Documentation conformité CGP : obligations, archivage et bonnes pratiques

Documentation conformité cgp — La documentation conformité CGP désigne l'ensemble des documents réglementaires qu'un Conseiller en Gestion de Patrimoine doit produire, conserver et archiver pour satisfaire aux obligations légales issues de MiFID II, de la DDA, du RGPD et, le cas échéant, du régime PSAN. Ces obligations couvrent notamment le dossier client, les conventions de mission, les comptes rendus de conseil et les preuves de formation continue.

La documentation conformité CGP est aujourd'hui l'un des piliers opérationnels de tout cabinet de gestion de patrimoine sérieux. Entre les exigences de MiFID II, la Directive sur la Distribution d'Assurances (DDA), le RGPD et, pour les actifs numériques, le régime PSAN, les obligations documentaires se sont considérablement densifiées en moins d'une décennie. Résultat : un CGP gère en moyenne plusieurs dizaines de documents réglementaires par client, avec des durées de conservation variables pouvant aller de 5 à 10 ans selon la nature de la relation et des instruments concernés. Une seule lacune dans un dossier client peut suffire à déclencher une observation, voire une mise en demeure, lors d'un contrôle de l'AMF ou de l'ACPR. Ce guide vous présente de façon claire et opérationnelle les documents indispensables, les règles d'archivage applicables et les solutions concrètes pour automatiser votre gestion documentaire sans alourdir votre organisation quotidienne.

Chiffres clés

• Les documents liés au conseil en investissement doivent être conservés 5 ans selon MiFID II (article 16 de la directive 2014/65/UE), délai porté à 7 ans pour certains instruments complexes. Directive MiFID II transposée en droit français via le règlement délégué (UE) 2017/565
• La DDA (Directive sur la Distribution d'Assurances 2016/97/UE) impose une durée de conservation minimale de 5 ans pour l'ensemble des documents relatifs à la distribution de contrats d'assurance-vie. Directive DDA transposée en France par l'ordonnance n°2018-361 du 16 mai 2018
• Le RGPD prévoit une amende maximale de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial en cas de violation grave des obligations de traitement et de conservation des données personnelles. Règlement (UE) 2016/679, article 83, applicable aux cabinets CGP traitant des données clients

Quels documents un CGP doit-il absolument conserver ?

Le socle documentaire d'un cabinet CGP se structure autour de plusieurs familles réglementaires distinctes, chacune répondant à une obligation légale précise. Ignorer l'une d'elles expose le professionnel à un risque réglementaire significatif.

Premièrement, le dossier client conforme est le cœur du dispositif. Il doit comprendre une copie des pièces d'identité et des justificatifs de domicile (obligations KYC / LAB-FT), le recueil d'informations client (situation financière, objectifs, horizon de placement, aversion au risque), la lettre de mission ou convention de service signée des deux parties, les comptes rendus de chaque entretien de conseil, et les fiches produits remises avant souscription (DICI, DIC, EID selon les cas).

Deuxièmement, les documents liés à la relation d'assurance s'ajoutent pour les CGP exerçant sous statut de Courtier ou Mandataire (IAS). La DDA impose la remise et la conservation du document sur les exigences et les besoins (DEB), ainsi que du DIC ou de l'IPID selon les contrats distribués.

Troisièmement, si le cabinet gère des actifs numériques sous statut PSAN, des obligations de traçabilité spécifiques s'appliquent, notamment la conservation des enregistrements de transactions et des analyses LAB-FT associées.

Enfin, les preuves de formation continue — 40 heures tous les deux ans pour satisfaire aux exigences de capacité professionnelle ORIAS — constituent elles aussi des pièces à conserver dans le dossier réglementaire du cabinet.

Le dossier client : la pièce maîtresse de votre conformité

Le dossier client est l'élément le plus scruté lors d'un contrôle AMF ou ACPR. Il doit être complet à la date de la première recommandation, puis mis à jour à chaque évolution significative de la situation patrimoniale ou des objectifs du client. MiFID II (article 25 de la directive 2014/65/UE et règlement délégué 2017/565) impose que le profil investisseur soit établi sur la base d'informations suffisantes et actualisées. L'absence de mise à jour documentée peut être interprétée comme un manquement au devoir de conseil, même si la recommandation initiale était adaptée.

Actifs numériques et PSAN : des exigences documentaires spécifiques

Depuis la loi PACTE de 2019 et les évolutions apportées par MiCA au niveau européen, les CGP qui accompagnent leurs clients sur les cryptoactifs sous statut PSAN font face à une couche documentaire supplémentaire. Le registre des clients, la traçabilité des conseils dispensés, les analyses de risque LAB-FT et les preuves de conformité aux obligations d'enregistrement AMF doivent être conservés et accessibles à tout moment. Négliger cet aspect dans la gestion documentaire CGP constitue un risque réglementaire croissant.

