KYC / AML pour les startups crypto

Pourquoi le KYC / AML est non négociable

De toutes les obligations qui pèsent sur une startup crypto régulée, le KYC/AML est la plus appliquée au monde. Les retraits de licence, les renvois au pénal et les plus grosses amendes de l'histoire crypto (Binance 4,3 Md$, BitMEX 100 M$) ont été déclenchés par des défaillances AML — pas par des erreurs de classification de jetons, pas par des trous de custody. En général, le régulateur ne s'intéresse pas à savoir si votre jeton est parfaitement classifié ; il regarde si votre stack AML attrape les mauvais acteurs.

La bonne nouvelle pour les fondateurs : contrairement aux zones grises de classification de jetons, le KYC/AML est un problème résolu. Le playbook de conformité est mature, les vendors sont éprouvés, et les attentes réglementaires sont documentées. Ce que les startups sous-estiment, c'est le coût opérationnel — faire tourner un programme AML ressemble davantage à gérer une équipe d'ingénierie qu'à un processus juridique.

Les 5 composants d'une stack AML

Un programme AML conforme comporte 5 couches opérationnelles. Chacune correspond à une attente du régulateur, et chacune se traduit généralement par une relation vendor.

1. Customer Identification Programme (CIP)

Aussi appelé KYC. À l'onboarding, vous identifiez qui est le client. Pour les personnes physiques : nom légal complet, date de naissance, adresse de résidence, pièce d'identité nationale, selfie / liveness check. Pour les personnes morales (KYB) : entité légale, adresse du siège, bénéficiaires effectifs ultimes, documents d'incorporation.

2. Customer Due Diligence (CDD) + Enhanced Due Diligence (EDD)

Après l'identification, vous évaluez le risque. Due diligence standard : listes de sanctions + listes PEP + adverse media. Enhanced due diligence pour les cas à haut risque (PEP, montant élevé, origine dans une juridiction à haut risque) : preuve de l'origine des fonds approfondie, traçage des bénéficiaires effectifs.

3. Monitoring des transactions

Chaque transaction est analysée pour détecter des schémas : structuring (multiples petites transactions sous les seuils de déclaration), layering (transferts rapides entre wallets/chaînes), vélocité inhabituelle, exposition à des mixers/tumblers, sanctions sur la contrepartie. Des systèmes basés sur du machine learning signalent l'activité suspecte en temps réel.

4. Screening des sanctions

À l'onboarding ET à chaque transaction, les clients et contreparties sont filtrés contre la liste OFAC SDN (US), la EU Consolidated List, la UK OFSI, les sanctions ONU. Spécificité crypto : screening des adresses de wallet contre les adresses liées à la liste SDN de l'OFAC. Les faux positifs (similarités de noms) sont la principale douleur opérationnelle.

5. Suspicious Activity Reporting (SAR)

Quand quelque chose est signalé, un SAR / STR (Déclaration de Soupçon) doit être déposé auprès de la cellule de renseignement financier (FinCEN aux US, Tracfin en France, NCA au UK, MAS STRO à Singapour). Les délais sont stricts (typiquement dans les 30 jours suivant la détection). Les SAR manqués ou erronés sont critiques en audit.

KYC par paliers — le pattern pragmatique

Un KYC complet sur chaque utilisateur est coûteux (temps, drop-off, coût vendor). Le KYC par paliers applique une vérification minimale à l'inscription et se durcit à mesure que l'utilisateur transacte davantage. C'est la norme dans l'onboarding crypto régulé.

Les seuils ci-dessus s'alignent grossièrement sur l'art. 73 de MiCA + les orientations d'AMLD6. Les seuils MSB / BitLicense américains sont plus stricts — beaucoup de plateformes US exigent un KYC complet dès le premier dollar. Le seuil FATF Travel Rule (€1K en UE, $3K aux US) sert généralement de déclencheur d'« escalade de palier ».

Le paysage des vendors — qui fait quoi

Personne ne construit une stack KYC/AML moderne à partir de zéro. L'écosystème est spécialisé et les vendors sont matures.

