AMLR 2027 : checklist complète pour les CGP et CIF

Le reglement europeen Anti-Money Laundering (AMLR), officiellement le reglement (UE) 2024/1624 du 31 mai 2024, entre en application le 10 juillet 2027. C'est la plus importante reforme du dispositif anti-blanchiment europeen depuis la creation de la 1re directive en 1991.

Pour les 6 707 CIF enregistres a l'ORIAS au 31 decembre 2023 (source : AMF, Chiffres cles des CIF 2024) et les milliers de CGP qui exercent en France, c'est un changement de paradigme. Le "Single Rulebook" europeen remplace les marges d'interpretation nationales par un corpus de regles precises, directement opposables, avec des sanctions doublees.

Et la fenetre de preparation se referme : les normes techniques definitives de l'AMLA seront publiees le 10 juillet 2026. Dans 15 mois, les regles du jeu seront fixees. Dans 27 mois, elles seront applicables.

Pourquoi l'AMLR est un changement de nature, pas de degre

Jusqu'a present, la lutte contre le blanchiment etait regie par des directives (la 4e directive 2015/849 et la 5e directive 2018/843), qui necessitaient une transposition en droit national par chaque Etat membre. Cette transposition creait des divergences entre pays — un avantage reglementaire pour certains, un flou juridique pour tous.

L'AMLR est un reglement : il est directement applicable dans tous les Etats membres, sans transposition. Un seul texte, une seule interpretation, une seule application dans les 27 pays de l'UE. C'est une harmonisation sans precedent.

Parallelement, la directive (UE) 2024/1640 (6e directive, dite "AMLD6") vient completer le reglement sur les aspects institutionnels et proceduraux que les Etats doivent transposer (deadline identique : 10 juillet 2027).

Le paquet AML complet comprend 4 textes :

Les 7 changements majeurs pour les CGP

#### 1. Creation de l'AMLA — un nouveau superviseur au-dessus de l'ACPR

L'AMLA (Anti-Money Laundering Authority), creee par le reglement (UE) 2024/1620, est operationnelle depuis le 1er juillet 2025, basee a Francfort (immeuble Messeturm).

Son role direct : a partir de janvier 2028, elle supervisera directement 40 groupes financiers a haut risque dans l'UE, selectionnes selon des criteres de presence transfrontaliere et d'exposition au risque. Les CGP/CIF francais ne sont pas dans ce perimetre — ils restent sous la supervision de l'AMF et de l'ACPR.

Son role indirect — et c'est la que ca change pour vous : l'AMLA produit les normes techniques reglementaires (RTS) que tous les assujettis devront appliquer. Plus de 80 normes sont en preparation, dont 26 devant etre livrees avant le 10 juillet 2026. Ces RTS auront force de loi directe.

L'AMLA coordonne egalement les superviseurs nationaux, developpe une methodologie de supervision harmonisee et renforce la cooperation avec les cellules de renseignement financier (Tracfin en France).

En clair : meme si c'est toujours l'AMF qui vous controle, les regles que vous devrez appliquer viendront de Francfort.

#### 2. Seuils abaisses : plus de clients a verifier

L'abaissement du seuil CDD de 15 000 a 10 000 EUR signifie mecaniquement plus de clients a verifier pour les CGP, notamment sur les souscriptions SCPI d'entree de gamme.

#### 3. Verification d'identite : la fin du "je prends ce que le client me donne"

L'article 22.1 de l'AMLR impose que toute verification d'identite s'appuie sur des "sources faisant autorite" (*authoritative sources*). Concretement :

• Une simple photocopie de carte d'identite transmise par email ne suffit plus comme unique element
• La verification doit etre recoupee avec des sources independantes (registres officiels, bases de donnees)
• L'EUDI Wallet (portefeuille d'identite numerique europeen, article 5f du reglement eIDAS 2.0) sera reconnu comme moyen de verification — et les entites assujetties auront l'obligation de l'accepter

Pour un CGP qui recoit ses dossiers de souscription par email avec un scan de CNI, c'est une remise en question fondamentale du process d'onboarding.

#### 4. UBO : le seuil baisse, le perimetre s'elargit

Le seuil de detention pour qualifier un beneficiaire effectif passe de "plus de 25 %" a "25 % ou plus". La difference semble anodine, mais elle attrape les co-associes a parts egales dans les SCI a 4 associes (25 % chacun) qui echappaient au seuil precedent.

Plus important : la Commission peut abaisser le seuil jusqu'a 15 % pour les secteurs a haut risque par acte delegue.

