Article
8 juillet 2026
Votre onboarding KYB onboarding irréprochable. Votre évaluation périodique constitue un risque.

Pourquoi les clients bien intégrés constituent-ils votre plus grand risque en matière de réglementation ?
La plupart des établissements financiers et de paiement soumis à une réglementation ont investi massivement dans onboarding les flux de travail, les portails, les contrôles automatisés des documents. Le dossier est en règle dès le premier jour. Le problème se pose au 730e jour.
Les autorités de régulation ne sanctionnent pas principalement les entreprises pour onboarding mauvaise onboarding; elles les sanctionnent pour ne pas avoir su maintenir une vision à jour de l'identité de leurs clients et de l'évolution de leur profil de risque.
Dans la quasi-totalité des décisions de sanction de l’ACPR publiées depuis 2023, ce sont les manquements liés au suivi continu de la connaissance du client, et non onboarding, qui constituent le principal motif de sanction. MoneyGram a fait l’objet de 3 de ses 8 motifs de sanction portant directement sur des manquements en matière de conformité aux exigences « KYC » et de diligence renforcée (Compliance Partners, mai 2026). La Chaabi Bank a été sanctionnée pour ne pas avoir maintenu une « vigilance constante » à l'égard de clients actifs depuis des années (Compliance Partners, novembre 2025). La tendance est constante.
Principaux enseignements
- C'estla vigilance continue qui est la principale source de sanctions réglementaires, et non onboarding. Dans les récentes décisions de l’ACPR, les manquements en matière de KYC et de vigilance continue représentent la majorité des plaintes retenues, qu’il s’agisse de MoneyGram (3 plaintes sur 8, 2026) ou de la Chaabi Bank (5 plaintes, toutes liées à la vigilance continue, 2025) (Compliance Partners, 2025-2026).
- La plupart des processus de révision périodique sont manuels par conception, et non par hasard. Une demande d'informations (RFI) représentative datant du quatrième trimestre 2025, émanant d'un grand établissement de paiement européen, décrivait chaque interaction liée à la révision périodique comme étant gérée par e-mail, sans portail client, sans visibilité centralisée, et avec des responsables KYB dépendant des équipes commerciales pour relancer les clients en leur nom. Il ne s'agit pas d'un cas isolé, mais bien de la norme dans le secteur.
- Chaque vérification KYC coûte entre 1 500 et 3 500 dollars par entité juridique. Les deux tiers des établissements financiers interrogés par Fenergo estiment le coût moyen d’une vérification KYC pour un client professionnel à 2 598 dollars (Fenergo, 2023). Pour un portefeuille de 5 000 entreprises devant faire l'objet d'un contrôle, cela représente un risque opérationnel de 13 millions de dollars avant même qu'une seule sanction ne soit infligée.
- Les cycles de vérification s'allongent, ils ne raccourcissent pas. Plus de la moitié des établissements financiers consacrent entre 61 et 150 jours aux vérifications KYC de leurs clients (Fenergo, 2024). Chaque jour où un examen dépasse la date limite prévue est un jour d'exposition réglementaire avérée.
- La circulation de documents sensibles par e-mail constitue en soi un risque en matière de conformité. Les dossiers KYB des entreprises (documents d’identité des bénéficiaires effectifs, registres des actionnaires, justificatifs de l’origine des fonds) sont transmis via des boîtes de réception personnelles, sans piste d’audit, sans cryptage obligatoire et sans chaîne de traçabilité. Le risque lié à la protection des données vient s’ajouter au risque lié à la lutte contre le blanchiment d’argent.
- L'automatisation des contrôles périodiques est une réalité, et non un simple objectif. Les établissements qui ont automatisé leurs cycles de diligence raisonnable continue font état d'une réduction pouvant atteindre 90 % des tâches manuelles, avec des effectifs réduits de moitié sans aucune perte de qualité des contrôles (données des clients d'Ondorse).
Pourquoi les risques réglementaires se concentrent-ils après onboarding?
La logique réglementaire est simple. En vertu de l'article L561-6 du Code monétaire et financier français, ainsi que des dispositions équivalentes des directives européennes relatives à la lutte contre le blanchiment de capitaux (AML), les établissements réglementés ne sont pas simplement tenus de vérifier l'identité de leurs clients une seule fois lors de onboarding. Ils sont tenus de maintenir une connaissance continue et actualisée de la relation d'affaires, adaptée au niveau de risque du client.
Conséquence concrète : un client dont la structure du bénéficiaire effectif ultime (UBO) a changé il y a deux ans, qui s'est diversifié dans un nouveau secteur d'activité ou dont les dirigeants ont fait l'objet d'une procédure de sanctions, doit être repéré dans le cadre de votre cycle de vérification, et non par un organisme de contrôle lors d'un contrôle.
