Trois propositions sur la table, toutes affichant la mention « CNAPS-conforme » : laquelle est en règle, laquelle est seulement autorisée à exercer, laquelle est aussi certifiée par AFNOR ? La sécurité privée française est régie par trois étages distincts. L'autorisation d'exercer délivrée par le CNAPS est obligatoire et constitue le minimum légal. Les certifications NF Service NF241 et QualiSécurité REF-215 sont volontaires. Les normes ISO ajoutent une couche internationale.
Cet article s'adresse à deux profils. Le dirigeant d'une entreprise de sécurité privée qui prépare un appel d'offres, hésite entre une certification à 3 000 euros et une démarche à 50 000, ou s'interroge sur la mise en conformité Dracar Ultimate au 1er octobre 2026. Et le donneur d'ordre, acheteur public ou responsable sécurité privé, qui reçoit trois dossiers et doit vérifier ce que valent les mentions affichées. Le guide couvre le cadre obligatoire CNAPS, les certifications volontaires AFNOR et ISO, les coûts et délais, la vérification d'un prestataire, le poids des certifications dans les marchés publics, l'échéance Dracar Ultimate et la question rarement posée : que reste-t-il, opérationnellement, le jour où l'auditeur ouvre le dossier ?
En résumé : CNAPS = autorisation légale obligatoire (entreprise et dirigeants). AFNOR NF241 / QualiSécurité REF-215 = certifications volontaires. ISO 9001 / 45001 / 18788 = normes internationales complémentaires. La distinction autorisation / agrément / certification structure tout le reste.
/Images/Icons/Zertifikat_OWKS_Icon.svg)
Trois étages, pas un seul : autorisation, certification, agrément
La réglementation française superpose trois niveaux que la communication commerciale tend à confondre. L'autorisation d'exercer, prévue à l'article L. 612-1 du Code de la sécurité intérieure, est une décision de police administrative délivrée par le CNAPS (Conseil National des Activités Privées de Sécurité). Elle est obligatoire, individuelle à chaque activité, et conditionne le droit même d'exister comme prestataire. L'agrément, prévu à l'article L. 612-6, vise les personnes physiques (dirigeant, gérant, exploitant) ; il est également obligatoire, délivré par le CNAPS, valable cinq ans renouvelables. La certification, enfin, est volontaire : NF Service NF241, QualiSécurité REF-215, ISO 9001, ISO 45001, ISO 18788. Elle est délivrée par un organisme certificateur (AFNOR Certification, CNPP, organismes ISO accrédités) et n'a aucune dimension réglementaire.
La règle pratique tient en une phrase. Une entreprise est autorisée, un dirigeant est agréé, et seules les démarches qualité volontaires donnent lieu à certification. Les expressions « certification CNAPS » ou « entreprise agréée CNAPS » sont impropres : la première confond une autorisation administrative avec un label volontaire, la seconde transpose à une personne morale ce qui ne s'applique qu'aux dirigeants. Cette grille de lecture conditionne tout le reste de la lecture du marché.
/Images/Icons/Rechtesystem_OWKS_Icon.svg)
Le cadre obligatoire : autorisation d'exercer, agrément dirigeant, carte professionnelle
Le socle CNAPS, fixé par le Livre VI du Code de la sécurité intérieure, repose sur trois titres juridiques distincts.
L'autorisation d'exercer (articles L. 612-1 et L. 612-9 CSI) est délivrée à l'entreprise pour une durée illimitée. Elle n'est pas pour autant acquise : elle peut être suspendue ou retirée, et chaque activité fait l'objet d'une demande distincte (surveillance et gardiennage, transport de fonds, protection rapprochée, télésurveillance). Les établissements secondaires donnent lieu à des autorisations propres. Cette logique d'autorisation par activité est essentielle pour le donneur d'ordre : une entreprise autorisée pour le gardiennage n'est pas, par défaut, autorisée pour le transport de fonds.
L'agrément du dirigeant (article L. 612-6 CSI) vise toute personne physique exerçant des fonctions de direction, gérance ou exploitation. Valable cinq ans, renouvelable, la demande de renouvellement doit être engagée au moins trois mois avant l'échéance pour éviter une rupture. Le périmètre a été étendu en novembre 2022 aux services internes de sécurité et en mars 2025 aux organismes de formation. Tous les dirigeants figurant au Kbis doivent détenir cet agrément en cours de validité.
