Obligations de vigilance
pendant la relation d'affaires
Le dispositif de surveillance continue imposé aux professionnels assujettis : approche par les risques, profil client et modulation de l'intensité des contrôles.
Le principe de la vigilance constante
La vigilance constante désigne l'obligation pesant sur tout professionnel assujetti de maintenir, pendant toute la durée de la relation d'affaires, une surveillance active et continue des opérations réalisées pour le compte de son client. Il ne s'agit pas d'une simple formalité d'entrée en relation, mais d'un processus dynamique d'actualisation qui accompagne chaque évolution de la relation.
📐 Principe
Il appartient aux professionnels assujettis, en vertu des articles L. 561-5-1, L. 561-6 et R. 561-12 du Code monétaire et financier, de procéder à l'actualisation régulière des données et éléments pertinents qui fondent leur connaissance du client et de la relation nouée avec celui-ci. Cette exigence s'inscrit dans une logique de proportionnalité : la fréquence et l'intensité de cette mise à jour sont directement corrélées au niveau de risque identifié pour chaque relation. En conséquence, une relation dont le risque de BC-FT est évalué comme élevé commande des actualisations sensiblement plus fréquentes qu'une relation présentant un profil de risque faible.
Par ailleurs, cette surveillance ne se limite pas à la collecte périodique de données. Elle implique un examen attentif des opérations au regard de leur cohérence avec le profil établi du client. Quiconque constate une opération dont la nature, le montant, la provenance ou l'affectation finale des sommes en jeu s'écarte des éléments de connaissance client se trouve tenu d'en analyser les raisons et, le cas échéant, d'enclencher les procédures de signalement appropriées.
Droit national : Art. L. 561-6 CMF — principe de vigilance constante ; Art. L. 561-5-1 et R. 561-12 CMF — actualisation de la connaissance client ; Art. L. 561-32 CMF — dispositif de contrôle interne.
Droit européen : Règlement (UE) 2024/1624 du 31 mai 2024 — cadre harmonisé de la LCB-FT, art. 33 (vigilance simplifiée), art. 34 (vigilance renforcée), art. 36 (correspondance bancaire).
La modulation de la vigilance obéit au principe fondamental de l'approche par les risques (risk-based approach). Ce postulat confère aux professionnels assujettis une marge d'appréciation considérable, mais cette liberté s'accompagne d'une responsabilité corrélative : celle de justifier, auprès des autorités de surveillance, l'adéquation de leurs dispositifs aux risques effectivement encourus. L'ACPR comme Tracfin disposent du pouvoir de vérifier — sur pièces ou sur place — que les mesures adoptées correspondent bien à la réalité des activités et de la clientèle du professionnel.
La vigilance constante repose sur trois piliers indissociables : l'actualisation régulière de la connaissance client, le suivi continu des opérations au regard du profil de risque, et la détection proactive des anomalies pouvant révéler des opérations de BC-FT. Plus le risque est élevé, plus chacun de ces piliers doit être renforcé.
Le profil de risque : socle de la vigilance adaptée
Le profil de risque attribué à chaque relation d'affaires constitue l'instrument central du dispositif de LCB-FT. Il résulte du croisement entre la classification générale des risques élaborée par le professionnel et les éléments individuels propres à chaque client. Il s'agit d'une évaluation individualisée, évolutive tout au long de la relation, qui détermine le degré d'intensité de la surveillance applicable.
Construction du profil de risque
✅ Conditions
L'élaboration du profil repose sur le recueil et l'analyse croisée de multiples facteurs. Il appartient au professionnel de recueillir les informations pertinentes auprès du client lui-même, mais également de sources tierces fiables — médias, bases de données spécialisées, informations communiquées par les autorités, appels à vigilance de Tracfin —, conformément aux articles R. 561-38 et R. 561-38-1 du Code monétaire et financier.