Durées de conservation réglementaires : ce que dit vraiment la loi

L'une des sources de confusion les plus fréquentes chez les conseillers financiers indépendants concerne les durées légales de conservation des documents. Ces délais ne sont pas uniformes : ils varient selon le cadre réglementaire, la nature du document et la relation contractuelle.

Sous MiFID II, la règle de base est une conservation de 5 ans pour l'ensemble des enregistrements liés au conseil en investissement (comptes rendus, évaluations d'adéquation, ordres). Ce délai est porté à 7 ans lorsque l'autorité compétente — en France, l'AMF — en fait la demande, ou pour les instruments financiers complexes. Cette durée part de la date de fin de la relation contractuelle avec le client, et non de la date de création du document.

Sous la DDA, la durée minimale de conservation est également fixée à 5 ans à compter de la fin du contrat de distribution d'assurance. Cette obligation s'applique au DEB, aux DIC, aux IPID et aux contrats eux-mêmes.

Le RGPD impose quant à lui une logique différente : les données personnelles ne peuvent être conservées que le temps strictement nécessaire à la finalité pour laquelle elles ont été collectées. En pratique, cela signifie que les données clients doivent être supprimées ou anonymisées à l'issue de la durée légale de conservation réglementaire applicable, sous peine de constituer une violation du principe de minimisation des données.

En résumé pratique : visez une conservation de 5 à 7 ans après la fin de chaque relation client, avec une revue annuelle de votre stock documentaire pour identifier les dossiers à archiver, anonymiser ou supprimer.

Tableau synthétique des durées de conservation

MiFID II (conseil en investissement) : 5 ans minimum, 7 ans sur demande AMF. DDA (distribution assurance) : 5 ans après fin du contrat. LAB-FT (KYC et pièces d'identité) : 5 ans après la fin de la relation d'affaires (article L.561-12 du Code monétaire et financier). RGPD (données personnelles hors obligation légale) : durée limitée à la finalité, puis suppression ou anonymisation. Preuves de formation ORIAS : durée du cycle de renouvellement biennal en cours, plus précédent cycle.

Comment organiser l'archivage des documents de conformité CGP ?

Avoir les bons documents ne suffit pas : encore faut-il les organiser de manière à les retrouver rapidement lors d'un contrôle, d'une réclamation client ou d'une mise à jour réglementaire. L'organisation documentaire d'un cabinet CGP repose sur trois principes fondamentaux : la complétude, la traçabilité et l'accessibilité.

La complétude signifie que chaque dossier client doit contenir l'intégralité des pièces requises à chaque étape de la relation. Une checklist de conformité par type de client et par type de produit est l'outil le plus efficace pour éviter les oublis.

La traçabilité implique que tout document puisse être daté, versionné et rattaché à un événement précis (premier rendez-vous, révision annuelle, changement de situation, souscription). Les systèmes de gestion électronique des documents (GED) spécialisés permettent de journaliser automatiquement ces événements.

L'accessibilité, enfin, garantit qu'un document peut être présenté dans un délai raisonnable — généralement 48 à 72 heures en cas de demande de l'AMF ou de l'ACPR. Un archivage papier non indexé ne répond plus à cette exigence dans un contexte de contrôle modernisé.

La mise en place d'une nomenclature de fichiers cohérente (par exemple : NOM_CLIENT / ANNEE / TYPE_DOCUMENT / VERSION) et d'un système de rappel automatique pour les mises à jour périodiques (révision annuelle du profil, renouvellement de la lettre de mission) est la base d'une gestion documentaire CGP efficace et pérenne.

GED ou dossier papier : pourquoi la digitalisation s'impose

Le passage à une gestion électronique des documents n'est plus une option pour les cabinets CGP soumis à des contrôles réguliers. Les outils numériques permettent de centraliser l'archivage documents CGP, d'automatiser les alertes d'expiration documentaire et de générer en un clic les preuves de conformité nécessaires. Ils facilitent également la réponse aux droits RGPD des clients (droit d'accès, droit à l'effacement), qui peuvent être exercés à tout moment. Une GED conforme offre aussi un horodatage infalsifiable, renforçant la valeur probatoire des documents en cas de litige.

RGPD et documentation : les obligations spécifiques aux cabinets financiers

Le RGPD s'applique pleinement aux cabinets CGP, qui traitent quotidiennement des données personnelles particulièrement sensibles : situation patrimoniale, revenus, charges, projets de vie, parfois données de santé dans le cadre de la prévoyance. Ces données font l'objet d'obligations strictes que beaucoup de cabinets sous-estiment encore.

