Un directeur de la sécurité d'une grande enseigne de distribution alimentaire en région PACA nous a contactés en mars après un litige avec un ancien agent licencié pour faute grave. L'agent contestait son licenciement devant les Prud'hommes, arguant que les rondes documentées dans la main courante électronique présentée comme preuve étaient « modifiables a posteriori par l'employeur » et donc sans valeur probante. L'avocat de l'agent demandait l'audit technique du système. Le système en question — un fichier Excel partagé entre superviseurs — n'avait ni horodatage qualifié, ni intégrité, ni traçabilité des modifications. Le conseil a écarté la pièce et l'employeur a perdu en première instance. Coût total : 47 000 € entre indemnités et frais juridiques.
La leçon n'est pas que la main courante électronique est risquée — c'est qu'une main courante numérique mal architecturée n'a aucune valeur juridique, alors qu'un cahier papier basique en a. Le passage du papier à l'électronique exige sept conditions techniques pour rester opposable. Ce guide explique le cadre juridique français applicable et les critères qui distinguent un système probant d'un fichier Excel partagé.
Le cadre juridique français applicable
La main courante d'un service de sécurité privée en France est encadrée par plusieurs textes qui se superposent :
Code de la sécurité intérieure (CSI) Livre VI — articles L611-1 à L645-1 et leurs décrets d'application. L'article L612-21 impose au titulaire d'une autorisation d'exercer une activité de sécurité privée de tenir « un registre relatant l'ensemble des prestations effectuées ». Le décret n° 2009-1671 précise que ce registre peut être tenu sous forme dématérialisée, sous réserve qu'il « assure l'intégrité, la disponibilité et la conservation » des données.
Arrêté du 29 juillet 2016 relatif aux modalités de conservation des registres et documents pour les activités de sécurité privée — précise que la conservation doit être d'au moins 5 ans à compter de la date d'enregistrement de l'événement, et que les modifications postérieures à l'enregistrement initial doivent être tracées de manière indélébile.
Convention collective IDCC 1351 (Prévention et sécurité) — Article 7 du chapitre VI relatif aux moyens techniques de contrôle de l'activité. La main courante est l'un des moyens de preuve admissibles dans les litiges individuels.
RGPD + Loi Informatique et Libertés modifiée 2018 — la main courante traite des données personnelles (identité de l'agent, géolocalisation, parfois photographies). Les obligations incluent : base légale (article 6 RGPD, généralement intérêt légitime de l'employeur ou obligation légale de l'article L612-21 CSI), durée de conservation proportionnée, information préalable des personnes concernées, droits d'accès et de rectification, sécurité des traitements.
Délibération CNIL n° 2021-138 sur les dispositifs de contrôle de l'activité des salariés — la géolocalisation des agents de sécurité est admise mais doit être proportionnée. La CNIL recommande que la géolocalisation soit désactivée hors temps de travail effectif et que les agents soient informés des moyens techniques utilisés.
Code du travail — articles L2312-38 (information consultation du CSE sur les moyens techniques de contrôle) et L1222-4 (information préalable du salarié sur les dispositifs de contrôle). Le défaut d'information préalable rend la preuve irrecevable.
Code pénal — article 434-15 sur la fabrication de fausses preuves en justice. Une main courante falsifiée engage la responsabilité pénale du falsificateur.
Les sept critères d'une main courante électronique opposable
Le décret de 2009 et la jurisprudence française dégagent sept critères techniques qu'un système de main courante électronique doit satisfaire pour conserver sa valeur probante :
Critère 1 — Horodatage qualifié. Chaque entrée porte une date et une heure générées par le serveur central (et non par le terminal de l'agent), avec une précision à la seconde et un référencement à une source de temps fiable (NTP qualifié). L'horodatage par le terminal seul ne suffit pas car il peut être manipulé sur un appareil rooté.
Critère 2 — Identification forte de l'agent. L'agent qui crée une entrée est identifié par un mécanisme cryptographique fort : authentification multi-facteurs au démarrage du quart, attribution d'un certificat de device signé par l'autorité de certification interne, ou biométrie au scan critique. L'identification par simple login/mot de passe partagés n'est plus suffisante depuis la délibération CNIL de 2021.
