Sécurité
Savoir qui est présent, où et pour quel motif réduit les accès non autorisés et aide à protéger les zones sensibles.
Guide réglementaire
Le registre des visiteurs est-il obligatoire ?
Un éclairage clair et à jour sur ce que prévoit la réglementation, ce que dit le RGPD et les cas où la tenue d’un registre des accès relève d’une obligation ou, bien plus souvent, d’une bonne pratique de sécurité et d’organisation.
Réponse en bref
Il n’existe pas de texte unique obligeant toutes les entreprises à tenir un registre des visiteurs. Pour la plupart des organisations privées, c’est avant tout une bonne pratique de sécurité et d’organisation ; dans certains secteurs ou sur des sites réglementés, il peut toutefois être attendu, voire requis par des certifications ou des contrats.
Dès lors que vous collectez les coordonnées des visiteurs, vous traitez des données personnelles : le RGPD s’applique dans tous les cas — minimisation, information claire, durée de conservation limitée et sécurité des données sont alors incontournables.
C’est l’une des questions les plus fréquentes parmi les office managers, les responsables sécurité et les dirigeants de PME. Plutôt que de se demander « est-ce obligatoire ? », mieux vaut se demander « est-ce utile pour nous et, si nous l’adoptons, comment le gérer de façon conforme ? » Savoir qui entre et sort répond à des besoins très concrets de sécurité, de traçabilité et d’ordre à l’accueil — et c’est devenu un standard de fait dans la plupart des structures.
Existe-t-il une obligation légale ?
À ce jour, ni le droit français ni le droit de l’Union ne prévoient un texte unique imposant explicitement le « registre des visiteurs » à toutes les entreprises. Il existe en revanche des règles qui touchent indirectement à la gestion des accès et font du registre un outil utile, parfois attendu.
Règle générale : pas de texte dédié
Pour la généralité des entreprises privées, le registre des visiteurs est une mesure d’organisation volontaire. Son absence n’est pas sanctionnée en tant que telle. Ce que la loi encadre, c’est la manière dont les données sont traitées une fois que vous décidez de les collecter (voir la section RGPD).
Contextes particuliers : quand cela peut devenir nécessaire
Dans plusieurs situations, l’enregistrement et le contrôle des accès sont requis ou vivement recommandés :
- Santé et sécurité au travail — le Code du travail impose à l’employeur d’organiser les secours et l’évacuation (document unique, plan d’évacuation). Connaître précisément qui est présent sur le site, visiteurs compris, est une mesure concrète qui appuie ces obligations.
- Sites et secteurs réglementés — ports, aéroports, infrastructures critiques, sites Seveso ou ICPE, certains établissements de santé appliquent des procédures de contrôle d’accès prévues par des réglementations sectorielles ou le Code de la sécurité intérieure.
- Certifications et systèmes de management — des normes comme l’ISO 9001, l’ISO 45001 ou l’ISO/IEC 27001 exigent le contrôle des accès et sa traçabilité : lors d’un audit, un registre ordonné est souvent un élément attendu.
- Politiques de groupe et obligations contractuelles — les exigences de clients, de donneurs d’ordre ou d’assureurs prévoient fréquemment une gestion documentée des accès.
Pourquoi tant d’entreprises tiennent un registre
Au-delà de toute obligation formelle, le registre des accès est adopté parce qu’il résout des problèmes réels. Voici les motivations les plus fréquentes parmi les PME françaises et européennes.
Gestion des urgences
En cas d’évacuation, la liste à jour des présents rend l’appel rapide et fiable, à l’appui des obligations de sécurité.
Audits et contrôles
Lors d’une inspection, d’un audit ISO ou d’un contrôle interne, un historique ordonné et consultable prouve immédiatement la traçabilité.
Qualité et image
Un accueil soigné et professionnel exprime sérieux et fiabilité, de la réception jusqu’au système de management de la qualité.
Organisation
Hôtes prévenus, données lisibles, aucune feuille égarée : le flux d’accueil devient plus simple et moins sujet aux erreurs.
