KYC et lutte anti-blanchiment : ce qu'une fintech africaine doit déployer en 2026

Pourquoi la conformité KYC/AML décide de la survie d'une fintech

Une fintech qui démarre avec un dispositif KYC bâclé prend deux risques majeurs. Le premier est réglementaire : la BCEAO peut suspendre l'agrément, la CENTIF peut transmettre un dossier au parquet, et les amendes encourues vont jusqu'à 100 millions FCFA par manquement grave. Le second est business : sans dispositif crédible, aucun partenaire bancaire ne signera, et sans banque de règlement, on n'opère pas.

Le cadre sénégalais repose sur la loi n°2018-03 relative à la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB/FT), elle-même transposition des directives UEMOA et des standards GAFI. Les obligations s'appliquent à toutes les entités financières — banques, EME, EP, microfinance, change manuel — dès le premier client.

Les trois piliers du dispositif

Un dispositif KYC/AML crédible repose sur trois piliers que la BCEAO et la CENTIF vérifient systématiquement.

D'abord l'identification du client (KYC stricto sensu). Il faut collecter et vérifier au minimum : pièce d'identité officielle, justificatif de domicile de moins de 3 mois, photo selfie avec liveness detection, et pour les personnes morales le KBIS, les statuts, et l'identification des bénéficiaires effectifs (toute personne physique détenant plus de 25%).

Ensuite la surveillance des transactions (AML stricto sensu). Chaque opération doit être scorée en temps réel selon des règles : montant, fréquence, géographie, type de contrepartie, comportement habituel du client. Les transactions atypiques génèrent une alerte qui doit être traitée par un analyste conformité dans les 48 à 72 heures.

Enfin la déclaration de soupçon à la CENTIF. Toute opération qui éveille un doute raisonnable doit faire l'objet d'une déclaration formelle, dans un délai de 48 heures, via le portail CENTIF. C'est non négociable, et c'est tracé.

La stack technique recommandée pour un démarrage

Sur les fintechs sénégalaises et ivoiriennes que nous accompagnons, une combinaison s'est imposée comme rapport qualité/coût/délai optimal en 2026.

Smile Identity pour la vérification d'identité — leur SDK couvre 50+ pays africains, gère la lecture OCR de pièces variées (CNI, passeport, permis), le liveness selfie, et le matching avec bases nationales quand elles sont disponibles. Tarif : autour de 200 à 400 FCFA par vérification, dégressif au volume.

Onfido en complément ou alternative quand on a une clientèle internationale forte — plus cher mais meilleure couverture hors Afrique.

ComplyAdvantage pour le screening sanctions, PEP (personnes politiquement exposées) et le monitoring transactions. Plateforme SaaS, intégration API en 2-4 semaines, données mises à jour quotidiennement.

Pour le case management, soit on construit en interne sur Notion/Airtable au démarrage (acceptable jusqu'à ~20k clients), soit on prend un outil dédié dès le départ. Au-delà de 50k clients actifs, l'outil dédié devient indispensable.

Les pièges les plus fréquents

Trois erreurs reviennent dans les audits que nous menons.

Premièrement, sous-dimensionner l'équipe conformité. Un compliance officer ne suffit pas au-delà de 30-50k clients actifs. Il faut au moins deux ETP, et idéalement séparer KYC (onboarding) et AML (transactions).

Deuxièmement, négliger la formation des équipes opérationnelles. Le service client traite les premiers signaux faibles : si l'agent qui parle au client ne sait pas reconnaître une demande suspecte, l'alerte ne remonte jamais.

Troisièmement, ne pas archiver les preuves. La BCEAO et la CENTIF peuvent demander à reconstituer un dossier client jusqu'à 10 ans après. Sans archivage rigoureux des pièces, des scores KYC initiaux, et des décisions prises, on ne peut pas justifier — et c'est sanctionné.

FAQ

À partir de quel volume faut-il un outil de monitoring dédié ?

En pratique, dès 5 000 transactions par jour, le monitoring manuel devient impossible. À ce stade, un TMS (Transaction Monitoring System) comme ComplyAdvantage ou Hawk:AI devient obligatoire pour tenir les délais d'investigation.

Une vérification KYC simplifiée est-elle possible pour les petits montants ?

Oui, le cadre UEMOA prévoit le "KYC allégé" pour les wallets plafonnés à 200 000 FCFA cumulés mois. Pièce d'identité + selfie suffisent, sans justificatif de domicile. Au-delà du plafond, le KYC complet est obligatoire avant toute opération supplémentaire.

Combien de temps pour mettre en place un dispositif KYC/AML complet ?

Sur les projets que nous avons menés : 8 à 12 semaines pour atteindre un niveau auditable par la BCEAO, en intégrant Smile Identity + ComplyAdvantage et en rédigeant les procédures. Plus court si on accepte un dispositif minimaliste validé pour démarrer, à renforcer au fil du temps.

Qui peut être nommé compliance officer ?

La BCEAO demande un profil expérimenté (5+ ans en conformité bancaire ou fintech), résident dans le pays d'agrément, rattaché directement à la direction générale (pas au product ou à la tech). C'est un poste senior, rare sur le marché — anticiper le recrutement 4 à 6 mois avant la demande d'agrément.

---

Vous montez un dispositif KYC/AML ou voulez auditer l'existant ? WhatsApp +221 77 596 93 33 ou devis gratuit — nous cartographions vos risques, sélectionnons les outils et rédigeons les procédures BCEAO-ready.