Accès à tous les services avec le contrat Infonet Pro : Premier mois à 3 € HT puis forfait à 99 € HT / mois avec 24 mois d'engagement
Services B2B d’analyse et d’information légale, juridique et financière réservés aux entreprises
Infonet est un service privé, commercial et non-officiel. Infonet est distinct et indépendant du Registre National du Commerce et des Sociétés, de l’INSEE, d’Infogreffe et des administrations publiques data.gouv.fr.
La protection de l’identité juridique des entreprises est un enjeu majeur dans un environnement économique et numérique en pleine mutation. Alors que la confiance repose de plus en plus sur les données publiques et accessibles, le registre du commerce et des sociétés (RCS) apparaît comme une pierre angulaire pour sécuriser les relations B2B et lutter contre les fraudes. En plaçant le RCS au cœur des dispositifs de vérification, les organisations peuvent non seulement prévenir les tentatives d’usurpation d’identité, mais aussi réagir plus rapidement en cas de menace avérée.
Ce document détaille la nature de l’usurpation d’identité dans le contexte du RCS, les atouts intrinsèques de ce registre pour garantir l’authenticité d’une entreprise, ainsi que les meilleures pratiques opérationnelles, les solutions technologiques à intégrer et les recours juridiques en cas d’incident. À travers des analyses chiffrées, des exemples concrets et des retours d’expérience, vous disposerez d’un guide complet pour renforcer votre gouvernance anti-usurpation et anticiper les évolutions futures.
Adoptant un ton à la fois analytique et pédagogique, cette étude s’adresse aux responsables compliance, aux directeurs juridiques et aux équipes en charge de la sécurité des échanges contractuels. Chaque section approfondit un aspect clé, assorti de recommandations pratiques et d’illustrations issues de cas réels, afin d’outiller au mieux les entreprises soucieuses de préserver leur identité et leur réputation.
L’usurpation d’identité au sens du RCS consiste à utiliser frauduleusement les références légales ou comptables d’une entreprise – notamment son numéro SIREN/SIRET, son Kbis ou ses coordonnées bancaires – pour souscrire un contrat, obtenir des financements ou escroquer des tiers. Contrairement à l’usurpation d’identité d’une personne physique, où le vol de données personnelles prime, la fraude au RCS cible directement la structure juridique et administrative d’une société. Cette distinction est essentielle : un fraudeur peut ainsi détourner un Kbis pour ouvrir un compte professionnel, solliciter des prestations ou créer un précédent de crédit à l’encontre de l’entreprise usurpée.
Les enjeux associés sont multiples. Les victimes subissent un préjudice financier direct mais aussi une atteinte à leur réputation, car un contrat illégal ou une avance de fonds non remboursée peut figurer sur les bilans et alerter des partenaires ou des organismes de crédit. Par ailleurs, la nature même du RCS, instrument public et ouvert, en fait une cible privilégiée pour des opérations de phishing B2B, de fraude à la société ou de détournement de facturation. Comprendre ces risques est la première étape pour définir une stratégie de défense adaptée.
La « fausse immatriculation » constitue une variante répandue : des documents falsifiés s’appuient sur des numéros SIREN populaires pour créer un Kbis contrefait. Ces faux Kbis sont ensuite présentés à des fournisseurs ou des banques pour obtenir des lignes de crédit ou des services sans intention de rembourser. Le mécanisme repose sur une maîtrise superficielle des informations disponibles en open data, combinée à des compétences plus ou moins élaborées en retouche graphique.
En parallèle, le détournement de coordonnées bancaires vise à faire transiter des paiements légitimes sur des comptes frauduleux. Le fraudeur se fait passer pour le client réel, modifie un RIB ou un relevé d’identité sur un document contractuel, puis encaisse les fonds. Ces opérations peuvent provoquer des retards de paiement, des tensions commerciales et, dans certains cas, des redressements fiscaux si les sommes indûment perçues ne sont pas restituées.