Première obligation : la tenue d'un registre des activités de traitement. Ce document interne recense tous les traitements de données personnelles effectués par le cabinet (gestion clients, prospection, relation partenaires, etc.), avec pour chaque traitement : la finalité, la base légale, les catégories de données concernées, les destinataires, les durées de conservation et les mesures de sécurité. Ce registre est obligatoire pour toute organisation traitant des données à grande échelle ou de manière régulière — ce qui est le cas de tout cabinet CGP actif.

Deuxième obligation : l'information des clients. Chaque client doit recevoir une notice d'information RGPD claire, accessible et compréhensible, expliquant comment ses données sont collectées, utilisées, conservées et protégées. Cette notice doit être conservée dans le dossier client conforme en tant que preuve de délivrance.

Troisième obligation : la gestion des droits. Lorsqu'un client exerce son droit d'accès, de rectification ou d'effacement, le cabinet doit répondre dans un délai d'un mois et conserver une trace de cette réponse. Intégrer ce processus dans la gestion documentaire CGP permet de répondre rapidement et de prouver la conformité.

La bonne nouvelle : une gestion documentaire bien structurée répond simultanément aux exigences MiFID II, DDA et RGPD, à condition que les durées de conservation soient correctement paramétrées et que les suppressions soient effectuées de façon documentée.

Veille réglementaire automatisée : ne pas subir les changements, les anticiper

La réglementation applicable aux CGP évolue en permanence. Entre les révisions de MiFID II, les mises à jour des guidelines ESMA, les circulaires ACPR, les nouvelles exigences PSAN liées au règlement MiCA et les évolutions du droit français, un cabinet qui ne dispose pas d'un processus de veille structuré accumule inévitablement des décalages entre ses pratiques et ses obligations légales.

La veille réglementaire ne consiste pas simplement à lire les newsletters du secteur. Elle implique d'identifier précisément les textes applicables à son activité, de comprendre leur traduction opérationnelle en termes de documentation et de procédures, et d'actualiser en conséquence ses modèles documentaires, ses checklists et ses processus internes.

Concrètement, un cabinet CGP efficace doit surveiller au minimum : les publications de l'AMF (instructions, recommandations, sanctions), les guidelines ESMA sur MiFID II et le règlement SFDR, les textes ACPR relatifs à la DDA et à l'intermédiation en assurance, et les évolutions du cadre PSAN / MiCA pour les actifs numériques.

La charge de cette veille est réelle. Un professionnel isolé ne peut raisonnablement pas assurer seul une surveillance exhaustive de ces sources tout en maintenant une pratique de conseil de qualité. C'est précisément pour cette raison que les outils SaaS de conformité comme Glyphe ont été conçus : pour automatiser la veille réglementaire, alerter en temps réel sur les changements impactants et mettre à jour les modèles documentaires sans intervention manuelle.

Les risques concrets d'une veille insuffisante

Un cabinet qui travaille avec des modèles de documents obsolètes — par exemple un recueil d'informations client ne prenant pas en compte les questions ESG devenues obligatoires sous MiFID II en août 2022 — s'expose à une qualification de manquement au devoir de conseil lors d'un contrôle. Les sanctions AMF peuvent aller d'un simple avertissement à une interdiction temporaire d'exercice, sans parler du risque de mise en cause civile par le client. L'automatisation de la veille réglementaire est donc un investissement de protection, pas une dépense optionnelle.

Glossaire

MiFID II : Directive européenne 2014/65/UE encadrant les marchés d'instruments financiers et imposant des obligations de documentation, de transparence et de conseil aux prestataires financiers. DDA : Directive sur la Distribution d'Assurances (2016/97/UE) régissant la commercialisation de produits d'assurance, dont l'assurance-vie, par les intermédiaires. PSAN : Prestataire de Services sur Actifs Numériques : statut réglementaire français créé par la loi PACTE, supervisé par l'AMF, encadrant les activités liées aux cryptoactifs. Dossier client conforme : Ensemble documentaire regroupant KYC, lettre de mission, profil de risque, comptes rendus de conseil et pièces justificatives, satisfaisant aux exigences réglementaires applicables au CGP. KYC (Know Your Customer) : Procédure d'identification et de vérification de l'identité du client, obligatoire dans le cadre de la lutte anti-blanchiment (LAB-FT) et de la connaissance client réglementaire. Veille réglementaire : Processus de surveillance continue des évolutions législatives et réglementaires afin d'adapter en temps réel les pratiques et la documentation du cabinet. IDD / DIC : Document d'Information Clé (DIC) ou IPID : fiche standardisée obligatoire remise au client avant toute souscription d'un produit d'assurance non-vie dans le cadre de la DDA. Rapport de durabilité (ESG) : Document précontractuel MiFID II étendu par le règlement SFDR informant le client sur la prise en compte des préférences en matière de durabilité dans les recommandations de conseil.

