Guide complet de la conformité pour les agences de sécurité privée

Le cadre légal de la sécurité privée en France

L'exercice d'une activité de sécurité privée en France est strictement encadré par la loi. Toute agence de gardiennage, de surveillance humaine ou d'intervention doit opérer dans le respect d'un corpus juridique précis, codifié principalement dans le Code de la sécurité intérieure.

Le Livre VI du Code de la sécurité intérieure

Le texte de référence est le Livre VI du Code de la sécurité intérieure, qui regroupe les articles L611-1 à L617-19. Ce livre définit l'ensemble des activités relevant de la sécurité privée, les conditions d'exercice, les obligations des entreprises et de leurs salariés, ainsi que les sanctions applicables en cas de manquement.

Concrètement, ce livre couvre cinq grandes activités qui doivent toutes être autorisées : la surveillance et le gardiennage (article L611-1, 1°), le transport de fonds, la protection physique des personnes, la protection de navires, et plus récemment la cybersurveillance.

Les textes de référence à connaître

Au-delà du Code de la sécurité intérieure, plusieurs textes complètent le cadre légal :

• La Convention collective IDCC 1351 des entreprises de prévention et de sécurité, qui régit les relations de travail dans le secteur
• Le Règlement général sur la protection des données (RGPD), applicable à toute collecte de données personnelles, notamment celles des agents et des clients
• Le Code du travail pour les règles générales d'emploi et les durées maximales de travail
• Les arrêtés et décrets d'application précisant les conditions techniques (formations SSIAP, palpations de sécurité, port d'arme)

Source : Légifrance, Code de la sécurité intérieure, Livre VI

Le rôle du CNAPS dans la régulation du secteur

Le Conseil National des Activités Privées de Sécurité (CNAPS) est l'autorité administrative qui régule l'ensemble des activités de sécurité privée en France. Créé en 2012, il est rattaché au ministère de l'Intérieur. Son rôle : autoriser, contrôler et sanctionner.

Les trois missions du CNAPS

Le CNAPS exerce trois missions principales, codifiées aux articles L632-1 et suivants du Code de la sécurité intérieure :

• Délivrer les autorisations administratives : agréments des dirigeants, autorisations d'exercice des entreprises, cartes professionnelles des agents
• Contrôler les agences et les agents sur le terrain (sites surveillés, locaux d'exploitation, registres) et sur pièces (conformité documentaire)
• Sanctionner les manquements par des avertissements, amendes administratives, suspensions ou retraits d'autorisation

L'autorisation d'exercer : un préalable obligatoire

Aucune activité de sécurité privée ne peut être exercée sans autorisation administrative préalable du CNAPS (article L612-9). Cette autorisation est délivrée à l'entreprise (et non au dirigeant à titre personnel), après vérification d'un dossier complet : justificatifs d'assurance, locaux, dirigeant agréé, capital social.

Pour le dirigeant, un agrément distinct est requis. Cet agrément est délivré sous condition de moralité (extrait B2 du casier judiciaire vierge sur les infractions visées) et de qualifications professionnelles (article L612-7).

Le rôle de la commission interrégionale d'agrément et de contrôle

Concrètement, le CNAPS s'appuie sur des commissions interrégionales d'agrément et de contrôle (CIAC), qui instruisent les dossiers et statuent sur les sanctions. Chaque agence est rattachée à la CIAC de sa région d'implantation. Ce sont ces commissions qui délivrent les autorisations et qui peuvent vous convoquer en cas de contrôle.

Source : Articles L612-7, L612-9, L617-4 et L632-1 du Code de la sécurité intérieure

Les cartes professionnelles : la base de la conformité agent

Aucun agent ne peut exercer une mission de sécurité privée sans carte professionnelle CNAPS valide. C'est la pierre angulaire de la conformité d'une agence : un agent sans carte, ou avec une carte expirée, expose l'agence à des sanctions immédiates.

À qui s'adresse la carte professionnelle ?

La carte professionnelle est obligatoire pour toute personne exerçant une activité de surveillance, gardiennage, transport de fonds, protection physique des personnes ou cybersurveillance, qu'elle soit salariée d'une agence ou indépendante. Elle est délivrée par le CNAPS, à titre individuel.

