FAQ KYC et eIDV : 35 réponses à vos questions essentielles en 2026
Catégorie 1 : Définitions et concepts
Qu'est-ce que le KYC (Know Your Customer) ?
Le KYC (Know Your Customer, littéralement « connaître son client ») est un dispositif réglementaire qui impose aux institutions financières et entreprises régulées d'identifier, vérifier et surveiller leurs clients tout au long de la relation commerciale. Il repose sur quatre piliers : identification, vérification, évaluation du risque (CDD/EDD, vigilance standard et vigilance renforcée) et surveillance continue. En France, ce cadre est porté par le Code monétaire et financier, supervisé par l'ACPR (Autorité de contrôle prudentiel et de résolution), et alimente les déclarations de soupçon transmises à Tracfin. Le KYC n'est pas un produit, c'est un processus qui mobilise conformité, opérations, audit et IT.
Qu'est-ce que l'eIDV (vérification d'identité électronique) ?
L'eIDV (Electronic Identity Verification, vérification d'identité électronique) est une technologie qui confirme, en quelques secondes via un appel API, qu'un utilisateur est bien la personne qu'il déclare être à un instant donné. Trois familles coexistent : vérification documentaire (OCR sur pièce d'identité), vérification biométrique (reconnaissance faciale avec test de vivacité) et vérification par data transactionnelle (sources réelles de la vie d'un individu). L'eIDV est encadrée par le règlement européen eIDAS 2.0 (electronic IDentification, Authentication and trust Services) et constitue l'une des briques techniques du KYC.
Quelle est la différence entre le KYC et l'eIDV ?
Le KYC est un dispositif réglementaire global qui couvre tout le cycle de vie client. L'eIDV en est une brique technique ponctuelle : un appel API qui confirme une identité à un instant T. Les deux ne sont pas concurrents — l'eIDV est un complément qui s'intègre dans le KYC comme méthode de vérification, sans s'y substituer. Un dispositif KYC complet ajoute le screening PEP (personnes politiquement exposées), le contrôle des sanctions, l'évaluation du risque, la surveillance des transactions et le reporting réglementaire. Pour approfondir, consultez notre comparatif détaillé KYC vs eIDV.
Qu'est-ce que la LCB-FT ?
La LCB-FT (Lutte Contre le Blanchiment de capitaux et le Financement du Terrorisme) regroupe l'ensemble des obligations réglementaires qui visent à prévenir l'utilisation du système financier à des fins criminelles. Elle s'appuie sur les recommandations du GAFI/FATF (Groupe d'action financière), transposées en droit européen via les directives AMLD (Anti-Money Laundering Directive). La dernière en date, AMLD6 (sixième directive anti-blanchiment), a été finalisée en juin 2025. En France, le dispositif est piloté par l'ACPR, l'AMF (Autorité des marchés financiers) et Tracfin. Le KYC en est l'outil opérationnel central.
Qu'est-ce que la vigilance renforcée (EDD) ?
La vigilance renforcée (EDD, Enhanced Due Diligence) s'applique aux clients à risque élevé : personnes politiquement exposées (PEP), résidents de juridictions non coopératives, schémas transactionnels atypiques, opérations à fort montant. Elle impose une collecte d'informations complémentaires (origine des fonds, justificatifs de patrimoine), une approbation hiérarchique avant l'entrée en relation et un suivi rapproché. Elle complète la vigilance standard applicable par défaut, et la vigilance simplifiée réservée aux profils à faible risque. L'approche par les risques (Risk-Based Approach) est posée par les recommandations FATF.
Qu'est-ce que le KYB (Know Your Business) ?
Le KYB (Know Your Business, vérification de l'entreprise cliente) est l'équivalent du KYC appliqué aux personnes morales. Il identifie la société (raison sociale, immatriculation, statut), ses dirigeants, ses bénéficiaires effectifs (seuil de plus de 25 % du capital ou des droits de vote) et son contexte d'activité. Il s'appuie sur les registres officiels (RCS, RBE en France, Companies House au Royaume-Uni, équivalents internationaux) ainsi que sur le screening sanctions et PEP appliqué aux dirigeants et bénéficiaires effectifs. Le KYB est obligatoire pour toute relation B2B engagée par les acteurs régulés LCB-FT.