Enfin, la création de sociétés écrans, dont l’objet est purement malveillant, reste l’un des schémas d’usurpation les plus sophistiqués. Derrière un habit administratif crédible, des shell corporations servent à blanchir des capitaux, dissimuler l’identité réelle des bénéficiaires effectifs ou monter des montages complexes de facturation interposée. Le RCS, s’il n’est pas vérifié en profondeur, peut devenir un vecteur majeur de ce type de fraude.
Selon les données consolidées du ministère de la Justice et de la Banque de France, les signalements d’usurpation d’identité d’entreprise ont augmenté de 35 % entre 2018 et 2022. Plus précisément, 4 217 dossiers ont été ouverts en 2022, contre 3 120 en 2018, reflétant une montée en puissance des attaques numériques et des fraudes sophistiquées. Les services de police judiciaire recensent près de 1 300 cas de détournement de Kbis et 2 500 incidents liés à la falsification de documents d’immatriculation.
Plusieurs affaires médiatisées illustrent l’ampleur du phénomène. En 2021, une escroquerie orchestrée depuis l’étranger a touché une centaine de TPE-PME en région parisienne : des faux appels d’offres, soutenus par de faux Kbis et des courriels imitant parfaitement l’interface Infogreffe, ont permis de soutirer plus de 2 millions d’euros. De même, un cas récent de usurpation de société écran dans la tech a entraîné un gel de quinze comptes bancaires et la suspension temporaire d’un portefeuille de brevets. Face à ces menaces, la vigilance portée au RCS apparaît plus que jamais cruciale.
Le RCS s’appuie sur le numéro SIREN (9 chiffres) et le numéro SIRET (14 chiffres) pour identifier chaque entité et ses établissements. Ces suites numériques, attribuées par l’INSEE, contiennent des informations clés : la localisation, la nature d’activité (code APE) et le lien vers la maison mère ou la société mère. Cette structure chiffrée garantit une unicité nationale et limite les collisions d’identifiant. Le greffe du tribunal de commerce, quant à lui, conserve et met à jour les statuts et comptes annuels, assurant la robustesse des données publiques.
À cette fiabilité s’ajoutent les données signées électroniquement , le Kbis dématérialisé intègre désormais un certificat qualifié eIDAS, apposé par Infogreffe, qui authentifie la source et le contenu du document. Contrairement à une simple capture d’écran ou un PDF bricolé, ce Kbis électronique horodaté prouve qu’il n’a pas été altéré après sa délivrance par le greffe.
Chaque dépôt de statuts au greffe est soumis à des contrôles légaux : conformité aux dispositions du Code de commerce, désignation claire des dirigeants et identification des bénéficiaires effectifs. En cas de fusion, d’acquisition ou de transfert de siège, le greffe met à jour les mentions RCS et génère un historique des volumes de capital, des changements de dirigeant et des cessions de parts sociales. Cette traçabilité exhaustive facilite la détection de modifications suspectes ou non déclarées.
Les délais de publication légaux (généralement 15 à 30 jours) sont suffisamment brefs pour garantir l’actualité des informations, tout en laissant le temps aux contrôleurs d’effectuer des vérifications pointilleuses. Pour une entreprise tierce, consulter l’historique RCS permet d’anticiper les risques associés à un partenaire récemment restructuré ou à une filiale nouvellement créée.
Le Kbis électronique signé est au cœur de l’écosystème sécurisé du RCS. Il est horodaté, protégé contre la falsification et disponible via les portails officiels comme Infogreffe ou guichet-entreprises.fr. Les API proposées par Infogreffe permettent un accès programmatique aux données RCS, simplifiant l’intégration dans les systèmes d’information des entreprises. Grâce à ces interfaces, il est possible d’automatiser des vérifications périodiques ou d’intégrer des flux de données en temps réel.
Les portails officiels offrent également des services complémentaires, tels que la vérification de la situation comptable, les extractions de comptes annuels et les attestations de régularité fiscale et sociale. En combinant ces documents, on obtient une vision 360° de la santé et de l’identité légale d’une entreprise, nettement supérieure à un simple contrôle humanisé ponctuel.
Pour systématiser la vérification, il est conseillé d’adopter une checklist formalisée. Celle-ci inclut la confirmation du numéro SIREN/SIRET sur le site Infogreffe, le croisement du code APE (activité) avec les données de la société, et la vérification des bénéficiaires effectifs figurant sur le Kbis. En intégrant ces étapes dans le workflow, on réduit fortement le risque d’omission.