La carte professionnelle (article L. 612-20 CSI) est délivrée à chaque agent pour cinq ans, conditionnée à une qualification inscrite au RNCP : TFP APS (Titre à Finalité Professionnelle Agent de Prévention et de Sécurité), CQP APS, SSIAP pour la sécurité incendie. Pour les grands événements, le CNAPS a créé en 2024 la carte SGE (Surveillance Grands Événements), 106 heures de formation, environ 7 000 cartes délivrées dans le cadre des Jeux Olympiques de Paris, valable cinq ans.
La sanction n'est pas théorique. Selon le rapport annuel 2024 du CNAPS, la commission de discipline a rendu 219 décisions, dont 206 assorties de sanctions, et 129 interdictions temporaires d'exercer (ITE) pouvant aller jusqu'à sept ans. Les pénalités financières 2024 se situent entre 2,1 et 3,9 millions d'euros selon les sources sectorielles, décisions publiques et consultables sur le site du CNAPS.
/Images/Icons/Auswertungen_Berichte_OWKS_Icon.svg)
Les certifications volontaires AFNOR : NF Service NF241 et QualiSécurité REF-215
Au-dessus du socle CNAPS, deux certifications AFNOR structurent le marché de la surveillance humaine. La confusion entre les deux est l'erreur la plus fréquente lue dans les CCTP et les mémoires techniques.
NF Service NF241 s'appuie sur la norme NF X 50-777 (AFNOR, 1998). Elle couvre la prestation de surveillance et de gardiennage et le transport de fonds. Certification orientée système qualité, proche d'un ISO 9001 sectoriel, avec une exigence forte de mesure de la satisfaction client (§7 de la norme), de management des sous-traitants et de pilotage par indicateurs. Préparation de un à deux ans, coût entre 20 000 et 50 000 euros HT, validité trois ans avec audits annuels de surveillance et audit de renouvellement triennal. Sept à neuf entreprises françaises la détiennent : un cercle réduit composé principalement de grands groupes qui en font un argument décisif vis-à-vis des donneurs d'ordre.
QualiSécurité REF-215 repose sur le référentiel ASC REF-215 (2009, à l'initiative du SNES, Syndicat National des Entreprises de Sécurité). Elle couvre la surveillance humaine seule, pas le transport de fonds. Son orientation est différente : huit engagements de service opposables (information du client, traitement des incidents, qualification des agents), plutôt qu'un système qualité global. Préparation 3 à 6 mois, coût 3 000 à 5 000 euros HT, validité trois ans avec la même cadence d'audits. Environ trente entreprises françaises la détiennent, ce qui en fait la certification volontaire la plus accessible aux PME et ETI.
| Critère | NF Service NF241 | QualiSécurité REF-215 |
|---|---|---|
| Référentiel | NF X 50-777 (1998) | ASC REF-215 (2009) |
| Initiateur | AFNOR | SNES |
| Préparation | 1 à 2 ans | 3 à 6 mois |
| Coût total HT | 20 000 à 50 000 € | 3 000 à 5 000 € |
| Validité | 3 ans + audits annuels | 3 ans + audits annuels |
| Périmètre | Gardiennage et transport de fonds | Surveillance humaine |
| Logique | Système qualité (proche ISO 9001 sectoriel) | Engagements de service (8 commitments) |
| Entreprises certifiées | 7 à 9 | ~30 |
| Cible naturelle | Grands groupes, ETI nationales | PME, ETI régionales |
QualiSécurité n'est pas une « version au rabais » de NF241 : c'est un référentiel plus étroit (surveillance humaine seule), plus accessible, conçu pour les structures de taille intermédiaire qui ne pourraient pas absorber le coût et le délai d'une démarche NF241. Le choix dépend du profil de l'entreprise et des donneurs d'ordre visés.
Précision lexicale pour conclure : la mention « certifié AFNOR » seule, sans préciser le référentiel, n'a pas de sens technique. AFNOR Certification délivre des certifications sur plusieurs référentiels distincts (NF, QualiSécurité, ISO, labels sectoriels) ; seule la mention complète permet au donneur d'ordre de savoir ce qui a été audité.