Les criteres de controle sont elargis :

• Droit de veto ou de nomination/revocation des dirigeants = UBO
• Liens familiaux (fratrie) pris en compte comme vecteur de controle indirect
• Obligation de recouper les informations avec les registres centraux et de documenter les divergences

Le registre europeen interconnecte (BORIS) : l'AMLR prevoit l'interconnexion des registres nationaux des beneficiaires effectifs. Les assujettis pourront consulter les registres de tous les Etats membres via une interface unique, facilitant la verification des chaines de detention transfrontalieres — essentiel pour les structures luxembourgeoises ou les holdings multi-juridictions que gere la clientele patrimoniale.

Pour les structures patrimoniales complexes (SCI familiales, holdings, societes luxembourgeoises) qu'accompagnent les CGP haut de gamme, le temps de due diligence va mecaniquement augmenter.

#### 5. PPE : la fratrie entre dans le radar

Les Personnes Politiquement Exposees (PPE) incluent desormais les freres et soeurs, en plus des conjoints, parents et enfants. La liste des fonctions PEP est harmonisee au niveau europeen (article 2 de l'AMLR), et chaque Etat membre devra publier une liste nationale des fonctions qualifiantes. L'AMLA publiera une liste consolidee.

La duree minimale de vigilance renforcee apres cessation de fonctions est harmonisee a 12 mois dans toute l'UE.

Un CGP qui a dans sa clientele un frere ou une soeur de maire, de depute ou de haut fonctionnaire devra appliquer les mesures de vigilance renforcee — ce qui n'etait pas systematiquement le cas sous les directives precedentes.

#### 6. Evaluation des risques : d'un exercice statique a une surveillance dynamique

L'AMLR impose une cartographie des risques multi-facteurs : risque client x risque produit x risque canal x risque geographique. Mais surtout, la vigilance renforcee peut desormais etre declenchee par un evenement (changement de comportement transactionnel, modification de structure juridique) et plus seulement par une categorie de client.

C'est le passage d'un KYC statique ("je verifie a l'entree") a un KYC dynamique ("je surveille en continu"). Le risque prime sur le seuil : des mesures CDD peuvent etre exigees en dessous des seuils monetaires si l'evaluation du risque l'indique.

#### 7. Crypto-actifs : nouvelle source de complexite

Les prestataires de services sur crypto-actifs (CASP) sont explicitement inclus dans le perimetre de l'AMLR. Pour les CGP, si un client declare des crypto-actifs comme source de fonds, la vigilance renforcee peut s'appliquer. Avec la democratisation des portefeuilles crypto chez les clients patrimoniaux, c'est un cas de figure de plus en plus frequent.

Les sanctions : le doublement qui change la donne

Les mesures s'appliquent de maniere progressive : recommandations → mesures correctives specifiques → restrictions d'activite avec astreintes → sanction pecuniaire. La Commission publiera des actes delegues precisant les categories de gravite des manquements avant le 10 juillet 2026.

Ce n'est pas theorique. En 2024, sous l'ancien regime, l'ACPR a prononce :

• 2,5 M EUR d'amende a la BRED pour manquements LCB-FT
• 1 M EUR a Treezor
• 600 000 EUR a deux autres entites
• 35 controles sur place, 25 lettres de suite, 1 mise en demeure

Cote AMF, les controles SPOT se multiplient sur les pratiques des CIF :

• Mars 2024 : controle SPOT sur la commercialisation des SCPI en demembrement. Manquements identifies sur les obligations d'information et les commissions.
• 2023 : sanction d'un CIF pour non-divulgation des commissions percues sur SCPI ; sanction d'une SGP et de son dirigeant pour reponses erronees aux questionnaires LAB.

Le vrai probleme : l'asymetrie de charge reglementaire

C'est le coeur du sujet pour la profession. L'AMLR a ete concu avec une logique "grandes institutions". Or la realite des CGP/CIF francais est toute autre :

• 6 707 CIF enregistres a l'ORIAS (source : AMF, decembre 2024)
• 18 800 personnes employees par les CIF en 2024 (+12 % vs 2023)
• 92 % des CIF ont egalement le statut d'intermediaire en assurance
• 81 % se declarent exclusivement non-independants
• Seulement 5 % des structures sont exclusivement CIF
• CA total 2024 declare : 4,38 milliards d'euros toutes activites confondues, dont ~918 M EUR au titre du CIF

La majorite sont des cabinets de 1 a 5 personnes. Memes obligations que les banques dotees d'equipes conformite de 50 personnes. Et le double chapeau multi-statuts (CIF + courtier assurance + IOBSP) multiplie les obligations : chaque activite declenche ses propres exigences LCB-FT, avec une cartographie des risques a couvrir pour l'ensemble.

La double charge transitoire : 2025-2027

Jusqu'au 10 juillet 2027, les obligations des 4e/5e Directives restent en vigueur. Les CGP doivent simultanement :

1. Se conformer au droit actuel (controles AMF/ACPR sur le regime existant)
2. Preparer la mise en conformite AMLR (nouveaux process, outils, formations)

C'est une double charge documentee par les observateurs du secteur. Et les RTS definitifs de l'AMLA ne seront publies qu'en juillet 2026 — soit 12 mois avant l'application. Douze mois pour adapter des process, former les equipes, deployer des outils, et revoir 100 % des dossiers clients.