Les conditions d'obtention

Pour obtenir sa carte professionnelle, l'agent doit remplir quatre conditions cumulatives :

• Être de nationalité française, ressortissant d'un État membre de l'UE, ou disposer d'un titre de séjour autorisant l'exercice d'une activité professionnelle
• Justifier de son aptitude professionnelle par un titre, diplôme ou qualification reconnu (le TFP APS — Titre à Finalité Professionnelle Agent de Prévention et de Sécurité — est le plus courant)
• Présenter un extrait B2 du casier judiciaire vierge sur les infractions limitativement énumérées par l'article L612-20 du Code de la sécurité intérieure
• Justifier d'une aptitude médicale compatible avec l'exercice de la profession

Durée de validité et renouvellement

La carte professionnelle est délivrée pour une durée de 5 ans. Au-delà, elle doit être renouvelée. L'agent doit alors prouver qu'il a suivi sa Maintenance et Actualisation des Compétences (MAC) dans les 24 mois précédant le renouvellement, conformément à l'arrêté du 27 février 2017.

Conséquences d'une carte expirée ou retirée

Un agent sans carte professionnelle valide ne peut en aucun cas être affecté à une mission. Le déployer expose l'agence à :

• Une sanction pénale pour l'employeur : 2 ans d'emprisonnement et 30 000 € d'amende au titre de l'article L617-7 du Code de la sécurité intérieure (fait d'employer une personne sans carte professionnelle)
• Pour l'agent qui exerce sans carte : 1 an d'emprisonnement et 15 000 € d'amende au titre de l'article L617-8
• Une sanction administrative du CNAPS pouvant aller jusqu'à 150 000 € pour la personne morale et 7 500 € pour une personne physique salariée, conformément à l'article L634-7 du Code de la sécurité intérieure
• Un retrait ou une suspension de l'autorisation d'exercer de l'agence
• Une mise en cause de la responsabilité personnelle du dirigeant, civilement et pénalement

Source : Articles L612-20, L612-21, R612-3-1, L617-7, L617-8 et L634-7 du Code de la sécurité intérieure ; arrêté du 27 février 2017 sur la formation continue

Les habilitations spécialisées : SSIAP, SST, palpation, cynophile

Au-delà de la carte professionnelle, certaines missions exigent des habilitations spécialisées distinctes. Affecter un agent à une mission qui dépasse ses qualifications expose l'agence à un risque réglementaire et à un risque assurantiel direct en cas d'incident.

Le SSIAP : sécurité incendie et assistance à personnes

Les agents intervenant sur des établissements recevant du public (ERP) ou des immeubles de grande hauteur (IGH) doivent disposer d'une qualification SSIAP (Service de Sécurité Incendie et d'Assistance à Personnes). Trois niveaux existent :

• SSIAP 1 : agent de service de sécurité incendie
• SSIAP 2 : chef d'équipe de service de sécurité incendie
• SSIAP 3 : chef de service de sécurité incendie

Le SSIAP est régi par l'arrêté du 2 mai 2005 modifié. Comme la carte professionnelle, il doit être maintenu actualisé par des recyclages périodiques.

La palpation de sécurité

Pour exercer la palpation (notamment lors d'événements rassemblant plus de 300 personnes), l'agent doit disposer d'une qualification spécifique et l'agence d'une autorisation préalable du préfet précisant les lieux et la période d'exercice. Le périmètre est encadré par les articles L613-2 et R613-6 du Code de la sécurité intérieure.

Le cynophile : maître-chien

Les agents cynophiles exerçant avec un chien doivent justifier d'une qualification spécifique et de l'inscription du chien dans les conditions définies aux articles L614-1 et suivants. L'animal doit également être identifié, vacciné et conforme aux règles applicables aux chiens de catégorie 1 ou 2 le cas échéant.

Le SST : sauveteur secouriste du travail

Le SST (Sauveteur Secouriste du Travail) n'est pas une exigence du Code de la sécurité intérieure mais une bonne pratique recommandée par le Code du travail dans le cadre de l'organisation des secours en entreprise. Cette qualification est délivrée par l'INRS, valable 24 mois et soumise à un recyclage régulier. Pour les agences de sécurité privée, c'est un atout opérationnel : un agent SST peut intervenir efficacement sur un malaise ou un accident sur site, en attendant les secours.

Source : Arrêté du 2 mai 2005 modifié (SSIAP), articles L613-2 et L614-1 du Code de la sécurité intérieure

La convention collective IDCC 1351 : ce qu'elle impose

La Convention collective nationale des entreprises de prévention et de sécurité (IDCC 1351) régit l'ensemble des relations de travail dans le secteur. Elle s'impose à toute agence dont l'activité principale relève de la sécurité privée, et son application est opposable en cas de contentieux prud'homal.

