LBA en fiduciaire : obligations 2026, KYC, PEP, MROS et conformité dossier

Panorama 2026 des nouvelles obligations LBA/AML pour les fiduciaires en Suisse : périmètre accru, procédures KYC, contrôles PEP/sanctions, signalements MROS et points clés pour constituer un dossier de conformité robuste. Focus sur les bonnes pratiques et risques de non-conformité pour cabinets fiduciaires, dirigeants et responsables conformité.

Par Ark Fiduciaire

Publié le 01/07/2026

Temps de lecture: 16min (3227 words)

conformiteoarlbaamlfinmapme

Vous tenez une fiduciaire à Genève, ou vous gérez la conformité dans un cabinet. Et vous sentez venir 2026 comme un « petit » durcissement LBA ? Mauvaise lecture. Le périmètre s’élargit, les attentes montent, et les dossiers “à moitié faits” vont coûter cher.

Je vais être direct : la LBA ne se gère pas avec un classeur poussiéreux et un formulaire KYC signé une fois. Ça se gère comme un système. Avec des preuves. Et des réflexes.

Sources utiles pour cadrer le sujet : (source: Révision LBA/LTPM 2026 (Secrétariat d'État aux questions financières internationales SFI)), (source: Bases légales LBA et OBA (textes officiels, fedlex)), (source: Bases légales de la FINMA (LBA, OBA, OBA-FINMA)), (source: FAQ LBA (ch.ch, portail Etat suisse)), (source: Guide anti-blanchiment et registre ayants droit économiques (admin.ch)), (source: Prises de position 2026 (news EXPERTsuisse)).

Périmètre 2026 : qui est soumis à la LBA et quelles activités ?

La question n’est pas « suis-je une fiduciaire ? ». La vraie question : « est-ce que je fais une activité qui me met dans le champ LBA ? »

En pratique, à Genève, beaucoup de cabinets découvrent qu’ils sont “assujettis” au moment où un client demande un montage un peu exotique, ou quand la banque pose des questions que personne n’avait anticipées.

Les activités fiduciaires qui déclenchent la LBA

Sans jouer au juriste, retenez une logique simple : dès que vous intervenez dans des flux, des structures, ou des opérations qui peuvent servir à dissimuler l’origine des fonds, vous êtes dans la zone LBA.

Typiquement, on voit :

  • constitution, administration, gestion de sociétés (surtout quand il y a des actionnaires non résidents)
  • mise à disposition d’administrateurs, de gérants, de domiciliation (selon le rôle réel)
  • assistance à l’ouverture de comptes, organisation de paiements, gestion de trésorerie
  • opérations sur actifs (y compris quand “ce n’est pas vous qui touchez l’argent”, mais vous orchestrez)

Le piège classique : « On fait juste la compta ». Oui… sauf que vous préparez des paiements, vous donnez des instructions, vous gérez des procurations, vous êtes l’intermédiaire qui rend l’opération possible. Résultat ? On vous attend au tournant.

2026 : ce qui change dans l’esprit (et dans la pratique)

Même quand le texte ne “révolutionne” pas tout, l’exécution change :

  • plus de traçabilité attendue sur l’ayant droit économique (ADE)
  • plus d’exigences sur la justification économique des opérations
  • plus de cohérence entre le profil client et les flux observés

À notre avis, le vrai changement 2026, c’est la tolérance zéro sur les dossiers incomplets. Avant, certains passaient entre les gouttes. Demain, ça devient un risque de cabinet.

Tableau — cartographie rapide des situations (vue terrain)

Situation rencontrée en fiduciaireRisque LBA typiqueRéflexe concret
Client étranger veut une Sàrl à Genève “pour facturer”Société écran / justification économique faibleExiger business model, contrats, clients, pays d’activité, ADE documenté
Domiciliation + admin “de complaisance”Contrôle effectif opaqueRefuser si vous ne comprenez pas qui décide et pourquoi
Mandat comptable + vous préparez les paiementsVous devenez un maillon des fluxProcédure d’approbation, pièces justificatives, monitoring
Groupe avec holdings et prêts intragroupeCirculation de fonds difficile à lireContrats de prêt, taux, échéanciers, logique fiscale/éco
Client crypto “convertit” et veut payer des fournisseursOrigine des fonds / traçabilitéPreuves d’origine, plateformes, historiques, cohérence

Obligations de diligence et documentation (OAR, contrôles internes, registres)

La LBA, ce n’est pas “faire signer un papier”. C’est prouver que vous avez fait votre boulot, et que vous pouvez le démontrer 18 mois plus tard, quand tout le monde a oublié.

