Conservation des documents AML en Belgique : délais, piste d'audit et transition AMLR

Points clés à retenir

• 1La loi du 18 septembre 2017 (art. 60) impose une conservation de dix ans à compter de la fin de la relation d'affaires pour tous les documents KYC et les enregistrements de transactions.
• 2L'article 77 de l'AMLR, applicable à partir du 10 juillet 2027, fixe un délai de base de cinq ans — extensible jusqu'à dix ans sur décision d'une autorité compétente — et introduit une obligation de suppression des données à l'échéance.
• 3L'article 61 de la loi LBC/FT autorise la conservation de références aux documents originaux, à condition que ces références permettent de produire les documents immédiatement à la demande de la CTIF ou d'un superviseur.
• 4La piste d'audit AML n'est pas seulement une exigence de conservation : c'est le seul moyen de démontrer, lors d'un contrôle, que chaque décision de vigilance était fondée, proportionnée et contemporaine.
• 5L'expiration du délai de conservation entraîne une obligation de suppression des données personnelles (RGPD / art. 77(3) AMLR) : les entités doivent prévoir des procédures de purge automatique pour éviter une double violation réglementaire.

La conservation des documents AML est l'une des obligations les plus fréquemment sous-estimées des entités assujetties belges. L'identification du client est soignée, les évaluations de risque sont documentées — mais demander six ans plus tard le dossier complet d'un client dont la relation s'est terminée met en lumière les lacunes d'archivage que nul contrôle immédiat n'avait révélées. La loi du 18 septembre 2017 relative à la prévention du blanchiment de capitaux et du financement du terrorisme (ci-après « loi LBC/FT ») impose à cet égard un cadre précis : dix ans, une liste exhaustive de pièces, et la possibilité — encadrée — de conserver des références plutôt que des copies. À partir du 10 juillet 2027, l'article 77 du Règlement (UE) 2024/1624 (AMLR) remplacera partiellement ce régime par un standard harmonisé à l'échelle européenne.

Cet article détaille ce que chaque entité assujettie doit conserver, pendant combien de temps, sous quelle forme, et comment construire une piste d'audit défendable lors d'un contrôle de la BNB ou de la FSMA.

Le cadre légal belge actuel : article 60 et article 61 de la loi LBC/FT

L'article 60 de la loi LBC/FT constitue le fondement de l'obligation de conservation en droit belge. Il impose aux entités assujetties de conserver :

• les données d'identification du client, de son mandataire et du bénéficiaire effectif, telles qu'obtenues lors des diligences de connaissance du client (Customer Due Diligence, CDD) ;
• les copies des pièces justificatives ou du résultat des consultations effectuées auprès de sources d'information lors de la vérification d'identité ;
• les informations relatives à la compréhension de la relation d'affaires : nature des activités, origine des fonds, objet des opérations ;
• les enregistrements des transactions effectuées dans le cadre de la relation d'affaires.

Le délai est de dix ans à compter de la fin de la relation d'affaires ou, pour les transactions ponctuelles, à compter de la date de réalisation de l'opération.

L'article 61 introduit une flexibilité opérationnelle utile : au lieu de conserver une copie de chaque pièce justificative, l'entité peut se contenter de conserver les références permettant d'accéder à ces documents — à condition que ces références permettent avec certitude de les produire immédiatement à la demande de la CTIF ou d'une autorité compétente pendant toute la période de conservation. Cette disposition, souvent méconnue, permet d'alléger significativement les volumes d'archivage physique ou numérique, à condition de formaliser les accords avec les tiers détenteurs de documents (registres publics, offices notariaux, banques de référence).

Ce que l'AMLR change à partir du 10 juillet 2027

L'article 77 de l'AMLR (Chapitre VII — Protection des données et conservation des documents) remplace le régime actuel de mosaïque nationale par un standard directement applicable dans les vingt-sept États membres. Les changements sont structurants pour les entités belges.

Un délai de base de cinq ans, extensible jusqu'à dix

L'article 77(3) fixe le délai de conservation à cinq ans à compter de la fin de la relation d'affaires, de la date de l'opération ponctuelle, ou de la date du refus d'entrer en relation. Ce délai peut être prorogé : l'article 77(3) permet également aux autorités compétentes d'exiger, cas par cas, une conservation supplémentaire pour les besoins d'une procédure de prévention, détection, investigation ou poursuite du blanchiment ou du financement du terrorisme — sans dépasser cinq années supplémentaires (soit dix ans au total).