La fréquence des révisions est laissée à la discrétion de chacun. Les pratiques du marché fixent toutefois une cadence minimale :
- Risque faible: réévaluation au moins tous les trois ans
- Risque standard: au moins tous les deux ans
- Risque élevé et très élevé: intervalles plus fréquents, définis par la politique de classification des risques de chaque établissement
Au-delà des contrôles programmés, certains événements déclencheurs spécifiques (un nouvel abonnement à un produit, un changement de propriété effective, une mise à jour du statut de personne politiquement exposée (PPE) ou une alerte médiatique défavorable) nécessitent un contrôle immédiat, déclenché par l'événement, quelle que soit la date du dernier contrôle programmé.
La plupart des établissements sont capables de décrire cette politique sur le papier. Très peu d'entre eux sont en mesure de la mettre en pratique et d'en apporter la preuve.
À quoi ressemble concrètement le processus actuel de révision périodique ?
Voici ce qu'un grand établissement de paiement européen a décrit dans une demande d'informations (RFI) concernant une plateforme KYB, sans aucune exagération :
« Il n'existe pas de portail client dédié à onboarding aux contrôles périodiques. Toutes les interactions avec les clients sont gérées manuellement par e-mail. Pour les contrôles périodiques, les responsables KYB procèdent d'abord à une vérification interne. Ils demandent ensuite les informations manquantes au service commercial ou aux clients. Si le client ne répond pas, les responsables KYB doivent relancer le service commercial, qui doit alors recontacter le client. »
Il s'agit d'une entreprise présente dans plus de 10 pays et qui traite des milliards de transactions de paiement. Si tel est le processus à cette échelle, les établissements plus modestes, qui effectuent des vérifications périodiques à l'aide de tableurs et de rappels dans leur agenda, se trouvent dans une situation structurellement moins favorable.
Le schéma décrit ci-dessus est quasi universel parmi les fintechs et les établissements de paiement du marché intermédiaire :
- Un collaborateur de KYB constate qu'un suivi client est en retard, généralement à l'aide d'un tableur ou d'un indicateur simple dans le CRM.
- Le responsable rédige un e-mail à l'attention du chargé de compte ou du responsable commercial pour lui demander de « prendre contact avec le client ».
- Le chargé de compte envoie un e-mail au client dans lequel il énumère les documents requis.
- Le client répond (ou ne répond pas). S'il ne répond pas, le processus revient à l'étape 2, mais avec un délai.
- Les documents nous parviennent par e-mail dans divers formats ; ils sont souvent incomplets ou périmés.
- Le responsable KYB se charge manuellement de la lecture, du classement et de l'archivage des documents… souvent sur un disque partagé ou directement dans la boîte de réception.
- L'agent met à jour le score de risque. Il n'existe aucune piste d'audit reliant ce nouveau score aux éléments de preuve recueillis.
À chaque étape, les informations sont ressaisies. À chaque étape, la responsabilité est diffuse. À chaque étape, il existe un écart entre ce que votre politique prévoit et ce qui se passe réellement.
Quels sont les inconvénients de cette approche ?
Les défaillances ne sont pas isolées. Elles sont systémiques.
- Les lacunes en matière de surveillance s'accumulent à l'insu de tous. Lorsque les contrôles s'effectuent par e-mail, il n'existe aucun endroit où un responsable de la conformité ou un responsable de la lutte contre le blanchiment (MLRO) puisse voir combien de contrôles sont en retard, depuis combien de jours, et quels clients sont concernés. Le risque est bien réel, mais impossible à quantifier.
- Les équipes commerciales deviennent, sans le vouloir, des freins à la conformité. Les responsables KYB comptent sur les chargés de clientèle pour relancer les clients. Or, ces derniers ont des objectifs de chiffre d'affaires à atteindre. La structure même du système les incite à retarder, à édulcorer ou à simplifier la demande. Les contrôles sont alors relégués au second plan.
- Les documents ne constituent aucune preuve. Un fichier PDF reçu par e-mail et stocké dans un dossier partagé ne comporte aucune trace de métadonnées permettant de déterminer quand il a été reçu, qui l'a examiné, quelle décision il a étayée et quand il perdra sa validité. Ce type de fichier ne tiendra pas la route lors d'un contrôle de l'ACPR.
- Des données sensibles circulent sans aucun contrôle. Les pièces d'identité des bénéficiaires effectifs, les justificatifs de l'origine des fonds et les structures actionnariales des entreprises sont transmis via les boîtes de réception des employés. Cela enfreint à la fois les principes de minimisation des données du RGPD et les exigences fondamentales en matière de chaîne de traçabilité dans le cadre de la lutte contre le blanchiment d'argent.