Critère 3 — Intégrité indélébile. Toute entrée enregistrée doit rester immuable. Les modifications éventuelles (correction d'une faute de frappe, ajout d'une précision) sont tracées comme une nouvelle entrée référençant l'entrée originale, sans suppression ni écrasement. Techniquement, cela implique un journal append-only au niveau de la base de données et une signature HMAC ou un hachage chaîné de chaque entrée.
Critère 4 — Traçabilité des accès et des modifications. Le système journalise qui a consulté, modifié ou exporté la main courante, à quelle date et depuis quelle adresse IP. Ce journal d'audit est lui-même conservé selon les mêmes critères d'intégrité que la main courante elle-même.
Critère 5 — Conservation conforme à l'arrêté de 2016. Durée minimale de 5 ans pour les entrées opérationnelles, calculée à partir de la date d'enregistrement de l'événement. Les exports archivés produits pour des audits ou des litiges doivent être conservés au format PDF/A-3 avec la signature du serveur, et pouvoir être vérifiés indépendamment via une clé publique.
Critère 6 — Information préalable du personnel (CSI + RGPD + Code du travail). L'agent a été informé par écrit, avant la prise de poste, des moyens techniques utilisés (géolocalisation, photographies, enregistrement vocal des notes vocales), de la durée de conservation, des droits d'accès et de rectification, et des finalités du traitement. Le CSE a été consulté. Ces éléments sont versés au dossier RH de l'agent.
Critère 7 — Réversibilité et exportabilité. Les données de la main courante peuvent être exportées sur demande sous un format ouvert (PDF/A signé, JSON structuré) et l'employeur doit pouvoir produire l'historique complet d'un agent ou d'un site sur la période de conservation, en moins de 24 heures, à la demande de l'inspection du travail, de la CNAPS ou d'une autorité judiciaire.
Un système qui satisfait les sept critères a une valeur probante équivalente à un cahier papier paraphé. Un système qui n'en satisfait que cinq ou six peut être écarté par le juge selon la nature du litige.
Cahier papier vs main courante électronique : tableau comparatif
| Critère | Cahier papier | Excel partagé | Main courante électronique probante | |---|---|---|---| | Horodatage qualifié | Manuel par l'agent (faillible) | Heure de modification Windows (manipulable) | Serveur central NTP signé | | Identification de l'agent | Signature manuscrite | Login souvent partagé | Certificat device + MFA | | Intégrité | Difficile à falsifier sans trace visible | Toute cellule modifiable sans trace | Append-only + HMAC chaîné | | Traçabilité des modifications | Visible (rature, surcharge) | Aucune par défaut | Journal d'audit horodaté | | Conservation 5 ans | Stockage physique (risque incendie/dégâts) | Sauvegarde non garantie | Archivage cloud + export PDF/A signé | | Recherche rapide | Manuelle, par feuilleter | Filtres simples | Recherche structurée par site/agent/date | | Conformité CSI L612-21 | Acceptée | Insuffisante | Conforme avec preuve technique | | Valeur probante en justice | Bonne | Faible voire nulle | Excellente si critères respectés | | Coût opérationnel | Faible mais non scalable | Faible mais juridiquement risqué | Moyen, audité et défendable |
Le cahier papier garde une valeur juridique solide tant que le volume reste manuel. Dès qu'on passe à plusieurs sites, plusieurs agents et plusieurs centaines d'entrées par mois, le coût opérationnel et le risque de perte deviennent supérieurs à ceux d'un système électronique correctement architecturé.
Durées de conservation : le détail RGPD
Le RGPD impose une durée de conservation « proportionnée à la finalité ». L'arrêté de 2016 fixe le minimum à 5 ans pour les registres CSI, mais le RGPD recommande de ne pas conserver au-delà. Une grille typique pour un service de sécurité privée :
Données opérationnelles de patrouille (scans de checkpoint, géolocalisations, photos) : 5 ans à compter de l'enregistrement. Justification : article L612-21 CSI + arrêté 2016.