/Images/Icons/Sicherheit_OWKS_Icon.svg)
APSAD : le bon usage du sigle
L'APSAD est régulièrement citée par les prestataires comme certification, parfois sans rapport avec leur activité réelle. Les certifications APSAD et la norme APSAD associée sont administrées par le CNPP (Centre National de Prévention et de Protection), pas par AFNOR. Il couvre principalement les installateurs et exploitants de systèmes de sécurité électronique : protection contre l'incendie (R-series, F-series), détection intrusion (I-series), vidéosurveillance, contrôle d'accès, télésurveillance (NFX 50-785). La majorité des certifications APSAD ne concerne donc pas la surveillance humaine.
La déclinaison qui intéresse les sociétés de gardiennage et plus largement toute société de gardiennage humain est APSAD P3, qui porte sur la prestation de surveillance humaine et le service de sécurité incendie. Environ 200 entreprises détiennent une certification combinée NF Service plus APSAD pour la sécurité électronique, ce qui montre que les deux référentiels coexistent davantage qu'ils ne se substituent. Pour un prestataire de surveillance humaine pure, APSAD P3 est un différenciant possible parmi plusieurs ; ce n'est ni la colonne vertébrale qualité du secteur, ni un substitut à NF241 ou à QualiSécurité.
/Images/Icons/Wachbuch_OWKS_Icon.svg)
Les normes ISO mobilisées par le secteur
Quatre normes ISO trouvent un usage réel dans la sécurité privée française.
ISO 9001 (management de la qualité) est la plus répandue, détenue par plusieurs dizaines de prestataires français. Elle est valorisée dans les CCTP comme baseline qualité, sans porter sur le métier en propre : un système ISO 9001 atteste qu'une démarche d'amélioration continue existe, pas que la prestation de surveillance respecte un référentiel sectoriel. Sa cohabitation avec NF241 ou QualiSécurité est cohérente, l'une étant générique et les autres sectorielles.
ISO 45001 (santé et sécurité au travail) mérite une attention particulière car elle inclut explicitement la protection des travailleurs isolés. Le Code du travail (articles R. 4543-1 et suivants) impose à l'employeur de prendre des mesures pour prévenir les risques liés au travail isolé. Une certification ISO 45001 attend des preuves documentaires : analyse de risque par poste, dispositif PTI/DATI (Protection du Travailleur Isolé / Dispositif d'Alarme pour Travailleur Isolé) déployé et fonctionnel, traçabilité des incidents et des temps de réponse, formation des agents. C'est le point où la main courante électronique et les rapports d'incidents horodatés deviennent des éléments de preuve, et non plus seulement de confort.
ISO 14001 (management environnemental) reste minoritaire dans le gardiennage et ne pas confondre avec MASE, référentiel français distinct demandé sur les sites Seveso. ISO 27001 (sécurité de l'information) intéresse les prestataires manipulant des données sensibles (vidéosurveillance, contrôles d'accès, hébergement de données clients) ; sa pertinence est croissante avec la généralisation des systèmes connectés. ISO 18788 (management des opérations de sécurité privée) est une norme internationale principalement utilisée par les opérateurs intervenant en zones à risque ; sa reconnaissance COFRAC est en cours et elle reste rare en France métropolitaine.
/Images/Icons/Dashboard_OWKS_Icon.svg)
Coûts et délais : tableau consolidé
| Niveau | Préparation | Coût HT | Validité | Cible / population |
|---|---|---|---|---|
| Autorisation CNAPS (entreprise) | Quelques semaines (instruction) | Frais de dossier mineurs | Illimitée | Toute entreprise de sécurité privée |
| Agrément dirigeant CNAPS | Quelques semaines | Frais de dossier mineurs | 5 ans renouvelables | Tout dirigeant, gérant, exploitant |
| Carte professionnelle agent | Délai standard inférieur à 10 jours | Frais de dossier mineurs | 5 ans renouvelables | Tout agent |
| QualiSécurité REF-215 | 3 à 6 mois | 3 000 à 5 000 € | 3 ans + audits annuels | ~30 entreprises |
| NF Service NF241 | 1 à 2 ans | 20 000 à 50 000 € | 3 ans + audits annuels | 7 à 9 entreprises |
| ISO 9001 | Variable (6 à 18 mois) | Variable | 3 ans + audits annuels | Plusieurs dizaines d'entreprises |
L'écart de magnitude entre QualiSécurité et NF241 (facteur cinq à dix sur le coût, trois à six sur le délai) n'est pas une question de prestige. Les sept à neuf entreprises qui détiennent NF241 l'utilisent comme différenciant achat sur les comptes nationaux et les administrations centrales, là où la plupart des concurrents ne peuvent pas suivre. Pour un prestataire régional, ISO 9001 reste la voie de compromis la plus fréquente : reconnue par les CCTP, accessible financièrement, sans la spécificité métier des deux référentiels sectoriels.
