- La méthodologie KYC s'articule autour de quatre piliers opérationnels : identification, vérification, évaluation du risque, surveillance continue.
- L'approche par les risques module l'intensité de la diligence selon un scoring multifactoriel : profil client, géographie, produit, canal.
- La vigilance renforcée (EDD) s'applique à toute relation à risque élevé : PEP, pays à haut risque, structure complexe, secteurs sensibles.
- Un dispositif défendable se prouve par la traçabilité : versioning du scoring, audit trail inaltérable, archivage conforme dix ans.
- La revue périodique et la remédiation sont les deux mécanismes qui maintiennent la conformité dans le temps.
Méthodologie ou théorie : le verdict du superviseur
Une procédure KYC écrite ne suffit pas. Ce que la BNB et la FSMA cherchent lors d'une inspection, c'est la trace opérationnelle : qui a scoré ce client, sur quelle version de la matrice, à quelle date, avec quelles pièces ? Sans ce niveau de défendabilité, la conformité n'est qu'une intention.
Ce pillar pose le framework méthodologique d'un KYC opérationnel défendable en Belgique. Chaque section pointe vers un article spécialisé qui développe une brique en profondeur. Pour le contexte réglementaire global, voir notre guide complet de la conformité AML. Pour la cartographie des obligations légales, voir notre panorama des obligations AML des entités assujetties.
1. Les quatre piliers opérationnels du KYC
Toute démarche KYC mature en Belgique s'organise autour de quatre piliers chronologiques.
1. Identification
Avant toute opérationCollecte des données nominatives complètes pour le client, son mandataire éventuel et chaque bénéficiaire effectif (UBO) au-dessus du seuil de 25 % de détention ou de contrôle effectif.
2. Vérification
Avant ou pendant l'entrée en relationConfrontation des identités déclarées à des documents probants, issus de sources fiables et indépendantes : eID belge, itsme®, passeport, BCE, registre UBO, statuts publiés au Moniteur belge.
3. Évaluation du risque
À l'onboarding puis en continuAttribution d'un score AML multifactoriel : profil client (secteur, historique), géographie (pays à haut risque), produit/service (complexité, opacité, numéraire), canal (présentiel, distance, intermédiaire).
4. Surveillance continue
Toute la durée de la relationMonitoring transactionnel, dépistage PEP et sanctions quotidien, revue périodique du dossier, détection d'anomalies, déclaration de soupçon à la CTIF en cas d'indice sérieux.
Pour la mécanique opérationnelle complète, étape par étape, voir notre guide KYC complet pour les entités assujetties.
2. Construire un scoring de risque défendable
Le scoring de risque est le cœur intellectuel du dispositif. Il transforme une approche par les risques abstraite en décision opérationnelle traçable.
Les quatre dimensions classiques
| Critère | Dimension | Exemples de facteurs | Pondération typique |
|---|---|---|---|
| Profil client | Secteur, historique, structure, exposition réputationnelle | 30 % | |
| Géographie | Pays à haut risque (liste UE), juridictions sous secret bancaire | 30 % | |
| Produit/Service | Numéraire intensif, transferts transfrontaliers, opacité produit | 25 % | |
| Canal | Présentiel, distance, intermédiaire, plateforme web | 15 % |
Versioning et défendabilité
Chaque score doit être associé à la version de la matrice qui l'a produit. Sans cela, impossible de reconstituer la décision prise il y a deux ans avec une matrice qui a évolué entre-temps. Le versioning du scoring est la première marque d'un dispositif mature.
Pour bâtir une méthodologie de scoring complète avec validation indépendante, voir notre guide de scoring de risque AML.
3. Du scoring à la diligence : trois régimes
Le score conditionne l'intensité de la diligence appliquée.
Trois régimes de diligence
Diligence simplifiée
Limitée à des cas encadrés (autorités publiques, sociétés cotées UE, organismes financiers déjà supervisés). Identification allégée, vérification documentaire réduite, surveillance allégée.
Diligence standard
Régime par défaut. Identification complète, vérification documentaire normale, surveillance périodique.
Diligence renforcée (EDD)
Obligatoire dès qu'un facteur de risque élevé est présent. Origine des fonds documentée, approbation hiérarchique, surveillance accrue, fréquence de revue augmentée.