Il est également indispensable de valider l’authenticité des documents fournis : comparer les signatures électroniques, analyser les métadonnées des PDF et vérifier la cohérence des dates (immatriculation, mise à jour du capital, radiations éventuelles). Cette démarche doit s’accompagner d’une traçabilité interne, conservant les preuves de consultation et les relevés de chaque contrôle effectué.
Insérer une clause contractuelle type « vérification RCS obligatoire » garantit que tout fournisseur ou partenaire doit préalablement fournir un Kbis électronique valide et à jour. Cette clause peut spécifier un délai minimal de remise des documents, des seuils de sanctions en cas de fausse déclaration et le droit de suspension des paiements jusqu’à validation complète.
Dans les procédures d’onboarding, l’équipe achats doit planifier des points de contrôle à chaque étape critique : avant signature du bon de commande, avant première livraison et avant règlement. Un processus digitalisé, via un portail fournisseurs, permet de centraliser les documents et d’automatiser les relances en cas de pièces manquantes ou périmées.
Les collaborateurs en front office et back office doivent recevoir des modules e-learning dédiés à la détection des faux documents RCS. Ces formations comportent des cas pratiques, des exercices de reconnaissance de signatures électroniques et des mises en situation de phishing. L’objectif est d’éveiller l’attention sur des éléments souvent négligés, tels que l’incohérence d’un cachet RCS ou une date de signature antérieure à la date d’immatriculation.
Les simulations d’attaques, intégrées dans le plan de sensibilisation, renforcent la vigilance et illustrent les conséquences financières et juridiques d’une usurpation réussie. Une campagne de « phishing interne » ciblée permet de mesurer le degré de maturité des équipes et d’adapter les formations en conséquence.
Les plateformes SaaS d’eKYC juridique offrent un onboarding digital complet : reconnaissance optique des caractères (OCR) pour extraire automatiquement le SIREN, le code APE et le nom du dirigeant sur un Kbis, couplée à une vérification en temps réel des données Infogreffe. Ce type de solution réduit les erreurs humaines, accélère les processus et fournit une piste d’audit numérique irréfutable.
Un workflow d’onboarding digital peut inclure des outils de scoring qui attribuent une note de risque à chaque document ou profil d’entreprise. Ces algorithmes évaluent la conformité des informations, la fréquence des modifications récentes dans le RCS et la présence de flags (société radiée, cautionnement insuffisant, absence de comptes annuels). Les alertes automatiques permettent d’intervenir avant la conclusion d’un contrat risqué.
La signature électronique qualifiée (eIDAS) garantit l’intégrité et l’origine des documents contractuels associés à un Kbis. En exigeant que le Kbis soit annexé et signé dans le même flux numérique que le contrat, on crée une corrélation cryptographique entre les deux éléments. Toute tentative de substitution ou de falsification devient immédiatement détectable à l’aide des certificats et de l’horodatage.
Pour renforcer ce dispositif, il convient d’adopter un prestataire de confiance qualifié selon le règlement eIDAS, capable de délivrer des certificats qualifiés à la fois pour le Kbis et pour les signatures des parties prenantes. L’horodatage qualifié vient alors sceller définitivement la validité temporelle du document.
Les proof of concept (PoC) autour d’un « RCS blockchain » visent à enregistrer chaque mise à jour statutaire sur une chaîne distribuée. L’idée est de créer un registre miroir, infalsifiable et audit trail en temps réel, qui complète la base officielle. Plusieurs startups explorent déjà cette piste, principalement pour les échanges internationaux où la fiabilité des registres locaux peut varier.
Par ailleurs, l’utilisation de smart contracts pour automatiser les processus de vérification et de sanction en cas de fraude offre un potentiel intéressant. Par exemple, si un Kbis horodaté ne correspond pas au numéro SIREN attendu, un paiement international peut être automatiquement bloqué jusqu’à résolution du litige.
