D’après les données de 2024 du Service exécutif de la Commission pour la prévention du blanchiment d’argent et des infractions pécuniaires (SEPBLAC), plus de 24 000 avertissements de transactions suspectes ont été détectés à la suite des vérifications obligatoires de connaissance du client en Espagne. Les institutions financières étaient à l’origine de la majorité des avertissements (86 %), suivies des institutions non financières (11,6 %) et d’autres types d’entités (2,6 %).

En Espagne, les entités entreprises spécifiques ont l’obligation juridique d’implémenter des contrôles de connaissance du client. Cependant, toute entreprise qui souhaite améliorer la détection et la prévention de la fraude peut également le faire volontairement. Que la connaissance du client soit obligatoire ou non pour votre entreprise, il est important de savoir comment l’implémenter. Dans cet article, nous expliquons la connaissance du client, notamment son objectif et ses procédures.

Contenu de l’article

• Que signifie la procédure de connaissance du client (KYC) ?
  
• Quels sont les avantages de la procédure de connaissance du client (KYC) ?
  
• Quelles entités sont tenues d’implémenter les procédures relatives à la connaissance du client (KYC) en Espagne ?
  
• Exigences juridiques relatives aux procédures de connaissance du client en Espagne
  
• Exemple de procédure de connaissance du client en Espagne
  
• Comment Stripe Identity simplifie les procédures de connaissance du client
  
• Questions fréquentes sur la connaissance du client en Espagne
  

Que signifie la connaissance du client (KYC) ?

Une procédure de connaissance du client vise à vérifier l’identité des clients avant la souscription de services ou la réalisation d’achats en ligne. Elle a pour objectif de réduire les risques de fraude et d’autres infractions financières, notamment le blanchiment d’argent.

Pour vérifier l’identité client et limiter les menaces de sécurité — y compris l’usurpation d’identité et le vol de données personnelles — les entreprises peuvent recourir à des mécanismes comme l’authentification à deux facteurs et les signatures numériques.

Quels sont les avantages de la connaissance du client ?

Au-delà de son caractère obligatoire dans certains secteurs, la mise en œuvre de procédures de connaissance du client offre des avantages tant sur le plan opérationnel que stratégique pour les entreprises évoluant dans des environnements numériques. Voici les principaux bénéfices de l’intégration de ces procédures :

• Protection contre la fraude
  La vérification de l’identité des clients complique l’accès pour les acteurs frauduleux. La connaissance du client constitue une première ligne de défense en validant l’identité de chaque client. Cet aspect est particulièrement important dans les environnements numériques, où les cas d’usurpation d’identité représentent 14 % des demandes adressées à l’Institut national de cybersécurité (INCIBE).
  
• Stabilité opérationnelle
  Le respect strict de la loi sur la prévention du blanchiment d’argent est essentiel pour assurer la continuité des activités. Au-delà des sanctions financières, un système de connaissance du client inadéquat peut entraîner la suspension des activités de l’entreprise ou la disqualification des dirigeants.
  
• Automatisation et précision du traitement des données
  La plupart des solutions modernes de connaissance du client s’appuient sur la reconnaissance optique de caractères (ROC) et l’intelligence artificielle (IA) pour extraire les informations des documents avec un haut degré de précision. En réduisant la saisie manuelle des données, ces solutions limitent les erreurs humaines. Il en résulte des dossiers clients plus fiables et uniformisés.
  
• Intégration rapide des clients
  L’une des principales causes d’abandon lors du processus d’inscription est une intégration lente ou complexe. L’adoption d’un système de connaissance du client flexible peut améliorer considérablement cette expérience. Par exemple, une procédure qui exigeait auparavant des documents physiques et de longs délais peut désormais être complétée en quelques secondes. De plus, certaines solutions de connaissance du client sont compatibles avec des pièces d’identité provenant de nombreux pays, ce qui facilite leur déploiement dans de nouveaux marchés.
  

