Intégrez la conformité LCB-FT dans votre CRM immobilier
L’API Box Conformité Immo permet aux éditeurs de logiciels, réseaux et intégrateurs de piloter le dispositif LCB-FT de leurs agences directement depuis leur outil : dossiers d’entrée en relation, criblage, scoring par les risques, échéances réglementaires et dossier de contrôle CNS — avec exactement les mêmes règles métier que l’application.
Ce que l’API permet
Chaque opération délègue au même moteur de conformité que l’application : un dossier piloté depuis votre CRM obtient le même score, la même vigilance et la même traçabilité que s’il avait été saisi dans Box Conformité Immo.
Dossiers d’entrée en relation
Créez, complétez et suivez les dossiers KYC/KYB de vos agences (loi Hoguet, art. L. 561-5 CMF) : personnes physiques, sociétés avec résolution des dirigeants depuis le SIREN, rattachement au collaborateur en charge.
Criblage sanctions & PPE
Déclenchez le criblage des personnes du dossier (listes de sanctions, personnes politiquement exposées) et récupérez le signal consolidé — par dossier, avec quota maîtrisé.
Évaluation par les risques
Score matriciel pondéré par agence, signaux de renforcement (espèces, prix anormal, urgence injustifiée…), niveau de vigilance dérivé du profil de risque de l’agence — approche par les risques exigée par l’art. L. 561-4-1 CMF.
Validation verrouillée
Validez le dossier avec décision motivée du responsable LCB-FT lorsque la vigilance l’exige. Une fois validé, le dossier est immuable (conservation art. L. 561-12 CMF) et son PDF opposable reste stable.
Matrice & révisions annuelles
Lisez (et éditez, avec le scope dédié) la matrice de risque de l’agence, et affichez dans votre CRM les échéances de révision annuelle du dispositif : profil de risque et revue de matrice, statuts ok / préavis / échu.
Classification des agents commerciaux
Pour les réseaux : consultez en lecture seule l’état de conformité de chaque agent commercial — profil de risque retenu, profil suggéré, date de révision et adoption personnelle de sa classification.
Dossier de contrôle CNS
Téléchargez en un appel le pack complet prêt pour un contrôle CNS/DGCCRF : synthèse PDF du dispositif, classification, grille, matrice, procédure et rapport annuel pré-rempli.
Journal d’accès
Chaque opération API est journalisée dans un journal inviolable (append-only), avec acteur et canal — la preuve d’audit reste complète même quand le dossier est piloté par un outil tiers.
Connecteur MCP
Toutes les opérations sont aussi exposées en outils MCP (Model Context Protocol, JSON-RPC 2.0) : vos assistants IA peuvent piloter le bloc LCB-FT avec la même clé, les mêmes droits et la même traçabilité.
Garanties de sécurité
- Cloisonnement strict par agence : la clé API détermine le périmètre — aucune opération ne peut viser les données d’une autre agence, par construction.
- Moindre privilège : 5 scopes indépendants, attribués à la création de chaque clé ; tout ce qui n’est pas accordé est refusé.
- Clés révocables et bornées : stockage haché (le secret n’est jamais conservé en clair), expiration optionnelle, révocation immédiate.
- L’adoption de la classification d’un agent commercial n’est jamais possible via l’API : c’est un acte personnel de l’agent depuis son portail (exigence issue des sanctions CNS 2026). L’API n’offre que la lecture.
Documentation API
API REST versionnée (/api/v1), réponses JSON, messages d’erreur en français. Un connecteur MCP expose les mêmes opérations pour les agents IA.
Authentification
Chaque requête porte une clé API (format bci_<label>_<prefixe>_<secret>), transmise au choix :
La clé est affichée une seule fois à sa création et n’est jamais re-consultable. Elle porte des scopes, une expiration optionnelle, et peut être révoquée à tout moment par l’agence.