Questions fréquentes

Quels documents un CGP doit-il conserver et pendant combien de temps ?

Un CGP doit conserver l'ensemble des documents du dossier client conforme (KYC, lettre de mission, profil investisseur, comptes rendus de conseil, fiches produits) pendant au moins 5 ans à compter de la fin de la relation contractuelle, conformément à MiFID II. Ce délai monte à 7 ans pour certains instruments complexes ou sur demande de l'AMF. Les documents liés à la distribution d'assurance (DDA) sont également soumis à une conservation de 5 ans. Les pièces KYC relevant de la LAB-FT doivent être conservées 5 ans après la fin de la relation d'affaires en vertu de l'article L.561-12 du Code monétaire et financier.

Comment organiser l'archivage des documents de conformité CGP ?

L'archivage des documents de conformité CGP repose sur trois principes : complétude (chaque dossier contient toutes les pièces requises), traçabilité (chaque document est daté, versionné et rattaché à un événement précis) et accessibilité (les documents peuvent être présentés sous 48 à 72 heures en cas de contrôle). La mise en place d'une GED avec nomenclature cohérente, alertes automatiques de mise à jour et horodatage est aujourd'hui la solution la plus robuste. Elle permet également de gérer simultanément les droits RGPD des clients.

Quels sont les documents obligatoires du dossier client CGP ?

Le dossier client conforme d'un CGP doit impérativement contenir : les pièces d'identité et justificatifs de domicile (KYC / LAB-FT), le recueil d'informations client (situation financière, objectifs, profil de risque, préférences ESG depuis 2022), la lettre de mission ou convention de service signée, les comptes rendus de chaque entretien de conseil, et les fiches produits remises avant souscription (DICI, DIC, EID, IPID selon les produits). Pour les contrats d'assurance, le Document d'Exigences et Besoins (DEB) est également obligatoire sous la DDA.

Le RGPD s'applique-t-il aux cabinets CGP et quelles sont les obligations concrètes ?

Oui, le RGPD s'applique intégralement aux cabinets CGP qui traitent des données personnelles sensibles. Les obligations concrètes incluent : la tenue d'un registre des activités de traitement, la remise d'une notice d'information RGPD à chaque client, la gestion documentée des droits (accès, rectification, effacement) dans un délai d'un mois, et la suppression ou anonymisation des données à l'issue de la durée légale de conservation. Une violation grave peut entraîner une amende allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.

Comment automatiser la veille réglementaire en tant que CGP indépendant ?

Automatiser la veille réglementaire CGP passe par l'utilisation d'outils SaaS spécialisés qui surveillent en temps réel les publications de l'AMF, de l'ACPR, les guidelines ESMA et les évolutions législatives françaises et européennes. Ces outils alertent le professionnel sur les changements impactant ses obligations documentaires et mettent à jour automatiquement les modèles de documents (recueil d'informations, lettres de mission, notices RGPD). Cette automatisation est particulièrement précieuse pour les cabinets indépendants qui ne disposent pas d'un service juridique dédié.

---

Simplifiez votre conformité

Glyphe automatise votre veille réglementaire et génère vos documents de conformité en quelques clics.

Essayer Glyphe gratuitement

En résumé

• Un CGP doit conserver ses documents de conseil en investissement au minimum 5 ans (MiFID II), et jusqu'à 7 ans pour certains instruments complexes.
• Le dossier client conforme comprend obligatoirement la lettre de mission, le profil investisseur, les comptes rendus de conseil et les pièces KYC.
• La DDA impose une conservation de 5 ans pour tous les documents liés à la distribution d'assurance-vie et de produits d'assurance.
• Une gestion documentaire automatisée réduit le risque de défaillance lors des contrôles AMF/ACPR et libère du temps opérationnel pour le conseil client.

La documentation conformité CGP n'est pas une contrainte administrative parmi d'autres : c'est le socle sur lequel repose la crédibilité réglementaire de votre cabinet. Dossiers clients complets, durées de conservation respectées (5 à 7 ans selon MiFID II et DDA), gestion rigoureuse des données personnelles sous RGPD, et veille réglementaire active : ces quatre piliers forment un système cohérent qui vous protège lors des contrôles AMF/ACPR et renforce la confiance de vos clients. La bonne nouvelle est que l'automatisation de ces processus est aujourd'hui accessible à tous les cabinets, quelle que soit leur taille. Des outils comme Glyphe permettent de centraliser la gestion documentaire CGP, d'automatiser les alertes réglementaires et de générer des documents conformes en quelques minutes — vous laissant plus de temps pour ce qui compte vraiment : le conseil à vos clients.