AMLR 2027 : checklist complète pour les CGP et CIF

Le nouveau règlement anti-blanchiment impose un refresh total de vos dossiers KYC. Voici comment vous préparer.

Le règlement européen Anti-Money Laundering (AMLR), officiellement le règlement (UE) 2024/1624 du 31 mai 2024, entre en application le 10 juillet 2027. C'est la plus importante réforme du dispositif anti-blanchiment européen depuis la création de la 1re directive en 1991.

Pour les 6 707 CIF enregistrés à l'ORIAS au 31 décembre 2023 (source : AMF, Chiffres clés des CIF 2024) et les milliers de CGP qui exercent en France, c'est un changement de paradigme. Le "Single Rulebook" européen remplace les marges d'interprétation nationales par un corpus de règles précises, directement opposables, avec des sanctions doublées.

Et la fenêtre de préparation se referme : l'AMLA doit soumettre ses projets de normes techniques à la Commission avant le 10 juillet 2026. Dans 15 mois, les règles du jeu seront fixées. Dans 27 mois, elles seront applicables.

Pourquoi l'AMLR est un changement de nature, pas de degré

Jusqu'à présent, la lutte contre le blanchiment était régie par des directives (la 4e directive 2015/849 et la 5e directive 2018/843), qui nécessitaient une transposition en droit national par chaque État membre. Cette transposition créait des divergences entre pays — un avantage réglementaire pour certains, un flou juridique pour tous.

L'AMLR est un règlement : il est directement applicable dans tous les États membres, sans transposition. Un seul texte, une seule interprétation, une seule application dans les 27 pays de l'UE. C'est une harmonisation sans précédent.

Parallèlement, la directive (UE) 2024/1640 (6e directive, dite "AMLD6") vient compléter le règlement sur les aspects institutionnels et procéduraux que les États doivent transposer (deadline identique : 10 juillet 2027).

Le paquet AML complet comprend 4 textes :

TexteObjetDate d'application
Regulation (EU) 2024/1624 — AMLRRègles opérationnelles harmonisées (KYC, UBO, vigilance)10 juillet 2027
Directive AMLD6Règles de supervision nationale, infractions pénalesTransposition au 10 juillet 2027
Regulation (EU) 2024/1620 — AMLARCréation et statut de l'AMLAApplicable depuis 2025
Regulation (EU) 2023/1113Transferts de fonds et crypto-actifs (Travel Rule)Applicable depuis 30 décembre 2024

Les 7 changements majeurs pour les CGP

1. Création de l'AMLA — un nouveau superviseur au-dessus de l'ACPR

L'AMLA (Anti-Money Laundering Authority), créée par le règlement (UE) 2024/1620, est opérationnelle depuis le 1er juillet 2025, basée à Francfort (immeuble Messeturm).

Son rôle direct : à partir de janvier 2028, elle supervisera directement 40 groupes financiers à haut risque dans l'UE, sélectionnés selon des critères de présence transfrontalière et d'exposition au risque. Les CGP/CIF français ne sont pas dans ce périmètre — ils restent sous la supervision de l'AMF et de l'ACPR.

Son rôle indirect — et c'est la que ca change pour vous : l'AMLA produit les normes techniques réglementaires (RTS) que tous les assujettis devront appliquer. Plus de 80 normes sont en préparation, dont 26 devant être livrées avant le 10 juillet 2026. Ces RTS auront force de loi directe.

L'AMLA coordonne également les superviseurs nationaux, développe une méthodologie de supervision harmonisée et renforcé la coopération avec les cellules de renseignement financier (Tracfin en France).

En clair : même si c'est toujours l'AMF qui vous contrôle, les règles que vous devrez appliquer viendront de Francfort.

2. Seuils abaissés : plus de clients à vérifier

CritèreAvant (4e/5e Directives)Apres (AMLR 2027)
Seuil CDD occasionnel15 000 EUR10 000 EUR
Seuil CDD crypto-actifs1 000 EUR (Travel Rule)1 000 EUR (aligne)
CDD cash partielPas de seuil intermédiaireMesures limitees des 3 000 EUR en especes
Plafond paiement cashVariable selon États10 000 EUR EU-wide (seuils nationaux inferieurs maintenus)

L'abaissement du seuil CDD de 15 000 a 10 000 EUR signifie mécaniquement plus de clients à vérifier pour les CGP, notamment sur les souscriptions SCPI d'entrée de gamme.

