Cartographie des risques CGP : méthode complète pour une conformité LCB-FT solide

Cartographie des risques cgp — La cartographie des risques CGP est un document réglementaire obligatoire par lequel un conseiller en gestion de patrimoine identifie, évalue et hiérarchise les risques de blanchiment de capitaux et de financement du terrorisme (LCB-FT) auxquels son activité est exposée. Elle constitue le socle de toute démarche de conformité LCB-FT et doit être formalisée par écrit, maintenue à jour et disponible en cas de contrôle de l'AMF ou de l'ACPR.

La cartographie des risques CGP est bien plus qu'un simple exercice administratif : c'est le document fondateur de votre dispositif de lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT). Obligatoire depuis la transposition de la 4e directive anti-blanchiment en droit français, elle constitue la première pièce que l'AMF ou l'ACPR demande lors d'un contrôle. Pourtant, de nombreux conseillers en gestion de patrimoine indépendants abordent encore cet exercice de façon trop sommaire — ou le confondent avec le simple recueil de pièces KYC. Ce guide vous explique concrètement comment construire une cartographie des risques solide, quels critères y intégrer, comment la faire évoluer dans le temps, et comment en faire un véritable outil de pilotage de votre conformité — et non une contrainte supplémentaire. À la clé : une meilleure protection de votre cabinet, une relation client plus sereine, et une tranquillité d'esprit face aux contrôles.

Chiffres clés

• Les CGP sont soumis à l'obligation de cartographie des risques LCB-FT depuis l'ordonnance du 1er décembre 2016 transposant la 4e directive anti-blanchiment européenne (AMLD4), avec des sanctions pouvant atteindre 5 millions d'euros en cas de manquement. Ordonnance n°2016-1635 du 1er décembre 2016, article L.561-32 du Code monétaire et financier
• L'ACPR a prononcé en 2023 plus de 40 sanctions disciplinaires dans le secteur financier, dont une part significative liée à des défaillances dans la documentation LCB-FT, y compris l'absence ou l'insuffisance de cartographie des risques. Rapport annuel de l'ACPR 2023, activité de supervision et de sanction
• Selon les lignes directrices conjointes AMF-ACPR de janvier 2020, la cartographie des risques doit couvrir au minimum 4 axes d'analyse : la clientèle, les produits et services, les canaux de distribution, et les zones géographiques. Lignes directrices conjointes AMF-ACPR sur la LCB-FT, janvier 2020, mises à jour en 2023

Qu'est-ce que la cartographie des risques LCB-FT et pourquoi est-elle obligatoire pour les CGP ?

La cartographie des risques LCB-FT est un document écrit et formalisé dans lequel vous recensez l'ensemble des risques de blanchiment de capitaux et de financement du terrorisme auxquels votre activité de conseil en gestion de patrimoine est exposée. Ce n'est pas une liste de clients suspects : c'est une analyse structurée de votre modèle d'affaires, de vos typologies de clientèle, des produits que vous distribuez et des zones géographiques dans lesquelles vous intervenez.

Cette obligation découle directement de l'article L.561-32 du Code monétaire et financier, introduit par l'ordonnance du 1er décembre 2016 transposant la 4e directive anti-blanchiment (AMLD4). La 5e directive (AMLD5), transposée en 2020, a encore renforcé ces exigences, notamment en matière de traçabilité et de documentation.

Concrètement, la réglementation impose à tout CGP assujetti de : — Identifier les risques inhérents à son activité par catégorie (clients, produits, canaux, géographies). — Évaluer ces risques selon une échelle de criticité (faible, modéré, élevé). — Formaliser cette analyse dans un document écrit, daté et signé. — Mettre à jour ce document de manière régulière et à chaque changement significatif. — Conserver l'historique des versions pour démontrer la continuité du dispositif.

L'absence de cartographie ou une cartographie insuffisamment documentée est l'un des premiers motifs de sanction relevés par l'ACPR lors de ses contrôles sur place. Les pénalités peuvent atteindre 5 millions d'euros pour les personnes morales, et une interdiction d'exercer pour les personnes physiques. Autant dire que cet outil mérite toute votre attention.

CGP assujetti : qui est concerné par l'obligation de cartographie ?

