- La loi du 18 septembre 2017 impose à toute entité assujettie une démarche KYC formalisée, documentée et proportionnée au risque — pas un simple formulaire.
- Quatre obligations structurent la démarche : identification, vérification, évaluation du risque, surveillance continue. Chacune doit être tracée et auditable.
- L'approche par les risques (Risk-Based Approach) est le fil conducteur : une diligence uniforme appliquée à tous les clients est explicitement non conforme.
- L'entrée en application du règlement AMLR et la création de l'AMLA à Francfort redistribuent les cartes dès le 10 juillet 2027 — il faut aligner vos processus dès maintenant.
- Une conservation insuffisante, un bénéficiaire effectif non documenté ou un dépistage PEP absent sont les trois non-conformités les plus sanctionnées par la BNB et la FSMA.
Pourquoi le KYC n'est plus une formalité administrative
Depuis l'entrée en vigueur de la loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme (LBC/FT), le Know Your Customer a changé de statut. Il n'est plus une case à cocher au début d'une relation d'affaires : c'est un processus continu, auditable, que le régulateur contrôle à tout moment et qui, en cas de défaillance, engage directement la responsabilité de l'organisation et de ses dirigeants.
La Cellule de Traitement des Informations Financières (CTIF) a enregistré plus de 47 000 déclarations de soupçon en 2023, un niveau record. La Banque nationale de Belgique et la FSMA ont multiplié les sanctions administratives pour défaut de diligence : absence de dépistage PEP, bénéficiaire effectif non identifié, surveillance continue inexistante. L'ère de la conformité "papier" est terminée.
Le cadre légal belge en un coup d'œil
La Belgique s'inscrit dans un écosystème normatif à trois étages : international (GAFI), européen (directives AMLD puis règlement AMLR), et national (loi LBC/FT du 18 septembre 2017 et arrêtés royaux d'exécution).
| Critère | 4e directive (2015) | 5e directive (2018) | Paquet AML 2024 |
|---|---|---|---|
| Approche par les risques | |||
| Registre des bénéficiaires effectifs | |||
| Crypto-actifs couverts | |||
| Accès public au registre UBO | Accès restreint (CJUE 2022) | ||
| Superviseur européen unique (AMLA) | |||
| Seuil d'identification — espèces | 10 000 € | 10 000 € | 3 000 € (professionnels) |
| Transposition obligatoire | Application directe (règlement) |
Texte de référence : la loi du 18 septembre 2017
La loi organise cinq obligations centrales :
- Identification du client, du mandataire et du bénéficiaire effectif (art. 21 à 25).
- Vérification de l'identité à l'aide de documents probants et de sources fiables et indépendantes (art. 26 à 28).
- Évaluation des risques individuelle (art. 19) et globale (art. 16).
- Vigilance constante : mise à jour périodique, détection d'anomalies, examen des opérations (art. 35).
- Déclaration de soupçon à la CTIF dès qu'il existe un indice de blanchiment (art. 47).
Les quatre piliers opérationnels d'un KYC conforme
1. Identification
Avant toute opérationCollecte des données nominatives complètes : nom, prénom, date et lieu de naissance, adresse, nationalité pour les personnes physiques ; dénomination, forme juridique, numéro BCE, siège social et structure capitalistique pour les personnes morales. Identification des bénéficiaires effectifs (UBO) à partir de 25 % de détention ou de contrôle effectif.
2. Vérification
Avant ou pendant la relationConfrontation de l'identité aux documents probants : carte d'identité électronique (itsme®, lecteur eID), passeport, extrait de la BCE, registre UBO, statuts publiés au Moniteur belge. Pour les personnes morales étrangères, registre du pays d'origine traduit et légalisé ou apostillé.
3. Évaluation du risque
À l'onboarding puis en continuAttribution d'un score AML combinant profil client (secteur, historique, structure), géographie (juridictions à haut risque, pays listés par la Commission européenne), produit/service (complexité, opacité, numéraire) et canal de distribution (présentiel, distance, intermédiaire). Le score détermine l'intensité de la diligence.
4. Surveillance continue
Toute la durée de la relationRevue périodique du dossier (annuelle pour un risque élevé, triennale pour un risque faible), monitoring transactionnel, dépistage PEP et sanctions quotidien, détection d'anomalies comportementales. Déclenchement d'une déclaration de soupçon à la CTIF en cas d'indice sérieux.