OAR : affiliation, règles internes, et ce qu’on vous demandera vraiment

Si vous êtes assujetti, vous devez être affilié à un organisme d’autorégulation (OAR) ou être sous une surveillance équivalente selon votre statut. Dans les contrôles, on ne vous demande pas votre opinion. On vous demande :

  • votre règlement interne LBA (à jour)
  • vos processus (qui fait quoi, quand, comment)
  • vos preuves d’exécution (dossiers, logs, validations)

Observation terrain : beaucoup de cabinets ont un règlement interne “copié-collé” qui ne correspond pas à la réalité. C’est pire que rien. Parce que vous prouvez vous-même que vous ne suivez pas vos propres règles.

Contrôles internes : la séparation des rôles, même en petite équipe

Vous êtes 3 dans le cabinet ? Très bien. On peut quand même séparer :

  • la personne qui collecte les pièces
  • la personne qui valide le risque et l’entrée en relation
  • la personne qui fait le suivi périodique

Quand ce n’est pas possible, on documente la compensation : double validation ponctuelle, revue trimestrielle par un associé, checklists signées.

Registres : ce que vous devez pouvoir sortir en 10 minutes

Le jour où l’OAR ou un auditeur demande, vous devez produire vite :

  • liste des relations d’affaires (clients actifs)
  • classification de risque (faible / standard / élevé) + date de revue
  • registre PEP (ou au minimum preuve de screening et résultats)
  • registre des alertes / incidents / décisions (y compris “fausse alerte”)

Procédures KYC : identification client, ayants droit, pièces justificatives et obligations renforcées

Le KYC, c’est votre assurance. Sauf que beaucoup le traitent comme une formalité. Et après, quand un flux bizarre arrive, on n’a plus rien pour expliquer.

Identification du client : personne physique vs personne morale

Pour une personne physique :

  • pièce d’identité valable (copie lisible)
  • adresse et preuve (selon votre politique)
  • activité professionnelle, employeur, pays d’imposition (quand pertinent)

Pour une société :

  • extrait registre du commerce (ou équivalent)
  • statuts / documents constitutifs
  • organes, pouvoirs de signature
  • description d’activité réelle (pas “consulting” en une ligne)

Question simple à poser : « Qui signe, qui décide, qui profite ? » Si vous n’avez pas la réponse, vous n’avez pas de KYC.

Ayant droit économique (ADE) : le point qui casse les dossiers

L’ADE, c’est la personne physique qui contrôle ou bénéficie réellement. Et non, “c’est un trust” n’est pas une réponse.

Ce qu’on attend d’un dossier propre :

  • déclaration ADE signée
  • organigramme clair (même fait sur une page)
  • pièces qui corroborent (registre, pacte d’actionnaires si nécessaire, documents de fondation)

Piège classique : on prend la déclaration ADE, on la classe, et on ne vérifie jamais si ça colle avec la réalité (pays, activité, flux). Le jour où ça explose, la déclaration ne vous sauve pas.

Pièces justificatives : ce qui fait la différence en audit

Un bon dossier KYC contient des preuves “utilisables” :

  • contrats (clients/fournisseurs) quand l’activité est nouvelle ou atypique
  • factures types, site web, pitch deck (oui, même ça)
  • justificatifs d’origine des fonds quand il y a apport, prêt, ou injection de cash

Obligations renforcées : quand vous devez passer en mode “risque élevé”

Vous basculez en renforcé quand :

  • PEP (ou proche/associé) identifié
  • pays à risque / sanctions / corruption élevée
  • structure complexe sans raison économique claire
  • activité cash-intensive ou flux incohérents

Renforcé, ça veut dire :

  • plus de documents
  • validation par un niveau senior
  • fréquence de revue plus courte
  • justification écrite de la décision d’accepter

Checklist KYC (entrée en relation) — version cabinet

  • Mandat signé + périmètre clair (ce que vous faites / ne faites pas)
  • Identification client (ID / RC / statuts)
  • ADE identifié + déclaration signée + organigramme
  • But et nature de la relation (2–5 phrases, pas une formule)
  • Profil attendu des flux (montants, pays, fréquence, contreparties)
  • Screening PEP/sanctions documenté
  • Classification de risque + date de prochaine revue
  • Validation interne (qui a accepté, quand)

Surveillance continue : PEP, listes de sanctions, monitoring automatisé

Le contrôle à l’entrée, c’est bien. Mais le blanchiment, lui, se fait souvent après. Quand la relation est installée et que tout le monde baisse la garde.