Qui est tenu d’implémenter les procédures relatives à la connaissance du client (KYC) en Espagne ?

Le règlement (UE) 2024/1624 établit le cadre réglementaire qui régit le formulaire d'inscription aux politiques et procédures de connaissance du client dans l'UE, mais chaque État membre a le pouvoir d'introduire ses propres nuances juridiques.

En Espagne, la loi 10/2010 relative à la prévention du blanchiment d’argent et du financement du terrorisme régit principalement le système de connaissance du client (KYC). Vous trouverez ci-dessous une liste des entités ayant l’obligation légale de collecter et de vérifier les informations d’identification lorsqu’elles établissent ou entretiennent une relation commerciale en Espagne.

Institutions financières

Les institutions financières sont exposées à un risque accru de transactions frauduleuses, car elles se concentrent sur la gestion des ressources financières de la clientèle. Cela se reflète dans les données du SEPBLAC, qui indiquent qu’en 2024, les banques, les caisses d’épargne, les établissements de paiement et autres établissements de crédit ont enregistré le plus grand nombre de rapports sur indication. Voici une liste complète des institutions financières tenues d’implémenter des procédures relatives à la connaissance du client (KYC) :

• Établissements de crédit
  
• Compagnies d’assurance vie ou d’investissement
  
• Sociétés de services d’investissement
  
• Gestionnaires de fonds communs de placement et entreprises
  
• Gestionnaires de fonds de pension
  
• Gestionnaires et entreprises de capital‑risque
  
• Les sociétés de garantie mutuelle (c'est-à-dire les organismes à but non lucratif qui financent les petites et moyennes entreprises espagnoles [PME] et qui sont régies par la loi 1/1994)
  
• Monnaie électronique et établissements de paiement
  
• Professionnels du change de devises
  
• Fournisseurs de services de cryptomonnaie
  

Institutions non financières

Certaines entités hors du secteur financier sont également impliquées dans des transactions à haut risque. Selon le SEPBLAC, les administrateurs de loterie, les registraires et les notaires ont enregistré le plus grand nombre de rapports sur indication en 2024. Les institutions non financières suivantes doivent implémenter des procédures relatives à la connaissance du client (KYC) :

• Les prestataires de services de mandats, dès lors que leurs activités principales relèvent de la logistique et non de celles des établissements de paiement
  
• Les courtiers en crédit et les prêteurs qui exercent sans licence bancaire et qui ne sont pas légalement considérés comme des établissements de crédit ou des établissements de crédit financiers
  
• Promoteurs et courtiers immobiliers dont les transactions locatives sont égales ou supérieures à 10 000 € par mois ou 120 000 € par an
  
• Auditeurs, comptables externes et conseillers fiscaux
  
• Notaires et registres fonciers, registres des biens personnels et registres des entreprises
  
• Avocats et juristes dans certaines transactions pour le compte de clients, telles que les transactions financières ou immobilières
  
• Professionnels qui fournissent des services aux sociétés et aux fiducies
  
• Casinos
  
• Bijoux, pierres précieuses ou marchands de métaux précieux
  
• Marchands d’art, antiquaires ou courtiers
  
• Vendeurs de biens proposant des offres de rachat
  
• Les opérateurs de loterie et de jeu lors du paiement des gains
  
• Les vendeurs de biens dont les achats effectués par des non‑résidents d’Espagne dépassent 10 000 € et sont réglés par des modes de paiement à haut risque, tels que l’argent comptant
  
• Les fondations et associations lorsqu’elles contribuent ou reçoivent des fonds
  
• Gestionnaires de systèmes de règlement et de paiement de titres
  

Même si la loi n’impose pas aux entreprises d’adopter un système de connaissance du client, il est recommandé d’en mettre en œuvre un pour améliorer la gestion des risques de fraude. La connaissance du client impliquant la vérification de l’identité et des activités financières des clients, ce traité peut contribuer à atténuer des menaces telles que l’usurpation d’identité.