/Images/Icons/Checkliste_OWKS_Icon.svg)
Côté donneur d'ordre : vérifier qu'un prestataire est en règle
Avant toute signature, un outil public reste largement sous-utilisé : le registre public du CNAPS. La vérification d'un prestataire n'est pas une simple précaution. Elle engage la responsabilité juridique de l'acheteur.
Le registre public CNAPS permet de rechercher une entreprise par nom et de consulter sa fiche : raison sociale, activités autorisées (chacune listée séparément depuis la réforme de 2025), date de l'autorisation, établissements secondaires. Une absence du registre, ou une activité non listée alors qu'elle figure dans la proposition commerciale, constitue un signal d'alerte immédiat. Trois vérifications complémentaires structurent une due diligence sérieuse : croiser les dirigeants déclarés au Kbis avec les agréments CNAPS en cours de validité ; exiger les copies des cartes professionnelles des agents affectés au site (TFP APS, SSIAP selon l'activité) ; consulter le registre des sanctions publié par le CNAPS, qui recense les décisions de la commission de discipline depuis 2022.
Cinq questions à poser à tout prestataire de sécurité privée
- Quelles activités êtes-vous autorisé à exercer (liste précise) et depuis quand ? Pouvez-vous me transmettre la fiche du registre CNAPS ?
- Vos dirigeants figurant au Kbis détiennent-ils tous un agrément en cours de validité ? Quelles sont les références ?
- Quel pourcentage des heures opérées chez vos clients est sous-traité, et comment vérifiez-vous que les sous-traitants sont eux-mêmes autorisés ?
- Détenez-vous une certification volontaire (NF241, QualiSécurité, ISO 9001, ISO 45001) ? Pouvez-vous me transmettre l'attestation et la date du dernier audit ?
- Comment tracez-vous l'exécution des prestations sur site (main courante électronique, points de contrôle, rapports clients), et quels formats d'export pouvez-vous me fournir ?
Sur le plan juridique, le donneur d'ordre n'est pas spectateur. Contracter avec une entreprise non autorisée par le CNAPS expose à une co-responsabilité pénale au titre du Code de la sécurité intérieure, l'acheteur étant réputé avoir dû procéder aux vérifications minimales. Le CNAPS publie un guide d'achat et une charte des bonnes pratiques à destination des donneurs d'ordre, références utiles en cas de contrôle ou de contentieux.
Marchés publics et CCTP : où les certifications pèsent vraiment
C'est dans les marchés publics que la hiérarchie autorisation / certification trouve son expression la plus formelle. L'UGAP (Union des Groupements d'Achats Publics) négocie des accords-cadres pour la sécurité humaine au profit des ministères, collectivités, établissements de santé et de l'enseignement supérieur. Hors UGAP, les acheteurs publics opèrent par appels d'offres encadrés par le Code de la commande publique, structurés autour d'un CCTP (Cahier des Clauses Techniques Particulières) qui décrit les exigences techniques.
Le CCTP est le document où les certifications pèsent réellement. NF Service NF241 et QualiSécurité REF-215 y figurent fréquemment comme critères de sélection ou d'attribution, pondérés dans la note technique, sans être des exigences légales d'accès au marché. ISO 9001 est devenue une attente quasi générique pour les marchés à enjeu. APSAD P3 apparaît dans les marchés mixtes incluant un volet sécurité électronique. La CCN Prévention Sécurité fixe les minima salariaux : le taux horaire brut minimum d'un APS s'établit à 12,42 euros en 2026. Une proposition commerciale en deçà de 20 euros TTC l'heure facturé est mécaniquement suspecte : elle n'absorbe ni la convention collective, ni les charges, ni l'encadrement.