| Facteur de risque | Éléments d'appréciation | Fondement |
|---|---|---|
| Client / bénéficiaire effectif | Secteur d'activité, profession, revenus, situation financière, patrimoine, qualité de PPE | Art. L. 561-5-1 et R. 561-12 CMF |
| Produits et services | Nature des produits souscrits, instruments favorisant l'anonymat, opérations en espèces | Art. L. 561-10, 2° CMF |
| Zone géographique | Provenance ou destination des fonds : listes GAFI, pays tiers à haut risque (Commission UE), pays non coopératifs en matière fiscale | Art. L. 561-10, 3° CMF ; Art. 29 Règl. 2024/1624 |
| Canaux de distribution | Opérations à distance, recours à des intermédiaires, modèles Banking as a Service | Art. L. 561-4-1 CMF |
| Opérations envisagées | Montant, fréquence, cohérence avec le profil déclaré, schémas inhabituels | Art. L. 561-6 CMF |
Évolution et actualisation du profil
Le profil de risque n'est pas figé. Il doit être actualisé selon une fréquence déterminée par l'approche par les risques (art. L. 561-5-1 et R. 561-12 CMF). Cette actualisation peut également intervenir en dehors de toute périodicité prédéfinie, notamment à l'issue d'un examen renforcé ou d'une déclaration de soupçon. Selon le résultat de l'analyse, le profil peut être revu à la hausse — lorsque le soupçon se confirme — comme à la baisse — lorsque le risque précédemment évalué s'avère inadéquat.
Identification, vérification d'identité, recueil des éléments de connaissance client, attribution d'un profil de risque initial.
Suivi des opérations au regard du profil, détection d'éventuelles anomalies, actualisation périodique des données de connaissance client.
Opération incohérente avec le profil → analyse approfondie, éventuel examen renforcé, ajustement du niveau de risque.
Classement de l'opération si le doute est levé, ou transmission d'une déclaration de soupçon à Tracfin si le doute persiste.
Les informations recueillies par le professionnel doivent être conservées de manière consolidée, de sorte à offrir une vision complète de la relation d'affaires. Le mode de stockage retenu doit permettre un accès rapide et une exploitation aisée de l'ensemble des données, conformément aux exigences de la piste d'audit.
Mesures de vigilance simplifiées
Lorsque le professionnel assujetti identifie un risque faible de BC-FT, tant au titre de sa classification générale des risques qu'au regard de l'analyse individuelle de la relation d'affaires, il lui est permis d'alléger certaines des mesures de vigilance qu'il met habituellement en œuvre. Cette possibilité d'allégement, prévue à l'article L. 561-9 du Code monétaire et financier et précisée aux articles R. 561-14 à R. 561-16-2 du même code, obéit toutefois à un ensemble de conditions strictes.
Dès lors qu'un soupçon de BC-FT pèse sur la relation d'affaires — fût-ce un soupçon naissant —, le recours au régime allégé est totalement exclu, quand bien même le client ou le produit présenterait par ailleurs un profil de risque objectivement faible. Le moindre soupçon fait obstacle à toute simplification.
Assouplissements autorisés
Le règlement (UE) 2024/1624 du 31 mai 2024, en son article 33, précise la nature des allégements que les professionnels peuvent mettre en œuvre face à un risque jugé peu élevé. Il appartient à chaque entité assujettie de calibrer ces assouplissements de manière proportionnée à la nature et à la taille de son activité, tout en conservant une capacité de détection suffisante pour repérer toute transaction inhabituelle ou suspecte.
| Mesure simplifiée | Contenu | Limite |
|---|---|---|
| Report de la vérification d'identité | L'identité du client et du bénéficiaire effectif peut être vérifiée après l'entrée en relation | Maximum 60 jours après l'établissement de la relation |
| Fréquence de mise à jour réduite | L'actualisation des données d'identification peut être espacée | Doit rester suffisante pour détecter les anomalies |
| Allégement du recueil d'information | Réduction de la quantité d'informations collectées sur l'objet et la nature de la relation | Possibilité de déduire ces informations du type de transaction |
| Fréquence d'examen des opérations réduite | Réduction de la fréquence ou du degré de surveillance transactionnelle | Surveillance résiduelle obligatoire |
Clients et produits éligibles à la simplification
Le législateur a défini plusieurs catégories de clients et de produits pour lesquels le risque de BC-FT est présumé faible. Néanmoins, cette présomption ne dispense nullement le professionnel de son obligation de maintenir un dispositif général de surveillance capable de détecter toute anomalie.