Exigences juridiques relatives aux procédures de connaissance du client en Espagne

La loi 10/2010 définit également les exigences auxquelles doivent se conformer toutes les entités tenues de mettre en œuvre des procédures de connaissance du client. Ces exigences relèvent principalement de mesures de vigilance et de contrôle. Nous présentons ci-dessous les plus importantes.

Vérification préalable

Les mesures de vigilance impliquent la collecte d’informations sur l’identité et les activités économiques des clients. Elles sont appliquées de manière proportionnelle, en fonction du niveau de risque du client, du type de produit ou de la nature de la transaction. Cette analyse du risque doit être formalisée par écrit au préalable afin de déterminer le profil de risque et, par conséquent, les exigences applicables.

Exigences de vigilance pour les profils à faible risque

Lorsque l’analyse établit que le profil de risque est faible, la réglementation permet l’application de mesures de vigilance simplifiées. Cette approche allège les procédures tout en maintenant la conformité réglementaire. Les principales exigences sont présentées ci-dessous :

• Identifier le client
  La première étape pour les entreprises ou les professionnels mettant en œuvre des procédures de connaissance du client consiste à identifier formellement le client. Lorsqu’il s’agit d’une personne morale (par exemple, une entreprise souhaitant acquérir un bureau), il est nécessaire d’identifier le bénéficiaire effectif, c’est-à-dire la personne physique qui détient plus de 25 % de l’entité ou qui en exerce le contrôle.
  
• Vérifier l’activité professionnelle ou commerciale
  L’entité responsable de la procédure de connaissance du client doit vérifier la véracité de l’activité professionnelle ou commerciale du client (par exemple, au moyen de fiches de paie ou de documents financiers de l’entreprise). Cette vérification doit demeurer raisonnable, c’est-à-dire proportionnelle au niveau de risque associé à la transaction.
  
• Déterminer l’objectif de la transaction
  Il est ensuite nécessaire de déterminer l’objectif poursuivi par le client dans le cadre de la transaction financière. Celui-ci doit être cohérent avec l’activité professionnelle ou commerciale préalablement vérifiée. Par exemple, si l’objectif consiste à investir une partie de l’épargne de l’entreprise dans des cryptomonnaies, un achat de 500 000 € en bitcoin peut être jugé raisonnable pour une entreprise générant plusieurs millions d’euros de revenus annuels. En revanche, une telle transaction ne serait pas considérée comme raisonnable pour une personne dont le salaire mensuel est de 1 500 €.
  
• Mettre en place une surveillance continue
  Le système de connaissance du client ne se limite pas au début de la relation d’affaires. Il repose sur une surveillance continue. Par exemple, si un client percevait un salaire de 2 900 € au moment d’un investissement, mais qu’il est désormais sans emploi et sans revenus, il est essentiel que l’institution financière en soit informée. Il est donc important de mettre à jour les données du client lorsque des changements significatifs surviennent dans son profil.
  

Exigences de vigilance pour les profils à risque élevé

Lorsque l’analyse conclut que le profil du client, la transaction ou l’actif concerné présente un risque élevé, des mesures de vigilance renforcées doivent être appliquées. Ces mesures s’ajoutent aux exigences prévues pour les profils à faible risque. Nous présentons ci-dessous certaines des mesures les plus courantes en Espagne :

• Déterminer l’origine des fonds
  Cette mesure renforcée s’applique notamment lorsque le client occupe une fonction de responsabilité publique, par exemple un ministre ou un haut dirigeant d’un parti politique représenté au parlement.
  
• Exiger une signature électronique
  Si la transaction a lieu par voie électronique, l’entité doit vérifier l’identité du client avec une signature électronique qui répond aux exigences établies par le règlement (UE) 910/2014.
  