Bénéficiaires effectifs : là où le régulateur regarde en premier
Le Registre UBO (Ultimate Beneficial Owner), tenu par le SPF Finances, centralise les déclarations de toutes les sociétés et (i)ASBL belges depuis 2019. L'article 4, 27° de la loi définit l'UBO comme toute personne physique détenant directement ou indirectement plus de 25 % des droits de vote, des parts, ou exerçant un contrôle par d'autres moyens.
Diligence standard vs diligence renforcée
L'approche par les risques (Risk-Based Approach) est l'architecture intellectuelle de tout le dispositif : une diligence uniforme, appliquée à chaque client de la même manière, est explicitement non conforme. Le régulateur attend une modulation.
Avantages
- Ressources concentrées sur les clients qui le méritent réellement (PEP, juridictions sensibles, structures opaques).
- Onboarding plus rapide pour les clients à risque faible : moins de friction commerciale.
- Documentation défendable face au régulateur : chaque niveau de diligence est motivé par une analyse.
- Réduction du risque réputationnel : moins de clients passent sous les radars car chaque catégorie est surveillée à sa juste intensité.
Inconvénients
- Nécessite une méthodologie de scoring formalisée, validée et documentée — pas d'intuition.
- Exige un SI capable de tracer les scores, les alertes et les décisions (pas de conformité Excel).
- Implique une gouvernance claire : qui valide les dérogations, qui escalade, qui archive.
- Requiert des revalidations périodiques de la matrice de risque pour éviter la dérive.
Cas déclenchant une diligence renforcée (EDD)
Red flags imposant une EDD
Personne politiquement exposée (PEP), membre de famille ou proche collaborateur
Approbation hiérarchique obligatoire + origine des fonds documentée (art. 41).
Client domicilié dans un pays à haut risque
Pays listés par la Commission européenne (règlement délégué 2016/1675 mis à jour régulièrement).
Relation nouée à distance sans vérification fiable de l'identité
Utilisation d'itsme®, eIDAS ou tiers introducteur équivalent requise.
Structure complexe ou inhabituelle eu égard à l'activité
Holdings en cascade, fiducies, trusts étrangers, actionnariat nominee.
Opération atypique par rapport au profil
Volumes, fréquence, contreparties, pays incohérents avec le comportement connu.
Secteurs sensibles : crypto, jeux, matières précieuses, armes, biens culturels
Due diligence sectorielle imposée par la BNB ou la FSMA selon le régulateur compétent.
Processus opérationnel : de la demande au dossier conforme
Un onboarding KYC mature repose sur un enchaînement précis. Voici le flux cible, tel que nous l'observons chez les entités assujetties les mieux outillées.
1-2 j
Onboarding cible
Dossier complet, scoré et validé, sur un client standard.
10 ans
Conservation légale
Après la fin de la relation d'affaires ou l'opération.
25 %
Seuil UBO
Détention directe ou indirecte déclenchant la qualification.
24 h
Délai CTIF
Déclaration de soupçon à transmettre dès constatation.
5 M€
Sanction max.
Ou 10 % du CA annuel pour les personnes morales.
47 000+
Déclarations 2023
Volume annuel traité par la CTIF (tous secteurs).
La diligence due n'est pas un état, mais un processus continu. Une relation d'affaires qualifiée conforme à son ouverture peut devenir non conforme six mois plus tard si la surveillance est défaillante.
Erreurs classiques à éliminer
Le paquet AML européen : ce qui change en 2027
Le 19 juin 2024, l'Union européenne a adopté le paquet AML : un règlement directement applicable (AMLR), une 6e directive (AMLD6) et un règlement créant l'Autorité européenne de lutte contre le blanchiment (AMLA), installée à Francfort. Le dispositif entre en application le 10 juillet 2027 pour l'essentiel.
| Critère | Avant 2027 | À partir de 2027 |
|---|---|---|
| Source principale | Directive transposée (loi 2017) | Règlement directement applicable (AMLR) |
| Superviseur | BNB / FSMA / SPF / ordres | AMLA pour les entités transfrontalières + superviseurs nationaux |
| Plafond espèces (UE) | 10 000 € | 10 000 € (harmonisé) — 3 000 € pour les professionnels |
| Due diligence crypto | Prestataires VASP encadrés | Règles harmonisées + travel rule étendue |
| Registre UBO | Accès public (avant CJUE 2022) | Accès à intérêt légitime vérifié |
| Football professionnel | Non assujetti | Clubs et agents assujettis (AMLR art. 3) |
Automatiser sans perdre le contrôle
L'automatisation du KYC n'est pas une question de productivité : c'est une question de défendabilité. Un contrôleur qui demande à reconstituer la diligence exercée sur un client en 2019 doit pouvoir accéder en quelques minutes au score, aux pièces, aux approbations, aux alertes levées et aux décisions prises. Sans outil, c'est impossible.