KYC / identité (onboarding)

• Sumsub — tout-en-un (ID, liveness, sanctions, Travel Rule). Dominant dans la crypto en UE. ~€1-2 par KYC complet.
• Onfido — fondé au UK, forte couverture documentaire (>1 200 types d'ID). Utilisé par Revolut, Coinbase UK.
• Veriff — estonien, fort dans les pays baltes / EE / UE. Bon pricing pour les startups early-stage.
• Persona — basé aux US, API developer-friendly, flows flexibles. Populaire chez les startups Web3.

Sanctions + PEP + adverse media

• Refinitiv World-Check — le gold standard, utilisé par les banques. Coûteux (50-200 K$/an minimum).
• Dow Jones Risk & Compliance — concurrent de Refinitiv.
• ComplyAdvantage — alternative moderne API-first, plus abordable, fort en adverse media. Populaire chez les fintechs.
• Sumsub sanctions — intégré dans leur stack KYC.

Analytics on-chain (monitoring des transactions + screening de wallets)

• Chainalysis KYT + Reactor — la plateforme dominante d'analytics on-chain + investigations. Utilisée par les exchanges, FinCEN, Europol.
• Elliptic Navigator + Lens — solide concurrent, surtout en UE.
• TRM Labs — en forte croissance, meilleure couverture des chaînes récentes. Supporte XRPL.
• Merkle Science — focalisé APAC, bon pour les exchanges asiatiques.

Logiciels de dépôt SAR / STR

• La plupart des régulateurs offrent un portail de dépôt direct (FinCEN E-File, Tracfin ERMES, UK NCA SAR Online).
• Les OS de conformité (Sumsub, Unit21, Hawk:AI) agrègent la génération + le dépôt SAR dans un workflow unique.

Le rôle du Chief Compliance Officer (CCO)

Dans toute juridiction sous licence, vous devez nommer un individu sénior responsable du programme AML. Les régulateurs utilisent des titres différents (MLRO au UK, Compliance Officer + MLRO en UE, BSA Officer + CCO aux US), mais le rôle est le même : il/elle valide les politiques, revoit les SAR, dialogue avec les régulateurs, et porte une responsabilité personnelle si les choses dérapent.

Exigences

• Test fit-and-proper du régulateur (casier judiciaire vierge, expérience pertinente, généralement une certification AML comme CAMS ou ICA).
• Résidence locale dans la juridiction de la licence (strict chez VARA aux EAU, MAS à Singapour, FINMA en Suisse).
• Séniorité suffisante — ne peut pas être junior ni délégué. Report direct au conseil en général.
• Responsabilité personnelle — dans certaines juridictions (FCA au UK, VARA aux EAU), le CCO peut être personnellement sanctionné financièrement ou interdit d'exercer si le programme AML échoue.

Considérations spécifiques à XRPL

Si votre startup utilise XRPL, la stack AML centrale est la même mais plusieurs angles XRPL méritent attention :

Résolution du Destination Tag

Les wallets XRPL centralisés regroupent de multiples utilisateurs sous une même adresse avec des Destination Tags distincts. Votre monitoring des transactions doit résoudre adresse + tag en identité client — ce n'est pas quelque chose que Chainalysis / TRM font automatiquement pour votre pool. Logique custom requise.

Screening de contrepartie IOU / Trust Line

Quand un utilisateur ouvre une Trust Line vers une gateway (issuer), c'est une relation de contrepartie. Vous devriez screener la gateway contre les sanctions avant d'autoriser la trust line. La plupart des vendors d'analytics on-chain ne couvrent pas cette primitive XRPL — vous devrez probablement ajouter du code custom par-dessus rippled.

freeze / globalFreeze pour les gels AML

Le protocole XRPL supporte le gel des trust lines individuelles (flag freeze) ou de toutes (globalFreeze). Utilisez-le pour les gels OFAC sans déplacer les fonds. Les régulateurs acceptent généralement ceci comme primitive de conformité valide — c'est supérieur à l'approche admin-function des ERC-20.

Comportement de rippling

Quand le rippling est activé sur les trust lines d'un compte, les paiements peuvent router à travers sans consentement explicite — ce qui peut obscurcir le monitoring des transactions. La plupart des gateways conformes désactivent le rippling (flag NoRipple) sur les comptes issuer.