Champ d'application

L'IDCC 1351 s'applique à toutes les entreprises dont l'activité principale relève du code NAF 80.10Z (activités de sécurité privée), qui couvre la surveillance et le gardiennage, le transport de fonds, la sûreté aérienne et aéroportuaire, la sécurité événementielle ainsi que la télésurveillance. Elle couvre l'ensemble des salariés du secteur, quel que soit leur statut (CDI, CDD, intérim) — environ 160 000 salariés et 3 000 entreprises sont concernés en France.

Les majorations spécifiques

L'IDCC 1351 prévoit plusieurs majorations propres au secteur, qui s'ajoutent au salaire de base :

• Heures de nuit : +10 % du taux horaire minimum conventionnel pour le travail entre 21h et 6h (hors sûreté aéroportuaire qui applique +25 %), avec en plus un repos compensateur de 1 % par heure de nuit travaillée
• Travail du dimanche : majoration spécifique de +10 %, cumulable avec celle de nuit (soit +20 % pour une heure de nuit dominicale)
• Jours fériés travaillés : indemnité égale au montant du salaire correspondant au travail effectué (équivalente à +100 %), ou choix d'un repos équivalent à prendre dans le mois suivant
• Prime de panier versée pour les vacations de longue durée incluant un repas
• Prime d'habillage et de déshabillage liée au port d'une tenue spécifique
• Prime d'ancienneté pour le personnel non cadre, démarrant à 2 % après 4 ans d'ancienneté et progressant jusqu'à 15 % après 20 ans

Les taux exacts sont régulièrement revus par avenant. Il est essentiel de consulter la version en vigueur sur Légifrance pour appliquer les bons taux.

Durées maximales et repos

Le secteur a obtenu des dérogations spécifiques pour répondre aux contraintes opérationnelles, notamment pour les vacations de 12 heures qui sont une norme courante :

• Durée quotidienne maximale pouvant atteindre 12 heures dans certaines conditions
• Durée hebdomadaire maximale moyenne de 44 heures sur une période de 12 semaines consécutives
• Repos quotidien minimum de 11 heures consécutives entre deux vacations
• Interruption d'activité de 10 heures obligatoire en cas de passage d'un service de nuit à un service de jour ou inversement
• Repos hebdomadaire conforme au Code du travail, avec 2 dimanches de repos par mois en moyenne sur une période de 3 mois pour les salariés à temps plein
• Durée minimale de période de travail portée à 6 heures consécutives depuis l'avenant de novembre 2024

Le compte épargne-temps et les congés payés

L'IDCC 1351 prévoit également des dispositions spécifiques pour le compte épargne-temps, le calcul des congés payés (avec prise en compte des majorations dans l'indemnité de congé) et les jours pour événements familiaux. Ces points sont souvent à l'origine d'erreurs de paie : ils méritent une attention particulière au moment de l'établissement des bulletins.

Source : Convention collective nationale des entreprises de prévention et de sécurité (IDCC 1351) sur Légifrance

La main courante : valeur juridique et obligations de traçabilité

La main courante est le registre dans lequel les agents consignent les événements observés en mission. Au-delà de l'usage opérationnel, elle a une valeur probante qui peut être déterminante en cas de contentieux client, de sinistre assurance ou de contrôle CNAPS.

Une obligation de traçabilité qui découle de plusieurs textes

Aucun texte n'impose de manière directe et générale la tenue d'une main courante dans la sécurité privée, mais plusieurs obligations convergentes la rendent indispensable :

• L'article L612-14 du Code de la sécurité intérieure impose au dirigeant un devoir de surveillance de l'exécution des prestations
• Les contrats avec les donneurs d'ordre exigent quasi systématiquement un reporting détaillé des interventions
• Les polices d'assurance professionnelle conditionnent leur garantie à l'existence d'une traçabilité opposable
• En cas de contentieux pénal (incident sur site), la main courante est l'un des premiers éléments demandés par les enquêteurs

Main courante papier ou main courante numérique ?

Les deux formes ont la même valeur juridique, dès lors que la main courante numérique respecte trois conditions cumulatives : horodatage fiable, inaltérabilité du contenu une fois saisi, et archivage sécurisé. Une main courante numérique qui horodate au serveur et chiffre les enregistrements est en réalité plus opposable qu'un cahier papier, qui peut être contesté pour cause de réécriture, de pages arrachées ou d'écriture illisible.

Que doit contenir une main courante ?