La question de la survie du plancher national belge de dix ans mérite une attention particulière. L'AMLR étant un règlement (directement applicable), il l'emporte sur les dispositions nationales contraires. Si le législateur belge ne prévoit pas expressément une durée nationale de dix ans conforme au mécanisme d'extension de l'article 77(3), les entités belges devront s'aligner sur les cinq ans de base à compter de juillet 2027. Les travaux de transposition en cours (6AMLD / future loi belge d'adaptation) clarifieront ce point.

Une obligation de suppression des données personnelles

L'article 77(3) de l'AMLR introduit une règle absente du cadre actuel : à l'expiration du délai de conservation, les entités sont tenues de supprimer les données personnelles, sauf si d'autres textes de droit de l'Union ou législations nationales conformes au RGPD imposent une durée de conservation plus longue. Cette obligation d'effacement crée une contrainte de gestion documentaire nouvelle : l'entité doit pouvoir prouver qu'elle a purgé ses archives AML à l'échéance, et pas seulement qu'elle les a conservées pendant la durée requise.

Un régime transitoire pour les procédures en cours

L'article 77(4) prévoit un régime transitoire : lorsque des procédures judiciaires relatives à un soupçon de blanchiment ou de financement du terrorisme sont en cours au 10 juillet 2027 et que l'entité détient des documents pertinents, celle-ci peut conserver ces documents pendant cinq ans à compter du 10 juillet 2027. Les États membres peuvent autoriser ou exiger une conservation supplémentaire, dans le respect du principe de nécessité et proportionnalité.

Critère	Critère	Loi LBC/FT actuelle (art. 60)	AMLR à partir du 10 juil. 2027 (art. 77)
Durée de base	10 ans	5 ans
Extension possible	Non prévue	Jusqu'à 5 ans supplémentaires (max 10)
Obligation de suppression	Non	Oui (art. 77(3) — RGPD)
Références admises à la place des copies	Oui (art. 61)	Oui (principe maintenu)
Régime transitoire procédures en cours	Non prévu	5 ans à compter du 10 juil. 2027
Applicabilité directe	Loi nationale	Règlement UE (direct)

La piste d'audit : documenter chaque décision, pas seulement chaque pièce

Conserver des documents n'est pas synonyme de disposer d'une piste d'audit (audit trail) défendable. La distinction est centrale : les obligations de conservation portent sur les pièces (copies, références, enregistrements) ; la piste d'audit porte sur les décisions — leur justification, leur chronologie, et leur traçabilité vers la personne qui les a prises.

Lors d'un contrôle de la BNB ou de la FSMA, le contrôleur ne vérifie pas seulement que le dossier contient une copie de la carte d'identité du client et un extrait du registre UBO. Il cherche à reconstituer la chaîne de raisonnement : pourquoi ce niveau de vigilance a-t-il été appliqué ? La source des fonds déclarée a-t-elle été vérifiée ? Le profil de risque a-t-il été réévalué lors de la dernière revue périodique ? Ces questions ne trouvent réponse que dans des enregistrements horodatés, liés à l'identité de l'évaluateur, et non modifiables après leur création.

Ce que la piste d'audit doit retracer

Une piste d'audit AML complète couvre, pour chaque client et chaque relation d'affaires, les éléments suivants :

Lors de l'entrée en relation : identification du client, du bénéficiaire effectif et du mandataire ; résultat de la vérification d'identité (méthode utilisée, date, évaluateur) ; évaluation initiale du risque avec justification du score attribué ; décision d'acceptation ou de refus et motivation ; date effective du début de la relation.

En cours de relation : surveillance continue des transactions avec enregistrement des alertes générées, de leur analyse et de la décision retenue ; déclenchements de vigilance renforcée avec justification et mesures appliquées ; déclarations à la CTIF avec référence au dossier goAML correspondant.

Lors des revues périodiques : date de la revue, identité de l'évaluateur, résultat de la mise à jour des données, justification d'un maintien ou d'un changement de niveau de vigilance. Pour plus de détails sur la revue périodique, voir Revue KYC périodique et remédiation en Belgique.

Lors de la fin de la relation : date de clôture, motif, et déclenchement du délai de conservation légal.