Pour le prestataire qui prépare une réponse, la certification volontaire ne suffit pas : elle doit être documentée dans le dossier (attestation à jour, périmètre, dates des derniers audits) et transposée en éléments de preuve opérationnels. Le mémoire technique gagne à tirer parti de la preuve numérique dans le dossier d'appel d'offres, en convertissant la traçabilité issue du système de contrôle de ronde en pièces justificatives directement intégrables. C'est un levier régulièrement sous-exploité par les soumissionnaires PME face aux grands groupes.
/Images/Icons/Mitteilungen_OWKS_Icon.svg)
Dracar Ultimate : la conformité obligatoire au 1er octobre 2026
Le décret n° 2025-1344 du 26 décembre 2025 instaure Dracar Ultimate, la nouvelle plateforme dématérialisée du CNAPS qui remplace Dracar NG. La bascule technique est intervenue en janvier 2026. La conformité opérationnelle pour les entreprises existantes est obligatoire au 1er octobre 2026 en métropole, et au 31 décembre 2026 dans les territoires ultramarins.
Pour les dirigeants, plusieurs obligations procédurales prennent effet. Création d'un espace entreprise sur Dracar Ultimate, déclaration du roster complet des agents, photo obligatoire pour chaque agent au plus tard le 1er octobre 2026, vérification mensuelle de la validité des cartes professionnelles. Chaque activité fait l'objet d'une demande d'autorisation distincte (pas de migration automatique depuis l'ancien système). Les imports CSV sont plafonnés à 2 000 employés par fichier, ce qui implique pour les groupes de procéder par lots. La fiche thématique du CNAPS détaille la procédure et les délais.
Pour les donneurs d'ordre, la dématérialisation simplifie la vérification. Le registre public sera plus à jour, et la vérification mensuelle obligatoire à la charge des prestataires offre un nouveau levier dans les CCTP : exiger contractuellement la transmission périodique d'une attestation Dracar Ultimate au donneur d'ordre devient à la fois faisable et défendable. Aucune des pages éditoriales actuellement en tête de SERP ne couvre Dracar Ultimate. C'est pourtant la nouveauté réglementaire qui structurera l'année 2026 dans le secteur.
La traçabilité numérique : ce qui survit à un audit ou à une visite de vérification
Le jour de l'audit AFNOR ou de la visite CNAPS, la qualité de la prestation se juge sur ce qui se documente, pas sur ce qui se dit. Un audit NF241, un renouvellement QualiSécurité, un audit ISO 9001 ou ISO 45001, un contrôle CNAPS et une visite de vérification d'un donneur d'ordre privé partagent une même grille d'attentes documentaires.
Concrètement, ce qui est inspecté : les documents de processus (fiches de poste, consignes, plans de prévention) ; la main courante électronique avec preuves horodatées des événements et incidents ; les rondes balisées (NFC) ou géolocalisées (GPS) avec traçabilité des passages aux points de contrôle et rapports exportables ; le dispositif PTI/DATI conforme au Code du travail R. 4543 ; le suivi des formations agent (continuité avec les exigences carte professionnelle et maintien des compétences tous les cinq ans) ; la mesure de la satisfaction client (exigence NF X 50-777 §7) et le plan d'amélioration associé.
Un système de contrôle de ronde comme COREDINATE, par exemple, produit ces preuves par défaut : scans NFC horodatés et inviolables, main courante automatisée, alertes PTI documentées avec horodatage et géolocalisation, rapports exportables au format PDF par contrat, par site ou par période. Le système ne remplace ni la démarche qualité ni l'engagement managérial, mais il transforme la préparation d'audit, qui peut prendre des mois pour reconstituer une traçabilité, en une simple extraction de données déjà collectées. La question pertinente n'est pas « avez-vous un logiciel », elle est « pouvez-vous me sortir, maintenant, les rondes du site X pour la nuit de mardi dernier ». La réponse sépare une démarche qualité crédible d'un dossier reconstitué ad hoc.
Questions fréquentes
Le CNAPS certifie-t-il les entreprises de sécurité privée ?