Pour avoir une valeur probante, chaque entrée doit comporter les éléments suivants :

• Date et heure précises de l'événement, horodatées de manière non modifiable
• Identité de l'agent rédacteur (nom, numéro de carte professionnelle)
• Lieu de l'événement (site, zone, point de contrôle)
• Type d'événement (ronde, anomalie, incident, contrôle d'accès, intervention)
• Description factuelle, sans interprétation ni jugement de valeur
• Photos ou pièces jointes le cas échéant, également horodatées

Durée de conservation

Aucun délai légal explicite n'existe, mais la pratique professionnelle et les délais de prescription imposent de conserver les mains courantes au minimum 5 ans. C'est aussi la durée habituelle exigée par les contrats avec les donneurs d'ordre publics et les grands comptes. Pour les incidents ayant donné lieu à un litige, la conservation peut être étendue à 10 ans.

Source : Article L612-14 du Code de la sécurité intérieure, jurisprudence en matière de preuve numérique

Le RGPD appliqué à une agence de sécurité privée

Une agence de sécurité privée traite des données personnelles sensibles en quantité : identité des agents, numéros de cartes professionnelles, géolocalisation des prises de poste, parfois même images de vidéosurveillance. Le Règlement général sur la protection des données (RGPD) s'applique pleinement à ces traitements.

Les obligations de base

Toute agence de sécurité privée doit, au minimum, mettre en place :

• Un registre des activités de traitement recensant l'ensemble des données collectées (agents, clients, prospects), leurs finalités, leur durée de conservation et leurs destinataires
• Une politique de confidentialité publiée sur le site web, accessible à tout moment
• Des mentions d'information remises aux agents au moment de leur embauche, expliquant quelles données sont collectées et pourquoi
• Un contrat de sous-traitance RGPD avec chaque éditeur de logiciel ou prestataire qui accède aux données (article 28 du RGPD)

La géolocalisation des agents : un sujet sensible

La géolocalisation continue des agents est strictement encadrée. La CNIL rappelle régulièrement que cette pratique doit être proportionnée, justifiée par une finalité légitime (sécurité de l'agent isolé, optimisation des tournées, suivi du temps de travail) et limitée au temps de service. Plusieurs règles strictes s'imposent :

• La collecte de données de localisation hors temps de travail est interdite (délibération CNIL n°2015-165), notamment lors des trajets domicile-travail ou des temps de pause
• Le salarié doit pouvoir désactiver le dispositif en dehors de son temps de travail
• La durée de conservation par défaut est de 2 mois, extensible à 1 an pour preuve d'intervention, et 5 ans uniquement pour le suivi du temps de travail
• L'information préalable des salariés et des instances représentatives du personnel est obligatoire
• Le détournement de finalité (utiliser la géolocalisation à d'autres fins que celles déclarées) est illicite et a déjà fait l'objet d'arrêts de la Cour de cassation en 2024

Les droits des agents

Les agents disposent, comme tout salarié, de plusieurs droits qu'ils peuvent exercer à tout moment :

• Droit d'accès à leurs données personnelles
• Droit de rectification en cas d'erreur
• Droit à l'effacement dans les conditions prévues par le RGPD
• Droit à la portabilité de leurs données
• Droit d'opposition à certains traitements

Un point de contact RGPD doit être désigné dans l'agence pour répondre à ces demandes dans un délai d'un mois.

Hébergement des données : la question de la souveraineté

Le RGPD n'impose pas un hébergement en France ou en Europe, mais il impose des garanties contractuelles strictes en cas de transfert hors UE. En pratique, pour les agences travaillant avec des donneurs d'ordre publics ou des grands comptes, un hébergement français ou européen est de plus en plus exigé contractuellement. Cela évite aussi les risques liés au Cloud Act américain.

Source : Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), recommandations CNIL

Que se passe-t-il en cas de contrôle CNAPS ?

Le CNAPS effectue régulièrement des contrôles inopinés dans les agences de sécurité privée. La meilleure préparation, c'est une conformité quotidienne qui ne demande pas de préparation spécifique le jour du contrôle.

Les types de contrôles

Le CNAPS exerce trois formes de contrôles :

• Contrôle sur pièces : envoi d'un courrier demandant la communication de documents (registres du personnel, contrats, mains courantes, fiches de paie)
• Contrôle sur place dans l'agence : visite des locaux d'exploitation avec vérification documentaire approfondie
• Contrôle sur site (chez le client) : vérification des agents en poste, de leurs cartes professionnelles, de leur tenue, du registre de prestation

Les documents à pouvoir présenter immédiatement

En cas de contrôle, plusieurs documents doivent être disponibles sans délai :

• L'autorisation d'exercer de l'agence et l'agrément du dirigeant
• Le registre du personnel à jour
• Les cartes professionnelles de tous les agents employés (originaux ou copies certifiées conformes)
• Les contrats de travail et bulletins de salaire
• Le registre des prestations ou les contrats clients en cours
• Les mains courantes des sites contrôlés sur la période demandée
• L'attestation d'assurance professionnelle
• Le registre RGPD et la politique de confidentialité