Tous les professionnels exerçant une activité de conseil en gestion de patrimoine sont en principe concernés par les obligations LCB-FT dès lors qu'ils interviennent dans des opérations visées par le Code monétaire et financier. Cela inclut les CGP exerçant sous statut CIF (Conseiller en Investissements Financiers) immatriculés auprès d'une association professionnelle agréée par l'AMF (CNCEF, ANACOFI, COMPAGNIE DES CGP, etc.), mais aussi ceux disposant du statut de courtier en assurance ou de mandataire (IAS/MIOBSP) pour la partie distribution de produits d'assurance-vie ou de crédits. Le périmètre exact des obligations varie selon votre statut et les activités exercées, mais le principe de la cartographie des risques s'applique dès lors que vous entrez dans la catégorie des entités assujetties au sens de l'article L.561-2 du Code monétaire et financier.

Comment élaborer une cartographie des risques LCB-FT étape par étape ?

Construire une cartographie des risques efficace ne s'improvise pas, mais la démarche est structurée et reproductible. Les lignes directrices conjointes AMF-ACPR de janvier 2020 (mises à jour en 2023) offrent un cadre clair articulé autour de quatre axes d'analyse incontournables. Voici comment les aborder concrètement dans le contexte d'un cabinet CGP.

Axe 1 : analyse des risques liés à la clientèle

La clientèle est le premier vecteur de risque LCB-FT pour un CGP. Votre analyse doit segmenter vos clients selon des critères de risque objectifs : leur nature juridique (particulier, société, association, trust), leur secteur d'activité, leur résidence fiscale, la complexité de leur structure patrimoniale, et leur statut de PPE (Personne Politiquement Exposée). Pour chaque segment, vous attribuez un niveau de risque (faible, modéré, élevé) en justifiant votre évaluation. Un client résident en France métropolitaine, salarié, dont la fortune est d'origine professionnelle identifiable, présente un profil de risque faible. À l'inverse, un entrepreneur international avec des structures dans plusieurs juridictions non coopératives appellera une vigilance renforcée. Cette segmentation nourrit directement votre politique de vigilance client (KYC) et votre procédure de classification des risques.

Axe 2 : analyse des risques liés aux produits et services distribués

Tous les produits que vous distribuez ne présentent pas le même niveau de risque LCB-FT. L'assurance-vie en unités de compte, par exemple, peut être utilisée comme vecteur de blanchiment si les entrées et sorties de fonds ne sont pas correctement contrôlées. Les crypto-actifs, si vous êtes enregistré PSAN, représentent une catégorie à risque élevé par nature. À l'inverse, un plan d'épargne retraite alimenté exclusivement par des virements depuis un compte bancaire identifié présente un risque structurellement plus faible. Listez chacun des produits et services de votre gamme, évaluez leur vecteur de risque intrinsèque, et documentez les mesures de contrôle compensatoires que vous avez mises en place.

Axe 3 : canaux de distribution et zones géographiques

Le canal par lequel vous entrez en relation avec un client influence le niveau de risque : une relation initiée en face-à-face avec vérification physique des documents est moins risquée qu'une relation 100% digitale sans rencontre. De même, si vous accompagnez des clients non-résidents ou ayant des actifs dans des pays figurant sur les listes du GAFI (Groupe d'action financière) ou de l'Union européenne comme juridictions à risque, votre cartographie doit en tenir compte. Intégrez également les nouvelles modalités de relation à distance accélérées par la digitalisation : visioconférence, signature électronique, intégration de plateformes numériques. Chaque canal doit être évalué et des contrôles compensatoires documentés.

Quels risques spécifiques intégrer dans la matrice risques CGP ?

Au-delà des quatre axes réglementaires, votre matrice risques CGP doit intégrer des facteurs de risque sectoriels spécifiques à votre pratique. Les lignes directrices AMF-ACPR mentionnent explicitement plusieurs typologies de risque particulièrement pertinentes pour les conseillers en gestion de patrimoine indépendants.

Premièrement, le risque lié à la complexité des montages patrimoniaux. La gestion de patrimoine implique fréquemment des structures complexes — SCI, holding, démembrement de propriété, assurance-vie luxembourgeoise — qui peuvent être utilisées, volontairement ou non, pour dissimuler l'origine de fonds. Votre cartographie doit identifier ces typologies et prévoir des procédures de vérification renforcées.

Deuxièmement, le risque de transmission intergénérationnelle. Les opérations de donation, succession ou transmission d'entreprise mobilisent parfois des actifs dont la traçabilité historique est difficile à établir. Ce contexte doit figurer comme facteur aggravant dans votre analyse.