Catégorie 2 : Obligations réglementaires
Qui est soumis aux obligations KYC ?
Sont soumis au KYC tous les acteurs régulés LCB-FT listés à l'article L561-2 du Code monétaire et financier : banques, établissements de paiement et de monnaie électronique, assureurs, mutuelles, sociétés de gestion d'actifs, conseillers en investissement, PSAN (prestataires de services sur actifs numériques), notaires, avocats sur certaines opérations, agents immobiliers au-delà de seuils, marchands d'art et antiquaires, casinos. La transposition AMLD6 étend le périmètre aux CASP (Crypto-Asset Service Providers, prestataires sur crypto-actifs) sous régime MiCA (Markets in Crypto-Assets, le règlement européen sur les marchés crypto) depuis 2024.
À partir de quels seuils le KYC s'applique-t-il ?
Les seuils dépendent du secteur et du type d'opération. En matière d'immobilier, les agents immobiliers appliquent le KYC dès la mise en relation pour des opérations dépassant 10 000 €. Pour les paiements occasionnels hors relation d'affaires, le seuil est de 15 000 € (8 000 € pour les opérations crypto). Pour les CASP MiCA, l'obligation s'applique dès l'ouverture de compte. Les banques et fintechs régulées appliquent un KYC d'entrée en relation systématique, sans seuil. Pour la liste complète, consultez notre article KYC obligatoire en 2026.
Quelles sont les sanctions en cas de manquement à la LCB-FT ?
Les sanctions LCB-FT en France peuvent atteindre 5 % du chiffre d'affaires ou 100 millions d'euros selon le maximum, prononcées par la commission des sanctions de l'ACPR ou de l'AMF. Le règlement AMLR6 (Anti-Money Laundering Regulation, le pendant directement applicable d'AMLD6) harmonise désormais les plafonds au niveau européen avec un maximum de 10 % du chiffre d'affaires consolidé. S'y ajoutent un risque pénal (jusqu'à 10 ans d'emprisonnement pour blanchiment aggravé), un risque de retrait d'agrément et un risque réputationnel majeur. Les sanctions peuvent être publiées (name and shame).
Le KYC est-il compatible avec le RGPD ?
Oui, mais l'articulation impose une rigueur particulière. Le RGPD (Règlement général sur la protection des données, qui encadre les données personnelles en Europe) exige une minimisation des données et une finalité explicite. Le KYC impose au contraire une collecte étendue (pièce d'identité, justificatifs, données transactionnelles). La compatibilité repose sur la base légale d'obligation légale (article 6.1.c du RGPD), une durée de conservation alignée sur les 5 ans post-relation imposés par le Code monétaire et financier, et une information transparente du client. La CNIL publie des référentiels sectoriels qui sécurisent cette articulation.
Comment articuler concrètement KYC et RGPD ?
L'articulation pratique repose sur quatre principes. Premièrement, identifier la base légale RGPD pertinente (obligation légale pour la LCB-FT, intérêt légitime pour l'anti-fraude). Deuxièmement, documenter les durées de conservation différenciées (5 ans LCB-FT, plus court pour le marketing). Troisièmement, encadrer les transferts hors UE par des clauses contractuelles types ou des règles internes d'entreprise. Quatrièmement, prévoir l'exercice des droits RGPD (accès, rectification) sans compromettre la confidentialité des déclarations de soupçon, qui restent secrètes vis-à-vis du client concerné.
Qu'est-ce qu'une personne politiquement exposée (PEP) ?
