Checklist contrôle ACPR/AMF 2026 : les 20 points à vérifier avant une inspection

Checklist contrôle ACPR 2026 — Une checklist contrôle ACPR/AMF est un inventaire structuré des documents, procédures et preuves de conformité qu'un Conseiller en Gestion de Patrimoine (CGP) ou un courtier en assurance doit tenir prêts à tout moment pour faire face à une inspection de l'Autorité de Contrôle Prudentiel et de Résolution (ACPR) ou de l'Autorité des Marchés Financiers (AMF). Elle couvre les quatre référentiels principaux : la Directive sur la Distribution d'Assurance (DDA), MiFID II, la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT), et le RGPD.

Un contrôle ACPR ou AMF ne s'annonce pas toujours longtemps à l'avance. Pour un CGP indépendant ou un courtier en assurance, la différence entre une inspection bien gérée et une mise en demeure tient souvent à un seul facteur : la qualité et l'accessibilité de la documentation réglementaire au moment où les inspecteurs l'exigent. En 2026, les axes prioritaires des contrôles couvrent quatre référentiels imbriqués — DDA, MiFID II, LCB-FT et RGPD — et les manquements documentaires restent la première cause de sanction. Cette checklist opérationnelle recense les 20 points à vérifier impérativement avant toute inspection, organisés par thématique réglementaire, avec pour chaque point les preuves à produire et les erreurs à éviter. Consultez également notre guide complet sur le contrôle ACPR pour les CGP et courtiers pour comprendre le déroulement complet d'une inspection.

Chiffres clés

• En 2023, l'ACPR a prononcé 18 décisions de sanctions disciplinaires, dont 7 amendes supérieures à 100 000 €, principalement pour des manquements documentaires liés à la DDA et à la LCB-FT. Rapport annuel de la Commission des sanctions de l'ACPR, exercice 2023
• L'AMF a ouvert 42 procédures de contrôle auprès de CIF et de SGP en 2023, avec un taux de mise en demeure de 60 % pour les structures n'ayant pas de procédure de contrôle interne formalisée. Rapport annuel AMF 2023 — Bilan des contrôles SPOT
• La conservation des documents réglementaires est fixée à 5 ans minimum sous MiFID II — un cabinet incapable de produire un rapport d'adéquation datant de 3 ans est en situation de manquement caractérisé. Directive 2014/65/UE, article 25, paragraphe 6 — Règlement délégué (UE) 2017/565

Les 3 types de contrôle ACPR/AMF à connaître

Avant d'entrer dans le détail de la checklist, il est indispensable de comprendre la nature du contrôle que vous pourriez subir. L'ACPR et l'AMF disposent de trois modes d'inspection distincts, chacun impliquant des délais de réponse et des niveaux de préparation différents.

Le contrôle sur pièces est la forme la plus fréquente pour les petites structures. L'autorité adresse un courrier recommandé listant les documents à transmettre dans un délai précis — généralement 15 à 30 jours. Ne pas répondre dans ce délai constitue en soi un manquement susceptible de qualification. Ce type de contrôle peut porter sur une période allant jusqu'à cinq ans en arrière, ce qui rend l'archivage long terme non négociable.

Le contrôle sur place implique le déplacement d'inspecteurs dans vos locaux. Il dure en moyenne quatre à douze semaines selon la taille de la structure et la complexité de l'activité. Les inspecteurs ont accès à vos systèmes informatiques, vos fichiers clients et peuvent interroger vos collaborateurs. Une documentation bien structurée et facilement accessible réduit significativement la durée et l'intensité de l'inspection.

Le contrôle thématique cible une pratique spécifique ou une catégorie d'acteurs précise, indépendamment de tout incident déclaré. En 2024 et 2025, l'ACPR a conduit des contrôles thématiques sur la qualité des analyses de besoins DDA, la gestion des conflits d'intérêts et les pratiques de distribution d'unités de compte en assurance-vie. Ces contrôles peuvent toucher simultanément plusieurs dizaines de cabinets sans qu'aucun d'entre eux n'ait été signalé individuellement. Pour aller plus loin sur la conformité globale du cabinet, consultez notre guide sur la conformité CGP.

