Accueil/Blog/Conformité
Conformité

KYC Fournisseur 2026 : Guide Complet LCB-FT France & Maroc

Obligations KYC pour les PME en 2026 : cadre légal LCB-FT, processus étape par étape, outils et bonnes pratiques France & Maroc.

Due diligence PME, guide KYC 2026
L'équipe RiskSonnar · 2026-04-12 · 10 min

Le KYC fournisseur n'est plus une option. En 2026, toute entreprise qui contractualise avec des tiers est exposée à des obligations de vigilance concrètes — et à des sanctions réelles en cas de manquement. Ce guide détaille le cadre légal en France et au Maroc, les 5 étapes pratiques d'un KYC efficace, les documents à exiger selon le type d'entité, et comment automatiser le processus sans sacrifier la qualité.

Pourquoi le KYC fournisseur est devenu obligatoire

Cadre légal en France

Le dispositif français de lutte contre le blanchiment et le financement du terrorisme (LCB-FT) repose sur trois piliers :

  • Le Code monétaire et financier — articles L.561-1 et suivants — qui définit les obligations de vigilance, de déclaration et de conservation pour les entités assujetties.
  • Tracfin, la cellule de renseignement financier nationale, qui reçoit et analyse les déclarations de soupçon. En 2024, Tracfin a traité plus de 180 000 déclarations dont 85% en provenance du secteur bancaire mais 12% issues de professions non-financières.
  • La loi Sapin II (décembre 2016) qui impose aux sociétés de plus de 500 salariés et 100 M€ de CA une cartographie des risques de corruption et une due diligence sur leurs partenaires commerciaux.

Depuis la directive européenne AMLR (Anti-Money Laundering Regulation, adoptée en 2024), les obligations s'étendent progressivement aux PME et aux professions qui traitent des montants significatifs : agents immobiliers, experts-comptables, concessionnaires, plateformes crypto, marchands d'art.

Cadre légal au Maroc

Le Maroc a considérablement renforcé son arsenal LCB-FT depuis sa sortie de la liste grise du GAFI en février 2023. Les textes de référence :

  • Loi 43-05 relative à la lutte contre le blanchiment de capitaux, complétée par les lois 13-10 et 12-18.
  • ANRF (Autorité Nationale du Renseignement Financier) qui reçoit les déclarations de soupçon depuis 2009 et publie des lignes directrices sectorielles.
  • Bank Al-Maghrib, notamment via la circulaire 5/W/2018 qui impose aux établissements de crédit une vigilance renforcée sur les relations avec les PEP et les pays à risque.
  • Office des Changes, qui contrôle les flux transfrontaliers et impose des obligations de déclaration pour les transactions supérieures à 100 000 MAD.

Sanctions en cas de non-conformité

Les conséquences d'un manquement ne sont pas théoriques. En France, les amendes peuvent atteindre 1,5 million d'euros ou 1% du CA annuel. Au Maroc, Bank Al-Maghrib peut prononcer des sanctions administratives et retirer l'agrément. Au-delà des amendes, la responsabilité personnelle des dirigeants est engagée — y compris pénalement en cas de complicité avérée.

Les 5 étapes d'un KYC fournisseur efficace

1. Identification formelle de la contrepartie

La première étape consiste à collecter les éléments d'identification officiels :

  • France : SIRET, Kbis de moins de 3 mois, statuts, identité des dirigeants et des bénéficiaires effectifs (détenteurs de plus de 25% du capital ou contrôle effectif).
  • Maroc : numéro de RC, attestation OMPIC récente, ICE (Identifiant Commun d'Entreprise) à 15 chiffres, IF (Identifiant Fiscal), statuts enregistrés.

Un bénéficiaire effectif qui refuse de se déclarer ou qui change fréquemment d'identité est un drapeau rouge immédiat.

2. Vérification sanctions et PEP

Croiser l'identité de la société et de ses dirigeants avec :

  • Les listes de sanctions internationales : OFAC (États-Unis), UE, ONU, OFSI (Royaume-Uni)
  • Les listes nationales : ANRF (Maroc), DGT (France)
  • Les listes de PEP (Personnes Politiquement Exposées) — qui imposent une vigilance renforcée même en l'absence de faute

La plupart des outils modernes utilisent OpenSanctions, qui agrège plus de 200 listes mondiales en une base consolidée.

3. Analyse financière et solvabilité

Exploiter les bilans déposés au greffe (France) ou les publications de la Bourse de Casablanca (pour les sociétés cotées marocaines) pour évaluer :

  • Le chiffre d'affaires et sa tendance (3 derniers exercices)
  • Le résultat net et la rentabilité
  • Les fonds propres et le niveau d'endettement
  • L'ancienneté et l'évolution de l'effectif

Un fournisseur dont le CA baisse deux années consécutives mérite une vigilance particulière, même sans procédure collective déclarée.