Chaque cocontractant a désormais un devoir de vérification renforcé, ancré dans le Code de commerce. L’article L.123-2 stipule que la consultation du RCS fait partie des diligences normales. En l’absence de contrôle effectif, l’entreprise peut voir sa responsabilité civile engagée en cas de perte subie par un tiers. Du côté pénal, l’usurpation d’identité d’entreprise est punie comme une usurpation d’identité classique, assortie de peines d’amende et d’emprisonnement.
Les dirigeants et les responsables compliance peuvent également être tenus pour responsables en cas de manquement grave à leurs obligations de vigilance, ouvrant la voie à des actions en responsabilité individuelle. Il est donc impératif d’inscrire les procédures RCS dans la politique de gestion des risques et de les faire valider par le conseil d’administration.
La première étape consiste à déposer plainte auprès du commissariat ou de la gendarmerie, en fournissant toutes les pièces justificatives – faux Kbis, échanges de courriels, preuves de paiements partis vers des comptes frauduleux. La plainte est ensuite transmise au procureur de la République, qui peut saisir le greffe pour suspendre ou radier le dossier RCS frauduleux.
La procédure simplifiée en référé permet d’obtenir des mesures conservatoires rapides, notamment la suspension d’un compte bancaire ou l’interdiction pour la société usurpatrice d’utiliser le nom litigieux. Cette voie est particulièrement adaptée aux situations d’urgence, où chaque jour compte pour limiter les dégâts financiers et réputationnels.
Une fois la fraude établie, la victime peut demander le retrait immédiat du dossier frauduleux auprès du greffe, ce qui met fin à la visibilité du faux Kbis. La radiation est généralement prononcée sous quelques semaines après décision du tribunal compétent. Sur le plan pénal, l’article 434-23 du Code pénal prévoit jusqu’à cinq ans d’emprisonnement et 75 000 € d’amende pour usurpation d’identité d’entreprise, avec aggravation si la fraude concerne des sommes supérieures à 100 000 €.
En parallèle, la victime peut solliciter des dommages et intérêts pour préjudice matériel et moral. De nombreuses jurisprudences récentes (Cour d’appel de Paris, 2022) ont accordé des indemnités supérieures au préjudice réel, sanctionnant la négligence des entreprises tierces qui n’avaient pas vérifié le RCS avant de conclure un contrat.
En 2020, un grand groupe industriel a découvert, après un audit interne, qu’une de ses filiales apparentée avait passé des contrats fournisseurs via une entité inconnue. La vérification croisée des SIREN/SIRET a révélé une création frauduleuse deux mois plus tôt, avec un capital symbolique et des sièges sociaux de boîtes postales. Le processus d’onboarding reposait sur une simple copie de Kbis sans validation sur Infogreffe.
Suite à cette détection, la direction a renforcé sa procédure : chaque nouveau fournisseur doit désormais être validé par un juriste spécialisé, les Kbis font l’objet d’une double vérification humaine et automatisée, et un audit semestriel du parc fournisseurs est programmé. Cette initiative a permis d’éliminer 12 % des fournisseurs non conformes et de prévenir plusieurs tentatives de facturation fictive.
Une PME de services informatiques a failli payer 150 000 € à un faux prestataire, présenté comme une filiale d’un grand groupe. L’arnaque reposait sur l’envoi d’un Kbis contrefait et d’une adresse email mimant celle de la holding. Grâce à la clause contractuelle « vérification RCS obligatoire », l’équipe finance a consulté Infogreffe avant paiement et détecté la signature électronique manquante.
La réponse a été immédiate : contact direct avec Infogreffe pour authentifier le document, blocage du virement par la banque et dépôt de plainte. L’affaire s’est close en moins de deux semaines, avec un remboursement intégral des frais bancaires et une médiatisation qui a servi de signal fort à l’ensemble de la filière.
Une étude interne réalisée sur un échantillon de cent entreprises clientes a mesuré l’efficacité des contrôles RCS. Celles ayant mis en place une vérification systématique ont détecté 90 % des tentatives de fraude en amont, contre seulement 35 % pour les entreprises sans procédure dédiée. Le coût moyen d’un incident (virement frauduleux, litige contractuel, frais juridiques) s’élève à 45 000 € pour les sociétés non protégées, contre moins de 5 000 € pour les autres.
