conformité CGP25 février 2026

Conformité CGP : obligations, risques et solutions 2026

Découvrez toutes les obligations de conformité CGP (MiFID II, DDA, RGPD, PSAN) et comment les automatiser avec Glyphe. Guide complet mis à jour 2026.

Conformité CGP : le guide complet de vos obligations réglementaires en 2026

Conformité cgp — La conformité CGP désigne l'ensemble des obligations légales et réglementaires qu'un Conseiller en Gestion de Patrimoine doit respecter pour exercer légalement en France, notamment au titre de MiFID II, de la Directive sur la Distribution d'Assurance (DDA), du RGPD et, le cas échéant, du statut PSAN. Ces obligations couvrent la documentation client, la veille réglementaire, la traçabilité des conseils et la protection des données personnelles.

Interface de tableau de bord de conformité réglementaire pour CGP affichant le suivi des obligations MiFID II, DDA et RGPD

La conformité CGP n'est plus une option : c'est le socle sur lequel repose la légitimité de votre cabinet et la confiance de vos clients. En 2026, un Conseiller en Gestion de Patrimoine indépendant doit naviguer simultanément entre MiFID II, la Directive sur la Distribution d'Assurance (DDA), le RGPD et, selon ses activités, le cadre PSAN pour les actifs numériques. Ce n'est pas une mince affaire. Chaque réglementation génère ses propres obligations documentaires, ses délais et ses risques de sanction. Résultat : plus de 60 obligations distinctes peuvent peser sur un cabinet cumulant plusieurs statuts. Ce guide vous donne une vision claire et structurée de ce que vous devez mettre en place, des pièges à éviter et des solutions concrètes pour automatiser votre mise en conformité — sans y consacrer l'essentiel de votre semaine.

Chiffres clés

  • Un CGP non-conforme encourt des sanctions AMF pouvant atteindre 100 millions d'euros ou 10 % du chiffre d'affaires annuel en cas de manquement grave aux obligations MiFID II. Règlement AMF, transposition MiFID II en droit français (articles L. 621-15 du Code monétaire et financier)
  • Depuis janvier 2023, plus de 60 obligations documentaires distinctes pèsent sur un CGP cumulant les statuts CIF, COBSP et MIA, selon les analyses sectorielles de la CNCGP. Chambre Nationale des Conseillers en Gestion de Patrimoine (CNCGP), rapport d'activité 2023
  • Le RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel pour les violations les plus graves de protection des données clients. Règlement (UE) 2016/679, article 83, applicable à tous les cabinets traitant des données personnelles

Schéma infographique des quatre cadres réglementaires de la conformité CGP : MiFID II, DDA, RGPD et PSAN

Quelles sont les obligations de conformité d'un CGP en 2026 ?

La conformité réglementaire CGP repose sur un empilement de textes qui s'appliquent selon vos statuts et la nature de vos activités. Voici les quatre piliers incontournables.

Premièrement, MiFID II (transposée en droit français par ordonnance du 23 juin 2016) impose au CGP agissant en qualité de CIF de recueillir un profil de risque complet du client, de produire un rapport d'adéquation avant chaque recommandation, de déclarer ses coûts et frais de manière transparente, et de conserver l'ensemble de ces éléments pendant au moins cinq ans.

Deuxièmement, la DDA s'applique dès que vous distribuez des contrats d'assurance-vie, de prévoyance ou de retraite. Elle exige une analyse des besoins formalisée (le Document d'Analyse des Besoins, ou DAB), une formation continue d'au moins 15 heures par an, et la remise d'un Document d'Information sur le Produit d'Assurance (IPID) pour chaque produit non-vie distribué.

Troisièmement, le RGPD s'impose à tous les cabinets dès lors qu'ils traitent des données personnelles de clients — ce qui est systématiquement le cas. Vous devez tenir un registre des activités de traitement, obtenir des consentements éclairés, désigner (ou non) un DPO selon votre taille, et être en mesure de répondre à une demande d'accès ou d'effacement dans un délai d'un mois.

Quatrièmement, si vous conseillez ou référencez des actifs numériques (crypto-monnaies, tokens), le statut PSAN devient obligatoire. Depuis la loi PACTE de 2019 et son renforcement progressif, l'enregistrement auprès de l'AMF est requis, avec des obligations de lutte anti-blanchiment (LCB-FT) renforcées.

MiFID II : le cœur des obligations pour les CIF

MiFID II est la pierre angulaire de la conformité CGP pour tout conseiller agissant sur des instruments financiers. Elle impose quatre grandes familles d'obligations : la connaissance client (KYC), le test d'adéquation, la transparence sur les coûts et la tenue de registres. Le rapport d'adéquation — ce document qui justifie pourquoi un produit ou une stratégie correspond au profil du client — doit être remis avant la transaction ou la recommandation. Son absence ou son caractère insuffisant est l'une des premières causes de sanction lors des contrôles AMF. La directive impose également de mettre à jour le profil client régulièrement, et de l'informer dès qu'un instrument qu'il détient franchit un seuil de perte de 10 %.