Contenu minimal d'un dossier AML avec piste d'audit complète

• Données d'identification et pièces de vérification

  Copie ou référence permettant production immédiate — identité, bénéficiaire effectif, mandataire.

• Évaluation initiale du risque horodatée

  Score attribué, facteurs pris en compte, identité de l'évaluateur, niveau de vigilance décidé.

• Enregistrements de transactions

  Date, montant, contrepartie, nature de l'opération — pour toute la durée de la relation.

• Alertes de surveillance et décisions

  Chaque alerte générée, son analyse documentée, et la décision de traitement (clôture motivée ou déclaration CTIF).

• Décisions de vigilance renforcée

  Déclenchement justifié, mesures appliquées, approbation managériale le cas échéant.

• Revues périodiques

  Date, évaluateur, résultat, mise à jour des données, prochaine revue planifiée.

• Clôture de la relation et déclenchement du délai de conservation

  Date de fin, motif, décompte du délai légal et procédure de purge à l'échéance.

Format et support de conservation

La loi LBC/FT ne prescrit pas un format spécifique : papier et électronique sont tous deux admis. En pratique, plusieurs exigences de fond contraignent le choix.

Intégrité et non-modifiabilité : un document conservé de façon numérique doit l'être dans des conditions garantissant son intégrité. Un fichier Word ou un tableau Excel modifiable n'offre pas cette garantie. Les systèmes de gestion documentaire qui tracent les modifications ou qui utilisent des formats non éditables (PDF/A signé, stockage en écriture unique) sont préférables.

Accessibilité immédiate : lors d'un contrôle ou d'une demande de la CTIF, l'entité doit être en mesure de produire tout document dans un délai très bref. Un archivage sur support physique déporté, un cloud dont les accès sont mal documentés, ou une dépendance exclusive à un prestataire qui ne garantit pas la continuité d'accès pendant dix ans constituent des risques opérationnels à adresser.

Traçabilité des accès : dans les environnements numériques, la piste d'audit inclut aussi les logs d'accès aux dossiers AML — qui a consulté quel dossier, quand, et dans quel contexte. Cette métadonnée est pertinente lors d'une investigation sur une fuite potentielle d'informations ou une modification non autorisée.

La transition vers l'AMLR : ce qu'il faut anticiper avant juillet 2027

L'entrée en vigueur de l'article 77 de l'AMLR le 10 juillet 2027 impose aux entités belges un travail de mise en conformité à entamer dès aujourd'hui. Quatre chantiers sont prioritaires.

1. 1

   Inventaire des systèmes d'archivage actuels

   2026

   Cartographier tous les supports et systèmes où des documents AML sont stockés : GED, CRM, archives physiques, cloud. Identifier les lacunes d'intégrité ou d'accessibilité et les dépendances à des tiers.

2. 2

   Analyse de l'impact du passage de 10 à 5 ans

   2026-2027

   Évaluer si la transposition belge de la 6AMLD maintient un plancher national de 10 ans. À défaut, préparer les procédures de purge pour les dossiers arrivant à l'échéance des 5 ans post-juillet 2027, et le régime dérogatoire pour les procédures judiciaires en cours.

3. 3

   Mise en place de la procédure de suppression RGPD

   Avant juil. 2027

   Créer une procédure formalisée de purge automatique des données personnelles à l'expiration du délai de conservation. Documenter chaque suppression pour prouver la conformité simultanée AML et RGPD.

4. 4

   Alignement des pistes d'audit sur les exigences AMLR

   Avant juil. 2027

   Vérifier que les enregistrements couvrent bien les catégories de l'art. 77(1)(b) — notamment les évaluations conduites au titre de l'art. 69(2) de l'AMLR — qui peuvent différer des catégories actuelles de la loi LBC/FT.

Sanctions en cas de manquement aux obligations de conservation

L'incapacité à produire les dossiers demandés lors d'un contrôle de la BNB ou de la FSMA est une infraction aux obligations de conservation, indépendamment de la qualité des diligences effectuées à l'origine de la relation d'affaires. Les superviseurs belges peuvent imposer des mesures correctives administratives, des injonctions formelles et des sanctions pécuniaires au titre de la loi LBC/FT.