Pré-requis d'un système KYC défendable
Identification dématérialisée via itsme® ou eIDAS
Preuve d'identité opposable, horodatée, avec certificat.
Vérification automatique au registre UBO + BCE
Récupération de la chaîne de contrôle, alerte si mise à jour nécessaire.
Scoring AML multifactoriel avec versioning
Chaque score est associé à la version de la matrice qui l'a produit.
Dépistage PEP et sanctions quotidien
Listes internationales (UE, OFAC, ONU) et nationales, avec levée d'alerte tracée.
Audit trail inaltérable
Toutes les décisions (création, modification, dérogation) sont horodatées et attribuées.
Archivage conforme 10 ans
Conservation incluant pièces, scores, décisions et correspondance avec le client.
Gouvernance : sans AML Officer, pas de conformité
L'article 9 de la loi impose la désignation d'un AMLCO (AML Compliance Officer), rattaché au plus haut niveau de l'organisation, chargé de piloter le dispositif. Dans les structures plus petites, cette fonction peut être cumulée, mais elle doit être nommément identifiée et communiquée à l'autorité de contrôle.
L'AMLCO est le garant du dispositif. Il pilote les revues périodiques, valide les dérogations, supervise les formations obligatoires (art. 11) et signe le rapport annuel qui décrit le niveau de conformité atteint et les plans d'action.
Aller plus loin
Ce guide ouvre la route. Les articles suivants détaillent les points techniques :
- Comment construire un scoring de risque AML qui résiste à l'audit : méthodologie, pondérations, validation.
- L'AMLA et le règlement AMLR : ce qui change concrètement pour les entités belges en 2027.
- Retour d'expérience : un cabinet fiduciaire qui a divisé par trois son temps d'onboarding en six mois.
Questions fréquentes
Quelle loi encadre le KYC en Belgique ?
La loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme transpose la 4e directive anti-blanchiment. Elle a été modifiée pour intégrer la 5e directive et sera complétée en 2027 par le paquet AML de l'Union européenne (AMLR, AMLD6, AMLA).
Qui doit appliquer les obligations KYC ?
Les entités assujetties énumérées à l'article 5 de la loi du 18 septembre 2017 : établissements de crédit, compagnies d'assurance, avocats, notaires, experts-comptables, réviseurs, agents immobiliers, prestataires de services aux sociétés, prestataires de services sur actifs virtuels, négociants en biens de grande valeur au-dessus de 10 000 €, etc.
Combien de temps conserver un dossier KYC ?
Dix ans après la fin de la relation d'affaires ou l'exécution de l'opération occasionnelle, conformément à l'article 60 de la loi. Les documents doivent rester accessibles à la CTIF et aux autorités de contrôle.
Quelle est la différence entre diligence standard et diligence renforcée ?
La diligence standard s'applique aux relations à risque faible ou normal. La diligence renforcée (EDD) est obligatoire pour les PEP, les pays à haut risque, les relations à distance sans vérification fiable d'identité, et toute situation où le risque évalué est élevé.
Quelles sont les sanctions en cas de manquement ?
Les sanctions administratives peuvent atteindre 5 000 000 € ou 10 % du chiffre d'affaires annuel pour les personnes morales. Les dirigeants s'exposent à des sanctions disciplinaires, à la publication nominative de la décision, et à une responsabilité pénale en cas de blanchiment avéré.
Articles liés
À la uneAMLA et paquet AML 2024 : ce qui change pour les entités belges en 2027
Règlement AMLR, 6e directive AMLD6, Autorité AMLA : impact concret sur la gouvernance, la diligence et la supervision des entités belges au 10 juillet 2027.
Scoring de risque AML : méthodologie complète pour un modèle défendable
Comment construire, calibrer et valider une matrice de scoring AML qui tient face à un audit BNB ou FSMA : axes, pondérations, seuils, back-testing et gouvernance.
Étude de cas : comment un cabinet fiduciaire bruxellois a divisé par trois son temps d'onboarding
Avant / après sur 6 mois : un cabinet fiduciaire de 12 collaborateurs passe d'un onboarding KYC manuel à un processus automatisé. Chiffres, méthodologie, retour d'expérience.