3. Vérification d'identité : la fin du "je prends ce que le client me donne"

L'article 22.1 de l'AMLR impose que toute vérification d'identité s'appuie sur des "sources fiables et indépendantes" (reliable and independent sources, article 22(6)). Concrètement :

  • Une simple photocopie de carte d'identité transmise par email ne suffit plus comme unique élément
  • La vérification doit être recoupée avec des sources indépendantes (registres officiels, bases de données)
  • L'EUDI Wallet (portefeuille d'identité numérique européen, article 5f du règlement eIDAS 2.0) sera reconnu comme moyen de vérification — et les entités assujetties auront l'obligation de l'accepter

Pour un CGP qui reçoit ses dossiers de souscription par email avec un scan de CNI, c'est une remise en question fondamentale du processus d'onboarding.

4. UBO : le seuil baisse, le périmètre s'élargit

Le seuil de détention pour qualifier un bénéficiaire effectif passe de "plus de 25 %" a "25 % ou plus". La différence semble anodine, mais elle attrape les co-associés à parts égales dans les SCI à 4 associes (25 % chacun) qui échappaient au seuil précédent.

Plus important : la Commission dispose d'un pouvoir délégué pour préciser les critères d'identification des bénéficiaires effectifs par acte délégué, ce qui pourrait à terme abaisser le seuil effectif pour certains secteurs à haut risque.

Les critères de contrôle sont élargis :

  • Droit de veto ou de nomination/révocation des dirigeants = UBO
  • Liens familiaux (fratrie) pris en compte comme vecteur de contrôle indirect
  • Obligation de recouper les informations avec les registres centraux et de documenter les divergences

Le registre européen interconnecte (BORIS) : l'AMLR prevoit l'interconnexion des registres nationaux des bénéficiaires effectifs. Les assujettis pourront consulter les registres de tous les États membres via une interface unique, facilitant la vérification des chaines de détention transfrontalières — essentiel pour les structures luxembourgeoises ou les holdings multi-juridictions que gère la clientèle patrimoniale.

Pour les structures patrimoniales complexes (SCI familiales, holdings, sociétés luxembourgeoises) qu'accompagnent les CGP haut de gamme, le temps de due diligence va mécaniquement augmenter.

5. PPE : la fratrie entre dans le radar

Pour les PPE de plus haut niveau (chefs d'État, chefs de gouvernement, ministres), la définition de "membre de la famille" inclut désormais les frères et sœurs, en plus des conjoints, parents et enfants. Les États membres peuvent étendre ce périmètre à d'autres catégories de PPE. La liste des fonctions PEP est harmonisée au niveau européen (article 2 de l'AMLR), et chaque État membre devra publier une liste nationale des fonctions qualifiantes. L'AMLA publiera une liste consolidée.

La durée minimale de vigilance renforcée après cessation de fonctions est harmonisée a 12 mois dans toute l'UE.

Un CGP qui a dans sa clientèle un frère ou une sœur de ministre ou de chef de gouvernement devra appliquer les mesures de vigilance renforcée — ce qui n'était pas le cas sous les directives précédentes. Pour les autres catégories de PPE (députés, maires, hauts fonctionnaires), la fratrie n'est incluse que si l'État membre l'a étendu.

6. Évaluation des risques : d'un exercice statique à une surveillance dynamique

L'AMLR impose une cartographie des risques multi-facteurs : risque client x risque produit x risque canal x risque géographique. Mais surtout, la vigilance renforcée peut désormais être déclenchée par un événement (changement de comportement transactionnel, modification de structure juridique) et plus seulement par une catégorie de client.

C'est le passage d'un KYC statique ("je vérifié à l'entrée") à un KYC dynamique ("je surveille en continu"). Le risque prime sur le seuil : des mesures CDD peuvent être exigées en dessous des seuils monétaires si l'évaluation du risque l'indique.

7. Crypto-actifs : nouvelle source de complexité

Les prestataires de services sur crypto-actifs (CASP) sont explicitement inclus dans le périmètre de l'AMLR. Pour les CGP, si un client déclaré des crypto-actifs comme source de fonds, la vigilance renforcée peut s'appliquer. Avec la démocratisation des portefeuilles crypto chez les clients patrimoniaux, c'est un cas de figure de plus en plus fréquent.