Sous l'AMLR, le régime de sanctions est harmonisé à l'échelle européenne : le règlement prévoit un cadre unifié de publication des décisions de sanction et une coopération renforcée entre autorités nationales pour les manquements transfrontaliers. Pour les entités opérant dans plusieurs États membres, cela signifie que des défaillances de conservation dans une juridiction peuvent être portées à la connaissance des superviseurs des autres pays d'exercice.

Les entités assujetties sont tenues de conserver les données et les documents de manière à ce que les autorités compétentes puissent y avoir accès immédiatement et à tout moment pendant la période de conservation. La qualité et l'accessibilité des archives font partie des éléments vérifiés lors des contrôles sur place.

Pour aller plus loin

Ces articles approfondissent les thèmes liés à la conservation des documents et à la construction de dossiers AML défendables :

• Méthodologie KYC et due diligence en Belgique : framework opérationnel 2026 — les étapes de la collecte initiale qui alimentent les dossiers à conserver.
• Revue KYC périodique et remédiation en Belgique — comment les revues périodiques complètent et actualisent les dossiers de conservation.
• Vigilance renforcée (EDD) : facteurs de risque AML en Belgique — les dossiers EDD sont les plus exposés lors des contrôles : ce qu'ils doivent contenir.
• AMLA et paquet AML 2024 : ce qui change pour les entités belges en 2027 — le contexte réglementaire complet de la transition vers l'AMLR.

Questions fréquentes

Quelle est la durée de conservation des documents AML en Belgique ?

Sous la loi du 18 septembre 2017 (art. 60), la durée est de dix ans à compter de la fin de la relation d'affaires. À partir du 10 juillet 2027, l'article 77 de l'AMLR fixera un délai de base de cinq ans, extensible jusqu'à dix ans sur décision d'une autorité compétente. La transposition belge déterminera si le plancher national de dix ans est maintenu.

Quels documents une entité assujettie doit-elle conserver au titre de la LBC/FT ?

Les copies des pièces d'identification et de vérification d'identité du client, du bénéficiaire effectif et du mandataire ; les pièces relatives à la compréhension de la relation d'affaires et de son objet ; les enregistrements des transactions effectuées ; les évaluations du risque et les décisions de vigilance ; et, sous l'AMLR, les copies obtenues dans le cadre des partenariats de partage d'informations. L'art. 61 de la loi LBC/FT permet de conserver des références permettant de produire les documents immédiatement, en lieu et place des copies elles-mêmes.

Que change l'AMLR (EU 2024/1624) pour la conservation des documents AML ?

L'article 77 de l'AMLR harmonise les durées de conservation à l'échelle de l'UE : délai de base de cinq ans après la fin de la relation d'affaires, prorogeable jusqu'à cinq ans supplémentaires sur décision d'une autorité compétente. Il introduit aussi une obligation de suppression des données personnelles à l'expiration du délai (alignement RGPD) et un régime transitoire pour les procédures judiciaires en cours au 10 juillet 2027.

Qu'est-ce qu'une piste d'audit AML et que doit-elle contenir ?

La piste d'audit AML est l'ensemble des enregistrements permettant de reconstituer après coup chaque décision de vigilance : identification du client, évaluation du risque, mesures appliquées, justification du niveau de vigilance retenu, approbations, et calendrier des revues périodiques. Elle doit être horodatée, intègre (non modifiable après enregistrement), et accessible à la demande de la BNB, de la FSMA ou de la CTIF pendant toute la période de conservation.

Comment la obligation de suppression RGPD s'articule-t-elle avec la conservation AML ?

L'article 77(3) de l'AMLR exige la suppression des données personnelles à l'expiration du délai de conservation AML, sauf si d'autres textes européens ou nationaux imposent une durée plus longue. L'entité doit donc disposer d'une procédure de purge automatique à l'échéance, et documenter qu'elle a effectivement appliqué cette suppression. Conserver des données AML au-delà du délai sans base légale constitue une violation du RGPD.

Que risque une entité qui ne respecte pas ses obligations de conservation AML ?

La BNB et la FSMA peuvent imposer des mesures correctives administratives, des injonctions et des sanctions pécuniaires. L'incapacité à produire les dossiers demandés lors d'un contrôle est en elle-même une infraction aux obligations de conservation, indépendamment de la qualité des diligences effectuées à l'origine. Sous l'AMLR, les sanctions sont harmonisées à l'échelle de l'UE avec un régime unifié de publication des décisions.