- Aucun événement déclencheur n'est transmis à la file d'attente d'examen. Le directeur d'un client figure sur une liste de sanctions mise à jour. Une entrée du registre fait état d'un changement de propriété effective. Le cycle d'examen périodique (basé sur le calendrier) ne dispose d'aucun mécanisme permettant de détecter cet événement et d'accélérer l'examen. L'événement passe inaperçu jusqu'au prochain cycle prévu.
- Les clients à haut risque ne font pas l'objet d'un traitement différent de celui réservé aux clients à faible risque. En l'absence d'un système automatisé d'orientation en fonction du risque, la fréquence des contrôles reste uniforme. Le fait qu'un client à haut risque fasse l'objet d'un contrôle annuel, à la même fréquence qu'un client à faible risque contrôlé tous les cinq ans, ne relève pas d'une approche fondée sur le risque. Il s'agit d'une approche uniforme.
Le registre des sanctions de l'ACPR illustre concrètement ces conséquences. En juin 2025, une banque bien établie s'est vu infliger un avertissement et une amende de 600 000 €, les lacunes constatées dans la connaissance continue de la clientèle ayant été explicitement mentionnées (AfterData, 2025). L'année précédente, une société de services financiers s'était vu infliger une amende d'un million d'euros pour une gestion insuffisante de la procédure « Know Your Customer » (KYC) (Deloitte ACPR Bilan 2024). Dans les deux cas, onboarding pas onboarding qui constituait le principal vecteur de risque, mais bien la vigilance continue.
À quoi devrait ressembler un cycle moderne d'inspection périodique KYB ?
Une architecture adéquate repose sur un principe différent. Plutôt que de considérer les révisions périodiques comme des tâches administratives distinctes déclenchées par un calendrier, le modèle approprié traite le cycle de révision comme un processus continu qui combine des cadences programmées et des déclencheurs liés à des événements, le tout au sein d'un flux de travail structuré permettant de prendre des décisions vérifiables.
Des fréquences d'examen stratifiées en fonction du risque, et non des calendriers fixes. La fréquence des examens doit être déterminée par le niveau de risque actuel du client ; celui-ci doit lui-même être mis à jour de manière dynamique à mesure que de nouvelles informations sont disponibles. Une entreprise qui présentait un faible niveau de risque lors de onboarding qui s'est depuis implantée dans une juridiction à haut risque, a changé de bénéficiaire effectif ou a fait l'objet de couvertures médiatiques défavorables, doit faire l'objet d'un examen à une fréquence adaptée à son niveau de risque actuel, et non à celle qui lui avait été attribuée il y a deux ans.
Les vérifications déclenchées par des événements, qui s’exécutent en parallèle des vérifications programmées. Changements de propriété dans le registre du commerce, mises à jour des listes de sanctions, alertes médiatiques négatives, changements de statut des personnes politiquement exposées (PPE) : chacun de ces éléments devrait automatiquement déclencher une nouvelle tâche de vérification sans attendre le cycle programmé. C’est précisément ce qu’exige l’article L561-6 : effectuer une vérification dès que les informations changent, et non pas uniquement selon un calendrier fixe.
Un portail client dédié, et non un échange d'e-mails. La collecte des documents doit s'effectuer via un canal structuré où le client sait exactement ce qui lui est demandé, peut télécharger ses documents en une seule fois et reçoit immédiatement un retour sur la validation. Cela permet d'éliminer complètement l'étape de l'intermédiaire commercial et de créer un historique vérifiable de chaque interaction.
case management centralisée case management visibilité sur la file d'attente. Chaque examen en retard doit apparaître dans une file d'attente unique et classée par ordre de priorité. Les agents KYB doivent pouvoir voir les dossiers à traiter, leur retard et ceux dont ils sont responsables. Les chefs d'équipe doivent pouvoir visualiser la répartition de la charge de travail au sein de leur équipe. Le MLRO doit pouvoir générer à tout moment un aperçu de l'état d'avancement des examens du portefeuille, sans avoir à le reconstituer à partir d'un tableur.
Pistes d'audit immuables liées aux décisions. Chaque document collecté, chaque mise à jour de la note de risque, chaque décision d'examen doit être horodatée et liée aux éléments de preuve qui l'ont étayée. Non pas simplement stockée dans un dossier, mais intégrée au dossier de la affaire, avec la logique décisionnelle consignée.
Est-il possible d'automatiser le cycle de révision sans perdre le contrôle ?