DDA : les spécificités de la distribution d'assurance

La Directive sur la Distribution d'Assurance introduit une logique de conseil documenté propre aux produits assurantiels. Au-delà du Document d'Analyse des Besoins, le CGP doit être en mesure de démontrer qu'il a proposé un produit adapté aux besoins réels du client, et non simplement commercialement attractif. L'obligation de formation de 15 heures annuelles est stricte : elle doit être tracée et déclarée à votre association professionnelle. Un défaut de traçabilité vaut absence de formation aux yeux de l'ACPR.

Comment se mettre en conformité efficacement en tant que CGP ?

La mise en conformité CGP ne se résume pas à cocher des cases. Elle suppose de construire des processus durables, documentés et auditables. Voici une approche structurée en quatre étapes.

Étape 1 : Cartographier vos obligations selon vos statuts. Commencez par lister les statuts que vous détenez (CIF, COBSP, MIA, ALPSI…) et les activités que vous exercez réellement. Chaque combinaison génère un périmètre réglementaire spécifique. Cette cartographie est le socle de votre plan de conformité.

Étape 2 : Auditer vos documents existants. Comparez vos contrats, lettres de mission, rapports d'adéquation et registres RGPD avec les exigences actuelles. Identifiez les écarts — c'est ce qu'on appelle un gap analysis. Dans la plupart des cabinets indépendants, cet audit révèle des lacunes dans la traçabilité et l'actualisation des documents.

Étape 3 : Mettre en place une veille réglementaire. L'environnement réglementaire évolue en permanence. Une veille manuelle — lire les publications AMF, ACPR, Journal Officiel — est chronophage et incomplète. Des solutions comme Glyphe permettent d'automatiser cette surveillance et d'être alerté dès qu'une évolution affecte votre activité.

Étape 4 : Documenter et tracer en continu. La conformité n'est pas un état ponctuel mais un processus. Chaque interaction client, chaque recommandation, chaque mise à jour de profil doit être documentée et horodatée. C'est ce niveau de traçabilité qui vous protège lors d'un contrôle.

La checklist conformité CGP essentielle

Une checklist conformité CGP opérationnelle comprend au minimum : la lettre de mission signée et à jour, le questionnaire de connaissance client (profil MiFID II) complété et daté, le rapport d'adéquation pour chaque recommandation, le Document d'Analyse des Besoins (DDA) pour les produits d'assurance, le registre des activités de traitement RGPD, la politique de confidentialité communiquée aux clients, les preuves de formation continue DDA (15h/an), et l'enregistrement PSAN si activité sur actifs numériques. Cette liste n'est pas exhaustive : elle constitue le minimum auditable attendu par l'AMF et l'ACPR.

Quels sont les risques concrets en cas de non-conformité pour un CGP ?

Les risques de non-conformité pour un CGP ne sont pas théoriques. Ils sont financiers, professionnels et réputationnels, et ils se matérialisent régulièrement lors des contrôles AMF et ACPR.

Sanctions financières. L'AMF peut prononcer des sanctions pécuniaires allant jusqu'à 100 millions d'euros ou 10 % du chiffre d'affaires annuel pour les manquements les plus graves aux obligations MiFID II. Pour les infractions RGPD, la CNIL peut infliger des amendes atteignant 20 millions d'euros ou 4 % du CA mondial. En pratique, pour un cabinet indépendant, des sanctions de quelques dizaines de milliers d'euros sont déjà documentées pour des défauts de documentation récurrents.

Suspension ou retrait d'agrément. L'ACPR peut suspendre ou retirer l'habilitation à distribuer des produits d'assurance. L'AMF peut radier un CIF de la liste des conseillers autorisés. Ces sanctions rendent l'exercice de l'activité impossible.

Mise en cause de la responsabilité civile. Un client mal informé ou mal conseillé peut engager une action en responsabilité. Sans traçabilité documentaire suffisante, le CGP peine à démontrer qu'il a respecté son devoir de conseil — et supporte alors le poids de la preuve.

Impact réputationnel. Les décisions de sanction AMF sont publiées sur le site de l'autorité. Une mention publique de sanction affecte durablement la confiance des clients existants et la capacité à en acquérir de nouveaux.

La bonne nouvelle : la quasi-totalité de ces risques est évitable grâce à une conformité CGP structurée et outillée.

RGPD et protection des données : ce que chaque cabinet CGP doit faire

Le RGPD est souvent perçu comme une contrainte secondaire par les CGP, focalisés sur leurs obligations AMF ou ACPR. C'est une erreur d'appréciation : un cabinet de gestion de patrimoine traite des données hautement sensibles (situation financière, patrimoine, objectifs de vie, données de santé pour certains produits de prévoyance), et à ce titre, il est une cible d'audit pour la CNIL.