4. Réputation et signaux faibles

Compléter l'analyse avec des sources non-officielles mais révélatrices :

  • Presse économique (Google News, L'Économiste, Medias24, Challenge.ma)
  • Avis clients (Trustpilot) et avis employés (Glassdoor)
  • Cohérence de la présence digitale (site web, LinkedIn, ancienneté du domaine)

5. Documentation et archivage

Tout dossier KYC doit être tracé et conservé pendant au minimum 5 ans (France) ou 10 ans (Maroc, obligations fiscales). Chaque décision (entrée en relation, refus, vigilance renforcée) doit être documentée avec sa justification factuelle. C'est ce dossier qui fera foi en cas de contrôle.

Gagnez 3 jours sur chaque due diligence
24 sources officielles, scoring IA, rapport en 60 secondes. À partir de 9,90 €.
Essayer →

Documents obligatoires par type d'entité

Voici un tableau récapitulatif des documents minimum à exiger selon le type de contrepartie :

  • Société FR : Kbis < 3 mois · Statuts à jour · Identité dirigeants · Bénéficiaires effectifs · RIB · Attestation URSSAF · Dernier bilan certifié (selon montant)
  • Société MA : RC OMPIC récent · Statuts · ICE/IF · Attestation CNSS · Attestation patente · Pièce d'identité gérant · Dernier bilan certifié
  • Personne physique : CIN/Passeport · Justificatif de domicile < 3 mois · Attestation de fonction (si PEP) · Déclaration d'origine des fonds (si montant > 100 K€)

Automatiser le KYC avec les outils modernes

Un processus KYC manuel rigoureux prend en moyenne 2 à 3 jours par contrepartie. Pour une PME qui contractualise avec 20 à 50 nouveaux fournisseurs par mois, le coût cumulé devient prohibitif — et la tentation de raccourcir la vigilance, réelle.

Les outils de due diligence automatisée résolvent cette tension en agrégeant les sources officielles (registres, sanctions, presse, bilans) via API et en produisant un rapport PDF structuré en moins d'une minute. Le décisionnaire garde le contrôle final, mais s'appuie sur une base factuelle consolidée plutôt que sur une recherche manuelle partielle.

RiskSonnar est l'un de ces outils. En 60 secondes, il interroge plus de 200 listes de sanctions, les registres officiels France et Maroc, BODACC, OMPIC, Bank Al-Maghrib, Pappers et 20+ sources complémentaires.

Checklist KYC fournisseur minimum

  1. Identifier formellement la société et ses dirigeants via les registres officiels
  2. Identifier les bénéficiaires effectifs (>25% du capital ou contrôle)
  3. Filtrer les listes de sanctions internationales (OFAC, ONU, OFSI, UE)
  4. Vérifier le statut PEP des dirigeants et bénéficiaires
  5. Analyser les 3 derniers bilans si disponibles
  6. Vérifier l'absence de procédures collectives (BODACC, OMPIC)
  7. Croiser la presse économique des 24 derniers mois
  8. Vérifier la cohérence de la présence digitale
  9. Documenter la décision et sa justification
  10. Programmer une re-vérification annuelle (trimestrielle pour les risques élevés)

Conclusion

Le KYC fournisseur n'est pas une corvée administrative : c'est un levier stratégique qui protège l'entreprise contre les fraudes, les pertes financières et les sanctions réglementaires. En 2026, les PME qui structurent leur dispositif de due diligence prennent une longueur d'avance — à la fois sur la conformité et sur la qualité de leur portefeuille commercial.

Le coût de non-conformité (amendes, responsabilité dirigeant, pertes commerciales) est désormais supérieur au coût d'un processus KYC structuré et automatisé. Il n'y a donc plus d'arbitrage rationnel à faire contre le KYC : la vraie question est comment le faire bien, pas s'il faut le faire.

Automatisez votre due diligence en 60 secondes

RiskSonnar agrège 24 sources officielles (sanctions, registres, presse, finances) pour produire un rapport de due diligence complet en quelques secondes. À partir de 9,90 €.

Lancer une analyse gratuite →
Aucune carte bancaire requise · 3 analyses offertes

À lire également

Conformité
PEP : Qu'est-ce qu'une Personne Politiquement Exposée ?
2026-04-16 · 9 min
Conformité
Déclaration de Soupçon TRACFIN : Guide Pratique 2026
2026-03-11 · 8 min
Conformité
KYC Marketplace : Obligations pour Vendeurs et Plateformes
2026-03-30 · 8 min