audit conformité CGP3 mars 2026

Audit conformité CGP : guide complet 2026

Comment réaliser un audit de conformité en tant que CGP ? Checklist, fréquence, points de contrôle clés. Découvrez comment Glyphe automatise ce processus.

Audit conformité CGP : méthode, checklist et bonnes pratiques

Audit conformité cgp — Un audit de conformité CGP est une procédure formelle par laquelle un Conseiller en Gestion de Patrimoine vérifie que l'ensemble de ses pratiques professionnelles, documents contractuels et processus internes respectent les obligations réglementaires en vigueur, notamment celles issues de MiFID II, de la Directive sur la Distribution d'Assurances (DDA) et du RGPD. Il constitue un élément central du contrôle interne obligatoire pour tout CGP soumis à l'agrément de l'AMF ou de l'ACPR.

Interface tableau de bord de conformité CGP affichant une checklist d'audit avec indicateurs de statut réglementaire, sur un écran d'ordinateur dans un bureau professionnel épuré

Réaliser un audit conformité CGP n'est pas une option — c'est une obligation réglementaire structurante pour tout conseiller en gestion de patrimoine indépendant. Entre MiFID II, la Directive sur la Distribution d'Assurances (DDA), le RGPD et, pour certains, le statut PSAN, la superposition des cadres normatifs rend l'exercice complexe. Pourtant, un audit bien conduit protège le cabinet, sécurise la relation client et démontre un professionnalisme irréprochable aux yeux de l'AMF et de l'ACPR. Selon la réglementation MiFID II en vigueur depuis 2018, 100 % des recommandations d'investissement doivent être documentées via un rapport d'adéquation formalisé. Un seul oubli peut exposer le cabinet à un risque disciplinaire significatif. Ce guide pratique vous accompagne étape par étape : définition de l'audit, points de contrôle prioritaires, fréquence recommandée et outils pour automatiser ce processus chronophage sans sacrifier la rigueur.

Chiffres clés

  • MiFID II impose aux CGP de documenter 100 % de leurs recommandations d'investissement via un rapport d'adéquation formalisé remis au client avant toute souscription. Directive 2014/65/UE, article 25 – applicable en France depuis janvier 2018
  • Le RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial en cas de violation grave des règles de traitement des données personnelles. Règlement (UE) 2016/679, article 83 – applicable depuis mai 2018
  • La DDA (Directive sur la Distribution d'Assurances) exige un minimum de 15 heures de formation continue par an pour tout distributeur de produits d'assurance, dont les CGP proposant des contrats d'assurance-vie. Directive 2016/97/UE, transposée en droit français par l'ordonnance n°2018-361

Infographie réglementaire minimaliste illustrant les quatre piliers du contrôle interne CGP : protection, documentation, sécurité des données et suivi temporel, représentés par des icônes interconnectées sur fond blanc

Qu'est-ce qu'un audit de conformité pour un CGP ?

Un audit de conformité CGP est un examen structuré et documenté de l'ensemble des pratiques du cabinet au regard des obligations réglementaires applicables. Il ne s'agit pas d'un simple inventaire de documents, mais d'une vérification approfondie que les processus internes, les outils utilisés et les comportements professionnels sont alignés avec les textes en vigueur.

Concrètement, cet audit couvre plusieurs périmètres réglementaires distincts. MiFID II impose des exigences précises en matière de profilage client, de transparence sur les rémunérations et de documentation des conseils fournis. La DDA ajoute des obligations spécifiques pour la distribution de produits d'assurance-vie, notamment en termes d'analyse des besoins et de formation continue (15 heures par an minimum). Le RGPD, quant à lui, encadre la manière dont le cabinet collecte, stocke et traite les données personnelles de ses clients. Enfin, les CGP ayant une activité en lien avec les crypto-actifs doivent également vérifier leur conformité au cadre PSAN défini par la loi PACTE.

L'audit de conformité se distingue d'un simple contrôle interne par sa dimension analytique : il ne vérifie pas seulement que les procédures existent, mais qu'elles sont effectivement appliquées, comprises par les équipes et adaptées aux évolutions réglementaires récentes. C'est un outil de pilotage autant que de protection.

Audit interne ou audit externe : quelle différence ?

