En 2026, opérer dans l’écosystème crypto sans programme KYC (Know Your Customer) et AML (Anti-Money Laundering) solide n’est plus une option : c’est une exposition directe aux sanctions de l’ACPR, de l’AMF et des autorités européennes issues de MiCA. Le cadre réglementaire s’est consolidé autour de trois piliers - le régime PSAN français, le règlement MiCA (2023/1114) entré en application le 30 décembre 2024, et la refonte du règlement sur les transferts de fonds (TFR, règlement 2023/1113) qui impose la règle du “travel” aux actifs numériques depuis cette même date. Ce guide détaille les obligations concrètes, les procédures exigées et les pièges à éviter.
Le cadre légal : PSAN, MiCA et LCB-FT
La France a transposé la 5e directive anti-blanchiment (AMLD5) dans le Code monétaire et financier (CMF), faisant des PSAN des assujettis LCB-FT à part entière depuis 2020. Avec MiCA, ce cadre monte d’un cran.
Les entités concernées à partir de 2026 :
- PSAN enregistrés ou agréés AMF : exchanges, garde de clés privées, échange contre monnaie fiat, exploitation de plateformes de négociation
- CASP (Crypto-Asset Service Providers) sous MiCA : toute entreprise offrant des services sur actifs numériques à des clients dans l’UE, même depuis un pays tiers, si elle cible activement le marché européen
- Entités de la finance traditionnelle exposées aux crypto : banques, PSP, assureurs qui acceptent des actifs numériques entrent dans le périmètre
L’ACPR est l’autorité de supervision pour le volet LCB-FT, l’AMF pour l’agrément et les obligations de conduite. Le régime MiCA ajoute l’ESMA comme coordinateur supranational, avec publication de standards techniques (RTS/ITS) qui précisent les exigences opérationnelles. Voir aussi la réglementation MiCA et ses implications pour une vue d’ensemble du règlement.
Obligations KYC : identification, vérification et surveillance
Le KYC crypto en 2026 suit la même logique que le KYC bancaire classique, mais avec des contraintes spécifiques liées à la pseudonymie des blockchains publiques.
Entrée en relation d’affaires
Avant toute prestation, l’assujetti doit :
- Identifier le client : nom, prénom, date et lieu de naissance pour les personnes physiques ; dénomination sociale, forme juridique, SIREN/LEI, siège social pour les personnes morales
- Vérifier l’identité : document officiel en cours de validité. Les solutions de vérification à distance (eKYC) sont acceptées si elles respectent le règlement eIDAS et les lignes directrices actualisées de l’ACPR sur l’entrée en relation à distance
- Identifier le bénéficiaire effectif (BE) : pour les personnes morales, remonter jusqu’à toute personne physique détenant directement ou indirectement plus de 25 % du capital ou des droits de vote (art. L.561-5 CMF)
- Comprendre l’objet et la nature de la relation d’affaires : questionnaire d’entrée documenté
Seuils et niveaux de diligence
| Situation | Niveau de diligence | Mesures minimales |
|---|---|---|
| Relation d’affaires standard | Normale | Identification + vérification + questionnaire BE |
| Transaction occasionnelle >= 1 000 EUR | Normale | Identification complète obligatoire (TFR) |
| Transaction occasionnelle < 1 000 EUR | Simplifiée possible | Identification a minima si risque faible |
| Client à haut risque (PEP, pays tiers à risque, structure opaque) | Renforcée | Approbation senior, source des fonds, surveillance accrue |
| Client institutionnel assujetti LCB-FT supervisé dans l’UE | Simplifiée possible | Vérification du statut réglementaire |
Les Personnes Politiquement Exposées (PEP) et leurs proches déclenchent automatiquement une diligence renforcée. Les listes de référence utilisées en pratique : liste UE des pays tiers à haut risque (mise à jour par délégation de la Commission), listes de sanctions OFAC, OFSI, DG FISMA.