Checklist DDA — Documents de distribution d'assurance (7 points)

La Directive sur la Distribution d'Assurance est le référentiel le plus fréquemment contrôlé par l'ACPR pour les courtiers et CGP distribuant des produits d'assurance-vie ou de prévoyance. Voici les 7 points à vérifier impérativement.

Point 1 — Analyse de besoins formalisée et signée pour chaque client. L'analyse de besoins est le document central de la DDA. Elle doit être établie avant toute recommandation, formalisée par écrit, signée par le client et conservée dans son dossier. L'ACPR vérifie systématiquement que ce document existe pour chaque contrat souscrit et qu'il reflète réellement la situation du client au moment de la recommandation. Une analyse générique ou copiée d'un modèle sans personnalisation est considérée comme insuffisante.

Point 2 — Document d'information standardisé sur le produit (IPID ou DIC) remis avant souscription. L'IPID (Insurance Product Information Document) pour l'assurance non-vie ou le DIC (Document d'Information Clé) pour l'assurance-vie doit être remis au client avant toute souscription, de manière documentée. La preuve de remise — email avec accusé de lecture, signature électronique, bordereau de remise papier signé — est indispensable.

Point 3 — Justificatifs de formation continue DDA (15 heures minimum par an). Chaque intermédiaire exerçant une activité de distribution d'assurance doit justifier de 15 heures de formation continue par année civile. Ces attestations doivent être nominatives, horodatées, et couvrir des thématiques réglementaires ou techniques reconnues. L'ACPR contrôle la régularité de ces formations sur les trois dernières années et vérifie que la totalité des collaborateurs concernés sont couverts, pas seulement le dirigeant.

Point 4 — Lettre de mission ou convention d'honoraires signée. La lettre de mission formalise la relation contractuelle entre le cabinet et le client. Elle doit préciser le périmètre de la mission, les modalités de rémunération et la durée de l'engagement. Son absence ou son caractère incomplet est l'un des motifs les plus fréquents de mise en demeure lors des contrôles ACPR.

Point 5 — Politique de rémunération et transparence des commissions. La DDA impose une transparence totale sur les rémunérations perçues par le distributeur. Le cabinet doit disposer d'un document formalisant sa politique de rémunération et être en mesure de démontrer que le client a été informé, avant la souscription, du montant ou des modalités de calcul des commissions ou honoraires perçus.

Point 6 — Registre des réclamations clients à jour. Un registre des réclamations formalisé est obligatoire. Il doit consigner chaque réclamation reçue, la date de réception, la nature du différend, les actions engagées et la date de clôture. L'absence de ce registre — ou un registre manifestement incomplet — est interprétée par les inspecteurs comme un signal de désorganisation structurelle.

Point 7 — Procédure de traitement des réclamations documentée et communiquée. La procédure de traitement des réclamations doit être écrite, accessible au personnel et portée à la connaissance des clients (généralement dans les conditions générales ou la lettre de mission). Le délai de réponse prévu par la procédure doit être respecté dans les dossiers enregistrés au registre.

Checklist MiFID II — Documents de conseil en investissement (6 points)

Pour les CGP exerçant comme Conseiller en Investissements Financiers (CIF) soumis à l'AMF, MiFID II impose un second ensemble d'obligations documentaires, distinct de la DDA. Ces six points sont les plus fréquemment contrôlés lors des inspections AMF. Notre article sur l'audit de conformité CGP détaille la méthode complète pour couvrir ces axes.

Point 8 — Test d'adéquation (suitability) formalisé et à jour pour chaque client. Le questionnaire de profilage client et le rapport d'adéquation associé doivent être établis avant toute recommandation d'investissement. Le questionnaire doit couvrir la situation financière, les objectifs d'investissement, la tolérance au risque et les connaissances financières du client. Il doit être revu et actualisé régulièrement — au minimum lors de chaque changement de situation significatif du client.

Point 9 — Rapport d'adéquation remis avant chaque recommandation. Le rapport d'adéquation est le document qui démontre que la recommandation formulée est adaptée au profil du client. Il doit être remis avant la souscription, avec preuve de remise archivée. L'AMF vérifie que ce document existe pour 100 % des recommandations et qu'il ne s'agit pas d'un formulaire générique mais d'une analyse personnalisée.