🟢 Clients à risque présumé faible
- Organismes financiers établis dans l'UE/EEE (art. R. 561-15, 1° CMF)
- Sociétés cotées sur un marché réglementé UE/EEE ou pays tiers à exigences équivalentes
- Autorités et organismes publics désignés par engagement international, sous réserve de transparence
- Bénéficiaires effectifs de comptes détenus par des professions juridiques réglementées (notaires, huissiers)
🟢 Produits à risque présumé faible
- Assurance vie à prime annuelle ≤ 1 000 € ou prime unique ≤ 2 500 €
- Assurance IARD (branches 1 à 18) et contrats retraite sous conditions
- Crédits de type crédit-bail, crédits à la consommation
- Plans d'épargne retraite et certains comptes titres
- Paiements de montant modeste (loyers sociaux, factures utilitaires) sous plafonds réglementaires
Cas particulier de la monnaie électronique
Le législateur a prévu un régime encore plus allégé pour certaines formes de monnaie électronique de faible valeur. Lorsque les conditions fixées à l'article R. 561-16-1 du CMF sont réunies — notamment un plafond de stockage limité à 150 € et l'impossibilité de chargement en espèces —, les émetteurs ne sont pas tenus aux obligations classiques de vigilance à l'entrée en relation. Cette exemption ne vaut, à l'inverse, ni pour les opérations de retrait ou de remboursement en espèces excédant 50 €, ni pour les paiements initiés par internet dépassant ce même seuil, qui restent soumis au droit commun de la vigilance.
La simplification ne signifie jamais la suppression de la vigilance. Même en régime allégé, l'obligation de surveillance générale demeure, et le professionnel reste tenu de vérifier, tout au long de la relation, que le risque demeure effectivement faible. Le retour à un régime de vigilance normal — voire renforcé — s'impose dès que les circonstances l'exigent.
Mesures de vigilance renforcées et complémentaires
À rebours de la simplification, la détection d'un risque élevé de BC-FT commande le renforcement de l'intensité des mesures de vigilance. Le dispositif français distingue deux mécanismes complémentaires : d'une part, les mesures de vigilance renforcées (art. L. 561-10-1 CMF), dont la mise en œuvre est déclenchée par l'appréciation autonome du professionnel face à un risque élevé ; d'autre part, les mesures de vigilance complémentaires (art. L. 561-10 CMF), imposées par le législateur pour des situations considérées comme intrinsèquement risquées.
(Art. L. 561-10-1 CMF)
(Art. L. 561-10 CMF)
(Art. L. 561-10-2 CMF)
Vigilance renforcée : la marge d'appréciation du professionnel
📐 Principe
Il incombe au professionnel assujetti de déterminer lui-même quelles situations relèvent du risque élevé et quels outils de surveillance doivent être déployés pour y faire face. En effet, le législateur a fait le choix de ne pas définir a priori la nature et la portée des mesures de vigilance renforcées : celles-ci doivent être calibrées par chaque entité en fonction de la nature des risques effectivement identifiés, dans le respect du principe de proportionnalité.
Le droit européen offre néanmoins des indications précieuses. L'article 34 du règlement (UE) 2024/1624 signale ainsi quatre catégories d'opérations justifiant une vigilance renforcée : celles qui présentent un caractère complexe, celles d'un montant anormalement élevé, celles réalisées selon un schéma inhabituel, et celles dépourvues de tout objet économique ou licite apparent.
Vigilance complémentaire : les cas imposés par la loi
✅ Conditions
Le législateur a défini exhaustivement les situations dans lesquelles des mesures de vigilance complémentaires s'imposent de plein droit. Ces situations, énumérées à l'article L. 561-10 du CMF, sont considérées comme porteuses d'un risque intrinsèque pour lequel les textes prescrivent expressément la nature des contrôles à mettre en œuvre.
| Situation à risque | Mesures complémentaires | Texte de référence |
|---|---|---|
| Personne politiquement exposée (PPE) | Décision d'entrée en relation confiée à l'organe exécutif, investigation sur la provenance du patrimoine et des capitaux, surveillance accrue de la cohérence des opérations | Art. L. 561-10, 1° et R. 561-18 à R. 561-20-3 CMF |
| Produit ou opération favorisant l'anonymat | Mesures spécifiques de vigilance adaptées au risque d'opacification des transactions | Art. L. 561-10, 2° et R. 561-19 CMF |
| Opérations impliquant un pays tiers à haut risque | Décision au niveau exécutif, informations complémentaires, renforcement de la fréquence de mise à jour, suivi renforcé des opérations | Art. L. 561-10, 3° et R. 561-20-4 CMF |
L'article L. 561-10, alinéa 5, du CMF prévoit une dérogation : les mesures de vigilance complémentaires liées aux PPE peuvent ne pas être appliquées lorsque la relation d'affaires est exclusivement établie pour des produits faisant l'objet de mesures de vigilance simplifiées, à la condition qu'il n'existe aucun soupçon de BC-FT.