• Obtenir une autorisation expresse
  Pour certains paiements transfrontaliers d’une banque espagnole vers une banque étrangère, une autorisation expresse de la haute direction est requise avant de procéder au transfert des fonds
  

Mesures de contrôle et d’information

Si les résultats de la vérification diligente indiquent une activité potentiellement illégale, l’entreprise responsable de la procédure de connaissance du client doit adopter les mesures de contrôle et d’information suivantes :

• Examen spécial
  L’entité doit appliquer ses protocoles de contrôle interne afin d’examiner le cas concerné et préparer un rapport détaillant les motifs de la suspicion ainsi que les conclusions tirées.
  
• Signalement fondé sur des indices ou signalement systématique
  Si la conclusion de l’examen spécial confirme ou renforce le soupçon initial, l’entreprise doit transmettre un rapport à SEPBLAC, détaillant l’identité du client, son activité et la transaction suspecte. Même en l’absence d’éléments probants, il est obligatoire de transmettre un rapport systématique pour les transactions ayant une origine ou une destination dans des pays présentant un risque élevé de blanchiment d’argent.
  
• Annulation de transaction
  L’entreprise doit s’abstenir d’effectuer la transaction, sauf si cela est impossible ou risque de nuire au déroulement de l’enquête.
  
• Interdiction de divulgation
  Il est interdit à l’entité d’informer le client ou des tiers du signalement transmis à SEPBLAC, que celui-ci soit fondé sur des indications ou systématique.
  
• Coopération avec les autorités
  Si les autorités compétentes demandent des informations supplémentaires, l’entité doit les fournir rapidement et avec précision afin de faciliter l’enquête.
  
• Conservation des documents
  L’entreprise doit conserver pendant 10 ans l’ensemble des documents attestant du respect des exigences légales relatives aux procédures de connaissance du client en Espagne.
  

Exemple de procédure de connaissance du client en Espagne

Bien que les vérifications de diligence raisonnable à l’égard de la clientèle varient selon le profil de risque et le type d’entreprise, les étapes fondamentales demeurent généralement similaires. Voici un exemple de procédure de connaissance du client en Espagne :

• Accéder au formulaire
  Booking.com est le système de réservation d’hébergement le plus utilisé dans l’environnement B2C en Espagne, même avant les réservations directes avec les hôtels. La direction d’un hôtel traditionnel décide de démarrer une relation d’entreprise avec cette agence de voyages en ligne dans le cadre de sa stratégie de transformation numérique. Pour opérer sur la plateforme, elle doit d’abord remplir le formulaire de connaissance du client Booking.com.
  
• Déterminer le type d'entité
  Booking.com applique des exigences différentes, selon le type d’entité. Par exemple, les travailleurs indépendants n’ont besoin de saisir que leurs coordonnées personnelles et leurs coordonnées bancaires. Cependant, l’hôtel est inscrit au registre du commerce en tant qu’entreprise à responsabilité limitée (SL), les gérants de l’hôtel sélectionnent donc l’option « Entité entreprise ».
  
• Remplissez le formulaire
  Le représentant remplit le formulaire au nom du SL. Pour exercer ses activités en tant qu’entreprise partenaire, Booking.com demande des informations, telles que le nom de l’entreprise, la date de constitution et le numéro de compte bancaire international (IBAN) pour le compte bancaire entreprise.
  
• Vérifier les informations et analyser le risque
  Après réception du formulaire, Booking.com procède aux vérifications requises. Ce processus comprend notamment l’identification des propriétaires de la société à responsabilité limitée (SL) et la confirmation que les informations concordent avec celles du Registre du commerce. Une analyse du risque est ensuite effectuée. Si le résultat est favorable, une relation d’affaires est établie avec l’hôtel.
  
• Mettre en œuvre une procédure de connaissance du client pour la réservation
  Il est courant que des plateformes comme Booking.com appliquent également cette procédure aux clients effectuant des réservations, afin de renforcer leurs protocoles de connaissance du client. Dans cette vidéo, nous présentons le traité de vérification d'identité avec Stripe Identity ainsi que les étapes que les clients doivent suivre lors de la réservation.
  