Données d'incidents documentés (agressions, intrusions, alarmes) : 5 ans, ou jusqu'à la résolution définitive d'un litige en cours s'il dépasse 5 ans (article 2224 du Code civil pour les actions civiles).
Données RH liées à la main courante (qui était de service, contrôles employeur) : 5 ans pour les éléments à conserver dans le dossier du personnel, sauf besoin contractuel spécifique.
Données de géolocalisation hors temps de travail effectif : interdites par défaut. Si captées par erreur, suppression immédiate sous astreinte de 8 jours selon délibération CNIL 2021-138.
Données biométriques (si utilisées pour authentifier l'agent) : conservation strictement limitée au temps nécessaire, avec consentement explicite de l'agent et alternative non biométrique disponible.
Journaux d'audit du système : 6 ans (durée d'intégrité technique recommandée pour conserver la traçabilité au-delà des données elles-mêmes).
Au terme de la durée, anonymisation ou suppression. L'agent doit pouvoir demander l'accès à ses données et leur rectification dans un délai d'un mois (article 12 RGPD).
Erreurs fréquentes dans le passage du papier à l'électronique
Excel partagé considéré comme main courante électronique. Un fichier .xlsx sur un Drive partagé n'est pas une main courante au sens du CSI : pas d'intégrité, pas d'horodatage qualifié, pas de traçabilité. Toute pièce produite à partir d'un tel fichier sera contestée et probablement écartée par le juge.
Pas d'information préalable du personnel. La main courante électronique installée sans avoir informé les agents par écrit et sans avoir consulté le CSE rend la preuve irrecevable même si le système est techniquement parfait. Cette erreur est très fréquente lors des migrations papier vers numérique.
Géolocalisation 24/7 sans justification. La géolocalisation captée pendant les pauses de l'agent ou hors temps de travail est en infraction directe avec la délibération CNIL 2021-138. Sanctions possibles : amende administrative jusqu'à 4 % du chiffre d'affaires mondial du donneur d'ordre.
Pas de signature serveur sur l'export PDF. Un export PDF non signé peut être modifié post-export. Le juge demande la signature électronique qualifiée du serveur sur l'export pour accepter la pièce sans audit technique préalable.
Conservation au-delà de 5 ans sans justification. Conserver indéfiniment toutes les données « au cas où » viole le principe de minimisation du RGPD. Une politique de purge automatique à 5 ans + 1 mois est la pratique standard.
Sous-traitance cloud hors UE sans encadrement. Si le prestataire de stockage est hébergé hors UE (États-Unis sans Data Privacy Framework par exemple), les transferts de données personnelles tombent sous l'article 44 RGPD. Garanties contractuelles spécifiques (clauses contractuelles types CCT 2021) obligatoires.
Ce que rondesdesecurite.fr couvre
Plateforme conçue dès l'origine pour la conformité CSI L612-21 et le RGPD : horodatage serveur signé NTP qualifié, identification forte des agents par certificat device + MFA, journal append-only avec HMAC chaîné, traçabilité complète des accès et modifications, archivage cloud souverain hébergé en France (Outscale ou OVH), export PDF/A signé qualifié, gestion automatique de la durée de conservation 5 ans + purge contrôlée, géolocalisation activée uniquement pendant le temps de travail effectif avec preuve technique du respect de la délibération CNIL 2021-138. Modèles d'information préalable du personnel et de consultation CSE inclus. Conforme aux obligations CNAPS et aux contrôles inspection du travail.
Pour aller plus loin
- /blog/idcc-1351-interpretation-2026-tracabilite — l'interprétation 2026 de la convention collective et les obligations de traçabilité.
- /blog/hds-hebergeur-donnees-sante-rondes — quand la main courante touche des données de santé (rondes en EHPAD, cliniques privées).
- /blog/qu-est-ce-qu-un-logiciel-de-rondes-de-securite — les fondamentaux du logiciel de rondes en contexte français.