L'examen renforcé des opérations
L'examen renforcé, prévu à l'article L. 561-10-2 du Code monétaire et financier, constitue une obligation distincte des mesures de vigilance renforcées. Il s'applique à toute opération individuelle — qu'elle soit exécutée dans le cadre d'une relation d'affaires continue ou à titre occasionnel — dès lors qu'elle remplit au moins l'un des quatre critères définis par la loi. Il appartient au professionnel de se doter des ressources humaines, financières et technologiques nécessaires à la détection et à l'analyse de ces opérations.
Les quatre critères déclencheurs
🔵 Complexité particulière
Opérations faisant intervenir des structures opaques (trusts, cascade de personnes morales, entités implantées dans des juridictions à fiscalité privilégiée), des technologies d'anonymisation (privacy coins, mixers, protocoles de finance décentralisée), ou encore des tentatives d'entrée en relation frauduleuse impliquant des procédés sophistiqués (deep fakes). La complexité s'apprécie tant au regard du montage juridique que des vecteurs technologiques employés.
🟡 Montant inhabituellement élevé
Le caractère inhabituel du montant s'apprécie au regard de la connaissance actualisée du client (surface financière, revenus, patrimoine), de la catégorie d'opérations concernée et du segment d'activité du professionnel. Une même somme peut être qualifiée d'habituelle en gestion de fortune et d'anormale pour une clientèle grand public.
🔵 Absence de justification économique
Opérations pour lesquelles l'intérêt financier du client demeure introuvable : renonciations précoces à des contrats d'assurance-vie, rachats défavorables, transactions déconnectées de l'activité statutaire de la personne morale cliente. L'absence de rationalité économique commande une analyse approfondie des motivations du client.
🟡 Absence d'objet licite
Opérations portant sur des sommes potentiellement licites mais exécutées dans un contexte délictuel ou criminel : faux ordres de virement, abus de biens sociaux, rançongiciels, ou portant directement sur des produits ou services illicites (stupéfiants, armes, faux documents, etc.).
Conduite de l'examen renforcé
Par la vigilance du personnel (au « fil de l'eau ») ou par le dispositif automatisé (scénarios d'alertes paramétrés). Il suffit qu'une opération satisfasse à un seul des quatre critères légaux pour que l'obligation d'examen s'impose au professionnel.
Le professionnel interroge le client afin de recueillir des éléments sur la provenance et l'affectation des sommes concernées, sur la finalité de l'opération et sur l'identité de son bénéficiaire. Les pièces justificatives obtenues doivent être suffisamment probantes : un simple extrait bancaire établissant un mouvement de fonds ne suffit pas à démontrer l'origine économique sous-jacente.
L'examen doit donner lieu à une analyse motivée et consignée par écrit (art. R. 561-22 CMF), intégrant les éléments de connaissance client actualisés et, le cas échéant, les justificatifs obtenus. Le professionnel doit être en mesure de présenter cette piste d'audit aux autorités de surveillance.
Si le doute est levé : classement de l'opération. Si l'incertitude persiste malgré les diligences accomplies, elle acquiert la qualité de soupçon caractérisé, imposant la transmission d'une déclaration de soupçon à Tracfin sur le fondement de l'article L. 561-15, III, du CMF.
La Commission des sanctions a précisé la portée de cette obligation : l'examen renforcé suppose une investigation circonstanciée, appuyée sur une connaissance à jour du client et, le cas échéant, sur des pièces justificatives de l'opération examinée. Au terme de cette investigation, le professionnel doit être en mesure de conclure — soit par le classement du dossier lorsque le doute est dissipé, soit par la transmission d'un signalement à Tracfin dans le cas contraire. L'incapacité à démontrer les diligences accomplies constitue en soi un manquement sanctionnable (Déc. n° 2016-09, 30 juin 2017).
Il convient de distinguer la provenance bancaire des fonds de leur origine économique. Un relevé de compte attestant un virement entrant ne démontre pas, à lui seul, que les fonds proviennent d'une activité licite (héritage, vente immobilière, épargne). À cet égard, les documents qui se bornent à une déclaration unilatérale du client — tels que les attestations sur l'honneur ou les auto-certifications — sont dépourvus de valeur probante lorsqu'ils ne sont accompagnés d'aucun élément objectif de corroboration. Le même constat s'impose pour les attestations émanant de professionnels du chiffre ou du conseil patrimonial qui ne fourniraient aucune indication concrète quant à la source réelle des fonds.