La règle du “travel” (TFR)
Depuis le règlement 2023/1113, applicable depuis le 30 décembre 2024, tout transfert d’actifs numériques entre deux CASP doit être accompagné des informations sur le donneur d’ordre et le bénéficiaire si la transaction atteint 1 000 euros. En dessous, les informations restent exigibles mais peuvent être fournies sur demande. Pour les transferts vers des wallets non hébergés (self-custody), l’assujetti doit collecter et conserver les informations du bénéficiaire et peut appliquer des mesures de risk-based mitigation documentées. Les protocoles techniques d’échange de ces données (IVMS101, OpenVASP, solutions propriétaires comme Notabene ou Sygna) sont devenus un prérequis opérationnel pour tout CASP actif.
Programme AML : détection et déclaration
La conformité AML ne se réduit pas au KYC d’entrée. Elle exige un dispositif de surveillance continue.
Surveillance des transactions
Un programme AML robuste comprend :
- Screening à l’entrée et en continu contre les listes de sanctions (OFAC SDN, gel des avoirs UE, liste nationale ACPR/DGT)
- Blockchain analytics : les assujettis utilisent des outils comme Chainalysis, Elliptic ou TRM Labs pour scorer les adresses et transactions selon leur exposition aux activités illicites (mixeurs, darknet markets, ransomware wallets). Ce n’est pas une obligation légale explicite, mais l’ACPR considère en pratique que l’absence de ces contrôles constitue une lacune dans l’appréciation du risque
- Détection des typologies : fragmentation de transactions (structuring), usage répété de multiples comptes, incohérence entre profil déclaré et activité réelle, recours intensif à des mixeurs ou protocoles de confidentialité
- Revue périodique des dossiers : la fréquence dépend du profil de risque du client (annuelle pour haut risque, tous les 2-3 ans pour risque standard selon les politiques internes)
Déclarations de soupçon (DOS)
Tout assujetti LCB-FT est tenu de déclarer à Tracfin (la cellule de renseignement financier française) toute opération suspecte, dès lors qu’il existe un soupçon que les fonds sont liés à du blanchiment ou au financement du terrorisme. Les points clés :
- Délai : la DOS doit être effectuée avant l’exécution de l’opération si possible, ou immédiatement après si la détection est postérieure
- Interdit de tipping off : le client ne doit pas être informé de la déclaration sous peine de sanctions pénales (art. L.561-19 CMF)
- Gel des avoirs : si une adresse figure sur une liste de gel, le CASP a l’obligation de geler immédiatement les actifs et d’en informer la Direction générale du Trésor sous 48 heures
En 2023, Tracfin a reçu 192 474 déclarations de soupçon toutes entités confondues (rapport annuel Tracfin 2023), les entités crypto représentant une part croissante du total.
Gouvernance et documentation interne
Les obligations réglementaires ne portent pas seulement sur les procédures client mais sur l’organisation interne.
Exigences de gouvernance
- Responsable LCB-FT désigné : dans les structures de taille significative, un MLRO (Money Laundering Reporting Officer) dédié. Dans les structures plus légères, le dirigeant peut assumer ce rôle mais doit pouvoir démontrer la mobilisation effective des ressources
- Cartographie des risques : document formalisé, mis à jour au moins annuellement, listant les facteurs de risque (géographies, types de clients, canaux de distribution, produits) et les mesures d’atténuation correspondantes
- Procédures écrites : politiques KYC, AML, gestion des PEP, screening sanctions, travel rule, conservation des données
- Formation : le personnel en contact avec les clients et la compliance doit être formé annuellement. L’ACPR contrôle la réalité et le contenu de ces formations lors des inspections
- Audit interne ou externe : évaluation régulière de l’efficacité du dispositif
Conservation des données
Les données KYC et les enregistrements de transactions doivent être conservés 5 ans après la fin de la relation d’affaires (art. L.561-12 CMF). Les exigences RGPD s’appliquent en parallèle : les données ne peuvent être conservées au-delà de cette durée et leur accès doit être restreint au personnel autorisé.
DeFi, DAO et zones grises réglementaires
Le droit s’applique aux entités et aux activités, pas aux smart contracts en eux-mêmes. La question “est-ce que ce protocole DeFi est assujetti ?” se décompose en pratique en : qui opère une interface, qui contrôle les paramètres du protocole, qui perçoit des revenus ?