Protection des données
Une gestion structurée protège la confidentialité des visiteurs et évite que les données de l’un soient visibles par les autres.
Quelles données collecter
Le principe directeur est la minimisation : ne collecter que les données réellement nécessaires aux finalités annoncées. Voici les champs les plus courants, avec leur finalité et une indication générale sur l’opportunité de les recueillir.
| Donnée | Finalité | Indication |
|---|---|---|
| Nom et prénom | Identifier le visiteur | Nécessaire |
| Société d’appartenance | Contextualiser la visite | Conseillé |
| Date et heure d’entrée/sortie | Traçabilité et gestion des urgences | Nécessaire |
| Personne ou service visité | Organisation et responsabilité interne | Conseillé |
| Motif de la visite | Finalité de l’accès et sécurité | Facultatif |
| Signature (règles / NDA lus) | Preuve de l’acceptation des règles | Si nécessaire |
| Plaque d’immatriculation | Accès aux parkings ou zones extérieures | Seulement si utile |
| Pièce d’identité (copie) | Vérification d’identité | Déconseillé |
Registre des visiteurs et RGPD
Les coordonnées des visiteurs sont des données personnelles : leur collecte est un traitement au sens du Règlement (UE) 2016/679 (RGPD). Que le registre soit papier ou numérique, les mêmes principes s’appliquent. Quatre points méritent une attention particulière.
Minimisation des données
Ne collectez que ce qui est strictement utile aux finalités annoncées (art. 5, 1, c). Évitez les champs inutiles et les copies de documents non indispensables : chaque donnée en trop est une donnée de plus à protéger et à justifier.
Information et transparence
Le visiteur doit recevoir une information claire au titre de l’art. 13 : identité du responsable, données collectées, finalités, base légale, durée de conservation et droits. Cette information doit être facilement accessible au moment de l’enregistrement.
Limitation de la conservation
Les données ne se conservent que le temps nécessaire, puis sont supprimées. Il est recommandé de définir une durée proportionnée, de la documenter et de l’appliquer systématiquement, plutôt que d’accumuler les registres.
Sécurité des données
Il faut adopter des mesures adaptées (art. 32) : empêcher qu’un visiteur lise les données du précédent, contrôler l’accès aux informations et en garantir l’intégrité. C’est précisément là que le registre papier montre ses limites.
Approfondissez le sujet sur notre page dédiée au registre des visiteurs et au RGPD, où nous expliquons comment gérer l’information, la base légale et la conservation de façon conforme. Sur la durée précisément, voir combien de temps conserver le registre des visiteurs.
Quels risques sans registre des visiteurs
Ne disposer d’aucun système d’enregistrement des accès, ou le gérer mal, expose l’entreprise à plusieurs difficultés très concrètes.
Urgences difficiles à gérer
Sans liste à jour des présents, l’appel en cas d’évacuation devient lent et incertain, avec un impact évident sur la sécurité.
Aucune traçabilité
En cas de vol, de dégât ou d’incident, impossible de reconstituer qui était présent, quand et pourquoi. Aucune preuve des accès.
Audits compliqués
Lors d’inspections ou d’audits de certification, l’absence d’historique ordonné est un point faible difficile à justifier.
Prestataires hors contrôle
Chauffeurs, techniciens et prestataires externes entrent et sortent sans aucune trace : un risque typique des sites industriels.
Pour les environnements de production, nous approfondissons le sujet sur notre page dédiée à la gestion des visiteurs sur les sites industriels.
Registre papier, Excel ou logiciel ?