Les facteurs déclenchant l'EDD
Le passage de la diligence standard à l'EDD n'est pas négociable lorsqu'un facteur de risque élevé est présent. Le détail des facteurs et la mécanique opérationnelle sont exposés dans notre guide de la vigilance renforcée AML (EDD).
Un cas particulier mérite une attention dédiée : les personnes politiquement exposées (PEP), pour lesquelles la loi impose un régime spécifique d'identification, d'approbation et de surveillance. Voir notre guide PEP en Belgique.
4. Le cycle de vie complet d'un dossier KYC
Une fois la relation acceptée et scorée, le KYC n'est pas terminé : il commence sa vie opérationnelle.
J0 : entrée en relation
1-2 jours ciblesIdentification, vérification, scoring initial, décision d'accepter ou refuser. Si EDD requise : origine des fonds, approbation hiérarchique, contrôles supplémentaires.
J+1 à J+365 : vigilance constante
En continuMonitoring transactionnel, dépistage PEP et sanctions quotidien, détection d'anomalies de comportement, gestion des alertes.
Revue périodique
Annuelle (risque élevé), triennale (risque standard), quinquennale (risque faible) selon la BNBRevalidation des données client, mise à jour de l'UBO, rescoring, ajustement de l'intensité de la diligence. Voir notre guide de la revue KYC périodique pour la mécanique.
Événements de déclenchement
Dès survenanceTout événement substantiel déclenche une revue ad hoc : changement d'actionnaire, déménagement du siège, opération atypique, alerte PEP nouvelle, déclaration de soupçon antérieure.
Remédiation ciblée
Programme délimité dans le tempsLorsque la revue révèle des dossiers non conformes au stock, un programme de remédiation structuré reprend les diligences manquantes ou périmées.
Les mécanismes de revue périodique et de remédiation sont détaillés dans notre guide de la revue KYC périodique et remédiation.
5. La documentation et l'audit trail
Un dispositif KYC défendable repose autant sur la trace que sur la décision.
Éléments d'un audit trail KYC inaltérable
Horodatage
Date et heure de chaque opération (création, modification, dérogation, scoring, alerte).
Identification de l'auteur
Utilisateur authentifié responsable de chaque décision, traçable individuellement.
Version de la matrice de scoring
Chaque score est associé à la version exacte de la matrice qui l'a produit.
Pièces justificatives liées
Chaque document (eID, statuts, UBO, sanction) est rattaché au dossier avec un identifiant unique.
Historique des décisions
Toutes les acceptations, refus, dérogations, escalations sont conservées même après modification.
Conservation décennale
L'ensemble doit rester accessible dix ans après la fin de la relation d'affaires (art. 60).
Le superviseur attend désormais que la maturité du dispositif AML se mesure moins au volume de procédures écrites qu'à la capacité de reconstituer en quelques minutes la diligence exercée sur n'importe quel client à n'importe quelle date. C'est ce que privilégient les inspections sectorielles récentes de la BNB et de la FSMA.
6. L'outillage technologique
Un dispositif KYC opérationnel à l'échelle industrielle exige un outillage adapté. Tenter de couvrir manuellement les flux d'identification, de scoring, de monitoring et d'archivage conduit inévitablement à des défaillances que le superviseur sanctionne.
1-2 j
Onboarding cible
Pour un dossier complet, scoré et validé sur un client standard.
100 %
Couverture screening
PEP et sanctions doivent couvrir 100 % de la base, mise à jour quotidienne.
10 ans
Archivage légal
Conservation post-relation imposée par l'article 60.
0
Documents périmés
Cible opérationnelle : aucun document d'identité expiré au stock.
Les briques technologiques d'un KYC mature
Avantages
- Identification dématérialisée via itsme® ou eIDAS : preuve d'identité opposable, horodatée.
- Vérification automatique BCE + registre UBO : alerte sur tout changement.
- Scoring AML multifactoriel avec versioning : reproductibilité totale.
- Dépistage PEP et sanctions quotidien : couverture exhaustive et tracée.
- Audit trail inaltérable : décisions, dérogations, alertes horodatées.
- Archivage conforme dix ans : pièces, scores, correspondance, déclarations.