MiCA exclut les services “entièrement décentralisés et sans intermédiaire” (considérant 22), mais mandate l’ESMA pour préciser cette notion. En attendant les RTS définitifs, la position de place est la suivante : si une entreprise identifiable (même sous forme de DAO avec tokens de gouvernance concentrés) opère un front-end ou détient des clés d’administration, elle est exposée. Les projets qui ont ignoré cette analyse se retrouvent aujourd’hui soit à devoir construire un programme de conformité en urgence, soit à bloquer l’accès aux utilisateurs européens.
Pour les stablecoins, le régime est encore plus strict : les émetteurs de tokens de monnaie électronique (EMT) et de tokens se référant à des actifs (ART) sont soumis à MiCA Titre III et IV avec des exigences de capital, de réserves et de conformité LCB-FT plus élevées que pour les simples CASP. Voir la comparaison USDC/USDT/DAI pour entreprises pour les implications pratiques sur le choix du stablecoin.
Sanctions et état de l’enforcement
Les régulateurs européens ont accéléré l’enforcement depuis 2024. Quelques repères :
- France : l’ACPR a prononcé en 2023 sa première sanction significative contre un PSAN pour insuffisances LCB-FT (montant non divulgué mais supérieur à 500 000 euros selon les sources sectorielles)
- Pays-Bas : DNB a imposé plusieurs millions d’euros d’amendes à des exchanges opérant sans enregistrement
- UE : le règlement MiCA prévoit des sanctions harmonisées. Les autorités nationales compétentes peuvent retirer l’agrément CASP, publier l’identité du contrevenant (“name and shame”) et imposer des astreintes journalières
La liste blanche AMF des PSAN enregistrés est le premier filtre pratique pour toute entreprise qui souhaite s’assurer qu’elle traite avec des contreparties régulées. Pour les entreprises cherchant à s’enregistrer, l’AMF publie le dossier type sur son site (amf-france.org{rel=“nofollow”}) et le délai d’instruction est passé à 6-9 mois en pratique.
Pour approfondir le cadre réglementaire global, la catégorie régulation regroupe les analyses des textes en vigueur et des évolutions attendues, notamment sur la révision AMLD6 et le futur règlement sur l’autorité anti-blanchiment européenne (AMLA) dont le siège est à Francfort.
FAQ
A partir de quel seuil la travel rule s’applique-t-elle aux transferts crypto entre CASP ?
Le règlement 2023/1113 impose la transmission des informations sur le donneur d’ordre et le bénéficiaire pour tout transfert d’actifs numériques entre deux CASP atteignant 1 000 euros. En dessous de ce seuil, les informations restent exigibles mais peuvent être fournies sur demande de l’autorité compétente. Pour les transferts vers des wallets non hébergés (self-custody), l’assujetti doit collecter et conserver les informations du bénéficiaire quelle que soit la valeur du transfert.
Un protocole DeFi sans société identifiable est-il soumis à MiCA et aux obligations KYC/AML ?
MiCA exclut de son champ les services entièrement décentralisés et sans intermédiaire (considérant 22), mais l’ESMA est mandatée pour préciser cette notion via des standards techniques (RTS). En pratique, si une entité identifiable - y compris une DAO avec tokens de gouvernance concentrés - opère un front-end ou détient des clés d’administration, elle est exposée aux obligations CASP. L’absence de société immatriculée ne constitue pas en soi un écran suffisant vis-à-vis des régulateurs européens.
Quelles sont les sanctions encourues en cas de manquement aux obligations KYC/AML sous MiCA ?
Le règlement MiCA prévoit des sanctions harmonisées : les autorités nationales compétentes peuvent retirer l’agrément CASP, publier l’identité du contrevenant (“name and shame”) et imposer des astreintes journalières. En France, l’ACPR peut prononcer des sanctions pécuniaires et administratives, y compris la radiation. Les sanctions pénales pour tipping off sont prévues à l’art. L.561-19 du CMF.
Combien de temps conserver les données KYC et les enregistrements de transactions ?
L’article L.561-12 du Code monétaire et financier impose une conservation de 5 ans après la fin de la relation d’affaires. Les exigences RGPD s’appliquent en parallèle : les données ne peuvent être conservées au-delà de cette durée légale et leur accès doit être strictement restreint au personnel habilité.