Une fois la décision prise de tenir un registre, reste le choix de l’outil. Les trois options les plus courantes — cahier papier, feuille Excel et logiciel dédié — présentent des avantages et des limites différents, surtout sur le plan du RGPD.
| Critère | Papier | Excel | Logiciel dédié |
|---|---|---|---|
| Confidentialité entre visiteurs | Faible : les données sont visibles par le suivant | Moyenne : selon qui accède au fichier | Élevée : chacun ne voit que ses propres données |
| Recherche et consultation | Lente, manuelle | Correcte, avec filtres | Immédiate et structurée |
| Sécurité des données | Faible | Moyenne | Élevée (accès contrôlés) |
| Gestion des urgences | Difficile | Manuelle | Liste des présents en temps réel |
| Conservation et suppression | Complexe, peu sélective | Manuelle | Maîtrisée et documentable |
| Rapports et exports | Inexistants | Basiques | Avancés (CSV, tableau de bord) |
| Image professionnelle | Datée | Suffisante | Moderne et soignée |
| Coût initial | Minime | Minime | De gratuit à évolutif |
Nous avons consacré un guide complet au sujet : registre des visiteurs — papier, Excel ou numérique, avec un comparatif détaillé et des conseils pour chaque type de structure. Vous trouverez aussi une comparaison des versions sur notre page comparatif version gratuite et avancée.
Télécharger le modèle Excel gratuit
Pour démarrer tout de suite sans frais, nous avons préparé un kit gratuit avec un modèle de registre des visiteurs sous Excel, une version PDF imprimable et une checklist RGPD pour l’accueil. Un excellent moyen de mettre de l’ordre et de cerner quelles données ont vraiment du sens.
Kit registre des visiteurs gratuit
Modèle Excel, PDF imprimable et checklist RGPD prêts à l’emploi. À télécharger et personnaliser en quelques minutes.
Une solution numérique pour la gestion des visiteurs
IRIGuest est le registre des visiteurs numérique qui remplace le cahier d’accueil par une application sur iPad et tablettes Android. Il est conçu pour rendre simple ce que le RGPD exige : ne collecter que les données utiles, afficher l’information, protéger la confidentialité et garder le tout ordonné et consultable.
Confidentialité dès la conception
Chaque visiteur ne voit que ses propres données : fini le cahier où tous les noms sont en évidence.
Conçu pour le RGPD
Information et consentements personnalisables, signature à l’écran, gestion ordonnée de la conservation.
Multilingue
Interface en 5 langues : chaque visiteur s’enregistre en autonomie dans la sienne.
Présents en temps réel
Vous savez toujours qui est sur le site : un appui concret pour la gestion des urgences.
Notifications à l’hôte
Avec la version Cloud, la personne visitée est prévenue automatiquement à l’arrivée du visiteur.
Historique et rapports
Accès toujours consultables, export CSV et tableau de bord centralisé pour plusieurs sites et accès.
La version gratuite fonctionne aussi hors ligne, sans limite de durée. Vous voulez voir comment elle fonctionne avant de la télécharger ?
Questions fréquentes
Le registre des visiteurs est-il obligatoire en France ?
Il n’existe pas de texte unique imposant à toutes les entreprises de tenir un registre des visiteurs. Dans bien des cas, c’est une bonne pratique de sécurité et d’organisation ; dans certains secteurs ou sur des sites réglementés, le contrôle des accès peut être attendu en vertu de règles sectorielles, de certifications ou de contrats. Dès lors que des données sont collectées, le RGPD s’applique.
Quelle réglementation encadre le registre des visiteurs ?
Il n’y a pas de loi dédiée. Les références principales sont le RGPD (Règlement UE 2016/679), qui régit le traitement des données des visiteurs, et le Code du travail, qui impose à l’employeur d’organiser les secours et l’évacuation : connaître les présents soutient ces obligations. La CNIL publie des recommandations sur le contrôle d’accès.
Le registre des visiteurs relève-t-il du RGPD ?
Oui. Nom, prénom, société, heures d’entrée et de sortie sont des données personnelles : leur collecte est un traitement soumis au RGPD, avec une attention particulière à la minimisation, à la transparence (information), à la limitation de conservation et à la sécurité.
Combien de temps conserver les données des visiteurs ?