Troisièmement, le risque lié aux apports en nature ou aux actifs non financiers (immobilier, œuvres d'art, participations non cotées). Ces actifs sont structurellement plus difficiles à valoriser et à tracer que les instruments financiers classiques.

Enfin, n'oubliez pas le risque interne : vos propres processus, vos prestataires, vos collaborateurs éventuels. Un dispositif LCB-FT solide inclut une réflexion sur les contrôles internes et la formation de toutes les personnes impliquées dans la relation client.

Pour chaque risque identifié, votre matrice doit documenter : la nature du risque, sa probabilité d'occurrence estimée (faible/modérée/élevée), son impact potentiel, le niveau de risque résiduel après mesures compensatoires, et les contrôles mis en place.

À quelle fréquence mettre à jour la cartographie des risques ? Les bonnes pratiques

La cartographie des risques n'est pas un document qu'on produit une fois et qu'on range dans un tiroir. Les textes réglementaires et les lignes directrices AMF-ACPR sont clairs sur ce point : elle doit être maintenue à jour de manière continue, avec au minimum une révision formelle annuelle.

En pratique, deux types de déclencheurs doivent conduire à une mise à jour.

Les déclencheurs calendaires : une révision complète au moins une fois par an, idéalement à date fixe, avec une vérification systématique de chaque axe de risque. C'est également l'occasion de mettre à jour votre classification selon les nouvelles listes de pays à risque publiées par le GAFI ou la Commission européenne.

Les déclencheurs événementiels : tout changement significatif dans votre activité impose une mise à jour immédiate. Cela inclut l'ajout d'un nouveau produit ou service à votre gamme (a fortiori si vous devenez PSAN ou si vous intégrez des crypto-actifs), l'ouverture à une nouvelle clientèle cible (non-résidents, entrepreneurs, institutionnels), un changement de canal de distribution (développement du digital), une évolution de vos prestataires clés, ou une modification réglementaire majeure.

Chaque version de votre cartographie doit être datée, signée et archivée. En cas de contrôle, l'ACPR ou votre association professionnelle pourra demander à voir non seulement la version en vigueur, mais aussi l'historique des révisions, pour s'assurer que votre dispositif a bien évolué avec votre activité.

Un conseil pratique : intégrez la révision de votre cartographie dans votre agenda de conformité annuel, au même titre que vos obligations déclaratives et vos formations obligatoires. Ce rituel annuel vous force à regarder votre activité avec un œil critique et à maintenir une documentation irréprochable.

Cartographie des risques et analyse risques blanchiment CGP : quel lien avec le reste du dispositif ?

La cartographie des risques n'existe pas en silo. Elle s'articule avec l'ensemble de votre dispositif LCB-FT : votre politique de classification des risques clients (qui en découle directement), vos procédures de vigilance (standard, simplifiée ou renforcée selon le niveau de risque attribué), votre politique de gel des avoirs, et vos procédures de déclaration de soupçon à Tracfin. En d'autres termes, la cartographie est le document racine : si elle est bien construite, elle légitime et structure tous vos processus opérationnels de conformité. Une analyse risques blanchiment CGP robuste permet également d'objectiver vos décisions de refus d'entrée en relation ou de clôture de compte, en les ancrant dans une politique documentée plutôt que dans des décisions discrétionnaires.

Cartographie des risques et réglementation PSAN : ce qui change pour les CGP distribuant des crypto-actifs

Depuis le règlement européen MiCA (Markets in Crypto-Assets), dont l'application progressive s'étend jusqu'à fin 2024, et le cadre PSAN (Prestataire de Services sur Actifs Numériques) qui lui préexistait en France, les CGP qui intègrent des crypto-actifs dans leurs conseils patrimoniaux font face à un renforcement très significatif de leurs obligations LCB-FT.

Si vous disposez d'un enregistrement ou d'un agrément PSAN auprès de l'AMF, ou si vous envisagez de distribuer des produits indexés sur des crypto-actifs, votre cartographie des risques doit intégrer une section dédiée à cette activité. Les crypto-actifs sont considérés par les lignes directrices GAFI comme une catégorie à risque intrinsèquement élevé, en raison de leur pseudonymie, de leur décentralisation et de la vitesse des transactions.