Scopes
| Scope | Autorise |
|---|---|
| kyc:read | Lecture des dossiers, évaluations, journal, matrice, révisions, transactions, exports PDF/ZIP. |
| kyc:write | Création et mise à jour des dossiers, lancement du criblage, création de transactions. |
| kyc:validate | Validation (verrouillage) d’un dossier et décisions motivées sur alerte. |
| kyc:admin | Écriture de configuration de l’agence : édition des poids de la matrice de risque. |
| org:read | Lecture de l’état de conformité des agents commerciaux (classification — lecture seule). |
Points d’accès REST
| Méthode | Chemin | Scope | Description |
|---|---|---|---|
| POST | /api/v1/kyc/dossiers | kyc:write | Crée un dossier d’entrée en relation (personne physique ou société via SIREN, rattachement collaborateur optionnel). |
| GET | /api/v1/kyc/dossiers | kyc:read | Liste les dossiers de l’agence (filtres statut, niveau de risque, vigilance, SIREN). |
| GET | /api/v1/kyc/dossiers/{id} | kyc:read | Détail d’un dossier avec ses personnes. |
| PATCH | /api/v1/kyc/dossiers/{id} | kyc:write | Mise à jour partielle : identité, notes, signaux de risque (espèces, prix anormal, urgence…), collaborateur. Recalcule le score. |
| POST | /api/v1/kyc/dossiers/{id}/criblage | kyc:write | Lance le criblage sanctions/PPE des personnes du dossier. |
| GET | /api/v1/kyc/dossiers/{id}/evaluation | kyc:read | Évaluation dérivée : score, niveau de risque, vigilance, critères actifs, profil et seuils de l’agence. |
| POST | /api/v1/kyc/dossiers/{id}/validation | kyc:validate | Valide et verrouille le dossier (décision du responsable LCB-FT exigée en vigilance renforcée). |
| POST | /api/v1/kyc/dossiers/{id}/alerte-decision | kyc:validate | Enregistre une décision motivée de poursuite malgré une alerte. |
| GET | /api/v1/kyc/dossiers/{id}/journal | kyc:read | Journal d’accès append-only du dossier (traçabilité LCB-FT). |
| GET | /api/v1/kyc/dossiers/{id}/dossier.pdf | kyc:read | PDF opposable du dossier, généré à la demande. |
| GET | /api/v1/kyc/matrice | kyc:read | Matrice de risque effective de l’agence (critères, poids) + date de dernière revue. |
| PUT | /api/v1/kyc/matrice | kyc:admin | Édite les poids de la matrice (mêmes règles que l’application ; liste vide = revue horodatée sans modification). |
| GET | /api/v1/kyc/revisions | kyc:read | État des révisions annuelles (profil de risque + matrice) : ok / préavis / échu / jamais, échéances et jours restants. |
| GET | /api/v1/kyc/agents/classification | org:read | Classification LCB-FT des agents commerciaux — lecture seule (profil retenu, suggéré, révision, adoption). |
| POST | /api/v1/kyc/transactions | kyc:write | Crée une transaction immobilière (référence, bien, montant). |
| GET | /api/v1/kyc/transactions | kyc:read | Liste les transactions (filtres statut, référence). |
| GET | /api/v1/kyc/dossier-controle.zip | kyc:read | Pack « dossier de contrôle CNS » complet (ZIP), généré depuis les données vivantes. |
Connecteur MCP (agents IA)
Point d’accès unique POST /api/v1/mcp (JSON-RPC 2.0), même clé API, mêmes scopes, même journalisation. tools/list renvoie le manifeste des outils ; tools/call exécute une opération.
Outils disponibles : kyc.creer_dossier, kyc.patch_dossier, kyc.lancer_criblage, kyc.get_dossier, kyc.lister_dossiers, kyc.evaluer, kyc.valider, kyc.matrice_lister, kyc.matrice_upsert, kyc.revisions_etat, org.agents_classification, kyc.creer_transaction, kyc.lister_transactions.
Erreurs & limites
| Code | Signification |
|---|---|
400 | Paramètres invalides (message explicite en français : champ manquant, collaborateur inconnu, poids hors bornes…). |
401 | Clé API absente, invalide, expirée ou révoquée. |
403 | Scope insuffisant pour l’opération, ou abonnement inactif. |
404 | Ressource introuvable dans le périmètre de la clé (jamais d’indice sur les autres agences). |
409 | Opération refusée sur un dossier validé et verrouillé (immuabilité art. L. 561-12 CMF). |
429 | Quota dépassé : limite par clé et par route (par défaut 120 requêtes/minute), limites dédiées sur les exports lourds. |
Sandbox
Explorez les opérations de l’API : choisissez une opération, ajustez les paramètres, récupérez le code prêt à coller (curl, JavaScript, Python) et visualisez une réponse d’exemple. Aucune donnée n’est envoyée : les réponses affichées sont des exemples représentatifs. Un accès de test sur notre environnement de démonstration est fourni aux partenaires.
Devenir partenaire
L’accès à l’API se fait dans le cadre du programme partenaires : nous validons ensemble votre cas d’usage, vous recevez un accès de test, puis vos agences clientes activent l’intégration avec leurs propres clés.
Comment ça se passe
Prise de contact. Vous nous décrivez votre outil et votre cas d’usage via ce formulaire. Nous revenons vers vous sous 48 h ouvrées.
Accès de test. Après un échange technique, vous recevez un accès à notre environnement de démonstration avec une clé API de test et des données fictives.
Intégration. Vous développez et validez votre intégration (REST ou MCP) avec notre support. Nous vérifions ensemble les parcours de conformité.
Mise en production. Chaque agence cliente active l’intégration depuis son compte Box Conformité Immo, avec ses propres clés et le périmètre de scopes de son choix.