Les sanctions : le doublement qui change la donne

NiveauAvant (AMLD5)Paquet AML 2027 (AMLD6)
Entités financières5 M EUR ou 5 % du CA10 M EUR ou 10 % du CA (le plus élevé)
Professions non-financièresVariable5 M EUR
Mesures conservatoiresVariablesRestriction d'activité, injonction, astreinte

Les mesures s'appliquent de manière progressive : recommandations → mesures correctives spécifiques → restrictions d'activité avec astreintes → sanction pécuniaire. La Commission publiera des actes délégués précisant les catégories de gravité des manquements avant le 10 juillet 2026.

Ce n'est pas théorique. En 2024, sous l'ancien régime, l'ACPR a prononcé :

  • 2,5 M€ d'amende à la BRED pour manquements LCB-FT
  • 1 M€ a Treezor
  • 35 contrôles sur place, 25 lettres de suite, 1 mise en demeure

Côté AMF, les contrôles SPOT se multiplient sur les pratiques des CIF :

  • Mars 2024 : contrôle SPOT sur la commercialisation des SCPI en demembrement. Manquements identifiés sur les obligations d'information et les commissions.
  • 2023 : sanction d'un CIF pour non-divulgation des commissions percues sur SCPI ; sanction d'une SGP et de son dirigeant pour réponses erronées aux questionnaires LAB.

Le vrai problème : l'asymétrie de charge réglementaire

C'est le coeur du sujet pour la profession. L'AMLR a été conçu avec une logique "grandes institutions". Or la réalité des CGP/CIF français est toute autre :

  • 6 707 CIF enregistrés à l'ORIAS (source : AMF, décembre 2024)
  • 18 800 personnes employées par les CIF en 2024 (+12 % vs 2023)
  • 92 % des CIF ont également le statut d'intermédiaire en assurance
  • 81 % se déclarent exclusivement non-indépendants
  • Seulement 6 % des structures sont exclusivement CIF
  • C.A. total 2024 déclaré : 4,38 milliards d'euros toutes activités confondues, dont ~918 M EUR au titre du CIF

La majorité sont des cabinets de 1 a 5 personnes. Mêmes obligations que les banques dotees d'équipes conformité de 50 personnes. Et le double chapeau multi-statuts (CIF + courtier assurance + IOBSP) multiplie les obligations : chaque activité déclenche ses propres exigences LCB-FT, avec une cartographie des risques à couvrir pour l'ensemble.

La double charge transitoire : 2025-2027

Jusqu'au 10 juillet 2027, les obligations des 4e/5e Directives restent en vigueur. Les CGP doivent simultanément :

  1. Se conformer au droit actuel (contrôles AMF/ACPR sur le régime existant)
  2. Préparer la mise en conformité AMLR (nouveaux processus, outils, formations)

C'est une double charge documentée par les observateurs du secteur. Et les RTS définitifs de l'AMLA ne seront publies qu'en juillet 2026 — soit 12 mois avant l'application. Douze mois pour adapter des processus, former les équipes, déployer des outils, et revoir 100 % des dossiers clients.

Comme le dit Capco dans son analyse : "L'approche risk-based est essentielle pour lancer les initiatives prioritaires maintenant, sans attendre un cadre théorique complet. La marge de manoeuvre se réduit."

Le KYC des souscriptions SCPI : la chaîne de conformité

Lors d'une souscription SCPI par l'intermédiaire d'un CGP, deux entités assujetties interviennent :

  1. La société de gestion de la SCPI (contrôlée par l'AMF)
  2. Le CGP/CIF distributeur (également assujetti en tant qu'intermédiaire)

Le CGP ne peut pas se reposer sur la due diligence de la société de gestion. Il a ses propres obligations de vérification.

Un dossier de souscription SCPI personne physique standard comprend : pièce d'identité, justificatif de domicile, RIB, attestation fiscale, questionnaire de connaissance client, bulletin de souscription signe. Pour une SCI : statuts, Kbis, PV d'AG, identification des UBO, et désormais vérification de la chaine de détention à 25 % exact.

A la main, un dossier complet prend entre 30 et 45 minutes. Pour un cabinet qui traite 500 dossiers par an, c'est 250 a 375 heures — plus d'un mois de travail à temps plein. Avec les exigences AMLR (sources faisant autorité, recoupement registres, fratrie PEP), ce temps va mécaniquement augmenter de 20 a 40 %.