Concrètement, cela implique d'intégrer dans votre matrice risques CGP : — L'identification de l'origine des fonds en crypto-actifs (analyse de blockchain, outils de traçabilité). — La vérification renforcée de l'identité des clients effectuant des opérations en crypto-actifs. — La surveillance des flux entrants et sortants. — La documentation des wallets et plateformes d'échange utilisés.

Cette dimension PSAN de la cartographie des risques est encore souvent insuffisamment traitée par les CGP qui s'aventurent dans ce domaine. Elle représente pourtant un risque de sanction significatif, l'AMF ayant clairement signalé qu'elle intensifierait ses contrôles dans ce secteur.

Pour les CGP qui ne distribuent pas de crypto-actifs, il suffit de mentionner explicitement dans la cartographie que cette activité est hors périmètre — ce qui démontre que la question a été examinée et documentée.

Comment utiliser votre cartographie des risques comme outil de pilotage au quotidien ?

Une cartographie des risques bien construite ne sert pas uniquement à satisfaire les contrôleurs : c'est un véritable outil de gestion opérationnelle de votre conformité. Voici comment l'intégrer concrètement dans votre pratique quotidienne.

Premièrement, utilisez-la comme référentiel pour l'entrée en relation. Avant d'accepter un nouveau client, confrontez son profil aux catégories de risque définies dans votre cartographie. Cette démarche vous permet d'appliquer automatiquement le bon niveau de vigilance — standard, simplifiée ou renforcée — sans avoir à reconstruire la réflexion à chaque fois.

Deuxièmement, appuyez-vous sur elle pour former et sensibiliser vos collaborateurs ou partenaires. Si vous travaillez avec des apporteurs d'affaires, des assistants ou des sous-traitants, votre cartographie leur offre un cadre clair pour identifier les situations à risque et savoir quand vous alerter.

Troisièmement, utilisez-la pour documenter vos décisions. Toute décision de vigilance renforcée, de refus d'entrée en relation ou de déclaration de soupçon doit pouvoir être rattachée à un élément de votre cartographie. Cette traçabilité est essentielle en cas de contrôle.

Enfin, la cartographie peut nourrir votre rapport annuel de conformité si vous en rédigez un — bonne pratique recommandée par les associations professionnelles de CGP — et constituer la base de votre dialogue avec votre association agréée lors des contrôles périodiques.

Les outils numériques de conformité, comme Glyphe, permettent d'automatiser une partie de ce travail : génération de la cartographie à partir de vos données d'activité, alertes en cas de changement réglementaire nécessitant une mise à jour, et archivage sécurisé des versions successives.

Glossaire

LCB-FT : Lutte contre le blanchiment de capitaux et le financement du terrorisme : ensemble des obligations réglementaires imposées aux professionnels du secteur financier pour détecter et prévenir ces infractions. Cartographie des risques : Document formalisé recensant et évaluant les risques LCB-FT auxquels un professionnel assujetti est exposé, selon des critères de probabilité et d'impact. Approche par les risques (ABR) : Méthode réglementaire qui consiste à calibrer les mesures de vigilance en fonction du niveau de risque identifié pour chaque client, produit ou situation. Tiers déclarant : Professionnel assujetti aux obligations LCB-FT qui doit déclarer à Tracfin toute opération suspecte détectée dans le cadre de son activité. Vigilance renforcée : Mesure de diligence approfondie applicable aux clients ou opérations présentant un risque LCB-FT élevé, impliquant des vérifications supplémentaires sur l'origine des fonds et la nature des transactions. Tracfin : Traitement du renseignement et action contre les circuits financiers clandestins : cellule de renseignement financier française qui reçoit et traite les déclarations de soupçon. PPE (Personne Politiquement Exposée) : Personne exerçant ou ayant exercé des fonctions publiques importantes, soumise à des mesures de vigilance renforcée en raison de son exposition au risque de corruption. Matrice des risques : Outil de visualisation des risques LCB-FT croisant la probabilité d'occurrence d'un risque avec son impact potentiel, permettant de les hiérarchiser par niveau de criticité.

Questions fréquentes

Comment élaborer une cartographie des risques LCB-FT pour un cabinet CGP ?

Pour élaborer une cartographie des risques LCB-FT, un CGP doit analyser son activité selon quatre axes : la clientèle (segmentation par profil de risque), les produits et services distribués, les canaux de distribution (dont le digital), et les zones géographiques concernées. Pour chaque axe, il faut évaluer la probabilité et l'impact des risques identifiés, puis documenter les mesures de contrôle compensatoires. Le résultat est formalisé dans un document écrit, daté et signé, constituant la matrice risques CGP de référence. Les lignes directrices conjointes AMF-ACPR de 2020 (mises à jour 2023) offrent le cadre méthodologique de référence.