Le refus opposé par le client de fournir des justificatifs ne conduit pas automatiquement à une déclaration de soupçon, sauf en matière de soupçon de nature fiscale (11e critère de l'art. D. 561-32-1 CMF). Le professionnel apprécie, au regard des éléments dont il dispose déjà, si le doute peut être levé malgré l'absence de justificatif supplémentaire. Le refus est en tout état de cause mentionné au dossier d'examen renforcé.
Personnes politiquement exposées et correspondance bancaire
Les personnes politiquement exposées (PPE)
Le régime juridique applicable aux PPE trouve son origine dans le droit dérivé de l'Union européenne. Les troisième (dir. 2005/60/CE) et quatrième (dir. 2015/849) directives anti-blanchiment ont successivement introduit puis étendu les exigences de surveillance renforcée à l'égard de ces personnes. Initialement cantonnées aux seules PPE étrangères, ces obligations couvrent désormais également les PPE nationales — c'est-à-dire les personnes exerçant des fonctions politiques, juridictionnelles ou administratives de premier plan sur le territoire français.
Personne qui exerce — ou a cessé d'exercer depuis moins d'un an — des fonctions politiques, juridictionnelles ou administratives de premier plan, telles que définies à l'article 2, §34 et suivants, du règlement (UE) 2024/1624 et à l'article R. 561-18 du CMF. Sont également visés les membres de la famille de la PPE (ascendants, conjoint, enfants, conjoints des enfants) ainsi que les personnes étroitement associées.
Le règlement (UE) 2024/1624 apporte des extensions notables au périmètre des PPE. Il y inclut désormais les chefs des exécutifs des collectivités locales d'au moins 50 000 habitants, les dirigeants d'entreprises publiques locales à partir de 8 millions d'euros de chiffre d'affaires, ainsi que les frères et sœurs des chefs d'État, de gouvernement et des ministres. En outre, les mesures spécifiques aux PPE s'appliquent dorénavant à toutes les transactions au profit d'une PPE — et non plus aux seules relations d'affaires continues.
- Confier la décision d'entrée en relation (ou de maintien) à un membre de l'organe exécutif ou à son délégué
- Mener des investigations sur la provenance du patrimoine et des capitaux engagés dans les opérations en cause
- Renforcer les mesures de surveillance de la cohérence des opérations avec la connaissance actualisée du client
- Pour les entreprises d'assurance : informer l'organe exécutif avant tout versement de prestation ou cession de contrat lorsque le bénéficiaire est une PPE
La correspondance bancaire transfrontalière
Le mécanisme de la correspondance bancaire transfrontalière repose sur une architecture tripartite : un établissement correspondant (A) met à disposition d'un établissement client (B) des services bancaires — gestion de trésorerie, transferts internationaux, compensation, opérations de change — permettant à ce dernier de servir sa propre clientèle (C). Cette configuration crée un décalage structurel en matière de LCB-FT : l'établissement correspondant réalise des opérations au bénéfice indirect de tiers qu'il ne connaît pas et avec lesquels il ne dispose d'aucun lien contractuel direct.
🔵 Ce que doit faire l'établissement correspondant
- S'enquérir de la qualité et de l'efficacité du dispositif anti-blanchiment déployé par l'établissement client (B)
- Évaluer la qualité et l'adéquation de ce dispositif
- En cas de détection d'anomalie, demander des informations sur le client final (C)
🟡 Ce qui n'est pas requis
- Exercer une vigilance continue sur les clients (C) de l'établissement client (B)
- Demander systématiquement des informations sur les clients finaux
- La gestion des risques BC-FT liés aux clients finaux repose essentiellement sur le dispositif de l'établissement client
Droit national : Art. L. 561-10-3 et R. 561-21 à R. 561-24 CMF — mesures spécifiques de surveillance pour les services de correspondance bancaire fournis à un organisme établi hors de l'EEE.
Droit européen : Art. 2, §22 et art. 36 du règlement (UE) 2024/1624 — définition de la relation de correspondant et mesures de vigilance renforcées spécifiques.
Dispositif de détection et d'analyse des anomalies
L'article L. 561-32 du Code monétaire et financier impose aux organismes financiers de se doter d'un dispositif de gestion des risques permettant la détection et l'analyse des opérations atypiques en matière de BC-FT. Ce dispositif, dont les modalités sont précisées par l'arrêté du 6 janvier 2021, repose sur l'articulation de deux composantes complémentaires : la vigilance humaine exercée par le personnel et un éventuel système automatisé de détection.