Une PEP (Personne Politiquement Exposée) est une personne occupant ou ayant occupé une fonction politique, juridictionnelle ou administrative importante (chef d'État, ministre, parlementaire, magistrat suprême, dirigeant d'entreprise publique, ambassadeur). Le statut PEP s'étend aux membres directs de la famille (conjoint, enfants, parents) et aux associés proches. Une relation d'affaires avec une PEP déclenche automatiquement une vigilance renforcée (EDD), une approbation hiérarchique et un suivi rapproché des transactions. Le statut PEP perdure 12 mois après la cessation des fonctions, parfois davantage selon le profil de risque.
Catégorie 3 : Coûts et ROI
Combien coûte une solution KYC ?
Le coût d'une solution KYC varie de quelques milliers d'euros pour une PME régulée jusqu'à plusieurs millions d'euros annuels pour une banque universelle. Trois grands postes structurent le TCO (Total Cost of Ownership, coût complet de possession) : la technologie (eIDV, screening sanctions/PEP, monitoring des transactions, refresh KYC), les ressources humaines (équipe conformité, opérations, audit) et les coûts indirects (audit, formation, mises à jour réglementaires). Pour un benchmark détaillé par taille d'entreprise et par secteur, consultez notre article coût d'une solution KYC.
Quel est le retour sur investissement (ROI) de l'eIDV ?
Le ROI de l'eIDV est mesurable et significatif. Sur un cas client banque en ligne accompagné par Euroleads, 60 000 onboardings annuels ont vu leur taux d'abandon passer de 25 % à 5 %, dégageant un ROI de 220:1 sur la durée du contrat. Les leviers : réduction du churn d'onboarding, baisse des coûts de support, acquisition incrémentale sur des cibles auparavant filtrées par la friction documentaire, réduction de la fraude. L'eIDV par data transactionnelle réduit la friction utilisateur sans dégrader la conformité.
Pay-per-call ou forfait : quel modèle tarifaire choisir ?
Le pay-per-call (paiement à l'usage) facture chaque vérification eIDV unitairement (typiquement entre 0,30 € et 2,00 € selon les sources mobilisées — transactions vérifiées, gouvernement, télécoms, médias — et le niveau de garantie eIDAS visé). Il convient aux volumétries variables ou faibles, et aux pilotes. Le forfait mensuel ou annuel intègre un volume préacheté avec un coût marginal réduit, adapté aux volumétries stables et élevées (au-delà de quelques dizaines de milliers de vérifications mensuelles). Nous accompagnons le passage du pay-per-call au forfait dès que votre volume justifie une bascule économique.
Combien coûte un audit KYC ?
Un audit KYC externe coûte entre 15 000 € et 80 000 € selon le périmètre (audit ciblé sur un dispositif vs audit complet multi-entités), la taille de l'organisation et la profondeur des tests (revue documentaire, échantillonnage de dossiers, tests d'intrusion sur les processus). Les audits réglementaires ACPR sont quant à eux gratuits pour l'entreprise auditée, mais déclenchent souvent des plans de remédiation coûteux. Investir dans un audit préventif annuel reste largement plus économique qu'une remédiation post-sanction.
Comment réduire le coût de mon dispositif KYC ?
Trois leviers structurants. Premièrement, l'automatisation par eIDV sur les profils standards, qui réduit le coût marginal d'un onboarding de plusieurs euros à quelques dizaines de centimes. Deuxièmement, la mutualisation des outils de screening et de monitoring entre entités d'un même groupe, qui dilue les coûts fixes. Troisièmement, l'approche par les risques rigoureusement appliquée, qui concentre les ressources humaines sur les dossiers à forte valeur ajoutée (EDD, alertes complexes) et libère le traitement des profils standards. Un cadrage initial bien dimensionné évite les remédiations coûteuses ultérieures.
Catégorie 4 : Mise en place
Comment intégrer une API eIDV ?