Quels risques intégrer dans la cartographie des risques d'un conseiller en gestion de patrimoine ?

Un CGP doit intégrer dans sa cartographie des risques LCB-FT : les risques liés aux profils clients (PPE, non-résidents, structures complexes), aux produits distribués (assurance-vie, OPCVM, crypto-actifs selon agrément PSAN), aux canaux de distribution (relation à distance, digital), et aux zones géographiques (pays à risque GAFI, listes UE). S'y ajoutent des risques sectoriels spécifiques : montages patrimoniaux complexes (SCI, holding), transmissions intergénérationnelles, actifs non financiers (immobilier, œuvres d'art). Chaque risque doit être évalué en probabilité et impact, avec des mesures compensatoires documentées.

À quelle fréquence un CGP doit-il mettre à jour sa cartographie des risques ?

La cartographie des risques doit être mise à jour au minimum une fois par an (révision formelle annuelle obligatoire) et à chaque événement significatif : ajout d'un nouveau produit ou service, ouverture à une nouvelle clientèle, changement de canal de distribution, évolution réglementaire majeure (nouveau cadre PSAN, mise à jour des listes GAFI, etc.). Chaque version doit être datée, signée et archivée, car l'ACPR peut demander l'historique complet des révisions lors d'un contrôle.

Quelle est la différence entre cartographie des risques et classification des risques clients ?

La cartographie des risques est un document de niveau stratégique qui analyse les risques LCB-FT de votre activité dans son ensemble (clientèle, produits, canaux, géographies). La classification des risques clients est un processus opérationnel qui en découle : pour chaque client individuel, vous appliquez les critères définis dans la cartographie pour lui attribuer un niveau de risque (faible, modéré, élevé) et calibrer le niveau de vigilance approprié. La cartographie est donc le référentiel qui légitime et structure la classification individuelle.

Un CGP qui ne distribue pas de crypto-actifs doit-il quand même mentionner les risques PSAN dans sa cartographie ?

Oui. Même si un CGP ne distribue pas de crypto-actifs et n'est pas enregistré PSAN, il est recommandé de mentionner explicitement cette exclusion dans la cartographie des risques. Cette mention démontre que la question a été examinée et documentée, ce qui est une preuve de rigueur en cas de contrôle. À l'inverse, un silence total sur le sujet pourrait être interprété comme une omission. La bonne pratique est d'indiquer : 'Les activités sur actifs numériques sont hors périmètre du cabinet — aucun service PSAN n'est proposé.'

---

Simplifiez votre conformité

Glyphe automatise votre veille réglementaire et génère vos documents de conformité en quelques clics.

Essayer Glyphe gratuitement

En résumé

• La cartographie des risques LCB-FT est une obligation légale pour tous les CGP assujettis, formalisée depuis l'ordonnance du 1er décembre 2016 et sanctionnable jusqu'à 5 millions d'euros.
• Elle doit couvrir au minimum quatre dimensions : la clientèle, les produits et services distribués, les canaux de distribution et les zones géographiques concernées.
• La mise à jour de la cartographie doit intervenir au moins annuellement et à chaque événement significatif (nouveau produit, nouvelle clientèle, évolution réglementaire).
• L'approche par les risques (ABR) impose de moduler le niveau de vigilance client en fonction du score de risque issu de la cartographie, avec traçabilité documentaire complète.

La cartographie des risques CGP est le pilier central de votre dispositif LCB-FT. Document légalement obligatoire depuis 2016, elle doit couvrir quatre axes d'analyse (clientèle, produits, canaux, géographies), être révisée au moins annuellement et à chaque changement significatif, et constituer le référentiel de toutes vos procédures de vigilance. Bien construite, elle n'est pas une contrainte : c'est un outil de pilotage qui structure votre relation client, légitime vos décisions de conformité et vous protège efficacement en cas de contrôle AMF ou ACPR. Avec l'évolution constante du cadre réglementaire — PSAN, MiCA, nouvelles listes GAFI — maintenir une cartographie à jour demande un effort de veille continu. C'est précisément pour répondre à ce besoin que des solutions comme Glyphe ont été conçues : pour que la conformité soit un avantage concurrentiel, et non un fardeau administratif.