Un audit interne est réalisé par le cabinet lui-même, souvent via une auto-évaluation conformité CGP structurée ou avec l'appui d'un outil dédié. Il permet une vérification régulière, réactive et peu coûteuse. L'audit externe, réalisé par un tiers indépendant (cabinet de conseil spécialisé, auditeur réglementaire), offre un regard objectif et peut être requis dans certaines configurations, notamment lors d'une demande d'agrément ou d'un contrôle de l'AMF. Les deux approches sont complémentaires : l'interne pour la veille quotidienne, l'externe pour la validation périodique.

Quelle fréquence pour les audits de conformité CGP ?

La question de la fréquence des audits de conformité revient systématiquement dans les préoccupations des CGP indépendants. La réglementation ne fixe pas de calendrier universel unique, mais les autorités de supervision — AMF et ACPR — attendent des cabinets qu'ils démontrent une démarche de contrôle interne continue et documentée.

En pratique, la recommandation professionnelle est la suivante : un audit de conformité complet au moins une fois par an, idéalement en début d'année civile, afin d'intégrer les évolutions réglementaires de l'année précédente. À cela s'ajoutent des revues ponctuelles déclenchées par des événements spécifiques : publication d'une nouvelle directive européenne, modification d'un texte de transposition français, changement dans la gamme de produits distribués, ou encore recrutement d'un nouveau collaborateur.

Pour les cabinets ayant une activité de distribution de produits d'assurance-vie, la DDA impose également un suivi annuel des heures de formation continue. Ce suivi doit être documenté et peut faire l'objet d'un contrôle de l'ACPR. Dans ce contexte, intégrer la vérification des justificatifs de formation à la routine d'audit annuel est une bonne pratique indispensable.

La veille réglementaire automatisée constitue aujourd'hui la solution la plus efficace pour ne manquer aucun changement normatif entre deux audits formels. Des outils comme Glyphe permettent de recevoir des alertes ciblées sur les évolutions pertinentes pour le profil réglementaire spécifique du cabinet.

Checklist conformité CGP : les points de contrôle essentiels

Une checklist conformité CGP efficace s'organise autour de plusieurs axes thématiques correspondant aux différents référentiels réglementaires applicables. Voici les points de contrôle prioritaires que tout CGP devrait vérifier lors de son audit annuel.

Axe MiFID II — Conseil en instruments financiers Le rapport d'adéquation est-il systématiquement remis avant toute recommandation ? Le profilage client (questionnaire de risque) est-il à jour et signé ? Les rémunérations perçues (commissions, rétrocessions) sont-elles clairement communiquées au client conformément aux exigences de transparence ? La politique de gestion des conflits d'intérêts est-elle formalisée et accessible ?

Axe DDA — Distribution de produits d'assurance Le document d'information standardisé (IPID ou DIC) est-il remis systématiquement avant la souscription ? L'analyse des besoins du client est-elle documentée pour chaque contrat ? Les heures de formation continue (15h minimum annuel) sont-elles justifiées par des attestations en cours de validité ?

Axe RGPD — Protection des données personnelles Le registre des traitements de données est-il à jour ? Les mentions d'information légale figurent-elles dans tous les contrats et formulaires clients ? Les sous-traitants (logiciels CRM, outils cloud) ont-ils signé des contrats de traitement conformes ? Les données des anciens clients sont-elles supprimées ou anonymisées dans les délais légaux ?

Axe PSAN — Actifs numériques (si applicable) L'enregistrement auprès de l'AMF est-il en cours de validité ? Les procédures LCB-FT (lutte contre le blanchiment et le financement du terrorisme) sont-elles adaptées aux spécificités des actifs numériques ?

Chaque point doit être documenté, horodaté et archivé pour pouvoir être présenté en cas de contrôle réglementaire.

Le registre des conflits d'intérêts : un oubli fréquent

Parmi les lacunes les plus souvent constatées lors d'un contrôle AMF, l'absence ou l'incomplétude du registre des conflits d'intérêts arrive en tête. Ce document recense toutes les situations dans lesquelles les intérêts du cabinet pourraient entrer en contradiction avec ceux du client : réception de commissions, relations commerciales avec des émetteurs de produits, mandats de gestion croisés. Sa mise à jour régulière est une obligation MiFID II non négociable.

Comment réaliser une auto-évaluation conformité CGP efficace ?