Comme le dit Capco dans son analyse : "L'approche risk-based est essentielle pour lancer les initiatives prioritaires maintenant, sans attendre un cadre theorique complet. La marge de manoeuvre se reduit."

Le KYC des souscriptions SCPI : la chaine de conformite

Lors d'une souscription SCPI par l'intermediaire d'un CGP, deux entites assujetties interviennent :

1. La societe de gestion de la SCPI (controlee par l'AMF)
2. Le CGP/CIF distributeur (egalement assujetti en tant qu'intermediaire)

Le CGP ne peut pas se reposer sur la due diligence de la societe de gestion. Il a ses propres obligations de verification.

Un dossier de souscription SCPI personne physique standard comprend : piece d'identite, justificatif de domicile, RIB, attestation fiscale, questionnaire de connaissance client, bulletin de souscription signe. Pour une SCI : statuts, Kbis, PV d'AG, identification des UBO, et desormais verification de la chaine de detention a 25 % exact.

A la main, un dossier complet prend entre 30 et 45 minutes. Pour un cabinet qui traite 500 dossiers par an, c'est 250 a 375 heures — plus d'un mois de travail a temps plein. Avec les exigences AMLR (sources faisant autorite, recoupement registres, fratrie PEP), ce temps va mecaniquement augmenter de 20 a 40 %.

Checklist de mise en conformite AMLR 2027

#### Section 1 : Procedures et organisation

• [ ] Mettre a jour la procedure LCBFT pour integrer les nouvelles obligations de l'AMLR
• [ ] Adapter la classification des risques (nouveaux criteres, nouveaux seuils, approche multi-facteurs)
• [ ] Former les collaborateurs aux nouvelles obligations (avant juillet 2027)
• [ ] Designer le responsable conformite LCBFT si ce n'est pas deja fait
• [ ] Documenter la cartographie des risques (risque client x produit x canal x geographie)

#### Section 2 : Identification et verification

• [ ] Integrer la consultation du registre europeen des BE (BORIS) dans le processus d'entree en relation
• [ ] Mettre a jour le questionnaire KYC (questions AMLR : crypto-actifs, nouvelles categories de PEP incluant la fratrie)
• [ ] Adapter les pieces justificatives demandees aux nouvelles exigences ("sources faisant autorite")
• [ ] Evaluer les solutions de verification d'identite compatibles EUDI Wallet
• [ ] Mettre a jour les procedures UBO (seuil a 25 % exact, liens familiaux, recoupement registres)

#### Section 3 : Refresh des dossiers existants

• [ ] Inventorier tous les dossiers clients actifs a mettre a jour
• [ ] Planifier le refresh par niveau de risque (eleve d'abord, standard ensuite)
• [ ] Re-collecter les pieces manquantes ou obsoletes
• [ ] Recalculer le scoring de risque avec les nouveaux criteres AMLR
• [ ] Re-screener l'ensemble du portefeuille (sanctions, PEP elargies, registre BE europeen)

#### Section 4 : Screening et vigilance continue

• [ ] Mettre a jour les bases de screening pour integrer les nouvelles listes AMLA
• [ ] Integrer l'adverse media screening (surveillance des medias defavorables)
• [ ] Adapter la frequence de re-screening aux nouvelles exigences (surveillance continue, pas seulement periodique)
• [ ] Definir les declencheurs evenementiels de vigilance renforcee (changement de comportement, modification de structure)

#### Section 5 : Declaration de soupcon

• [ ] Mettre a jour les criteres d'alerte pour integrer les indicateurs AMLR (crypto-actifs, nouveaux schemas)
• [ ] Verifier la conformite du canal de declaration (Tracfin / ERMES)

#### Section 6 : Conservation et archivage

• [ ] Verifier que la duree de conservation (5 ans apres fin de relation) est respectee
• [ ] S'assurer que les documents archives sont accessibles dans les delais requis par l'ACPR
• [ ] Mettre en place un audit trail complet (chaque verification tracable et documentee)

Calendrier de preparation recommande

L'opportunite derriere la contrainte

Les CGP qui anticipent l'AMLR ne subissent pas une contrainte — ils construisent un avantage concurrentiel. Un process KYC rigoureux et documente :

• Reduit le risque de sanction (de 5 M EUR maximum)
• Accelere le traitement des dossiers (standardisation = gain de temps)
• Rassure les societes de gestion partenaires (qualite des dossiers recus = moins de rejets)
• Differencie le cabinet aupres des clients patrimoniaux (professionnalisme percu)

La question n'est plus "faut-il se preparer ?" mais "combien de dossiers pouvez-vous traiter avant juillet 2027 ?"