PEP : ce que les cabinets sous-estiment

PEP ne veut pas dire “interdit”. Ça veut dire “vous devez être capable d’expliquer pourquoi vous acceptez, et comment vous surveillez”.

En pratique, ce qui coince :

  • PEP indirect (proche, conjoint, associé)
  • PEP “local” (fonction publique, entreprises publiques)
  • changement de statut (un client devient PEP après l’entrée)

Sanctions : le risque bête et méchant

Les sanctions, c’est binaire : si vous passez à côté, vous êtes en difficulté. Et ce n’est pas rare : homonymes, translittérations, sociétés écrans.

Réflexe : garder une preuve datée du screening, et une procédure “que fait-on si match ?”.

Monitoring : manuel, semi-automatisé, automatisé… mais prouvable

On peut faire simple, même sans outil coûteux, tant que c’est cohérent :

  • revue périodique des clients à risque élevé (ex. trimestrielle)
  • revue semestrielle des clients standard
  • revue annuelle des clients faibles

Et surtout : un registre des alertes. Une alerte traitée sans trace, c’est comme si elle n’avait jamais été traitée.

Tableau — exemple de plan de monitoring réaliste

Niveau de risqueDéclencheurs typiquesFréquence de revuePreuves à conserver
Faibleactivité locale simple, flux cohérents1x/annote de revue + screening
StandardPME avec flux internationaux modérés2x/ancheck flux + justificatifs ponctuels
ÉlevéPEP, pays à risque, structure complexe4x/anrevue détaillée + validation senior + décisions

Signalement MROS : seuils de déclaration, procédure et protection juridique

Le MROS fait peur. Souvent parce que les gens confondent “soupçon” et “preuve”. Vous n’êtes pas procureur. Vous êtes un professionnel soumis à une obligation de communiquer dans certaines situations.

Pour le cadre légal et les explications officielles : (source: FAQ LBA (ch.ch, portail Etat suisse)), (source: Bases légales LBA et OBA (textes officiels, fedlex)).

Quand on doit communiquer : le vrai déclencheur

Le déclencheur, c’est le soupçon fondé. Pas le “je n’aime pas sa tête”, pas le “c’est un client compliqué”. Un soupçon fondé, c’est quand les éléments disponibles rendent plausible un lien avec une infraction préalable, une organisation criminelle, ou des fonds illicites, et que vous ne pouvez pas lever le doute avec des clarifications raisonnables.

Exemples concrets qui reviennent :

  • apports “prêts” sans contrat, sans échéancier, sans logique
  • factures circulaires entre sociétés liées, sans substance
  • flux vers des juridictions sensibles sans raison commerciale
  • refus de fournir des pièces simples (ADE, contrats, origine des fonds)

Ark Fiduciaire

Besoin d'aide sur ce sujet ?

Nos experts sont à votre disposition pour un accompagnement personnalisé. Premier échange gratuit et sans engagement.

Procédure interne : qui décide, et comment on documente

Dans un cabinet, il faut une procédure écrite :

  1. qui reçoit l’alerte (collaborateur, comptable, admin)
  2. qui analyse (responsable conformité / associé)
  3. quelles clarifications on tente (et lesquelles on ne tente pas)
  4. qui décide de communiquer
  5. comment on archive le dossier MROS

Protection juridique et confidentialité : attention au “tipping-off”

Vous ne pouvez pas avertir le client que vous communiquez (tipping-off). Et vous devez protéger vos collaborateurs : une décision MROS doit être portée par le cabinet, pas par “Paul, junior, qui a vu un truc”.

Observation terrain : certains cabinets écrivent des e-mails internes trop bavards (“c’est du blanchiment”). Mauvaise idée. Restez factuels : faits, dates, montants, incohérences, pièces manquantes.

Constitution et contrôle du dossier conformité : organisation, stockage, audits internes

Un dossier conformité robuste, c’est un dossier qui raconte une histoire cohérente : qui est le client, pourquoi on l’a accepté, comment il fonctionne, et comment on surveille.

Organisation : un dossier unique, pas 12 endroits

Si vos pièces sont dans :

  • un e-mail
  • un drive
  • un ERP
  • un classeur papier

… vous allez perdre du temps et rater des éléments. La bonne pratique : un dossier central (physique ou digital), avec une arborescence standard.

Stockage : intégrité, accès, et preuve de date

On vous demandera : “qui a eu accès ? quand la pièce a été ajoutée ? est-ce la version finale ?”.