L'auto-évaluation conformité CGP est la forme la plus accessible du contrôle interne pour un cabinet indépendant. Elle consiste à passer en revue, de manière méthodique et honnête, l'ensemble des obligations applicables et à documenter le niveau de conformité pour chaque point. Voici une méthode en quatre étapes pour la rendre vraiment utile.

Étape 1 — Cartographier son périmètre réglementaire. Avant de vérifier quoi que ce soit, identifiez précisément quels référentiels s'appliquent à votre activité. Un CGP qui ne distribue pas de produits d'assurance n'est pas soumis à la DDA. Un CGP sans activité sur les crypto-actifs n'a pas à se préoccuper du cadre PSAN. Cette cartographie évite la sur-conformité aussi bien que la sous-conformité.

Étape 2 — Utiliser une grille d'évaluation structurée. Chaque point de la checklist doit recevoir un statut : conforme, partiellement conforme (avec plan d'action associé), ou non conforme. L'objectif n'est pas d'obtenir un score parfait du premier coup, mais de disposer d'une photographie honnête de la situation et d'un plan d'amélioration priorisé.

Étape 3 — Collecter les preuves de conformité. Pour chaque point vérifié, archivez le document justificatif correspondant : rapport d'adéquation signé, attestation de formation, contrat de traitement des données, extrait de registre. Sans preuve, la conformité ne peut pas être démontrée en cas de contrôle.

Étape 4 — Planifier la prochaine révision. Une auto-évaluation n'a de valeur que si elle est répétée. Inscrivez la prochaine session dans votre agenda dès la fin de l'exercice en cours, et paramétrez une veille réglementaire pour être alerté en cas de changement normatif avant cette date.

Contrôle interne CGP : construire un dispositif durable

Le contrôle interne CGP ne se réduit pas à l'audit annuel. C'est un système permanent qui doit être intégré dans le fonctionnement quotidien du cabinet, même pour les structures de taille réduite ou les praticiens exerçant en solo.

Un dispositif de contrôle interne efficace repose sur trois piliers. Le premier est la formalisation des procédures : chaque processus récurrent (onboarding client, mise à jour du profilage, remise de documents précontractuels) doit être décrit par écrit, même succinctement. Le deuxième pilier est la traçabilité : toute action réglementairement significative doit laisser une trace archivée — email, signature électronique, horodatage dans un CRM. Le troisième pilier est la veille réglementaire : les textes évoluent, les positions de l'AMF et de l'ACPR se précisent au fil des recommandations et des sanctions publiées. Ignorer ces évolutions est le chemin le plus court vers une non-conformité involontaire.

Pour les cabinets de petite taille, la tentation est grande de gérer la conformité de manière informelle, en faisant confiance à la mémoire ou aux habitudes installées. Cette approche présente un risque réel : en cas de contrôle inopiné, l'absence de documentation formelle est interprétée comme une absence de conformité, quelle que soit la réalité des pratiques. Investir dans des outils structurants — même simples — est donc un impératif de gestion du risque.

Glyphe a été conçu précisément pour répondre à ce besoin : centraliser la documentation de conformité, automatiser la veille réglementaire et générer les documents exigés par les différents référentiels, le tout dans une interface accessible aux non-juristes.

Glossaire

Audit de conformité : Examen systématique visant à vérifier qu'une organisation respecte les lois, règlements et normes professionnelles applicables à son activité. MiFID II : Directive européenne sur les marchés d'instruments financiers encadrant la distribution de produits financiers et imposant des obligations de conseil, de transparence et de reporting aux professionnels. DDA : Directive sur la Distribution d'Assurances régissant la vente de produits d'assurance, incluant les exigences de formation, d'information client et de gestion des conflits d'intérêts. RGPD : Règlement Général sur la Protection des Données encadrant la collecte, le traitement et la conservation des données personnelles des clients au sein de l'Union européenne. PSAN : Prestataire de Services sur Actifs Numériques : statut réglementaire français créé par la loi PACTE, encadrant les acteurs proposant des services liés aux crypto-actifs. Contrôle interne : Ensemble des procédures et mécanismes mis en place par un cabinet pour maîtriser ses risques opérationnels, réglementaires et de conformité. Rapport d'adéquation : Document obligatoire remis au client sous MiFID II, expliquant en quoi le conseil fourni correspond à son profil investisseur, ses objectifs et sa situation financière. Veille réglementaire : Surveillance continue des évolutions législatives et réglementaires afin d'adapter les pratiques professionnelles aux nouvelles obligations en temps réel.