L'intégration d'une API eIDV suit un parcours en cinq étapes. Étape 1 : cadrage des cas d'usage (onboarding, transaction sensible, refresh) et choix du niveau de garantie eIDAS visé (substantiel ou élevé). Étape 2 : intégration technique via REST/JSON, gestion des codes retour et orchestration des solutions de repli (fallbacks). Étape 3 : recette fonctionnelle sur jeux de données réels avec mesure du taux de match (taux de correspondance entre la donnée client et nos sources). Étape 4 : déploiement progressif (pourcentage croissant du trafic). Étape 5 : monitoring continu (latence, taux de match, taux de fraude). Compter quelques jours à quelques semaines selon la complexité de votre système d'information.
Combien de temps prend le déploiement d'une solution KYC ?
Le déploiement d'une solution KYC complète prend généralement 3 à 6 mois pour un acteur régulé moyen. Mois 1 : cadrage réglementaire et cartographie des risques. Mois 2 : choix des outils (eIDV, screening, monitoring) et architecture cible. Mois 3-4 : intégrations techniques et paramétrage des règles métier. Mois 5 : recette, formation des équipes conformité et opérations, documentation. Mois 6 : bascule progressive et mise en production. L'intégration d'une simple brique eIDV isolée — venant en complément d'un dispositif KYC déjà en place — prend en revanche quelques jours à quelques semaines.
Quelles sont les étapes d'un projet KYC ?
Un projet KYC structuré suit huit étapes successives : cadrage réglementaire (textes applicables, autorités de tutelle), cartographie des risques (classification clients, produits, géographies), définition de la politique KYC (procédures internes), choix des outils (eIDV, screening sanctions/PEP, monitoring), intégration technique (API, orchestration), paramétrage métier (seuils, alertes, escalade), formation des équipes (conformité, opérations, front-office) et mise en production avec monitoring. Un comité de pilotage mensuel assure le suivi sur la durée.
Faut-il une équipe dédiée pour gérer le KYC ?
Oui, un dispositif KYC mature nécessite des ressources dédiées. Au minimum, une fonction conformité (responsable LCB-FT déclaré à l'ACPR), des opérateurs KYC pour traiter les alertes et les dossiers en escalade, et une fonction audit interne qui revoit le dispositif annuellement. Le ratio dépend de la volumétrie : un acteur traitant 10 000 entrées en relation par an mobilise typiquement 3 à 5 ETP (équivalents temps plein), contre 30 à 50 ETP pour une banque universelle. L'automatisation par eIDV et le monitoring intelligent réduisent la part de traitement manuel.
Le refresh KYC (mise à jour périodique) est-il obligatoire ?
Oui, le refresh KYC est imposé par l'AMLD6 et par l'approche par les risques de la FATF. La fréquence dépend du niveau de risque attribué au client. Profil à risque élevé : revue annuelle complète. Profil standard : revue tous les 3 à 5 ans. Profil simplifié : revue déclenchée par événement (changement d'activité, alerte transactionnelle). Le refresh combine vérification d'identité actualisée, contrôle PEP/sanctions, mise à jour de la connaissance client (activité, revenus, patrimoine) et réévaluation du niveau de risque. Un refresh KYC mal documenté est l'un des principaux motifs de sanction ACPR.
Catégorie 5 : Secteurs
Comment les banques appliquent-elles le KYC ?
Les banques appliquent le KYC le plus strict du marché : entrée en relation systématique, vigilance renforcée pour les profils sensibles, refresh KYC périodique (1 à 5 ans selon le risque), surveillance en temps réel des transactions, déclarations de soupçon à Tracfin. Les banques en ligne et néobanques privilégient l'eIDV par data transactionnelle pour réduire la friction d'onboarding tout en respectant les obligations AMLD6. Découvrez notre approche dédiée sur la page KYC banque.
Quelles sont les spécificités du KYC pour les fintechs ?
Les fintechs combinent une obligation réglementaire forte (statut d'établissement de paiement, de monnaie électronique ou agrément ACPR) avec une exigence d'expérience utilisateur fluide. Le KYC fintech repose sur l'eIDV temps réel à l'onboarding, le screening PEP/sanctions continu, le monitoring des flux et la conformité PSD2/PSD3 (Payment Services Directive, les directives européennes sur les services de paiement). Les fintechs qui opèrent dans plusieurs juridictions doivent gérer les spécificités locales (passeport européen, équivalences hors UE). Consultez notre page KYC fintech pour le détail.