Les obligations fondamentales sont les suivantes. Vous devez tenir un registre des activités de traitement, document interne listant chaque type de données collectées, leur finalité, leur durée de conservation et les tiers auxquels elles sont transmises (assureurs, dépositaires, gérants). Vous devez informer vos clients de leurs droits via une politique de confidentialité claire, remise dès l'entrée en relation. En cas de violation de données (piratage, perte d'un ordinateur portable contenant des données clients non chiffrées), vous avez 72 heures pour notifier la CNIL et, dans certains cas, les personnes concernées.

La désignation d'un Délégué à la Protection des Données (DPO) n'est pas obligatoire pour les petits cabinets, mais elle est fortement recommandée dès que vous traitez des données sensibles à grande échelle. En pratique, de nombreux CGP indépendants mutualisent cette fonction via leur association professionnelle ou une solution externe.

L'intégration du RGPD dans votre conformité CGP globale — et non comme un silo séparé — est la clé d'une gestion efficace. Glyphe permet de centraliser le suivi de vos obligations RGPD aux côtés de vos obligations AMF et DDA, dans un tableau de bord unique.

Veille réglementaire automatisée : pourquoi c'est indispensable pour un CGP en 2026

La réglementation applicable aux CGP est en mouvement permanent. En 2024 et 2025, plusieurs évolutions majeures ont affecté le cadre de travail des conseillers indépendants : révision des orientations ESMA sur le test d'adéquation, renforcement des exigences PSAN dans le cadre du règlement européen MiCA (Markets in Crypto-Assets), évolutions des obligations de formation continue DDA, et mise à jour des recommandations ACPR sur la commercialisation des produits d'épargne retraite.

Suivre manuellement ces évolutions demande plusieurs heures par semaine : lecture des bulletins officiels AMF, des publications ACPR, des transpositions de directives européennes, des recommandations des associations professionnelles comme la CNCGP ou l'ANACOFI. C'est du temps pris sur le conseil client et sur le développement du cabinet.

La veille réglementaire automatisée change fondamentalement cette équation. Plutôt que de surveiller une vingtaine de sources en parallèle, vous recevez des alertes ciblées, contextualisées et hiérarchisées selon leur impact sur votre activité spécifique. Glyphe est conçu exactement pour ça : l'outil monitore en continu les sources réglementaires françaises et européennes, et vous notifie uniquement ce qui vous concerne — avec une explication claire de l'impact sur vos obligations.

Cette approche présente un triple avantage : vous gagnez du temps, vous ne manquez aucune évolution critique, et vous disposez d'une trace de votre veille en cas de contrôle. Car démontrer que votre cabinet exerce une veille active est lui-même une obligation implicite de bonne gouvernance réglementaire.

MiCA et actifs numériques : les nouvelles frontières de la conformité CGP

Le règlement européen MiCA (Markets in Crypto-Assets Regulation), pleinement applicable depuis fin 2024, redéfinit le cadre pour tout CGP évoluant dans l'univers des actifs numériques. Il uniformise les règles à l'échelle européenne et impose des obligations de transparence, de gestion des conflits d'intérêts et de protection des investisseurs similaires à celles de MiFID II pour les instruments financiers classiques. Pour les CGP déjà enregistrés PSAN auprès de l'AMF, la transition vers le nouveau régime MiCA implique une mise à jour documentaire et procédurale à ne pas négliger.

Glossaire

CIF : Conseiller en Investissements Financiers : statut réglementé permettant de fournir des conseils en investissement, soumis à l'agrément d'une association professionnelle agréée AMF. MiFID II : Directive européenne sur les marchés d'instruments financiers (2014/65/UE), imposant aux CGP des obligations de transparence, d'adéquation du conseil et de reporting client. DDA : Directive sur la Distribution d'Assurance (2016/97/UE) : encadre la commercialisation des produits d'assurance-vie et prévoyance, avec obligations de conseil documenté et de formation continue. PSAN : Prestataire de Services sur Actifs Numériques : statut français (loi PACTE 2019) obligatoire pour tout CGP proposant des actifs crypto à ses clients, soumis à enregistrement ou agrément AMF. RGPD : Règlement Général sur la Protection des Données (UE 2016/679) : encadre la collecte et le traitement des données personnelles des clients, avec obligations de registre, consentement et sécurité. Devoir de conseil : Obligation légale du CGP de recueillir les informations nécessaires sur le client (profil, objectifs, situation financière) avant toute recommandation, et d'en conserver la trace documentaire. Veille réglementaire : Processus de surveillance continue des évolutions législatives et réglementaires affectant l'activité du CGP, indispensable pour maintenir la conformité dans un environnement normatif en mutation.