Même sans outil sophistiqué, vous pouvez :

  • nommer les fichiers avec date (YYYY-MM-DD)
  • verrouiller les dossiers clients (droits d’accès)
  • garder une piste de validation (PDF signé, note interne)

Audits internes : le contrôle qui évite la catastrophe

À notre avis, un cabinet qui attend l’audit OAR pour découvrir ses trous se met en danger.

Rythme réaliste :

  • mini-audit trimestriel sur 5 dossiers (dont 2 à risque élevé)
  • audit annuel complet sur un échantillon plus large

Ce qu’on vérifie : cohérence ADE, screening, profil de flux, revues périodiques, décisions documentées.

Checklist “dossier conformité prêt pour audit”

  • KYC complet + ADE + organigramme
  • Profil de risque motivé (pas juste une case)
  • Screening PEP/sanctions avec preuve datée
  • Notes de revues périodiques (dates, constats, actions)
  • Justificatifs des opérations atypiques (contrats, factures, explications)
  • Registre des alertes et décisions (y compris clôture)
  • Traçabilité des validations internes

Étape par étape : mettre votre cabinet “propre” avant 2026

On passe au concret. Voilà une séquence qui marche en cabinet, sans immobiliser tout le monde pendant 3 mois.

Étape 1 — Cartographier vos services et vos risques réels (1 semaine)

  • listez vos prestations (compta, salaires, domiciliation, admin, ouverture de compte, etc.)
  • pour chaque prestation, notez : “est-ce que je touche aux flux ? est-ce que je crée/contrôle une structure ?”
  • classez les mandats existants : faible / standard / élevé

Étape 2 — Standardiser vos dossiers (2 semaines)

  • créez une arborescence unique
  • imposez une checklist KYC d’entrée
  • imposez une checklist de revue périodique

Étape 3 — Mettre un registre des décisions (immédiat)

Un simple tableau interne suffit au départ :

  • date
  • client
  • alerte / événement
  • décision
  • qui valide
  • pièces

Étape 4 — Reprendre les dossiers “anciens” (4 à 8 semaines)

Commencez par :

  • PEP potentiels
  • structures complexes
  • clients non résidents

Et vous faites une chose : combler les trous. Pas réécrire l’histoire.

Étape 5 — Tester votre système (audit interne)

Prenez 10 dossiers au hasard. Posez-vous la question : “si l’OAR arrive demain, est-ce qu’on peut défendre chaque dossier sans transpirer ?”

Cas pratique chiffré (Genève) : une Sàrl de conseil qui vire vers l’étranger

Situation réelle (typique) :

  • Client : Sàrl à Genève, conseil IT
  • Chiffre d’affaires annuel : CHF 1’200’000
  • Marge brute : CHF 720’000
  • Dirigeant : résident suisse
  • Actionnaire : holding à Chypre
  • ADE déclaré : une personne physique résidente aux Émirats

Sur 3 mois, la société :

  • encaisse CHF 310’000 de 4 clients suisses
  • verse CHF 185’000 à “sous-traitants” au Portugal et à Dubaï
  • verse CHF 90’000 en “management fees” à la holding

Problème : aucune pièce solide. Juste des factures PDF génériques.

Concrètement, un dossier conformité défendable exige :

  1. ADE : organigramme + preuve de contrôle (documents de la holding, registre, déclaration)
  2. But économique : pourquoi une holding à Chypre ? pourquoi des management fees ?
  3. Sous-traitance : contrats, livrables, preuves de prestation (tickets, rapports, accès, e-mails projet)
  4. Profil de flux : justification écrite que des paiements internationaux sont attendus, avec pays et montants

Décision de cabinet (exemple) :

  • on demande sous 10 jours : contrats + livrables + explication des management fees + base de calcul
  • si refus ou incohérences persistantes : escalade interne, risque élevé, revue renforcée
  • si soupçon fondé non levé : analyse MROS selon procédure

Ce cas, on le voit souvent au bouclement. Le comptable tombe sur des charges “consulting” énormes, sans substance. Et tout le monde panique. Si le KYC et le monitoring sont faits dès le départ, vous gagnez un temps fou.

3 erreurs qui coûtent cher aux fiduciaires genevoises (et comment les corriger)

Erreur 1 — “On a la copie du passeport, donc c’est bon”

Non. Vous avez une identité, pas une compréhension.

Correction : ajoutez une note “but et nature” + profil de flux + ADE corroboré.