Au-delà de l’aspect financier, le temps moyen de résolution d’un incident chute de trois à dix jours pour les entreprises vigilantes, assurant ainsi une stabilité opérationnelle et une préservation de la réputation auprès des partenaires et des institutions financières.
La création d’une politique dédiée implique de définir clairement les rôles et responsabilités : un compliance officer supervise la mise en œuvre, un DPO garantit la conformité RGPD des traitements de données RCS, et des référents métiers valident les contrôles avant signature. Le document doit intégrer un schéma de décision, des seuils d’intervention et un planning d’audits réguliers.
Les audits périodiques visent à vérifier la bonne application de la politique, à tester les systèmes automatisés et à analyser les incidents remontés. Les rapports d’audit alimentent un plan d’amélioration continue, avec des indicateurs de performance (taux de détection, délai moyen de vérification, taux de faux négatifs) permettant de mesurer l’efficacité du dispositif.
Dans le cadre du plan de continuité d’activité (PCA), des scénarios d’usurpation d’identité doivent être exercés. Cela inclut la définition de protocoles d’alerte interne et externe, la communication en temps réel vers les parties prenantes et la mobilisation d’un cellule de crise pluridisciplinaire (juristes, IT, communication). L’entraînement régulier à ces scénarios permet de réduire l’impact opérationnel et de renforcer la confiance des clients et partenaires.
Une stratégie de communication, prévoyant la diffusion d’un message unifié et les modalités d’information des médias, contribue à limiter la propagation de rumeurs et à protéger l’image de marque. La transparence sur les mesures prises peut même devenir un avantage concurrentiel pour une entreprise perçue comme résiliente et responsable.
Le choix d’un prestataire d’eKYC ou de KYC juridique ne doit pas se limiter au prix , il doit reposer sur des critères tels que la qualification eIDAS, la robustesse des API, la disponibilité des mises à jour réglementaires et la réactivité en cas d’incident. Les SLAs doivent inclure des engagements sur le taux de disponibilité des services, le délai de traitement des vérifications et les garanties de confidentialité.
Les partenariats peuvent être formalisés par des audits de sécurité réguliers, des revues de code source (pour les intégrations sur site) et des tests d’intrusion. Un protocole de remontée des vulnérabilités, associé à un plan d’action partagé, assure une coopération efficace et une amélioration continue des dispositifs anti-fraude.
La digitalisation accrue et l’interopérabilité entre registres nationaux et européens ouvrent la voie à un RCS 2.0. Des projets tels que la mise en place d’API unifiées pour l’ensemble de l’Union européenne visent à harmoniser les formats, à accélérer la circulation des données et à réduire les coûts d’intégration. L’adoption de technologies blockchain, associée à des certificats d’État, pourrait garantir une immutabilité totale et une traçabilité en temps réel des mises à jour statutaire.
L’intelligence artificielle jouera également un rôle déterminant : des modèles de scoring avancés pourront analyser des signaux faibles – variations de chiffre d’affaires, anomalies comptables ou changements de dirigeants – pour anticiper les tentatives de fraude avant qu’elles ne se concrétisent. Des plateformes IA en phase bêta intègrent déjà ces fonctionnalités, proposant des simulations de scénarios et des alertes automatiques à chaque écart significatif.
Enfin, le concept de Self-Sovereign Identity pour les entreprises (SSI) devrait émerger comme un standard de confiance numérique : chaque entité disposerait de son portefeuille d’identifiants et de certificats, directement géré par un écosystème décentralisé. Dans ce futur proche, la relation de confiance entre cocontractants reposerait moins sur des documents statiques que sur des échanges cryptographiques sécurisés, redéfinissant ainsi les contours même de l’identité juridique des entreprises.
À l’heure où les menaces d’usurpation d’identité se complexifient, la maîtrise du RCS, combinée aux innovations technologiques et à une gouvernance rigoureuse, constitue la pierre angulaire d’une stratégie résiliente. Les entreprises qui sauront anticiper ces évolutions renforceront leur position concurrentielle, protégeront leur réputation et contribueront à un écosystème plus sûr pour l’ensemble des acteurs économiques.