Le RGPD ne fixe pas de durée précise : les données ne se conservent que le temps nécessaire à la finalité poursuivie (limitation de la conservation). De nombreuses entreprises définissent une durée proportionnée et documentée ; il est conseillé de l’indiquer dans l’information et de supprimer les données devenues inutiles.
Quelles données peut-on collecter auprès des visiteurs ?
Seulement celles réellement utiles aux finalités annoncées : généralement nom et prénom, société, personne ou service visité, date et heure d’entrée et de sortie. Recueillir des copies de pièces d’identité ou des données superflues est en principe disproportionné et doit être évité, sauf obligation spécifique.
Le consentement du visiteur est-il nécessaire ?
Le consentement n’est pas toujours la base légale adaptée. Selon les finalités, le traitement peut reposer sur l’intérêt légitime (sécurité et traçabilité des accès) ou sur une obligation légale. Dans tous les cas, il faut remettre au visiteur une information claire au titre de l’art. 13 du RGPD. La base légale s’apprécie au cas par cas.
Un registre papier est-il conforme au RGPD ?
Il peut l’être, mais le cahier d’accueil présente des faiblesses : toute personne qui signe peut lire les données des précédents (absence de confidentialité), et il est difficile à protéger, conserver et supprimer de façon sélective. Une solution numérique facilite nettement le respect de la confidentialité, de la sécurité et des droits des personnes.
Le registre est-il obligatoire sur un site industriel ?
Il n’existe pas d’obligation générale spécifique, mais sur les sites industriels la gestion des accès des fournisseurs, chauffeurs, prestataires et techniciens externes est vivement recommandée pour la sécurité au travail et souvent requise par des certifications ou procédures internes. Le registre y est avant tout un outil de sécurité.
Qui est responsable des données des visiteurs ?
Le responsable de traitement est en principe l’entreprise qui collecte les données. Il lui incombe de définir la finalité et la base légale, de fournir l’information, d’appliquer des mesures de sécurité adaptées et de garantir les droits des personnes. Si les données sont gérées via un éditeur de logiciel, celui-ci agit généralement comme sous-traitant.
Un registre numérique est-il plus sûr que le papier ?
En général oui. Un registre numérique permet de protéger les données par des accès contrôlés, d’éviter qu’un visiteur voie les données d’un autre, de rechercher et supprimer les informations de façon sélective et de produire des rapports. Autant d’atouts qui facilitent la conformité au RGPD par rapport au papier.
Les TPE et professions libérales doivent-elles tenir un registre ?
Pas de façon générale. Pour les petites structures et les cabinets, le registre est surtout une bonne pratique : il protège la confidentialité des clients, met de l’ordre dans l’accueil et améliore l’image. Si des données sont collectées, les obligations du RGPD s’appliquent quand même.
Que risque une entreprise qui gère mal les données des visiteurs ?
Un traitement non conforme (données excessives, absence d’information, sécurité insuffisante, conservation illimitée) peut exposer à des plaintes et à des mesures de la CNIL, ainsi qu’à une atteinte à la réputation. Bien gérer le registre est donc aussi une forme de protection pour l’entreprise.
Sources et références
Références réglementaires et institutionnelles utiles pour approfondir. Cette page a une finalité informative et ne remplace pas un conseil juridique.
- Règlement (UE) 2016/679 — RGPD, texte officiel : eur-lex.europa.eu (en particulier art. 5, 6, 13 et 32).
- CNIL — Commission nationale de l’informatique et des libertés : cnil.fr (recommandations sur le contrôle d’accès et la minimisation).
- Code du travail — obligations de l’employeur en matière de sécurité et d’évacuation : legifrance.gouv.fr.
- Autorité de protection des données (APD/GBA) — autorité belge de protection des données : autoriteprotectiondonnees.be.
- ISO/IEC 27001 — management de la sécurité de l’information (contrôle des accès) : iso.org.
Un registre des visiteurs simple et conforme ?
Commencez gratuitement avec l’application IRIGuest, ou essayez-la en ligne en quelques secondes. Sans engagement, sans limite de durée.