Quelles obligations KYC pour les plateformes crypto (MiCA) ?
Les exchanges crypto (plateformes d'échange de crypto-actifs) sont désormais soumis au régime MiCA depuis fin 2024. Ils appliquent un KYC complet à l'ouverture de compte, une Travel Rule (TFR) — règle européenne qui impose la traçabilité de l'expéditeur et du destinataire — sur les transferts au-delà de 1 000 €, un screening sanctions renforcé et un monitoring transactionnel adapté aux flux on-chain (sur la blockchain). Le statut CASP impose des exigences proches de celles des établissements de paiement. La page sectorielle KYC crypto détaille les obligations spécifiques en 2026.
Le e-commerce est-il concerné par le KYC ?
L'e-commerce non régulé n'est pas soumis au KYC LCB-FT, mais déploie souvent un eIDV anti-fraude au moment de la commande pour limiter le chargeback (rétrofacturation), l'usurpation et les retours frauduleux. Les marketplaces régulées (KYB sur les vendeurs) et les plateformes opérant du BNPL (Buy Now Pay Later, paiement fractionné) au-delà de seuils basculent dans le périmètre LCB-FT et appliquent un KYC formel. L'eIDV par data transactionnelle apporte une vérification sans friction (frictionless) adaptée aux volumes e-commerce.
Les assureurs sont-ils soumis au KYC ?
Oui, les assureurs sont soumis à la LCB-FT au titre de l'article L561-2 du Code monétaire et financier. L'assurance vie, particulièrement exposée au blanchiment via les contrats à versement libre, applique un KYC d'entrée en relation, une vigilance renforcée sur les contrats de capitalisation à fort montant, et un screening continu PEP/sanctions sur les bénéficiaires effectifs. Les assurances IARD (Incendie, Accidents et Risques Divers — l'assurance non-vie) appliquent un dispositif allégé sauf en cas de soupçon. Les mutuelles et institutions de prévoyance suivent les mêmes obligations.
L'immobilier est-il soumis aux obligations KYC ?
Oui, depuis 2009 et la troisième directive AML, les agents immobiliers sont soumis à la LCB-FT pour les opérations de transaction et de location dépassant 10 000 € par mois. Le KYC immobilier vérifie l'identité des parties, identifie les bénéficiaires effectifs en cas de société, contrôle (screen) les listes PEP/sanctions et collecte des informations sur l'origine des fonds. Les notaires appliquent un KYC complémentaire au moment de l'acte authentique. Les promoteurs et marchands de biens sont également concernés sur leurs opérations significatives.
Le paiement fractionné (BNPL) est-il soumis au KYC ?
Les opérateurs BNPL et de paiement fractionné se trouvent à la frontière LCB-FT. En dessous des seuils, ils déploient un eIDV instantané couplé à un scoring crédit, sans KYC formel. Au-delà des seuils (cumul d'opérations, encours élevé, statut d'établissement de paiement), ils basculent en KYC complet avec screening PEP/sanctions, refresh périodique et monitoring des flux. La PSD3, en cours de transposition, durcit les obligations de prévention de la fraude au paiement et précise le statut applicable aux acteurs du BNPL en Europe.
Catégorie 6 : Euroleads spécifique
En quoi Euroleads se distingue-t-il d'Onfido, Sumsub, Jumio ou Veriff ?
Onfido, Sumsub, Jumio et Veriff sont des acteurs spécialisés dans la vérification documentaire et biométrique (capture de pièce d'identité, reconnaissance faciale, test de vivacité). Nous empruntons une voie complémentaire : la vérification par data transactionnelle, adossée aux traces réelles de la vie d'un individu — transactions vérifiées, sources gouvernementales, télécoms et médias. Cette approche réduit la friction utilisateur, fonctionne sans capture de document et s'avère résistante aux deepfakes. Notre eIDV s'intègre en complément des autres briques KYC (biométrie, contrôle documentaire), jamais en concurrence frontale.