Oui, et l’argument selon lequel l’automatisation sacrifie le jugement est un faux débat. Les tâches qui tirent le plus profit de l’automatisation ne sont pas les tâches analytiques. Il s’agit des tâches de coordination : planifier les fenêtres de révision par niveau de risque, rouvrir les portails clients avec une séquence de suivi configurable, procéder quotidiennement à un nouveau filtrage des entités par rapport aux listes de sanctions et de personnalités politiques exposées (PEP), surveiller les registres du commerce pour détecter les changements structurels, et acheminer automatiquement les dossiers en retard vers l’analyste compétent.
Une fintech spécialisée dans les paiements a déployé Ondorse sur l’ensemble de son cycle de conformité, en partant d’une situation que la plupart des équipes de conformité reconnaîtraient : 17 000 entités commerciales à examiner, un minimum de données initiales et un plan de 12 mois s’appuyant sur 6 ETP chargés d’effectuer des vérifications manuelles. Au bout de 5 mois, 90 % du portefeuille avait été traité. L’équipe ne comptait plus que 2,5 ETP. Les vérifications de documents qui nécessitaient auparavant 4 personnes travaillant manuellement pendant 90 jours (3 500 pièces d’identité périmées) ont été entièrement automatisées. Le volet de mise à jour périodique des données d’identification (re-KYB) s’est déroulé sans intervention du service commercial.
Le travail d'analyse, comme l'évaluation du contexte, reste du ressort du responsable de la conformité. L'automatisation se charge des aspects logistiques. Le résultat n'est pas une « boîte noire » : il s'agit d'un responsable de la conformité qui consacre son temps aux dossiers nécessitant un jugement, plutôt que de courir après les commerciaux pour récupérer des documents qui auraient dû être remis il y a six semaines.
Dans le cadre des déploiements d'Ondorse au sein d'établissements de paiement réglementés, les équipes chargées des cycles de révision périodiques du KYB constatent en moyenne une réduction de 65 % du taux de révisions en retard dans les six mois suivant le déploiement, et réduisent de temps moyen de traitement des dossiers de moitié : de 20 minutes à moins de 10 minutes par dossier. Les objectifs annuels de révision, qui nécessitaient auparavant 12 mois, sont désormais atteints en 5.
En quoi Ondorse se distingue-t-il en matière d'évaluations périodiques ?
Le module « Ongoing Due Diligence » (ODD) d’Ondorse a été conçu précisément pour combler cette lacune. Il ne considère pas les examens périodiques comme un simple complément à onboarding. Il traite le cycle d’examen comme un processus structuré à part entière, doté de sa propre logique, de ses propres déclencheurs et de son propre niveau d’audit.
Les mécanismes de base :
- Planification stratifiée en fonction du risque: les fréquences de contrôle sont définies en fonction du profil de risque (faible, moyen, élevé) et appliquées automatiquement. Lorsque le score de risque d'un client évolue, la fréquence est mise à jour en conséquence.
- Vérifications déclenchées par des événements: les modifications apportées au registre, les sanctions infligées, les alertes médiatiques négatives et les dates d'expiration des documents déclenchent toutes automatiquement des tâches de vérification, indépendamment du cycle prévu.
- Portail client, réactivé à la demande: pour chaque révision, le portail client est réactivé avec une demande de documents préconfigurée et adaptée au profil du client. Les séquences de suivi s'exécutent automatiquement ; les responsables KYB ne sont avertis que lorsqu'une escalade est nécessaire.
- Vérification quotidienne: chaque entité active – qu’il s’agisse d’une personne morale ou physique – fait l’objet d’une vérification quotidienne par rapport aux listes de sanctions, aux bases de données sur les personnes politiquement exposées (PPE) et aux sources médiatiques négatives.
- Gestion de la file d'attente: toutes les révisions en cours apparaissent dans une file d'attente classée par ordre de priorité, en fonction de leur urgence, et sont attribuées aux analystes selon des règles de routage configurables. Aucune révision n'est laissée de côté.
- Historique immuable: chaque état, chaque transition, chaque document, chaque décision est consigné et ne peut être modifié… mais seulement ajouté à la fin. La piste d'audit est une propriété structurelle de la plateforme, et non une fonctionnalité de reporting.
Pour les équipes chargées de la conformité qui gèrent un portefeuille de clients en pleine expansion et soumises à une surveillance réglementaire de plus en plus stricte, il ne s’agit pas d’une amélioration mineure. C’est la différence entre un processus de vérification qui n’existe que sur le papier et un processus qui résiste à un contrôle.
Vous avez des questions sur la manière dont Ondorse gère les examens périodiques KYB en fonction de votre contexte réglementaire spécifique ou de la taille de votre portefeuille ? N'hésitez pas à contacter notre équipe.
Découvrez notre dernier guide
Tout ce qu'il faut savoir sur ce sujet
Rubrique
Sous-texte
.jpeg)