La vigilance humaine : le premier rempart
La détection des opérations atypiques relève, au premier chef, de l'ensemble du personnel en contact avec la clientèle. Cette responsabilité s'étend également aux personnes auxquelles le professionnel a recours pour la distribution de ses produits — agents de prestataires de services de paiement, distributeurs de monnaie électronique, agents généraux d'assurance —, sous son entière responsabilité. À cet effet, l'organisme financier est tenu d'assurer la sensibilisation et la montée en compétences continues de chaque collaborateur ou prestataire intervenant dans la chaîne opérationnelle, afin qu'il soit en mesure de repérer les signaux d'alerte en matière de BC-FT (art. L. 561-34 CMF).
Le dispositif automatisé de détection
Si les textes n'imposent pas formellement le recours à des outils informatiques, la réalité opérationnelle — volume des opérations, taille de l'organisation, diversité des activités — rend en pratique indispensable la mise en place de dispositifs automatisés. La Commission des sanctions de l'ACPR a d'ailleurs estimé qu'un établissement traitant un nombre significatif d'opérations ne saurait prétendre pouvoir se dispenser d'un tel système.
| Exigence | Contenu |
|---|---|
| Couverture | L'intégralité de la clientèle et des opérations, y compris occasionnelles. Il est interdit d'écarter de manière systématique une catégorie entière de clients ou une famille d'opérations du périmètre de surveillance. |
| Paramétrage | Fondé sur la connaissance client et la classification des risques. Seuils et périodes calibrés pour détecter les incohérences par rapport au profil ou aux groupes de pairs. |
| Tests | Validation par des tests de pertinence et de volumétrie avant mise en production, puis suivi continu par des indicateurs de performance. |
| Interopérabilité | En cas de recours à plusieurs outils, l'organisme doit disposer d'une vision d'ensemble de la relation d'affaires, tant au niveau de l'entité que du groupe. |
| Contrôle interne | Le dispositif automatisé doit être intégré au dispositif de contrôle interne. Tout dysfonctionnement commande la mise en œuvre de mesures correctrices dans les meilleurs délais. |
Les techniques avancées de traitement des données — machine learning, intelligence artificielle générative — ouvrent de nouvelles perspectives pour la détection des opérations atypiques. Ces outils permettent notamment un découpage plus granulaire des portefeuilles clients, un affinage des scénarios d'alerte, la mise au jour de circuits organisés de recyclage de fonds illicites difficilement repérables par les méthodes classiques, ou encore l'attribution de scores d'anomalie facilitant la priorisation du traitement des alertes. Toutefois, leur déploiement exige un pilotage rigoureux — fiabilisation des données, évaluation de la conformité, explicabilité des algorithmes — et ne dispense en aucun cas du contrôle humain approprié, en particulier pour les examens renforcés et la rédaction des déclarations de soupçon.
Appels à vigilance de Tracfin
En application de l'article L. 561-26 du CMF, Tracfin peut, via la plateforme ERMES, émettre un appel à vigilance auprès d'un ou plusieurs organismes financiers pour signaler un risque important de BC-FT. L'AAV — d'une durée maximale de six mois, renouvelable — peut cibler des personnes (physiques ou morales), un type d'opérations ou des zones géographiques particulières. La réception d'un AAV impose au professionnel d'adapter son dispositif de gestion des risques en conséquence : ajustement des critères de détection, révision des profils de risque concernés, redéfinition des éléments de connaissance client à recueillir. Le contenu nominatif d'un AAV revêt un caractère secret absolu : toute divulgation — que ce soit au client visé, à un tiers ou à toute personne non habilitée — est formellement prohibée, sous peine de sanctions pénales (art. L. 574-1 CMF).
Le système de vigilance pendant la relation d'affaires forme un continuum adaptatif. En s'appuyant sur la cartographie des risques propre à l'entité et sur l'évaluation individualisée de chaque relation, le professionnel module l'intensité de sa surveillance — de la vigilance simplifiée pour les risques faibles à l'examen renforcé pour les opérations suspectes —, tout en maintenant une capacité permanente de détection des anomalies. Cette modulation, guidée par l'approche par les risques, trouve son aboutissement naturel dans la déclaration de soupçon à Tracfin lorsque le doute ne peut être levé.