas
La désignation d'un correspondant TRACFIN est obligatoire pour tout CGP (article L. 561-36 CMF). Ce correspondant est personnellement responsable des déclarations de soupçon. L'IA peut aider à détecter les signaux d'alerte et à les prioriser — elle ne peut pas décider si une déclaration doit être transmise.
La décision de déclarer à TRACFIN engage la responsabilité civile et pénale du correspondant. L'article L. 574-1 du Code monétaire et financier prévoit des sanctions pénales en cas de divulgation de la déclaration au client (délit de "tipping off"). L'IA est un outil de détection et de priorisation. Le CGP reste le seul décisionnaire sur la déclaration.
FAQ — LCB-FT et automatisation pour les CGP
Un CGP CIF est-il directement soumis à la LCB-FT ?
Oui. Les CIF sont des "personnes assujetties" au sens de l'article L. 561-2 du Code monétaire et financier depuis l'ordonnance du 1er décembre 2016. Les obligations applicables incluent l'identification du client, l'évaluation du risque, la surveillance continue et la déclaration de soupçon à TRACFIN. Ces obligations s'appliquent qu'il s'agisse d'une société ou d'un exercice individuel.
Que risque un CGP en cas de manquement LCB-FT ?
L'AMF peut prononcer un avertissement, un blâme, une interdiction temporaire ou définitive d'exercer, et une sanction pécuniaire pouvant aller jusqu'à 100 millions d'euros ou 10 % du chiffre d'affaires annuel total (article L. 621-15 CMF). La décision Carat GP (SAN-2025-10, novembre 2025) illustre ce que coûtent plusieurs années de manquements systémiques : 2,5 M€ d'amendes cumulées entre la société et ses deux dirigeants, une première dans le secteur CIF où les dirigeants ont été personnellement sanctionnés. À comparer avec les 30 000 € de la décision SPI (janvier 2024) ou les 1,3 M€ d'Altaroc Partners (septembre 2025) : le montant dépend très directement de la gravité du dispositif manquant et de la durée des manquements. Consulter un avocat spécialisé en droit financier pour évaluer votre situation.
L'IA est-elle reconnue par l'AMF pour la vérification LCB-FT ?
Les lignes directrices conjointes AMF/ACPR sur la LCB-FT ne prescrivent pas de technologie spécifique — elles définissent des obligations de résultat. Un dispositif IA est valide s'il produit les mêmes résultats qu'un dispositif manuel : identification vérifiée, risque évalué, traçabilité assurée. La condition est que le CGP conserve le contrôle et la responsabilité des décisions.
Quelle différence entre LCB-FT et KYC ?
Le KYC (Know Your Customer) est un sous-ensemble de la LCB-FT. Il couvre l'identification et la vérification de l'identité du client. La LCB-FT va plus loin : évaluation du risque de la relation d'affaires, surveillance continue des opérations et obligation de déclaration à TRACFIN. Un outil "KYC uniquement" ne couvre qu'une partie des obligations LCB-FT.
Un cabinet CGP de 1 à 3 conseillers est-il concerné ?
Oui, sans seuil de taille. Les obligations LCB-FT s'appliquent dès le premier client. La proportionnalité existe dans le calibrage des mesures de vigilance (simplifiée pour les relations à faible risque), mais pas dans l'existence de l'obligation elle-même. Un cabinet solo gérant 50 clients patrimoniaux est soumis aux mêmes règles qu'un cabinet de 20 conseillers.
Conclusion
La LCB-FT n'est pas un sujet qu'on peut traiter une fois par an lors de la préparation d'un contrôle. C'est une obligation continue — identification, évaluation, surveillance, déclaration — qui doit s'intégrer dans le flux normal du cabinet.
Les outils IA modernes permettent d'automatiser une large part des vérifications répétitives — sans pour autant réduire la qualité du dispositif ni se substituer au jugement professionnel. La différence visible lors d'un contrôle AMF : un journal d'audit structuré, des évaluations de risque documentées et des rescreenings périodiques traçables — au lieu d'un dossier papier reconstitué en urgence.
Si vous cherchez un cadre d'exercice intégrant une conformité LCB-FT automatisée, un dispositif TRACFIN documenté et un back-office nouvelle génération, Fyneo organise un webinaire de présentation — premier point d'entrée pour découvrir le dispositif avant tout entretien individuel. Inscrivez-vous au prochain webinaire.
Sources et références
- Code monétaire et financier — Articles L. 561-1 à L. 561-50 (LCB-FT)
- Code monétaire et financier — Article L. 561-36 (correspondant TRACFIN)
- Code monétaire et financier — Articles R. 561-5 à R. 561-22 (identification et vérification)
- AMF/ACPR — Lignes directrices relatives à la LCB-FT pour les CIF (version 2024) : amf-france.org
- AMF — Priorités d'action et de supervision 2026 #IMPACT2027 (PDF janvier 2026)
- AMF — Décision Carat GP SAN-2025-10 (novembre 2025) : communiqué officiel
- AMF — Décision SPI / Vincent Rhodes SAN-2024-01 (janvier 2024) : communiqué officiel
- Synthèse sanctions LCB-FT 2021-2026 : lcb-ft.fr
- AMF — Chiffres clés CIF 2024 : amf-france.org/sites/institutionnel
- TRACFIN — Rapport annuel 2024 Tome I : economie.gouv.fr/tracfin
- ACPR — Bilan sanctions 2024 (analyse Deloitte) : deloitte.com/fr
- GAFI — Recommandations 2012, mises à jour 2024 : fatf-gafi.org
- Règlement DORA (UE) 2022/2554 — obligations IT pour entités financières, applicable depuis janvier 2025 : EUR-Lex 32022R2554
- Règlement AI Act (UE) 2024/1689 — applicable aux systèmes haut risque finance à partir d'août 2026 : EUR-Lex 32024R1689
- DG Trésor — Registre national gel des avoirs (RNGA), API publique : gels-avoirs.dgtresor.gouv.fr
- EEAS — Liste consolidée sanctions UE (Full Sanctions List XML) : webgate.ec.europa.eu/fsd
- noyb — Action contre le Data Privacy Framework UE-US : noyb.eu
- Mistral AI — La Plateforme (Paris) : mistral.ai
- Scaleway Generative APIs (Paris) : scaleway.com/en/generative-apis
- OVHcloud AI Endpoints (Gravelines) : ovhcloud.com/fr/public-cloud/ai-endpoints