Point 10 — Conservation des rapports d'adéquation pendant 5 ans minimum. MiFID II impose une durée de conservation de 5 ans minimum pour l'ensemble des documents de conseil. Un cabinet incapable de produire un rapport d'adéquation datant de 3 ou 4 ans est en situation de manquement caractérisé, même si ce document existait au moment de sa création. L'archivage numérique sécurisé est aujourd'hui la norme.

Point 11 — Politique de gestion des conflits d'intérêts formalisée et registre associé. La politique de gestion des conflits d'intérêts doit être un document écrit, accessible, qui identifie les situations pouvant générer des conflits et décrit les mesures prises pour les prévenir ou les gérer. Le registre associé doit recenser toutes les situations de conflit effectivement survenues et les actions prises. C'est l'un des documents les plus fréquemment absents ou incomplets lors des contrôles AMF.

Point 12 — Reporting client annuel conforme aux exigences MiFID II. Pour les CGP gérant des actifs en mandat, un rapport annuel de gestion doit être transmis à chaque client, incluant les performances réalisées, les frais perçus et l'évaluation du portefeuille. Ce reporting doit être archivé avec preuve d'envoi.

Point 13 — Politique de meilleure exécution documentée (si applicable). Pour les CGP passant des ordres pour le compte de clients, une politique de meilleure exécution doit être formalisée et communiquée. Elle doit décrire les critères utilisés pour sélectionner les intermédiaires d'exécution et être révisée annuellement.

Checklist LCB-FT et RGPD (5 points)

La lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) est un axe de contrôle en nette progression depuis 2022. Le RGPD, bien que relevant principalement de la CNIL, est également scruté par l'ACPR dans le cadre de ses inspections globales. Pour approfondir le sujet LCB-FT spécifique aux CGP, consultez notre article dédié sur la LCB-FT pour CGP.

Point 14 — Classification des risques clients LCB-FT documentée. Chaque client doit faire l'objet d'une évaluation du risque de blanchiment, formalisée dans son dossier. Cette classification (risque faible, standard ou élevé) détermine l'intensité des mesures de vigilance à appliquer et doit être justifiée par des critères objectifs : type de client, origine des fonds, zone géographique, nature des opérations.

Point 15 — Procédures de vigilance renforcée pour les clients à risque élevé. Pour les clients classés à risque élevé — Personnes Politiquement Exposées (PPE), résidents dans des pays à risque identifiés par le GAFI, ou présentant des opérations atypiques — des mesures de vigilance renforcée doivent être documentées. L'ACPR vérifie que ces mesures ont effectivement été appliquées et traçées.

Point 16 — Procédure de déclaration de soupçon (DS) et registre des déclarations. Le cabinet doit disposer d'une procédure formalisée de déclaration de soupçon auprès de Tracfin, et tenir un registre des déclarations effectuées. L'absence de toute déclaration sur plusieurs années n'est pas en soi sanctionnable, mais l'absence de procédure documentée l'est. La procédure doit être connue de tous les collaborateurs.

Point 17 — Registre des traitements de données personnelles (RGPD) à jour. Le registre des traitements de données est obligatoire pour tout cabinet traitant des données personnelles de clients à grande échelle. Il doit lister chaque traitement, sa finalité, les catégories de données concernées, les durées de conservation et les sous-traitants impliqués. Sa mise à jour régulière est vérifiable lors d'un contrôle ACPR.

Point 18 — Clauses de sous-traitance de données dans les contrats prestataires. Tout prestataire accédant aux données personnelles des clients (CRM, logiciel de gestion, plateforme cloud) doit avoir signé un avenant de sous-traitance conforme à l'article 28 du RGPD. L'absence de ces clauses expose le cabinet à un risque dual : CNIL pour le RGPD, ACPR pour le manquement à la protection des intérêts du client.

Les erreurs les plus fréquentes constatées par l'ACPR

L'analyse des décisions publiées par la Commission des sanctions de l'ACPR entre 2021 et 2024 permet d'identifier un nombre limité de manquements récurrents, qui représentent la grande majorité des sanctions prononcées contre les CGP et courtiers indépendants.