Non. Le CNAPS autorise les entreprises (autorisation d'exercer, durée illimitée) et agrée les dirigeants (agrément, cinq ans). Les certifications de qualité sont volontaires et délivrées par AFNOR Certification (NF Service NF241, QualiSécurité REF-215), par le CNPP (APSAD) ou par des organismes ISO accrédités. L'expression « certification CNAPS » est juridiquement impropre.
NF Service NF241 ou QualiSécurité REF-215 : laquelle choisir ?
Cela dépend de la taille de l'entreprise et des donneurs d'ordre visés. QualiSécurité (3 000 à 5 000 euros HT, 3 à 6 mois de préparation, environ 30 entreprises certifiées) est accessible aux PME et ETI régionales. NF Service NF241 (20 000 à 50 000 euros HT, 1 à 2 ans, 7 à 9 entreprises) cible les grands acteurs nationaux qui en font un différenciant achat.
Comment vérifier si une entreprise de sécurité privée est en règle ?
Trois étapes. Consulter le registre public du CNAPS et vérifier les activités autorisées. Croiser les dirigeants déclarés au Kbis avec les agréments CNAPS en cours de validité. Exiger les copies des cartes professionnelles des agents qui seront affectés au site.
Une certification AFNOR est-elle obligatoire pour répondre à un appel d'offres public ?
Non. Les certifications NF Service NF241, QualiSécurité REF-215 ou ISO 9001 ne sont pas des exigences légales pour soumissionner. Elles sont fréquemment listées comme critères de sélection ou d'attribution dans les CCTP, et pondérées dans la note technique. Seules l'autorisation d'exercer CNAPS et les agréments dirigeants sont obligatoires.
Qu'est-ce que Dracar Ultimate et quand faut-il s'y conformer ?
Dracar Ultimate est la plateforme dématérialisée du CNAPS instaurée par le décret n° 2025-1344 du 26 décembre 2025, en vigueur depuis janvier 2026. La conformité opérationnelle pour les entreprises existantes est obligatoire au 1er octobre 2026 en métropole et au 31 décembre 2026 dans les territoires d'outre-mer. Chaque activité fait l'objet d'une demande distincte.
Quelle est la différence entre autorisation d'exercer, agrément et certification ?
L'autorisation d'exercer (article L. 612-1 CSI) est obligatoire, délivrée par le CNAPS à l'entreprise pour une durée illimitée. L'agrément (article L. 612-6 CSI) est obligatoire, délivré par le CNAPS à chaque dirigeant pour cinq ans. La certification (NF Service, QualiSécurité, ISO) est volontaire, délivrée par un organisme certificateur, valable trois ans en règle générale.
L'agrément dirigeant CNAPS doit-il être renouvelé ?
Oui. L'agrément est valable cinq ans, renouvelable. La demande de renouvellement doit être engagée au moins trois mois avant l'échéance pour éviter une rupture, qui suspendrait de fait la capacité du dirigeant à exercer ses fonctions dans l'entreprise.
Combien d'entreprises détiennent NF Service NF241 en France ?
Entre 7 et 9 selon les sources sectorielles. QualiSécurité REF-215 est détenue par environ 30 entreprises. ISO 9001 par plusieurs dizaines. La rareté de NF241 en fait un différenciant achat utilisé par les grands groupes nationaux sur les comptes administratifs et les RFP grands comptes.
Les certifications ISO 45001 et 18788 sont-elles utiles dans la sécurité privée ?
ISO 45001 (santé et sécurité au travail) inclut explicitement la protection des travailleurs isolés et est demandée par les donneurs d'ordre industriels exigeants, particulièrement sur les sites Seveso. ISO 18788 (management des opérations de sécurité privée) est principalement utilisée par les opérateurs intervenant à l'international ; sa reconnaissance COFRAC est en cours.
Quel est le risque pour un donneur d'ordre qui contracte avec une entreprise non autorisée par le CNAPS ?
Une co-responsabilité pénale possible au titre du Code de la sécurité intérieure. La vérification du registre public CNAPS avant signature constitue une diligence minimale attendue, et le CNAPS publie un guide d'achat et une charte des bonnes pratiques à destination des donneurs d'ordre.
Pour outiller la traçabilité documentaire exigée par les certifications et les contrôles CNAPS, découvrez le contrôleur de ronde digital de COREDINATE.