Questions fréquentes

Quelles sont les obligations de conformité d'un CGP ?

Un CGP doit respecter plusieurs cadres réglementaires simultanément. Au titre de MiFID II (s'il est CIF), il doit réaliser un test d'adéquation, remettre un rapport de conseil documenté et conserver les traces pendant 5 ans. La DDA l'oblige à formaliser une analyse des besoins pour les produits d'assurance et à suivre 15 heures de formation continue annuelle. Le RGPD impose un registre des traitements de données et une politique de confidentialité. Enfin, le statut PSAN est requis pour toute activité sur actifs numériques. En 2026, un cabinet multi-statuts cumule plus de 60 obligations documentaires distinctes.

Comment se mettre en conformité en tant que CGP ?

La mise en conformité CGP se déroule en quatre étapes : (1) cartographier vos statuts et obligations associées, (2) auditer vos documents existants via un gap analysis, (3) mettre en place une veille réglementaire structurée pour suivre les évolutions normatives, et (4) documenter et tracer chaque interaction client en continu. Des outils comme Glyphe permettent d'automatiser les étapes 3 et 4, réduisant significativement la charge administrative tout en sécurisant votre conformité face aux contrôles AMF et ACPR.

Quels sont les risques en cas de non-conformité pour un CGP ?

Les risques sont multiples et sérieux. Financièrement, l'AMF peut sanctionner jusqu'à 100 millions d'euros pour les manquements graves à MiFID II, et la CNIL jusqu'à 20 millions d'euros pour les infractions RGPD. Professionnellement, l'ACPR peut suspendre ou retirer l'habilitation à distribuer des produits d'assurance. Sur le plan civil, l'absence de traçabilité documentaire expose le CGP à des actions en responsabilité. Enfin, les décisions de sanction AMF sont publiées, ce qui génère un impact réputationnel durable. La conformité structurée est le meilleur rempart contre ces risques.

Qu'est-ce que la veille réglementaire pour un CGP et pourquoi est-elle obligatoire ?

La veille réglementaire consiste à surveiller en continu les évolutions des textes législatifs et réglementaires applicables à votre activité : publications AMF, ACPR, directives européennes, recommandations ESMA. Elle est indispensable car la réglementation CGP évolue chaque année (MiCA en 2024, révisions DDA, orientations ESMA sur l'adéquation). Une bonne gouvernance réglementaire implique de démontrer que votre cabinet suit activement ces évolutions. Des solutions comme Glyphe automatisent ce processus et vous alertent sur les seules évolutions qui impactent concrètement votre cabinet.

Le RGPD s'applique-t-il vraiment à un petit cabinet CGP indépendant ?

Oui, sans exception. Dès lors qu'un cabinet traite des données personnelles de clients — ce qui est systématiquement le cas en gestion de patrimoine — le RGPD s'applique intégralement, quelle que soit la taille de la structure. Les obligations minimales incluent : tenir un registre des traitements, informer les clients de leurs droits, sécuriser les données et notifier la CNIL en cas de violation dans les 72 heures. La CNIL contrôle les petites structures, et les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.

Simplifiez votre conformité

Glyphe automatise votre veille réglementaire et génère vos documents de conformité en quelques clics.

Essayer Glyphe gratuitement

En résumé

  • Un CGP cumule en 2026 au moins quatre cadres réglementaires distincts : MiFID II, DDA, RGPD et, selon son activité, le régime PSAN.
  • Les sanctions en cas de non-conformité peuvent atteindre 100 millions d'euros pour les manquements MiFID II les plus graves.
  • La conformité CGP repose sur trois piliers opérationnels : documentation client, traçabilité des conseils et veille réglementaire continue.
  • Des outils SaaS spécialisés comme Glyphe permettent d'automatiser la veille et la génération documentaire, réduisant significativement la charge administrative des cabinets indépendants.

La conformité CGP est un impératif non négociable en 2026, mais elle n'a pas à être une charge insurmontable. En comprenant précisément vos obligations selon vos statuts (CIF, COBSP, MIA, PSAN), en structurant votre documentation et en automatisant votre veille réglementaire, vous transformez une contrainte en avantage concurrentiel : celui d'un cabinet fiable, auditable et serein face aux contrôles. MiFID II, DDA, RGPD et le nouveau cadre MiCA forment aujourd'hui un écosystème réglementaire dense, mais cohérent dans sa logique : protéger le client et tracer le conseil. C'est précisément pour aider les CGP indépendants à répondre à cet enjeu que Glyphe a été conçu — un outil pensé pour les professionnels du patrimoine qui veulent exercer avec rigueur sans y sacrifier leur temps client.

Automatisez votre conformité

glyphe gère votre KYC, vos documents et vos échéances. Essayez gratuitement.

Rejoindre la bêta