L'absence ou l'incomplétude de l'analyse de besoins arrive systématiquement en tête. Il ne suffit pas que le document existe : il doit être personnalisé, signé, daté et couvrir l'ensemble des dimensions requises par la DDA. Les modèles génériques remplis de manière superficielle sont rejetés par les inspecteurs aussi sûrement que l'absence totale de document.

Le défaut de traçabilité de la formation continue DDA est le deuxième manquement le plus fréquent. Plusieurs cabinets ont été mis en demeure non pas parce que leurs collaborateurs n'avaient pas suivi de formations, mais parce qu'ils ne pouvaient pas en apporter la preuve documentée. Les attestations doivent être conservées nominativement et être présentables dans les 48 heures suivant une demande ACPR.

L'absence de registre LCB-FT formalisé est en forte progression depuis 2022. Avec le renforcement du cadre réglementaire européen et les recommandations successives du GAFI, l'ACPR accorde une attention croissante à la robustesse des dispositifs de lutte anti-blanchiment des petites structures. Un registre absent ou non tenu à jour est systématiquement qualifié de manquement grave.

La non-conformité des mentions RGPD dans les documents clients — notamment l'absence de clauses d'information dans les formulaires de collecte de données ou dans les lettres de mission — est un autre point de friction fréquent. Ce manquement est souvent qualifié de "formel" par les inspecteurs, mais il contribue à la qualification globale du niveau de non-conformité du cabinet.

La conservation insuffisante des documents sur cinq ans est enfin un piège classique pour les cabinets ayant changé de logiciel ou d'organisation. Les données importées depuis un ancien système, ou les documents archivés en format papier sans numérisation, sont souvent inaccessibles lors d'une inspection — ce qui revient juridiquement à leur absence.

Points 19 et 20 de la checklist consolidée :

Point 19 — Vérification annuelle de la validité de l'immatriculation ORIAS et des habilitations associées. L'immatriculation ORIAS doit être maintenue à jour, avec les catégories correspondant réellement aux activités exercées. Un cabinet exerçant des activités non couvertes par son immatriculation est exposé à une sanction immédiate.

Point 20 — Archivage numérique sécurisé et indexé de l'ensemble des documents réglementaires. Au-delà de l'existence des documents, leur accessibilité est un critère d'évaluation à part entière. Un cabinet capable de produire, en moins d'une heure, n'importe quel document réglementaire sur les cinq dernières années démontre une maturité organisationnelle qui influence positivement l'appréciation des inspecteurs.

Glossaire

ACPR : Autorité de Contrôle Prudentiel et de Résolution, superviseur français des banques, assurances et intermédiaires financiers, adossé à la Banque de France.

AMF : Autorité des Marchés Financiers, régulateur français des marchés financiers, superviseur des Conseillers en Investissements Financiers (CIF) et des sociétés de gestion de portefeuille.

DDA : Directive sur la Distribution d'Assurance (2016/97/UE), cadre européen imposant des règles de conseil, de transparence sur la rémunération et de formation continue aux intermédiaires en assurance.

MiFID II : Directive européenne sur les marchés d'instruments financiers (2014/65/UE), encadrant les obligations de profilage client, de rapport d'adéquation et de meilleure exécution pour les conseillers en investissement.

LCB-FT : Lutte Contre le Blanchiment de capitaux et le Financement du Terrorisme, ensemble des obligations réglementaires imposant aux professionnels financiers de connaître leurs clients, de classifier les risques et de déclarer tout soupçon à Tracfin.

IPID : Insurance Product Information Document, document d'information standardisé sur le produit d'assurance non-vie, remis obligatoirement au client avant toute souscription au titre de la DDA.

Test d'adéquation : Procédure MiFID II par laquelle le conseiller en investissement évalue la compatibilité d'un produit financier avec le profil, les objectifs et la situation financière du client avant toute recommandation.

Tracfin : Traitement du renseignement et action contre les circuits financiers clandestins, cellule de renseignement financier française destinataire des déclarations de soupçon LCB-FT.

Questions fréquentes

Quels documents l'ACPR demande-t-elle en priorité lors d'un contrôle en 2026 ?

En 2026, les documents prioritairement demandés lors d'un contrôle ACPR sont : les analyses de besoins clients formalisées et signées (DDA), les attestations de formation continue de 15 heures par an pour chaque intermédiaire, le registre des réclamations, la politique de gestion des conflits d'intérêts avec son registre, et la classification des risques clients LCB-FT. Pour les CGP exerçant comme CIF, les rapports d'adéquation MiFID II et leur archivage sur 5 ans sont également systématiquement contrôlés.

