La sous-traitance est le fait, pour une entreprise principale, de confier une partie ou la totalité d’une mission à un prestataire externe, souvent spécialisé, afin de bénéficier de compétences techniques ou opérationnelles précises dans l’exécution de ses missions. Dans le secteur de la sécurité privée, cette pratique est particulièrement répandue. Qu’il s’agisse d’entreprises de sécurité, sociétés de surveillance électronique, agents cynophiles, opérateurs de rondes ou de monitoring à distance, ces acteurs peuvent intervenir successivement sur un même site ou dispositif.
L’activité est encadrée par le Code de la sécurité intérieure et régulée par le CNAPS (Conseil National des Activités Privées de Sécurité), qui délivre les autorisations et veille au respect des obligations légales, telles que la détention de cartes professionnelles, l’assurance obligatoire et la conformité des moyens déployés.
Le sujet de la responsabilité du donneur d’ordre dans ce contexte implique un concept clé qui est celui de la fragmentation opérationnelle. Il s’agit de la situation où l’exécution d’une mission de sécurité est répartie entre plusieurs acteurs distincts, entraînant une perte de continuité dans la chaîne décisionnelle ou opérationnelle.
Cette fragmentation rend difficile l’imputabilité classique des dommages, car l’incident peut résulter non pas d’une faute individuelle clairement identifiée ou identifiable, mais d’une combinaison de lacunes ou d’une mauvaise coordination entre sous-traitants. Cette configuration soulève un enjeu majeur qui est celui de la détermination de l’étendue de la responsabilité du donneur d’ordre qui peut être engagée lorsque l’architecture même de la prestation crée un risque prévisible.
L’intérêt est double. Sur le plan pratique, les entreprises de sécurité privée doivent concilier efficacité opérationnelle, respect des obligations réglementaires et maîtrise des risques, sous peine de voir leur responsabilité civile, administrative voire pénale engagée. Sur le plan doctrinal, cette question interpelle le droit de la responsabilité, traditionnellement centré sur la faute individuelle, en introduisant l’idée d’une responsabilité organisationnelle ou structurelle, fondée sur la maîtrise du risque et la cohérence des chaînes de sous-traitance.
C’est pourquoi il est légitime de s’interroger sur la responsabilité juridique du donneur d’ordre lorsque la cause de l’incident résulte d’une fragmentation opérationnelle dans la sous-traitance, plutôt que d’une faute identifiable à un acteur précis. Autrement dit, le donneur d’ordre peut-il être tenu responsable non pas d’une faute directe, mais d’une architecture organisationnelle dont la complexité crée elle-même un risque ?
Pour répondre à cette interrogation, il s’agit tout d’abord d’analyser l’imputabilité du dommage dans les chaînes de sous-traitance, en distinguant les écosystèmes classiques de sous-traitance des dispositifs multicouches, plus complexes. Dans un second temps il s’agit d’explorer l’émergence d’une responsabilité du donneur d’ordre fondée sur la maîtrise du risque et le devoir de cohérence opérationnelle, mettant en lumière les enjeux pratiques et juridiques liés à la conception et à la coordination de la chaîne de sécurité.
I. Imputabilité du dommage dans les chaînes de sous-traitance.
Dans l’analyse de la responsabilité en matière de sécurité privée, il convient d’abord d’analyser comment le droit positif appréhende l’imputabilité du dommage lorsque la prestation principale fait l’objet d’une sous-traitance. Cette question apparait fondamentale pour cerner les obligations du donneur d’ordre et les effets juridiques du contrat principal lorsqu’un incident survient. Le régime juridique est différent selon que la sous-traitance reste simple, c’est-à-dire entre l’entreprise principale et un sous-traitant unique ; ou qu’elle se déploie en une chaîne complexe impliquant plusieurs maillons successifs.
A) L’imputabilité du dommage dans un écosystème classique de sous-traitance.
Dans sa dimension la plus traditionnelle, la sous-traitance prend place dans le cadre d’un contrat d’entreprise. Celui-ci est défini à l’article 1710 du Code civil comme celui par lequel une partie s’engage à faire quelque chose pour une autre moyennant un prix convenu entre elles. L’entrepreneur est ainsi tenu d’exécuter la prestation avec diligence et conformité aux stipulations contractuelles, sans lien de subordination vis-à-vis du donneur d’ordre.