Quels sont les avantages de la vérification par data transactionnelle ?
La donnée transactionnelle présente quatre avantages structurels. Premièrement, elle est sans friction : aucune capture de document, aucun selfie, aucune attente. Deuxièmement, elle est résistante aux deepfakes qui menacent la biométrie en 2026. Troisièmement, elle couvre des cas où la biométrie échoue (utilisateurs sans smartphone récent, conditions de prise de vue dégradées). Quatrièmement, elle s'adapte aux 197 pays du périmètre Euroleads, alors que la couverture documentaire varie d'un pays à l'autre. La data transactionnelle reste complémentaire : un dispositif robuste combine plusieurs méthodes selon le niveau de risque.
Quelle est la philosophie produit d'Euroleads ?
« Parce qu'aujourd'hui, tout est falsifiable, sauf la vie réelle et les actes d'achats de chacun. » C'est la philosophie produit Euroleads. Un document peut être falsifié, un visage deepfaké, un numéro de téléphone usurpé. En revanche, la somme des traces transactionnelles générées par un individu réel sur plusieurs années (paiements, abonnements, mouvements télécoms, déclarations administratives) est impossible à fabriquer artificiellement. Chaque acte de consommation génère une donnée. Chaque donnée prouve l'existence réelle d'un individu. C'est la fondation de notre approche eIDV par data transactionnelle.
Euroleads collecte-t-il ou héberge-t-il des données ?
Non, nous ne collectons ni n'hébergeons de données. Notre métier est la recherche et l'identification des meilleures sources parmi 4 000 sources mondiales (transactions vérifiées, gouvernement, télécoms, médias). Cette indépendance vis-à-vis des éditeurs de bases garantit l'absence de conflit d'intérêts et nous permet de sélectionner, pour chaque cas d'usage, les sources les plus pertinentes en termes de couverture, de fraîcheur et de fiabilité. Les données restent chez les éditeurs sources, Euroleads opère en orchestrateur de données.
Quelles garanties de conformité offre Euroleads ?
Euroleads est filiale de MV Group (sept filiales digitales et data : Yumens, GoodBuy Media, Euroleads, Tribu, Avanci, Yes Indeed, Weaver-fi). Nous appliquons un dispositif conformité aligné sur les standards de nos donneurs d'ordre régulés. Nos 45 ans d'expertise data garantissent une maîtrise des obligations RGPD (sous-traitance, transferts hors UE, exercice des droits), des exigences sectorielles bancaires et fintech, et des normes de sécurité de l'information. Les 5 millions de vérifications mensuelles que nous opérons sont auditées en continu par nos clients régulés (banques, assureurs, fintechs) au titre de leur propre dispositif KYC. Pour le détail des engagements contractuels, échangez avec nos experts.
Quels secteurs Euroleads accompagne-t-il en priorité ?
Nous accompagnons en priorité six secteurs où la combinaison data marketing international et eIDV apporte le plus de valeur : la banque et l'assurance (KYC, refresh, monitoring), la fintech (onboarding sans friction, PSD3), la crypto sous régime MiCA (Travel Rule, monitoring on-chain), l'e-commerce (anti-fraude paiement, marketplace), l'immobilier (KYB et bénéficiaires effectifs), et l'équipement pour les entreprises (data marketing B2B, prospection). Les expertises se croisent : un client banque mobilisera la data marketing pour cibler ses prospects, et l'eIDV pour les onboarder.
Quelle est l'approche commerciale d'Euroleads ?
Le rôle d'Euroleads n'est pas de vous vendre de la donnée à tout prix. C'est de trouver, pour vous, celle qui résout votre cas d'usage.
Une question qui n'a pas trouvé sa réponse dans cette FAQ ?