Erreur 2 — Dossier PEP traité comme un dossier standard

Le PEP n’est pas un tampon. C’est un niveau de surveillance.

Correction : validation senior + revue plus fréquente + justification écrite de l’acceptation.

Erreur 3 — Alerte traitée à l’oral, sans trace

C’est le classique : “on en a parlé, c’était rien”. Sauf qu’en audit, “on en a parlé” n’existe pas.

Correction : registre des alertes, même minimaliste. Une ligne, une décision, une pièce.

Risques de non-conformité et sanctions 2026

On ne parle pas seulement d’une remontrance. Le risque est multiple :

  • mesures de l’OAR (exigences correctives, audits renforcés)
  • atteinte à la réputation (à Genève, ça va vite)
  • rupture bancaire (le client perd sa banque, et vous perdez le mandat)
  • responsabilité du cabinet et des organes selon les cas

Et il y a un risque très concret : le “risque de portefeuille”. Un seul dossier toxique peut déclencher une revue de 30 dossiers.

À notre avis, la meilleure approche reste d’investir dans la discipline documentaire. Pas dans des phrases compliquées. Une bonne note interne factuelle vaut mieux qu’un rapport de 12 pages qui ne prouve rien.

Ce que votre client doit comprendre (sinon vous portez tout le risque)

Vous pouvez faire un KYC parfait. Si le client ne joue pas le jeu, vous êtes coincé.

Mettez noir sur blanc dès le mandat :

  • obligation de fournir les documents dans des délais raisonnables
  • droit de suspendre certaines prestations si pièces manquantes
  • droit de résilier si incohérences majeures

Phrase simple que j’utilise souvent en rendez-vous : « Si vous ne pouvez pas expliquer d’où vient l’argent et pourquoi il circule comme ça, moi je ne peux pas vous accompagner. » Ça clarifie tout.

FAQ LBA/AML pour fiduciaires : 2026

1) Une fiduciaire “compta uniquement” est-elle concernée par la LBA ?

Ça dépend de ce que vous faites réellement. Si vous vous limitez à la tenue comptable sans intervenir sur des flux, sans organiser des paiements, sans administrer de structures, le risque d’assujettissement est différent. Le problème, c’est que beaucoup de mandats “compta” glissent vers la gestion opérationnelle (paiements, procurations, ouverture de comptes). Et là, vous changez de catégorie.

2) C’est quoi un ADE acceptable dans un dossier ?

Un ADE acceptable, c’est une personne physique identifiée, avec une déclaration signée, et des éléments qui corroborent (organigramme, documents de la société, cohérence économique). Si vous avez juste un nom sur un formulaire, sans rien derrière, vous êtes fragile.

3) À quelle fréquence faut-il revoir un dossier client ?

Il n’y a pas une fréquence magique valable pour tous. Vous fixez une fréquence selon le risque, et vous la respectez. Faible : annuel. Standard : semestriel. Élevé : trimestriel. Le point clé : garder une preuve datée de la revue et des décisions.

4) Que faire si un client refuse de donner l’origine des fonds ?

Vous documentez la demande, le refus, et vous évaluez si le doute peut être levé autrement. Souvent, non. Dans ce cas, vous ne continuez pas “comme si de rien n’était”. Vous escaladez en interne, vous requalifiez le risque, et vous envisagez la communication MROS si le soupçon devient fondé.

5) Un match sur une liste de sanctions veut dire quoi ?

Ça veut dire : stop et vérification. Beaucoup de matchs sont des homonymes. Mais vous devez prouver que vous avez contrôlé et conclu. Sans preuve, vous êtes exposé.

6) Comment préparer un contrôle OAR sans y laisser votre santé ?

Standardisez vos dossiers, tenez vos registres (clients, risques, PEP/sanctions, alertes), faites un mini-audit interne trimestriel. Le contrôle OAR se passe bien quand vous pouvez sortir les pièces vite, et que l’histoire du dossier est cohérente.


Références

Ayants droit économiques et registre des actions : obligations pratiques pour SA et Sàrl dès 2026

À partir de fin 2026, la Suisse introduira un registre fédéral central des ayants droit économiques pour renforcer la transparence des personnes morales, en particulier pour les SA et Sàrl. Cet article détaille les obligations de déclaration, la gestion des registres d'actions ou de parts sociales, la documentation à conserver, les mécanismes de contrôle et les risques juridiques en cas d'omission.

Parlons-en

Nous contacter

Nos experts sont là pour vous aider à comprendre les détails et implications pour votre entreprise. Obtenez des conseils personnalisés adaptés à votre situation.