Sur cette base, la loi du 31 décembre 1975 relative à la sous-traitance s’impose comme un texte de référence régissant toute opération par laquelle un entrepreneur principal confie, sous sa responsabilité, à un sous-traitant l’exécution de tout ou partie du contrat d’entreprise ou d’un marché public. Ces dispositions ont pour objet principal d’assurer la transparence contractuelle et la protection des sous-traitants (acceptation par le maître d’ouvrage, agrément des conditions de paiement, mentions légales des contrats etc.), ainsi que de définir les effets de la sous-traitance entre les parties.
Dans ce contexte, la responsabilité du donneur d’ordre (ou de l’entrepreneur principal) trouve généralement sa source dans l’exécution défectueuse du contrat d’entreprise ou du contrat de sous-traitance. Il s’agit d’une responsabilité contractuelle ou le donneur d’ordre répondra de ses manquements à ses obligations d’exécution et de conformité ainsi qu’à ceux de son sous-traitant. En effet, la troisième chambre civile de la Cour de cassation, dans un arrêt en date du 25 juin 2020 (n°19-15.929), a pu considérer que « la faute du sous-traitant engage la responsabilité contractuelle de l’entrepreneur principal à l’égard du maître de l’ouvrage ». Raisonnant par analogie, il apparait possible d’engager la responsabilité de l’entrepreneur principal de sécurité privée pour un incident survenu du fait de son sous-traitant. Si la prestation cause un dommage, c’est au créancier de démontrer que l’exécution est fautive (faute ou inexécution) pour engager la responsabilité de celui qui s’était engagé contractuellement à réaliser la prestation.
Le régime de la loi de 1975 implique également certaines obligations spécifiques, telles que l’obligation pour l’entrepreneur principal de faire accepter par le maître d’ouvrage le sous-traitant et d’agréer ses conditions de paiement. À défaut de respecter ces formalités, la jurisprudence retient que l’entrepreneur principal ne peut opposer le contrat de sous-traitance et peut voir sa responsabilité contractuelle engagée, et même que le sous-traitant peut résilier unilatéralement le contrat.
En sus de cela, l’article L612 5 1 du Code de la sécurité intérieure (CSI) modifie ce régime en subordonnant la sous-traitance à des conditions spécifiques. En effet, l’entreprise principale ne peut sous-traiter qu’une partie de la prestation du contrat principal et uniquement à des sous-traitants de premier et de deuxième rang, avec nécessité de justification de compétences et de validation par l’entrepreneur principal ayant contracté avec le donneur d’ordre. Chacun doit comporter l’identité de toutes les entreprises impliquées. Concrètement, ces dispositions visent à limiter la dilution de responsabilité en cascade, en renforçant la traçabilité des acteurs. Il appartient alors au donneur d’ordre de s’assurer que le sous-traitant dispose bien des autorisations nécessaires telles que l’agrément dirigeant Titre I ou II selon l’activité sous-traité, l’autorisation d’exploitation, ou encore de carte professionnelle conforme et valide. Par ailleurs, la loi « sécurité globale » du 25 mai 2021 a expressément énoncé ces restrictions pour le secteur de la sécurité privée.
Un autre angle du droit social entre en jeu. Il s’agit de l’obligation générale de vigilance du donneur d’ordre vis-à-vis de ses cocontractants pour éviter les situations de travail illégal, de marchandage ou de prêt illicite de main d’œuvre, telles que posées dans le Code du travail. Un manquement à ces obligations de diligence expose le donneur d’ordre à une solidarité financière avec son cocontractant et à des sanctions pénales, civiles ou disciplinaire tel que le retrait d’agrément ou encore l’interdiction d’exercer.
Un exemple récent serait celui de la société Protectim Security Group qui s’est vu interdire d’exercer toute activité de sécurité privée pour une durée de 18 mois par le Conseil national des activités privées de sécurité (CNAPS). Cette mesure montre qu’un manquement aux obligations de vigilance et de transparence sur la sous-traitance peut aboutir à une sanction administrative lourde.
B) L’imputabilité du dommage dans un écosystème de sous-traitance multicouche.
Dans les prestations de sécurité privée modernes, il n’est pas rare que la sous-traitance ne se limite plus à un seul sous-traitant, mais se déploie en plusieurs niveaux, avec recours successifs à différentes entités. Dans ce schéma multicouche, chaque sous-traitant de rang n peut devenir entrepreneur principal pour un sous-traitant de rang n - 1, et ainsi de suite.