Comment préparer un contrôle ACPR quand on est un cabinet indépendant de taille réduite ?

La préparation efficace repose sur trois piliers : centraliser tous les documents réglementaires dans un système d'archivage numérique indexé et accessible en moins d'une heure, vérifier que chaque dossier client contient les pièces obligatoires (analyse de besoins, lettre de mission, rapport d'adéquation), et maintenir à jour les registres transversaux (réclamations, conflits d'intérêts, LCB-FT, RGPD). Pour une petite structure, un outil SaaS de conformité comme Glyphe permet de gérer cette charge sans dédier un poste à temps plein à la conformité.

La formation DDA de 15 heures est-elle vraiment contrôlée par l'ACPR ?

Oui, systématiquement. L'ACPR vérifie que chaque intermédiaire exerçant une activité de distribution d'assurance justifie de 15 heures de formation continue par année civile. Les attestations doivent être nominatives, horodatées et provenir d'organismes de formation reconnus. L'absence d'attestations pour un ou plusieurs collaborateurs — même si les formations ont bien eu lieu — constitue un manquement documentaire susceptible de sanction.

Quelle est la différence entre un contrôle ACPR et un contrôle AMF pour un CGP ?

L'ACPR supervise les activités d'intermédiaire en assurance (courtier, CGP distribuant des contrats d'assurance-vie) et contrôle principalement les obligations DDA et LCB-FT. L'AMF supervise les activités de conseil en investissement financier (CIF) et contrôle principalement les obligations MiFID II (rapport d'adéquation, profilage client, reporting). Un CGP exerçant simultanément les deux activités est soumis aux deux autorités et peut faire l'objet de contrôles distincts ou coordonnés. La checklist complète couvre les deux périmètres.

Combien de temps conserver les documents réglementaires après la fin d'une relation client ?

MiFID II impose une conservation de 5 ans minimum pour les documents de conseil (rapports d'adéquation, fiches client, recommandations). La DDA ne fixe pas de durée explicite mais la pratique documentée est également de 5 ans. Pour les documents LCB-FT, la durée légale est de 5 ans après la fin de la relation d'affaires. Pour les données personnelles relevant du RGPD, la durée de conservation doit être justifiée par la finalité du traitement — généralement alignée sur les délais de prescription civile et commerciale (5 ans). En cas de doute, la règle pratique est de conserver 5 ans après la clôture de la relation client.

---

Simplifiez votre conformité

Glyphe automatise votre veille réglementaire et génère vos documents de conformité en quelques clics.

Essayer Glyphe gratuitement

En résumé

• Une checklist contrôle ACPR 2026 couvre au minimum quatre référentiels : DDA, MiFID II, LCB-FT et RGPD, avec des documents distincts pour chaque axe.
• Les manquements les plus fréquemment sanctionnés sont l'absence d'analyse de besoins formalisée, le défaut de traçabilité de la formation DDA et l'absence de registre LCB-FT.
• L'ACPR et l'AMF peuvent déclencher un contrôle à tout moment, sans préavis obligatoire — la préparation doit être permanente, pas ponctuelle.
• Un outil SaaS de conformité centralisé permet de tenir cette checklist à jour en continu et de produire les documents attendus en quelques minutes.

Se préparer à un contrôle ACPR ou AMF n'est pas une tâche à accomplir une fois par an en mode urgence. C'est une discipline documentaire permanente qui se traduit, au quotidien, par des dossiers clients complets, des registres à jour et des procédures formalisées. Les 20 points de cette checklist couvrent l'essentiel de ce que les inspecteurs examineront en 2026 — chaque point non coché est un risque de manquement concret. Pour les cabinets indépendants, la bonne nouvelle est que cette rigueur est tout à fait accessible sans ressource juridique dédiée, à condition de s'appuyer sur les bons outils. Glyphe centralise l'ensemble de cette documentation, automatise la veille réglementaire et vous permet de produire n'importe quel document attendu en quelques minutes — pour aborder chaque inspection avec sérénité plutôt qu'avec appréhension.