Inconvénients
- Investissement initial et conduite du changement nécessaires.
- Intégration avec les systèmes métier existants (CRM, ERP, comptabilité).
- Formation des équipes à un nouvel outil et à de nouveaux workflows.
- Vigilance sur la qualité des sources externes (listes PEP, sanctions) : un outil ne dispense pas du jugement humain.
7. La gouvernance : sans AMLCO, pas de méthodologie
L'article 9 de la loi impose la désignation d'un AMLCO (AML Compliance Officer) rattaché au plus haut niveau de l'organisation. Sans cette gouvernance, aucune méthodologie ne tient dans le temps : les arbitrages opérationnels (accepter ou refuser un client, valider une dérogation, déclencher une remédiation) doivent être pilotés par une fonction dédiée et habilitée.
L'article 11 impose une formation régulière et continue de l'ensemble du personnel exposé. Les contrôleurs BNB et FSMA vérifient systématiquement la matrice de formation lors des inspections.
8. La preuve par l'exemple
La méthodologie ne vaut que par sa mise en œuvre opérationnelle. Notre étude de cas d'un cabinet fiduciaire bruxellois illustre le passage d'un onboarding manuel à un dispositif industriel sous l'angle des gestes opérationnels et des arbitrages de gouvernance.
Tous les articles méthodologie
Pour comprendre les obligations légales qui sous-tendent cette méthodologie, voir notre panorama des obligations AML des entités assujetties. Pour le panorama complet de la conformité AML, voir notre guide pillar de la conformité AML en Belgique.
Questions fréquentes
Qu'est-ce que la Risk-Based Approach en pratique ?
Une démarche qui module l'intensité de la diligence selon un score combinant le profil du client, sa géographie, le produit ou service consommé, et le canal d'entrée en relation. Le scoring détermine si la diligence est simplifiée, standard ou renforcée.
Quelle est la différence entre KYC et CDD ?
Le KYC (Know Your Customer) désigne l'ensemble du processus de connaissance du client. La CDD (Customer Due Diligence) est la composante d'évaluation et de vérification au sein du KYC. EDD (Enhanced Due Diligence) est la vigilance renforcée applicable aux clients à risque élevé.
À quelle fréquence faut-il faire une revue KYC périodique ?
La BNB recommande au minimum une revue annuelle pour les clients à risque élevé, triennale pour les clients à risque standard et quinquennale pour les clients à risque faible. La revue peut être déclenchée à tout moment par un événement (changement d'UBO, opération atypique, alerte sanction).
Quels documents constituent une preuve d'identification fiable ?
Pour les personnes physiques : carte d'identité électronique belge, itsme®, passeport, eIDAS pour les ressortissants UE. Pour les personnes morales belges : extrait BCE, statuts au Moniteur belge, registre UBO. Pour les personnes morales étrangères : documents équivalents traduits et légalisés ou apostillés.
Quels facteurs déclenchent une vigilance renforcée (EDD) ?
PEP et entourage, pays à haut risque listés par la Commission européenne, relation à distance sans vérification fiable, structure complexe ou inhabituelle, opérations atypiques par rapport au profil. L'Annexe III de la loi et les circulaires sectorielles BNB/FSMA précisent les facteurs supplémentaires applicables aux secteurs spécifiques (crypto, jeux, biens de grande valeur).
Articles liés
Scoring de risque AML : méthodologie complète pour un modèle défendable
Comment construire, calibrer et valider une matrice de scoring AML qui tient face à un audit BNB ou FSMA : axes, pondérations, seuils, back-testing et gouvernance.
RTS AMLA sur la vigilance clientèle : ce que les entités belges doivent préparer avant juillet 2027
RTS AMLA vigilance clientèle (art. 28 et 19 AMLR) : données à collecter, seuils de déclenchement et sources admissibles — ce que les entités belges doivent préparer avant juillet 2027.
À la uneConformité AML en Belgique : le guide complet 2027 pour les entités assujetties
Le panorama exhaustif de la conformité anti-blanchiment en Belgique : cadre légal 2017-2027, obligations, méthodologie KYC, supervision BNB/FSMA, paquet AML européen et plan d'action opérationnel.