Comment Stripe Identity simplifie les procédures relatives à la connaissance du client

Si vous êtes légalement tenu de mettre en place un système de connaissance du client en Espagne, vous devez vous assurer que les procédures de collecte des informations respectent le Règlement général sur la protection des donnéesNBSP. Stripe Identity facilite cette tâche en simplifiant la vérification de l’identité lors du processus d’intégration et en respectant les exigences réglementaires espagnoles en matière de connaissance du client.

Stripe Identity vous permet de vérifier l’identité de votre clientèle et de réduire le risque de fuites de données confidentielles. De plus, cette solution allège la charge de travail des équipes de lutte contre la fraude en limitant les tâches manuelles, tout en permettant à la clientèle légitime de bénéficier de processus de vérification plus rapides et plus simples.

De plus, la combinaison de Stripe Payments, la plateforme de paiement en ligne de Stripe, avec Stripe Radar, son outil de lutte contre la fraude, peut contribuer à prévenir les attaques frauduleuses, en raison des mesures de sécurité de ces systèmes et de la prévention des faux positifs susceptibles d’affecter la conversion.

Pour les plateformes et places de marché, Stripe Connect peut simplifier les procédures relatives à la connaissance du client impliquées dans la gestion des paiements multiparties. Il intègre les vérifications de connaissance du client pour les clients, en plus de la vérification pour les entreprises et les professionnels proposant leurs produits et services sur votre site Web.

Questions fréquentes sur la connaissance du client en Espagne

Est-il obligatoire d’effectuer des procédures de connaissance du client pour toutes les transactions ?

Le caractère obligatoire des procédures de connaissance du client dépend du type d’entité. Les institutions financières, comme les établissements de crédit et les fournisseurs de services liés aux cryptomonnaies, doivent appliquer ces procédures à l’ensemble des transactions. En revanche, certaines entités non financières ne sont tenues d’effectuer ces vérifications que dans des situations particulières. Par exemple, les commerces et les professionnels doivent mettre en œuvre une procédure de connaissance du client pour les transactions effectuées avec des non-résidents lorsque les montants dépassent 10 000 € et que des modes de paiement à risque élevé sont utilisés.

Que se passe-t-il si une procédure de connaissance du client n’est pas mise en œuvre alors qu’elle est obligatoire ?

Lorsqu’une entreprise ne respecte pas l’obligation de mettre en œuvre des procédures de connaissance du client, elle s’expose aux sanctions prévues par la réglementation. Les infractions mineures — par exemple, l’omission d’identifier un client dans le cadre d’une transaction isolée — peuvent entraîner des avertissements non publics ou des amendes pouvant atteindre 60 000 €. Dans le cas d’une infraction grave — notamment l’absence d’identification d’un client en présence d’indices ou de soupçons de blanchiment d’argent ou de financement du terrorisme — l’amende minimale est de 60 000 €. Pour les infractions très graves, y compris en cas de récidive, la sanction minimale s’élève à 150 000 €. Au-delà des amendes, les infractions graves et très graves peuvent également entraîner d’autres conséquences, comme la suspension temporaire de l’autorisation administrative d’exercer ou la disqualification des dirigeants.

Est-il recommandé de mettre en œuvre des procédures de connaissance du client dans une entreprise de commerce électronique ?

Bien que la loi n'oblige pas les entreprises de commerce en ligne à implémenter un système de connaissance du client, il est recommandé de le faire pour détecter et prévenir la fraude au commerce en ligne. En recueillant des informations sur les clients et leurs activités économiques, vous pouvez déterminer le niveau de risque des relations d'entreprise et, si nécessaire, prendre des précautions supplémentaires pour éviter des menaces telles que l'usurpation d'identité. La mise en oeuvre de la procédure de connaissance du client sans être tenue de le faire est particulièrement recommandée pour les entreprises qui acceptent des modes de paiement plus risqués, comme les entreprises de commerce en ligne qui acceptent les monnaies cryptomonnaies Payments ou les payments échelonnés.