La question n’est plus anecdotique. Depuis plusieurs années, les obligations de vérification d’identité — regroupées sous le terme KYC, pour Know Your Customer — se sont densifiées dans le droit français et européen. Pour les grandes entreprises disposant d’équipes dédiées à la conformité, cela représente une charge absorbable. Pour les TPE et PME, c’est une autre réalité.
Ce durcissement réglementaire s’inscrit dans un contexte européen de lutte contre le blanchiment des capitaux et le financement du terrorisme. Les directives AMLD5 et AMLD6, puis le règlement AMLR adopté en 2024, ont progressivement élargi le périmètre des acteurs concernés et alourdi les procédures. La question qui se pose aujourd’hui est simple : ces obligations sont-elles proportionnées aux capacités des petites structures ?
KYC : de quoi parle-t-on exactement ?
Le KYC désigne l’ensemble des procédures permettant à une entreprise d’identifier formellement ses clients, de vérifier l’origine de leurs fonds et d’évaluer le risque de blanchiment ou de fraude qu’ils représentent. En France, ce cadre est défini par les articles L561-1 à L561-50 du Code monétaire et financier, qui fixent les obligations de vigilance, de déclaration et de conservation des données pour les entités assujetties.
Ces obligations ne se limitent pas à l’identification initiale. Elles impliquent également un suivi continu de la relation client, des mises à jour régulières des dossiers et, dans certains cas, une vigilance renforcée pour les clients présentant un risque plus élevé — notamment les personnes politiquement exposées (PEP). Le tout doit être articulé avec les exigences du RGPD, ce qui crée une tension juridique réelle entre obligation de collecter des données et obligation de les minimiser.
Quelles entreprises sont réellement concernées en France ?
Le champ d’application du KYC s’est considérablement élargi ces dernières années. Comme le détaille ce panorama des obligations LCB-FT, les professionnels assujettis incluent désormais les banques, les assureurs, les prestataires de services de paiement, les acteurs du marché crypto, les agents immobiliers, les professions du droit, les commissaires aux comptes et certains marchands de biens de valeur. Les grandes entreprises de plus de 500 salariés sont par ailleurs soumises à une vigilance renforcée vis-à-vis de leurs fournisseurs au titre de la loi Sapin II.
Ce mouvement dépasse désormais le seul secteur financier. Les plateformes numériques, les marketplaces et d’autres acteurs de l’économie digitale intègrent progressivement des procédures de vérification d’identité. Ces exigences ne sont toutefois pas toujours obligatoires sur les plateformes internationales. Certains moyens de paiement basés sur la blockchain, ainsi que les plateformes iGaming flexibles, ne font pas systématiquement de la vérification d’identité une priorité — c’est d’ailleurs l’une des raisons pour lesquelles certains consommateurs français se tournent vers ces plateformes mondiales, notamment les casinos en ligne. Les meilleurs casinos sans kyc illustrent bien cet arbitrage : inscription rapide, accès immédiat, et des règles pensées pour l’utilisateur plutôt que pour l’administration — un équilibre que de nombreux secteurs numériques cherchent encore à atteindre.
Coût et charge administrative pour les TPE/PME
Pour une PME, la mise en conformité KYC représente un investissement humain et organisationnel significatif : collecte de documents (Kbis, statuts, justificatifs d’identité, bénéficiaires effectifs), filtrage des listes de sanctions, archivage pendant au moins cinq ans, et re-vérification périodique des dossiers. Sans compter que le moindre manquement expose à des sanctions qui peuvent atteindre plusieurs points de chiffre d’affaires — une menace proportionnellement bien plus lourde pour une petite structure que pour un groupe coté.
Les données récentes confirment cette pression. Selon le rapport annuel 2025 de la CNIL, 83 sanctions pour manquement au RGPD ont été prononcées en 2025, pour un montant cumulé de plus de 486 millions d’euros. Plus révélateur encore, une étude sur la cybersécurité des PME françaises indique que près de 70 % des sanctions prononcées par la CNIL en 2024 visaient des TPE/PME — signe que les petites entreprises ne sont plus à l’abri des contrôles. Le risque de sur-conformité est tout aussi réel : par crainte de la sanction, certaines PME alourdissent leurs processus d’onboarding au point de dégrader l’expérience client et de nuire à leur compétitivité.
Vers une simplification possible des procédures KYC ?
Plusieurs signaux laissent entrevoir une prise de conscience au niveau européen. Le Comité européen de la protection des données a adopté en 2025 la déclaration d’Helsinki, qui reconnaît explicitement les difficultés de mise en conformité pour les petites et moyennes organisations et ouvre la voie à une application plus proportionnée du RGPD. En parallèle, le règlement eIDAS facilite la reconnaissance des identifiants électroniques et de l’authentification à distance, rendant envisageable un KYC entièrement dématérialisé, moins coûteux à opérer pour les petites structures.
Cela dit, la trajectoire réglementaire globale reste orientée vers le durcissement. TRACFIN a reçu plus de 211 000 déclarations de soupçon en 2024, soit une hausse de plus de 13 % par rapport à l’année précédente, ce qui traduit une intensification continue des exigences de vigilance. Pour les TPE/PME françaises, l’enjeu n’est donc pas tant de contester ces obligations que d’identifier les outils — solutions SaaS de vérification automatisée, mutualisations sectorielles, accompagnement par des tiers de confiance — qui permettent de les absorber sans sacrifier le cœur de métier.