Dans un tel écosystème, la notion classique de faute individualisée devient difficile à établir en cas d’incident. L’incident peut résulter non pas d’une faute isolée d’un acteur identifié, mais d’une perte de continuité dans la chaîne d’exécution, d’une mauvaise communication d’informations, d’une confusion de rôle ou d’une absence de coordination opérationnelle entre les différents niveaux de sous-traitance. Cette évolution organisationnelle conduit à une situation où l’on ne peut plus, sans une reconstitution complète des faits, démontrer la responsabilité d’un seul acteur, ce qui complique l’imputabilité juridique selon les régimes classiques de responsabilité contractuelle ou délictuelle.
La nécessité d’un tel examen découle du fait que l’article L612 5 1 du CSI qui impose que les sous-traitants de second rang et ultérieurs doivent justifier de motifs valables (absence de savoir-faire spécifique, manque de moyens) et que ces motifs soient validés par l’entrepreneur principal et à plus forte raison par son client, incluant donc pour le donneur d’ordre de s’assurer de cette validation avant d’accepter le sous-traitant. Autrement dit, le législateur a identifié l’enjeu d’une sous-traitance en chaîne et tente de limiter ses effets dilutifs sur la traçabilité des obligations et responsabilités.
Malgré cet encadrement, lorsque plusieurs niveaux d’acteurs coopèrent, chacun avec des obligations contractuelles et réglementaires différentes, il se trouve que l’imputabilité du dommage ne se réduit plus à une simple analyse de faute contractuelle. Il s’agit, ici, d’appréhender comment les interactions entre contrats et obligations se superposent. Dans ce contexte, la responsabilité du donneur d’ordre ne se trouve plus seulement liée à la qualité du contrat principal ou à la conformité formelle avec la loi de 1975 ou le CSI. Elle s’élargit à l’organisation même de la chaîne contractuelle et informationnelle entre les prestataires.
Cela implique que l’analyse juridique ne peut plus s’en tenir à un examen isolé de l’exécution d’un contrat donné, mais doit intégrer une évaluation systémique de la coordination des acteurs et de l’information transmise entre eux. C’est précisément cette difficulté d’imputabilité, souvent caractérisée par l’absence d’un maillon directement fautif et identifiable, qui justifie l’évolution du débat vers des modèles de responsabilité fondés non seulement sur le comportement des individus, mais également sur la configuration organisationnelle de la chaîne de sous-traitance elle-même.
II. Entre maîtrise du risque et cohérence opérationnelle.
La complexification croissante des chaînes de sous-traitance en matière de sécurité privée invite à dépasser le modèle traditionnel de la responsabilité contractuelle fondée sur la faute directe imputable à un acteur déterminé. Lorsqu’un dommage ne résulte pas d’une inexécution isolée mais de l’absence de cohérence organisationnelle entre de multiples prestataires, il devient nécessaire d’examiner si le droit peut ou doit reconnaître une responsabilité du donneur d’ordre non strictement liée à une faute individuelle, mais fondée sur une maîtrise structurelle du risque créé par la fragmentation opérationnelle.
A) Vers l’émergence d’une responsabilité du donneur d’ordre sur la maîtrise du risque opérationnel.
Le donneur d’ordre, même lorsqu’il fait intervenir plusieurs sous-traitants, conserve une position centrale dans la chaîne d’exécution. En effet, il choisit les prestataires successifs, fixe l’architecture générale du dispositif et définit, implicitement ou explicitement, les niveaux d’accès, d’information et de coordination entre eux. Il est donc le seul à avoir une vision d’ensemble des interactions entre parties contractantes, ce qui confère à sa décision initiale un rôle déterminant dans la configuration organisationnelle du dispositif de sécurité et dans la chaîne de commandement largo sensu.
Ce rôle pourrait justifier un fondement de responsabilité distinct, fondé non sur une faute technique précise, mais sur la maîtrise globale du risque que cette dynamique crée pour la sécurité et la sureté des personnes et des biens. Ainsi, dans un arrêt récent relatif au risque de co-activité, la chambre criminelle de la Cour de cassation (28 janvier 2025, n°23-84.373) a confirmé la condamnation d’un donneur d’ordre quand celui-ci n’avait pas vérifié la réalisation de contrôles de sécurité essentiels, en l’espèce le déraccordement de la haute tension avant l’intervention de sous-traitants de rang successif, ce qui a conduit à un homicide involontaire lors de travaux sur site.