Checklist de mise en conformité AMLR 2027

Section 1 : Procédures et organisation

  • Mettre à jour la procédure LCBFT pour intégrer les nouvelles obligations de l'AMLR
  • Adapter la classification des risques (nouveaux critères, nouveaux seuils, approche multi-facteurs)
  • Former les collaborateurs aux nouvelles obligations (avant juillet 2027)
  • Désigner le responsable conformité LCBFT si ce n'est pas déjà fait
  • Documenter la cartographie des risques (risque client x produit x canal x géographie)

Section 2 : Identification et vérification

  • Intégrer la consultation du registre européen des BE (BORIS) dans le processus d'entrée en relation
  • Mettre à jour le questionnaire KYC (questions AMLR : crypto-actifs, nouvelles catégories de PEP incluant la fratrie)
  • Adapter les pièces justificatives demandées aux nouvelles exigences ("sources fiables et indépendantes")
  • Évaluer les solutions de vérification d'identité compatibles EUDI Wallet
  • Mettre à jour les procédures UBO (seuil à 25 % exact, liens familiaux, recoupement registres)

Section 3 : Mise à jour des dossiers existants

  • Inventorier tous les dossiers clients actifs à mettre à jour
  • Planifier la mise à jour par niveau de risque (élevé d'abord, standard ensuite)
  • Re-collecter les pièces manquantes ou obsolètes
  • Recalculer le score de risque avec les nouveaux critères AMLR
  • Passer à nouveau en revue l'ensemble du portefeuille (sanctions, PEP elargies, registre BE européen)

Section 4 : Réévaluation et vigilance continue

  • Mettre à jour les bases de revue pour intégrer les nouvelles listes AMLA
  • Intégrer la revue "adverse media" (surveillance des médias défavorables)
  • Adapter la fréquence de réévaluation aux nouvelles exigences (surveillance continue, pas seulement périodique)
  • Définir les déclencheurs événementiels de vigilance renforcée (changement de comportement, modification de structure)

Section 5 : Déclaration de soupçon

  • Mettre à jour les critères d'alerte pour intégrer les indicateurs AMLR (crypto-actifs, nouveaux schémas)
  • Vérifier la conformité du canal de déclaration (Tracfin / ERMES)

Section 6 : Conservation et archivage

  • Vérifier que la durée de conservation (5 ans après fin de relation) est respectée
  • S'assurer que les documents archives sont accessibles dans les délais requis par l'ACPR
  • Mettre en place une piste d'audit complète (chaque vérification traçable et documentée)

Calendrier de préparation recommande

PériodeActions prioritaires
Q1-Q2 2026Audit d'analyse des écarts entre procédures actuelles et AMLR. Inventaire des dossiers à mettre à jour. Cartographie des risques multi-facteurs.
Q3-Q4 2026 (après publication des RTS)Réévaluation des dossiers à risque élevé. Mise à jour de la procédure LCBFT. Formation des collaborateurs. Adaptation des outils aux normes techniques définitives.
Q1 2027Réévaluation des dossiers à risque standard. Test du dispositif de réévaluation mis à jour. Préparation du registre BE européen. Certification RCCI sur le nouveau cadre.
Q2 2027Vérification finale. Formation de rappel. Mise en production des nouveaux outils et procédures. Test complet du processus de bout en bout.
10 juillet 2027Entrée en application de l'AMLR. Application directe pour toutes les nouvelles relations client. Les clients anciens : revue progressive selon le profil de risque.

L'opportunité derrière la contrainte

Les CGP qui anticipent l'AMLR ne subissent pas une contrainte — ils construisent un avantage concurrentiel. Un processus KYC rigoureux et documente :

  • Réduit le risque de sanction (de 5 M EUR maximum)
  • Accélère le traitement des dossiers (standardisation = gain de temps)
  • Rassure les sociétés de gestion partenaires : une meilleure qualité des dossiers reçus signifie moins de rejets.
  • Différencie le cabinet auprès des clients patrimoniaux, qui perçoivent un haut niveau de professionnalisme.

La question n'est plus "faut-il se préparer ?" mais "combien de dossiers pouvez-vous traiter avant juillet 2027 ?"

Automatisez le KYC de vos souscriptions SCPI. Ragindeed extrait les pièces justificatives, vérifie la complétude, effectue le screening et génère le rapport de conformité. Découvrir la solution KYC →

Partager cet article
Étiquettes
AMLR 2027 CGP KYC SCPI
Nos blogs