Questions fréquentes

Comment réaliser un audit de conformité en tant que CGP indépendant ?

Un audit de conformité CGP se déroule en quatre étapes : cartographier les référentiels applicables (MiFID II, DDA, RGPD, PSAN), évaluer chaque obligation avec une grille de contrôle structurée, collecter les preuves documentaires correspondantes, puis établir un plan d'action pour les points non conformes. Pour un cabinet indépendant, une auto-évaluation annuelle documentée constitue un minimum réglementaire. Des outils spécialisés permettent d'automatiser une partie de ce processus et de réduire le risque d'oubli.

Quelle est la fréquence recommandée des audits de conformité pour un CGP ?

La fréquence recommandée est au minimum une fois par an, idéalement en début d'année civile. Des révisions ponctuelles sont nécessaires à chaque changement réglementaire significatif (nouvelle directive, recommandation AMF, modification d'un texte de transposition). Pour les CGP distribuant des produits d'assurance, la vérification annuelle des heures de formation DDA (15h minimum) doit être intégrée à ce calendrier.

Quels documents vérifier en priorité lors d'un audit de conformité CGP ?

Les documents prioritaires à vérifier sont : les rapports d'adéquation MiFID II, les questionnaires de profilage client signés et datés, le registre des conflits d'intérêts, les mentions RGPD dans les contrats et formulaires, les attestations de formation DDA, les contrats de sous-traitance de données avec les prestataires technologiques, et le registre des traitements de données personnelles. L'absence de l'un de ces documents peut constituer un manquement réglementaire en cas de contrôle AMF ou ACPR.

Un CGP peut-il réaliser son audit de conformité lui-même sans recourir à un cabinet spécialisé ?

Oui, sous certaines conditions. L'auto-évaluation conformité CGP est une pratique reconnue et recommandée pour les cabinets indépendants, à condition qu'elle soit méthodique, documentée et régulière. Elle doit s'appuyer sur une checklist couvrant l'ensemble des référentiels applicables. Pour des situations complexes — demande d'agrément, contrôle en cours, activité multi-réglementaire — le recours à un audit externe reste conseillé pour sécuriser la démarche.

Qu'est-ce que le contrôle interne CGP et en quoi diffère-t-il de l'audit de conformité ?

Le contrôle interne CGP désigne l'ensemble des procédures permanentes qu'un cabinet met en place pour maîtriser ses risques réglementaires au quotidien : formalisation des processus, traçabilité des actions, veille réglementaire continue. L'audit de conformité est une vérification périodique et formelle que ces procédures sont bien appliquées. Le contrôle interne est le dispositif continu ; l'audit est la vérification ponctuelle de son efficacité.

Simplifiez votre conformité

Glyphe automatise votre veille réglementaire et génère vos documents de conformité en quelques clics.

Essayer Glyphe gratuitement

En résumé

  • Un audit de conformité CGP doit couvrir au minimum les obligations MiFID II, DDA, RGPD et, le cas échéant, PSAN.
  • La fréquence recommandée est annuelle, avec des révisions ponctuelles à chaque changement réglementaire majeur.
  • Le contrôle interne CGP comprend la vérification des documents contractuels, des procédures KYC et du registre des conflits d'intérêts.
  • L'automatisation de la veille réglementaire réduit significativement le risque de non-conformité involontaire pour les cabinets indépendants.

L'audit conformité CGP est bien plus qu'une formalité administrative : c'est le socle sur lequel repose la solidité réglementaire de votre cabinet et la confiance que vos clients vous accordent. En combinant une auto-évaluation structurée, une checklist adaptée à votre périmètre d'activité et un contrôle interne documenté, vous transformez une contrainte en avantage concurrentiel. Les cadres MiFID II, DDA, RGPD et PSAN évoluent en permanence — la veille réglementaire automatisée n'est plus un luxe mais une nécessité pour tout cabinet souhaitant rester sereinement en conformité. Glyphe a été conçu pour vous accompagner dans cette démarche : moins de charge administrative, plus de sécurité réglementaire.

Automatisez votre conformité

glyphe gère votre KYC, vos documents et vos échéances. Essayez gratuitement.

Rejoindre la bêta