Raisonnant ici aussi par analogie, il serait possible de considérer que tout donneur d’ordre principal et directement lié contractuellement au maitre d’ouvrage qui, en déléguant des tâches à des sous-traitants, ne met pas en place les mesures nécessaires pour maîtriser et coordonner les risques liés à l’exécution de ces tâches, engage sa responsabilité si cette défaillance cause un dommage. Qu’en l’espèce, dans les prestations de sécurité privée modernes, le donneur d’ordre (société principale) confie l’exécution de ses missions à une chaîne de sous-traitants multicouches (agents, sociétés de gardiennage, prestataires technologiques), et que cette fragmentation opérationnelle peut créer des ruptures dans la continuité et la maîtrise des risques. Que par voie de conséquence et d’analogie avec l’arrêt du 28 janvier 2025 susmentionné, le donneur d’ordre principal en sécurité privée peut voir sa responsabilité engagée pour tout dommage résultant de la fragmentation opérationnelle de la chaîne de sous-traitance, même si aucun sous-traitant n’a commis de faute individualisée.
Dans ce contexte, la recherche se focalise sur l’identification du donneur d’ordre principal en tant que responsable et garant de la chaine de commandement et de sa conformité et non plus sur la recherche d’un auteur identifiable au sein de cette chaine ou les responsabilités se diluent.
B) Vers l’émergence d’un devoir de cohérence opérationnelle.
L’idée d’une responsabilité basée sur la maîtrise organisationnelle du risque trouve un prolongement naturel dans la notion de devoir de cohérence opérationnelle. Ce devoir ne résulte pas aujourd’hui d’une disposition légale explicite applicable à toutes les chaînes de sous-traitance en sécurité privée, mais il se dégage progressivement des obligations réglementaires de transparence, de traçabilité documentaire et de coordination imposées par le Code de la sécurité intérieure (CSI) et renforcées par la loi « sécurité globale ».
En pratique, la mise en œuvre d’une chaîne de sous-traitance devrait comprendre, au-delà des vérifications formelles des agréments et des compétences des sous-traitants, des audits de la configuration contractuelle et opérationnelle, la formalisation de protocoles d’échange d’information entre intervenants et la vérification de la continuité opérationnelle entre activités successives. Un tel audit ne vise pas seulement à produire des documents conformes pour les autorités de contrôle, mais à identifier les ruptures potentielles de responsabilité et de communication qui peuvent créer un dommage.
Dans le même but, l’évolution des pratiques contractuelles peut contribuer à instaurer un devoir de cohérence. Plutôt que de se limiter à des clauses de répartition des responsabilités, les contrats pourraient prévoir des clauses de coordination inter prestataires, des procédures communes de gestion des incidents, et des obligations de reporting bidirectionnel entre le donneur d’ordre, ses sous-traitants directs et les sous-traitants de rang ultérieur. Ces clauses, si elles sont correctement intégrées, permettent de réduire l’asymétrie d’information et de structurer les interfaces contractuelles, diminuant ainsi l’exposition au risque organisationnel.
Sur le plan du contentieux, l’adoption de cette perspective conduirait à ce qu’un juge, confronté à un incident grave dans un dispositif de sous-traitance multicouche, puisse considérer que même en l’absence de faute technique individualisée, l’architecture organisationnelle conçue par le donneur d’ordre principal a créé un risque prévisible et qu’il était donc tenu à un devoir de cohérence opérationnelle. Cette hypothèse, qui dépasse la responsabilité exclusivement fondée sur la faute ou l’inexécution contractuelle, correspond à une mutation doctrinale vers une responsabilité organisationnelle élargie, visant à internaliser dans l’architecture contractuelle l’exigence de maîtrise des risques complexes. Cette évolution impliquerait que le donneur d’ordre principal pourrait être tenu responsable par le seul fait d’avoir conçu ou accepté une architecture opérationnelle générant un risque prévisible, même si aucun maillon n’a commis d’erreur isolable. Elle rejoint des concepts développés en droit du travail et en gestion des risques industriels, où la jurisprudence admet que l’organisation défaillante d’une activité peut constituer un manquement autonome.
Ainsi, la responsabilité organisationnelle élargie marque un déplacement de la faute individuelle vers la maîtrise structurelle du risque, plaçant le donneur d’ordre au centre d’une obligation implicite de cohérence et de contrôle. Cette mutation ouvre la voie à une nouvelle approche systémique de la responsabilité, qui pourrait transformer les pratiques contractuelles, la gestion opérationnelle et la jurisprudence dans le secteur de la sécurité privée.