L'échelle des sanctions

En cas de manquement constaté, le CNAPS peut prononcer, dans le cadre de l'article L634-7 du Code de la sécurité intérieure (issu de l'ordonnance du 30 mars 2022) :

• Un avertissement simple, qui reste inscrit au dossier de l'agence
• Un blâme, sanction plus formelle
• L'interdiction d'exercice à titre temporaire pour une durée pouvant aller jusqu'à 7 ans
• Une pénalité financière pouvant atteindre 150 000 € pour une personne morale ou une personne physique non salariée, et 7 500 € pour une personne physique salariée

Au-delà des sanctions disciplinaires, des sanctions pénales distinctes peuvent s'appliquer : 3 ans d'emprisonnement et 45 000 € d'amende pour exercice sans autorisation (L617-4), 2 ans et 30 000 € pour emploi d'un agent sans carte (L617-7), 1 an et 15 000 € pour le non-respect d'une interdiction temporaire d'exercer (article L634-5 ancien, désormais codifié dans le titre III du livre VI).

Les décisions du CNAPS peuvent être contestées devant le tribunal administratif compétent, mais la procédure peut durer plusieurs mois pendant lesquels la sanction reste applicable.

Source : Articles L634-1 à L634-15, L617-4 à L617-8 du Code de la sécurité intérieure ; ordonnance n°2022-448 du 30 mars 2022

La responsabilité du dirigeant : civile, pénale, professionnelle

Diriger une agence de sécurité privée, c'est accepter une responsabilité particulière. Le dirigeant n'est pas un simple gestionnaire : il assume personnellement la conformité de ses agents et la qualité des prestations délivrées. Cette responsabilité se décline en trois plans.

La responsabilité civile

L'agence est responsable des dommages causés par ses agents dans l'exercice de leur mission. Cette responsabilité peut être recherchée par :

• Le client donneur d'ordre en cas de manquement contractuel (vol non détecté, prestation non conforme)
• Un tiers ayant subi un préjudice (visiteur blessé sur un site mal surveillé, par exemple)
• Un salarié en cas de manquement aux obligations sociales ou de sécurité au travail

L'assurance de responsabilité civile professionnelle est obligatoire et doit être attestée annuellement au CNAPS. Mais elle ne couvre pas tout : certaines fautes lourdes ou intentionnelles peuvent en être exclues, ramenant la charge financière sur l'agence.

La responsabilité pénale

Le dirigeant peut voir sa responsabilité pénale personnelle engagée dans plusieurs hypothèses :

• Exercice sans autorisation ou avec autorisation suspendue ou retirée (3 ans d'emprisonnement et 45 000 € d'amende, article L617-4)
• Emploi d'un agent sans carte professionnelle valide (2 ans et 30 000 €, article L617-7)
• Fausses déclarations au CNAPS
• Manquements aux obligations de surveillance et de contrôle de l'exécution des prestations (article L612-14)
• Travail dissimulé ou non-respect des durées maximales de travail

La responsabilité professionnelle vis-à-vis du CNAPS

Indépendamment des sanctions civiles et pénales, le dirigeant peut faire l'objet de sanctions administratives propres du CNAPS : retrait de son agrément personnel, interdiction d'exercer dans le secteur pour une durée allant jusqu'à 7 ans. Cette dimension est souvent sous-estimée alors qu'elle peut mettre fin à une carrière dans le secteur.

Comment se protéger en pratique

Plusieurs réflexes réduisent significativement le risque :

• Tracer toutes les vérifications faites au moment de l'embauche (carte pro, casier, aptitude médicale)
• Documenter le suivi des habilitations (échéances, MAC, formations recyclées)
• Bloquer techniquement l'affectation d'un agent dont les conditions d'exercice ne sont plus remplies
• Conserver les mains courantes de manière inaltérable et recherchable
• Souscrire une assurance RC professionnelle robuste et la maintenir à jour sans interruption

Source : Articles L612-14, L617-4 à L617-12, L634-7 du Code de la sécurité intérieure ; Code civil article 1242

Checklist : êtes-vous conforme ?

Voici un auto-diagnostic en 15 questions pour évaluer le niveau de conformité actuel de votre agence. Si vous répondez "non" ou "je ne sais pas" à plus de 3 questions, votre niveau de risque est significatif. Cette checklist couvre les points les plus contrôlés en cas d'inspection.